网络信息安全培训教程

网络信息安全培训教程***信息化工作办公室-7-28局域网概述

局域网（LocalAreaNetwork,LAN）是在小范围内将多种数据通信设备互连起来，进行数据通信和资源共享的计算机网络。局域网的地理范围一般在.01-20km之间。局域网连网非常灵活，两台计算机就可以连成一种对等局域网。局域网的安全是内部网络安全的关键，怎样保证局域网的安全性成为网络安全研究的一种重点。

网络安全构成网络安全目的

通俗地说，网络信息安全重要是指保护网络信息系统，使其没有危险、不受威胁、不出事故。

从技术角度来说，网络信息安全的目的重要表目前系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。

网络安全威胁1.3.1物理威胁

物理威胁在网络中是最难控制的，它也许来源于外界的故意无意的破坏。物理威胁有时可以导致致命的系统破坏，如系统的硬件措施遭到严重的破坏。

物理威胁的防治虽然很重要，然而在网络中诸多物理威胁往往被忽视，如网络设备被盗等。在更换磁盘时，必须经格式化处理，由于反删除软件很轻易获取仅从磁盘上删除的文献。

1.3.2系统漏洞威胁

1.端口威胁

端口威胁是系统漏洞的重要方面,在顾客上网的时候，网络病毒和黑客可以通过这些端口连接到顾客的计算机上潜在的端口开放相称于给系统开了一种后门，病毒和网络袭击者可以通过开放的端口入侵系统。

为防止端口威胁，顾客应当使用端口扫描软件来查看系统已经启动的服务端口，并将不安全的端口关闭。

2.不安全服务

操作系统的部分服务不需要进行安全认证服务就可以登录，这些程序一般都是基于UDP协议的，它的无认证服务导致系统很有也许被病毒和网络袭击者控制。此类服务在作用后应当立即停止，否则将导致系统不可挽回的损失。

3.配置和初始化

有些系统提供认证和匿名两种方式，因此怎样辨别服务方式和怎样进行系统的初始化配置非常关键。

1.3.3身份鉴别威胁

1.假冒

假冒的身份一般是用一种模仿的程序替代真正的程序登录界面，设置口令圈套，以窃取口令。

2.密码暴力破解

按照密码学的观点，任何密码都可以被破解出来，任何密码都只能在一段时间内保持系统的安全性。

1.3.4病毒和黑客威胁

病毒是一段可执行的恶意程序，它可以对计算机的软件和硬件资源进行破坏。计算机病毒寄生在系统内部，不易被发现，具有很强的的传染性，一但病毒被激活，就也许对系统导致巨大的危害。由于TCP/IP协议的脆弱性和Internet的管理问题，目前，互联网成为病毒的最重要的传播途径。计算机病毒已成为计算机与网络安全的重要原因。黑客威胁是目前网络的又一大威胁，黑客是指非法入侵他人计算机系统的人，他们一般带有某种目的，通过系统漏洞非法入侵。【实例1-1】简述物理防护在计算机系统安全面的作用。

解析物理防护重要是针对计算机硬件上的弱点进行防护，防止人为原因或自然原因导致计算机系统的损坏，防止措施如下：

（1）防止计算机设备丢失。

（2）防止非授权人员和破坏者进入计算机的工作环境。

（3）规划对外通信的出口，制止非法接线。

（4）防止设备或数据损失。

（5）防止电磁辐射。局域网的安全措施局域网基于广播技术构建。由于广播原理，局域网的数据截取和窃取成了安全的重要问题，此外，ARP地址欺骗、泛洪等诸多问题，尚有TCP／IP协议固有的不安全原因，网络操作系统的安全缺陷等，都使得基于局域网的安全防备非常关键。

2.2.1网络自身的安全设置

1.网络分段

网络分段一般被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。如：与，其目的就是将非法顾客与敏感的网络资源互相隔离，从而防止也许的非法侦听。

2.组建互换式局域网

对局域网的中心互换机进行网络分段后，由于使用共享式集线器，当顾客与主机进行数据通信时，两台计算机之间的数据包会被同一台集线器上的其他顾客所侦听。因此，应当以互换式集线器替代共享式集线器，建立互换式局域网，可以使单播包仅在两个节点之间传送，从而防止非法侦听。

3.虚拟局域网

采用互换式局域网技术组建的局域网，可以运用VIAN(虚拟网络)技术来加强内部网络管理。4.网络访问权限设置

假如不对局域网中的主机访问进行权限和顾客身份设置，则可以完全被网络中的其他顾客访问，因此在局域网中设置访问权限，实现数据的加密服务非常重要。权限控制是针对网络非法操作所提出的一种安全保护措施，对顾客和顾客组赋予一定的权限，可以限制顾客和顾客组对目录、子目录、文献、打印机和其他共享资源的访问，可以限制顾客对共享文献、目录和共享设备的操作。

