网络安全基础

《网络安全基础》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

目录第一章网络安全基础41.1网络安全的重要性41.2网络安全的重要威胁41.2.1人为的疏忽41.2.2人为的恶意攻击41.2.3网络软件的漏洞51.2.4非授权访问51.2.5信息泄露或丢失51.2.6破坏数据完整性51.3网络安全定义及目标51.4网络安全的等级61.5网络安全的层次71.5.1物理安全71.5.2安全控制71.5.3安全服务81.6网络安全的策略9第二章TCP/IP基础102.1网络的基础知识102.1.1什么是计算机网络及其拓扑结构102.1.2计算机网络的分类102.1.3OSI参考模型122.2TCP/IP协议132.2.1什么是TCP/IP协议及其优点132.2.2TCP/IP的体系结构142.2.3TCP/IP应用层中常见协议17第三章网络攻击、检测与防范技术183.1网络攻击技术183.1.1网络攻击的定义183.1.2常见的网络安全问题183.1.3网络攻击的手段193.1.4网络攻击使用的操作系统及其常用的工具203.2网络攻击检测技术203.3网络安全的防范21 3.3.1网络安全策略213.3.2常用的安全防范技术263.4黑客攻击与防范263.4.1黑客攻击的目的及常见手段263.4.2如何防范黑客攻击27第四章操作系统的安全漏洞304.1WindowsNT操作系统的安全与防范304.1.1WindowsNT的安全策略304.1.2WindowsNT的基本安全措施334.1.3系统补丁的下载及安装344.2网络软件与网络服务的漏洞374.2.1常见的网络软件与网络服务的漏洞374.2.2密码设置的误区37第五章计算机病毒与反病毒405.1计算机病毒产生的原因405.2计算机病毒的定义及命名415.2.1计算机病毒的定义415.2.2计算机病毒的命名425.3计算机病毒的特征435.4计算机病毒的症状及危害445.4.1可能传播病毒的途径445.4.2计算机病毒的症状455.4.3计算机病毒造成的危害485.5反病毒技术485.5.1病毒的识别与预防505.5.2感染病毒后计算机的处理515.5.3网上免费的杀毒软件略举52第六章防火墙技术576.1防火墙概述576.1.1防火墙的基本概念576.1.2防火墙的功能586.1.3防火墙的优缺点586.2防火墙的工作方式616.2.1硬件方式616.2.2软件方式626.2.3混合方式626.3防火墙分类63 6.4防火墙的使用646.4.1安装天网防火墙646.4.2天网防火墙的使用656.4.3天网防火墙系统设置676.4.4应用程序规则设置696.4.5IP规则设置716.4.6安全级别设置75第七章Web服务的安全性767.1概述767.2Web服务的安全威胁767.3防御措施787.3.1安装防火墙787.3.2加密保护797.3.3身份认证817.3.4数字签名83第八章常见安全故障处理858.1计算机中毒现象858.2故障处理878.2.1故障现象分析及处理878.2.2举例说明888.3个人主机的安全防范措施93 第一章网络安全基础1.1网络安全的重要性安全性是互联网技术中很关键的也是很容易被忽略的问题。曾经，许多的组织因为在使用网络的过程中未曾意识到网络安全性的问题，知道受到了资料安全的威胁，才开始重视和采取相应的措施。可以举例我们身边的例子，如网上银行。用户可能没有意识到网络是木马程序的现象，未经检查软件的安全性就放心使用，其结果自然是损失惨重了。故此，在网络广泛使用的今天，我们更应该了解网络安全，做好防范措施，做好网络信息的保密性、完整性和可用性。1.2网络安全的重要威胁影响计算机网络的因素很多，人为的或非人为的，有意的或恶意的等等，但一个很重要的因素是外来黑客对网络系统资源的非法使用严重的威胁着网络的安全。可以归结威胁网络安全的几个方面如下：1.2.1人为的疏忽包括有：失误、失职、误操作等。这些可能是工作人员对安全的配置不当，不注意保密工作，密码选择慎重等等造成的。1.2.2人为的恶意攻击这是网络安全的最大威胁，敌意的攻击和计算机犯罪就是这个类别。这种破坏性最强，可能造成极大的危害，导致机密数据的泄露。如果涉及的是金融机构则很可能导致破产，也给社会带了震荡。 这种攻击有两种：主动攻击和被动攻击。主动攻击有选择性的破坏信息的有效性和完整性。被动攻击是在不影响网络的正常工作的情况下截获、窃取、破译以获得重要机密信息。而且进行这些攻击行为的大多是具有很高的专业技能和智商的人员，一般需要相当的专业知识才能破解。1.2.3网络软件的漏洞网络软件不可能毫无缺陷和漏洞，而这些正好为黑客提供了机会进行攻击。而软件设计人员为了方便自己设置的陷门，一旦被攻破，其后果也是不堪设想的。1.2.4非授权访问这是指未经同意就越过权限，擅自使用网络或计算机资源。主要有：假冒、身份攻击、非法用户进入网络系统进行违法操作或合法用户以未授权方式进行操作等。1.2.5信息泄露或丢失指敏感数据被有意或无意的泄露出去或丢失，通常包括：信息在传输的过程中丢失或泄露。1.2.6破坏数据完整性这是指以非法手段窃得对数据的使用权，删改、修改、插入或重发某些信息，恶意添加、修改数据，以干扰拥护的正常使用。1.3网络安全定义及目标网络安全是指：为保护网络免受侵害而采取的措施的总和。当正确的采用网络安全措施时，能使网络得到保护，正常运行。它具有3方面内容：n保密性：指网络能够阻止未经授权的用户读取保密信息。n完整性：包括资料的完整性和软件的完整性。资料的完整性指在未经许可的情况下确保资料不被删除或修改。软件的完整性是确保软件程序不会被错误、被怀有而已的用户或病毒修改。 n可用性：指网络在遭受攻击时可以确保合法拥护对系统的授权访问正常进行。我们对网络进行安全性保护，就是为了实现以下目标：（1）身份真实性对通信实体身份的真实性进行识别。（2）信息机密性保证机密信息不会泄露给非授权的人或实体。（3）信息完整性保证数据的一致性，防止非授权用户或实体对数据进行任何破坏。（4）服务可用性防止合法拥护对信息和资源的使用被不当的拒绝（5）不可否认性建立有效的责任机智，防止实体否认其行为（6）系统可控性能够控制使用资源的人或实体的使用方式（7）系统易用性在满足安全要求的条件下，系统应该操作简单、维护方便。（8）可审查性对出现问题的网络安全问题提供调查的依据和手段。1.4网络安全的等级我们不能简单地说一个计算机系统是安全的或是不安全的。依据处理的信息的等级和采取相应对策来划分安全等级为4类7级，从低到高依次是D1、C1、C2、B1、B2、B3、A级。D-A分别表示了不同的安全等级。以下是其简单说明：（图1显示了从高到底的排列。）D1：整个计算机系统是不可信任的，硬件和操作系统都很容易被侵袭。对用户没有验证要求。C1：对计算机系统硬件有一定的安全机制要求，计算机在被使用前需要进行登录。但是它对登录到计算机的用户没有进行访问级别的限制。C2：比C1级更进一步，限制了用户执行某些命令或访问某些文件的能力。这也就是说它不仅进行了许可权限的限制，还进行了基于身份级别的验证。B1：支持多级安全，也就是说安全保护安装在不同级别的系统中，可以对敏感信息提供更高级别的保护。 B2：也称结构保护，计算机系统对所有的对象加了标签，且给设备分配安全级别。B3：要求终端必须通过可信任途径连接到网络，同时要求采用硬件来保护安全系统的存储区。A：最高的一个级别。它附加了一个安全系统受监控的设计并要求安全的个体必须通过这一设计。AB3B2B1C2C1D1图1-11.5网络安全的层次网络安全层次包括：物理安全、安全控制和安全服务。1.5.1物理安全物理安全是指在物理介质层次上对存储和传输的网络信息的安全保护，即保护计算机网络设备和其他的媒体免遭受到破坏。物理安全是网络信息安全的最基本的保障，是整个安全系统必备的组成部分，它含括了环境安全、设备安全和媒体安全三方面的内容。在这个层次上可能造成不安全的因素主要是来源于外界的作用，如硬盘的受损、电磁辐射或操作失误等等。对应的措施主要是做好辐射屏蔽、状态检测、资料备份（因为有可能硬盘的损坏是不可能修复，那可能丢失重要数据）和应急恢复。1.5.2安全控制 安全控制是指在网络信息系统中对信息存储和传输的操作进程进行控制和管理，重点在网络信息处理层次上对信息进行初步的安全保护。