|
|||||||||||||||
|
《安全月刊》第十六期 |
出刊:2005年10月25日 |
||||||||||||||
|
南京优创科技有限公司 服务电话:025-84808848 |
|
||||||||||||||
 |
|||||||||||||||
|
本报讯(记者侯莎莎通讯员曹金良王文杰)防范病毒的软件公司,违规测试令“木马”“蠕虫”病毒再度爆发。昨天,记者从市公安局公共信息网络安全监察处了解到,全国首例网络传播病毒案告破。北京东方微点信息技术有限责任公司副总经理田亚葵因涉嫌犯罪行为,目前已被检察机关批准逮捕。 今年7月2日,市公安局网监处接到北京多家防病毒公司报案,都称其网上病毒监测预警平台显示,2005年1月以来,本来已经快要销声匿迹的“木马”、“蠕虫”病毒再度爆发,一直呈上升趋势,尤其在五六月达到高峰,传播范围有扩大的趋势。 7月5日,网监处对北京东方微点公司进行检查,发现该公司开发研制生产互联网安全软件产品,但未依法在公安机关备案,而且在没有采取任何安全保护措施的情况下,就在与互联网相连接的局域网上测试病毒。民警当即要求公司立即停止违规操作,进行整改。但在随后的两次复查中,该公司依然没有采取任何整改措施。 而此时,调查证据显示,该公司在网上传播病毒的行为引起的部分网络瘫痪问题,已经造成该地区一证券公司和一管理顾问有限公司直接经济损失达数十万元,而对北京某电信公司的正常业务活动严重干扰造成的巨大经济损失,一时都无法统计。 网监处依据《计算机信息网络国际联网安全保护管理办法》和《计算机病毒防治管理办法》的有关规定,建议工商、电信等部门对该公司的经营许可资格进行重新审查,并对该公司做进一步调查。8月30日,公安机关依照《刑法》第286条之规定,将涉嫌“故意制作、传播计算机病毒等破坏程序影响计算机系统正常运行造成严重后果”的该公司副总经理田亚葵刑事拘留。 据了解,此案引起了公安机关和检察机关的高度重视,在网上传播病毒的案件在国内尚无先例,也无判例可参考。 <<< 回到“本期导读” |
|||||||||||||||
 |
|||||||||||||||
|
桌面管理,不断创新 随着桌面管理软件功能的日臻完善和应用范围的不断拓宽,已经有越来越多的用户认识并开始实施桌面管理解决方案,并体验着桌面管理解决方案为他们带来的巨大效益。未来桌面管理的发展趋势如何?让我们一起听听专家的说法。 桌面管理当前主要是对Windows桌面进行管理,包括windows9x/NT/XP和200x,而在未来的桌面应用中,Linux平台将逐渐增多,因而对异构平台的管理势必成为一个桌面管理的一个发展方向。此外,随着移动设备处理功能的逐渐增强,越来越多的应用需要能平滑运行在winCE/Palm架构的移动设备上。因此,可以预见在不远的将来,桌面管理的平台必须兼容windows/Linux、WinCE/Palm等平台。 传统的桌面管理只能管理内网,这样对于广大的个人和家庭用户,或者分布式极广的企业网络的管理能力就有很大的限制性。为来的桌面管理将从企业内网的管理过渡到Internet上任意联接的桌面设备管理。当然有两个前提,一是网络联接的带宽必须要比现在有数量级上的提升,另外就是在安全性上,应该确保在实施管理的同时不会为桌面系统增加新的漏洞。 传统的桌面管理因为平台比较单一,因而在管理的智能化上尚有很大不足。对未来异构平台的管理,应该将这种复杂度交给系统后台自动处理,在管理员端只需要指定必须在系统中安装的软件对象列表,客户端系统将会自动比较自身平台和资源是否满足安装条件的要求,在满足要求的系统上自动后台安装,安装的结果自动在报表中展现。也就是说自适应的策略管理必定成为桌面管理发展的方向。 桌面管理在本质上必须通过网络和桌面通讯端口建立连接,这些开放的端口理论上将成为桌面系统潜在的威胁,因而未来的桌面管理系统必须保证一下一个方面的安全性:桌面系统自身的通讯数据不会为第三方截获或者篡改;桌面系统使用的端口可以协商并动态改变,至少可以做到管理员在在显示配置后改变通讯端口;桌面系统自动监听自身使用的端口,丢弃可疑的数据包。 未来的桌面管理系统应该能够和其他应用进行有效整合,比如与后台的服务器管理、网络设备等平台的整合。整合可以通过多种方式实现,比较好的方法是通过中间件系统中的消息机制隔离整合对象,这样各个应用只需要实现自身的消息接口即可,而无须了解集成对象的底层实现细节。同时用户管理员柯根据自身企业的特定要求,方便扩展桌面管理软件的功能。而以上需求都应该通过更加开放灵活的架构实现。 由于桌面应用的复杂性和用户操作的无序性,保护桌面设备的安全已经成为整体安全管理中不可或缺的一环。桌面管理系统作为维护桌面系统正常运行的主要手段,势必要增强在安全性上的管理。一是桌面管理中一定要加入相应的功能,如系统补丁应用、桌面安全策略管理等、二是桌面管理软件应该能够统一协调桌面安全各方面的管理子系统。 |