5.网络设备安全控制

局域网中的路由器和三层互换机基本上都内置防火墙功能，且可通过设置IP访问列表与MAC地址绑定等方案对网络中的数据进行过滤，限制出入网络的数据，从而增强网络安全性。

6.防火墙控制

防火墙是目前最为流行也是使用最广泛的一种网络安全技术，防火墙作为一种分离器、限制器和分析器，用于执行两个网络之间的访问控制方略，有效地监控了内部网和Internet。之间的任何活动，既可为内部网络提供必要的访问控制，又不会导致网络瓶颈，并通过安全方略控制进出系统的数据，保护网络内部的关键资源。

2.2.2

网络操作系统的安全

1.安全密码控制

操作系统安装完毕后，设置一种足够强健的账号和密码非常关键，并最佳将不用的匿名顾客都删除。windowsXP操作系统是通过顾客级别来设置顾客的操作权限，因此配置安全方略十分必要。配置安全方略的环节如下：

(1)在“控制面板”中打开“管理工具”窗口，双击“计算机管理”图标，打开“计算机管理”窗口，依次展开“系统工具”一“当地顾客和组”一“顾客”，在右边窗口中的空白处右击，弹出一种快捷菜单，如图2—2所示。

\o"图2—2\“计算机管理\”窗口"

图2—2“计算机管理”窗口

(2)在该快捷菜单中选择“新顾客”命令，弹出“新顾客”对话框，如图2—3所示。在该对话框中输入顾客名和密码等信息，并选中“密码永不过期”复选框，单击“创立”按钮，即可添加一种新顾客。添加新顾客．

\o"图2-3添加新顾客"

图2-3添加新顾客

2.安全漏洞扫描和补丁安装

目前的网络操作系统，每隔一段时问就会出现新的漏洞和安全威胁，因此顾客要常常关注它的官方站点，下载系统补丁程序。此外，选择一款系统漏洞扫描工具比较重要。对于windows的操作系统，可以登录微软官方网站http：//更新大部分的系统组件，修补漏洞。

瑞星杀毒软件也集成了一款比较完美的漏洞检测和修复工具。

3.防火墙和杀毒软件

在局域网的构建中，安装一款优秀的杀毒软件十分重要。对杀毒软件的规定是该杀毒软件必须要有足够强大的病毒库，并且轻易升级，同步，对于某些未知病毒应当具有一定的预测能力。目前，病毒和反病毒技术都在发展，任何杀毒软件都不能保证操作系统是绝对安全的。

防火墙可以选择硬件或者软件类型的，硬件类型的价格高、安全性好，不过设置和配置都比较麻烦。软件防火墙的价格较低，不过安全性相对差某些。局域网故障检测技术局域网的故障分为软件故障和硬件故障，对的进行故障的处理和维护是网络安全非常重要的方面。硬件故障重要表目前系统元件的损坏，如主板的烧毁、硬盘的损坏等，其处理措施一般是更换设备，对于部分硬件的损坏可以使用逻辑方式临时修复，如硬盘的划伤等，还可以使用屏蔽技术将坏道隐藏起来，不过这些方式都不是非常可靠的。网络关注的是可靠性和稳定性，可以做临时的处理，但从长远来看，更换设备是非常有必要的。

近年来，计算机硬件技术的发展速度远远超过软件的发展速度，硬件在可靠性上大大增强了，同步，其价格在不停下降。因此，硬件故障基本上构不成网络故障威胁，因此在网络故障中应首先考虑软件故障。况且硬件故障的体现一般是十分明显的，而软件故障的体现却比较隐蔽。

2.5.1

网络连通性的检测假如网络不通，应当考虑网卡与否安装对的，与否与其他设备有冲突或者网络与否损坏。这时应当首先查看网络协议与否安装，设置的网络参数与否对的，假如没有这些问题，再检查网络线缆与否损坏。

