网络信息安全培训教程.doc

网络信息安全培训教程宾阳县信息化工作办公室2009-7-28局域网概述局域网（Local Area Network,LAN）是在小范围内将各种数据通信设备互连起来，进行数据通信和资源共享的计算机网络。局域网的地理范围一般在.01-20km之间。局域网连网非常灵活，两台计算机就可以连成一个对等局域网。局域网的安全是内部网络安全的关键，如何保证局域网的安全性成为网络安全研究的一个重点。网络安全组成网络安全目标 通俗地说，网络信息安全主要是指保护网络信息系统，使其没有危险、不受威胁、不出事故。 从技术角度来说，网络信息安全的目标主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。网络安全威胁1.3.1物理威胁 物理威胁在网络中是最难控制的，它可能来源于外界的有意无意的破坏。物理威胁有时可以造成致命的系统破坏，如系统的硬件措施遭到严重的破坏。 物理威胁的防治虽然很重要，然而在网络中很多物理威胁往往被忽略，如网络设备被盗等。在更换磁盘时，必须经格式化处理，因为反删除软件很容易获取仅从磁盘上删除的文件。1.3.2 系统漏洞威胁 1.端口威胁端口威胁是系统漏洞的重要方面,在用户上网的时候，网络病毒和黑客可以通过这些端口连接到用户的计算机上潜在的端口开放相当于给系统开了一个后门，病毒和网络攻击者可以通过开放的端口入侵系统。 为防止端口威胁，用户应该使用端口扫描软件来查看系统已经开启的服务端口，并将不安全的端口关闭。 2.不安全服务 操作系统的部分服务不需要进行安全认证服务就可以登录，这些程序一般都是基于UDP协议的，它的无认证服务导致系统很有可能被病毒和网络攻击者控制。此类服务在作用后应该立即停止，否则将造成系统不可挽回的损失。 3.配置和初始化有些系统提供认证和匿名两种方式，所以如何区分服务方式和如何进行系统的初始化配置非常关键。1.3.3 身份鉴别威胁 1.假冒假冒的身份通常是用一个模仿的程序代替真正的程序登录界面，设置口令圈套，以窃取口令。 2.密码暴力破解按照密码学的观点，任何密码都可以被破解出来，任何密码都只能在一段时间内保持系统的安全性。1.3.4 病毒和黑客威胁病毒是一段可执行的恶意程序，它可以对计算机的软件和硬件资源进行破坏。计算机病毒寄生在系统内部，不易被发现，具有很强的的传染性，一但病毒被激活，就可能对系统造成巨大的危害。由于TCP/IP协议的脆弱性和Internet的管理问题，目前，互联网成为病毒的最重要的传播途径。计算机病毒已成为计算机与网络安全的重要因素。黑客威胁是目前网络的又一大威胁，黑客是指非法入侵别人计算机系统的人，他们通常带有某种目的，通过系统漏洞非法入侵。【实例1-1】简述物理防护在计算机系统安全方面的作用。 解析 物理防护主要是针对计算机硬件上的弱点进行防护，防止人为因素或自然因素造成计算机系统的损坏，预防措施如下： （1）防止计算机设备丢失。 （2）防止非授权人员和破坏者进入计算机的工作环境。 （3）规划对外通信的出口，阻止非法接线。 （4）防止设备或数据损失。 （5）防止电磁辐射。局域网的安全措施局域网基于广播技术构建。由于广播原理，局域网的数据截取和窃取成了安全的主要问题，另外，ARP地址欺骗、泛洪等很多问题，还有TCPIP协议固有的不安全因素，网络操作系统的安全缺陷等，都使得基于局域网的安全防范非常关键。2.2.1 网络本身的安全设置 1.网络分段 网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。如：与，其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。 2.组建交换式局域网 对局域网的中心交换机进行网络分段后，由于使用共享式集线器，当用户与主机进行数据通信时，两台计算机之间的数据包会被同一台集线器上的其他用户所侦听。因此，应该以交换式集线器代替共享式集线器，建立交换式局域网，可以使单播包仅在两个节点之间传送，从而防止非法侦听。 3.虚拟局域网 采用交换式局域网技术组建的局域网，可以运用VIAN(虚拟网络)技术来加强内部网络管理。4.网络访问权限设置 如果不对局域网中的主机访问进行权限和用户身份设置，则可以完全被网络中的其他用户访问，所以在局域网中设置访问权限，实现数据的加密服务非常重要。