网络安全工作

1 / 33网络安全工作农业局网络与信息安全检查情况报告今年以来，我局大力夯实信息化基础建设，严格落实信息系统安全机制，从源头做起，从基础抓起，不断提升信息安全理念，强化信息技术的安全管理和保障，加强对包括设备安全、网络安全、数据安全等信息化建设全方位的安全管理，以信息化促进农业管理的科学化和精细化。一、提升安全理念，健全制度建设我局结合信息化安全管理现状，在充分调研的基础上，制定了保密及计算机信息安全检查工作实施方案 ，以公文的形式下发执行，把安全教育发送到每一个岗位和人员。进一步强化信息化安全知识培训，广泛签订保密承诺书 。进一步增强全局的安全防范意识，在全农业系统建立保密及信息安全工作领导小组，由书记任组长，局长为副组长，农业系统各部门主要负责同志为成员的工作领导小组,下设办公室，抽调精兵强将负责对州农业局及局属各事业单位2 / 33保密文件和局上网机、工作机、中转机以及网络安全的日管管理与检查。局属各单位也相应成立了网络与信息安全领导小组。二、着力堵塞漏洞，狠抓信息安全我局现有计算机 37 台，其中 6 台为工作机，1 台中转机，每个工作人员使用的计算机按涉密用、内网用、外网用三种情况分类登记和清理，清理工作分为自我清理和检查两个步骤。清理工作即每个干部职工都要对自己使用的计算机和移动存储介质，按涉密用、内网用、外网用进行分类，并进行相应的信息清理归类，分别存储。检查组办公室成员对各类计算机和移动存储介质进行抽查，确保所有计算机及存储设备都符合保密的要求。定期巡查，建立安全保密长效机制。针对不同情况采用分类处理办法，并制定相应制度来保证长期有效。严肃纪律，认真学习和严格按照计算机安全及保密工作条例养成良好的行为习惯，掌握安全操作技能，强化安全人人有责、违规必究的责任意识和机制。三、规范流程操作，养成良好习惯3 / 33我局要求全系统工作人员都应该了解信息安全形势，遵守安全规定，掌握操作技能，努力提高全系统信息保障能力，提出人人养成良好信息安全习惯“九项规范” 。1、禁止用非涉密机处理涉密文件。所有涉密文件必须在涉密计算机上处理，内外网计算机不得处理、保存标密文件。2、禁止在外网上处理和存放内部文件资料。3、禁止在内网计算机中安装游戏等非工作类软件。4、禁止内网计算机以任何形式接入外网。包括插头转换、私接无线网络、使用 3G 上网卡、红外、蓝牙、手机、wifi等设备。5、禁止非内网计算机未经检查和批准接入内网。包括禁止外网计算机通过插拔网线的方式私自连接内网。6、禁止非工作笔记本电脑与内网连接和工作笔记本电脑与外网连接。4 / 337、禁止移动存储介质在内、外网机以及涉密机之间交叉使用。涉密计算机、内网机、外网机使用的移动存储介质都应分开专用，外网向内网复制数据须通过刻录光盘单向导入。8、所有工作机须要设臵开机口令。口令长度不得少于 8 位，字母数字混合。9、所有工作机均应安装防病毒软件。软件必须及时更新，定期进行全盘扫描查杀病毒，系统补丁需及时更新。四、检查发现的问题及整改在对保密工作和计算机安全管理检查过程中也发现了一些不足，同时结合我局实际，今后要在以下几个方面进行整改。1、安全意识不够。工作人员信息安全意识不够，未引起高度重视。检查要求其要高度保持信息安全工作的警惕性，从政治和大局出发，继续加强对机关干部的安全意识5 / 33教育，提高做好安全工作的主动性和自觉性。2、缺乏相关专业人员。由于单位缺乏相关专业技术人员，信息系统安全方面可投入的力量非常有限，下一步要加强相关技术人员的培训工作。3、安全制度落实不力。要求加强制度建设，加大安全制度的执行力度，责任追究力度。要强化问责制度，对于行动缓慢、执行不力、导致不良后果的个人，要严肃追究相关责任人责任，从而提高人员安全防护意识。4、工作机制有待完善。网络与信息安全管理混乱，要进一步创新安全工作机制，提高机关网络信息工作的运行效率，进一步规范办公秩序。5、计算机病毒问题较为严重。部分计算机使用的是盗版杀毒软件，有的是网上下载的，有的是已过期不能升级的。今后对此项工作加大资金投入，确保用上正版杀毒软件。6、计算机密码管理重视不够。计算机密码设臵也过于简单。要求各台计算机至少要设臵 8-10 个字符的开机密码。6 / 337、由于缺少计算机，由于工作原因部分工作机存在 U 盘交叉使用现象，我局将联系州保密局，采用物理隔离的方法杜绝类似问题的发生。五、对信息安全检查工作的建议和意见1、组织建立和健全各项信息和信息网络安全制度，实现制度和管理上的安全保证；规范日常信息化管理和检查制度。