摘 要 截至2008年底中国网民规模达到2.98亿人。当人类步入21世纪这一信息社 会网络社会的时候安全问题成制约互联网发展最重大阻碍。网络安全问题也 层出不穷各种愈演愈烈的网络盗窃、网络诈骗正在越来越突出日益猖獗的木 马、蠕虫以及外挂等产业毒瘤严重影响到了中国新一轮互联网产业的升级以及健 康发展。整个由利益驱动的产业链的链条也在快速地蔓延。 中国的网络环境复杂所面临的网络安全形势越来越严峻各部门的安全工 作存在诸多困难尤其是网民的安全意识薄弱成为了安全的瓶颈。 计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点。通常计 算机罪犯很难留下犯罪证据这大大刺激了计算机高技术犯罪案件的发生。计算 机犯罪案率的迅速增加使各国的计算机系统特别是网络系统面临很大的威胁 并成为严重的社会问题之一。 本文主要介绍了有关网络信息安全的基础网络信息安全的脆弱性体现、网 络信息安全的关键技术、常见攻击方法及防范对策、安全网络的建设。随着网络 技术的不断发展网络信息安全问题终究会得到解决。 1.51.51.51.5计算机网络安全的重要威胁计算机网络安全的重要威胁计算机网络安全的重要威胁计算机网络安全的重要威胁 影响计算机网络的因素很多人为的或非人为的有意的或恶意的等等但 一个很重要的因素是外来黑客对网络系统资源的非法使用严重的威胁着网络的 安全。可以归结威胁网络安全的几个方面如下 1.5.11.5.11.5.11.5.1人为的疏忽人为的疏忽人为的疏忽人为的疏忽 包括有失误、失职、误操作等。 这些可能是工作人员对安全的配置不当不注意保密工作密码选择慎重等 等造成的。 1.5.21.5.21.5.21.5.2人为的恶意攻击人为的恶意攻击人为的恶意攻击人为的恶意攻击 这是网络安全的最大威胁敌意的攻击和计算机犯罪就是这个类别。这种破 坏性最强可能造成极大的危害导致机密数据的泄露。如果涉及的是金融机构 则很可能导致破产也给社会带了震荡。 这种攻击有两种主动攻击和被动攻击。主动攻击有选择性的破坏信息的有 效性和完整性。被动攻击是在不影响网络的正常工作的情况下截获、窃取、破译 以获得重要机密信息。而且进行这些攻击行为的大多是具有很高的专业技能和智 商的人员一般需要相当的专业知识才能破解。 1.5.3网络软件的漏洞网络软件的漏洞网络软件的漏洞网络软件的漏洞 网络软件可能具有缺陷和漏洞而这些正好为黑客提供了机会进行攻击。而 软件设计人员为了方便自己设置的陷门一旦被攻破其后果也是不堪设想的。 1.5.41.5.41.5.41.5.4非授权访问非授权访问非授权访问非授权访问 这是指未经同意就越过权限擅自使用网络或计算机资源。主要有假冒、 身份攻击、非法用户进入网络系统进行违法操作或合法用户以未授权方式进行操 作等。 1.5.51.5.51.5.51.5.5信息泄露或丢失信息泄露或丢失信息泄露或丢失信息泄露或丢失 指敏感数据被有意或无意的泄露出去或丢失通常包括信息在传输的过程 中丢失或泄露。 1.5.61.5.61.5.61.5.6破坏数据完整性破坏数据完整性破坏数据完整性破坏数据完整性 这是指以非法手段窃得对数据的使用权删改、修改、插入或重发某些信息 恶意添加、修改数据以干扰拥护的正常使用。 常见的网络安全问题有以下几种 1 病毒 病毒应该是我们都很熟悉的了它伴随着计算机而生通过网络更加快了其 传播。 2 内部威胁和无意破坏 很多的攻击是由于企业内部人员的蓄意攻击而引起的。此外一些无意失误 如丢失密码、疏忽大意、非法操作等都可以对网络造成极大的破坏。 3 系统的漏洞和陷门 操作系统和网络软件不可能是完美无缺的而这些漏洞或者陷门正好就给黑 客提供了一个入口成为他们的首选攻击目标。而大部分的黑客攻入网络内部 都是因为安全措施不完善所致的。 4 网上的蓄意破坏 近年来我们可以发现黑客很多是出于要炫耀自己的技术他们可以几天几 夜或者几个礼拜的坐在计算机前研究如何在未经许可的条件下入侵别人的计 算机这种蓄意的破坏很多。 5 侵犯隐私或机密资料 通常在涉及金融方面比如帐户一般的黑客会使用木马程序窃取用户的 密码和资料由此侵犯他人隐私和利益。 6 拒绝服务 组织或机构因为有意或者无意的外界因素或者疏漏导致无法完成应有的网 络服务项目称为拒绝服务
3.23.23.23.2网络安全的主要技术网络安全的主要技术网络安全的主要技术网络安全的主要技术 3.2.1 3.2.1 3.2.1 3.2.1 防火墙技术防火墙技术防火墙技术防火墙技术 防火墙技术最初是针对 Internet 网络不安全因素所采取的一种保护措施。 顾名思义防火墙就是用来阻挡外部不安全因素影响的内部网络屏障其目的就 是防止外部网络用户未经授权的访问。目前防火墙采取的技术主要是包过滤、 应用网关、子网屏蔽等。 防火墙技术一般分为两类 1 网络级防火墙 主要是用来防止整个网络出现外来非法入侵。属于这类的 有分组过滤器和授权服务器。前者检查所有流入本网络的信息然后拒绝不符合 实现制定好的一套准则的数据而后者则是检查用户的登录是否合法。 