当出现一种网络应用故障时，若无法接入Internet，首先尝试其他网络应用，假如其他网络应用可正常进行，可以排除连通性故障问题，而鉴定是网络的问题。什么是IP和MAC，怎样查找？MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。只要你不去更改自己的MAC地址，那么你的MAC地址在世界是惟一的。无论是局域网，还是广域网中的计算机之间的通信，最终都体现为将数据包从某种形式的链路上的初始节点出发，从一种节点传递到另一种节点，最终传送到目的节点。数据包在这些节点之间的移动都是由ARP（AddressResolutionProtocol：地址解析协议）负责将IP地址映射到MAC地址上来完毕的。其实人类社会和网络也是类似的，试想在人际关系网络中，甲要捎个口信给丁，就会通过乙和丙中转一下，最终由丙转告给丁。在网络中，这个口信就好比是一种网络中的一种数据包。数据包在传送过程中会不停问询相邻节点的MAC地址，这个过程就好比是人类社会的口信传送过程。ip是指你上网的一种网络地址,IP是唯一的,用于识别你于网络上的位置.每台接入互联网的电脑都会根据tcp/ip协议分派一种唯一的协议地址，用来与其他的主机辨别开，这个编号就是ip地址。如mac地址也是用来将一台电脑和其他电脑区别开，不过和ip的协议分派不一样，mac地址是固化在硬件上的，不可更改的，如：怎样处理MAC地址带来的安全问题我们可以将IP地址和MAC地址捆绑起来来处理这个问题。进入“MS-DOS方式”或“命令提醒符”，在命令提醒符下输入命令：ARP-s200-10-5C-AD-72-E3，即可把MAC地址和IP地址捆绑在一起。这样，就不会出现IP地址被盗用而不能正常使用网络的状况，可以有效保证小区网络的安全和顾客的应用。查找本机IP及MAC：运行---MSCONFIG/ALL

2.5.2网络检测

Windows

XP操作系统中提供了ping、tracert、netstat、pathping等有关的网络测试命令，灵活使用这些命令，实现对网络的检测和管理是比较以便的。

1、ping命令

ping命令用于测试当地主机和远程主机与否可以连通。查看ping命令返回的信息参数，顾客就可以推断网络与否连通，根据网络参数也可以理解远程主机的其他特性。使用ping命令根据反馈报文信息推测远程主机信息，可以作为网络基本故障排除的措施。

通过ping命令测试苯地网络与否连通，可以ping123.com、localhost或者本机的名称，图2-10所示的是连通的测试过程，假如不通，则如图2-11所示。\o"图2-10ping连通状况"

图2-10ping连通状况

2、tracert命令

tracert命令是实现网络路由跟踪的命令，它把数据包所走的所有途径、节点的IP以及花费的时间都显示出来，图2-12所示的是tracert命令的测试过程。\o"图2-12tracert命令的使用"

图2-12tracert命令的使用

3、netstat命令

netstat命令用于检测网络上的连接状况，可以告知顾客所有的连接及其详细的端口。顾客可以使用该命令实现实时监控，可以很清晰地排除网络上所有非法进程和顾客的连接。netstat命令用于显示与IP、TCP、UDP和ICMP协议有关的记录数据，图2-13所示的是netstat命令的运行状况，图2-14报增的上扫描系统中所有端口的状况。\o"netsta命令(不带参数)的使用"

netsta命令(不带参数)的使用\o"图2-14netstat命令(带a参数)的使用"

图2-14netstat命令(带a参数)的使用

4．pathping命令

pathping命令用于跟踪数据包抵达目的网络所采用的路由，并显示途径中每个路由器的数据包损失的信息。该命令只有在安装了TcP／IP协议后才可使用。pathping命令结合了ping和tracert命令所共有的某些功能，可以对数据包进行跟踪，并且在一段时间内探测路由上的每个跃点，可以显示数据包的延迟与丢失。图2—15所示的是pathping命令的运行成果。\o"图2—15pathping命令的使用"

图2—15pathping命令的使用实例解析1.ARP协议的基本概念

ARP协议是“AddressResolutionProtocol”（地址解析协议）的缩写。在局域网中，网络中实际传播的是“帧”，帧里面是有目的主机的MAC地址的。在以太网中，一种主机要和另一种主机进行直接通信，必须要懂得目的主机的MAC地址。但这个目的MAC地址是怎样获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目的IP地址转换成目的MAC地址的过程。ARP协议的基本功能就是通过目的设备的IP地址，查询目的设备的MAC地址，以保证通信的顺利进行。

2.什么是ARP地址欺骗

ARP地址欺骗是通过非法的手段来修改一种正常主机MAC地址表的过程。当局域网中一台计算机反复想向网络中的其他计算机发送假冒的ARP应答信息包时，将导致严重的网络堵塞。

ARP欺骗一般分为两种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗是截获网关数据，它告知路由器一系列错误的局域网MAC地址，并按照一定的频率不停的更新学习进行，使真实的地址信息无法通过更新保留在路由器中，成果路由器的所有数据只能发送到错误的MAC地址，导致正常的计算机无法收到信息。第二种ARP欺骗是通过互换机的MAC地址学习机制，伪造网关。它的原理是建立假的网关，让被它欺骗的计算机向假网关发送数据，而不是通过正常的路由器或互换途径寻找网关，导致在同一网关的所有计算机无法访问网络。

3.ARP地址欺骗的危害

ARP地址欺骗的危害的体现形式有:

1).网络访问时断时继，掉线频繁，网络访问速度越来越慢，有时则长时间不能上网，双击任务栏中的当地连接图标，显示为已经连接，并且发现发送的数据包明显少于接受的数据包；

2).同一网段的所有上网机器均无法正常连接网络；

3).打开·windows任务管理器，出现可疑进程，如“MIE0.dat”等进程；

4).假如是中了ARP欺骗病毒的话，病毒发作时除了会导致同一局域网内的其他顾客出现时断时续外，还也许会窃取顾客密码（如QQ、网上银行以及其他脆弱系统帐号等），这是木马的常用手段；

5).打开路由器的系统历史记录中看到大量的MAC更换信息。

4.ARP地址欺骗的处理措施

1).指定ARP对应关系

2).使用杀毒软件进行病毒的扫描

3).编写一种批处理文献rarp.bat内容如下：@echooffarp-darp-s5400-22-aa-00-22-aa

将文献中的网关IP地址和MAC地址更改为您自己的网关IP地址和

MAC地址即可。将这个批处理软件拖到“windows--开始--程序--启动”中。

5.防止措施辅助

1).立即更新操作系统，打上多种系统漏洞补丁；

2).不要轻易共享多种文献夹，若不得不共享时，应设置好对应的权限，此外还可以限定只有指定的帐号或机器才能访问，文献夹最佳不要设置成可写或可控制；

3).操作系统和多种帐号的密码不要设置为空，应当尽量为6位以上；

4).不要随便打开来历不明的电子邮件，尤其是打开邮件附件时要尤其小心；

5).使用U盘等外来文献时，必须先对其进行病毒查杀，尽量控制病毒不进入网络系统；

6).做好重要、机密数据的备份工作，以免系统中毒后导致数据的丢失；

7).目前诸多企业都可以上网，但不要轻易登陆不明网站，尤其不要随意登陆需要输入自己银行帐号或手机及计算机系统帐号的不明网站，当进行网上交易时更要尤其谨慎；

8).加强企业员工的安全意识，常常组织多种计算机方面的培训，完善计算机使用和网络安全管理等各方面的制度，力争将病毒拒之网外。因特网安全概述伴随Internel的发展和网上电子商务的繁华，Internet已从最初的科研教育网络转变成了一种庞大的商业通信骨干网。越来越多的企业、部门和组织加入进来，新的应用领域不停扩展，诸多企业都但愿在Internet上开展自己的业务，而个人也但愿Internet能提供更多的服务。由于人们对Internet的依赖性越来越强，Internet的安全性正成为人们关注的焦点。

病毒的基本特性计算机病毒是人为制造的程序，它的运行是非法入侵。

伴随操作系统的发展和Internet的流行，病毒技术的发展经历了由DOS向wirldows及Internet网络发展的过程。

DOS是一种安全性较差的操作系统，因此在DOS时代，计算机病毒的种类繁多。目前DOS病毒已经大大减少。首先是基于DOS平台的软件越来越少，另首先是DOS模式下的病毒基本上可以被杀毒软件检测出来。

伴伴随Windows操作系统的出现，产生了大量基于windows平台的计算机病毒。Inter-net的出现和流行，使得病毒的传染途径更为多元化，而网络已成为最重要的病毒传播途径。

7.1.1

常见的计算机病毒

1．木马病毒

木马病毒源于古希腊的特洛伊木马神话，它是把自己伪装在正常程序内部的病毒，这种病毒的伪装性强，一般使顾客很难判断它究竟是合法程序还是木马。木马病毒带有黑客性质坨有强大的控制和破坏能力，可窃取密码、控制系统、操作文献等。

木马由客户端和服务器端两个执行程序构成，客户端程序是袭击者向远程计算机植入木马的执行程序，以到达远程控制此计算机的目的；服务器程序是被植入的木马程序。木马的设计者为了防止木马被发现，采用多种手段隐藏木马。木马入侵目的计算机后，会把目的计算机的IP地址、木马端口等信息发送给入侵者，从而使入侵者运用这些信息来控制目的计算机。木马病毒的类型包括EXE文献执行类木马、进程插入式木马和Rootkit类木马。

2．宏病毒

宏是一系列由顾客编写或录制的命令和指令，用来实现任务执行的自动化。

宏病毒是使用Word的VBA编程接口编写的具有病毒特性的宏集合。它的危害性大，以二进制文献加密压缩格式存入．doc或．dot文献中，它通过小文档或模板进行大量自我复制及传染。一旦运行宏病毒，对应的Normal模板会被传染，所有打开的word文档都会在自动保留时被传染。多数宏病毒包括AutoExe、AutoOpen和AutoNew等自动宏，通过这些自动宏，病毒获得文档(模板)操作权。宏病毒的种类诸多，版本也各不相似，因此查杀各类宏病毒的关键是恢复文献参数。