权限控制是针对网络非法操作所提出的一种安全保护措施，对用户和用户组赋予一定的权限，可以限制用户和用户组对目录、子目录、文件、打印机和其他共享资源的访问，可以限制用户对共享文件、目录和共享设备的操作。 5.网络设备安全控制 局域网中的路由器和三层交换机基本上都内置防火墙功能，且可通过设置IP访问列表与MAC地址绑定等方案对网络中的数据进行过滤，限制出入网络的数据，从而增强网络安全性。 6.防火墙控制 防火墙是目前最为流行也是使用最广泛的一种网络安全技术，防火墙作为一个分离器、限制器和分析器，用于执行两个网络之间的访问控制策略，有效地监控了内部网和Internet。之间的任何活动，既可为内部网络提供必要的访问控制，又不会造成网络瓶颈，并通过安全策略控制进出系统的数据，保护网络内部的关键资源。2.2.2网络操作系统的安全 1.安全密码控制操作系统安装完成后，设置一个足够强壮的账号和密码非常关键，并最好将不用的匿名用户都删除。windows XP操作系统是通过用户级别来设置用户的操作权限，所以配置安全策略十分必要。配置安全策略的步骤如下： (1)在“控制面板”中打开“管理工具”窗口，双击“计算机管理”图标，打开“计算机管理”窗口，依次展开“系统工具”一“本地用户和组”一“用户”，在右边窗口中的空白处右击，弹出一个快捷菜单，如图22所示。图22“计算机管理”窗口 (2)在该快捷菜单中选择“新用户”命令，弹出“新用户”对话框，如图23所示。在该对话框中输入用户名和密码等信息，并选中“密码永不过期”复选框，单击“创建”按钮，即可添加一个新用户。添加新用户图 2-3 添加新用户 2.安全漏洞扫描和补丁安装 目前的网络操作系统，每隔一段时问就会出现新的漏洞和安全威胁，所以用户要经常关注它的官方站点，下载系统补丁程序。另外，选择一款系统漏洞扫描工具比较重要。对于windows的操作系统，可以登录微软官方网站http：/更新大部分的系统组件，修补漏洞。 瑞星杀毒软件2008版也集成了一款比较完美的漏洞检测和修复工具。 3.防火墙和杀毒软件 在局域网的构建中，安装一款优秀的杀毒软件十分重要。对杀毒软件的要求是该杀毒软件必须要有足够强大的病毒库，并且容易升级，同时，对于一些未知病毒应该具有一定的预测能力。目前，病毒和反病毒技术都在发展，任何杀毒软件都不能保证操作系统是绝对安全的。 防火墙可以选择硬件或者软件类型的，硬件类型的价格高、安全性好，但是设置和配置都比较麻烦。软件防火墙的价格较低，但是安全性相对差一些。局域网故障检测技术局域网的故障分为软件故障和硬件故障，正确进行故障的处理和维护是网络安全非常重要的方面。硬件故障主要表现在系统元件的损坏，如主板的烧毁、硬盘的损坏等，其解决办法一般是更换设备，对于部分硬件的损坏可以使用逻辑方式临时修复，如硬盘的划伤等，还可以使用屏蔽技术将坏道隐藏起来，但是这些方式都不是非常可靠的。网络关注的是可靠性和稳定性，可以做临时的处理，但从长远来看，更换设备是非常有必要的。 近年来，计算机硬件技术的发展速度远远超过软件的发展速度，硬件在可靠性上大大增强了，同时，其价格在不断下降。因此，硬件故障基本上构不成网络故障威胁，所以在网络故障中应首先考虑软件故障。况且硬件故障的表现一般是十分明显的，而软件故障的表现却比较隐蔽。2.5.1 网络连通性的检测如果网络不通，应该考虑网卡是否安装正确，是否与其他设备有冲突或者网络是否损坏。这时应该首先查看网络协议是否安装，设置的网络参数是否正确，如果没有这些问题，再检查网络线缆是否损坏。 当出现一种网络应用故障时，若无法接入Internet，首先尝试其他网络应用，如果其他网络应用可正常进行，可以排除连通性故障问题，而判定是网络的问题。什么是IP和MAC，如何查找？MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。只要你不去更改自己的MAC地址，那么你的MAC地址在世界是惟一的。无论是局域网，还是广域网中的计算机之间的通信，最终都表现为将数据包从某种形式的链路上的初始节点出发，从一个节点传递到另一个节点，最终传送到目的节点。数据包在这些节点之间的移动都是由ARP（Address Resolution Protocol：地址解析协议）负责将IP地址映射到MAC地址上来完成的。其实人类社会和网络也是类似的，试想在人际关系网络中，甲要捎个口信给丁，就会通过乙和丙中转一下，最后由丙 转告给丁。