2 应用级防火墙 从应用程序来进行接入控制。通常使用应用网关活代理服 务器来区分各种应用。例如可以只允许通过访问万维网的应用而阻止FTP 应用的通过。 常见的防火墙体系结构 1、双重宿主主机体系结构 2、屏蔽主机体系结构 3、屏蔽子网体系结构 1防火墙的技术实现 防火墙的技术实现通常是基于所谓“包过滤”技术而进行包过滤的标准通常 就是根据安全策略制定的。在防火墙产品中包过滤的标准一般是靠网络管理员 在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有包的源地址、 包的目的地址、连接请求的方向连入或连出、数据包协议如TCP/IP等以 及服务请求的类型如ftp、www等等。 防火墙还可以利用代理服务器软件实现。早期的防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加 强访问控制的作用现在的防火墙则逐渐集成了信息安全技术中的最新研究成 果一般都具有加密、解密和压缩、解压等功能这些技术增加了信息在互联网 上的安全性。现在防火墙技术的研究已经成为网络信息安全技术的主导研究方 向。 2防火墙的特性 从物理上说防火墙就是放在两个网络之间的各种系统的集合这些组建具 有以下特性 1所有从内到外和从外到内的数据包都要经过防火墙 2只有安全策略允许的数据包才能通过防火墙 3防火墙本身应具有预防侵入的功能防火墙主要用来保护安全网免 受来自不安全的侵入。 3防火墙的使用 网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的对防 火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全一方面 却使内部网络与外部网络的信息系统交流受到阻碍因此必须在防火墙上附加各 种信息服务的代理软件来代理内部网络与外部的信息交流这样不仅增大了网络 管理开销而且减慢了信息传递速率。针对这个问题近期美国网屏NetScr een技术公司推出了第三代防火墙其内置的专用ASIC处理器用于提供硬件 的防火墙访问策略和数据加密算法的处理使防火墙的性能大大提高。 防火墙技术在网络安全防护方面存在的不足 防火墙不能防止内部攻击防火墙不能防止未经过防火墙的攻击防火墙不能取 代杀毒软件 防火墙不易防止反弹端口木马攻击。 3.2.2 3.2.2 3.2.2 3.2.2 数据加密技术数据加密技术数据加密技术数据加密技术 所谓数据加密技术就是使用数字方法来重新组织数据使得除了合法受者外任 何其他人想要恢复原先的“消息”是非常困难的。这种技术的目的是对传输中的 数据流加密常用的方式有线路加密和端对端加密两种。前者侧重在线路上而不 考虑信源与信宿是对保密信息通过各线路采用不同的加密密钥提供安全保护。 后者则指信息由发送者端通过专用的加密软件采用某种加密技术对所发送文件 进行加密把明文也即原文加密成密文加密后的文件这些文件内容是一 些看不懂的代码然后进入TCP/IP数据包封装穿过互联网当这些信息一旦到达目的地将由收件人运用相应的密钥进行解密使密文恢复成为可读数据明 文。 2常用的数据加密技术 目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是 指同时运用一个密钥进行加密和解密非对称加密技术就是加密和解密所用的密 钥不一样它有一对密钥分别称为“公钥”和“私钥”这两个密钥必须配对 使用也就是说用公钥加密的文件必须用相应人的私钥才能解密反之亦然。 3数据加密技术的发展现状 在网络传输中加密技术是一种效率高而又灵活的安全手段值得在企业网 络中加以推广。目前加密算法有多种大多源于美国但是会受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国的数据加密标准DES。 近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。 3.2.3 访问控制技术访问控制技术访问控制技术访问控制技术 1身份验证 身份验证是一致性验证的一种验证是建立一致性证明的一种手段。身份验 证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应 用的安全技术现在也仍在广泛应用它是互联网信息安全的第一道屏障。 2存取控制 存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全 理论的重要方面主要包括人员限制、数据标识、权限控制、类型控制和风险分 析。存取控制也是最早采用的安全技术之一它一般与身份验证技术一起使用 赋予不同身份的用户以不同的操作权限以实现不同安全级别的信息分级管 理。 3.3 3.3 3.3 3.3 网络安全的防范策略网络安全的防范策略网络安全的防范策略网络安全的防范策略 3.3.1 3.3.1 3.3.1 3.3.1 网络安全策略网络安全策略网络安全策略网络安全策略 1. 