安全控制主要在3个层次上进行了管理：操作系统的安全控制：包括用户身份的核实、对文件读写的控制，主要是保护了存储数据的安全。网络接口模块的安全控制：在网络环境下对来自其他计算机网络通信进程的安全控制，包括了客户权限设置与判别、审核日记等。网络互联设备的安全控制：主要是对子网内所有主机的传输信息和运行状态进行安全检测和控制。1.5.3安全服务安全服务是指在应用程序层对网络信息的完整性、保密性和信源的真实性进行保护和鉴别，以满足拥护的安全需求，防止和抵御各种安全威胁和攻击手段。它可以在一定程度上祢补和完善现有操作系统和网络信息系统的安全漏洞。安全服务主要包括：安全机制、安全连接、安全协议和安全策略。1安全机制利用密码算法对重要而敏感的数据进行处理。现代的密码学在这里举足轻重。在我们现在的网络中，很多重要的应用程序对数据都进行了加密，解密，还有数字签名等等，这些都是网络的安全机制。2安全连接这是在安全处理前与网络通信方之间的连接过程。它为安全处理提供必要的准备工作。主要包括了密钥的生成、分配和身份验证（用于保护信息处理和操作以及双方身份的真实性和合法性）。3安全协议在网络环境下互不信任的通信双方通过一系列预先约定的有序步骤而能够相互配合，并通过安全连接和安全机制的实现来保证通信过程的安全性、可靠性和公平性。4安全策略它是安全体制、安全连接和安全协议的有机组合方式，是网络信息系统安全性的完整解决方案。安全策略决定了网络信息安全系统的整体安全性和实用性。 1.6网络安全的策略网络安全是一个涉及很广的问题，需要进行各个方面的保密措施。这些必须从三个方面：法规政策、技术和管理3个层次上采取有效的措施。高层的安全功能为低层的安全功能提供保护。任何一层上的安全措施都不可能提供真正的全方位的安全与保密。安全策略主要有3个方面：l威严的法律在网络上现在的许多行为都无法可依，必须建立与网络安全相关的法律、法规才行。l先进的技术这是网络安全与保密的根本保证。用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类；选择相应的安全机制。然后集成先进的安全实数，有效防范。l严格的管理在各个部门中建立相关的安全管理办法，加强内部管理，建立合适的网络安全管理，建立安全审核与跟踪体系，提供整体员工的网络安全意识。这些都将有效工作。在网络安全中，除了采取上述技术之中，加强网络的安全管理，制定有关的规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。 第二章TCP/IP基础2.1网络的基础知识2.1.1什么是计算机网络及其拓扑结构计算机网络：是利用通信设备和线路将地理位置不同的,功能独立的多个计算机系统连接起来,以功能完善的网络软件（网络协议、信息交换方式、控制程序和网络操作系统）实现网络的资源共享和信息传递的系统。简单的说就是连接两台或多台计算机进行通信的系统。图2-1计算机网络Internet网络的拓扑结构：在给定计算机终端位置及保证一定的可靠性、时延、吞吐量的情况下，所选择的使整个网络成本最低的合适的通路、线路容量以及流量分配。也就是说是指计算机的连接方式。2.1.2计算机网络的分类计算机网络中有两种重要的分类标准，即基于传输技术分类和基于规模分类。1.基于传输技术分类分类为广播式网络和点到点网络。 广播式网络：由网络上的所有计算机共享同一条通信信道。任何计算机都可以发送或接收消息，这些消息是按某种语法组织的分组或包，其中设置有一些字段（称地址字段）来指明这些消息应该被哪台计算机接收。各个计算机一旦收到消息，它就会检查它的地址字段，如果它和计算机本身的地址是一样的计算机就接收这个消息，否则计算机就直接丢弃这个消息，不再做任何处理。需要说明的是，一个计算机可以向多个计算机同时发送同一个消息。点到点网络：由多条点到点的连接（也就是一台计算机到一台计算机的连接）构成。为了能从源地址发送到达目的地址，网络上的分组可能需要通过一台或多台中间的计算机。通常可以有多条路径到达同一个目标，那么在这样的网络中，如何选择传送消息的路径就显得很重要了。通常地，地理上处于本地的网络采用的是广播方式，而其他的一般采用点到点的方式。1.基于规模分类这类标准是基于连接距离进行分类。我们常见的就局域网、城域网和广域网。局域网：简称LAN，用于处于同一个建筑物或者同一个小区域内的专用网络，经常是出现在公司网络或大学校园网络，可以方便资源的共享和信息的交换。局域网的覆盖范围比较小，即使在最坏的情况下它的传输时间也是有限的，并且可以预先知道传输时间。局域网通常使用一条电缆连接所有的机器。其速度经常是10Mb/s或100Mb/s，传输通只需要几十毫秒，出错率低。城域网：简称MAN，是一种大型的局域网，起使用的技术也与局域网相似。它可能覆盖了一个城市的网络，可以是私用的也可以是公用的网络。它可以支持数据和声音，并且可能涉及当地的有线电视网。一般它只使用一条或两条电缆，并不包括单元，即是把分组分流到几条可能的引出电缆的设备。广域网：简称WAN，是一种地域跨越大的网络，通常包括一个国家或州，主机通过通信子网连接。通信子网的功能是把消息从一台主机传到另有一台主机。 在大多数的广域网中，子网由两个不同的部分组成：传输线和分组交换节点。传输线也称线路、信道和干线，在计算机之间传输信息。分组交换节点是一种特殊的计算机，用于连接两条或更多传输线。但数据从传输线到达时，交换单元必须为它选择一条输出线路。通常将交换单元称作路由器，每个主机都被连接到一个带有路由器的局域网上，在某些情况下主机可以直接连接到路由器上。通信线路和路由器的集合构成了子网。下图做出了具体的标示：图2-2广域网连接2.1.3OSI参考模型国际标准化组织（ISO）在1979年建立了一个分委员会来专门研究一种用于开系统互联的体系结构（OpenSystemsInterconnection）简称OSI。这个分委会提出了开放系统互联，即OSI参考模型，定义了连接各种计算机标准框架。OSI参考模型分为7层:应用层表示层会话层传输层网络层数据链路层物理层我们从最低层开始逐层介绍其特性及所提供的服务：物理层：利用物理媒介（如双绞线、同轴电缆等）来传递信息。其任务是为它的上一层提供一个物理连接和规定在这一层中功能和过程特征等。在这一层里面，数据是没有被组织的，只是作为原始的位流或者电压处理，单位是位（bit）。数据链路层： 负责在两个相邻结点间无差错地传送一帧为单位的数据。每一个帧包含一定数量的数据和必要的控制信息。它主要的工作是负责建立、维持和释放数据链路的连接，与物理层相似。在传送数据时如果接收方检测到所传数据中有差错，需要通知发送方重新发送这一帧。网络层：选择合适的路由器和路由的路径，确保数据及时和正确的输送。因为在网络中从始发结点到目标结点之间可能经过很多的子网和链路连接，路由层就是要确保这些任务的顺利完成。网络层中传送的单位称为数据包，在里面含有信息的始发结点的地址和目标结点的地址。传输层：任务是根据通信子网的特性最好的利用网络资源，并为上层准备好建立、维护和取消连接的工作，负责可靠的传送数据。传送的单位为报文。会话层：提供包括访问验证和会话管理在内的建立和维护应用层之间的通信的机制。表示层：主要解决用户信息的语法表示问题。就是提供格式化的表示和转换数据服务。应用层：确定网络间通信的性质以及提供网络与用户应用软件之间的接口。2.2TCP/IP协议2.2.1什么是TCP/IP协议及其优点TCP/IP是指用于Internet上机器间通信的协议集（协议是为了进行网络数据交换而建立的规则、标准或约定）。它是一个稳定、构造优良、富有竞争性的协议集，能使任何具有计算机、调制解调器（modern）和Internet服务提供者的用户能访问和共享互联网上的信息。利用TCP/IP协议建立互联网比其他协议具有更大的便利，其中一个原因是因为TCP/IP可以在各种不同的硬件和操作系统上工作，可以迅速方便的建立一个异质网络，其中的其中使用共同的协议集进行通信。这个特性是因为TCP/IP是一个开放式的通信协议，开放性就意味着在任何组织之间，不管这些设备的物理特征有多大的差异，都可以进行通信。TCP/IP协议负责管理和引导数据在互联网上的传输。TCP/IP的优点： （1）良好的破坏修复机制。当网络部分遭到入侵而受损时，剩余的部分仍然能正常的工作。（2）能够在不中断现有的服务的情况下扩展网络。（3）有高效的错误处理机制。（4）平台无关性。就是可以在不同的主机上使用不同的操作系统而不影响到通信的进行。（5）数据传输开销小。