安全生产_信息安全基础知识培训课程

信息安全基础知识1. 了解信息安全基本概念信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。 信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 2. 了解网络安全主要概念及意义网络的安全是指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。 网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”，安全问题刻不容缓。3.了解安全隐患的产生原因、类型区别（被动攻击，主动攻击等）产生安全隐患的产生原因:1.网络通信协议的不安全2.计算机病毒的入侵3.黑客的攻击4操作系统和应用软件的安全漏洞5.防火墙自身带来的安全漏洞分类：分为主动攻击 和被动攻击 主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口25找出公司运行的邮件服务器的信息；伪造无效IP地址去连接服务器，使接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者 是在主动地做一些不利于你或你的公司系统的事情。正因为如此，如果要寻找他们是很容易发现的。主动攻击包括 拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。 被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。从攻击的目的来看，可以有拒绝服务攻击(Dos)、获取系统权限的攻击、获取敏感信息的攻击；从攻击的切入点来看，有缓冲区溢出攻击、系统设置漏洞的攻击等；从攻击的纵向实施过程来看，又有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击等；从攻击的类型来看，包括对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等4.了解安全分类（技术缺陷，配置缺陷，策略缺陷，人为缺陷等）技术缺陷： 现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的，它只能相应地在一定程度上解决这一个或几个方面的网络安全问题，无法防范和解决其他的问题，更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题，但却无法防止确认的用户之间传递的信息是否安全的问题，而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害，但却无法识别和确认网络上用户的身份等等。 现有的各种网络安全技术中，防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙，状态检测包过滤防火墙和应用层代理防火墙，但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时，防火墙还存在着一些弱点：一、不能防御来自内部的攻击：来自内部的攻击者是从网络内部发起攻击的，他们的攻击行为不通过防火墙，而防火墙只是隔离内部网与因特网上的主机，监控内部网和因特网之间的，而对内部网上的情况不作检查，因而对内部的攻击无能为力；二、不能防御绕过防火墙的攻击行为：从根本上讲，防火墙是一种被动的防御手段，只能守株待兔式地对通过它的数据报进行检查，如果该数据由于某种原因没有通过防火墙，则防火墙就不会采取任何的措施；三、不能防御完全新的威胁：防火墙只能防御已知的威胁，但是人们发现可信赖的服务中存在新的侵袭方法，可信赖的服务就变成不可信赖的了；四、防火墙不能防御数据驱动的攻击：虽然防火墙扫描分析所有通过的信息，但是这种扫描分析多半是针对IP地址和端口号或者协议内容的，而非数据细节。这样一来，基于数据驱动的攻击，比如病毒，可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。 入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重，它不能称之为一个可以信赖的安全工具，而只是一个参考工具。 配置缺陷： 于交换机和路由器而言，它们的主要作用是进行数据的转发，因此在设备自身的安全性方面考虑的就不是很周全。在默认的情况下，交换机和路由器的许多网络服务端口都是打开的，这就是等于为黑客预留了进入的通道策略缺陷：计算机信息安全问题主要在于信息技术和管理制度两个方面，所以相应的安全防范策略也必须从达两个方面人手，形成技术与管理、操作与监管并行的系统化安全保障体系。人为缺陷： 人为攻击是指通过攻击系统的弱点，以便达到破坏、 欺骗、窃取数据等目的，使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害，造成经济上和政治上不可估量的损失。人为攻击又分为偶然事故和恶意攻击两种。偶然事故虽然没有明显的恶意企图和目的，但它仍会使信息受到严重破坏。恶意攻击是有目的的破坏。