3．蠕虫病毒

蠕虫病毒是一种能自我复制的程序，并能通过计算机网络进行传播，它消耗大量系统资源，使其他程序运行减慢甚至停止，最终导致系统和网络瘫痪。蠕虫病毒的传染目的是互联网内的所有计算机，其传播方式分为两类：一类是运用系统漏洞积极进行袭击，另一类是通过网络服务传播。

4．PE病毒

PE(PortableExectltable)病毒是指所有感染windows操作系统中PE文献的病毒。PE病毒大多数采用win32汇编语言编写。该病毒感染一般PE文献(如EXE文献)并把自己的代码加到EXE文献尾部，修改原程序的入口点以指向病毒体，PE病毒没有．data段，变量和数据所有放在．code段，病毒自身没有什么危害，但被感染的文献也许被破坏。

5．脚本病毒

脚本病毒一般是用JavaScript或者VBscript代码编写的恶意代码病毒。JavaScEipt脚本病毒通过网页进行传播，一旦顾客运行了带有病毒的网页，病毒就会修改IE首页及注册表等信息，给顾客使用计算机带来不便。

VBS脚本病毒是使用VBScript编写的，以宏病毒和新欢乐时光病毒为经典代表。VBS脚本病毒编写简朴，破坏力大，感染力强。此类病毒通过．htm文档、E—mail附件或其他方式传播，因此，其传播范围很大。

6．恶意网页病毒

网页病毒重要是运用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML(超文本标识语言)内的JavaApplet小应用程序、JavaScript脚本语言程序或ActiveX控件，强行修改顾客操作系统的注册表设置及系统实用配置程序，或非法控制系统资源，盗取顾客文献，或恶意删除硬盘文献、格式化硬盘。这种网页病毒轻易编写，使顾客防不胜防，最佳的防备措施是选用有网页监控功能的杀毒软件。反病毒技术病毒的防止措施病毒的防备比病毒的防治愈加重要，建立一套强大的防备机制可以大大提高系统的安全性。计算机病毒的防止分为管理措施上的防止和技术上的防止两种，在一定的程度上，这两种措施是相辅相成的。常用的防止措施如下：(1)使用比较强健的密码。尽量选择难于猜测的密码，对不一样的账号选用不一样的密码。(2)常常备份重要数据。(3)不要打开来历不明的电子邮件。(4)对的配置系统，减少病毒入侵。充足运用系统提供的安全机制，提高系统防备病毒的能力。(5)定期检查敏感文献。对系统的敏感文献定期进行检查，保证及时发现已感染的病毒和黑客程序。(6)慎用软盘、光盘等移动存储介质。(7)定义浏览器安全设置，浏览网页时要谨慎，不要轻易下载ActiveX控件或Java脚本。(8)安装最新的操作系统、应用软件的安全补丁程序。(9)选择安装优秀的防病毒软件和防火墙，定期对整个硬盘进行病毒检测、清除工作。(10)当计算机不使用时，不要接入互联网，一定要断掉连接。(11)重要的计算机系统和网络一定要严格与互联网物理隔离。这种隔离包括离线隔离，即在互联网中使用过的系统不能再用于内网。

7.4.2

常用的防病毒设置

1.严禁Windows的ScriptingHost功能\o"严禁Windows的ScriptingHost功能"为了有效防止脚本病毒在主机上运行，可以将Windows脚本文献类型删除，这个措施可以制止ⅥsualBasic的脚本病毒的运行。双击“我的电脑”图标，在打开的窗口中选择"工具"——>"文献夹选项"命令，打开"文献夹选项"对话框，单击“文献类型”选项卡，选择WSH、VBS、VBE、JS、JSE-WSF文献类型后单击"删除"按钮将其删除，如图7-1所示。

\o"图7-1严禁ScriptingHost功能"

图7-1严禁ScriptingHost功能

2．设置文献和文献夹的查看方式所有的Windows操作系统在默认状况下会隐藏已知文献类型的扩展名。这个特性可以被恶意程序编写者或黑客运用，将病毒程序用别的文献类型伪装起来。显示文献的扩展名的措施如下：在如图7—1所示的“文献夹选项”对话框中，单击“查看”选项卡，在“高级设置”列表框中取消选中“隐藏已知文献类型的扩展名”复选框，如图7—2所示。

\o"图7-2设置与否显示文献扩展名"

图7-2设置与否显示文献扩展名

在设置文献夹的查看方式时，推荐顾客使用Windows老式风格的文献夹。由于假如在文献夹中显示常见任务选项，其中会包括某些脚本代码。设置文献夹的查看方式为Windows老式风格的措施如下：在如图7—1所示的“文献夹选项’’对话框中，单击“常规”选项卡，在“任务”选项区中选中“使用windows老式风格的文献夹”单项选择按钮，如图7-3所示。\o"图7-3设置显示风格"