2.2.2TCP/IP的体系结构TCP/IP具有四个功能层：应用层、传输层、互联网络层（也称网络层）和网络接口层（也称链路层）。图2-3显示了其层次和在各层中使用的常见协议：图2-31.网络接口层负责从主机或节点接受IP分组，发送到指定的物理网络上。它包括了拥护物理连接、传输的所有功能。2.互联网络层这是整个体系结构的关键部分，其功能是使主机把分组发往任何网络，并使分组独立地传向目的地。这些分组到达的顺序和发送的顺序可能不同，因此如需要按顺序发送及接收时，高层必须对分组排序。这里设计的主要问题是选择分组路由和避免阻塞。主要有这些协议：IP、ARP、RARP、ICMP、IGMP、RIP、OSPF和EGP。IP协议提供的最基本的服务是负责管理客户端与服务端之间的报文传送，涉及的是网络层次上的传送。IP模块是TCP/IP技术的核心，它的关键是路由表（存放在路由器中），它的IP地址决定了路由里面消息（报文）的发送方向。对于网上的某个节点来说是一个逻辑地址。它独立于任何特定的网络硬件和网络配置，不管物理网络的类型如何，都有相同的格式。IP地址是四段八位的二进制数组成的， 通常看做两个部分，第一个部分是IP网络号，第二个部分是主机号。IP分为A,B,C,D,E五类地址。A类：从1.0.0.0--126.0.0.0，每个网络中的最大主机数16777214。B类：从128.1.0.0--191.254.0.0，每个网络中的最大主机数65534。C类：从192.0.1.0--223.255.254.0，每个网络中的最大主机数254。D类高端为1110是保留的IP地址。　E类高端为1111，是科研用的IP地址。其中，0.0.0.0代表本主机的地址，255.255.255.255是广播地址。在我们接入网络前，我们必须首先配置我们在局域网中的IP地址。首先，右击“网络邻居”的图标，如图2-4，选择属性，图2-4选择“本地连接”，右击，选择“属性，如图2-5。这就打开了“本地连接属性”，选择其中的“Internet协议（TCP/IP）”的复选框，点击属性即可见到图2-7上IP地址的设置，如图2-6。1.传输层传输层支持的功能包括：对应用数据进行分段，确保所接收的数据的完整性，为多个应用同时传输数据进行多路复用（传输和接收）。当前主机到主机层包括两个协议：传输控制协议（TCP）和用户数据报协议（UDP）。图2-5 图2-6图2-7TCP/IP协议体系结构支持两种基本的传输协议：TCP和UDP。TCP是传输层协议，代表传输控制协议，提供可靠的端到端的通信服务。UDP代表用户数据报协议，用于在两个UDP端点之间支持无连接、不可靠的传输服务。他们之间的共同点是都使用了IP作为其网络层的协议。区别在于前者提供的服务是高度可用的，它的开销要比较大。而UDP是一个简单的数据报转发协议，比TCP要复杂，可能出现错误，但比较高效。1.应用层TCP/IP模型的应用层协议提供了远程访问和资源共享。包括了所有的高层协议，常用的有文件传送协议、远程登录协议、简单邮件传送协议等等。在这里的协议很多都要以来于底层提供的服务。 2.2.3TCP/IP应用层中常见协议由于TCP/IP的应用层协议在日常的生活中接触比较多，我们将对其中一些较常见的进行简述。1.远程登录远程登录（Remotelogin）：可以在一台主机上通过网络远程登录到其他的任何一台网络主机上去，而不需要为每一台主机连接一个硬件终端。也就是指用户使用Telnet命令，使自己的计算机暂时成为远程主机的一个仿真终端的过程。2.文件传送协议FTP文件传送协议是在计算机之间的文件传送的Internet标准。FTP提供交互式的访问，允许客户指明文件的类型和格式，并允许文件具有存储权限（访问的用户一般需要授权，并输入有效的密码）。FTP并蔽了各个计算机系统的细节，适合在异构网络的计算机之间传送文件。FTP的工作原理主要是提供文件传送的一些基本的服务，它使用了TCP协议，主要的应用是将一个文件从一台计算机复制到另外一台计算机上。FTP主要提供的功能有：在计算机之间交换一个或多个文件（是复制，不是转移）；能够传送多种类型、多种结构、多种格式的文件；具有对文件改名、显示内容、改变属性、删除等操作的功能；等等。3.简单邮件传送协议简单邮件传送协议（SMTP）：使用的也是TCP协议，客户端向服务器端提出了连接请求，一旦连接成功，就可以立即进行邮件信息交换。邮件传送结束后释放连接。SMTP可以在不同的网络情况之下进行邮件的通信，它关心的不是通信的进程细节，而是邮件是否到达目的地。很多的操作系统都具有SMTP作为邮件服务的协议，同时，所有的操作系统也都具有SMTP服务器。 第三章网络攻击、检测与防范技术3.1网络攻击技术3.1.1网络攻击的定义任何以干扰、破坏网络系统为目的的非授权行为都称之为网络攻击。入侵者对网络发起的攻击地点是多种多样的，可以发生在家里、办公室或其他的地方。3.1.2常见的网络安全问题常见的网络安全问题有以下几种：1病毒病毒应该是我们都很熟悉的了，它伴随着计算机而生，通过网络更加快了其传播。2内部威胁和无意破坏很多的攻击是由于企业内部人员的蓄意攻击而引起的。此外，一些无意失误，如丢失密码、疏忽大意、非法操作等都可以对网络造成极大的破坏。3系统的漏洞和陷门操作系统和网络软件不可能是完美无缺的，而这些漏洞或者陷门正好就给黑客提供了一个入口，成为他们的首选攻击目标。而大部分的黑客攻入网络内部都是因为安全措施不完善所致的。4网上的蓄意破坏近年来，我们可以发现黑客很多是出于要炫耀自己的技术，他们可以几天几夜或者几个礼拜的坐在计算机前研究如何在未经许可的条件下入侵别人的计算机，这种蓄意的破坏很多。5侵犯隐私或机密资料通常在涉及金融方面，比如帐户，一般的黑客会使用木马程序，窃取用户的密码和资料，由此侵犯他人隐私和利益。6拒绝服务 组织或机构因为有意或者无意的外界因素或者疏漏，导致无法完成应有的网络服务项目，称为拒绝服务。3.1.3网络攻击的手段通常的网络攻击,一般是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据,或干扰破坏服务器对外提供的服务;也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。网络攻击可分为以下几大类。1.服务器拒绝攻击拒绝服务是指一个未经授权的用户不需要任何特权就可以使服务器无法对外提供服务，从而影响合法用户的使用。拒绝服务攻击可以由任何人发起。拒绝服务攻击最不容易被捕获。其攻击的目标是使网络的上的重要节点系统瘫痪，是很危险的攻击。这类攻击的特点就是以大量的申请的方式使系统在应接不暇的状态中瘫痪。不过，在防守方面这类攻击还是比较好防守的。2.利用型攻击有两类，密码猜测和特洛伊木马。n密码猜测：通过猜测密码进入系统，获得对系统资源的范围权限。n特洛伊木马：是一个普通的程序中嵌入了一段隐藏的、激活时可用于攻击的代码。它可能会使大量的数据遭到破坏。n缓冲区溢出:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。3.信息收集型攻击网络攻击者经常在正式攻击前，进行试探性的攻击，目标是获得系统的有用信息。一般有两种：扫描技术和利用信息服务。这里不做详细介绍。4.假消息攻击用于攻击目标配置不正确的消息，主要包括:DNS高速缓存污染、伪造电子邮件。nDNS高速缓存污染:由于DNS服务器与其他名称服务器交换信息的时 候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。n伪造电子邮件:由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。1.逃避检测攻击国际黑客已经进入有组织有计划地进行网络攻击阶段,美国政府有意容忍黑客组织的活动,目的是使黑客攻击置于一定的控制下,并且通过这一渠道获得防范攻击的实战经验。国际黑客组织已经发展出不少逃避检测的技巧。但是,魔高一尺道高一丈,矛与盾的相生相克、交替发展是普遍的规律,攻击检测系统的发展研究方向之一也是要对逃避企图加以克服。3.1.4网络攻击使用的操作系统及其常用的工具1.DOS攻击工具这类例子很多，如WinNuke通过发送OOB漏洞导致系统蓝屏；Bonk通过发送大量伪造的UDP包导致系统重启；FluShot通过发送特定的IP包导致系统凝固；等等。2.木马程序我们生活中很多人都遇到过木马的攻击。