项目6 系统安全与备份.ppt

1、学 习 情 境 6,系统与数据安全,主要内容,6.1 网络安全 6.2 文件备份与还原,6.1 网络安全,网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。,造成网络不安全的因素,内部因素 操作系统 本身的 安全漏洞 内部人

2、员的 恶意操作 外部因素 病毒 黑客 自然灾难,网络安全三大问题,网络安全面临的主要威胁 黑客侵袭 (hacker attack) 黑客非法进入网络使用网络资源（获取账号和密码/获取网上传输的数据/控制及破坏系统等） 计算机病毒 (computer virus) 使网络不能正常工作，甚至瘫痪 拒绝服务攻击 (DoS) 用户在短时间内收到大量无用信息，攻击者并不控制被攻击的电脑，只是使它失去正常工作能力。,个人电脑安全与服务器安全,个人电脑提供服务较少,安全问题多为疏忽大意。 由于服务器提供服务较多，多种软件导致漏洞频出。 了解网络，提高安全意识。,6.1.1 计算机病毒(Computer Vi

3、ruses),一、 电脑病毒的定义 中华人民共和国计算机信息系统安全保护条例,第二十八条中明确指出： “计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 此定义具有法律性、权威性。,病毒的征兆,键盘、打印、显示有异常现象 运行速度突然减慢 计算机系统出现异常死机或死机频繁 文件的长度内容、属性、日期无故改变 丢失文件、丢失数据 系统引导过程变慢 存储系统的存储容量异常减少或有不明常驻程序,病毒的征兆,系统不认识磁盘或是硬盘不能开机 整个目录变成一堆乱码 硬盘的指示灯无缘无故亮了 计算机系统蜂鸣器出现异常声响 没

4、做写操作时出现“磁盘写保护”信息 异常要求用户输入口令。 程序运行出现异常现象或不合理的结果,计算机病毒的传播途径/入侵管道,数据机连线 启动 DOS模式 使用U盘 Internet/E-Mail连线 网络连线 网络共用档案夹 使用CD-ROM 直接缆线连接档案传输,计算机病毒的特性,计算机病毒的传染性 计算机病毒的隐蔽性 计算机病毒的潜伏性 计算机病毒的破坏性 计算机病毒的针对性 计算机病毒的衍生性（变种） 计算机病毒的寄生性 计算机病毒的不可预见性,二、 病毒分类,宏病毒一些软件开发商在产品研发中引入宏语言，用于执行文档中重复性任务或电子表格中计算（Word , Excel）。宏病毒是专为

5、在文件间复制自身的恶意宏程序，一般可以损坏或更改数据。只要打开受感染文件就可进行传播。 脚本病毒 脚本是使用脚本语言编写的程序，如VBScript、JavaScript，它们无需用户干预即可执行。脚本病毒在某方面与宏病毒类似，它是依赖脚本语言运行，执行一些恶意修改，一般可能会通过打开受感染的文档或电子邮件附件，感染病毒的Internet网站感染。,病毒分类（续）,网络蠕虫 网络蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等等！ 有些蠕虫依靠在磁盘间复

6、制自身来进行传播，有些蠕虫只在内存中复制无数份副本比同时运行，导致计算机速度缓慢。有些网络蠕虫拦截E-mail系统向世界各地发送自己的复制品，导致众多邮件服务器先后崩溃。,蠕虫病毒的特征 1.利用操作系统和应用程序的漏洞主动进行攻击 2.传播方式多样 3.病毒制作技术与传统的病毒不同 4.与黑客技术相结合 蠕虫病毒与一般病毒的比较 普通病毒 蠕虫病毒 存在形式 寄存文件独立程序 传染机制 宿主程序运行 主动攻击 传染目标 本地文件网络计算机,病毒分类,“特洛伊木马”病毒 特洛伊木马病毒，也叫黑客程序或后门病毒，通常伪装成合法软件的非感染型病毒，但不进行自我复制。最常见的木马试图窃取用户名和密码

7、、用户的注册信息和账号信息。国内流行的此类病毒有冰河、NETSPY等。,三、 常用的杀毒方法,1、使用专杀工具：在网上可以搜索到的。 2、借助杀毒软件：比如瑞星、kill3000、Symantec 诺顿、金山毒霸等。 3、手工杀毒：一般情况下是先找到相应的病毒进程，以及相关的文件，然后在重新启动进入系统的安全模式，启动任务管理器，关闭相应的病毒进程，并删除相关的病毒文件，然后再打开注册表编辑器，找到相应的子键删除即可，不过在操作时要小心一些，以免误操作，对于计算机不太熟悉的人员一般是不建议手工操作的。 4、在操作之前，最好是先从网上进行查找有关信息。,5、在线杀毒： 在线杀毒是一种基于网络的，