在网络中，这个口信就好比是一个网络中的一个数据包。数据包在传送过程中会不断询问相邻节点的MAC地址，这个过程就好比是人类社会的口信传送过程。ip是指你上网的一个网络地址,IP是唯一的,用于识别你于网络上的位置. 每台接入互联网的电脑都会根据tcp/ip协议分配一个唯一的协议地址，用来与其它的主机区分开，这个编号就是 ip地址。如mac地址也是用来将一台电脑和其他电脑区别开，但是和ip的协议分配不同，mac地址是固化在硬件上的，不可更改的，如：如何解决MAC地址带来的安全问题 我们可以将IP地址和MAC地址捆绑起来来解决这个问题。进入“MS-DOS方式”或“命令提示符”，在命令提示符下输入命令：ARP -s 2 00-10-5C-AD-72-E3，即可把MAC地址和IP地址捆绑在一起。这样，就不会出现IP地址被盗用而不能正常使用网络的情况，可以有效保证小区网络的安全和用户的应用。 查找本机IP及MAC： 运行-MSCONFIG/ALL2.5.2 网络检测 WindowsXP 操作系统中提供了ping、tracert、netstat、pathping等相关的网络测试命令，灵活使用这些命令，实现对网络的检测和管理是比较方便的。 1、ping命令 ping命令用于测试本地主机和远程主机是否可以连通。查看ping命令返回的信息参数，用户就可以推断网络是否连通，根据网络参数也可以了解远程主机的其他特征。使用ping命令根据反馈报文信息推测远程主机信息，可以作为网络基本故障排除的方法。 通过ping命令测试苯地网络是否连通，可以ping 、localhost或者本机的名称，图2-10所示的是连通的测试过程，如果不通，则如图2-11所示。图2-10 ping连通情况 2、tracert命令 tracert命令是实现网络路由跟踪的命令，它把数据包所走的全部路径、节点的IP以及花费的时间都显示出来，图2-12所示的是tracert命令的测试过程。图 2-12 tracert命令的使用3、netstat命令 netstat命令用于检测网络上的连接情况，可以告知用户所有的连接及其详细的端口。用户可以使用该命令实现实时监控，可以很清晰地排除网络上所有非法进程和用户的连接。netstat命令用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，图2-13所示的是netstat命令的运行情况，图2-14报增的上扫描系统中所有端口的情况。netsta命令(不带参数)的使用图2-14 netstat命令(带a参数)的使用 4pathping命令 pathping命令用于跟踪数据包到达目标网络所采用的路由，并显示路径中每个路由器的数据包损失的信息。该命令只有在安装了TcPIP协议后才可使用。pathping命令结合了ping和tracert命令所共有的一些功能，可以对数据包进行跟踪，并且在一段时间内探测路由上的每个跃点，可以显示数据包的延迟与丢失。图215所示的是pathping命令的运行结果。图215 pathping命令的使用实例解析1.ARP协议的基本概念 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。2.什么是ARP地址欺骗 ARP地址欺骗是通过非法的手段来修改一个正常主机MAC地址表的过程。当局域网中一台计算机反复想向网络中的其他计算机发送假冒的ARP应答信息包时，将导致严重的网络堵塞。 ARP 欺骗一般分为两种，一种是对路由器 ARP 表的欺骗；另一种是对内网 PC 的网关欺骗。第一种 ARP 欺骗是截获网关数据，它通知路由器一系列错误的局域网 MAC 地址，并按照一定的频率不断的更新学习进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送到错误的 MAC 地址，造成正常的计算机无法收到信息。第二种 ARP 欺骗是通过交换机的 MAC 地址学习机制，伪造网关。它的原理是建立假的网关，让被它欺骗的计算机向假网关发送数据，而不是通过正常的路由器或交换途径寻找网关，造成在同一网关的所有计算机无法访问网络。3.ARP地址欺骗的危害 ARP地址欺骗的危害的表现形式有: 1).