它是一些程序设计人员在其可从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己。.ini是其常用的后缀。3.2网络攻击检测技术攻击检测帮助系统对付网络攻击，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控，从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是：（1）监视、分析用户及系统活动；（2）系统构造和弱点审计；（3）识别反映已进攻的活动规模并报警； （1）异常行为模式的统计分析；（2）评估重要系统和数据文件的完整性；（3）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。由于网络攻击检测技术所涉及的专业技术含量比较多，在这里不做详细介绍。3.3网络安全的防范3.3.1网络安全策略1.物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。2.访问控制策略访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。(1)入网访问控制：为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合。(1)网络的权限控制：网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类：i.特殊用户（即系统管理员）；ii.一般用户，系统管理员根据他们的实际需要为他们分配操作权限；iii.审计用户，负责网络的安全控制与资源使用情况的审计。(2)目录级安全控制：网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。(3)客户端安全防护策略：客户在使用网络时，如果可以有意识的防范网络攻击，是最好的途径。在一般情况下，我们要尽可能的切断病毒可能传播的途径，降低受感染的可能性；在安装软件时，要注意安装的软件的安全性，等等。这里我们简述下设置用户级别及其密码的过程。首先，点击桌面“开始”，选择“设置”里面的“面板控制”，具体如图3-1。这就打开了图2的控制面板，选择“用户和密码”，如图3-2。打开“用户和密码”如图3-3。选择“使本机，用户必须输入用户名和密码”一项，那么，一般不被授权的用户就无法使用您的计算机了。点击“添加”。见图3-3。图3-4展示的是“添加新用户”输入用户名之后，进行密码设置如图3-5，之后进入到图3-6的界面。图3-6里，有三种选项的选择，一般推荐“标准用户”，这样，所授权的用户就不可以越权使用，也保证了用户资料的保密性。点击“完成”就完成用户设置。 图3-1图3-2 图3-3图3-4 图3-5图3-61.信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。2.网络服务器安全控制 网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。1.网络安全管理策略在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。3.3.2常用的安全防范技术为了保护我们的计算机，我们需要做出一些常用的措施。n防毒软件首先要有意识的安装可以升级的杀毒软件，适度保护计算机免受病毒入侵。之所以要求防毒软件必须可以升级是因为在网络技术发达的今天，病毒不仅传播的快，它更新换代也很频繁。只有添加了新的检测特征的新软件才可以比较有效的防毒。n防火墙防火墙也是目前使用最广泛的一种网络安全产品。我们可以在网上下载得到免费的防火墙。而现在许多的杀毒软件也会设置相应的软件防火墙。可以在一定程度上降低被病毒感染的几率。防火墙的具体情况我们将在后面的章节里详述。3.4黑客攻击与防范3.4.1黑客攻击的目的及常见手段黑客攻击的目的通常有以下几种：（1）获取目标系统的非法访问，获得不该获得的访问权限；（2）获取所需资料，包括科技情报、个人资料、金融帐户、技术成果和系统信息等；（3）非法修改有关的数据和资料；（4） 利用有关的资料，利用某太计算机的资源对其他的目标进行攻击，发布虚假消息，占用存储空间。黑客主要是利用网络中的漏洞进行攻击。漏洞对他们来说是最重要的信息，黑客要经常学习别人发现的漏洞，并努力自己寻找未知漏洞，并从海量的漏洞中寻找有价值的、可被利用的漏洞进行试验，当然他们最终的目的是通过漏洞进行破坏或者修补上这个漏洞。他们的攻击手段主要有以下几种：（1）远程攻击：通过各种手段，在子网以外的其他子网对该子网进行攻击。（2）本地攻击：指内部人员通过所在的局域网向网内部其他系统发起攻击。对于这类攻击，操作人员在平时的工作过程中要做好保密工作，减少泄密或者操作失误的几率。（3）伪远程攻击：内部人员为了掩盖其真实身份，在本地获得一些必要信息后，从外部远程发起的攻击，迷惑追查的真相。3.4.2如何防范黑客攻击在这里，我们主要讲述的是宽带用户如何防范黑客攻击。随着黑客工具的简单化和傻瓜化，众多的技术水平不高的用户也可以利用手中的黑客工具大肆进行攻击。　一、隐藏IP地址黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机（用户上网的计算机）和远程服务器（如用户想访问远端WWW服务器）之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。代理的设置步骤如下：打开IE，选择“工具”里面的“Internet选项”一栏，见图3-7。 图3-7打开了“Internet选项”的界面之后，选择“连接”项，点击里面的“局域网设置”见图3-8。图3-8进行了图3-8的步骤之后，我们就可以见到图9的界面。选择“为LAN使用代理服务器……”一项，然后在圈了方框的地方设置你的代理既可了。 图3-9二、更换管理员帐户Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。这里可在前面所讲的用户设置里面更改。三、防范木马程序下载的所有文件都存放在你自己新建的一个文件夹中，然后用杀毒软件检测过之后再打开，这样比较安全。四、不要回陌生人的邮件有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。 第四章操作系统的安全漏洞网络信息系统的安全是由两部分构成：硬件和软件的安全。我们在这里侧重客户所能涉及的软件安全的部分，其实也是应为软件程序的复杂多样性决定的。4.1WindowsNT操作系统的安全与防范操作系统是负责网络硬件与应用程序之间连接的部分，是整个网络信息系统的核心控制软件，系统的安全性重点体现在整个操作系统之中。首先，操作系统是程序人员设计的，本身就会存在着缺陷。而众所周知计算机的变革非常之快，经过时间的迁移，系统的安全肯定会受到不法分子的威胁。所以保护好系统是非常必要的措施。操作系统具有文件管理、存储管理、输入输出管理等等功能。为此它提供了存储保护（保护存储的信息）、文件保护（保护用户和系统的文件，防止非法访问）、访问控制等安全功能。以下我们将具体介绍主要的措施。（我们将就Windows系统做出介绍，如无特别声明，以下我们所使用的“系统”就代表着Windows系统）4.1.1WindowsNT的安全策略首先，我们了解下系统本身具有的安全策略。1用户帐户和密码WindowsNT的安全机制通过请求分配用户帐户和密码来保护计算机及其资源。按使用的要求和网络所能提供的服务分配合适的帐户和密码（这在我们前面所介绍的用户设置部分已经体现出来了，请读者自行参考有关章节）。使用对帐户的用户权利的限制以及对文件的访问管理劝降的策略，可以实现服务器的数据保护。用户帐户由用户名、全名、描述3个部分组成。用户名是用户帐户的标志，全名是用户名的全称，描述是对用户权限的具体说明。一定的用户帐户对应一定的权限，在WindowsNT里面对系统资源所能操作的能力也就有了级别之分。2共享资源权限Windows NT允许用户指定共享资源。资源共享后，可以通过网络限制某些用户对该用户的访问权限，称为共享权限的限制。针对不同的用户，可以利用资源共享及资源权限来创建不同的资源安全级别。用户的文件属性一般有三种：只读、隐藏和存档。这些是文件的基本操作属性。资源共享由此有5种：不共享、只读、安全、根据密码访问、Web共享。