第8章 计算机病毒与计算机安全

4R第8章信息安全与计算机知识产权

第『幸

信息要会鸟计耳机和拥产收

第8章信息安全与计算机知识产权

.1信息安全概述

8.1.1信息安全

“安全”：客观上不存在威胁，主观上不存在恐惧。

信息安全就是最大限度地减少数据和资源被攻击的

可能性。

信息安全包括：

保密性：信息为被授权人使用；

完整性：信息准确，防止被篡改；

可用性：在授权人需要的时候，可获得；

可控性：对信息系统实施安全监控。

第8章信息安全与计算机知识产权3

8.1.2计算机安全的定义

实体安全：计算机硬件系统及其附属设备的安全

软件安全：防止软件的非法复制等

数据安全：计算机安全的核心

运行安全：强调管理机构、制度和工作人员

一切影响计算机安全的因素和保障计算机安全的措施

都是计算机安全所研究的内容

第8章信息安全与计算机知识产权4

8.1.3计算机网络安

1.网络安全的定义：网络硬件和网络软件的安全。

Internet所使用的TCP/IP协议是一个基于相互信任环境

下的协议体系，它的IP层没有安全认证和保密机制(只基

于IP地址进行数据包的寻址，无认证和保密)。在传输层,

TCP连接能被欺骗、截取、操纵。

2.产生网络安全的三个原因：

(1)网络自身的安全缺陷：协议不安全和业务不安全。

(2)网络的开放性：由于协议公开，是远程攻击可能。

(3)人的因素：黑客攻击。

第8章信息安全与计算机知识产权

3.网络信息安全的技术对策

信息加密：现代密码算法不仅可以实现加密，还可以

实现数字签名、鉴别外，还可使用防火墙等功能。

以上方法能有效地对抗截收、非法访问、破坏信息的

完整性、冒充、抵赖、重演等威胁，因此，密码技术

是信息网络安全的核心技术。

第8章信息安全与计算机知识产权

*6

数字签名：数字签名采用一种数据交换协议，接受

方能够鉴别发送方所宣称的身份；发送方以后

不能否认他发送过数据这一事实。数据签名一

般采用不对称加密技术（完全匹配的一对钥匙…公钥和私

钥），发送方对整个明文进行加密变换，得到

一个值，将其作为签名。接收者使用发送者的

公开密钥对签名进行解密运算，如其结果为明

文，则签名有效，证明对方身份是真实的。

第8章信息安全与计算机知识产权7

身份鉴别：身份鉴别和消息内容鉴别。数字签名是

较好的鉴别方法。

访问控制：基于源地址和目标地址的过滤管理、网

络签证技术等。

防火墙：过滤进、出网络的数据；管理进、出网络

的访问行为；封堵某些禁止行为；记录通过防火

墙的信息内容和活动；对网络攻击进行检测和告

第8章信息安全与计算机知识产权8

8.2黑客与防火墙

第8章信息安全与计算机知识产权9

以概念为主，了解黑客攻击大概过程

了解防火墙的基本概念及其作用

8.2.1什么是黑客（Hacker）：具有网络与计算机

专长的，了解系统的漏洞及其原因所在，能完成入

侵，访问、控制、破坏系统的人。

⑴黑客攻击技术

第8章信息安全与计算机知识产权10

8.2.2黑客常用的攻击方式

C：\DocunentsandSettings\IBM>tracertwvn/.baidu.con

[TracingroiPing是Windows系列自带的108.22.5]

pueranax一个可执行命令。利用它可

1<1以检查网络是否能够连通，

21用好它可以很好地帮助我们

3<1分析判定网络故障。

1NX『■3、JL.、JL£«JL«C«ndDMJ.