网络访问时断时继，掉线频繁，网络访问速度越来越慢，有时则长时间不能上网，双击任务栏中的本地连接图标，显示为已经连接，并且发现发送的数据包明显少于接收的数据包； 2).同一网段的所有上网机器均无法正常连接网络； 3).打开windows任务管理器，出现可疑进程，如“MIE0.dat”等进程； 4).如果是中了ARP欺骗病毒的话，病毒发作时除了会导致同一局域网内的其他用户出现时断时续外，还可能会窃取用户密码（如 QQ、网上银行以及其它脆弱系统帐号等），这是木马的惯用伎俩； 5).打开路由器的系统历史记录中看到大量的MAC更换信息。4.ARP地址欺骗的解决措施 1).指定ARP对应关系 2).使用杀毒软件进行病毒的扫描 3).编写一个批处理文件rarp.bat内容如下：echo off arp -darp -s 54 00-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和 MAC地址即可。将这个批处理软件拖到“windows-开始-程序-启动”中。5.预防措施辅助 1).立即更新操作系统，打上各种系统漏洞补丁；2).不要轻易共享各种文件夹，若不得不共享时，应设置好相应的权限，另外还可以限定只有指定的帐号或机器才能访问，文件夹最好不要设置成可写或可控制； 3).操作系统和各种帐号的密码不要设置为空，应该尽量为6位以上； 4).不要随便打开来历不明的电子邮件，尤其是打开邮件附件时要特别小心； 5).使用U盘等外来文件时，必须先对其进行病毒查杀，尽量控制病毒不进入网络系统； 6).做好重要、机密数据的备份工作，以免系统中毒后造成数据的丢失； 7).目前很多企业都可以上网，但不要轻易登陆不明网站，特别不要随意登陆需要输入自己银行帐号或手机及计算机系统帐号的不明网站，当进行网上交易时更要特别慎重； 8).加强企业员工的安全意识，经常组织各种计算机方面的培训，完善计算机使用和网络安全管理等各方面的制度，力争将病毒拒之网外。因特网安全概述随着Internel的发展和网上电子商务的繁荣，Internet已从最初的科研教育网络转变成了一个庞大的商业通信骨干网。越来越多的企业、部门和组织加入进来，新的应用领域不断扩展，很多企业都希望在Internet上开展自己的业务，而个人也希望Internet能提供更多的服务。由于人们对Internet的依赖性越来越强，Internet的安全性正成为人们关注的焦点。病毒的基本特征计算机病毒是人为制造的程序，它的运行是非法入侵。 随着操作系统的发展和Internet的流行，病毒技术的发展经历了由DOS向wirldows及Internet网络发展的过程。 DOS是一个安全性较差的操作系统，所以在DOS时代，计算机病毒的种类繁多。目前DOS病毒已经大大减少。一方面是基于DOS平台的软件越来越少，另一方面是DOS模式下的病毒基本上可以被杀毒软件检测出来。 伴随着Windows操作系统的出现，产生了大量基于windows平台的计算机病毒。Inter-net的出现和流行，使得病毒的传染途径更为多元化，而网络已成为最重要的病毒传播途径。7.1.1 常见的计算机病毒1木马病毒 木马病毒源于古希腊的特洛伊木马神话，它是把自己伪装在正常程序内部的病毒，这种病毒的伪装性强，通常使用户很难判断它到底是合法程序还是木马。木马病毒带有黑客性质坨有强大的控制和破坏能力，可窃取密码、控制系统、操作文件等。 木马由客户端和服务器端两个执行程序组成，客户端程序是攻击者向远程计算机植入木马的执行程序，以达到远程控制此计算机的目的；服务器程序是被植入的木马程序。木马的设计者为了防止木马被发现，采用多种手段隐藏木马。木马入侵目标计算机后，会把目标计算机的IP地址、木马端口等信息发送给入侵者，从而使入侵者利用这些信息来控制目标计算机。木马病毒的类型包括EXE文件执行类木马、进程插入式木马和Rootkit类木马。2宏病毒 宏是一系列由用户编写或录制的命令和指令，用来实现任务执行的自动化。 宏病毒是使用Word的VBA编程接口编写的具有病毒特征的宏集合。它的危害性大，以二进制文件加密压缩格式存入doc或dot文件中，它通过小文档或模板进行大量自我复制及传染。一旦运行宏病毒，相应的Normal模板会被传染，所有打开的word文档都会在自动保存时被传染。多数宏病毒包含AutoExe、AutoOpen和AutoNew等自动宏，通过这些自动宏，病毒取得文档(模板)操作权。