网络安全和网络管理技术.ppt

第9章网络安全与网络管理技术,学习内容:,网络安全的重要性及其研究的主要问题。密码体制的基本概念及应用。防火墙的基本概念。网络入侵检测与防攻击的基本概念与方法。网络文件备份与恢复的基本方法。网络病毒防治的基本方法。网络管理的基本概念与方法。,9.1网络安全研究的主要问题网络安全的重要性,非法获取重要信息，信息欺诈，破坏与网络攻击，法律与道德问题；网络安全涉及到技术、管理与法制环境等多个方面；网络安全问题已经成为信息化社会的一个焦点问题；每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。,网络安全技术研究的主要问题,目的：确保信息在网络环境中存储、处理和传输安全；网络防攻击问题；网络安全漏洞与对策问题；网络中的信息安全保密问题；防抵赖问题；网络内部安全防范问题；网络防病毒问题；网络数据备份与恢复、灾难恢复问题。,1.网络防攻击技术,服务攻击（applicationdependentattack）:对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常;非服务攻击（applicationindependentattack）:不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。,网络防攻击主要问题需要研究的几个问题,网络可能遭到哪些人的攻击？攻击类型与手段可能有哪些？如何及时检测并报告网络被攻击？如何采取相应的网络安全策略与网络安全防护体系？解决：加强对网络系统的管理,2.网络安全漏洞与对策的研究,网络信息系统的运行涉及：计算机硬件与操作系统；网络硬件与网络软件；数据库管理系统；应用软件；网络通信协议。网络安全漏洞也会表现在以上几个方面。解决：主动检测网络安全漏洞。,3.网络中的信息安全问题,信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用；信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击；,信息传输安全问题的四种基本类型,解决网络中的信息安全问题的方法,加密与解密,加密过程,明文,密文,信息源结点,解密过程,密文,明文,信息目的结点,数据加密与解密过程,4.防抵赖问题,防抵赖是防止信息源结点用户对他发送的信息事后不承认;或者是信息目的结点用户接收到信息之后不认账；通过身份认证、数字签名、数字信封、第三方确认等方法，来确保网络信息传输的合法性问题，防止“抵赖”现象出现。,5.网络内部安全防范,网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为；对网络与信息安全有害的行为包括：有意或无意地泄露网络用户或网络管理员口令；违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；解决来自网络内部的不安全因素必须从技术与管理两个方面入手。,6.网络防病毒,引导型病毒可执行文件病毒宏病毒混合病毒特洛伊木马型病毒Internet语言病毒,微软的应对,发布对应的清除工具和清除方法,病毒监控:网上传播的大量文件都携带有病毒。上网同时最好实时运行病毒检测程序。下载的软件在运行之前要先杀一次毒。新病毒不断出现，病毒库要经常更新。不要打开来历不明带附件的电子邮件。,建议:只装一个TCP/IP协议，IPX/SPX和NetBEUI协议能不装就不装。硬盘共享不要设成完全访问，或共享完后立即停止。收发E-mail时尽量采用文本形式，避免.doc，.exe附件。不要从ftp站点下载运行不明用途的软件。不运行端口扫描程序，端口扫描会严重影响其它网络用户的使用。