包括：软件管理、硬件管理、和维护管理、网络管理等，提出各系统配臵和标准化设臵，便于安全的维护和加固，实现基础管理上的安全保证；2、组织好各单位推广应用与分管领导和工作人员的培训等工作，确保信息化的实施成效，实现规划和应用上的安全保证。探讨如何做好计算机网络安全工作摘要： 计算机网络技术的飞速发展,给人们的生活带来了很多便利,但是计算机网络技术中的缺陷也不容忽视。本文主要对计算机网络安全中出现的一些问题以及防范措施作7 / 33了一些讨论。关键词：网络安全 防范措施随着计算机的普及以及网络的飞速发展,人们生活的各个方面越来越多地依赖于计算机,它为人类带来了新的工作学习和生活方式,人们与计算机网络的联系也越来越密切。计算机网络系统给用户提供了很多可用的共享资源,但是也增加了网络系统的脆弱性和受攻击的可能性以及网络安全等问题,网络的安全性逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。对于这一问题我们应该十分重视。一、计算机网络中的安全缺陷及产生的原因网络出现安全问题的原因主要有:第一,TCP/IP 的脆弱性。8 / 33因特网的基石是 TCP/IP 协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且,由于 TCP/IP 协议是公布于众的,如果人们对 TCP/IP 很熟悉,就可以利用它的安全缺陷来实施网络攻击。 第二,网络结构的不安全性因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。第三,缺乏安全意识虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的 PPP 连接从而避开了防火墙的保护。二、网络攻击和入侵的主要途径9 / 33网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP 欺骗和 DNS 欺骗。口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,如:利用目标主机的 Finger 功能:当用 Finger 命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机的服务:有些主机没有关闭的目录查询服务,也给攻击者提供了获得信息的一条简易途径;从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;查看主机是否有习惯性的帐号:有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。10 / 33IP 欺骗是指攻击者伪造别人的 IP 地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行 TCP/IP 的计算机进行入侵。IP 欺骗利用了 TCP/IP网络协议的脆弱性。在 TCP 的三次握手过程中,入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信任关系,从而进行 IP 欺骗。IP 欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址,它们之间互相信任。由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。三、确保计算机网络安全的防范措施1.防火墙技术网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定11 / 33网络之间的通信是否被允许,并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。2.强化访问控制,力促计算机网络系统运行正常。访问控制是网络安全防范和保护的主要措施,它的任务是保证网络资源不被非法用户使用和非常访问,是网络安全最重要的核心策略之一。第一,建立入网访问功能模块。入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪12 / 33台工作站入网。第二建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。