51ns<1ns<1ns221.2.131.25

68RS8ns8ns60.215.131.209

724ms23ns16RS60.215.136.73

819ms18ns18ns219.158.12.97从威海到百度的路径

917ns17ns17ns202.96.12.22

1023ns23ns23ns61.148.157.238

1117ms17ns17ns61.148.155.230

1218ms17RS17ns202.106.43.30

1323ms23ns23nsxd—22—5-a8.bta.net.cn(202.108.22.5J

(Tracecomplete

第8章信息安全与计算机知识产权11

2）探测分析系统的安全弱点：使用Telnet（会话）或

FTP（文件传输）等软件向目标主机申请服务，如果

目标主机有应答就说明开放了这些端口的服务。

其次使用Internet安全扫描程序ISS（Internet

SecurityScanner）或网络安全分析工具SATAN等来对

整个网络或子网进行扫描，寻找系统的安全漏洞,

获取攻击目标系统的非法访问权。

3）实施攻击：在受到攻击的目标系统安装探测器软件,

如特洛伊木马程序，在目标系统中建立新的安全

漏洞或后门，收集黑客感兴趣的一切信息，如账

号与口令等敏感数据。

第8章信息安全与计算机知识产权

2.黑客的攻击手段

1)密码破解：一般采用字典攻击、假登录程序和密

码探测程序等来获取系统或用户的口令文件。

2)IP嗅探(Sniffing)与欺骗(Spoofing)