恶意攻击又分为被动攻击和主动攻击两种。被动攻击是指在不干扰网络信息系统正常工作的情况下，进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等。主动攻击是指以各种方式有选择地破坏信息，如修 改、删除、伪造、添加、重放、乱序、冒充、制造病毒等。5.了解网络安全的实现目标和主要技术措施在网络安全领域，攻击随时可能发生，系统随时可能崩溃，因此必须一年365天、一天24小时地监视网络系统的状态。这些工作仅靠人工完成是不可能的。所以，必须借助先进的技术和工具来帮助企业完成如此繁重的劳动，以保证计算机网络的安全。计算机网络的安全性主要包括网络服务的可用性（Availability）、网络信息的保密性（Confidentiality）和网络信息的完整性（Intergrity）。下面把与之相关的几个重要的网络安全技术做一下介绍。杀毒软件与一般单机的杀毒软件相比，杀毒软件的网络版市场更多是技术及服务的竞争。其特点表现在：首先，杀病毒技术的发展日益国际化。世界上每天有13种到50种新病毒出现，并且60%的病毒均通过Internet传播，病毒发展有日益跨越疆界的趋势，杀病毒企业的竞争也随之日益国际化。其次，杀毒软件面临多平台的挑战。一个好的企业级杀病毒软件必须能够支持所有主流平台，并实现软件安装、升级、配置的中央管理及自动化，要达到这样的要求需要大量工程师几年的技术积累。第三，杀毒软件面临着Internet的挑战。好的企业级杀病毒软件要保护企业所有的可能病毒入口，也就是说要支持所有企业可能用到的Internet协议及邮件系统，能适应并且及时跟上瞬息万变的Internet时代步伐。现今60%以上的病毒是通过Internet传播，可以说Internet的防毒能力成为杀病毒软件的关键技术，在这方面，国际的杀毒软件如： Norton、McAfee、熊猫卫士走到了前面，它们均可以支持所有的Internet协议，辨识出其中病毒。当前国内正从杀病毒软件的单机应用逐步过渡到企业级的防护，企业防病毒软件的市场无疑将越来越大。企业级用户会更多考虑如何保护自身的数据、程序，对技术、服务和管理的要求比较高。国内大部分的杀毒软件目前在价格和对本土病毒的查杀能力两个方面存在着优势，但在企业级的某些特殊性能上存在差距。例如管理方面，一个企业要管理1000台机器，Norton的SRC有一台管理器就可以处理，它可以自动分发，自动安装到所有机器里，使管理人员节省很多时间，减少重复劳动。另外，企业级需要更安全的保护，现在政府上网、企业上网都会遇到很多国际病毒，国内部分厂商在这些方面尚待改进。防火墙网络安全中系统安全产品使用最广泛的技术就是防火墙技术，即在Internet和内部网络之间设一个防火墙。目前在全球连入Internet的计算机中约有三分之一是处于防火墙保护之下。对企业网络用户来说，如果决定设定防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略，即确定什么类型的信息允许通过防火墙，什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络之间交流的数据进行检查，符合的予以放行，不符合的拒之门外。防火墙的技术实现通常是基于所谓包过滤技术，而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中，包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有：包的源地址、包的目的地址、连接请求的方向（连入或连出）、数据包协议（如TCP/IP等）以及服务请求的类型（如ftp、www等）等。除了基于硬件的包过滤技术，防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用，现在的防火墙则逐渐集成了信息安全技术中的最新研究成果，一般都具有加密、解密和压缩、解压等功能，这些技术增加了信息在互联网上的安全性。现在，防火墙技术的研究已经成为网络信息安全技术的主导研究方向。当然，网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的，对防火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全，一方面却使内部网络与外部网络的信息系统交流受到阻碍，因此必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流，这样不仅增大了网络管理开销，而且减慢了信息传递速率。针对这个问题，近期，美国网屏（NetScreen）技术公司推出了第三代防火墙，其内置的专用ASIC处理器用于提供硬件的防火墙访问策略和数据加密算法的处理，使防火墙的性能大大提高。需要说明的是，并不是所有网络用户都需要安装防火墙，一般而言，只有对个体网络安全有特别要求，而又需要和Internet联网的企业网、公司网，才建议使用防火墙。另外，防火墙只能阻截来自外部网络的侵扰，而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。