3.数据加密技术数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全 性和保密性,防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术 4 种。数据存储加密技术是以防止在存储环节上的数据失密为目的,可分 为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息 的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。13 / 33浅谈通信企业如何做好信息网络安全工作20 世纪 80 年代以来，以计算机和因特网技术为主的现代信息技术取得了突飞猛进的发展，为全球各个领域、各部门的工作带来了深刻的变革。事实说明，信息与物质能源共同构成了企业乃至国家生存的客观世界三大资源和要素，其对各行各业的生存与发展所起的重要作用决不亚于物质和能源。随着现代信息技术的发展，作为 IT 行业排头兵的通信企业在自身的信息网络建设上也得到了长足的进步，其生产、经营都越来越强烈地依赖于企业的信息网络。对网络利用和依赖的程度越高，就越要求我们重视网络的安全防护。尤其是随着 INTERNET/INTRANET 技术的兴起，当前的通信企业网已经不再是一个封闭的内部网，而逐步成为一个开放的、互联的“大”网。 INTERNET 技术应该说是一把双刃剑，它为通信企业各部门的信息化建设、生产效率和服务质量的提高带来了极大的促进作用，但是它也对传统的企业安全体系提出了严峻的挑战。由于计算机信息具有共享和易于扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，即很容易被干扰、滥用和丢失，甚至被泄漏、窃取、篡改、冒充和破坏，还有可能受到计算机病毒的感染，所以对于通信企业来说，构筑信息14 / 33网络的安全防线事关重大、刻不容缓。本文试图就当前通信企业的信息网络发展现状结合国内外信息安全技术发展的新动向，谈一谈对通信企业信息网络安全建设的一些心得和体会。通信企业信息网络面临的主要安全威胁纵观近年来信息网络安全的发展动态，当前通信企业信息网络安全主要来自于以下三个方面的威胁： 1、物理威胁 信息网络在物理上可以分为网络设施和网络操作人员两大类，网络设施包括路由器、交换机、工作站等硬件实体和网络通讯使用的通信链路，还包括通信设备所在的机房等工作环境，而网络操作人员指的是网络的使用者和维护者，由于信息网络在企业的各个生产和经营环节中都得到了广泛的应用，所以所谓的网络操作人员这一概念可以延伸到企业的所有员工。 信息网络的物理威胁主要来自于火灾、水灾等自然灾害以及违法犯罪人员闯入机房进行偷窃和破坏所造成的设备损失。 2、病毒威胁 网络的发展为企业办公和生产带来巨大变革的同时，也为计算机病毒的蔓延打开了方便之门，各种各样的病毒无时无刻不在对网络的安全构成潜在的威胁，它们有可能从任一节点潜入并蔓延至整个网络，稍一疏忽，就可能招致无15 / 33穷后患。尤其是人们频繁使用的电子邮件如今更成为病毒栖身、散播的载体。 3、黑客威胁 黑客攻击早在主机/终端时代就已经出现，那时的主要进攻手段有：窃取口令、强力闯入、窃取额外特权、植入“特洛伊木马”等等。随着 INTERNET 的发展，现在黑客的进攻手段从以系统为主的攻击转变到以网络为主的攻击，新的攻击手法包括：通过网络监听获取网上用户的帐号和密码；监听密钥分配过程；通过隐蔽通道进行非法活动；突破网络防火墙等等。目前已知的黑客攻击手段已多达 500 余种。 随着通信企业信息网与 INTERNET 的互联互通，电子商务以及其它互联网应用的开展，黑客入侵已经成为目前最大的威胁，是企业信息网络发展的最大障碍，也是通信企业信息网络安全建设最需要解决的问题。加强通信企业信息安全应采用的主要措施“魔高一尺，道高一丈” ，针对上述 3 种对信息网络安全的威胁，加强通信企业的信息安全应当采取以下三个方面的措施。 