第8章信息安全与职业道德

1、2021-11-20曾新 1第8章 信息安全与职业道德2021-11-20曾新 28.1 信息系统安全概述 2021-11-20曾新 3信息系统安全概述信息系统安全概述n计算机网络安全的概念计算机网络安全的概念n计算机网络系统面临的威胁计算机网络系统面临的威胁n计算机网络系统的脆弱性计算机网络系统的脆弱性n计算机网络安全技术的研究内容和发展过程计算机网络安全技术的研究内容和发展过程2021-11-20曾新 4 计算机网络安全的概念计算机网络安全的定义计算机网络安全的定义从狭义的保护角度来看从狭义的保护角度来看，计算机网络安全是指，计算机网络安全是指计算机及其网络系统资源和信息资源不受自计算机及

2、其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，然和人为有害因素的威胁和危害，从广义来说，从广义来说，凡是涉及到计算机网络上信息的凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研的相关技术和理论都是计算机网络安全的研究领域。究领域。 2021-11-20曾新 5计算机网络安全的重要性计算机网络安全的重要性v 成为敌对势力、不法分子的攻击目标。成为敌对势力、不法分子的攻击目标。v 存取控制、逻辑连接数量不断增加，软件存取控制、逻辑连接数量不断增加，软件 规模空前膨胀，任何隐含的缺陷、失误都规

3、模空前膨胀，任何隐含的缺陷、失误都能造成巨大损失。能造成巨大损失。v 计算机系统使用的场所正在转向工业、农计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间、核辐业、野外、天空、海上、宇宙空间、核辐射环境，射环境，这些环境都比机房恶劣，这些环境都比机房恶劣，出错率和故障的增多必将导致可靠性和安出错率和故障的增多必将导致可靠性和安全性的降低。全性的降低。2021-11-20曾新 6v随着计算机系统的广泛应用，操作人员、随着计算机系统的广泛应用，操作人员、编程人员和系统分析人员的失误或缺乏编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。经验都会造成系统的安全功能不

4、足。v计算机网络安全问题涉及许多学科领域，计算机网络安全问题涉及许多学科领域，是一个非常复杂的综合问题，随着系统是一个非常复杂的综合问题，随着系统应用环境的变化而不断变化。应用环境的变化而不断变化。v从认识论的高度看，人们往往首先关注从认识论的高度看，人们往往首先关注对系统的需要、功能，然后才被动地从对系统的需要、功能，然后才被动地从现象注意系统应用的安全问题现象注意系统应用的安全问题 。2021-11-20曾新 7计算机网络系统面临的威胁n计算网络系统面临的威胁n安全威胁的来源n威胁的具体表现形式2021-11-20曾新 8 计算网络系统面临的威胁1对硬件实体的威胁和攻击对硬件实体的威胁和攻

5、击2对信息的威胁和攻击对信息的威胁和攻击3同时攻击软、硬件系统同时攻击软、硬件系统4计算机犯罪计算机犯罪2021-11-20曾新 9安全威胁的来源安全威胁的来源n天灾天灾n人祸人祸n系统本身的原因系统本身的原因2021-11-20曾新 10威胁的具体表现形式威胁的具体表现形式n伪装伪装n非法连接非法连接 n非授权访问非授权访问n拒绝服务拒绝服务n抵赖抵赖n信息泄露信息泄露n业务流分析业务流分析n改动信息流改动信息流n篡改或破坏数据篡改或破坏数据n推断或演绎信息推断或演绎信息n非法篡改程序非法篡改程序2021-11-20曾新 11计算机网络系统的脆弱性计算机网络系统的脆弱性n操作系统安全的脆弱性

6、操作系统安全的脆弱性n网络安全的脆弱性网络安全的脆弱性n数据库管理系统安全的脆弱性数据库管理系统安全的脆弱性n防火墙的局限性防火墙的局限性n其他方面的原因其他方面的原因2021-11-20曾新 12操作系统安全的脆弱性操作系统安全的脆弱性n操作系统结构体制本身的缺陷。操作系统结构体制本身的缺陷。n在网络上传输文件，加载与安装程序，包在网络上传输文件，加载与安装程序，包括可执行的文件。括可执行的文件。n在于创建进程，甚至可以在网络的节点上在于创建进程，甚至可以在网络的节点上进行远程的创建和激活。进行远程的创建和激活。n操作系统中有一些守护进程，实际上是一操作系统中有一些守护进程，实际上是一些系统

7、进程，它们总是在等待一些条件的些系统进程，它们总是在等待一些条件的出现。出现。2021-11-20曾新 13n操作系统都提供远程过程调用（操作系统都提供远程过程调用（RPCRPC）服）服务，而提供的安全验证功能却很有限。务，而提供的安全验证功能却很有限。n操作系统提供网络文件系统（操作系统提供网络文件系统（NFSNFS）服务，）服务，NFSNFS系统是一个基于系统是一个基于RPCRPC的网络文件系统。的网络文件系统。n操作系统的操作系统的debugdebug和和wizardwizard功能。功能。操作系统安全的脆弱性操作系统安全的脆弱性2021-11-20曾新 14v操作系统安排的无口令入口，