加密技术网络安全的另一个非常重要的手段就是加密技术，它的思想核心就是既然网络本身并不安全可靠，那么所有重要信息就全部通过加密处理。加密的技术主要分两种：单匙技术这种技术无论加密还是解密都是用同一把钥匙（secret key）。这是比较传统的一种加密方法。发信人用某把钥匙将某重要信息加密，通过网络传给收信人，收信人再用同一把钥匙将加密后的信息解密。这种方法快捷简便，即使传输信息的网络不安全，被别人截走信息，加密后的信息也不易泄露。但这种方法也存在一个问题，即如果收信者和发信者不在同一地理位置，那么他们必须确保有一个安全渠道来传送加密钥匙。但是如果确实存在这样一个安全渠道（如通过信差、长途电话等等），他们又何必需要加密呢？后来出现的双匙技术解决了这个难题。双匙技术此技术使用两个相关互补的钥匙：一个称为公用钥匙（public key），另一个称为私人钥匙（secret key）。公用钥匙是大家被告知的，而私人钥匙则只有每个人自己知道。发信者需用收信人的公用钥匙将重要信息加密，然后通过网络传给收信人。收信人再用自己的私人钥匙将其解密。除了私人钥匙的持有者，没有人-即使是发信者-能够将其解密。公用钥匙是公开的，可以通过网络告知发信人（即使网络不安全）。而只知道公用钥匙是无法导出私人钥匙的。现有软件如Internet免费提供的PGP（Pretty Good Privacy）可直接实现这些功能。加密技术主要有两个用途，一是加密信息，正如上面介绍的；另一个是信息数字署名，即发信者用自己的私人钥匙将信息加密，这就相当于在这条消息上署上了名。任何人只有用发信者的公用钥匙，才能解开这条消息。这一方面可以证明这条信息确实是此发信者发出的，而且事后未经过他人的改动（因为只有发信者才知道自己的私人钥匙）；另一方面也确保发信者对自己发出的消息负责，消息一旦发出并署了名，他就无法再否认这一事实。如果既需要保密又希望署名，则可以将上面介绍的两个步骤合并起来。即发信者先用自己的私人钥匙署名再用收信者的公用钥匙加密，再发给对方。反过来收信者只需用自己的私人钥匙解密，再用发信者的公用钥匙验证签名。这个过程说起来有些繁琐，实际上很多软件都可以只用一条命令实现这些功能，非常简便易行。在网络传输中，加密技术是一种效率高而又灵活的安全手段，值得在企业网络中加以推广。目前，加密算法有多种，大多源于美国，但是大多受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国数据加密标准DES。近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。除了上面介绍的几种之外，还有一些被广泛应用的网络安全技术，在此做一个简单介绍。身份验证身份验证是一致性验证的一种, 验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术，现在也仍在广泛应用，它是互联网上信息安全的第一道屏障。存取控制存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面, 主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一，它一般与身份验证技术一起使用，赋予不同身份的用户以不同的操作权限，以实现不同安全级别的信息分级管理。数据完整性完整性证明是在数据传输过程中，验证收到的数据和原来数据之间保持完全一致的证明手段。检查是最早采用数据完整性验证的方法，它虽不能保证数据的完整性，只起到基本的验证作用，但由于它的实现非常简单（一般都由硬件实现），现在仍广泛应用于网络数据的传输和保护中。近几年来研究比较多的是数字签名等算法，它们虽可以保证数据的完整性，但由于实现起来比较复杂，系统开销比较大，一般只用于完整性要求较高的领域，特别是商业、金融业等领域。安全协议安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本因素。一个较为完善的内部网和安全保密系统,至少要实现加密机制、验证机制和保护机制。需要强调的是，网络安全是一个系统工程，不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面，既有层次上的划分、结构上的划分，也有防范目标上的差别。在层次上涉及到网络层的安全、传输层的安全、应用层的安全等；在结构上，不同节点考虑的安全是不同的；在目标上，有些系统专注于防范破坏性的攻击，有些系统是用来检查系统的安全漏洞，有些系统用来增强基本的安全环节（如审计），有些系统解决信息的加密、认证问题，有些系统考虑的是防病毒的问题。任何一个产品不可能解决全部层面的问题，这与系统的复杂程度、运行的位置和层次都有很大关系，因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统，既有技术的因素，也包含人的因素。用户需要根据自己的实际情况选择适合自己需求的技术和产品。按照前面提到的计算机网络的安全性内容，整个网络安全产品可划分为系统安全产品和数据安全产品。其中系统安全产品可分为防病毒类产品（杀毒软件）、防火墙类产品和其他防攻击类产品等；而数据安全产品可分为密码6.