8、具有强大即时线上扫毒功能的新技术，用户无须下载或安装任何软件，便可以迅速、简便地进行病毒防护和管理。 在线杀毒利用网络浏览器支持Active X标准的特性，通过访问者浏览网页并且下载杀毒引擎控件，而直接对本地硬盘查杀病毒的技术。杀毒引擎一般很小，且只需在首次访问时花时间下载一次，而需要经常更新的病毒代码库则完全不必用户参与，在线杀毒会自动保持与最新版本完全同步。 例如：瑞星、金山毒霸在线杀毒等。,四、防病毒软件,防病毒软件是安装在计算机中的一个程序。它帮助保护您的计算机不受大多数病毒、蠕虫、特洛伊木马和其他有害入侵程序的危害，这些程序会使您的计算机“生病”。病毒、蠕虫和类似程序通常执行恶意操作

9、，例如删除文件、访问个人数据，或使用您的计算机攻击其他计算机。 常用杀毒软件比较： ,一些常用防病毒软件,国外 赛门铁克 Norton Symantec Antivirus 熊猫卫士 Panda Antivirus 趋势 PC-cillin McAfee Virus scan 卡巴斯基Kaspersky Anti-Virus(AVP) Personal 国内 瑞星 金山毒霸 江民KV杀毒软件 360杀毒,360系统急救箱,360杀毒软件,6.1.2 系统进程与注册表,简单地说，进程是程序在计算机上的一次执行活动。当你运行一个程序，你就启动了一个进程。进程又分为系统进程和用户进程。系统进程主要用

10、于完成操作系统的功能，而QQ、Foxmail等应用程序的进程就是用户进程。 进程的重要性体现在可以通过观察它，来判断系统中到底运行了哪些程序，以及判断系统中是否入驻了非法程序。正确地分析进程能够帮助我们在杀毒软件不起作用时，手动除掉病毒或木马。,如何知道系统中目前有哪些进程？在Windows98/Me/2000/XP/2003中，按下“Ctrl+Alt+Delete”组合键就可以直接查看进程，或打开“Windows 任务管理器”的“进程”选项来查看进程。通常来说，系统常见的进程有winlogon.exe，services.exe，explorer.exe，svchost.exe等。要熟悉进程，

11、首先就要熟悉最常见的系统进程，这样当发现其它奇怪的进程名（如HELLO，GETPASSWORD，WINDOWSSERVICE等等）时就方便判断了。,1、系统进程,alg.exe csrss.exe ddhelp.exe dllhost.exe explorer.exe inetinfo.exe internat.exe kernel32.dll lsass.exe mdm.exe mmtask.tsk mprexe.exe msgsrv32.exe mstask.exe regsvc.exe rpcss.exe services.exe smss.exe snmp.exe spool32.ex

12、e spoolsv.exe stisvc.exe svchost.exe system taskmon.exe tcpsvcs.exe winlogon.exe winmgmt.exe,电脑可能生病了，你如何知道？,观察任务管理器：所有运行的程序都在此出现，病毒程序也不例外。用CTRLALTDEL调出任务表，发现陌生可疑的进程，或者有多个名字相同的程序在运行，而且可能会随时间的增加而增多。CPU的利用率高达100%。 查看注册表：开始-运行-REGEDIT, Hkey_Local_Machine或Hkey_Current_User，再按 Software-Microsoft-Windows-C

13、urrentVersion-Run 或 runonce,2、注册表使用1：查看启动程序,开始运行REGEDIT 1)查看自动开机启动程序 Hkey_Local_Machine或者Hkey_Current_User，然后展开： Software-Microsoft-Windows-CurrentVersion 查看run, runonce,注册表使用2：修复IE的打开页面,有时，一运行IE，它就会自动打开某个恶意网站，解决办法如下： Hkey_Local_Machine或者Hkey_Current_User，然后展开： Software-Microsoft -Internet Explorer

14、-Main-Start page,注册表使用3：恢复默认页,有时，在IE的Internet选项中单击使用默认页按钮无法改回默认设置，解决办法如下： Hkey_Local_Machine 或者Hkey_Current_User Software-Microsoft -Internet Explorer -Main -Default_Page_URL,注册表使用4： IE设置被锁定，怎么办？,你可曾遇到IE的Internet工具被锁定的情况？解决办法如下： Hkey_Current_User，然后展开： Software-Policies -Microsoft -Internet Explorer

15、 -Control Panel 将HomePage设为0,3、非法进程的识别与删除,常规杀灭进程法 A.使用注册表删除启动进程 B.通过系统的“管理工具”里面的“服务”查看目前的全部进程。重点看服务中启动选项为“自动”的那部分进程，检查它们的名字、路径以及登录账户、服务属性的“恢复“里面有没有重启计算机的选项（有些机器不断重新启动的秘密就在这里）。一旦发现可疑的名字需要马上禁止此进程的运行。,而要彻底删除这些程序进程可以用下面的办法：打开注册表编辑器,展开分支“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”,在右侧窗格中显示的就是本机安装的