物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和 3.3 3.3 3.3 网络安全的防范策略网络安全的防范策略网络安全的防范策略网络安全的防范策略 3.3.1 3.3.1 3.3.1 3.3.1 网络安全策略网络安全策略网络安全策略网络安全策略 1. 物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和 通信链路免受自然灾害、人为破坏和搭线攻击验证用户的身份和使用权限、防 止用户越权操作确保计算机系统有一个良好的电磁兼容工作环境建立完备的 安全管理制度防止非法进入计算机控制室和各种偷窃、破坏活动的发生。 抑制和防止电磁泄漏即TEMPEST技术是物理安全策略的一个主要问题。 目前主要防护措施有两类 一类是对传导发射的防护主要采取对电源线和信号线加装性能良好的滤波 器减小传输阻抗和导线间的交叉耦合。 另一类是对辐射的防护这类防护措施又可分为以下两种一是采用各种电 磁屏蔽措施如对设备的金属屏蔽和各种接插件的屏蔽同时对机房的下水管、 暖气管和金属门窗进行屏蔽和隔离二是干扰的防护措施即在计算机系统工作 的同时利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩 盖计算机系统的工作频率和信息特征。 2. 访问控制策略 访问控制是网络安全防范和保护的主要策略它的主要任务是保证网络资源 不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。 各种安全策略必须相互配合才能真正起到保护作用但访问控制可以说是保证网 络安全最重要的核心策略之一。下面我们分述各种访问控制策略。 (1)入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户 能够登录到服务器并获取网络资源控制准许用户入网的时间和准许他们在哪台 工作站入网。 用户的入网访问控制可分为三个步骤用户名的识别与验证、用户口令的识 别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过该用户便 不能进入该网络。 为保证口令的安全性用户口令不能显示在显示屏上口令长度应不少于6 个字符口令字符最好是数字、字母和其他字符的混合。 (2) 网络的权限控制网络的权限控制是针对网络非法操作所提出的一种 安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访 问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备 能够执行哪些操作。我们可以根据访问权限将用户分为以下几类 i. 特殊用户即系统管理员 ii. 一般用户系统管理员根据他们的实际需要为他们分配操作权 限 iii. 审计用户负责网络的安全控制与资源使用情况的审计。 (3) 目录级安全控制网络应允许控制用户对目录、文件、设备的访问。 用户在目录一级指定的权限对所有文件和子目录有效用户还可进一步指定对目 录下的子目录和文件的权限。 (4) 客户端安全防护策略客户在使用网络时如果可以有意识的防范网 络攻击是最好的途径。在一般情况下我们要尽可能的切断病毒可能传播的途 径降低受感染的可能性在安装软件时要注意安装的软件的安全性等等。 3. 信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息保护网上传 输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加 密的目的是保护网络节点之间的链路信息安全端-端加密的目的是对源端用户 到目的端用户的数据提供保护节点加密的目的是对源节点到目的节点之间的传 输链路提供保护。用户可根据网络情况酌情选择上述加密方式。 4. 网络服务器安全控制 网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸 载模块可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令 锁定服务器控制台以防止非法用户修改、删除重要信息或破坏数据可以设定 服务器登录时间限制、非法访问者检测和关闭的时间间隔。 5. 网络安全管理策略 在网络安全中除了采用上述技术措施之外加强网络的安全管理制定有 关规章制度对于确保网络的安全、可靠地运行将起到十分有效的作用。 网络的安全管理策略包括确定安全管理等级和安全管理范围制订有关网 络操作使用规程和人员出入机房管理制度制定网络系统的维护制度和应急措施 等。 3.3.2 3.3.2 3.3.2 3.3.2 常用的安全防范技术常用的安全防范技术常用的安全防范技术常用的安全防范技术 为了保护我们的计算机我们需要做出一些常用的措施。 n 防毒软件 首先要有意识的安装可以升级的杀毒软件适度保护计算机免受病毒入侵。 