1、建立严格的信息安全保障制度，制定完备的机房安全管理规章 这部分的手段包括妥善保护磁带和文档资料，防止非法人员进入机房进行16 / 33偷窃和破坏活动，同时采取妥善措施抑制和防止电磁泄漏，主要可以采用两类防护措施：一类是对传导发射的防护，主要采取对电源线和信号线性能良好的滤波器，以减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，这类防护措施又可以分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行防护和隔离；二是采用干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声，向空间辐射来掩盖计算机系统的工作频率和信息特征。另外，还要建立计算机信息系统安全等级制度、国际互联网备案制度、发生案件报告制度等，定期监督检查上述制度的落实情况。 2、系统的防护措施 即建立全面立体的企业防毒和反黑网络，对桌面、网络和服务器进行全方位防护。 3、采用稳妥的系统保护技术 即系统的备份技术，采用先进的备份手段和备份策略来最大限度地保证系统信息在遭受破坏后的可恢复性。 采用这三方面的技术，企业信息网才算是有了全面的安全即通常所说的全面解决方案。这里的第一种技术与第三种技术与传统的通信网防护措施基本相同，下面我们就第二种技术的具体实施作一说明。17 / 33建立全方位的立体防毒反黑网络企业的计算机网络通常有很多 PC 机和不同的应用服务器，构建网络防毒反黑系统时，应当对网络内所有可能作为病毒寄居、传播及受感染的计算机进行有效地处理，并对黑客可能入侵的节点进行有效的监控和保护。一方面需要对各种病毒和黑客进行有效的“查”和“防” ；另一方面也要强调防毒反黑网络在实施、操作、维护和管理中的简洁、方便和高效。最大限度地减轻使用人员和维护人员的工作量。 一个成功的全方位立体防毒反黑网络应当具有以下特征： 1、防毒反黑网络体系结构应当包括从 PC 到各种服务器，从操作系统到各种应用软件，从单机到网络的全方位防病毒解决方案； 2、同时，该网络必须集成中央控管，远程软件分发,远程升级等工具，便于系统管理； 3、网络具有“查毒” 、 “杀毒” 、 “防毒” 、 “预警”等全面的功能，并能够适用于多个平台的产品。另外，由于目前的病毒传播越来越强烈地体现其网络特性,尤其以电子邮件为载体的病毒传播日益猖獗，病毒在压缩文件和打包邮件中埋藏极深，因此系统还应当能够实现邮件的实时防毒，同时能够对压缩文件进行快速查毒。 4、网络节点应具备“防火墙”功能，由于通信企业信息网中潜在着可能的黑客入侵，所以在每个网络节点上都应安装有“防火墙” ，防18 / 33火墙能够起到实时监控的作用，当用户上网时，防火墙将充当个人电脑与网络间的过滤器，并对黑客可能入侵的各个网络端口进行屏蔽与防护。 目前，组建这样的系统可以有许多选择，比如冠群金辰的 Kill for Windows NT/Windows 2000，Norton 公司的 Norton Antivirus 2000以及 Network Associate 公司的面向企业网络的病毒防保方案 TVD(Total Virus Defense)Enterprise 都是很好的选择，对于个人防火墙来说，Network ICE 公司的 Black ICE是一个值得推荐的产品，其运行如图 1 所示，除了可以监测入侵者外，还可以给出对系统安全的各种“忠告” 。 另外，除了采取上述技术措施外，建立严密的规章制度也是十分必要的，如告知员工不要通过无防护的接口上网，不要随便执行附加在电子邮件中来历不明的附件,反病毒软件要经常升级等，并设置专职人员监督执行。应用实例如某企业信息网络有 10 多台服务器，使用的软件平台主要为 Windows NT 和 Windows 2000，客户端有将近 150 台 PC工作站，主要安装 Windows 98，完成 Web 服务、邮件服务、数据库服务、电子办公等工作，根据上一部分所讲述的全方位立体防毒反黑网络特征和要求，该企业在进行认真的19 / 33系统选型后，认为选择冠群金辰的 Kill 2000 更符合本企业的网络系统需求。为此，利用 Kill 2000 部署了反病毒解决方案。下面，简要介绍一下系统的应用情况。 1、全方位立体防护体系的实施情况 全方位防护体系包括服务器病毒防护、客户端病毒防护、电子邮件病毒防护和INTERNET 网关病毒防护。我们在 Windows NT、Windows 2000 服务器上分别安装相应的 Kill 2000 for Windows NT、Kill 2000 for Windows 2000，实现对所有服务器的网络防护及管理功能、防毒墙功能、整个网络的自动更新和分发、网络报警和广播服务；在 Windows 98 工作站上安装 Kill 2000 for Windows 98 客户端软件，以实现对客户端的实时防毒功能及管理功能，图 2 为 Kill 2000 实时监视器的工作画面；对电子邮件系统安装 Kill for Microsoft Exchange 防病毒代理程序选件，建立对群件信息系统的防毒保护。 