图7-3设置显示风格

3．设置IE的安全级别

目前的诸多病毒是伴随顾客浏览站点而下载的，因此进行IE的安全属性设置对维护系统安全非常关键。在默认状况下，IE的安全属性设置为“中”，不过某些病毒和恶意程序可以将这个选项改为低，从而导致病毒的侵入。提议顾客至少将安全级别设为“中”，以减少被感染的几率。在中度安全级别下，当要运行某些包括不安全原因的程序时，IE会给出警告。设置IE安全级别的措施如下：右击IE浏览器图标，在弹出的快捷菜单中选择“属性”命令打开“Internet属性”对话框，单击“安全”选项卡，然后单击“默认级别”按钮，拖动滑动设置IE的安全级别，如图7-4所示。

\o"图7-4IE安全设置"

图7-4IE安全设置

4．Outlook安全设置电子邮件是病毒的一种重要的传播源，因此怎样设置邮件客户端软件的安全属性是关键。微软企业提供的电子邮件客户端软件包括MicrosoftOutlook和OutlookExpress，它们的功能基本相似，下面以OutlookExpressr的安全设置为例来简介基本的电子邮件客户端软件的安全属性设置过程。打开Outlook软件，选择“工具”—“选项”，弹出“选项”对话框，单击“安全”选项卡，选择要使用的InternetExpress的安全区域为“受限站点区域”，并选中“当别的应用程度试图用我的名义发送电子邮件时警告我”和“不容许保留或打开也许有病毒的附件”复选项，如图7-5所示。

\o"图7-5Outlook安全设置"

图7-5Outlook安全设置

关闭OutlookExpress的预览窗口，由于预览窗口会自动打开邮件的附件，这将威胁到顾客的计算机安全，因此关闭预览功能可以进行Outlook的安全维护。打开Outlook软件，选择“查看”——>“布局”命令，打开“窗口布局属性”对话框，取消选中“显示预览窗格”复选框，如图7-6所示。

\o"图7-6窗口布局属性设置"

图7-6窗口布局属性设置

5．宏病毒保护设置宏病毒是目前系统中常见的病毒，由于Office办公系列软件的大量使用，导致宏病毒成为目前病毒的重要构成部分。目前，在微软企业的Office系列软件中可以对宏进行安全设置，在Word、Excel、PowerPoint中的设置方式相似。打开软件，选择“工具”—“宏”—“安全性”命令，弹出“安全性”对话框，在“安全级”选项卡中设置宏的安全级别为“非常高”，如图7—7所示，这样系统就可以严禁运行来历不名的宏，从而有效制止宏病毒。

\o"图7-7宏病毒保护设置"

图7-7宏病毒保护设置

6．安装最新系统安全补丁操作系统的安全漏洞成为病毒的一大袭击口，因此常常对系统进行自动更新可以及时安装补丁程序，更新安全补丁可以制止黑客或某些恶意程序运用已知的安全漏洞对系统进行袭击。设置措施是：在桌面上右击“我的电脑”图标，在弹出的快捷菜单中选择“属性”命令，弹出“系统属性”对话框，单击“自动更新”选项卡，如图7—8所示，在该选项卡中，顾客可以决定系统的更新方式。当然，顾客也可以从操作系统提供的更新站点下载并更新数据。

\o"图7-8系统更新设置"

图7-8系统更新设置

7．设置安全密码在操作系统和应用软件中，设置强健的安全密码是非常必要的，一种强健的安全密码，其长度至少应当为8位，至少同步有大小写字母，至少具有数字或符号字符。设置的密码不应当具有规律性，例如常见的单词，这些将很轻易被破解。例如Bh_42qqwK_4J1就是一种比较强健的密码。常见的病毒检测措施目前，计算机病毒技术与计算机反病毒技术的矛盾越来越锋利。病毒的危害使顾客防不胜防，稍有不慎，病毒就会给顾客导致严重后果。对计算机病毒的防备首先应当杜绝它的传染途径，对存储介质和网络都进行实时监控；另一方面要安装优秀的杀毒软件和防火墙，对系统时常进行扫描和病毒清除；同步还要建立系统备份和还原机制，以备不测。病毒处理的环节