8、是为系统开发人员提操作系统安排的无口令入口，是为系统开发人员提供的边界入口，但这些入口也可能被黑客利用。供的边界入口，但这些入口也可能被黑客利用。v操作系统还有隐蔽的信道，存在着潜在的危险。操作系统还有隐蔽的信道，存在着潜在的危险。v尽管操作系统的缺陷可以通过版本的不断升级来克尽管操作系统的缺陷可以通过版本的不断升级来克服，但系统的某一个安全漏洞就会使系统的所有安服，但系统的某一个安全漏洞就会使系统的所有安全控制毫无价值。全控制毫无价值。操作系统安全的脆弱性操作系统安全的脆弱性2021-11-20曾新 15网络安全的脆弱性网络安全的脆弱性n 使用使用TCP/IPTCP/IP协议的网络所提供的协

9、议的网络所提供的FTPFTP、E-MailE-Mail、RPCRPC和和NFSNFS都包含许多不安全的因素，都包含许多不安全的因素，存在着许多漏洞。同时，网络的普及，使信存在着许多漏洞。同时，网络的普及，使信息共享达到了一个新的层次，信息被暴露的息共享达到了一个新的层次，信息被暴露的机会大大增多。特别是机会大大增多。特别是InternetInternet网络就是一个网络就是一个不设防的开放大系统。另外，数据处理的可不设防的开放大系统。另外，数据处理的可访问性和资源共享的目的性之间是一对矛盾。访问性和资源共享的目的性之间是一对矛盾。它造成了计算机系统保密性难。它造成了计算机系统保密性难。2021

10、-11-20曾新 16数据库管理系统安全的脆弱性数据库管理系统安全的脆弱性n 当前，大量的信息存储在各种各样的当前，大量的信息存储在各种各样的数据库中，然而，这些数据库系统在安数据库中，然而，这些数据库系统在安全方面的考虑却很少。而且，数据库管全方面的考虑却很少。而且，数据库管理系统安全必须与操作系统的安全相配理系统安全必须与操作系统的安全相配套。例如，套。例如，DBMSDBMS的安全级别是的安全级别是B2B2级，那级，那么操作系统的安全级别也应该是么操作系统的安全级别也应该是B2B2级，级，但实践中往往不是这样做的。但实践中往往不是这样做的。2021-11-20曾新 17防火墙的局限性防火墙

11、的局限性n 尽管利用防火墙可以保护安全网免受外部尽管利用防火墙可以保护安全网免受外部黑客的攻击，但它只是能够提高网络的安全性，黑客的攻击，但它只是能够提高网络的安全性，不可能保证网络绝对安全。事实上仍然存在着不可能保证网络绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁，如防火墙不一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。另外，防火墙很能防范不经过防火墙的攻击。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。难防范来自于网络内部的攻击以及病毒的威胁。 2021-11-20曾新 18其他方面的原因其他方面的原因n计算机领域中重大技术进步都对安全性计算机领域中

12、重大技术进步都对安全性构成新的威胁。构成新的威胁。n安全性的地位总是列在计算机网络系统安全性的地位总是列在计算机网络系统总体设计规划的最后面，勿略了网络系总体设计规划的最后面，勿略了网络系统的安全。统的安全。n易受环境和灾害的影响。易受环境和灾害的影响。n电子技术基础薄弱，抵抗外部环境较弱。电子技术基础薄弱，抵抗外部环境较弱。n剩磁效应和电磁泄漏的不可避免。剩磁效应和电磁泄漏的不可避免。2021-11-20曾新 19其他有害程序其他有害程序 n程序后门 n特洛伊木马 n“细菌”程序 n蠕虫 2021-11-20曾新 208.2 信息安全技术概述 2021-11-20曾新 21计算机网络安全技术

13、的研究内容计算机网络安全技术的研究内容（1 1）实体硬件安全）实体硬件安全（2 2）软件系统安全）软件系统安全（3 3）网络安全防护）网络安全防护（4 4）数据信息安全）数据信息安全（5 5）病毒防治技术）病毒防治技术（6 6）网络站点安全）网络站点安全2021-11-20曾新 22n1、应用系统安全n计算机系统不受恶意程序的攻击，避免因编程不当引起的漏洞，采用开发安全的应用系统的编程方法以及安全软件工程技术。n2、数据库系统安全n数据库的安全性是指数据库系统不受到恶意侵害，或未经授权的使用与修改。一般数据库的破坏来自下列几个方面：n（1）系统故障；n（2）同时使用一个数据库所引起的数据的不一