,“红色代码”病毒的工作原理,病毒利用IIS的.ida漏洞进入系统并获得SYSTEM权限(微软在2001年6月份已发布修复程序MS01-033)病毒产生100个新的线程99个线程用于感染其它的服务器第100个线程用于检查本机,并修改当前首页在7/20/01时所有被感染的机器回参与对白宫网站的自动攻击.,尼母达Nimada的工作原理,4种不同的传播方式IE浏览器:利用IE的一个安全漏洞(微软在2001年3月份已发布修复程序MS01-020)IIS服务器:和红色代码病毒相同,或直接利用它留下的木马程序.(微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案)电子邮件附件:(已被使用过无数次的攻击方式)文件共享:针对所有未做安全限制的共享,特洛伊木马,现在互联网上有许多特洛伊木马程序，像著名的BO、Backdoor、Netbus及国内的Netspy等等。严格地说，它们属于（Client/Sever）程序，因为它们往往带有一个用于驻留在用户机器上的服务器程序，以及一个用于访问用户机器的客户端程序。所以不要运行来历不明的程序。,一、人工备份：如右图所示，进行备份操作，系统管理员最重要的工作就是做好备份,备份,二、自动备份：对重要的数据要定期备份，比如WEBMAIL上对E盘网站的数据每星期备份一次,A、选择不同的备份向导按照屏幕的提示进行操作即可B、还原向导C、紧急修复磁盘举例对E盘的一个文件夹进行备份和恢复,7.网络数据备份与恢复、灾难恢复问题,如果出现网络故障造成数据丢失，数据能不能被恢复？如果出现网络因某种原因被损坏，重新购买设备的资金可以提供，但是原有系统的数据能不能恢复？,网络安全服务与安全标准网络安全服务应该提供以下基本的服务功能：,数据保密（dataconfidentiality）认证（authentication）数据完整（dataintegrity）防抵赖（non-repudiation）访问控制（accesscontrol）,网络安全标准,国内：电子计算机系统安全规范，1987年10月计算机软件保护条例，1991年5月计算机软件著作权登记办法，1992年4月中华人民共和国计算机信息与系统安全保护条例，1994年2月计算机信息系统保密管理暂行规定，1998年2月关于维护互联网安全决定，全国人民代表大会常务委员会通过，2000年12月,国外：可信计算机系统评估准则TC-SEC-NCSC是1983年公布的，1985年公布了可信网络说明（TNI）；可信计算机系统评估准则将计算机系统安全等级分为4类7个等级，即D、C1、C2、B1、B2、B3与A1；D级系统的安全要求最低，A1级系统的安全要求最高。,9.2加密与认证技术密码算法与密码体制的基本概念,密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素，即加密/解密算法和密钥；传统密码体制所用的加密密钥和解密密钥相同，也称为对称密码体制；如果加密密钥和解密密钥不相同，则称为非对称密码体制；,密钥可以看作是密码算法中的可变参数。从数学的角度来看，改变了密钥，实际上也就改变了明文与密文之间等价的数学函数关系；在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。,什么是密码,密码是含有一个参数k的数学变换，即C=Ek（m）m是未加密的信息（明文），C是加密后的信息（密文），E是加密算法，参数k称为密钥加密算法可以公开，而密钥只能由通信双方来掌握。,密钥长度,密钥长度与密钥个数,密钥的位数越长，破译的困难也越大，安全性也越好。,对称密钥密码体系,对称加密的特点,密钥在通信中要严格保密，如何安全传递密钥？密钥管理？,典型对称加密算法,数据加密标准（dataencryptionstandard,DES）是典型的对称加密算法，由IBM公司提出，经过ISO认证；目前广泛应用育银行业中的电子资金转帐领域；64位密钥长度，其中8位用于奇偶校验，用户使用其余的56位，不是非常安全；其它一些对称加密算法：IDEA算法，RC2算法、RC4算法与Skipjack算法等。,非对称密钥密码体系,非对称密钥密码体系的特点,加密的公钥可以公开，而解密的私钥必须保密，,非对称加密的标准,公钥和私钥数学相关，成对出现，但是不能通过公钥计算出私钥；可以解决身份认证和防抵赖问题；和对称加密算法相比，简化了密钥的数目；公钥加密技术的缺点：加密算法法杂，加密和解密的速度慢；RSA体制被认为是目前为止理论上最为成熟的一种公钥密码体制。