宏病毒的种类很多，版本也各不相同，所以查杀各类宏病毒的关键是恢复文件参数。3蠕虫病毒 蠕虫病毒是一种能自我复制的程序，并能通过计算机网络进行传播，它消耗大量系统资源，使其他程序运行减慢甚至停止，最后导致系统和网络瘫痪。蠕虫病毒的传染目标是互联网内的所有计算机，其传播方式分为两类：一类是利用系统漏洞主动进行攻击，另一类是通过网络服务传播。4PE病毒 PE(Portable Exectltable)病毒是指所有感染windows操作系统中PE文件的病毒。PE病毒大多数采用win 32汇编语言编写。该病毒感染普通PE文件(如EXE文件)并把自己的代码加到EXE文件尾部，修改原程序的入口点以指向病毒体，PE病毒没有data段，变量和数据全部放在code段，病毒本身没有什么危害，但被感染的文件可能被破坏。5脚本病毒 脚本病毒通常是用JavaScript或者VBscript代码编写的恶意代码病毒。JavaScEipt脚本病毒通过网页进行传播，一旦用户运行了带有病毒的网页，病毒就会修改IE首页及注册表等信息，给用户使用计算机带来不便。 VBS脚本病毒是使用VBScript编写的，以宏病毒和新欢乐时光病毒为典型代表。VBS脚本病毒编写简单，破坏力大，感染力强。这类病毒通过htm文档、Email附件或其他方式传播，因此，其传播范围很大。6恶意网页病毒 网页病毒主要是利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML(超文本标记语言)内的Java Applet小应用程序、JavaScript脚本语言程序或ActiveX控件，强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源，盗取用户文件，或恶意删除硬盘文件、格式化硬盘。这种网页病毒容易编写，使用户防不胜防，最好的防范措施是选用有网页监控功能的杀毒软件。反病毒技术病毒的预防措施病毒的防范比病毒的防治更加重要，建立一套强大的防范机制可以大大提高系统的安全性。计算机病毒的预防分为管理方法上的预防和技术上的预防两种，在一定的程度上，这两种方法是相辅相成的。常用的预防措施如下：(1)使用比较强壮的密码。尽量选择难于猜测的密码，对不同的账号选用不同的密码。(2)经常备份重要数据。(3)不要打开来历不明的电子邮件。(4)正确配置系统，减少病毒入侵。充分利用系统提供的安全机制，提高系统防范病毒的能力。(5)定期检查敏感文件。对系统的敏感文件定期进行检查，保证及时发现已感染的病毒和黑客程序。(6)慎用软盘、光盘等移动存储介质。(7)定义浏览器安全设置，浏览网页时要谨慎，不要轻易下载ActiveX控件或Java脚本。(8)安装最新的操作系统、应用软件的安全补丁程序。(9)选择安装优秀的防病毒软件和防火墙，定期对整个硬盘进行病毒检测、清除工作。(10)当计算机不使用时，不要接入互联网，一定要断掉连接。(11)重要的计算机系统和网络一定要严格与互联网物理隔离。这种隔离包括离线隔离，即在互联网中使用过的系统不能再用于内网。7.4.2 常用的防病毒设置 1.禁止Windows的Scripting Host功能 为了有效防止脚本病毒在主机上运行，可以将Windows脚本文件类型删除，这个措施可以阻止sual Basic的脚本病毒的运行。双击“我的电脑”图标，在打开的窗口中选择工具文件夹选项命令，打开文件夹选项对话框，单击“文件类型”选项卡，选择WSH、 VBS、VBE、JS、JSE-WSF文件类型后单击删除按钮将其删除，如图7-1所示。图 7-1 禁止Scripting Host 功能2设置文件和文件夹的查看方式所有的Windows操作系统在默认情况下会隐藏已知文件类型的扩展名。这个特性可以被恶意程序编写者或黑客利用，将病毒程序用别的文件类型伪装起来。显示文件的扩展名的方法如下：在如图71所示的“文件夹选项”对话框中，单击“查看”选项卡，在“高级设置”列表框中取消选中“隐藏已知文件类型的扩展名”复选框，如图72所示。图 7-2 设置是否显示文件扩展名在设置文件夹的查看方式时，推荐用户使用Windows传统风格的文件夹。因为如果在文件夹中显示常见任务选项，其中会包含一些脚本代码。设置文件夹的查看方式为Windows传统风格的方法如下：在如图71所示的“文件夹选项对话框中，单击 “常规”选项卡，在“任务”选项区中选中“使用windows传统风格的文件夹”单选按钮，如图7-3所示。