了解信息安全的主要表现形式（蠕虫或病毒扩散，垃圾邮件泛滥，黑客行为，信息系统脆弱性，有害信息的恶意传播）电脑病毒电脑病毒的种类 电脑病毒一般分类如下： 开机磁区病毒 档案型病毒 巨集病毒 其他新种类的病毒 资料由香港特别行政区政府资讯科技署提供 开机磁区病毒在九十年代中期以前，开机磁区病毒是最常见的病毒种类。这种病毒藏於已受感染的硬磁碟机的主开机磁区，或磁碟操作系统开机磁区内。当软磁碟插入已受感染的个人电脑时，病毒便会把软磁碟开机磁区感染，藉此把病毒扩散。 使用受感染的软磁碟进行启动程序时，电脑便会受到感染。在启动电脑的过程中，基本输入输出系统会执行驻於软磁碟开机磁区的病毒编码，因此系统便改为受病毒控制。病毒控制了电脑系统后，便会把病毒编码写入硬磁碟的主开机磁区。之后，便会恢复正常的启动程序。从用户的角度来看，一切情况似乎与正常无异。 日后启动电脑时，驻於受感染的主开机磁区的病毒便会启动执行。因此，病毒会进入记忆体，并可随时感染其他经使用的软磁碟。 主开机磁区是硬磁碟的第一个磁区，这个磁区载有执行操作系统的分割控制表及编码。主开机磁区后的16个或以上的磁区通常是空置不用的。 硬磁碟机最多可分割为4个储存分区，而磁碟操作系统的扩展分区可细分为多个逻辑驱动器。 每个分区的第一个磁区便是开机磁区，这个磁区包含载入分区的操作系统的资料及编码。 软磁碟没有主开机磁区。以标准磁碟操作系统格式进行格式化后的软磁碟，在结构上与硬磁碟的磁碟操作系统分区相同。档案型病毒 档案型病毒是一种依附在档案内，经由程式档而非资料档扩散的病毒。电脑在执行受感染的程式时，便会受到感染。这些受感染的程式可能经由软磁碟、唯读光碟、网络及互联网等途径传播。在执行受感染的程式后，随附的病毒便会立即感染其他程式，或可能成为一个常驻程式，以便在日后感染其他程式。在完成这些步骤后，病毒便会恢复执行原本的正常程式。因此，用户在执行受感染的程式时，不易发觉有任何异常的情况。档案型病毒一般会感染有特定副档名的档案。副档名为COM、EXE及SYS的档案，均是常见的病毒感染对象。巨集病毒 一九九五年七月，一种新的电脑病毒被人发现，立即使电脑界大感震惊。这种新的病毒称为巨集病毒，它与一直以来出现的病毒不同，可感染资料档而非执行档。其实，这并非一种新的概念，因为有关以巨集语言编写病毒的可行性的研究，始於八十年代后期。在Word程式出现的巨集病毒可以在多个不同的操作平台活动，而且，只要电脑的Word程式是支援Word 档案格式的话，便有机会受到感染。换言之，无论使用的是OS/2或Windows版本的Word程式，或是个人电脑或麦金塔(Macintosh)电脑，也可能受到巨集病毒的感染。 其他新种类的病毒 病毒和抗御病毒技术不断转变，日新月异。随著电脑用户使用新的操作平台电脑技术，编写病毒的人也会随之而发展新病毒，再作扩散。下文列出部分可能出现新病毒种类的新操作平台电脑技术： Java ActiveX Visual Basic (VB) Script HTML Lotus Notes Java Java 病毒一直是一个富争议的话题：究竟可否编写Java 病毒？Java 病毒可否在电脑之间或经由互联网扩散？以上问题，均曾在不同的新闻组进行讨论。由於Java微应用程式的设计是在受控的环境 (称为sandbox) 内执行，接触不到电脑的档案或网络的接驳，因此，Java病毒在电脑之间扩散的可能性极低。 但由於 Java 亦像其他标准的程式一样，可让开发人员建立可控制整个系统的应用程式，故Java 病毒有其产生及存在的空间。 第一种被发现以Java电脑程式开发语言为本的病毒称为 Java.StrangeBrew。 首次发现日期是一九九八年九月，会感染属Java类别的档案。但这种病毒只会影响独立的Java应用程式档案，以微应用程式执行的档案则不受感染。虽然Java应用程式并不常见， Java.StrangeBrew病毒的扩散也只属於初步阶段，但这种病毒的影响实在不容忽视。随著Java 应用程式日趋普及，预料Java 病毒的种类也会逐渐增加。 ActiveX 跟Java的情况一样，ActiveX 被视为将会受病毒入侵的操作平台。若就设计方面将两者比较，在 ActiveX 扩散病毒的机会较Java为大。基本上，ActiveX 是 Object Linking and Embedding (OLE) 的精简版本，会直接接触电脑的 Windows 系统，因此可连接到任何的系统功能。此外，ActiveX 的用户并非只局限於MS Internet Explorer的用户；现在，Netscape Navigator的附加程式(plug-in)也可使用这种技术。相比之下，Java是在受控的环境下执行，或经由一个名为Java Virtual Machine的程式才可执行，因此可使Java与操作系统的各项服务隔开。 Visual Basic (VB) Script 过去， 编写病毒的人若要成功编写一种可感染其他电脑的病毒，必须对电脑的基本操作具备相当程度的知识。但随著 Microsoft Office 内巨集的出现，编写病毒的工具已准备就绪，而编写的人毋须具备很多资讯科技知识也能胜任。同样，VB Script 病毒所发挥作用的操作环境很快便会普及，扩散也甚为容易。 VB Script 病毒已对电脑用户构成真正威胁。微软公司的原意是包括一种功能强大而易於使用的语言以便轻易取用 Windows 98NT 系统内的资源。