文档介绍:终端安全解决方案第一部分、终端问题的处理方法一、首先需要查到攻击源:1物理查看方法,查看网卡显示灯。没有运行应用的机器,网卡的收发两个灯或发送灯在不停的闪烁,可判定这台终端有问题;2、终端查看连接状态的方法,查看终端开放的端口,协议等。stat-an 查看连接状态,查看是否有异常端口开放,是否有异常的连接等,通过 arp-a查看arp表,主要看网关和已经终端的MAC地址学****是否正确,用arp-d删除错误IP对应的MA(share查看一下共享信息,无用文件共享关闭。 netstat-rn查看终端的路由信息是否正常,而ipconfig/all 看一下网卡启用状态,一般需要将无用的和虚拟的网卡禁用。查看网络连接,即“本地连接”或其他名称的网络连接,无用连接需要禁用。有用连接中的相关无用服务关闭掉,尤其是“QO数据包计划”经常导致系统出现问题。在测试时可仅保留“mircosofe客户端”和“协议(TCP/IP)这两个协议,其他的测试时可保留终端防火墙和终端抓包的两类协议,但一定要确认是本地软件安装的协议,必要时可卸载然后重新用干净软件安装一下;3、 采用sniffer或ethtool这样的抓包工具查看攻击,一般发包比较多的为攻击源。sniffer你直接看流量的图,哪个终端与服务器的直连线最高说明发起的攻击最多。而ethtool一般直接查看arp协议,点协议排序就可以,一般有问题的机器不停的问我是谁这样相关的信息;4、 查看终端补丁安装情况,一般需要确认相关操作系统安全补丁均已经正常安装,并查一下相关主要的应用软件是否也需要进行补丁安装或程序的版本升级,一般升到最新的稳定安装版本,不要升级测试版本;5、 采用任务管理器和安全卫士360等工具查看服务器和终端当前应用程序的运行情况,无用的相关应用程序进行关闭,同时查看 IE的相关设置是否有问题,建议删除无用的第三方IE插件;二、确定问题后进行查杀:1、物理上方法一般采用2层交换机端口进行绑定的方式进行终端的 IP和MAC#定;2、将二层交换机向三层交换机进行汇聚连接,并在三层交换机上进行终端IP和MAC绑定。在初始的情况下,如果哪个终端的 MAC地址迅速网关或替换其他IP的MAC则此终端存在问题,一般将其MACS定为全零,然后进行arp表的清除;3、一般可采用安全卫士360等终端查杀和系统恢复软件进行临时文件删除,服务的关闭和IE的清理等,或采用兵刃或红叶等安全套件进行清理,但兵刃和红叶中多是黑客的攻击软件需要保持其自身的安全性,防止前面驱虎,后面引狼;4、终端软件重新安装也是比较快捷的方式,但是要注意简版的操作系统和低版本的应用软件均在先天就存在致命的漏洞。建议选择正版或全版和新整合的操作系统,在补丁安装完成前不要接入到网络中,并且注意安装软件自身的安全,应用软件可以逐步进行安装,但安装一个要确保其补丁升级完成。这个工作在前期准备需要相当长的时间,但是这个是保证终端可用性的前提,一定要重视。三、系统运行保护:1终端一般安装安全卫士360或专用arp防护软件的arp防护工具并启用,其原理一般是核查终端的arp表,定期进行刷新并禁止arp表的修订,终端病毒防护软件的安装和定期升级也是必要的前提;2、 操作系统补丁和应用软件定期安装;3、 终端IP和MA(统计和更新,并及时在二层交换机进行端口绑定,三层交换机上IP和MAC勺绑定及定期的查看;4、 也可采用终端准入的系统来控制终端必要系统补丁和应用程序的统一升级;当然如果是恶意的攻击和破坏也是违反信息安全的法律和法规的, 在进行一定攻击的情况的记录和资料准备可以申请电信级运营商协助进行问题定位,向通信管理局和公安机关等政府相关信息安全机构进行报案, 他们可进行更大范围的监控和安全事件查证。第二部分终端病毒防护方法一、终端中毒前的防护1、在终端重新做系统接入网络之前一定要把操作系统的补丁打好木马病毒多数是通过系统漏洞入侵终端的,所以重新装完操作系统的终端,打补丁是重要的环节。要做到每一台终端的补丁都打全之后再接入网络,如果等到终端中毒之后再打补丁就来不及了。2、 新接入网络的终端一定做到每一台终端都要装趋势防病毒软件。一台都不能漏掉。如果漏掉了一台,就相当于操作系统的一个漏洞一样,因为趋势防病毒软件注重的是防御,将病毒拒之门外。所以每一台终端都要装趋势杀毒软件也是很重要的一个环节。3、 前两点都做到的情况下,每一个终端的操作者要有良好的使用****惯。不浏览不良网站,不要去点击一些广告等欺骗性的页面。下载的时候要去正规的网站下载,使用的软件尽量用正版的。安装软件的时候尽量不要安装在 C盘。很多软件也会有漏洞,木马病毒会通过软件漏洞入侵操作系统从而导致终端中毒。在安装软件的过程中,软件本身会捆绑一些其它工具,如果安装的软件不是在正规网站下载的,那么很有可