这里将列出如何共享资源的设置。图4-1中，选择你需要共享的文件，点击右键，选择“共享”。图4-1打开“共享”界面后，我们对共享的权限需要进行设置。具体图4-2。首先选择“共享该文件”，系统就会允许其他用户对该文件进行操作。其中“共享名”是共享到该文件的用户所能看到的文件的名字。一般没有特别需要可以不做修改。“用户数量”控制了可以在同一时间里访问该文件的用户。笔者建议选择一定的数额限制。因为系统硬盘流量的控制也是很重要的，可以在一定程度上保护该计算机资源。除此之外，我们还要对用户的权限进行一定的控制。这些在“权限”里面选择。见图4-3的下面的图。首先选择在“名称”框里的对象，你就可以删除该用户对计算机资源的共享了。单击“添加”可以选择你需要加入的用户。我们主要是要注意下面的权限控制。这里列出了“完全控制”、“更改”和“读取”3种权限。我们不鼓励将资源允许“完全控制”和“更改”，这样可能损坏文件的完整或安全性。如图中红色笔所勾画。不过，在一定的需求下可以允许一些用户进行“更改”，要视具体情况而定。 图4-2图4-3 图4-4添加用户3设置必要的WWW目录访问权限在InternetServerManager中创建Web发布目录(文件夹)时，可以为定义的主目录或虚拟目录及其中所有的文件夹设置访问权限，这些权限是NTFS文件系统提供的权限之外的部分，其中的权限是：只读，只执行，这样可以防止用户修改。4.使用SSL(安全套接字层)保护数据在网络中的传输在网络应用中数据在网络上的传输的安全是关系到整个网络应有安全的重要问题。使用密码技术保护数据从服务器到客户端的双向传输，从某种意义上说也是保护WindowsNT资源不受侵犯的有效途径。SSL为TCP/IP连接提供数据加密，服务器身份验证和消息的完整性。它被视为Internet上的Web浏览器和服务器的标准安全措施。SSL加密的传输较之未加密的传输速度要慢，为了避免整个节点的性能受到影响，所以一般考虑对于较敏感的信息数据才采取SSL加密。目前使用较多的是身份验证、信用卡、电子银行等业务。4.1.2WindowsNT的基本安全措施通常情况下，攻击者会采取以下方式对WindowsNT发起进攻： 1.猜解密码(手工猜解、自动猜解、监听猜解)；2.远程漏洞攻击(缓冲区溢出、拒绝服务DDos)；3.升级权限(修改注册表、Getadmin、Sechole、木马)；4.破解“SAM”文件(不做具体解释)；5.寻找信任漏洞(更改注册表键值)；6.远程监听(NetCat监听、BO2000、WinVNC)。为了确保Windows在网络应用中的安全，避免资源遭到破坏，在配置、使用Windows的过程中应该注意遵守一定的操作规程。作为基本的安全措施，应该注意以下几点：l在人员配置上，应该对用户进行分类，划分不同的用户等级，规定不同的用户权限。l对资源进行区分，划分不同的共享级别，例如：只读、安全控制、备份等等。l给不同的用户分配不同的帐户、密码。并且规定密码的有效期，对其进行动态的分配和修改，保证密码的有效性。l配合路由器和防火墙使用，对一些IP地址进行过滤，以防止其他用户通过TCP/IP访问服务器。l在登录前，键入Alt+Del+Ctrl，防止特洛伊木马盗用密码。在使用软件时应该先检查是否带有病毒，防止病毒的进入。定期对系统进行病毒检查，消除隐患。4.1.3系统补丁的下载及安装首先，我们对一般的系统中可能存在的漏洞现象进行简述，以便读者理解。在操作系统中的安全漏洞主要有：l输入输出非法访问l访问控制的混乱安全访问强调隔离和保护，而对资源共享则要求公开和开放。如果没有处理好这些，可能就会带来安全隐患。l操作系统陷门操作系统中有一些用户具有特权管理，由于没有受到严格的监控可能形成操作系统的陷门。这里，我们主要关注Windows系统的漏洞的危险性及补丁的安装。 大多数成功的蠕虫和其他网络攻击所依靠的都是少数几种通用操作系统中存在的安全漏洞。这些攻击者都是机会主义者。它们利用最简单、最便捷的路线，并且使用最有效且使用广泛的工具来寻找和利用众所周知的漏洞和弱点。这些攻击者就会乘机而入，而且它们扫瞄Internet上任何有漏洞的系统，不分清红皂白地发起攻击。蠕虫这种攻击手段非常容易传播且破坏力巨大，例如Blaster、Slammer和CodeRed等蠕虫都是直接利用未施加补丁的漏洞来四处传播并制造巨大的破坏。据统计，在Windows中主要存在下列很危险的安全漏洞：1Web服务器及服务2工作站服务3Windows远程访问服务4SQLserver5Windows验证6Web服务器7文件共享8邮件客户端针对这些存在的漏洞，微软公司已经推出相应的补丁。在安装计算机操作系统时，我们需要对系统进行补丁，提高系统的安全性。（以下图，由于版面问题，附在下一页上）首先，读者可以通过www.baidu.com.cn或者www.google.com里搜索（如图4-5），你就可以找到所需要的补丁（免费的资源）。把它们保存在安全的磁盘或者后备设备上，如移动硬盘等。第二，在进行系统安装前，请将网线拔掉，这是最有效的防护措施。第三，安装完系统之后，别心急安装其他的应用软件，首先装入杀毒软件，以保证在稍后的安装中病毒有机可乘。最后，安装补丁。安装者只需要双击补丁的应用程序即可（图4-6是打开一个补丁界面的示例，需要重启）。特别提醒，最好安装上IE的补丁。笔者的电脑就曾因一时忽略，刚插上网线，机器马上就中毒，只能重新再安装一次。一般的补丁程序在安装之后都要求系统重启，也有一部分不需要。 图4-5图4-6 4.2网络软件与网络服务的漏洞4.2.1常见的网络软件与网络服务的漏洞比较常见的网络软件与网络服务的漏洞有：1.匿名ftp匿名ftp是互联网服务商的一项重要的服务，允许任何网络用户通过ftp访问系统上的软件。但是不正确的配置将严重影响系统的安全。因此，任何以ftp登录到系统的用户都不应该具有创建文件和目录的权限。2.远程登录它给用户带来了极大的方便。但是，在通过网络传播密码的过程中，就有可能给网络黑客制造了机会，一旦密码被截取，那么，系统的安全就全线崩溃了。3.电子邮件我们现在的生活已经离不开它了。Email的信息别截取的可能性很大。另外一方面，一些垃圾电子邮件也可能是病毒的携带者。比如loveletter的电子邮件病毒，设计者利用了收邮件者的好奇心，一旦打开该邮件，病毒将急速传播整个系统，使用者根本无法再打开其他的任何文件。电子邮件蠕虫，依赖用户点击可执行文件进行传播，利用通过TCP或UDP端口的服务中存在的错误进行攻击网页中安装有间谍软件、广告软件，有时甚至装有更加危险的软件以及多年的爱好。鉴于电子邮件的不可靠，建议使用者不要轻易打开不知名的发送者的邮件。4.密码设置漏洞密码是网络信息中的安全和保密措施之一。如果用户设置的密码不合适，可能给系统带来巨大的隐患。4.2.2密码设置的误区即使网络系统设计得非常安全，但如果用户密码不当，仍然影响安全性。一般存在以下几个用户密码设置的误区：l“姓名+数字”做密码，许多的用户习惯用自己或者与自己相关的人的姓名加上数字等做密码。 l用一个单个的单词做密码，或者操作系统的命令做密码。l多个主机用同一个密码，导致所有的主机都具有一样的风险。l只使用小写字母做密码，提高了攻击者破译的几率。希望使用者以后设置密码能不犯以上错误。以下我们展示密码期限的设置步骤：打开“控制面板”，选择“管理工具”，见图4-7。图4-7选择“帐户策略”，图4-8。图4-8 选择里面的“密码策略”，双击数字，你就可以更改有效日期了。见图4-9。图4-9 第五章计算机病毒与反病毒计算机病毒基本上是80年初出现的，到如今已经大肆蔓延。计算机病毒的危害性猛烈地冲击人们对计算机系统的信心。5.1计算机病毒产生的原因计算机病毒自产生之日起，其危害性便给人们留下了深刻的印象，如88年11月，在美国“蠕虫”攻击了INTENET，阻塞网络几小时，造成损失约9000万美元。再如明年10月13日(星期五)，因为事前有人宣布“星期五”病毒将广泛攻击PC机及其兼容机，有人甚至没敢开机。所以研究它的产生有利于我们更好的预防和处理病毒。计算机病毒的产生不是突发或者偶然的，它是人为的特制程序，是一种比较完美的、精巧严谨的代码，按照严格的秩序组织起来，与所有的系统网络环境相适应，并配合系统网络环境使用。计算机病毒产生的原因及其危害计算机病毒所以能够大量产生，是由于计算机系的开放性；如PC机，系统是完全公开的，用户通过手册，可了解系统的所有细节，这些技术细节的公开，对病毒制造者非常有利，另外病毒制造者也利用系统的缺陷。