14、致；n（3）人为的破坏，例如，数据被黑客非法访问，甚或破坏。 n比如银行数据库内存放储户的存款金额与密码，如果被非法使用，后果不堪设想。n3、操作系统安全n操作系统的安全是整个计算机系统安全的基础，如果操作系统安全得不到保障，就不可能保障数据库安全、网络安全和应用软件安全。 n威胁操作系统安全的主要问题： n（1）黑客等恶意用户的破坏使系统不能正常运行或破坏系统的某些功能 n（2）在多用户操作系统中，各用户程序执行过程中相互间会产生不良影响，用户之间会相互干扰。 n4、硬件层安全n计算机硬件安全主要指防止硬件被非法使用、防复制、电磁辐射等。n5、计算机网络安全 2021-11-20曾新 238

15、.3 网络安全技术2021-11-20曾新 24n黑客的攻击包括主动攻击和被动攻击黑客的攻击包括主动攻击和被动攻击 n主动攻击首先截获通讯中的信息主动攻击首先截获通讯中的信息 n假冒、重放、篡改消息和拒绝服务假冒、重放、篡改消息和拒绝服务 n被动攻击是在未经用户同意和认可的情况下将被动攻击是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改据信息做任何修改 8.3.1 黑客及常见的黑客攻击2021-11-20曾新 25 8.3.2 防火墙技术n防火墙是设置在可信网络防火墙是设置在可信网络(Trusted Network

16、)(Trusted Network)和不可信任的外界之间和不可信任的外界之间的一道屏障。的一道屏障。 n常见的防火墙技术有三种常见的防火墙技术有三种n1 1、包、包( (分组分组) )过滤技术过滤技术n位于内部网络和外部网络的边界上，是内外网络通信的唯一出入点，位于内部网络和外部网络的边界上，是内外网络通信的唯一出入点， 2 2、代理技术、代理技术 n代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。n 3 3、状态检测技术、状态检测技术n将属于同一连接的所有包作为一个整体的数据流看待，对接收到的数将属于同一连接的所有包作为

17、一个整体的数据流看待，对接收到的数据包进行分析，判断其是否属于当前合法连接，从而进行动态的过滤。据包进行分析，判断其是否属于当前合法连接，从而进行动态的过滤。 2021-11-20曾新 26n过滤进、出网络的数据过滤进、出网络的数据 n管理进、出网络的访问行为管理进、出网络的访问行为 n封堵某些禁止的业务封堵某些禁止的业务n记录通过防火墙的信息内容和活动记录通过防火墙的信息内容和活动 n对网络攻击进行检测和告警对网络攻击进行检测和告警防火墙的功能：防火墙的功能： 8.3.2 防火墙技术2021-11-20曾新 272021-11-20曾新 282021-11-20曾新 298.4 计算机病毒及

18、其防治2021-11-20曾新 30 8.4.1 计算机病毒的定义n计算机病毒是隐藏在计算机系统中，利用系统资源进行繁殖并生存能够影响计算机系统的正常运行，并可通过系统资源共享的途径进行传染的程序 2021-11-20曾新 31计算机病毒概述计算机病毒概述q 计算机病毒的定义计算机病毒的定义q 计算机病毒的发展历史计算机病毒的发展历史q 计算机病毒的分类计算机病毒的分类q 计算机病毒的特点计算机病毒的特点q 计算机病毒的隐藏之处和入侵途径计算机病毒的隐藏之处和入侵途径q 现代计算机病毒的流行特征现代计算机病毒的流行特征q 计算机病毒的破坏行为计算机病毒的破坏行为q 计算机病毒的作用机制计算机病

19、毒的作用机制返回本章首页2021-11-20曾新 32计算机病毒的定义计算机病毒的定义n “ “计算机病毒计算机病毒”最早是由美国计算机病毒研究专最早是由美国计算机病毒研究专家家F.CohenF.Cohen博士提出的。博士提出的。 “ “计算机病毒计算机病毒”有很多种有很多种定义，国外最流行的定义为：计算机病毒，是一段定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。附着在其他程序上的可以实现自我繁殖的程序代码。在在中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例中的定义为：中的定义为：“计算机病毒是指编制或者在计算机计算

20、机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程机使用并且能够自我复制的一组计算机指令或者程序代码序代码”。返回本节2021-11-20曾新 33计算机病毒的发展历史计算机病毒的发展历史n1 1计算机病毒发展简史计算机病毒发展简史 n世界上第一例被证实的计算机病毒是在世界上第一例被证实的计算机病毒是在19831983年，年，出现了计算机病毒传播的研究报告。同时有人出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想；提出了蠕虫病毒程序的设计思想；19841984年，美年

21、，美国人国人ThompsonThompson开发出了针对开发出了针对UNIXUNIX操作系统的操作系统的病毒程序。病毒程序。 n19881988年年1111月月2 2日晚，美国康尔大学研究生罗日晚，美国康尔大学研究生罗特特莫里斯将计算机病毒蠕虫投放到网络中。该莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。损失近亿美元。 2021-11-20曾新 34n2 2计算机病毒在中国的发展情况计算机病毒在中国的发展情况 n在我国，在我国，8