通过组建 Kill 2000 网络防病毒架构，在整个网络体系的信息发送端和接收端都安装了相应的 Kill 反病毒软件控制病毒源，从而对网络系统的各个关口严密把守，使病毒无法入侵，由此也解决了对网络流量影响的问题，形成一种病毒源控制防护方式。通过 Kill 2000 这种对病毒源严密控制方式，实现了整个系统的全面病毒防护。 2、报警功能的实现 反病毒网络建设完成后，整个企业网便具有了相互间的通讯能力和报警能力，20 / 33即通过 Kill 2000 提供的网络广播、故障打印、MS Mail、Lotus Notes 邮件等多种报警方式对病毒情况进行通报。与此相配合的是日志记录，它包括了从服务器到客户端所有出现问题的计算机名称、用户名、使用时间、染毒情况、处理情况信息记录。因此，根据报警和日志信息，系统管理员便能够全面掌握整个网络的安全状况，使网络管理更加简单明了且具有针对性，图 3 为系统的报警管理器。 3、升级及维护功能 升级及维护问题一直是系统管理员感到费时费力的事情。Kill 2000 提供的自动简单的升级方法解决了这一难题。Kill 2000 具有自动下载功能，图 4 为其“自动下载管理器”的工作界面，能够直接将最新升级版本通过网络方式下载到本地服务器。同时，企业内部网通过简单配置，在一台服务器上下载升级文件便能够自动完成全域内所有计算机升级工作，大大减轻了系统管理员的工作量，提高了工作效率。结束语、安全本身不是目的，它只是一种保障。网络安全涉及的范围非常宽广。不管是从技术角度，还是从实际意义角度，它都是一个太大的话题。本文仅讨论了在通信企业信息网络中网络安全的实现。 企业网络安全是国家网络安全21 / 33的基石，也是针对未来的信息战来加强国防建设的重要基础。一般来说，安全性越高，其实现就越复杂，费用也相应的越高。对于企业来说，就需要对网络中需保护的信息和数据进行详细的经济性评估，决定投资强度。企业的网络安全工作可以根据本企业的主营方向来决定是建设自己的网络安全服务队伍，还是购买市场上的网络安全服务产品，对于通信企业网则可以选择购买服务产品来减少成本。笔者认为制定严格完备的网络安全保障制度是实现网络安全的前提，采用高水平的网络安全防护技术是保证，认真地管理落实是关键。网络安全工作会议纪要时间：2016 年 6 月 15 日地点：院行政楼 412 会议室议题：网络安全工作参会人员：院党委书记李刚、副院长沈苏林、院办公室主任王国明、党委宣传部长郭胜、教育技术中心主任赵卫22 / 33针对近期网络安全存在的问题，会议对网络安全急需解决的问题和采取的措施进行了研究，并形成如下意见：一要增强责任意识，充分认识加强网络安全工作的重要性。网络安全要防患于未然，要一手抓建设，一手抓安全。制定并严格落实各项安全管理制度，强化安全防范措施；建立网络信息安全应急预案，加强技术防护建设，制定防攻击、防病毒、防篡改、防窃密技术的措施，防止各种势力对我院网络攻击破坏。二要搞好分工，明确责任。成立院网络安全工作领导小组，统一领导、协调、解决网络安全工作存在的问题。院办公室负责制定网络安全工作管理规定，加强网络监控，及时发现问题、解决问题。党委宣传部修订完善网络新闻发布制度，并严格审核网络新闻。教育技术中心负责网络的技术保障和日常维护工作，尤其对病毒入侵和网络攻击破坏的情况妥善、及时地处理。各单位、各部门对于自己网络要加大管理力度，确保有人建设，有人管理，有人监督，确保信息发布无差错。严格禁止各网站不采取任何安全措施。23 / 33三要加强对院外网络关于我院新闻、信息的搜索。有关部门要指定专人做好此项工作。全院所有人员都有责任和义务反映、消除网上有损我院良好形象的信息。做到重要消息及时上报，有利消息及时公布；有害消息尤其是对我院的不实报道甚至恶意攻击要采取切实措施及时删除，消除影响。四要抓好工作落实。网络安全工作事关我院的和谐稳定大局。各单位、各部门要在近期对所管理的网页进行整顿。全院上下要在建立健全长效机制的基础上，加大校园网络安全管理力度，加强对校园网上信息的管理与监控，营造积极健康的网络文化氛围。1、杀毒的工作原理 病毒检测的方法在与病毒的对抗中，及早发现病毒很重要。