《优创月刊》第四期

 

出刊:2004年10月20日 
南京优创科技有限公司客户服务中心

服务电话:025-84808848

服务邮箱:service@ultratech.com.cn
本期导读:
|-公司动态
|-您知道吗?您也能做到!
|-本月安全警报
|-技术纵谈
|-谭博士专栏
·公司动态

 

热烈庆祝南京优创科技有限公司
     顺利通过ISO90012000质量管理体系认证

     南京优创科技有限公司今年10月份,已顺利通过ISO90012000质量管理体系认证,并取得由北京世标认证公司签发的ISO9001认证书,成为少数在计算机服务行业获得ISO质量管理认证的企业
    随着中国加入WTO,人才、技术、服务与管理将进一步成为行业间竞争的关键,企业能不能持续发展,管理能力和管理水平将起决定性作用。我司非常重视企业的内部管理,根据公司的发展现状,及时引入ISO90012000国际质量管理体系,今年4月份我们聘请了江苏省信达诚质量技术管理咨询有限公司的资深咨询师对公司员工进行相关培训和指导,利用近半年的时间建立了一整套覆盖公司主要部门的质量管理体系,制定了公司质量方针和质量目标,组织编写了质量手册、程序文件、支持性文件、质量记录等。92930日,北京世标注册认证公司已完成了对南京优创科技有限公司的全部审核。此次审核涉及计算机软硬件的开发、销售和订单处理、售后服务、采购、工程技术、文案记录管理、培训、管理等多方面评估。
    从ISO9001标准实施的情况看,我司在产品质量及服务的管理和标准化方面都取得了可喜的进步,管理模式也由原来的探索型向科学型转变。公司将把通过质量认证作为新的起点,以客户为关注的焦点,持续改进,追求卓越的管理,不断提高公司的市场竞争力。

 

 
·您知道吗?您也能做到!

 

你也能亲手除木马

                         ——木马病毒清除通法

    “木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。

    知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了

 

 
·本月安全警报
 

安全漏洞

    漏洞编号:微软MS04-028漏洞

    漏洞类型:JPEG处理缓存区溢出漏洞

    漏洞危害:该漏洞可能允许执行任意代码,属缓冲区溢出高危级漏洞,可导致感染的系统远程运行任意码。
    目前,利用该漏洞传播的病毒代码已经出现,他们可能会通过聊天软件或电子邮件等途径发送图片,在用户打开图片时,利用漏洞实施处报。如果利用该漏洞的蠕虫出现,恶意用户就可以利用Administrator权限进行登陆,一旦登陆成功后,攻击者可能会成功的利用此漏洞来完全地掌控被感染的系统,其中包括安装病毒程序,对计算机进行浏览、更改或删除计算机内的数据,或者在计算机里创建新的拥有全部权限的帐户。

    微软在9月14日公布了这个漏洞的补丁,Ms用户请立即下载该漏洞的补丁程序,修补漏洞,以预防利用该漏洞的病毒和攻击的出现。

病毒预报

    QQ记录器(Trojan.QQLogger.a):木马病毒,通过网络传播

    依赖系统:WIN9X/NT/2000/XP。

    病毒会在后台隐蔽运行,实时记录用户的QQ聊天记录,然后发送出去。
 

    SP2杀手变种C(Worm.Prkis.c):蠕虫病毒,通过邮件传播。

    依赖系统:WIN9X/NT/2000/XP。

    病毒邮件的附件伪装成SP2补丁的破解程序,其实是病毒。每个月的23日之后,病毒自动从互联网上下载程序并运行。

 

    瑞波变种MC(Backdoor.Rbot.mc):后门程序,通过局域网传播。

    依赖系统:WIN9X/NT/2000/XP。

    病毒试图偷窃多种软件的CDKEY,并可被攻击者利用来控制他人电脑,从而进行多种危险操作。


   

·技术纵谈
 

NetEye防火墙的自动防御功能

NetEye防火墙提供有全球独创的专门为大规模爆发的威胁事件提供迅速升级插件的功能支持,可以实现高度的应用级防护特性,抵御新出现的各种攻击手段,这是流过滤技术给我们带来的好处,也使得NetEye防火墙成为目前唯一一款可以提供该特性的防火墙产品。东软为未来的危机事件做好了充分准备,围绕流过滤技术的开发体系可以为客户在危机事件中提供快速响应和自动化防御功能:

北京攻击研究小组

· 提供新出现的安全危机的准确信息
· 提供用户预警,并指导用户如何防范

沈阳软件开发基地

·提供针对新攻击的安全产品插件(FW、IDS)

基于“流过滤”的应用层保护架构

·可以迅速提供应用保护的升级能力
·从发现安全危机开始,只需3~5天即可提供针对性的保护模块

著名事件举例:

 1. Unicode 漏洞缺陷

· 2001年5月份发布警告及基于HTTP过滤模块的保护规则
· 可以有效的阻止“尼姆达”病毒的传播

 2. SQL Slammer

· 发现攻击样本后当天发布安全警告
· 1天后提供IDS升级包
· 2天后提供防火墙保护策略

 3.“冲击波”病毒利用的RPC-DCOM溢出缺陷

· 8月5日发布安全警告及基本处理方案
· 8月7日发布IDS升级包
· 8月8日提供防火墙保护模块

 4.“震荡波”蠕虫事件

· 病毒出现当天即提供了IDS检测库升级和防火墙防护模块

那NetEye防火墙的升级插件到底能给我们带来什么样的好处呢?是不是只能用来防病毒?