图 7-3 设置显示风格 3设置IE的安全级别 目前的很多病毒是随着用户浏览站点而下载的，所以进行IE的安全属性设置对维护系统安全非常关键。在默认情况下，IE的安全属性设置为“中”，但是某些病毒和恶意程序可以将这个选项改为低，从而导致病毒的侵入。建议用户至少将安全级别设为“中”，以降低被感染的几率。在中度安全级别下，当要运行一些包含不安全因素的程序时，IE会给出警告。设置IE安全级别的方法如下：右击IE浏览器图标，在弹出的快捷菜单中选择“属性”命令打开“Internet属性”对话框，单击“安全”选项卡，然后单击“默认级别”按钮，拖动滑动设置IE的安全级别，如图7-4所示。图 7-4 IE安全设置4Outlook 安全设置电子邮件是病毒的一个重要的传播源，所以如何设置邮件客户端软件的安全属性是关键。微软公司提供的电子邮件客户端软件包括Microsoft Outlook和Outlook Express，它们的功能基本相同，下面以Outlook Expressr的安全设置为例来介绍基本的电子邮件客户端软件的安全属性设置过程。打开Outlook 软件，选择“工具”“选项”，弹出“选项”对话框，单击“安全”选项卡，选择要使用的Internet Express的安全区域为“受限站点区域”，并选中“当别的应用程度试图用我的名义发送电子邮件时警告我”和“不允许保存或打开可能有病毒的附件”复选项，如图7-5所示。图 7-5 Outlook 安全设置关闭Outlook Express的预览窗口，因为预览窗口会自动打开邮件的附件，这将威胁到用户的计算机安全，所以关闭预览功能可以进行Outlook的安全维护。打开Outlook软件，选择“查看”“布局”命令，打开“窗口布局属性”对话框，取消选中“显示预览窗格”复选框，如图7-6所示。图 7-6 窗口布局属性设置5宏病毒保护设置宏病毒是目前系统中常见的病毒，由于Office办公系列软件的大量使用，导致宏病毒成为当前病毒的主要组成部分。目前，在微软公司的Office系列软件中可以对宏进行安全设置，在Word、Excel、PowerPoint中的设置方式相同。打开软件，选择“工具”“宏”“安全性”命令，弹出“安全性”对话框，在“安全级”选项卡中设置宏的安全级别为“非常高”，如图77所示，这样系统就可以禁止运行来历不名的宏，从而有效阻止宏病毒。图 7-7 宏病毒保护设置6安装最新系统安全补丁操作系统的安全漏洞成为病毒的一大攻击口，所以经常对系统进行自动更新可以及时安装补丁程序，更新安全补丁可以阻止黑客或某些恶意程序利用已知的安全漏洞对系统进行攻击。设置方法是：在桌面上右击“我的电脑”图标，在弹出的快捷菜单中选择“属性”命令，弹出“系统属性”对话框，单击“自动更新”选项卡，如图78所示，在该选项卡中，用户可以决定系统的更新方式。当然，用户也可以从操作系统提供的更新站点下载并更新数据。图 7-8 系统更新设置7设置安全密码在操作系统和应用软件中，设置强壮的安全密码是非常必要的，一个强壮的安全密码，其长度至少应该为8位，至少同时有大小写字母，至少含有数字或符号字符。设置的密码不应该具有规律性，比如常见的单词，这些将很容易被破解。例如Bh_42qqwK_4J1就是一个比较强壮的密码。常见的病毒检测方法目前，计算机病毒技术与计算机反病毒技术的矛盾越来越尖锐。病毒的危害使用户防不胜防，稍有不慎，病毒就会给用户造成严重后果。对计算机病毒的防范首先应该杜绝它的传染途径，对存储介质和网络都进行实时监控；其次要安装优秀的杀毒软件和防火墙，对系统时常进行扫描和病毒清除；同时还要建立系统备份和还原机制，以备不测。病毒处理的步骤 计算机病毒的处理包括防毒、查毒、杀毒3个方面。病毒处理存在的问题1漏报由于病毒技术的不断变化，很多未知新病毒、病毒变异、多形性病毒或者隐形病毒都将不能被杀毒软件检测到。由于病毒的特征码不断改变，压缩文件方式多样，病毒体加密解密方式改变(如循环加密等)，病毒采用反跟踪技术和迷惑技术，内存高端和XMSEMS区驻留，病毒技术避开检测技术等，漏报是病毒检测中经常见到的现象，所以只有不断地升级杀毒系统的病毒库文件，隔一段时间应该重新进行系统的安全扫描。2误报误报指的是把正常的系统文件报成病毒。