VB Script 是以人类可阅读的方式编写，所以易於明白。正是这个原因，很多并没有具备高深资讯科技知识的编写病毒的人也可侵入这个领域。 以 VB Script 编写的程式的第一代病毒藏在以 HTML 编写的网页内，经由互联网扩散开去。现时散播力强的 VB Script 编写的病毒通常以寄发电子邮件的方式扩散，按用户地址册所列的电邮地址把病毒程式一同寄出。用户执行附件中的程式时，便会帮助病毒扩散。 超文本标示语言（英文简称HTML） 藉由 HTML 扩散的病毒是另一个在互联网上引起广泛讨论的话题。有人甚至声称宣告已发明发现首只属 HTML 种类的病毒。HTML 是一种控制网页设计的编写语言。本来，纯 HTML 是不会受到感染， 因此，只支援 HTML 的浏览器也不会有受病毒感染的危险。所谓HTML 病毒出现的机会实在微乎其微。因此，真正的威胁并非来自浏览互联网的网页，而是来自从互联网下载已感染病毒编码的程式并加以执行。 但现时的浏览器大部分都支援其他编写网页的语言，而所谓的HTML 病毒通常会利用这些编写文本的语言进行扩散。在文本内的病毒通常会藉著网页感染电脑，VBS.Offline 便是一个典型的例子。目前，最普遍的文本病毒便是刚讨论过的 VB Script 病毒。 otus Notes Lotus Notes 用户众多，会是编写病毒的人针对的软件。虽然目前尚未发现本机的 Lotus Notes 病毒，但在 Lotus Notes 数据库内的 rich-text 字段却提供了可供传统病毒(例如：档案型病毒及巨集病毒)驻存的地方。因为有关记录曾进行压缩，所以一般抗御病毒软件不能侦测在 Notes 数据库内的病毒。为防范电脑病毒入侵 Notes 的操作环境，我们建议用户安装专为 Notes 软件而编制的抗御病毒软黑客行为现在攻击个人电脑的木马软件很多，功能比以前多了，使用也比以前方便多了，所以危害也比以前大了，很多人中了木马自己还不知道，要想使自己的电脑安全，就好扎好自己的篱笆，看好自己的门，电脑也有自己的门，我们叫它端口.端口你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCPIP协议，任何网络软件的通讯都基于TCPIP协议。如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出，TCPIP协议规定，电脑可以有256乘以256扇门，即从0到65535号“门”，TCPIP协议把它叫作“端口”。当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的。黑客不是神仙，他也是通过端口进入你的电脑通过端口进入你的电黑客是怎么样进入你的电脑的呢？当然也是基于TCPIP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录，那么黑客就可以通过139端口进入你的电脑，注意！WINDOWS有个缺陷，就算你的共享目录设置了多少长的密码，几秒钟时间就可以进入你的电脑，所以，你最好不要设置共享目录，不允许别人浏览你的电脑上的资料。除了139端口以外，如果没有别的端口是开放的，黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢？答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马，你的电脑的某个端口就会开放，黑客就通过这个端口进入你的电脑。举个例子，有一种典型的木马软件，叫做netspy.exe。如果你不小心运行了netspy.exe，那么它就会告诉WINDOWS，以后每次开电脑的时候都要运行它，然后，netspy.exe又在你的电脑上开了一扇“门”，“门”的编号是7306端口，如果黑客知道你的7306端口是开放的话，就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵，不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件，所以不借助软件，是不知道特洛伊木马的存在和黑客的入侵。接下来，就来说利用软件如何发现自己电脑中的木马.如何发现自己电脑中的木马再以netspy.exe为例，现在知道netspy.exe打开了电脑的7306端口，要想知道自己的电脑是不是中netspy.exe，只要敲敲7306这扇“门”就可以了。你先打开CWINDOWSWINIPCFG.EXE程序，找到自己的IP地址（比如你的IP地址是0），然后打开浏览器，在浏览器的地址栏中输入 http10.10.10.，如果浏.?查找木马.进一步查找木马让我们做一个试验：netspy.exe开放的是7306端口，用工具把它的端口修改了，经过修改的木马开放的是7777端口了，现在再用老办法是找不到netspy.exe木马了。我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着，并且再分析这些开放的端口。 