之所以要求防毒软件必须可以升级是因为在网络技术发达的今天病毒不仅传播 的快它更新换代也很频繁。只有添加了新的检测特征的新软件才可以比较有效 的防毒。 n 防火墙 防火墙也是目前使用最广泛的一种网络安全产品。我们可以在网上下载得到 免费的防火墙。而现在许多的杀毒软件也会设置相应的软件防火墙。可以在一定 程度上降低被病毒感染的几率。防火墙的具体情况我们将在后面的章节里详述。 3.4 3.4 3.4 3.4 黑客攻击与防范黑客攻击与防范黑客攻击与防范黑客攻击与防范 3.4.1 3.4.1 3.4.1 3.4.1 黑客网络攻击的步骤黑客网络攻击的步骤黑客网络攻击的步骤黑客网络攻击的步骤 1隐藏自己的位置 普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练的攻击者还 会利用800电话的无人转接服务联接ISP然后再盗用他人的帐号上网。 2寻找目标主机并分析目标主机 攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主 机的是IP地址域名是为了便于记忆主机的IP地址而另起的名字只要利用域 名和IP地址就可以顺利地找到目标主机。此时攻击者们会使用一些扫描器工 具轻松获取目标主机运行的是哪种操作系统的哪个版本系统有哪些帐户W WW、FTP、Telnet、SMTP等服务器程序是何种版本等资料为入侵作好充分的准 备。 3获取帐号和密码登录主机 攻击者要想入侵一台主机首先要有该主机的一个帐号和密码否则连登录 都无法进行。这样常迫使他们先设法盗窃帐户文件进行破解从中获取某用户 的帐户和口令再寻觅合适时机以此身份进入主机。当然利用某些工具或系统 漏洞登录主机也是攻击者常用的一种技法。 4获得控制权 攻击者们用FTP、Telnet等工具利用系统漏洞进入目标主机系统获得控制权 之后就会做两件事清除记录和留下后门。他会更改某些系统设置、在系统中 置入特洛伊木马或其他一些远程操纵程序以便日后可以不被觉察地再次进入系 统。大多数后门程序是预先编译好的只需要想办法修改时间和权限就可以使用 了甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文 件以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹 之后攻击者就开始下一步的行动。 5窃取网络资源和特权 攻击者找到攻击目标后会继续下一步的攻击。如下载敏感信息实施窃 取帐号密码、信用卡号等经济偷窃使网络瘫痪。 3.4.2 3.4.2 3.4.2 3.4.2 黑客攻击的目的及常见手段黑客攻击的目的及常见手段黑客攻击的目的及常见手段黑客攻击的目的及常见手段 黑客攻击的目的通常有以下几种 1 获取目标系统的非法访问获得不该获得的访问权限 2 获取所需资料包括科技情报、个人资料、金融帐户、技术成果和系 统信息等 3 非法修改有关的数据和资料 4 利用有关的资料利用某太计算机的资源对其他的目标进行攻击发 布虚假消息占用存储空间。 黑客主要是利用网络中的漏洞进行攻击。漏洞对他们来说是最重要的信息 黑客要经常学习别人发现的漏洞并努力自己寻找未知漏洞并从海量的漏洞中 寻找有价值的、可被利用的漏洞进行试验当然他们最终的目的是通过漏洞进行 破坏或者修补上这个漏洞。他们的攻击手段主要有以下几种 1 远程攻击通过各种手段在子网以外的其他子网对该子网进行攻击。 2 本地攻击指内部人员通过所在的局域网向网内部其他系统发起攻 击。对于这类攻击操作人员在平时的工作过程中要做好保密工作 减少泄密或者操作失误的几率。 3 伪远程攻击内部人员为了掩盖其真实身份在本地获得一些必要信 息后从外部远程发起的攻击迷惑追查的真相。 3.4.3 3.4.3 3.4.3 3.4.3 如何防范黑客攻击如何防范黑客攻击如何防范黑客攻击如何防范黑客攻击 在这里我们主要讲述的是宽带用户如何防范黑客攻击。 随着黑客工具的简单化和傻瓜化众多的技术水平不高的用户也可以利用手 中的黑客工具大肆进行攻击。 一、隐藏IP地址 黑客经常利用一些网络探测技术来查看我们的主机信息主要目的就是得到 网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念如果攻击者 知道了你的IP地址等于为他的攻击准备好了目标他可以向这个IP发动各种 进攻如DoS攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服 务器。 与直接连接到Internet相比使用代理服务器能保护上网用户的IP地址 从而保障上网安全。代理服务器的原理是在客户机和远程服务器之间架设一个 “中转站”当客户机向远程服务器提出服务要求后代理服务器首先截取用户 的请求然后代理服务器将服务请求转交远程服务器从而实现客户机和远程服 务器之间的联系。很显然使用代理服务器后其它用户只能探测到代理服务器 的IP地址而不是用户的IP地址这就实现了隐藏用户IP地址的目的保障了 用户上网安全。 