计算机病毒的处理包括防毒、查毒、杀毒3个方面。病毒处理存在的问题1．漏报由于病毒技术的不停变化，诸多未知新病毒、病毒变异、多形性病毒或者隐形病毒都将不能被杀毒软件检测到。由于病毒的特性码不停变化，压缩文献方式多样，病毒体加密解密方式变化(如循环加密等)，病毒采用反跟踪技术和困惑技术，内存高端和XMS／EMS区驻留，病毒技术避开检测技术等，漏报是病毒检测中常常见到的现象，因此只有不停地升级杀毒系统的病毒库文献，隔一段时间应当重新进行系统的安全扫描。2．误报误报指的是把正常的系统文献报成病毒。由于杀毒软件的病毒特性码选择不合理，导致正常操作与非正常操作不能辨别、判断失误，检测技术错误或者不妥，有时也许由于特殊干扰而导致杀毒软件做出错误推测。3．错报错报指的是将一种病毒错报成另一种病毒。由于病毒的特性码交叉，病毒交叉感染、反复感染、病毒欺骗等往往会导致错报。对杀毒系统而言，少许的漏报和误报是容许的，而错报也许会带来一定问题，但误报率超过一定程度，就会使顾客对反病毒软件的质量与可靠性产生怀疑。常用的杀毒软件国外的杀毒软件目前，市场上的杀毒软件产品琳琅满目，国外的杀毒软件在国内拥有很大的顾客群。Toptenreviews已经公布了的世界杀毒软件排名，图7-9所示的是Toptenreviews站点上的杀毒软件排名。

\o"图7-9世界杀毒软件排名"

图7-9世界杀毒软件排名

1．BitDefendrBitDefendr是罗马尼亚出品的杀毒软件，它有24万种病毒的超大病毒库，为顾客的计算机提供最大也许的保护，具有功能强大的反病毒引擎以及互联网过滤技术。2．KasperskyKaspersky(卡巴斯基)杀毒软件来源于俄罗斯，是世界上顶级的网络杀毒软件，卡巴斯基杀毒；软件具有超强的中心管理和杀毒告知。它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和至少的时间来建构顾客的抗病毒分离墙。3．ESETNod32ESETNod32是ESET企业出品的优秀杀毒软件，它在全球共获得40多种奖项，可以对邮件进行实时监测，占用内存资源较少，清除病毒的速度和效果都令人满意。4．PC-cillinPC-cillin是美国趋势科技企业出品的优秀杀毒软件。PC—cillin集个人防火墙、防病毒、防垃圾邮件等功能于一体，最大程度地提供对桌面机的保护，并不需要顾客进行过多的操作。5．F-SecureAnti-VirusF-SectlreAnt}Ⅵrus是芬兰出品的杀毒软件，它集合AVP、LIBRA、ORION和DRACO共4套杀毒引擎。该软件采用分布式防火墙技术，对网络流行病毒的查杀尤其有效。6．McAfeeVirllsScanMcAfeeVirusScan是全球最畅销的杀毒软件之一，McAfee防毒软件除了操作界面比较新奇外，也将该企业的webScanX功能合在一起，杀毒性能稳定，操作以便。7．NortonAntiVirusNorton

AntiVirus是Symantec企业出品的优秀杀毒软件，它可协助顾客侦测上万种已知和未知的病毒。8．AVGAnti-Virus

AVGAnti-Virussystem在功能上相称完善，可及时对任何存取文献侦测，防止计算机感染病毒。9．CAAntivirusCAAntiVirus是CA企业出品的面向中小型企业及SOHO顾客的反病毒软件。该产品杀毒功能强大，操作简朴。10．NorilianVirusControlNormanVirusControl是欧洲名牌杀毒软件，它结合了先进的病毒扫描引擎、启发式分析技术以及宏验证技术，可有效查杀已知和未知病毒。

7.5.2

国内的杀毒软件1．金山毒霸金山毒霸是金山软件股份有限企业开发的高智能反病毒软件。金山毒霸独创双引擎杀毒技术，内置金山自主研发的杀毒引擎和俄罗斯著名杀毒软件Dr．Web杀毒引擎，融合了启发式搜索、代码分析、虚拟机查毒等经业界证明已经成熟可靠的反病毒技术，使其在查杀病毒种类、查杀病毒速度、未知病毒防治等多方面到达世界先进水平。2．江民杀毒软件江民杀毒软件是北京江民新科技术有限企业开发的计算机病毒处理软件。江民杀毒软件可有效清除20多万种的已知计算机病毒、蠕虫、木马、黑客程序、网页病毒、邮件病毒、脚本病毒等，可全方位积极防御未知病毒，并新增了流氓软件清理功能。3．瑞星杀毒软件瑞星杀毒软件是北京瑞星科技股份有限企业出品的反病毒软件，它用于对已知病毒和黑客程序进行查找、实时监控和清除，恢复被病毒感染的文献或系统，保护计算机系统的安全。它能全面清除感染DOS、Windows系统的病毒以及危胁计算机安全的黑客程序，目前的最新版本是瑞星。瑞星杀毒软件的更新速度非常快，几乎每天均有新的升级包。4．东方卫士东方卫士是世纪长捷企业开发的免费杀毒软件，具有超强的易用性和实用性。东方卫士采用独创的自免疫智能反毒系统，通过对系统软件正常运行状态的记录，严禁病毒进行诸如复制、删除、格式化硬盘、破坏分区表、减少系统性能等操作，通过冻结病毒的传播和破坏两种特性，使病毒的隐蔽性发挥不了作用，能在完全不知病毒代码的状况下，解除新病毒及未知病毒的威胁，有效遏制多种病毒的传播。实例解析【实例7-1】理解冲击病毒并给出手清除的措施。