再者，—些软件公司为保护自己的利益，设置了“逻辑炸弹“对付复制者，或是出于恶作剧，显示计算机方面的超群知识。技术的开放与管理方法上的漏洞为病毒的产生打下了基础。下面，我们对计算机病毒产生原因大致总结下：l某些对计算机技术精通的人为了炫耀自己的高超技术和智慧，凭借对软硬件的深入了解，编制了这些特殊的程序。他们只想看看这些病毒会带了什么样的后果，或者是否能有人能够清除这些病毒。这些都是违法的。严重危害了网络的安全。l个人对社会不满或受到不公正的待遇。一旦这个人是个网络编程高手，危险性就更高了。l为了得到经济上的利益，有些人利用计算机病毒从事经济犯罪，或者窃取竞争对手计算机系统中的机密信息，或者修改计算机中的数据挪用款项，或破坏竞争对手的计算机系统。l计算机病毒的破坏性带给军事电脑专家启示：用病毒形式进行“电脑战争” ，让敌方电脑染上病毒。它造成的直接打击无法估计。因此，在军事领域中，是一种新的作战兵器。因此，在国防上，防黑是极为重要的一关。l出于政治目的。例如“6.4”病毒是一个以政治宣传和攻击为目的而传播的病毒。还有，就如“法轮功”，总是成批发往邮箱，奢望能通过邮件方式组织反动势力。l因宗教、民族、专利等方面的需求而专门编写计算机病毒，其中也包括一些病毒研究机构和黑客的测试病毒。有些甚至是又宗教狂、或者政治狂制造的。5.2计算机病毒的定义及命名5.2.1计算机病毒的定义计算机病毒”为什么叫做病毒。首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。以从不同角度可以给出计算机病毒的不同定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。而从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为计算机病毒。直至1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出： “计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。 计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。5.2.2计算机病毒的命名对病毒命名，各个反毒软件不尽相同，有时对一种病毒不同的软件会报出不同的名称。但给病毒起名的方法不外乎以下几种：1.按病毒发作的时间命名　　这种命名取决于病毒表现或破坏系统的发作时间，这类病毒的表现或破坏部分一般为定时炸弹。如"黑色星期五"，是因为该病毒在某月的13日恰逢星期五时破坏执行的文件而得名；又如"米氏"病毒，其病毒发时间是3月6日，而3月6日是世界著名艺术家米开朗基罗的生日，于是得名"米开朗基罗"病毒。2.按病毒发作症状命名　　以病毒发作时的表现现象来命名。如"小球"病毒，是因为该病毒病发时在屏幕上出现小球不停地运动而得名；又如"火炬"病毒，是因为该病毒病发时在屏幕上出现五支闪烁的火炬而得名；再如Yankee病毒，因为该病毒激发时将演奏Y_ankeeDoodle乐曲，于是人们将其命为Yankee病毒。3.按病毒自身包含的标志命名　　以病毒中出现的字符串、病毒标识、存放位置或病发表现时病毒自身宣布的名称来命名。如"大麻"病毒中含有Mar_ijunana及Stoned字样，所以人们将该病毒命名为Marijunana(译为"大麻")和Stoned病毒；又如"Liberty"病毒，是因为该病毒中含有该标识；再如"DiskKiller"病毒，该病毒自称为DiskKiller(磁盘杀手)。CIH病毒是由刘韦麟博士命名的，因为病毒程序的首位是"CIH"。4.按病毒发现地命名　　以病毒首先发现的地点来命名。 如"黑色星期五"又称Jurusalem(耶路撒冷)病毒，是因为该病毒首先在Jurusalem发现；又如Vienna(维也纳)病毒是首先在维也纳发现的。1.按病毒的字节长度命名　　以病毒传染文件时文件的增加长度或病毒自身代码的长度来命名。如1575、2153、1701、1704、1514、4096等。　　国际上对病毒命名的惯例：一般惯例为“前缀+病毒名+后缀”。前缀表示该病毒发作的操作平台或者病毒的类型，而DOS下的病毒一般是没有前缀的；病毒名为该病毒的名称及其家族；后缀一般可以不要的，只是以此区别在该病毒家族中各病毒的不同，可以为字母，或者为数字以说明此病毒的大小。例如：WM.Cap.A，A表示在Cap病毒家族中的一个变种，WM表示该病毒是一个Word宏病毒。5.3计算机病毒的特征1)非授权可执行性用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。 2)隐蔽性计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。3)传染性传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像Internet这样的网络传遍世界。4)潜伏性 计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。 1)表现性或破坏性无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。 2)可触发性计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。3)不可预见性不同种类的病毒，其代码千差万别，但有些操作是共有的。因此，有的人利用了病毒的共性，制作了检测病毒的软件。但是由于病毒的更新极快，这些软件也只能在一定程度上保护系统。所以病毒对反病毒软件永远是超前的。5.4计算机病毒的症状及危害计算机病毒是一段代码，虽然可能隐藏的很好，但也会留下许多痕迹。通过对这些痕迹的观察和判别，就能够发现病毒。5.4.1可能传播病毒的途径n第一种途径：不可移动的硬件设备 通过不可移动的计算机硬件设备进行传播，这些设备通常有计算机的专用ASIC芯片和硬盘等。这种病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段对付。n第二种途径：移动存储设备通过移动存储设备来传播这些设备包括软盘、磁带等。在移动存储设备中，软盘是使用最广泛移动最频繁的存储介质，因此也成了计算机病毒寄生的“温床”。目前，大多数计算机都是从这类途径感染病毒的。n第三种途径：网络通过计算机网络进行传播。现代信息技术的巨大进步已使空间距离不再遥远，“相隔天涯，如在咫尺”，但也为计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中通过网络进入一个又一个系统，国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同时，我们的病毒也在国际化。估计以后这种方式将成为第一传播途径。n第四种途径：点对点通信系统和无线通道通过点对点通信系统和无线通道传播。目前，这种传播途径还不是十分广泛，但预计在未来的信息时代，这种途径很可能与网络传播途径成为病毒扩散的两大“时尚渠道”。2004年我国计算机病毒传播的主要途径 ：    计算机病毒通过光盘、磁盘等存贮介质传播的比例继续下降，通过网络下载、浏览以及即时通讯工具进行传播和破坏的数量明显上升。利用局域网传播呈现较为明显的上升趋势，这是由于病毒目前都可以通过局域网共享，或者利用系统弱口令在局域网中进行传播。如何加强局域网的安全是今后需要注意的问题，要防止片面认为安全威胁主要来自于外网，而忽略网内中的安全防范，导致网内一个系统遭受病毒攻击后，迅速扩散，感染网内中其他系统。5.4.2计算机病毒的症状根据病毒感染和发作的阶段，计算机病毒的症状可以分为3个阶段：计算机病毒发作前、病毒发作时和病毒发作后症状。n计算机病毒发作前的症状病毒发作前是指计算机病毒感染计算机系统，潜伏在系统内开始计算，一直到激发条件满足，计算机病毒发作之前的一个阶段。在这个阶段，计算机病毒的行为主要是以潜伏和传播为主。计算机病毒会各种各样的手法来隐藏自己，在不被发现的同时，又自我复制，以各种手段进行传播。计算机病毒发作前常见的症状如下：1．计算机运行速度变慢在硬件设备没有损坏或更换的情况下，本来运行速度很快的计算机，运 行同样的应用程序，速度明显变慢，而且重启后依然很慢。