二、更换管理员帐户 Administrator帐户拥有最高的系统权限一旦该帐户被人利用后果不堪 设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码所以 我们要重新配置Administrator帐号。这里可在前面所讲的用户设置里面更改。 三、 防范木马程序 下载的所有文件都存放在你自己新建的一个文件夹中然后用杀毒软件检测 过之后再打开这样比较安全。 四、不要回陌生人的邮件 有些黑客可能会冒充某些正规网站的名义然后编个冠冕堂皇的理由寄一封 信给你要求你输入上网的用户名称与密码如果按下“确定”你的帐号和密码 就进了黑客的邮箱。所以不要随便回陌生人的邮件即使他说得再动听再诱人也 不上当。 第4444章章章章 常见安全故障处理常见安全故障处理常见安全故障处理常见安全故障处理 4.1 4.1 4.1 4.1 计算机中毒现象计算机中毒现象计算机中毒现象计算机中毒现象 计算机病毒是客观存在的客观存在的事物总有它的特性计算机病毒也不 例外。从实质上说计算机病毒是一段程序代码虽然它可能隐藏得很好但也 会留下许多痕迹。通过对这些蛛丝马迹的判别我们就能发现计算机病毒的存在 了。 计算机病毒发作时是指满足计算机病毒发作的条件计算机病毒程序开始破 坏行为的阶段。计算机病毒发作时的表现大都各不相同可以说一百个计算机病 毒发作有一百种花样。这与编写计算机病毒者的心态、所采用的技术手段等都有 密切的关系。 计算机病毒发作前的表现现象: 计算机病毒发作前是指从计算机病毒感染计算机系统潜伏在系统内开始 一直到激发条件满足计算机病毒发作之前的一个阶段。在这个阶段计算机病 毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己 在不被发现同时又自我复制以各种手段进行传播。 以下是一些计算机病毒发作前常见的表现现象 1、 平时运行正常的计算机突然经常性无缘无故地死机。 病毒感染了计算 机系统后将自身驻留在系统内并修改了中断处理程序等引起系统工作不稳定 造成死机现象发生。 2、操作系统无法正常启动。 关机后再启动操作系统报告缺少必要的启动 文件或启动文件被破坏系统无法启动。这很可能是计算机病毒感染系统文件 后使得文件结构发生变化无法被操作系统加载、引导。 3、 运行速度明显变慢。 在硬件设备没有损坏或更换的情况下本来运行 速度很快的计算机运行同样应用程序速度明显变慢而且重启后依然很慢。 这很可能是计算机病毒占用了大量的系统资源并且自身的运行占用了大量的处 理器时间造成系统资源不足运行变慢。 4、 以前能正常运行的软件经常发生内存不足的错误。 某个以前能够正常 运行的程序程序启动的时候报系统内存不足或者使用应用程序中的某个功能 时报说内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间使 得可用内存空间减小。需要注意的是在Windows 95/98下记事本程序所能够编 辑的文本文件不超过64Kb字节如果用"复制粘贴"操作粘贴一段很大的文字 到记事本程序时也会报"内存不足不能完成操作"的错误但这不是计算机病 毒在作怪。 5、 打印和通讯发生异常。 硬件没有更改或损坏的情况下以前工作正常 的打印机近期发现无法进行打印操作或打印出来的是乱码。串口设备无法正 常工作比如调制解调器不拨号。这很可能是计算机病毒驻留内存后占用了打印 端口、串行通讯端口的中断服务程序使之不能正常工作。 6、 无意中要求对软盘进行写操作。 没有进行任何读、写软盘的操作操 作系统提示软驱中没有插入软盘或者要求在读取、复制写保护的软盘上的文件 时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候 引起的系统异常。需要注意的是有些编辑软件需要在打开文件的时候创建一个临 时文件也有的安装程序如Office 97对软盘有写的操作。 7、 以前能正常运行的应用程序经常发生死机或者非法错误。 在硬件和操 作系统没有进行改动的情况下以前能够正常运行的应用程序产生非法错误和死 机的情况明显增加。这可能是由于计算机病毒感染应用程序后破坏了应用程序本 身的正常功能或者计算机病毒程序本身存在着兼容性方面的问题造成的。 8、 系统文件的时间、日期、大小发生变化。 这是最明显的计算机病毒感 染迹象。计算机病毒感染应用程序文件后会将自身隐藏在原始文件的后面文 件大小大多会有所增加文件的访问和修改日期和时间也会被改成感染时的时 间。尤其是对那些系统文件绝大多数情况下是不会修改它们的除非是进行系 统升级或打补丁。对应用程序使用到的数据文件文件大小和修改日期、时间是 可能会改变的并不一定是计算机病毒在作怪。 9、 运行Word打开Word文档后该文件另存时只能以模板方式保存。 无 法另存为一个DOC文档只能保存成模板文档DOT。这往往是打开的Word文 档中感染了Word宏病毒的缘故。 10、 磁盘空间迅速减少。 