22、080年代末，有关计算机病毒问题的年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。研究和防范已成为计算机安全方面的重大课题。 19821982年年“黑色星期五黑色星期五”病毒侵入我国；病毒侵入我国；19851985年年在国内发现更为危险的在国内发现更为危险的“病毒生产机病毒生产机”，生存，生存能力和破坏能力极强。这类病毒有能力和破坏能力极强。这类病毒有15371537、CLMECLME等。进入等。进入9090年代，计算机病毒在国内的年代，计算机病毒在国内的泛滥更为严重。泛滥更为严重。 CIHCIH病毒是首例攻击计算机硬病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，

23、并可造成件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。网络的瘫痪。计算机病毒的发展历史计算机病毒的发展历史2021-11-20曾新 353 3计算机病毒发展的计算机病毒发展的1010个阶段个阶段（1 1）DOSDOS引导阶段引导阶段 （2 2）DOSDOS可执行文件阶段可执行文件阶段 （3 3）混合型阶段）混合型阶段 （4 4）伴随型阶段）伴随型阶段 （5 5）多形型阶段）多形型阶段 （6 6）生成器，变体机阶段）生成器，变体机阶段 （7 7）网络，蠕虫阶段）网络，蠕虫阶段 （8 8）WindowsWindows阶段阶段 （9 9）宏病毒阶段）宏病毒阶段 （1010）InternetIn

24、ternet阶段阶段 返回本节2021-11-20曾新 36计算机病毒的分类计算机病毒的分类n按寄生方式和传染方式按寄生方式和传染方式n引导型、文件型、混合型和宏病毒引导型、文件型、混合型和宏病毒n按连接方式按连接方式n源码型、入侵型、操作系统型和外壳型病毒源码型、入侵型、操作系统型和外壳型病毒n按破坏性按破坏性n良性病毒和恶性病毒良性病毒和恶性病毒n网络病毒网络病毒返回本节2021-11-20曾新 37n典型例子：典型例子： MichelangeloMichelangelo是一种引导区病毒。它会感染引导是一种引导区病毒。它会感染引导区内的磁盘及硬盘内的区内的磁盘及硬盘内的MBRMBR。当此电

25、脑病毒常。当此电脑病毒常驻内存时，便会感染所有读取中及没有写入保驻内存时，便会感染所有读取中及没有写入保护的磁盘。除此以外，护的磁盘。除此以外，MichelangeloMichelangelo会于会于3 3月月6 6日日当天删除受感染电脑内的所有文件。当天删除受感染电脑内的所有文件。 2021-11-20曾新 38 8.4.2 计算机病毒的特点 n传播性n隐藏性n触发性n破坏性2021-11-20曾新 39计算机病毒的特点计算机病毒的特点（1）刻意编写，人为破坏）刻意编写，人为破坏 （2）自我复制能力）自我复制能力 （3）夺取系统控制权）夺取系统控制权 （4）隐蔽性）隐蔽性 （5）潜伏性）潜伏

26、性 （6）不可预见性）不可预见性 返回本节2021-11-20曾新 40计算机病毒的隐藏之处和入侵途径计算机病毒的隐藏之处和入侵途径1 1病毒的隐藏之处病毒的隐藏之处n （1 1）可执行文件。）可执行文件。n （2 2）引导扇区。）引导扇区。n （3 3）表格和文档。）表格和文档。 n （4 4）JavaJava小程序和小程序和ActiveXActiveX控件。控件。2 2病毒的入侵途径病毒的入侵途径 n（1 1）传统方法）传统方法 n（2 2）Internet Internet 返回本节2021-11-20曾新 41现代计算机病毒的流行特征现代计算机病毒的流行特征1 1攻击对象趋于混合型攻击

27、对象趋于混合型 2 2反跟踪技术反跟踪技术 3 3增强隐蔽性增强隐蔽性 4 4加密技术处理加密技术处理 5 5病毒繁衍不同变种病毒繁衍不同变种 2021-11-20曾新 42计算机病毒的破坏行为计算机病毒的破坏行为（1 1）攻击系统数据区）攻击系统数据区 （2 2）攻击文件）攻击文件 （3 3）攻击内存）攻击内存 （4 4）干扰系统运行，使运行速度下降）干扰系统运行，使运行速度下降 （5 5）干扰键盘、喇叭或屏幕）干扰键盘、喇叭或屏幕 （6 6）攻击）攻击CMOS CMOS （7 7）干扰打印机）干扰打印机 （8 8）网络病毒破坏网络系统）网络病毒破坏网络系统 返回本节2021-11-20曾新