早发现，早处置，可以减少损失。检测病毒方法有：特征代码法、校验和法、行为监测法、软件模拟法这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。 特征代码法24 / 33特征代码法被早期应用于 SCAN、CPAV 等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。特征代码法的实现步骤如下：采集已知病毒样本，病(转载于: 海 达 范 文网:网络安全工作)毒如果既感染 COM 文件，又感染 EXE 文件，对这种病毒要同时采集 COM 型病毒样本和 EXE 型病毒样本。在病毒样本中，抽取特征代码。依据如下原则：抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节，要检测 3000 种病毒，增加的空间就是 3000 字节。在保持唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。在既感染 COM 文件又感染 EXE 文件的病毒样本中，要抽取两种样本共有的代码。将特征代码纳入病毒数据库。25 / 33打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。其缺点是：不能检测未知病毒、搜集已知病毒的特征代码，费用开销大、在网络上效率低。 其特点：A.速度慢。随着病毒种类的增多，检索时间变长。如果检索 5000 种病毒，必须对 5000 个病毒特征代码逐一检查。如果病毒种数再增加，检病毒的时间开销就变得十分可观。此类工具检测的高速性，将变得日益困难。B.误报警率低。26 / 33非 C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个虚假的“好文件” ，而不能报警，被隐蔽性病毒所蒙骗。校验和法将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在 SCAN 和 CPAV 工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。这种方法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有27 / 33可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。用监视文件的校验和来检测病毒，不是最好的方法。这种方法遇到下述情况：已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。运用校验和法查病毒采用三种方式：在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。在应用程序中，放入校验和法自我检查功能，将文件正28 / 33常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。校验和法的优点是：方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。行为监测法利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。这些做为监测病毒的行为特征如下：29 / 33A.占有 INT 13H所有的引导型病毒，都攻击 Boot 扇区或主引导扇区。系统启动时，当 Boot 扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用 INT 13H 功能，因为其他系统功能未设置好，无法利用。引导型病毒占据 INT 13H功能，在其中放置病毒所需的代码。B.改 DOS 系统为数据区的内存总量病毒常驻内存后，为了防止 DOS 系统将其覆盖，必须修改系统内存总量。C.对 COM、EXE 文件做写入动作病毒要感染，必须写 COM、EXE 文件。D.病毒程序与宿主程序的切换染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。 行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测30 / 33法的短处：可能误报警、不能识别病毒名称、