前面讲了电脑的端口是从0到65535为止，其中139端口是正常的，首先找个端口扫描器，推荐“代理猎手”，你上网以后，找到自己的IP地址，现在请关闭正在运行的网络软件，因为可能开放的端口会被误认为是木马的端口，然后让代理猎手对0到65535端口扫描，如果除了139端口以外还有其他的端口开放，那么很可能是木马造成的。 排除了139端口以外的端口，你可以进一步分析了，用浏览器进入这个端口看看，它会做出什么样的反映，你可以根据情况再判断了。 扫描这么多端口是不是很累，需要半个多小时，Tcpview.exe可以看电脑有什么端口是开放的，除了139端口以外，还有别的端口开放，你就可以分析了，如果判定自己的电脑中了木马，那么，你就得在硬盘上删除木马.在硬盘上删除木马最简单的办法当然是用杀毒软件删除木马了，Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马，但是不能删除netbus木马。 下面就netbus木马为例讲讲删除的经过。 简单介绍一下netbus木马，netbus木马的客户端有两种，开放的都是12345端口，一种以Mring.exe为代表（472,576字节），一种以SysEdit.exe为代表（494,592字节）。 Mring.exe一旦被运行以后，Mring.exe就告诉WINDOWS，每次启动就将它运行，WINDOWS将它放在了注册表中，你可以打开CWINDOWSREGEDIT.EXE进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后删除这个健值，你再到WINDOWS中找到Mring.exe删除。注意了，Mring.exe可能会被黑客改变名字，字节长度也被改变了，但是在注册表 中的位置不会改变，你可以到注册表的这个位置去找。 另外，你可以找包含有“netbus”字符的可执行文件，再看字节的长度，我查过了，WINDOWS和其他的一些应用软件没有包含“netbus”字符的，被你找到的文件多半就是Mring.exe的变种。 SysEdit.exe被运行以后，并不加到WINDOWS的注册表中，也不会自动挂到其他程序中，于是有人认为这是无害的木马，其实这是最可恶、最阴险的木马。别的木马被加到了注册表中，你就有痕迹可查了，就连专家们认为最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。 而SysEdit.exe要是挂在其他的软件中，只要你不碰这个软件，SysEdit.exe也就不发作，一旦运行了被安装SysEdit.exe的程序，SysEdit.exe也同时启动了。我们再来作做这样一个实验，将SysEdit.exe和CWINDOWSSYSTEMAbcwin.exe捆绑起来，Abcwin.exe是智能ABC输入法，当我开启电脑到上网，只要没有打开智能ABC输入法打字聊天，SysEdit.exe也就没有被运行，你就不能进入我的12345端口，如果我什么时候想打字了，一旦启动智能ABC输入法（Abcwin.exe），那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了，我的12345端口被打开，别人就可以黑到我的电脑中来了。同样道理，SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上，甚至可以捆绑到拨号工具上，电脑中的几百的程序中，你知道会在什么地方发现它吗？所以我说这是最最阴险的木马，让人防不胜防。 有的时候知道自己中了netbus木马，特别是SysEdit.exe，能发现12345端口被开放，并且可以用netbus客户端软件进入自己的电脑，却不知道木马在什么地方。这时候，你可以检视内存，请打开CWINDOWSDRWATSON.EXE，然后对内存拍照，查看“高级视图”中的“任务”标签，“程序”栏中列出的就是正在运行的程序，要是发现可疑的程序，再看“路径”栏，找到这个程序，分析它，你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面，但是在CWINDOWSDRWATSON.EXE中还是暴露了。 好了，来回顾一下，要知道自己的电脑中有没有木马，只要看看有没有可疑端口被开放，用代理猎手、Tcpview.exe都可以知道。要查找木马，一是可以到注册表的指定位置去找，二是可以查找包含相应的可执行程序，比如，被开放的端口是7306，就找包含“netspy”的可执行程序，三是检视内存，看有没有可以的程序在内存中。 你的电脑上的木马，来源有两种，一种是你自己不小心，运行了包含有木马的程序，另一种情况是，“网友”送给你“好玩”的程序。所以，你以后要小心了，要弄清楚了是什么程序再运行，安装容易排除难呀。nbsp; 排除了木马以后，你就可以监视端口，- 悄悄等待黑客的来临.信息的脆弱性信息系统本身由于系统主体和客体的原因可能存在不同程度的脆弱性，就为各种动机的攻击提供了入侵、骚扰或破坏信息系统的途径和方法。所谓信息系统的脆弱性，是指信息系统的硬件资源、通信资源、软件及信息资源等，因可预见或不可预见甚至恶意的原因而可能导致系统受到破坏、更改、泄露和功能失效，从而使信息系统处于异常状态，甚至崩溃瘫痪等。具体分析如下： 1硬件组件信息系统硬件组件的安全隐患多来源于设计，主要表现为物理安全方面的问题。