28、 43 系统启动 引导程序 病毒跳转到内存并获得系统控制权 符合条件? 激活病毒 传染或破坏 驻留等待 执行正常的系统引导 Y N 系统启动 运行.COM，.EXE 文件 病毒随文件到内存并获得系统控制权 符合条件? 激活病毒 传染或破坏 驻留等待 文件正常执行 Y N （a）引导型病毒）引导型病毒 （b）文件型病毒）文件型病毒病毒的传播、破坏过程病毒的传播、破坏过程返回本节2021-11-20曾新 44n特洛伊特洛伊/特洛伊木马特洛伊木马 特洛伊或特洛伊木马是一个看似正当的程序，特洛伊或特洛伊木马是一个看似正当的程序，但事实上当执行时会进行一些恶性及不正当的但事实上当执行时会进行一些恶性及不

29、正当的活动。特洛伊可用作黑客工具去窃取用户的密活动。特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。与电脑病码资料或破坏硬盘内的程序或数据。与电脑病毒的分别是特洛伊不会复制自己。它的传播技毒的分别是特洛伊不会复制自己。它的传播技俩通常是诱骗电脑用户把特洛伊木马植入电脑俩通常是诱骗电脑用户把特洛伊木马植入电脑内，例如通过电子邮件上的游戏附件等内，例如通过电子邮件上的游戏附件等2021-11-20曾新 45木马n它是指通过一段特定的程序（木马程序）来控制另一它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户台计算机。木马通常有两个可执行程

30、序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是被种者电脑的是“服务器服务器”部分，而所谓的部分，而所谓的“黑客黑客”正是利用正是利用“控制器控制器”进入运行了进入运行了“服务器服务器”的电脑。的电脑。运行了木马程序的运行了木马程序的“服务器服务器”以后，被种者的电脑就以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保开的端口进入电脑系统，安全和个人隐私也就全无保障了！障了！ n“木马木马”程序是目前比较流行的病毒文

31、件，与一般的程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不病毒不同，它不会自我繁殖，也并不“刻意刻意”地去感地去感染其他文件染其他文件 2021-11-20曾新 46木马病毒的种类木马病毒的种类 n1. 1. 网络游戏木马网络游戏木马n网络游戏木马通常采用记录用户键盘输入、网络游戏木马通常采用记录用户键盘输入、HookHook游戏游戏进程进程APIAPI函数等方法获取用户的密码和帐号。窃取到的函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。方式发送给木马作者。n2.

32、2. 网银木马网银木马 n网银木马是针对网上交易系统编写的木马病毒，其目网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。的是盗取用户的卡号、密码，甚至安全证书。 n3. 3. 即时通讯软件木马即时通讯软件木马n发送消息型。通过即时通讯软件自动发送含有恶意网发送消息型。通过即时通讯软件自动发送含有恶意网址的消息，目的在于让收到消息的用户点击网址中毒，址的消息，目的在于让收到消息的用户点击网址中毒，用户中毒后又会向更多好友发送病毒消息。用户中毒后又会向更多好友发送病毒消息。 2021-11-20曾新 47n盗号型。主要目标在于即时通讯软件的登录帐号和密盗号型。

33、主要目标在于即时通讯软件的登录帐号和密码。码。 n传播自身型。传播自身型。20052005年初，年初，“MSNMSN性感鸡性感鸡”等通过等通过MSNMSN传播的蠕虫泛滥了一阵之后，传播的蠕虫泛滥了一阵之后，MSNMSN推出新版本，禁止推出新版本，禁止用户传送可执行文件。用户传送可执行文件。 n4. 4. 网页点击类木马网页点击类木马n网页点击类木马会恶意模拟用户点击广告等动作，在网页点击类木马会恶意模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量。短时间内可以产生数以万计的点击量。 n5. 5. 下载类木马下载类木马n从网络上下载其他病毒程序或安装广告软件从网络上下载其他病毒程序或安

34、装广告软件 n6. 6. 代理类木马代理类木马n用户感染代理类木马后，会在本机开启用户感染代理类木马后，会在本机开启HTTPHTTP、SOCKSSOCKS等代理服务功能。黑客把受感染计算机作为跳板，以等代理服务功能。黑客把受感染计算机作为跳板，以被感染用户的身份进行黑客活动，达到隐藏自己的目被感染用户的身份进行黑客活动，达到隐藏自己的目的。的。2021-11-20曾新 48n文件型电脑病毒文件型电脑病毒 文件型电脑病毒，又称寄生病毒，通常感染执文件型电脑病毒，又称寄生病毒，通常感染执行文件行文件(.EXE)，但是也有些会感染其它可执行，但是也有些会感染其它可执行文件，如文件，如DLL,SCR等

35、等等等.每次执行受感染的文每次执行受感染的文件时，电脑病毒便会发作：电脑病毒会将自己件时，电脑病毒便会发作：电脑病毒会将自己复制到其他可执行文件，并且继续执行原有的复制到其他可执行文件，并且继续执行原有的程序，以免被用户所察觉。程序，以免被用户所察觉。 2021-11-20曾新 49n典型例子： CIH会感染Windows95/98的.EXE文件，并在每月的26号发作日进行严重破坏。于每月的26号当日，此电脑病毒会试图把一些随机资料覆写在系统的硬盘，令该硬盘无法读取原有资料。此外，这病毒又会试图破坏FlashBIOS内的资料。 2021-11-20曾新 50n复合型电脑病毒 复合型电脑病毒具有