这可能就是计算机病毒站用了大量的系统资源，并且自身的运行站用了大量的处理器时间，造成了系统资源不足，运行变慢。1．以前能正常运行的软件经常发生内存不足的错误某个以前能正常运行的程序，程序激活时或使用应用程序中的某个功能时报告内存不足。这很可能是由于计算机病毒驻留后占用了系统中大量的内存空间造成。2．平时运行正常的计算机经常死机病毒感染了计算机后，将自身驻留在系统内并修改了中断处理程序等。引起系统工作不稳定，造成死机现象。3．操作系统无法正常激活关机后激活，操作系统报告缺少必要的激活文件，或者激活文件受损，系统无法激活。这就很可能是计算机病毒感染系统文件后是文件结构发生了变化，无法设备操作系统加载和引导。4．打印和通信发生异常在硬件没有更改或损坏的情况下，以前工作正常的打印机，近期发现无法进行打印操作，或打印出来的是乱码。串口设备无法正常工作，比如调制解调器不能拨号。这些很可能是计算机病毒驻留内存后占用了打印端口、串行通信端口的中断服务程序，使它不能够正常工作。n病毒发作时的症状计算机病毒发作时是指满足计算机病毒发作的条件，病毒被激活，病毒程序开始破坏行为的阶段。计算机病毒发作时的表现各不相同，发作时常见的一些症状如下：1产生特定的图像单纯地产生图像的计算机病毒大多是良性的病毒，只是在发作时破坏用户的显示界面，干扰用户的正常工作。2硬盘灯不断闪烁硬盘灯闪烁说明有硬盘读写操作。有的计算机病毒会在发作时对磁盘进行格式化，或者写入垃圾文件，等等，致使硬盘上的数据遭到损失。这个时候硬盘灯就不正常的不短闪烁。一般这是恶性病毒。3速度下降病毒激活时，病毒内部的时间延迟程序启动。4占用或侵蚀大量内存5计算机突然死机或者重启 6破坏文件有些病毒激活时，用户打不开文件，或删除正在运行着的文件，也可能更改文件的内容。7鼠标自己动8桌面图标发生变化9干扰打印机10可能强迫用户玩游戏11自动发送邮件等等。n病毒发作后的症状大多数的计算机病毒属于恶性病毒，恶性病毒发作后往往损坏是比较严重的。（1）硬盘无法激活，数据丢失硬盘的引导区可能被破坏，使计算机无法激活。有些可能致使硬盘上数据全部丢失。（2）很多的程序无法正常运行或者死机（3）文件目录发生混乱一种是填写无意义的数据，一般无法恢复。一种是转移目录到其他分区，但还是能够恢复的。（4）部分文档丢失（5）文件内容颠倒在使用文件时，病毒以正常的顺序显示文件，但是，在硬盘上，他们是被病毒颠倒之后才存入的。这种病毒被消除之后，文件内容一般是无法恢复的。（6）计算机重新激活时格式化硬盘病毒修改计算机系统文件致使计算机重新启动时硬盘被格式化。（7）破坏主板病毒修改BIOS中的CPU设置，致使硬件可能因为高频使用而发热，最后可能破坏硬件。常见的是主板、光驱、显卡等。现在新的主板一般具有温度检测功能，一旦CPU温度超过界线，就可以频频报警，杜绝烧坏硬件。（8）花屏在使用过程中出现花屏的话，要立即关掉显示器电源，重新启动后进入安全模式查找原因。（9）硬盘空间迅速减少（10）自动链接一些陌生网站（11）系统文件的时间、日期、大小发生了变化 5.4.3计算机病毒造成的危害在计算机病毒出现的初期，说到计算机病毒的危害，往往注重于病毒对信息系统的直接破坏作用，比如格式化硬盘、删除文件数据等，并以此来区分恶性病毒和良性病毒。其实这些只是病毒劣迹的一部分，随着计算机应用的发展，人们深刻地认识到凡是病毒都可能对计算机信息系统造成严重的破坏。计算机病毒的主要危害计算机病毒的主要危害我们在前面病毒发作症状中已经基本列出了。近日，国内著名的安全厂商金山公司发布了《2005年网络安全报告》，该报告显示，2005年网络威胁呈现多样化，除传统的病毒、垃圾邮件外，危害更大的间谍软件、广告软件、网络钓鱼等纷纷加入到互联网安全破坏者的行列，成为威胁计算机安全的帮凶。间谍软件的危害甚至超越传统病毒，成为互联网安全最大的威胁，同时，金山毒霸反病毒专家预测，2006年，间谍软件对网络安全的危害的发展势头将会表现得更为猛烈。下面的图示是计算机在过去几年里感染的百分比。见图5-1。图5-15.5反病毒技术计算机病毒的预防、检测和清除是计算机反病毒技术的3大内容，即计算机病毒的防治要从防毒、查毒和解毒3个方面来进行的。我们首先对这3个概念进行解释。 防毒：根据系统特性，采取相应的系统安全措施预防病毒入侵计算机。防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施，可以准确、实时地检测经由光盘、软盘、硬盘等不同目录之间以及网之间其他文件下载等多种方式进行的传播。能够在病毒侵入系统时发出警报，记录携带病毒的文件，及时清除其中的病毒。对网络而言，能够向网络管理人员发送关于病毒入侵的消息，记录病毒入侵的工作站，必要时还能够注销工作站，隔离病毒源。查毒：对于确定的环境，包括内存、文件、引导区/主引导区、网络等能够准确地报出病毒名称。查毒能力是指发现和最总病毒来源的能力。通过查毒，应该能够准确地判断计算机系统是否感染病毒，能准确地找出病毒的来源，并能给出统计报告；查解病毒的能力应由查毒率和误报率来评断。解毒：是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特征所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区/主引导区、可执行文件、文档文件、网络等。解毒能力是指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力；解毒能力应该用解毒率来评判。自从1987年10月第一例计算机病毒Brain诞生以来，计算机病毒的种类迅速增加，并迅速蔓延到全世界，对计算机安全构成了巨大的威胁。反病毒技术也就应运而生，并随着病毒技术的发展而发展。在80年代中期，计算机病毒刚刚开始流行，种类不多，但危害很大，往往一个简单的病毒就能在短时间内传播到世界的各个国家和地区。计算机反病毒工作者仓促应战，很快编制了一批早期的消病毒程序软件。消除磁盘病毒是病毒传染的逆过程。所谓病毒的传染是用一些非法的程序和数据，也就是病毒去侵占磁盘的某些部位，而消除病毒正是找出磁盘上的病毒，把它们清除出去，恢复磁盘的原状，所以消病毒软件就成了病毒的克星。早期的消病毒程序是一对一的，就是一个程序消除一种病毒。从80年代未开始计算机病毒数量急剧膨胀，达到上千种，显然不能用上千种消毒软件去对抗大量病毒；并且随着新病毒的出现而不断升级。毫无疑问，消病毒软件是对抗计算机病毒、彻底解除病毒危害的有力工具。但美中不足的是消病毒软件只能检测杀除已知病毒，而对新病毒却无能为力，同时人们发现消病毒软件本身也会染上病毒。于是反病毒技术界就设想能否研制一种既能对抗新病毒，又不怕病毒感染的新型反病毒产品。后来这种反病毒硬件产品研制出来了，就是防病毒卡。防病毒卡确实能防治很多新病毒并且不怕病毒攻击，在保护用户计算机信息资源安全方面起到一定作用。不幸的是，防病毒卡不能消除磁盘病毒。从80年代未到90年代初，基本上是消病毒软件和防病毒卡并行使用，各司其职，互为补充，成为反病毒工作的重要工具。到90年代中期，病毒数量、技术继续提高，杀毒和防毒产品各自分立使用已经很难满足用户的需求，随之出现了“查杀防合一” 的集成化反病毒产品，把各种反病毒技术有机地组合到一起共同对计算机病毒作战。90年代末期，操作系统和网络的大力发展，病毒技术获得新的发展，防病毒卡已失去存在的价值，退出历史舞台，出现了具有实时防病毒功能的反病毒软件。可以肯定只要计算机病毒继续存在，反病毒技术就会继续发展。在病毒的自动检测技术方面，杀毒软件，均采用特征代码检测法，也就是说，当扫描某程序时，如果发现某种病毒的特征代码，便可发现与该特征码对应的计算机病毒。早期的特征代码法采用的是单特征法，后来发展成为多特征检查法，以便能够查出原种及其变种病毒。随着计算机病毒的日益增多，不可能对每一种病毒都进行分析消除，更由于被动处理是在计算机系统已染上病毒后才进行，很可能已对系统造成不可恢复的破坏。因此，防治计算机病毒应尽可能“御病毒于计算机之外”。可将反病毒技术划分如下：第一代反病毒技术采取单纯的病毒特征诊断，但是对加密、变形的新一代病毒无能为力；第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大；第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合；第四代反病毒技术基于病毒家族体系的命名规则，基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块等先进解毒技术，能够较好地完成查解毒的任务。