RSA体制多用在数字签名、密钥管理和认证等方面；Elgamal公钥体制是一种基于离散对数的公钥密码体制，密文依赖于随机数，又称概率加密体制；目前，许多商业产品采用的公钥加密算法还有DiffieHellman密钥交换、数据签名标准DSS、椭圆曲线密码等。,数字信封技术,数字信封技术的工作原理,发送数据：对称加密算法,对称加密的密钥：非对称加密算法,数字签名技术,确定发送人身份，防抵赖,身份认证技术的发展,身份认证可以通过3种基本途径之一或它们的组合实现：所知:个人所掌握的密码、口令；所有:个人身份证、护照、信用卡、钥匙；个人特征:人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征；新的、广义的生物统计学是利用个人所特有的生理特征来设计的；生物统计学与网络安全、身份认证结合起来是目前网络安全研究中的一个重要课题。,9.3防火墙技术防火墙的基本概念,防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件；设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。,防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界；构成防火墙系统的两个基本部件是包过滤路由器和应用级网关；最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成；由于组合方式有多种，因此防火墙系统的结构也有多种形式。,包过滤路由器,包过滤路由器的结构,路由器按照系统内部设置的分组过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发；包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是：源IP地址；目的IP地址；协议类型；IP选项内容；源TCP端口号；目的TCP端口号；TCPACK标识。,包过滤的工作流程,关键：制定包过滤规则,包过滤路由器作为防火墙的结构,假设网络安全策略规定：内部网络的E-mail服务器（IP地址为，TCP端口号为25）可以接收来自外部网络用户的所有电子邮件；允许内部网络用户传送到与外部电子邮件服务器的电子邮件；拒绝所有与外部网络中名字为TESTHOST主机的连接。,包过滤规则表,包过滤在网络层、传输层对进出内部网络的数据包进行监控，但是网络用户对网络资源和服务的访问发生在应用层，必须在应用层对用户身份认证和访问操作分类检查和过滤，这个功能是由应用级网关完成的。,9.3.3应用级网关的概念,多归属主机（网关）：多个网络接口卡典型的多归属主机结构,应用级网关,双归属主机可以用于网络安全与网络服务的代理,在应用层过滤进出内部网络特定服务的用户请求与响应,应用代理,应用级网关：在应用层“转发”合法的应用请求应用代理：隔离了用户主机与被访问服务器之间的数据包交换通道,一、代理服务器的工作机制,代理服务器的使用,A,B,C,二、代理服务器存在的理由1、局域局内没有与外网相连的机器通过内网的代理服务器连接到外网2、为了获得更大的速度，通过频宽较大的proxy与目标主机连接3、同一地区未互联的不同网络通过代理建立连接4、可以免费访问因特网,三、谁架设了代理服务器1、是大型机关、企业事业、教育机构2、ISP,四、局域网连接共享实现代理(配置最简单),1941,41,41,WinRoute共享代理上网详解（网上有更详细的帮助文件）,主要功能1、DNS缓存和转发DNS域名查询信息2、可以端口映射实现反向代理功能，让外部访问受NAT保护的内部网络所提供的一些功能,3、它具有路由器的寻径功能，让局域网里的多台计算机使用同一个IP地址访问因特网，还能自动保护内部网络不受到外部的攻击4、该软件支持基于IP地址的过滤和限制，提供限制可访问的URL的安全功能、利用该软件提供的DHCP服务器功能，可以动态分配局域网上的计算机的TCP/IP地址。