36、引导区病毒和文件型病毒的双重特点。 2021-11-20曾新 51宏病毒宏病毒的分类宏病毒的分类宏病毒的行为和特征宏病毒的行为和特征宏病毒的特点宏病毒的特点宏病毒的防治宏病毒的防治和清除方法和清除方法返回本章首页2021-11-20曾新 52n典型例子：典型例子： JulyKillerJulyKiller这个电脑病毒通过这个电脑病毒通过VBVB宏在宏在MSWord97MSWord97文件中传播。一但打开染毒文文件中传播。一但打开染毒文件，这病毒首先感染共用范本件，这病毒首先感染共用范本(normal.dot(normal.dot) )，从而导致其它被打开的文，从而导致其它被打开的文件一一遭到感

37、染。此电脑病毒的破坏力件一一遭到感染。此电脑病毒的破坏力严重。如果当月份是严重。如果当月份是7 7月时，这病毒就会月时，这病毒就会删除删除c:c:的所有文件。的所有文件。 2021-11-20曾新 53宏病毒的分类宏病毒的分类n公（共）用宏病毒公（共）用宏病毒n对所有的对所有的WordWord文档有效，其触发条件是在启动文档有效，其触发条件是在启动或调用或调用WordWord文档时，自动触发执行。文档时，自动触发执行。n两个显著的特点：两个显著的特点：n宏名称是用宏名称是用“Auto”Auto”开头，如开头，如AutoOpenAutoOpen、AutoCloseAutoClose、AutoCo

38、pyAutoCopy等。等。n附加在附加在WordWord共用模板上才有共用模板上才有“公用公用”作用。作用。2021-11-20曾新 54n私用宏病毒私用宏病毒n私用宏病毒与公用宏病毒的主要区别是：前私用宏病毒与公用宏病毒的主要区别是：前者一般放在用户自定义的者一般放在用户自定义的WordWord模板中，仅模板中，仅与使用这种模板的与使用这种模板的WordWord文档有关，即只有文档有关，即只有使用这个特定模板的文档，该宏病毒才有效，使用这个特定模板的文档，该宏病毒才有效，而对使用其他模板的文档，私用宏病毒一般而对使用其他模板的文档，私用宏病毒一般不起作用。不起作用。宏病毒的分类宏病毒的分类

39、2021-11-20曾新 55宏病毒的行为和特征宏病毒的行为和特征n宏病毒是一种新形态的计算机病毒，也是一种宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒。可以在跨平台式计算机病毒。可以在WindowsWindows、Windows 95/98/NTWindows 95/98/NT、OS/2OS/2、Macintosh Macintosh System7System7等操作系统上执行病毒行为。等操作系统上执行病毒行为。 n宏病毒的主要特征如下：宏病毒的主要特征如下：n1 1）宏病毒会感染）宏病毒会感染.DOC.DOC文档和文档和.DOT.DOT模板文件。模板文件。 n2 2）宏病毒

40、的传染通常是）宏病毒的传染通常是WordWord在打开一个带宏在打开一个带宏病毒的文档或模板时，激活宏病毒。病毒的文档或模板时，激活宏病毒。 2021-11-20曾新 56n3 3）多数宏病毒包含）多数宏病毒包含AutoOpenAutoOpen、AutoCloseAutoClose、AutoNewAutoNew和和AutoExitAutoExit等自动宏，通过这些自动宏病等自动宏，通过这些自动宏病毒取得文档（模板）操作权。毒取得文档（模板）操作权。 n4 4）宏病毒中总是含有对文档读写操作的宏命令。）宏病毒中总是含有对文档读写操作的宏命令。n5 5）宏病毒在）宏病毒在.DOC.DOC文档、文档

41、、.DOT.DOT模板中以模板中以BFFBFF（Binary File FormatBinary File Format）格式存放，这是一种加）格式存放，这是一种加密压缩格式，每个密压缩格式，每个WordWord版本格式可能不兼容。版本格式可能不兼容。n6 6）宏病毒具有兼容性。）宏病毒具有兼容性。 宏病毒的行为和特征宏病毒的行为和特征2021-11-20曾新 57宏病毒的特点宏病毒的特点1传播极快传播极快 2制作、变种方便制作、变种方便3破坏可能性极大破坏可能性极大 2021-11-20曾新 58宏病毒的防治宏病毒的防治和清除方法和清除方法n Word Word宏病毒，是近年来被人们谈论得最