各种计算机或网络设备（如主机、CRT、电缆、hub、路由器、微波线路等），除难以抗拒的自然灾害外，温度、湿度、尘埃、静电、电磁场等也可以造成信息的泄露或失效。信息系统在工作时，向外辐射电磁波，易造成敏感信息的泄露。由于这些问题是固有的，除在管理上强化人工弥补措施外，采用软件程序的方法见效不大。因此在设计硬件或选购硬件时，应尽可能减少或消除这类安全隐患。 2软件组件软件组件的安全隐患来源于设计和软件工程中的问题。软件设计中的疏忽可能留下安全漏洞；软件设计中不必要的功能冗余及软件过长、过大，不可避免地存在安全脆弱性；软件设计不按信息系统安全等级要求进行模块化设计，导致软件的安全等级不能达到所声称的安全级别；软件工程实现中造成的软件系统内部逻辑混乱，导致垃圾软件，这种软件从安全角度看是绝对不可用的。软件组件可分为三类，即操作平台软件、应用平台软件和应用业务软件。这三类软件以层次结构构成软件组件体系。操作平台软件处于基础层，维系着系统组件运行的平台，因此操作平台软件的任何风险都可能直接危及或被转移或延伸到应用平台软件。所以，对信息系统安全所需的操作平台软件的安全等级要求不得低于系统安全等级要求，特别是信息系统的安全服务组件的操作系统安全等级必须至少高于系统安全一个等级，强烈建议安全服务组件的操作系统不得直接采用商业级或普遍使用的操作系统。应用平台软件处于中间层次，是在操作平台支撑下运行的支持和管理应用业务的软件。一方面，应用平台软件可能受到来自操作平台软件风险的影响；另一方面，应用平台软件的任何风险可直接危及或传递给应用业务软件。因此应用平台软件的安全特性也至关重要。在提供自身安全保护的同时，应用平台软件还必须为应用软件提供必要的安全服务功能。应用业务软件处于顶层，直接与用户或实体打交道。应用业务软件的任何风险都直接表现为信息系统的风险，3网络和通信协议在当今的网络通信协议中，局域网和专用网络的通信协议具有相对封闭性，因为它不能直接与异构网络连接和通信。这样的“封闭”网络本身基于两个原因比开放式的 Internet的安全特性好，一是网络体系的相对封闭性降低了从外部网络或站点直接攻入系统的可能性，但信息的电磁泄露性和基于协议分析的搭线截获问题仍然存在；二是专用网络自身具有较为完善、成熟的身份鉴别，访问控制和权限分割等安全机制。 安全问题最多的网络和通信协议是基于 TCP/IP 协议栈的 Internet 及其通信协议。因为任何接入 Internet 的计算机网络协议以及利用公共通信基础设施构建的内联网/外联网，在理论上和技术实践上已无真正的物理界限，同时在地缘上也没有真正的国界。国与国之间、组织与组织之间，以及个人与个人之间的网络界限是依靠协议、约定和管理关系进行逻辑划分的，因而是一种虚拟的网络现实；而且支持 Internet 运行的 TCP/IP 协议栈原本只考虑互联互通和资源共享的问题，并未考虑也无法兼容解决来自网际中的大量安全问题。Internet何以存在如此多的安全隐患，TCP/IP协议栈到底有哪些脆弱性和漏洞？要理解与 Internet有关的安全脆弱性和漏洞存在的原因和分布情况，需从网络技术发展历史和 TCP/IP 协议栈的研究初衷、使用背景及发展驱动力等方面分析。 （1）缺乏对用户身份的鉴别 TCP/IP 协议的机制性安全隐患之一是缺乏对通信双方真实身份的鉴别机制。由于TCP/IP 协议使用 IP 地址作为网络节点的唯一标识，而 IP 地址的使用和管理又存在很多问题，因而可导致下列两种主要安全隐患： IP 地址是由 Internetl 信息中心（InterNIC）分发的，其数据包的源地址很容易被发现，且 IP 地址隐含了所使用的子网掩码，攻击者据此可以画出目标网络的轮廓。因此使用标准IP 地址的网络拓扑对 Internet 来说是暴露的。 IP 地址很容易被伪造和被更改，且 TCP/IP 协议没有对 IPl 包中源地址真实性的鉴别机制和保密机制。因此Internet 上任何主机都可以产生一个带有任意源 IP 地址的 IP 包，从而假冒另一个主机进行地址欺骗。 （2）缺乏对路由协议的鉴别认证 TCP/IP 在 IP 层上缺乏对路由协议的安全认证机制，对路由信息缺乏鉴别与保护。因此可以通过 Internet 利用路由信息修改网络传输路径，误导网络分组传输。 （3）TCP/UDP 的缺陷 TCP/IP 协议规定了 TCO/UDP 是基于 IP 协议上的传输协议，TCP 分段和 UDP 数据包 是封装在 IP 包中在网上传输的，除可能面临 IP 层所遇到的安全威胁外，还存在下列TCP/UDP 实现中的安全隐患： 建立一个完整的 TCP 连接，需要经历“三次握手”过程。在客户 /服务器模式的“三l次握手”过程中，假如客户的 IP 地址是假的，是不可达的，那么TCP 不能完成该次连接所需的“三次握手”，使 TCP连接处于“半开”状态。攻击者利用这一弱点可实施如 TCP SYN Flooding 攻击的“拒绝服务”攻击。 TCP 提供可靠连接是通过初始序列号和鉴别机制来实现的。每一个合法的 TCP 连l接都有一个客户/服务器双方共享的唯一序列号作为标识和鉴别。初始序列号一般由随机数发生器产生，但问题出在很多操作系统（如 UNIX）在实现 TCP 连接初始序列号的方法中所产生的序列号并不是真正随机的，而是一个具有一定规律、可猜测或计算的数字。