嗅探：又叫网络监听，通过改变网卡的操作模式让它接

受流经该计算机的所有信息包，这样就可以截获其他

计算机的数据报文或口令。

欺骗：即将网络上的某台计算机伪装成另一台不同的主

机，目的是欺骗网络中的其他计算机误将冒名顶替者

当作原始的计算机而向其发送数据或允许它修改数据。

如IP欺骗、路由欺骗、DNS欺骗、ARP欺骗以及Web欺

骗等。

第8章信息安全与计算机知识产权13

3）系统漏洞

利用系统中存在的漏洞，如“缓冲区溢出”（是指当

计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数

据覆盖在合法数据上）来执行黑客程序。

4）端口扫描

查看系统中哪些端口对外开放，然后利用这些端

口通信来达到入侵的目的。如“冰河V8.0”木马

就是利用了系统的2001号端口。

第8章信息安全与计算机知识产权14

防止黑客攻击的策略

1）数据加密：提高了数据传输的安全性。

2）身份认证：只对确认了身份的用户给予相应的

访问权限。

3）建立完善的访问控制策略：设置入网访问权限、

网络共享资源的访问权限、目录安全等级控制、

网络端口和结点的安全控制、防火墙的安全控制

等。

4）审计：记录与安全有关的事件，保存在日志文

件以备查询。

第8章信息安全与计算机知识产权15

5）其他安全防护措施：

不随便从Internet上下载软件

不运行来历不明的软件

不随便打开陌生人发来的邮件附件

不随意去点击具有欺骗诱惑性的网页超级链接

第8章信息安全与计算机知识产权16

8.2.3防火墙技术

1.防火墙概述防火墙是设置在被保护的内部网络

和外部网络之间的软件和硬件设备的组合，对内

部网络和外部网络之间的通信进行控制，通过监

测和限制跨越防火墙的数据流，尽可能地对外部

屏蔽网络内部的结构、信息和运行情况。

第8章信息安全与计算机知识产权17

2.防火墙的主要类型

1）包过滤防火墙：在网络层对数据包进行分析、选择

和过滤。通过系统内设置的访问控制表，指定允许哪

些类型的数据包可以流入或流出内部网络。一般可以

直接集成在路由器上，在进行路由选择的同时完成数

据包的选择与过滤。

特点：速度快、逻辑简单、成本低、易于安装和使用,

但配置困难，容易出现漏洞。

W------第--8-章--信-息--安-全--与-计--算--机-知--识-产--权-18

2）应用代理防火墙：

防火墙内外计算机系统间应用层的连接由两个代理服

务器的连接来实现，使得网络内部的计算机不直接

与外部的计算机通信，同时网络外部计算机也只能

访问到代理服务器，从而起到隔离防火墙内外计算

机系统的作用。但执行速度慢，操作系统容易遭到

攻击。

第8章信息安全与计算机知识产权19

3）状态检测防火墙：

在网络层由一个检查引擎截获数据包并抽取出与

应用层状态有关的信息，并以此作为依据决定对

该数据包是接受还是拒绝。状态检测防火墙克服

了包过滤防火墙和应用代理防火墙的局限性，能

够根据协议、端口及IP数据包的源地址、目的地

址的具体情况来决定数据包是否可以通过。

第8章信息安全与计算机知识产权

3.常见的防火墙

1）Windows防火墙：

这是windowsxp操作系统自带的防火墙,可以限制从其

他计算机上发送来的信息，更好地控制自己计算机

上的数据，这样就对那些未经允许而尝试连接的用

户或程序（包括病毒和蠕虫）提供了一道屏障。

2）天网个人防火墙：

属于包过滤类型防火墙，根据系统预先设定的过滤规

则以及用户自己设置的过滤规则来对网络数据的流

动情况进行分析、监控和管理，能够有效地提高计

算机的抗攻击能力。

第8章信息安全与计算机知识产权

3）瑞星企业级防火墙：

一种混合型防火墙，集状态包过滤、应用层专

用代理、敏感信息的加密传输和详尽灵活的日志

审计等多种安全技术于一身，可根据用户的不同

需求，提供强大的访问控制、信息过滤、代理服

务和流量统计等功能。

辜明第8章信息安全与计算机知识产权

4.防火墙的局限性

1）如果允许网内部不受限制向外拨号，就可绕过防火

墙；

2）不能防止感染病毒的软件和文件的传输；

3）不能防止数据驱动式攻击（是通过向某个程序发送数据，以产

生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，数据驱动攻

击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞

攻击、信任漏洞攻击等）

4）不能提供实时的入侵检测功能。

第8章信息安全与计算机知识产权23

・3计算机病毒

第8章信息安全与计算机知识产权

'冲击波：CPU占用100%

欢乐时光：Desktop.iniFolder.htt

未来一周“欢乐时光”“求职信”变种病毒将新\r

国家it算机隔击应急处理中心插的广大用户G防病毒

1月。日至15日一周内将51定期发作

的计算机痔毒划下：■根据具体病毒特征

病毒名稼:・欢乐希尤丁•VBS_HappVtime：

脚本类病毒

发作日期3诊病毒

危害程JS：病毒向汴发携带毒邮件，

并在该日删除硬血中的ex。和Ml文件网上免费查毒

病毒名称：'逑吗僖:IWofro_Ktez.CI

病事类型:电子邮件蝇虫病毒

发作日期「杀毒软件

危害程度:病毒向♦卜发送带毒邮件，

然止反病毒软杵的送行，并在13日

用垃圾数据型差电岫中的育效数据「除病毒Y专杀工具

专家提醺2、在对亲疑迸行杀缶

之前-先国«ns耍的

T、即第羯JK的特征较为S*期-据文件.即使这整文件

信体内容为空或有质短的英士.已经帚笆一万一杀冬失J手工清除

并带前带一阿杵.巧用户汉0败后还有机看痣计算机

处理,尤舁对坪件的闲件,不牧氏原助，轴后再使用

要岐便运行茶一数件对故据文件进

张豆三笫北淅华社发行修其

第8章信息安全与计算机知识产权

8.3.1计算机病毒的概念

1.计算机病毒的定义

1994年2月18日，我国颁布的《中华人民共和国计算机信

息系统安全保护条例》，第二十八条中明确指出：“计