没有安装新的应用程序而系统可用的可用的磁 盘空间减少地很快。这可能是计算机病毒感染造成的。需要注意的是经常浏览网 页、回收站中的文件过多、临时文件夹下的文件数量过多过大、计算机系统有过 意外断电等情况也可能会造成可用的磁盘空间迅速减少。另一种情况是Windows 95/98下的内存交换文件的增长在Windows 95/98下内存交换文件会随着应用 程序运行的时间和进程的数量增加而增长一般不会减少而且同时运行的应用 程序数量越多内存交换文件就越大。 11、 网络驱动器卷或共享目录无法调用。 对于有读权限的网络驱动器 卷、共享目录等无法打开、浏览或者对有写权限的网络驱动器卷、共享目录等 无法创建、修改文件。虽然目前还很少有纯粹地针对网络驱动器卷和共享目录的 计算机病毒但计算机病毒的某些行为可能会影响对网络驱动器卷和共享目录的 正常访问。 12、 基本内存发生变化。 在DOS下用mem /c/p命令查看系统中内存使用 状况的时候可以发现基本内存总字节数比正常的640Kb要小一般少1Kb2Kb。 这通常是计算机系统感染了引导型计算机病毒所造成的。 13、 陌生人发来的电子函件。 收到陌生人发来的电子函件执行之后会出现 重启系统变慢。这就说明你有可能中毒了。 以下列举了一些计算机病毒发作时常见的表现现象 1、 提示一些不相干的话。 最常见的是提示一些不相干的话比如打开感 染了宏病毒的Word文档如果满足了发作条件的话它就会弹出对话框显示" 这个世界太黑暗了"并且要求你输入"太正确了"后按确定按钮。 2、发出一段恶作剧式的音乐。 4444.2.2.2.2故障现象分析及处理故障现象分析及处理故障现象分析及处理故障现象分析及处理 在着手处理故障之前,最好先准备笔和记事本,然后,将故障现象认真仔细记 录下来。在观察和记录时一定要注意细节,解决大型网络故障也是如此,因为有时 正时一些最小的细节会使整个问题变得明朗化。 1. 识别故障现象 在准备处理故障之前,必须清楚的知道网络上到底出了什么问题,知道出了什 么问题并能够及时识别,是成功处理故障最重要的步骤。 识别故障现象时,应该询问:当被记录的故障现象发生时,正在运行什么进程。 这个进程以前运行过没有?以前这个进程的运行是不是可以成功?这个进程最后 一次成功运行是什么时候?从最后一次成功运行起,哪些进程发生了改变? 2. 对故障现象进行描述 当处理其他人报告的问题时,对故障现象的详细描述九显得尤为重要。如果仅 凭一面之词,有时还很难下结论,这就需要你亲自操作一下刚才出错的程序,并注 意出错信息。例如,在使用Web浏览器进行浏览时,无论键入哪一个网址都返回 “该页无法显示”之类的信息。使用ping命令时,无论ping哪一个IP地址都显 示超时连接信息等。诸如此类的出错信息为缩小问题范围提供许多有价值的信 息。 对此在处理故障前,可按以下步骤执行: (1) 收集相关故障现象的信息内容并对故障现象进行详细描述,在过程当中要 注意细节(因为问题一般出在小的细节方面)。 (2) 把所有的问题都记录下来。 (3) 不要匆忙下定论。 3. 列举可能导致错误的原因 应当考虑,导致无法查看信息的原因可能有哪些,是网卡硬件故障,还是网络 连 接故障、网络设备(如集线器、交换机)故障,还是TCP/IP协议设置不当等。 注意: 不要着急下结论,可根据出错的可能性把这些原因按优先级别进行排 序,一个个先后排除。 4. 缩小搜索的范围 对自己所有列出可能导致错误的原因进行逐一检查,不要根据一次测试,就断 定某一区域的网络是运行正常还是异常。另外,也不要在自己确定了的第一个错 误上就停下来,应该把自己所列出可能导致出错的原因全部检查过一遍为止。除 了测试之外,还要注意的是:不要忘记看一看网卡、HUB、MODEN、路由器面板上的 指示灯。通常情况下,绿灯表示连接正常(MODEN需要几个绿灯和红灯都要亮),红 灯表示连接故障,不亮则表示无连接或线路不通。根据数据流量的大小,指示灯会 时快时慢的闪烁。 5. 隔离查找出来的错误 经过一番折腾后,这时已经基本知道了故障的部位,对于电脑的错误,可以开 始 检查该电脑网卡是否安装好、TCP/IP协议是否安装并设置正确、Web浏览器的连 接设置是否得当等等一切与已知故障现象有关的内容。然后剩下的事情就是排除 故障了。 6. 分析故障 处理完问题后,还必须搞清楚故障是如何发生的,是何原因导致了故障的发生, 以后如何避免类似故障的发生。 4.3 4.3 4.3 4.3 个人主机的安全防范措施个人主机的安全防范措施个人主机的安全防范措施个人主机的安全防范措施 一、 杀防毒软件不可少 病毒的发作给全球计算机系统造成巨大损失令人们谈“毒”色变。上网的 人中很少有谁没被病毒侵害过。对于一般用户而言首先要做的就是为电脑安 装一套正版的杀毒软件。 现在不少人对防病毒有个误区就是对待电脑病毒的关键是“杀”其实对 待电脑病毒应当是以“防”为主。目前绝大多数的杀毒软件都在扮演“事后诸葛 亮”的角色即电脑被病毒感染后杀毒软件才忙不迭地去发现、分析和治疗。这 种被动防御的消极模式远不能彻底解决计算机安全问题。