16、服务项，如果要删除某项服务，只要删除注册表中相关键值即可。,C. 查看这个进程文件所在的路径和名称。重启系统，按F8键进入安全模式，然后在安全模式下删除这个程序。 不少病毒和木马是以用户进程的形式出现的，所以大部分人认为“病毒是不可能获得SYSTEM权限的”。其实，这是个错误的想法，很多病毒或木马也能获得SYSTEM权限，并伪装成系统进程出现在你面前。所以这类病毒就相当容易迷惑人，遇到这种情况，只有不断提高并关注系统安全方面的知识，才能准确判断该进程是否安全。,6.1.3 防火墙技术,防火墙概念 理论上：指提供对网络的存取控制功能，保护信息资源、避免不正当的存取。 防火墙是一种将内部网和公众访

17、问网(Internet)分开的方法，实际上是一种隔离技术。 防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。 防火墙的设计原则： 1）过滤不安全服务的原则； 2）屏蔽非法用户的原则。,防火墙的概念,理论上：指提供对网络的存取控制功能，保护信息资源、避免不正当的存取。,Internet,防 火 墙,局 域 网,360安全卫士,Windows防火墙,网络安全三板斧,防病毒软件 运行补丁程序 防火墙,6.2 数据备份和还原,计算机中的数据对于

18、用户来说是至关重要的。为了减少用户误操作（如意外的修改、删除、磁盘格式化等）、供电中断、病毒破坏、系统崩溃以及存储设备突然损坏给用户带来的损失，必须采取相应的防范措施，保障数据的安全。这些措施包括：选用优秀的防病毒软件和系统维护工具软件、提高用户操作水平和安全意识、建立严格规范的信息管理制度等。 但是实际上还是无法完全避免数据被破坏的情况发生。为了防范于未然，确保数据的完全，应定期对计算机中的数据进行备份。备份就是把硬盘中的文件复制到其他磁盘上保存。在万一发生数据被破坏时可及恢复，从而减少损失。,6.2 数据备份和还原,在网络系统中，用户的数据备份工作一般都通过网络进行，可采用以下所述几种方法

19、进行备份。 1.直接将数据复制到备份存储设备上，如软盘、可擦写光盘。这种方法简单，但数据不能压缩，存储文件的大小和数据有限，不能进行定期的自动备份。 2.使用压缩软件(如WinZip)压缩到备份存储设备上。这种方法节约备份成本，提供分卷压缩功能，可将备份文件压缩到多张存储设备上，但也不能进行定期的自动备份。 3.选择系统提供的备份工具进行备份。这种方法方便、快捷。,6.2.1利用备份向导备份,Windows XP/2000的备份工具提供了强大的向导功能，用户可利用它快速完成系统的备份及还原任务。 1.备份,6.2.1利用备份向导备份,启动备份工具 单击“开始”“程序”“附件”“系统工具”“备份

20、”，启动Windows 备份工具，并选择“欢迎”选项卡，如图所示。,6.2.1利用备份向导备份, 启动备份向导 单击“备份向导”按钮，启动系统的备份向导，打开如图所示的对话框。,6.2.1利用备份向导备份,此时有三种选择：“备份整个系统”、“备份选定的文件、驱动器或网络数据”、“只备份系统状态数据”。根据实际需要，单击“备份选定的文件、驱动器或网络数据”单选钮，然后单击“下一步”，出现如图所示的对话框。,6.2.1利用备份向导备份, 选择备份项目 在“备份内容”列表框和“名称”列表框中选择要备份的内容,再根据实际情况，选择“我的文档”复选框，单击“下一步”，打开如图所示对话框。,6.2.1利用

21、备份向导备份, 设置备份位置和备份文件名 在“备份媒体或文件名”文本框中输入目标磁盘和文件名：E:photobackup，单击“下一步”，打开如图所示的对话框。,6.2.1利用备份向导备份, 完成备份 单击“完成”按钮，系统即会开始进行备份。备份时，如果所选备份内容超过了软盘的容量，系统会自动提示更换软盘。系统备份完成后，出现如图所示的对话框。单击“关闭”按钮，结束任务。,6.2.2利用备份向导还原,如果存储在计算机中的数据遭到破坏或丢失，要恢复这些数据，只须还原以前的备份就行了。 实例：利用还原向导将备份photobackup 还原，还原到F:盘。按以下步聚操作： 启动Windows 备份工

22、具并选择“欢迎”选项卡。,6.2.2利用备份向导还原, 单击“还原向导”按钮，启动系统还原向导。在“还原项目”列表框中查找需要还原的驱动器、文件夹或文件。如图所示。根据题目，找到photobackup，并单击其左边的复选框。 单击“下一步”。 Windows 还原备份时，不一定要求将内容还原到原始位置，可以设置替换位置。此时，单击“高级按钮”，打开如图所示对话框。,6.2.3 手工进行备份,尽管利用备份向导能快速方便地对系统进行备份，但备份向导的控制功能比较弱，不能完全满足用户的需要，因此大多数情况下还得启动备份工具手工备份和还原。 实例：将C:盘文件进行备份，备份到E:盘，文件名为photobackup.bkf。按以下所述步骤操作。,6.2.3 手工进行备份, 启动Windows 的备份工具，并选择“备份”选项卡。 选择要备份的驱动器、文件夹和文件。根据题目，找到并选择“系统状态”，如图所示。,6.2.3 手工进行备份, 设置备份媒体或文件名，选择E