由于杀毒软件的病毒特征码选择不合理，导致正常操作与非正常操作不能区分、判断失误，检测技术错误或者不妥，有时可能由于特殊干扰而导致杀毒软件做出错误推测。3错报错报指的是将一种病毒错报成另一种病毒。由于病毒的特征码交叉，病毒交叉感染、重复感染、病毒欺骗等往往会导致错报。对杀毒系统而言，少许的漏报和误报是允许的，而错报可能会带来一定问题，但误报率超过一定限度，就会使用户对反病毒软件的质量与可靠性产生怀疑。常用的杀毒软件国外的杀毒软件目前，市场上的杀毒软件产品琳琅满目，国外的杀毒软件在国内拥有很大的用户群。Toptenreviews已经发布了2008年度的世界杀毒软件排名，图7-9所示的是Toptenreviews站点上的杀毒软件排名。图 7-9 2008 世界杀毒软件排名1BitDefendrBitDefendr是罗马尼亚出品的杀毒软件，它有24万种病毒的超大病毒库，为用户的计算机提供最大可能的保护，具有功能强大的反病毒引擎以及互联网过滤技术。2KasperskyKaspersky (卡巴斯基)杀毒软件来源于俄罗斯，是世界上顶级的网络杀毒软件，卡巴斯基杀毒；软件具有超强的中心管理和杀毒通知。它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构用户的抗病毒分离墙。3ESET Nod32ESET Nod32是ESET公司出品的优秀杀毒软件，它在全球共获得40多个奖项，可以对邮件进行实时监测，占用内存资源较少，清除病毒的速度和效果都令人满意。4PC-cillinPC-cillin是美国趋势科技公司出品的优秀杀毒软件。PCcillin集个人防火墙、防病毒、防垃圾邮件等功能于一体，最大限度地提供对桌面机的保护，并不需要用户进行过多的操作。5F-Secure Anti-VirusF-Sectlre Antrus是芬兰出品的杀毒软件，它集合AVP、LIBRA、ORION和DRACO共4套杀毒引擎。该软件采用分布式防火墙技术，对网络流行病毒的查杀尤其有效。6McAfee VirllsScanMcAfee VirusScan是全球最畅销的杀毒软件之一，McAfee防毒软件除了操作界面比较新颖外，也将该公司的webScanX功能合在一起，杀毒性能稳定，操作方便。7Norton AntiVirusNorton AntiVirus是Symantec公司出品的优秀杀毒软件，它可帮助用户侦测上万种已知和未知的病毒。8AVG Anti-VirusAVG Anti-Virus system在功能上相当完善，可及时对任何存取文件侦测，防止计算机感染病毒。9CA AntivirusCA AntiVirus是CA公司出品的面向中小型企业及SOHO用户的反病毒软件。该产品杀毒功能强大，操作简单。10Norilian Virus ControlNorman Virus Control是欧洲名牌杀毒软件，它结合了先进的病毒扫描引擎、启发式分析技术以及宏验证技术，可有效查杀已知和未知病毒。7.5.2 国内的杀毒软件1金山毒霸金山毒霸是金山软件股份有限公司开发的高智能反病毒软件。金山毒霸独创双引擎杀毒技术，内置金山自主研发的杀毒引擎和俄罗斯著名杀毒软件DrWeb杀毒引擎，融合了启发式搜索、代码分析、虚拟机查毒等经业界证明已经成熟可靠的反病毒技术，使其在查杀病毒种类、查杀病毒速度、未知病毒防治等多方面达到世界先进水平。2江民杀毒软件江民杀毒软件是北京江民新科技术有限公司开发的计算机病毒处理软件。江民杀毒软件可有效清除20多万种的已知计算机病毒、蠕虫、木马、黑客程序、网页病毒、邮件病毒、脚本病毒等，可全方位主动防御未知病毒，并新增了流氓软件清理功能。3瑞星杀毒软件瑞星杀毒软件是北京瑞星科技股份有限公司出品的反病毒软件，它用于对已知病毒和黑客程序进行查找、实时监控和清除，恢复被病毒感染的文件或系统，保护计算机系统的安全。它能全面清除感染DOS、Windows系统的病毒以及危胁计算机安全的黑客程序，目前的最新版本是瑞星2008。瑞星杀毒软件的更新速度非常快，几乎每天都有新的升级包。4东方卫士东方卫士是世纪长捷公司开发的免费杀毒软件，具有超强的易用性和实用性。东方卫士采用独创的自免疫智能反毒系统，通过对系统软件正常运行状态的记录，禁止病毒进行诸如复制、删除、格式化硬盘、破坏分区表、降低系统性能等操作，通过冻结病毒的传播和破坏两种特性，使病毒的隐蔽性发挥不了作用，能在完全不知病毒代码的情况下，解除新病毒及未知病毒的威胁，有效遏制各种病毒的传播。