、为保证安全，用户可以通过该软件定义一个过滤规则，对经过代理服务器的数据信息进行过滤、它能提供代理服务器功能，并且可以设置缓存这样就可以大幅度提高游览的速度。(这个功能是非常有用的)、它还可以作为电子邮件服务器来使用，利用它来接受和发送电子邮件。（基本不用）,winroute的安装1、安装前：在安装WinRoute4.1代理服务器软件之前，必须要求所在的机器应既能连接到因特网又能被局域网内的机器访问2、安装：到站点下载后，双击“wrp41en.exe”进行安装，安装完后不要重新启动,3、汉化：双击“HBC-WinRoutePro4127-Ronnier.exe”弹出如下窗口，选择winroute的安装路径，汉化成中文，重新启动即可使用,4、初始化设置：右键点击任务栏上的winroute图标，选启动参数设置，弹出如下如图所示的窗口，点选所需的选项,参数设置1、登录：右键点击任务栏上的winroute图标，选winroute管理，弹出如左图所示的界面，新安装的winroute4。1的admin用户密码是没有你可以直接按确定就可以了。,2、改变管理员密码：单击“设置”账号，在右图所示的窗口中点击“编辑”按钮，改变Admin的密码,3、拨号设置：因现在基本是宽带，用时可参考教材4、双网卡设置：在网络属性中对两块网卡的Tcp/ip属性进行设置网卡1：ip地址6掩码：网关：Dns:6网卡1直接与internet相连网卡2：ip地址掩码：网关：空Dns:6网卡2与内部局域网相连,5、接口表设置：设置接口表，如左图所示，为了启用地址转换功能，需打开连接外网网卡的NAT功能。选中下面的网卡，点属性，弹出右图，选中上面的复选框。,是否对本机进行特殊处理,6、代理服务器设置：设置代理服务器,本机的代理端口,本机上一级代理的IP地址和端口,在访问界面中可设置使用代理的情况下，限制用户对外网的访问比如：所有用户都可访问*.*只有imacbl和yyyhan可以访问*.*网址,7、DHCP服务器设置：设置DHCP服务器，弹出左图所示窗口，查看已有的租用，可点击“新建范围”弹出右图所示窗口，添加新的租用范围：比如：添加IP：-54掩码：DNS:6网关：(连接局域网网卡的IP地址),在上页左图中点击“添加租用”，可弹出下图，可以为一些机器保留固定的IP地址,在上页左图中点击“编辑”，可对已有的一此设置进行修改,8、DNS服务器设置DNS服务器，启用DNS转发,winroute的高级设置1、数据包过滤器：如图所示打开数据包过滤器,数据包过滤器配置举例，如下的配置将强制除之外的所有局域网计算机必须通过代理对外界的WEB服务器进行访问,可直接对外进行访问,6可直接对外进行访问,所有的计算机不允许对外界的80端口（即WEB）进行访问,选择对内的网卡进行配置,2、端口映射：,对249.16的web访问转向内网中,对代理机器FTP的访问转向内网中,对249.17的web访问转向内网中,类似上述描述：3389端口为WIN2K的终端服务4899端口为下节课要讲的远程控制软件所用44333为WINROUTE的远程管理所用端口,3、远程管理:A、设置高级远程管理，如图1B、设置高级端口映射，如图2C、将WrAdmin.exe文件拷贝到远程要管理的计算机上，执行后，再图3的winroute主机处输入被管理的Winroute主机IP地址,选中,这一条必须加上,防火墙的系统结构,堡垒主机的概念一个双归属主机作为应用级网关可以起到防火墙作用；处于防火墙关键部位、运行应用级网关软件的计算机系统叫做堡垒主机。需要注意的问题可靠的操作系统；删除不必要的服务和应用软件，保留必需的服务；安装代理软件；配置资源保护、用户身份鉴别与访问控制，设置审计与日志功能；设计堡垒主机防攻击方法，以及破坏后的应急方案。