对攻击者来说，猜出了初始序列号并掌握了目标 IP 地址之后，就可以对目标实施IP Spoofing 攻击，而 IPSpoofing 攻击很难检测，因此此类攻击危害极大。 UDP 是一个无连接控制协议，极易受 IP 源路由和拒绝服务型攻击。l 在 TCP/IP 协议层结构中，应用层位于最顶部，因此下层的安全缺陷必然导致应用l层的安全出现漏洞甚至崩溃；而各种应用层服务协议（如 Finger，FTP，Telnet，E-mail，DNS，SNMP 等）本身也存在许多安全隐患，这些隐患涉及鉴别、访问控制、完整性和机密性等多个方面，极易引起针对基于 TCP/IP 应用网络信息传播方式（一）网络媒体集散信息观点影响社会舆无论是信息量，还是观点数量，网络媒体都已超过传统媒体，成为社会舆论的重要发源地。一些事件在网上披露后，引起网民强烈反应，推动事件得到处理，比如华南虎伪照被揭穿、许霆ATM取款案被改判、黑砖窑女干部复出决定被废止、“躲猫猫”事件被查处等等。网上不仅有正面信息，也有流言、谣言、假新闻等负面信息，如果不善加管理和引导，会对社会舆论产生负面影响。（二）网络论坛发酵网民情感引致社会行网民在网络论坛中的真实面目和身份被各种符号所代替，具有隐匿性，可以毫无顾忌地发表意见。各种观念在网上集合、交汇、碰撞，夹杂着有害的、负面的杂音和噪音。网络论坛成为“意见市场”，帖子成为“意见广告”。在论坛讨论中，兴趣观点比较相近的网民更容易聚集在一起，形成独特的政治场。这种政治场不断放大网民意见，形成“集体狂欢”，出现舆论一边倒的极化现象。网站论坛成为网络舆论发酵器，累积情绪，直至引发社会行动，实现从虚拟政治到现实政治的转换（三）网络通讯隐秘传递信息编织社会网网络通讯（包括电子邮件和即时通讯）是互联网的重要功能，具有隐秘性、快捷性等特点。电子邮件使用简便、投递迅速、易于保存、全球畅通，可以传播文字、声音、图像等多种资料，可以一对一、一对多传递，极大地改变信息传播方式。电子邮件在给人们带来诸多便利的同时，也被境内外敌对势力加以利用。2008年“3.14”事件爆发之前，境外“藏独”分子就通过电子邮件发送“西藏人民大起义运动”倡议书和达赖“3.10”讲话等材料，反复进行煽动（四）网络检索强力搜寻相关信息确定社会角百度、谷歌、搜狐等搜索引擎具有强大的信息检索功能，可以在瞬间检索上百亿张网页，搜寻相关信息，给人们的学习、研究、工作、生活带来极大便利。2008年搜索引擎用户已达2.03亿人,比2007年增加5100万人，增长33.6%。搜索引擎已成为网络监督的重要手段。南京某局长抽天价烟的图片在网上曝光后，其身份很快就被网络检索查出，使其得到应有处理（五）网络博客传播思想观点影响社会思博客是近年来增幅最大的言论载体。个人上网写博客正在形成一个新的文化奇观。Web2.0的推广，实现了“去中心化”的非线性传播，打破了网络出版的限制，消除了网民交流的中间环节，每个网民都可以成为传播发起节点，人人是记者、人人是作家、人人是编辑、人人办刊物。不但各类网站纷纷开设博客频道，而且出现了专门的博客网站。2008年中国博客作者已达1.62亿人，其中1.05亿人在半年内更新过博客。通过博客传播的观点已经并将继续影响社会思潮（六）网络站点成为群体社会活动组织平交友网站和网络社区使网民出现分众化趋势，为相同兴趣（比如郊游）的网民组织活动提供平台，丰富网民生活。网络站点也成为集体上访等群体行动的组织平台。2009年2月，广西银行系统买断工资人员通过网络组织大规模集体进京上访活动，不但发布行动的时间、路线、接头暗号，制定备用方案，还联系国外记者参与报道。网络传播信息迅速、高效、广泛，使得集体串联活动十分便捷。7.了解信息安全的基本属性（机密性，完整性，可用性，真实性，可控性）通俗地说，网络信息安全与保密主要是指保护网络信息系统，使其没有危险、不受威胁、不出事故。从技术角度来说，网络信息安全与保密的目标主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。 可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基于要求之一，是所有网络信息系统的建设和运行目标。网络信息系统的可靠性测度主要有三种：抗毁性、生存性和有效性。 可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能是向用户提供服务，而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。 保密性是网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。即，防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段。完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成和正确存储和传输不可抵赖性也称作不可否认性，在网络信息系统的信息交互过程中，确信参与者的真实同一性。即，所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方事后