解析1．毒感染特性假如计算机感染了冲击波克星病毒，在任务管理器中会发现DLLhost.exe和ms-blast.exe进程，计算机会莫名其妙地死机或重新启动；IE浏览器不能正常使用。2．清除的措施手动清除的环节如下：(1)染病毒的计算机从网络中断开。(2)在“控制面板”中打开“管理工具”窗口，然后打开“服务”窗口，在窗口右侧的列框中单击WebClicent选项，然后单击“停止”按钮，并将启动类型改为“禁用”，如图7-19所示，最终单击“确定”按钮。

\o"图7-19WebClient的属性设置"

图7-19WebClient的属性设置

(3)使用上一环节中同样的措施停止NetworkConnections服务，并将启动类型改为“禁用”，如图7-20所示。

\o"图7-20NetworkConnections的属性设置"

图7-20NetworkConnections的属性设置

(4)找到系统中所有的DLLhost.exe和svchost.exe文献，将其删除，假如在Windows系统中删除不了，转入DOS环境中的删除该文献。(5)安装操作系统补丁文献。补丁下载地址为：http：//www．Microsoft．com

chinna/secu-rity/Bulletins/MS03-026.asp。

【实例7-2】

理解“熊猫烧香”病毒并给出手动清除的措施。

解析1．病毒感染特性“熊猫烧香”是由Delphi工具编写的蠕虫病毒，它可以终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为．gho的文献，使顾客无法使用GllOSt软件恢复操作系统。“熊猫烧香”病毒感染系统的.exe、.com、.pif、.src、.html和.asp文献，添加病毒网址，导致顾客一打开这些网页文献，IE就会自动连接到指定的病毒网址中下载病毒。“熊猫烧香”病毒在硬盘各个分区中生成aitprun．inf和setup.exe文献，可以通过U盘和移动硬盘等方式进行传播，运用windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文献并感染，感染后的文献图标变成“熊猫烧香”图案。“熊猫烧香”病毒还可以通过共享文献夹、系统弱口令等多种方式进行传播。

2．手动清除措施

手动清除的环节如下：

(1)打开“开始”菜单，选择“运行”命令，在打开的“运行”对话框中输入ntsd-cq-pnspo-clsv．exe后按回车键结束病毒的进程。

(2)运行regedit.exe，打开注册表编辑器。找到HKEY_LOCAL_MACHlNE\SOFT-WARE\Microsoft\Windows\CurrentVersion\Explotrer\Advanced\Folder\Hidden\SHOWALL一项，将CheckedValue改成1。打开HKEY-CURRENT-USER\Software\Mi-crosoft\Windowsk\CurrentVersiorl\Run，将Svcshare的项目删除。

(3)双击“我的电脑’’图标，在打开的窗口中选择“工具”—“文献夹选项”命令，在打开的对话框中单击“查看”选择卡，取消选中“隐藏受保护的操作系统文献”复选框，并在“隐藏文献和文献夹”中选中“显示所有文献和文献夹”复选框，同步取消选中“隐藏已知类型文献的扩展名”复选框，最终单击“确定”按钮。在硬盘的各个分区的图标上右击，在弹出的快捷菜单中选择“打开”命令，切忌直接双击打开。删除根目录下的setup.exe(图标为“熊猫烧香”)和auto-run.inf文献。

(4)进入系统目录下的drivers目录，默认为C：\windows\system32\drivers，将该目录中的spoclsv．exe文献删除。重新启动计算机，检查这几种文献与否存在，假如不存在，则病毒已被清除洁净。

假如上面的删除文献过程在Windows操作系统中不能进行，可以转入DOS模式进行。对于隐藏的文献，应当先使用attrib命令更改隐藏文献的属性，然后使用delete命令删除病毒文献。一招让你的电脑百毒不侵假如大家使用的是Windows2K或WindowsXP，那么教大家一招克就能死所有病毒!从此上网可安心了，不再怕中毒！假如你是新装的系统(或者是你能确认你的系统目前是无毒的)，那就再好不过了，目前就立即就打开：“开始→程序→管理工具→计算机管理→当地顾客和组→