,典型防火墙系统系统结构分析,采用一个过滤路由器与一个堡垒主机组成的S-B1防火墙系统结构,包过滤路由器的转发过程,S-B1配置的防火墙系统中数据传输过程,采用多级结构的防火墙系统（S-B1-S-B1配置）结构示意图,安全缓冲区（非军事区）,9.4网络防攻击与入侵检测技术网络攻击方法分析,目前黑客攻击大致可以分为8种基本的类型：入侵系统类攻击；缓冲区溢出攻击；欺骗类攻击；拒绝服务攻击；对防火墙的攻击；利用病毒攻击；木马程序攻击；后门攻击。,入侵检测的基本概念,入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统；它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非授权行为，并且采取相应的防护手段。,入侵检测系统IDS的基本功能：监控、分析用户和系统的行为；检查系统的配置和漏洞；评估重要的系统和数据文件的完整性；对异常行为的统计分析，识别攻击类型，并向网络管理人员报警；对操作系统进行审计、跟踪管理，识别违反授权的用户活动。,入侵检测系统框架结构,入侵检测的基本方法,对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能；入侵检测系统按照所采用的检测技术可以分为：异常检测误用检测两种方式的结合,9.5网络文件备份与恢复技术网络文件备份与恢复的重要性,网络数据可以进行归档与备份；归档是指在一种特殊介质上进行永久性存储；网络数据备份是一项基本的网络维护工作；备份数据用于网络系统的恢复。,网络文件备份的基本方法,选择备份设备选择备份程序建立备份制度在考虑备份方法时需要注意的问题：如果系统遭到破坏需要多长时间才能恢复？怎样备份才可能在恢复系统时数据损失最少？,9.6网络防病毒技术造成网络感染病毒的主要原因,70%的病毒发生在网络上；将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占41%左右；从网络电子广告牌上带来的病毒约占7%；从软件商的演示盘中带来的病毒约占6%；从系统维护盘中带来的病毒约占6%；从公司之间交换的软盘带来的病毒约占2%；其他未知因素约占27%；从统计数据中可以看出，引起网络病毒感染的主要原因在于网络用户自身。,网络病毒的危害,网络病毒感染一般是从用户工作站开始的，而网络服务器是病毒潜在的攻击目标，也是网络病毒潜藏的重要场所；网络服务器在网络病毒事件中起着两种作用：它可能被感染，造成服务器瘫痪；它可以成为病毒传播的代理人，在工作站之间迅速传播与蔓延病毒；网络病毒的传染与发作过程与单机基本相同，它将本身拷贝覆盖在宿主程序上；当宿主程序执行时，病毒也被启动，然后再继续传染给其他程序。如果病毒不发作，宿主程序还能照常运行；当符合某种条件时，病毒便会发作，它将破坏程序与数据。,典型网络防病毒软件的应用,网络防病毒可以从以下两方面入手：一是工作站，二是服务器；网络防病毒软件的基本功能是：对文件服务器和工作站进行查毒扫描、检查、隔离、报警，当发现病毒时，由网络管理员负责清除病毒；网络防病毒软件一般允许用户设置三种扫描方式：实时扫描、预置扫描与人工扫描；一个完整的网络防病毒系统通常由以下几个部分组成：客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。,网络工作站防病毒方法,采用无盘工作站使用单机防病毒卡使用网络防病毒卡,网络防病毒建议,1、关于病毒的十诫2、合理设置杀毒软件3、合理设置电子邮件工具4、合理设置浏览器的安全级别5、慎重对待邮件附件6、不要随便点击不明链接7、不要随意接收文件8、尽量从大型的专业网站下载软件9、设置始终显示文件的扩展名10、及时升级邮件程序和操作系统11、启用网络防火墙,1、关于病毒的十诫(1),对于从因特网上下载的可执行文件和WORDEXECEL文件一定要非常小心，在打开这些东西之前一定要进行非常仔细的检查。不要相信任何人发来的邮件，即使是来自你的朋友，即使邮件的主题是“我爱你”，因为你的朋友很可能已经被病毒感染，打开邮件的附件之前一定要三思而后行。