42、宏病毒，是近年来被人们谈论得最多的一种计算机病毒。与那些用复杂的计多的一种计算机病毒。与那些用复杂的计算机编程语言编制的病毒相比，宏病毒的算机编程语言编制的病毒相比，宏病毒的防治要容易得多！在了解了防治要容易得多！在了解了WordWord宏病毒的宏病毒的编制、发作过程之后，即使是普通的计算编制、发作过程之后，即使是普通的计算机用户，不借助任何杀毒软件，就可以较机用户，不借助任何杀毒软件，就可以较好地对其进行防冶。好地对其进行防冶。 n1 1查看查看“可疑可疑”的宏的宏 n2 2按使用习惯编制宏按使用习惯编制宏 n3 3防备防备AutoxxxxAutoxxxx宏宏 2021-11-20曾新 59

43、n4 4小心使用外来的小心使用外来的WordWord文档文档 n5 5使用选项使用选项“Prompt to Save Normal Template” Prompt to Save Normal Template” n6 6通过通过ShiftShift键来禁止运行自动宏键来禁止运行自动宏 n7 7查看宏代码并删除查看宏代码并删除 n8 8使用使用Disable Auto MarcrosDisable Auto Marcros宏宏 n9 9设置设置Normal.dotNormal.dot的只读属性的只读属性 n1010Normal.dotNormal.dot的密码保护的密码保护 n1111使用使

44、用Word ViewerWord Viewer或或Word Pad Word Pad n1212将文档存储为将文档存储为RTFRTF格式格式 2021-11-20曾新 60网络计算机病毒网络计算机病毒n网络计算机病毒的特点n网络对病毒的敏感性2021-11-20曾新 61网络计算机病毒的特点n在网络环境中，病毒具有如下一些新的特点：在网络环境中，病毒具有如下一些新的特点：n（1 1）传染方式多）传染方式多 n（2 2）传传染速度快染速度快 n（3 3）清除难度大）清除难度大 n（4 4）破坏性强）破坏性强 n（5 5）可激发性）可激发性 n（6 6）潜潜在性在性 2021-11-20曾新 62

45、2021-11-20曾新 632021-11-20曾新 64 8.4.3 计算机病毒的预防 n安装实时监控的杀毒软件或防毒卡，定期更新安装实时监控的杀毒软件或防毒卡，定期更新病毒库。病毒库。n及时升级杀毒软件，安装操作系统的补丁程序。及时升级杀毒软件，安装操作系统的补丁程序。n对重要数据进行备份。对重要数据进行备份。n不要随意打开来历不明的电子邮件及附件。不要随意打开来历不明的电子邮件及附件。n不要随意打开陌生人传来的页面链接。不要随意打开陌生人传来的页面链接。n不要随意下载、执行网络上的应用程序。不要随意下载、执行网络上的应用程序。n防止非法拷贝软件。防止非法拷贝软件。2021-11-20曾

46、新 65计算计算机病毒的防治机病毒的防治n计算机病毒的检测n计算机病毒的防治n计算机感染病毒后的修复返回本章首页2021-11-20曾新 66计算机病毒的检测计算机病毒的检测1异常情况判断异常情况判断2计算机病毒的检查计算机病毒的检查2021-11-20曾新 67异常情况判断异常情况判断n计算机工作出现下列异常现象，可能感染了病毒：计算机工作出现下列异常现象，可能感染了病毒：n1 1）屏幕出现异常图形或画面，这些画面可能是一）屏幕出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落些鬼怪，也可能是一些下落的雨点、字符、树叶等，的雨点、字符、树叶等，并且系统很难退出或恢复。并且系统很难退

47、出或恢复。n2 2）扬声器发出与正常操作无关的声音，如演奏乐）扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的曲或是随意组合的、杂乱的声音。声音。n3 3）磁盘可用空间减少，出现大量坏簇，且坏簇数）磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继目不断增多，直到无法继续工作。续工作。n4 4）硬盘不能引导系统。）硬盘不能引导系统。n5 5）磁盘上的文件或程序丢失。）磁盘上的文件或程序丢失。 2021-11-20曾新 68n6 6）磁盘读）磁盘读/ /写文件明显变慢，访问的时间加长。写文件明显变慢，访问的时间加长。n7 7）系统引导变慢或出现问题，有时出现）系统引导

48、变慢或出现问题，有时出现“写保护错写保护错”提示。提示。n8 8）系统经常死机或出现异常的重启动现象。）系统经常死机或出现异常的重启动现象。n9 9）原来运行的程序突然不能运行，总是出现出错提）原来运行的程序突然不能运行，总是出现出错提示。示。n1010）打印机不能正常启动。）打印机不能正常启动。异常情况判断异常情况判断2021-11-20曾新 69计算机病毒的检查计算机病毒的检查（1 1）检查磁盘主引导扇区）检查磁盘主引导扇区（2 2）检查）检查FATFAT表表（3 3）检查中断向量）检查中断向量（4 4）检查可执行文件）检查可执行文件（5 5）检查内存空间）检查内存空间（6 6）根据特征查