算机病毒，是指编制或者在计算机程序中插入破坏计算

机功能或者毁坏数据，影响计算机使用，并能自我复制

的程序代码”o由主控程序，传染程序，破坏程序三部

分组成。

主要特点：破坏性，传染性，隐蔽性，可触发性等。

b第8章信息安全与计算机知识产权26

2.计算机病毒的分类

1）传统病毒（单机环境下）

①引导型病毒：就是用病毒的全部或部分逻辑取代正

常的引导记录，而将正常的引导记录隐藏在磁盘的

其它地方，这样系统一启动病毒就获得了控制权。

如“大麻”病毒和“小球”病毒。

②文件型病毒：病毒寄生在可执行程序体内，只要程

序被执行，病毒也就被激活，病毒程序会首先被执

行，并将自身驻留在内存，然后设置触发条件，进

行传染。如“CIH病毒”。

第8章信息安全与计算机知识产权27

③宏病毒：寄生于文档或模板宏中的计算机病毒，

一旦打开带有宏病毒的文档，病毒就会被激活，

并驻留在Normal模板上，所有自动保存的文档都

会感染上这种宏病毒，如uTaiwanNO.1"宏病

毒。

④混合型病毒：既感染可执行文件又感染磁盘引导

记录的病毒。

匹第8章信息安全与计算机知识产权28

2.）现代病毒（网络环境下）

①蠕虫病毒：以计算机为载体，以网络为攻击对象,

利用网络的通信功能将自身不断地从一个结点发

送到另一个结点，并且能够自动启动的程序，这

样不仅消耗了大量的本机资源，而且大量占用了

网络的带宽，导致网络堵塞而使网络服务拒绝，

最终造成整个网络素统的瘫痪。

例如“冲击波”病毒：利用Windows远程过程

调用协议（RemoteProcessCall,RPC）中存在的

系统漏洞，向远端系统上的RPC系统服务所监听的

端口发送攻击代码，从而达到传播的目的。感染

该病毒的机器会莫名其妙地死机或重新启动计算

机，IE浏览器不能正常地打开链接，不能进行复

制粘贴操作，有时还会出现应用程序异常如Word

无法正常使用，上网速度变慢，在任务管理器中

可以找到一个“msblast.exe”的进程在运行。

第8章信息安全与计算机知识产权

*29

②木马病毒：是指在正常访问的程序、邮件附件或

网页中包含了可以控制用户计算机的程序，这些

隐藏的程序非法入侵并监控用户的计算机，窃取

用户的账号和密码等机密信息。

例如“QQ木马”病毒：该病毒隐藏在用户的系统

中，发作时寻找QQ窗口，给在线上的QQ好友发送

诸如“快去看看，里面有……好东西”之类的假

消息，诱惑用户点击一个网站，如果有人信以为

真点击该链接的话，就会被病毒感染，然后成为

毒源，继续传播。

第8章信息安全与计算机知识产权30

8.3.2计算机病毒的防治

1.计算机病毒的预防

安装实时监控的杀毒软件或防毒卡，定期更新病毒库；

经常运行WindowsUpdate,安装操作系统的补丁程序；

安装防火墙工具,设置相应的访问规则,过滤不安全的站

点访问；

不随意打开来历不明的电子邮件及附件;

不随意安装来历不明的插件程序；

不随意打开陌生人传来的页面链接，谨防恶意网页中隐

藏的木马程序；

预防为主，防治结合

不使用盗版的游戏软件。

第8章信息安全与计算机知识产权

8.3.3计算机病毒的清除

1）使用杀毒软件

T)金山毒霸：http://db.kingsoft.com

2)瑞星杀毒软件：http://www.rising.com.cn

3)诺顿防毒软件：http://www.Symantec.com

4)江民杀毒软件:http://www.jiangmin.com.cn

第8章信息安全与计算机知识产权32

2)使用病毒专杀工具

RIMRGisgs首页，专杀工＞©-1

机器狗专条工具|

当前版本：软件类别：免费文件大小：32CIKB发布时间：2008-02-02免费下载

磁碟机(DiskGen)家族专杀工具

当前版本：14软件类别：免费文件大小：364k发布时间：2008-02-01免费下载

.马吉斯(Fora.lagistr)”病毒专杀工具

当前版本：1.0软件类别：免费文件大小：320KB发布时间：2007-06-12免费下载

卡卡上网安全助手3.。(含3448专条工具)

当前版本：3.0.0.8软件类别：免费文件大小：1.38M发布时间：2006-11-22免费下载

第8章信息安全与计算机知识产权

3）手动清除病毒

适用于对计算机的操作相当熟练，具有一定计算机专

业知识的用户。利用病毒程序自启动的特点，在开始

一运行下输入“regedit”打开注册表编辑程序，查

看相关目录下是否有非法自动运行的程序，有的话就

可以手动删除这些病毒程序项，并找到对应的病毒文

件手动将其物理删除。

第8章信息安全与计算机知识产权34

4）病毒防卫意识

病毒只要一发作，就会表现出一些不正常的现象，例

如机器运行速度明显变慢，机器异常死机，出现黑屏

现象，文件被莫名删除，程序无法正常运行等等。

第8章信息安全与计算机知识产权35

下面是“震荡波”病毒发作时在“windows任务管理器”的“进

程”选项卡下找到的病毒程序的进程，机器出现的异常关机提

PVindo«<fE*TTWa--系统关机

文科Q)任I©)5«V)糟能QPXI

SWWF且尊性制WR

系统即将关机话保存所有正在运行的工

WPS内存使用

mS幡Kfj作，然后腓。未保存的改动将会丢先

ttt)7>crE?.RmK

iBxnowntli*V3uritncco«.lglKW关机是由NTAUTHORITY\SYSTEH初始的

IBK咫曲?a.l

-eeQ«34E

flwwSTiiL3gs《9■1fGC

2•mat”・coGC

3UTUO0KEUutf^.Me

co—K

4U•••】・uMr^ye，IMI

mettn】，WKC>Fcgo0M

f！I

”-r,lypinc^EE08ae£K离关机还有：00:00:19

<tfhc«.El®I

11卬3皿皿LX消息

agdincacLH

KV3£".tilll^lUC^tACsJ0Ms系统处理程序].二

)UXcL<42,li^th4*xaA<S

8!叨C