|||||||||||||||
 |
|||||||||||||||
|
近期计算机用户要对一些流行时间很长传播范围广的病毒,如邮件蠕虫、黑客木马等加强防范。这些流行蠕虫、黑客木马变种出现的很多,但其传播机理和感染的方式一般都不会变。因此,国家计算机病毒应急处理中心提醒广大用户,升级杀毒软件,开启“实时监控”和“邮件监控”功能,同时关注他们的最新发展动态,了解其基本特征,当遭受其感染的时候,立即采取有效措施,断开网络,进行病毒的清除。最大程度降低病毒感染后形成的破坏。
|
|||||||||||||||
 |
|||||||||||||||
|
步骤3. 遵循委派方面的最佳做法 错误地对保护AD内容的访问控制列表(ACL)进行配置将会使AD易于受到攻击。此外,如果委派实施得越复杂,那么AD的维护和问题解决工作就越难。因此推崇应用简洁的设计哲学。委派实施得越简单,您的麻烦就会越少,在安全方面尤为如此。 不要将权限分配给用户账号。进行委派的基本原则之一就是除非有充分的理由,否则始终将权限分配给组而不是用户。当某个被您分配权限的用户离开公司或工作职能发生改变而再不需要某些访问权限时,您需要执行哪些操作?找到某个账号被赋予的权限,取消这些权限,然后再将它们赋予另外一个用户,要比将旧账号从某个组中删掉,再将一个新账号加入到该组中的工作量大得多。即使您认为赋予特定用户的权限永远不会被赋予其他用户,我还是建议您创建一个组,将用户加入到这个组中,然后再将权限分配给这个组。 不要将权限分配给单独的对象。当您直接将权限分配给单独的对象时(例如一个用户或一个组对象),事情将会变得复杂起来。上述权限需要更多的维护,并且很容易在随后被忽视。为了避免问题的发生,您应该将权限尽量多地分配给组织单元或容器。
记录下使用的模型。在进行权限委派时,您需要完成的重要工作之一就是记录下使用的模型。您是否建立了一个基于角色的模型?请求访问权限的过程是什么?模型是否具有特例?所有这些重要问题都应该被记录,它不仅会使维护工作变得简单,而且将确保每个人都清楚权限应该如何被分配,并可以识别出没有按照模型进行分配的权限(它将使AD易于受到攻击)。记录模型的文档格式并不重要,但应能够方便管理员查找。
|
|||||||||||||||
 |
|||||||||||||||
|
BitTorrent(中文全称比特流,简称BT,又称变态下载)是一个多点下载的P2P软件。不象FTP那样只有一个发送源,BT有多个发送点,当你在下载时,同时也在上传,使大家都处在同步传送的状态。 BT的工作原理? BT首先在上传者端把一个文件分成了多个部分,客户端甲在服务器随机下载了第N部分,客户端乙在服务器随机下载了第M部分。 这样甲的BT就会根据情况到乙的电脑上去拿乙已经下载好的第M部分,乙的BT就会根据情况去到甲的电脑上去拿甲已经下载好的第N部分。 基于BT的工作原理,当内网中有多个用户使用BT下载文件时会消耗大量的网络带宽资源,严重时会影响到网络的正常应用。东软NetEye系统防火墙,基于独特的“流过滤”的结构,可以轻易实现多工作模式下(路由模式、交换模式)网络层与应用层安全策略。 阻止思路,与设置办法: 1、通过BT工作方式,我们可以了解到下载BT文件时首先需要下载“种子”文件,一般“种子”文件都是通过网站,HTTP方式获得。这里我们就可以应用东软防火墙提供的细腻的应用层HTTP命令级过滤功能,对基于HTTP方式的GET命令*.torrent文件进行阻止。 1.1 新建内容过滤文件
如上图,设置好自己的HTTP过滤文件,如果没有过滤文件,可以通过内容过滤窗口左列的第一个快捷按键新建。 1.2 加载新的内容过滤文件 这里需要注意的有两点: 1、HTTP内容过滤文件应加载到HTTP使用的TCP端口上,默认是TCP80端口 2、内到外的默认规则大多设为全通,这时需要将原TCP协议中1-65535更改为1-79,80,81-65535,然后在80端口中设置内容过滤,类型HTTP 规则生效后,受限用户在下载含有.torrent时,会出现如下错误信息:
2、获得“种子”文件后,各类BT客户端还需要通过相应的端口与外界建立连接。这里我们也可以通过网络层的过滤规则限定这些端口及相关的种子提供网址。 2.1 设置过滤规则 屏蔽端口 TCP 6000~6009 6881~6890 8000~8009 8881~8890 16881 屏蔽网址: www.btbbt.com bbs.btbbt.com bt.btchina.net bt1.btchina.net bt2.btchina.net bt3.btchina.net www.greedland.net share.greedland.net bt.ydy.com www.167bt.com bbs.fkee.com bbs.btpig.com bbs.mumayi.net www.btmyth.com www.3ry.cn bbs.17yy.com www.6feeling.com www.ourhigh.com www.17bt.cn …… 电驴也同样可以采用这种方法屏蔽,效果虽然不能100%屏蔽,不过也能将下载速度降到最低点。 屏蔽端口 4662 4672 屏蔽网址 www.verycd.com 2.2 通过东软防火墙提供的自动DNS解析功能,可以直接在规则文件中使用域名进行过滤,具体设置可参考说明书第四章4-52相关说明。 3、现在大部分BT软件都提供了端口更改的功能,如果用户更改了防火墙对这这时我们也可以借助防火墙提供的强大的“NetEye网络实时监控系统”中的“实时连接状态显示”功能,对TCP的EST连接状态进行判断。在BT连接下,某一个IP的对外连接数会异常与正常使用IP的对外连接数很多。通过EST状态下的柱状图显示可以清楚反应这种异常连接。处在前几位(柱状图可以最多设置15个显示记录数,具体设置位置于实时连接状态显示窗口左列的第七个按钮)的连接都为同一个IP地址,且本地端口基本连续的情况。我们就可以单独对此IP进行限制,只允许他访问外网的某几个端口。
通过上述上种路径,可以通过NetEye防火墙对内网的BT下载实现控制。配合防火墙的规则生效时间,还可以在不禁止BT下载的同时,自动实现限制规则在工作使用时间段生效,阻止BT下载,休息日时间自动恢复无限制规则,保证内部员工的正常使用功能。对于大多数的用户,只需采用第一种限制方式就可以很有效的阻止内网的BT下载,保证正常的业务带宽了。 |
|||||||||||||||
 |
|||||||||||||||
|
计世网消息 病毒作者已经为他们的恶意软件由手机向PC上传播找到了一条通道。本周四,安全研究人员首次报告了试图通过手机内存卡感染PC的特洛伊木马病毒。该病毒伪装为盗版手机软件。 F-Secure公司的反病毒研究主管米科表示,尽管这款恶意代码被认为不会给用户带来很大的危险,这却是安全研究人员首次发现手机病毒试图攻击PC。他说,从学术的观点来看,这一病毒非常有趣。 米科表示,特洛伊木马病毒通常通过伪装为其它类型的软件而安装在设备上。在这次攻击中,特洛伊木马病毒以可以从互联网上下载的盗版手机游戏的面目出现。 在本周四发表的一份声明中,反病毒厂商趋势公司对这一名为Sybos/Cardtrap.A的特洛伊木马病毒危险性的评价为“低”。该特洛伊木马病毒中包含有多种恶意软件,其中包括许多通过蓝牙或彩信在手机间传播的许多病毒,它能够感染运行Symbian公司的Series 60操作系统和微软公司的Windows操作系统的便携式系统。 Sybos/Cardtrap.A病毒通过在手机的内存卡上拷贝2个Windows蠕虫试图“跳到”PC上,用户将该内存卡插入PC后,点击被感染的文件之一就会启动一个蠕虫病毒,向网络上的其它PC上传播。 尽管还远不能和PC蠕虫、病毒相提并论,但手机攻击一直在上升中。F-Secure估计,有28个国家报告出现了Cabir蠕虫,它利用蓝牙连接在运行Symbian软件的手机间传播;另一种名为Commwarrior的手机病毒也已经在19个国家现身。Commwarrior可以通过蓝牙和彩信传播。
米科表示,这些手机攻击仍然处于其发展的萌芽期。但他预计,未来将出现更复杂的攻击。他说,首款以获取经济利益为目的PC病毒的出现用了15年时间,我认为在手机领域这类病毒迟早也会出现,只是还没有出现而已。 谭博士信箱:txy@ultratech.com.cn 欢迎大家与我共同探讨安全问题 <<< 回到“本期导读” |
|||||||||||||||
 |
|||||||||||||||
|
|
|||||||||||||||