49、找）根据特征查找返回本节2021-11-20曾新 70计算计算机病毒的防治机病毒的防治1 1建立、健全法律和管理制度建立、健全法律和管理制度 2 2加强教育和宣传加强教育和宣传 3 3采取更有效的技术措施采取更有效的技术措施 4 4网络计算机病毒的防治网络计算机病毒的防治 2021-11-20曾新 71采取更有效的技术措施采取更有效的技术措施 （1）系统安全）系统安全 （2）软件过滤）软件过滤 （3）文件加密）文件加密 （4）生产过程控制）生产过程控制 （5）后备恢复）后备恢复 （6）其他有效措施）其他有效措施 2021-11-20曾新 72其他有效措施 1 1）重要的磁盘和重要的带后缀）重要

50、的磁盘和重要的带后缀.COM.COM和和.EXE.EXE的文的文件赋予只读功能，避免病毒写到磁盘上或可执行件赋予只读功能，避免病毒写到磁盘上或可执行文件中。文件中。 2 2）消灭传染源。）消灭传染源。 3 3）建立程序的特征值档案。）建立程序的特征值档案。4 4）严格内存管理。）严格内存管理。 5 5）严格中断向量的管理。）严格中断向量的管理。 6 6）强化物理访问控制措施）强化物理访问控制措施 7 7）一旦发现病毒蔓延，要采用可靠的杀毒软件和）一旦发现病毒蔓延，要采用可靠的杀毒软件和请有经验的专家处理，必要时需报告计算机安全请有经验的专家处理，必要时需报告计算机安全监察部门，特别要注意不要使

51、其继续扩散。监察部门，特别要注意不要使其继续扩散。2021-11-20曾新 73防范计算机网络病毒的一些措施 v尽量多用无盘工作站，少用有软驱的工作站。尽量多用无盘工作站，少用有软驱的工作站。 v要保证系统管理员有最高的访问权限，避免过多地要保证系统管理员有最高的访问权限，避免过多地出现超级用户。出现超级用户。 v对非共享软件，将其执行文件和覆盖文件如对非共享软件，将其执行文件和覆盖文件如* *.COM.COM、* *.EXE.EXE、* *.OVL.OVL等备份到文件服务器上，定期从服务等备份到文件服务器上，定期从服务器上拷贝到本地硬盘上进行重写操作。器上拷贝到本地硬盘上进行重写操作。v接收

52、远程文件输入时，一定不要将文件直接写入本接收远程文件输入时，一定不要将文件直接写入本地硬盘，而应将远程输入文件写到软盘上，然后对其地硬盘，而应将远程输入文件写到软盘上，然后对其进行查毒，确认无毒后再拷贝到本地硬盘上。进行查毒，确认无毒后再拷贝到本地硬盘上。2021-11-20曾新 74v工作站采用防病毒芯片，这样可防止引导型病毒。工作站采用防病毒芯片，这样可防止引导型病毒。v正确设置文件属性，合理规范用户的访问权限。正确设置文件属性，合理规范用户的访问权限。 v建立健全的网络系统安全管理制度，严格操作规程建立健全的网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测。和规章制

53、度，定期作文件备份和病毒检测。 v目前预防病毒最好的办法就是在计算机中安装防病目前预防病毒最好的办法就是在计算机中安装防病毒软件，这和人体注射疫苗是同样的道理。采用优秀毒软件，这和人体注射疫苗是同样的道理。采用优秀的网络防病毒软件，如的网络防病毒软件，如LAN ProtectLAN Protect和和LAN Clear for LAN Clear for NetWareNetWare等。等。v为解决网络防病毒的要求，已出现了病毒防火墙，为解决网络防病毒的要求，已出现了病毒防火墙，在局域网与在局域网与InternetInternet，用户与网络之间进行隔离。，用户与网络之间进行隔离。 2021-

54、11-20曾新 75计算机病毒的清除n人工处理方法人工处理方法n用正常的文件覆盖被病毒感染的文件n删除被病毒感染的文件n重新格式化磁盘n用反病毒软件对病毒进行清除用反病毒软件对病毒进行清除 2021-11-20曾新 76防、杀毒软件的选择n1 1防、杀毒软件的选购指标防、杀毒软件的选购指标 n2 2上网一族常用的防、杀毒软件上网一族常用的防、杀毒软件 n3 3著名杀毒软件公司的站点地址著名杀毒软件公司的站点地址 2021-11-20曾新 77防、杀毒软件的选购指标防、杀毒软件的选购指标 n扫描速度扫描速度 n识别率识别率 n病毒清除测试病毒清除测试 2021-11-20曾新 78著名杀毒软件公司的站点地址 返回本节2021-11-20曾新 792021-11-20曾新 80常用反病毒软件产品n金山毒霸金山毒霸n江民江民KV2005KV2005系统级系统级杀毒软件杀毒软件n瑞星瑞星20042004杀毒软件杀毒软件n世界上最优秀、最顶级的网络世界上最优秀、最顶级的网络杀毒软件杀毒软件KasperskyKaspersky( (卡巴斯基卡巴斯基) ) nNorton AntiVirusNorton AntiVirus 9.0 9.0