解答:基于流过滤的应用级插件功能是专为防范大规模爆发的高风险威胁而设计的,是针对安全漏洞,而不是针对病毒,为了更好的说明,我们来举个例子:基于Windows RPC-DCOM缓冲区溢出漏洞传播的“冲击波”病毒。

1. 应用级插件功能可以自动检测和防御Windows RPC-DCOM缓冲区溢出漏洞,凡是利用该漏洞的所有攻击行为和蠕虫病毒,防火墙都可以自动检测和防御,不仅仅只是“冲击波”一种病毒,哪怕今后再有类似的利用Windows RPC-DCOM漏洞的病毒也能检测和防御;

2. 另外,病毒只是利用Windows RPC-DCOM缓冲区溢出漏洞的一种表现形式,威胁更大更隐蔽的其实是利用该漏洞的各种攻击和入侵行为,因为利用该漏洞可以远程获取对方主机的system最高权限,以至于可以完全控制对方主机的所有一切,而且很难进行发现和追查。杀毒软件则只能检测和查杀病毒,对于攻击和入侵行为无能为力;

3. NetEye防火墙内嵌的应用级插件功能并非杀毒软件,如果在防火墙内嵌入杀毒软件势必会严重影响防火墙的性能,甚至还会造成拒绝服务;而基于流过滤的应用级插件保护功能不会检查文件型、引导型等早期古老的病毒(这些病毒现今几乎已经绝迹了),也不会对没有造成大规模影响的威胁做检测,所以不会产生性能影响(影响非常小),但是只要对当前流行的几种大规模爆发的高风险威胁做到检测和防御就可以从很大程度上提升网络的整体防护能力。

在以前,针对漏洞的攻击,比如Windows RPC-DCOM缓冲区溢出漏洞,传统的防火墙需要用户对该漏洞的各种表现形式和利用手法都必须做全面和深入的掌握,然后一条一条的配置到防火墙规则中,如果少了一条可能的漏洞利用特征,那么利用该漏洞的攻击依然可以成功。

而基于流过滤的应用级保护插件诞生后,再也无需用户手动配置繁琐的防火墙过滤规则了,用户只需简单的下载相应的保护插件并应用到防火墙中,就可以实现防火墙的自动检测和防御,从而真正意义上实现了防火墙的高度安全化、智能化和自动化。
 
·谭博士专栏

                    

                              电子签名的春天
    在网络越来越成为人们生活的重要组成部分、同时网络问题也日趋严重的时候,2004年8月28日,中国“电子签名法”诞生了,中国网民在网上进行商务、政务等活动自此有了法律依据。 那么,什么是“电子签名”,它与传统的“盖红印”、“按手印”、“手写签名”有什么区别呢?
    所谓“电子签名”,是指电子文件所附的用于识别签名人身份并表明签名人认可电子文件内容的数据。这种数据被称为“签名”,但并不是书面签名的简单图像化,而更类似于手写签名或印章的电子印章。电子签名可以看做一种只有持有者才拥有的“私有标记”,如同你的指纹一样,别人不能仿冒和拥有,因此,你可以把这种电子印章用于文件加密,而不用担心安全问题。事实上,为了防止欺诈问题,“电子安全法”对能够作为电子签名的数据作了严格规定,必须同时符合“电子签名制作数据用于电子签名时,属于电子签名人专有”、“签署时电子签名制作数据仅由电子签名人控制”、“签署后对电子签名的任何改变都能被发现”、“签署后对数据电文内容和形式的任何改动都能被发现”等条件。
    正是由于上面苛刻的条件和由此带来的人员、技术、资金、设备等问题没有完全解决,电子签名一直以来在我国迟迟不被法律认可,不具有法律效力,这给电子公文的传递带来巨大障碍:尽管电子文件有快捷方便的优点,但许多重要文件的传递还是必须依赖传统的邮政快递或者文件传真来完成。
    随着电子签名获得法律认可,上面的藩篱就会被打破,这将使网上电子文件传送重新获得巨大的生命力,基于这个认识,我们认为电子政务、电子商务的一个新的发展高峰很快就会到来,并最终带动网络安全事业的进一步发展。
 

 

谭博士信箱:txy@ultratech.com.cn    欢迎大家与我共同探讨安全问题