杀毒软件应立足于拒病 毒于计算机门外。因此应当安装杀毒软件的实时监控程序应该定期升级所安装 的杀毒软件如果安装的是网络版在安装时可先将其设定为自动升级给操 作系统打相应补丁、升级引擎和病毒定义码。由于新病毒的出现层出不穷现在 各杀毒软件厂商的病毒库更新十分频繁应当设置每天定时更新杀毒实时监控程 序的病毒库以保证其能够抵御最新出现的病毒的攻击。 每周要对电脑进行一次全面的杀毒、扫描工作以便发现并清除隐藏在系统 中的病毒。当用户不慎感染上病毒时应该立即将杀毒软件升级到最新版本然 后对整个硬盘进行扫描操作清除一切可以查杀的病毒。如果病毒无法清除或 者杀毒软件不能做到对病毒体进行清晰的辨认那么应该将病毒提交给杀毒软件 公司杀毒软件公司一般会在短期内给予用户满意的答复。而面对网络攻击之时 我们的第一反应应该是拔掉网络连接端口或按下杀毒软件上的断开网络连接 钮。 二、个人防火墙不可替代 如果有条件安装个人防火墙Fire Wall以抵御黑客的袭击。所谓“防 火墙”是指一种将内部网和公众访问网Internet分开的方法实际上是一 种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度它能允许你 “同意”的人和数据进入你的网络同时将你“不同意”的人和数据拒之门外 最大限度地阻止网络中的黑客来访问你的网络防止他们更改、拷贝、毁坏你的 重要信息。防火墙安装和投入使用后并非万事大吉。要想充分发挥它的安全防 护作用必须对它进行跟踪和维护要与商家保持密切的联系时刻注视商家的 动态。因为商家一旦发现其产品存在安全漏洞就会尽快发布补救Patch 产 品此时应尽快确认真伪防止特洛伊木马等病毒并对防火墙进行更新。在 理想情况下一个好的防火墙应该能把各种安全问题在发生之前解决。就现实情 况看这还是个遥远的梦想。目前各家杀毒软件的厂商都会提供个人版防火墙软 件防病毒软件中都含有个人防火墙所以可用同一张光盘运行个人防火墙安装 重点提示防火墙在安装后一定要根据需求进行详细配置。合理设置防火墙后应能 防范大部分的蠕虫入侵。 三、分类设置密码并使密码设置尽可能复杂 在不同的场合使用不同的密码。网上需要设置密码的地方很多如网上银行、 上网账户、E-Mail、聊天室以及一些网站的会员等。应尽可能使用不同的密码 以免因一个密码泄露导致所有资料外泄。对于重要的密码如网上银行的密码 一定要单独设置并且不要与其他密码相同。 设置密码时要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号 码等容易泄露的字符作为密码最好采用字符与数字混合的密码。 不要贪图方便在拨号连接的时候选择“保存密码”选项;如果您是使用 Email客户端软件Outlook Express、Foxmail、The bat等来收发重要的电 子邮箱如ISP信箱中的电子邮件在设置账户属性时尽量不要使用“记忆密 码”的功能。因为虽然密码在机器中是以加密方式存储的但是这样的加密往往 并不保险一些初级的黑客即可轻易地破译你的密码。 定期地修改自己的上网密码至少一个月更改一次这样可以确保即使原密 码泄露也能将损失减小到最少。 四、不下载来路不明的软件及程序不打开来历不明的邮件及附件 不下载来路不明的软件及程序。几乎所有上网的人都在网上下载过共享软件 尤其是可执行文件在给你带来方便和快乐的同时也会悄悄地把一些你不 欢迎的东西带到你的机器中比如病毒。因此应选择信誉较好的下载网站下载软 件将下载的软件及程序集中放在非引导分区的某个目录在使用前最好用杀毒 软件查杀病毒。有条件的话可以安装一个实时监控病毒的软件随时监控网上 传递的信息。 不要打开来历不明的电子邮件及其附件以免遭受病毒邮件的侵害。在互联 网上有许多种病毒流行有些病毒就是通过电子邮件来传播的这些病毒邮件通 常都会以带有噱头的标题来吸引你打开其附件如果您抵挡不住它的诱惑而下 载或运行了它的附件就会受到感染所以对于来历不明的邮件应当将其拒之门 外。 五、警惕“网络钓鱼” 目前网上一些黑客利用“网络钓鱼”手法进行诈骗如建立假冒网站或发 送含有欺诈信息的电子邮件盗取网上银行、网上证券或其他电子商务用户的账户密码从而窃取用户资金的违法犯罪活动不断增多。公安机关和银行、证券等 有关部门提醒网上银行、网上证券和电子商务用户对此提高警惕防止上当受骗。 目前“网络钓鱼”的主要手法有以下几种方式 1发送电子邮件以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的 形式大量发送欺诈性邮件这些邮件多以中奖、顾问、对账等内容引诱用户在邮 件中填入金融账号和密码或是以各种紧迫的理由要求收件人登录某网页提交用 户名、密码、身份证号、信用卡号等信息继而盗窃用户资金。 2建立假冒网上银行、网上证券网站骗取用户账号密码实施盗窃。