实例解析【实例7-1】了解冲击病毒并给出手清除的方法。 解析1毒感染特征如果计算机感染了冲击波克星病毒，在任务管理器中会发现DLLhost.exe和ms-blast.exe进程，计算机会莫名其妙地死机或重新启动；IE浏览器不能正常使用。2清除的办法手动清除的步骤如下：(1)染病毒的计算机从网络中断开。(2)在“控制面板”中打开“管理工具”窗口，然后打开“服务”窗口，在窗口右侧的列框中单击WebClicent选项，然后单击“停止”按钮，并将启动类型改为“禁用”，如图7-19所示，最后单击“确定”按钮。图 7-19 WebClient 的属性设置(3)使用上一步骤中同样的方法停止Network Connections服务，并将启动类型改为“禁用”，如图7-20所示。图 7-20 Network Connections 的属性设置(4)找到系统中所有的DLLhost.exe和svchost.exe文件，将其删除，如果在Windows系统中删除不了，转入DOS环境中的删除该文件。(5)安装操作系统补丁文件。补丁下载地址为：http：/wwwMicrosoftcom chinna/secu-rity/Bulletins/MS03-026.asp。【实例7-2】 了解“熊猫烧香”病毒并给出手动清除的办法。解析1病毒感染特征“熊猫烧香”是由Delphi工具编写的蠕虫病毒，它可以终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为gho的文件，使用户无法使用GllOSt软件恢复操作系统。“熊猫烧香”病毒感染系统的.exe、.com、.pif、.src、.html和.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。“熊猫烧香”病毒在硬盘各个分区中生成aitpruninf和setup.exe文件，可以通过U盘和移动硬盘等方式进行传播，利用windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。2手动清除办法手动清除的步骤如下：(1)打开“开始”菜单，选择“运行”命令，在打开的“运行”对话框中输入ntsd-cq-pn spo-clsvexe后按回车键结束病毒的进程。(2)运行regedit.exe，打开注册表编辑器。找到HKEY_LOCAL_MACHlNESOFT-WAREMicrosoftWindowsCurrentVersionExplotrerAdvancedFolderHiddenSHOWALL一项，将CheckedValue改成1。打开HKEY-CURRENT-USERSoftwareMi-crosoftWindowskCurrentVersiorlRun，将Svcshare的项目删除。(3)双击“我的电脑图标，在打开的窗口中选择“工具”“文件夹选项”命令，在打开的对话框中单击“查看”选择卡，取消选中“隐藏受保护的操作系统文件”复选框，并在“隐藏文件和文件夹”中选中“显示所有文件和文件夹”复选框，同时取消选中“隐藏已知类型文件的扩展名”复选框，最后单击“确定”按钮。在硬盘的各个分区的图标上右击，在弹出的快捷菜单中选择“打开”命令，切忌直接双击打开。删除根目录下的setup.exe(图标为“熊猫烧香”)和auto-run.inf文件。 (4)进入系统目录下的drivers目录，默认为C：windowssystem32drivers，将该目录中的spoclsvexe文件删除。重新启动计算机，检查这几个文件是否存在，如果不存在，则病毒已被清除干净。 如果上面的删除文件过程在Windows操作系统中不能进行，可以转入DOS模式进行。对于隐藏的文件，应该先使用attrib命令更改隐藏文件的属性，然后使用delete命令删除病毒文件。一招让你的电脑百毒不侵如果大家使用的是Windows 2K或Windows XP，那么教大家一招克就能死所有病毒! 从此上网可安心了，不再怕中毒！ 如果你是新装的系统(或者是你能确认你的系统当前是无毒的)，那就再好不过了，现在就立即就打开：“开始程序管理工具计算机管理本地用户和组用户” 吧!首先就是把超级管理员密码更改成十位数以上，然后再建立一个用户，把它的密码也设置成十位以上并且提升为超