,关于病毒的十诫（2）,局域网的管理员应该特别注意的是，将所有共享目录的可执行文件设置成只读文件，限制普通权限的用户对这些目录的文件拥有写权限。在运行新的软件之前一定要使用反病毒软件进行仔细的检测，最好在一台和局域网隔离的电脑上首先安装和运行新的软件以防止出现病毒或其他对局域网的破坏。最好是购买正版的软件，不要购买盗版软件，特别是那种将多个正版软件放在一张光盘上的所谓合集软件。在网上下载软件使用时一定要小心，到有大量用户的知名站点下载，这样下载的软件中包括病毒的可能性相对要小一些。,关于病毒的十诫（3）,在任何时候都不要禁止你的病毒防火墙，如果病毒防火墙和你要使用的软件有冲突，那么使用另外一种病毒防火墙代替它。定期备份你的数据，这是最重要的防患于未然的方法，在发生病毒感染时，备份你的数据可以最大限度的减小你的损失。,关于病毒的十诫（4）,将你的电脑的引导顺序设置为“C：A：”，这样可以防止软盘中的引导病毒感染你的硬盘。发现机器有异常表现，立即关机，然后进行杀毒处理。如果没有杀毒软件，可在备份了数据之后重新安装软件，注意一定要使用一张确信没有病毒的引导磁盘来引导机器之后在安装软件。,关于病毒的十诫（5）,及时升级你的杀毒软件，一周一次的升级频率已经无法满足需要，或许具有主动才病毒代码发送的升级方式是你的选择。不要过于相信厂商的宣传，发现最多病毒的软件不一定是最好的软件，掌握足够的病毒知识，拥有自己的判断才能真正保护自己的电脑安全。,2、合理设置杀毒软件,如果安装的杀毒软件具备扫描电子邮件的功能，比如瑞星的“POP3扫描”，“注册表监控”，尽量将这些功能全部打开，其它的杀毒软件也必须打开类似的网络过滤扫描功能。另外，现在的病毒发展速度越来越快，通过网络传播的时间越来越短，因此必须及时升级更新杀毒软件的病毒库和扫描引擎。,3、合理设置电子邮件工具,如果是使用OutlookExpress作为邮件的收发程序，为了尽量避免邮件病毒的威胁，建议在“选项”中的“发送”设置中，选择使用“纯文本”格式发送电子邮件，要知道，现在大部分流行的邮件收发工具都支持以HTML方式撰写新邮件，而使用“纯文本”格式发送邮件，不但可以有效防止无意中被植入恶意的HTML代码，同时也可以减少邮件体积，加快发送速度。,4、合理设置浏览器的安全级别,在控制面板中的“Internet选项”中，进行合理的“安全”设置，不要随意降低安全级别，以减少来自恶意代码和ActiveX控件的威胁，在系统推荐的默认设置级别“中”的基础上，点击“自定义级别”按钮，可以进一步进行更严格的设置，建议尝试着每次只更改一两个项目，如果导致不能正常上网，或者上网不方便了，则适当地降低安全设置，多试几次直到找到适合自己的最佳安全设置组合。,5、慎重对待邮件附件,如果收到邮件附件中有可执行文件（如.EXE、.COM等）或者带有“宏”的文档（.doc等），不要直接打开，最好先用“另存为”把文件保存到磁盘上，然后用杀毒软件查杀一遍，确认没有病毒后再打开。不要打开扩展名为VBS、SHS或者PIF的附件，因为这类文件几乎不会作为正常的附件发送，却经常地被病毒或蠕虫所利用。另外，绝对不要打开带有双扩展名的附件，如“.BMP.EXE”或者“.TXT.VBS”等。,6、不要随便点击不明链接,如果收到不明邮件，一定不要随便点击其中的链接，防止其带有恶意代码，同样我们在上网的时候，也不要经不住一些无聊话语的诱惑，随便轻意点击一些无名小站的不明链接，因为它们经常被用来引诱用户去执行该文件。,7、不要随意接收文件,除非对方是你绝对信得过的朋友，且已经约定好了要发送文件，否则，不要随意接收从在线聊天系统（Oicq、IRC等）发送过来的文件，无论对方用什么样的花言巧语也不要轻易上当。,8、尽量从大型的专业网站下载软件,一些BBS或者公共新闻组常常是病毒制造者发布新病毒的地方，尽量不要从这些地方下载软件，要下载软件的话，到大家都比较熟悉的专业网站进行下载，有效保证下载软件的安全。,9、设置始终显示文件的扩展名,在资源管理器中，选择“工具”|“文件夹选项”|“查看”，去掉“隐藏已知文件类型的扩展名”前的对号，这样就可以使那些想伪装成正常文件的病毒文