犯 罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相 似的网站引诱用户输入账号密码等信息进而通过真正的网上银行、网上证券 系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本即利用 合法网站服务器程序上的漏洞在站点的某些网页中插入恶意Html代码屏蔽 住一些可以用来辨别网站真假的重要信息利用cookies窃取用户信息。 3利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网 站或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息犯罪分 子在收到受害人的购物汇款后就销声匿迹。 4利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作 者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序当感染木马的用 户进行网上交易时木马程序即以键盘记录的方式获取用户账号和密码并发送 给指定邮箱用户资金将受到严重威胁。 5利用用户弱口令等漏洞破解、猜测用户账号和密码。不法分子利用部 分用户贪图方便设置弱口令的漏洞对银行卡密码进行破解。 实际上不法分子在实施网络诈骗的犯罪活动过程中经常采取以上几种手 法交织、配合进行还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼” 不法活动。反网络钓鱼组织APWGAnti-Phishing Working Group最新统计指 出约有70.8%的网络欺诈是针对金融机构而来。从国内前几年的情况看大多 Phishing只是被用来骗取QQ密码与游戏点卡与装备但今年国内的众多银行已 经多次被Phishing过了。可以下载一些工具来防范Phishing活动如Netcraft Toolbar该软件是IE上的Toolbar当用户开启IE里的网址时就会检查是 否属于被拦截的危险或嫌疑网站若属此范围就会停止连接到该网站并显示提 示。 六、防范间谍软件 最近公布的一份家用电脑调查结果显示大约80%的用户对间谍软件入侵他 们的电脑毫无知晓。间谍软件Spyware是一种能够在用户不知情的情况下偷 偷进行安装安装后很难找到其踪影并悄悄把截获的信息发送给第三者的软 件。它的历史不长可到目前为止间谍软件数量已有几万种。间谍软件的一个 共同特点是能够附着在共享文件、可执行图像以及各种免费软件当中并趁机 潜入用户的系统而用户对此毫不知情。间谍软件的主要用途是跟踪用户的上网 习惯有些间谍软件还可以记录用户的键盘操作捕捉并传送屏幕图像。间谍程 序总是与其他程序捆绑在一起用户很难发现它们是什么时候被安装的。一旦间 谍软件进入计算机系统要想彻底清除它们就会十分困难而且间谍软件往往成 为不法分子手中的危险工具。 从一般用户能做到的方法来讲要避免间谍软件的侵入可以从下面三个途 径入手 1把浏览器调到较高的安全等级——Internet Explorer预设为提供基 本的安全防护但您可以自行调整其等级设定。将Internet Explorer的安全等 级调到“高”或“中”可有助于防止下载。 2在计算机上安装防止间谍软件的应用程序时常监察及清除电脑的间 谍软件以阻止软件对外进行未经许可的通讯。 3对将要在计算机上安装的共享软件进行甄别选择尤其是那些你并不 熟悉的可以登录其官方网站了解详情在安装共享软件时不要总是心不在焉 地一路单击“OK”按钮而应仔细阅读各个步骤出现的协议条款特别留意那些 有关间谍软件行为的语句。 七、只在必要时共享文件夹 不要以为你在内部网上共享的文件是安全的其实你在共享文件的同时就会 有软件漏洞呈现在互联网的不速之客面前公众可以自由地访问您的那些文件 并很有可能被有恶意的人利用和攻击。因此共享文件应该设置密码一旦不需要 共享时立即关闭。 一般情况下不要设置文件夹共享以免成为居心叵测的人进入你的计算机的 跳板。 如果确实需要共享文件夹一定要将文件夹设为只读。通常共享设定“访问 类型”不要选择“完全”选项因为这一选项将导致只要能访问这一共享文件夹 的人员都可以将所有内容进行修改或者删除。Windows98/ME的共享默认是“只 读”的其他机器不能写入;Windows2000的共享默认是“可写”的其他机器 可以删除和写入文件对用户安全构成威胁。 不要将整个硬盘设定为共享。例如某一个访问者将系统文件删除会导致 计算机系统全面崩溃无法启动。 八、不要随意浏览黑客网站、色情网站 这点勿庸多说不仅是道德层面而且时下许多病毒、木马和间谍软件都来 自于黑客网站和色情网站如果你上了这些网站而你的个人电脑恰巧又没有缜 密的防范措施哈哈那么你十有八九会中招接下来的事情可想而知。 九、定期备份重要数据 数据备份的重要性毋庸讳言无论你的防范措施做得多么严密也无法完全 防止“道高一尺魔高一丈”的情况出现。如果遭到致命的攻击操作系统和应 用软件可以重装而重要的数据就只能靠你日常的备份了。所以无论你采取了 多么严密的防范措施也不要忘了随时备份你的重要数据做到有备无患
|