对于反病毒技术，读者可做了解即可。5.5.1病毒的识别与预防当计算机系统或文件染有计算机病毒时，需要检测和消除。但是计算机病毒一旦破坏了没有副本的文件，便无法补救。在与计算机病毒的对抗中，如果能采取有效的防范措施，就能使系统不被染毒，或是染毒之后损失减少。检查病毒的最简单的方法是看内存，进入DOS，输入MEM命令回车，查看基本内存是否为640K如果在639K以下，638K，637K，就有问题了。比较可靠的方法是用 反病毒软件对磁盘进行全面的检测。现在杀毒软件不少，常用的有KILL和瑞星杀毒软件，要把它们安装在计算机内。如安装KILL98，须先用KILL98光盘和软盘将原始病毒库装上，再上网下载SETUP1和SETUP2或KLL98的最新版本的升级文件。下载后，先运行SETUP1，再运行SETUP2，计算机会自动重新启动。如下载KILL98，直接运行就行了。升级文件更新很快，所以每隔一段时间就需要重新下载。瑞星杀毒软件也是这样。预防计算机病毒有一些基本的方法：（1）使用杀毒软件并且经常将其升级更新，使病毒程序远离你的计算机；（2）不要允许网上的商家为了便于你以后购物而储存你的信用卡资料；（3）使用由数字和字母混排而成、难以破译的口令密码，并且经常更换；（4）对不同的网站和程序，要使用不同的口令，以防止被黑客破译；（5）使用最新版本的万维网浏览器软件、电子邮件软件及其它程序；（6）只向有安全保证的网站发送信用卡号码，留意寻找浏览器底部显示的挂锁图标或钥匙形图标；（7）重要文件要有备份；（8）策略性预防，若知道某种病毒的发作条件，在不能确定计算机是否被病毒感染的情况之下，最简单的做法就是不让这种病毒发作的条件得到满足；（9）不要打开来路不明的电子邮件的附件。等等。5.5.2感染病毒后计算机的处理当系统感染上病毒后，必须采取紧急措施加以处理，一些简单的办法可以清楚大多数的计算机病毒，恢复系统受损部分，但对于网络系统，要作到迅速及时。下面介绍一般处理方法。1.隔离当某台计算机感染病毒后，应将此计算机与其他计算机隔离，即避免相互拷贝文件等。当网络中某个点上感染病毒时，中央控制系统必须立即切断此接点与网络的连接。以避免病毒向整个网络扩散。2.报警病毒被隔离后，应立即通知计算机管理人员。报警的方法有很多种。例如，可以设置不同的病毒活动的警报级别，根据事件记录不同级别的报警提示。报警的方式可以是简单的事件记录、电子邮件等。带有多媒体的计算机还可以设置声音报警。3.跟踪根源 智能化的防病毒系统可以鉴别受感染的计算机和当时登陆的用户。1.修复前，尽可能再次备份重要数据文件目前防毒杀毒软件在杀毒前大多能保存重要的数据和感染的文件，以便在误杀后或者造成新的破坏时恢复现场。重要的系统数据我们建议应该在杀毒前进行单独的手工备份，不能备份的在被感染破坏的系统内，也不应该与平时常规备份混在一起。2.激活防毒杀毒软件，对整个硬盘进行扫描3.不能清除的文件需要删除发现计算机病毒后，一般应利用防毒杀毒软件清除文件中的计算机病毒，如果可执行文件中的计算机病毒不能被清除，那么，应该将其彻底删除掉，然后重新安装。4.杀毒后，重新启动计算机这样做是为了再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒，并确定被感染破坏的数据确实得到了恢复。5.5.3网上免费的杀毒软件略举如果有条件的情况下，我们建议用户购买产品，这样的话，用户可以在最短的时间里，得到最新的软件升级。而且，一般的软件公司，会为此提供一些很好的售后服务。在一般的单位或企业里面，就会购买一定期限的软件，可以比较有效的防范病毒的入侵，保护公司系统的安全和保证数据的保密性。而对于一般的用户，您也可以选择到网上寻找适当的资源。有一点需要注意的，不管是否可以在线升级，我们建议用户寻找可以离线升级的软件。离线升级即是说你必须到相关的软件的站点上自己下载升级包，然后，在自己机器上手动升级。在internet上有很多的公司提供了免费的防毒杀毒软件。比较常见的有：金山杀毒软件、瑞星杀毒软件、江民杀毒软件、诺顿杀毒软件等等。 图5-2为了列举如何离线升级，我们以江民杀毒软件为例。首先，在计算机上安装好江民杀毒软件。然后到http://www.jiangmin.com/download/update.htm这个网页上找寻你自己需要的升级包，以江民2004为例子，参见图5-2，点右键可以下载。这里我们使用了网际快车。打开的图象见图5-3。图5-3 图5-4选择好存储位置之后，就开始下载，如图5-4。在存储位置上，用户可以找到如下的图标，他就是升级包，图5-5。图5-5双击，可以见到图5-6，选择确定就可以。图5-6图5-7显示了你升级成功。图5-7打开江民软件，你可以找到图5-8的标志。表示你升级成功。 图5-8习题1计算机病毒的特征不包括以下哪项：A非授权可执行性B潜伏性C可触发性D良性2病毒入侵系统不可能凭空产生，那么，一般有几种常见的方法或者途径，请列举，需要举出例子。3什么是防毒、查毒和解毒？4预防计算机病毒有哪些基本的方法？5计算机感染病毒后应该采取适当的措施阻止病毒的进一步感染，下面的操作中无效的是A、对硬盘重新格式化       B、下载并安装操作系统的安全补丁C、删除感染病毒的文件 D、将机器关闭一段时间后再打开6为了保证数据在遭到破坏后能及时恢复，必须定期进行A、数据维护    B、数据备份 C、病毒检测    D、数据加密7什么是离线升级？答案： 1D2不可移动的硬件设备（服务器之间）、移动存储设备（U盘或者移动硬盘）、网络（介入局域网即可能感染病毒）和通过点对点通信系统和无线通道（笔记本登陆网络或者现在的手机病毒都是这一类），具体定义参见文中3参见5.5节4参见5.5.1节5D6B7离线升级即是说你必须到相关的软件的站点上自己下载升级包，然后，在自己机器上手动升级。 第六章防火墙技术6.1防火墙概述防火墙，顾名思义，就是隔断火患和财产之间的一堵墙，以此来达到降低财物损失的目的。而在计算机领域中的防火墙，功能就象现实中的防火墙一样，把绝大多数的外来侵害都挡在外面，保护计算机的安全。6.1.1防火墙的基本概念防火墙（Firewall）通常是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合（包括硬件和软件）。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网Internet之间的任何活动，保证了内部网络的安全。图6-1防火墙逻辑位置示意图由于防火墙设定了网络边界和服务，因此更适合于相对独立的网络，例如Intranet等。防火墙成为控制对网络系统访问的非常流行的方法。事实上，在Internet上的Web网站中，超过三分之一的Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严格，安全性较强的一种方式，任何关键性的服务器，都应放在防火墙之后。 6.1.2防火墙的功能防火墙能增强内部网络的安全性，加强网络间的访问控制，防止外部用户非法使用内部网络资源，保护内部网络不被破坏，防止内部网络的敏感数据被窃取。防火墙系统可决定外界可以访问哪些内部服务，以及内部人员可以访问哪些外部服务。一般来说，防火墙应该具备以下功能：1)支持安全策略。即使在没有其他安全策略的情况下，也应该支持“除非特别许可，否则拒绝所有的服务”的设计原则。2)易于扩充新的服务和更改所需的安全策略。3)具有代理服务功能（例如FTP、Telnet等），包含先进的鉴别技术。4)采用过滤技术，根据需求允许或拒绝某些服务。5)具有灵活的编程语言，界面友好，且具有很多过滤属性，包括源和目的IP地址、协议类型、源和目的TCP/UDP端口以及进入和输出的接口地址。6)具有缓冲存储的功能，提高访问速度。7)能够接纳对本地网的公共访问，对本地网的公共信息服务进行保护，并根据需要删减或扩充。8)具有对拨号访问内部网的集中处理和过滤能力。9)具有记录和审计功能，包括允许等级通信和记录可以活动的方法，便于检查和审计。10)防火墙设备上所使用的操作系统和开发工具都应该具备相当等级的安全性。11)防火墙应该是可检验和可管理的。6.1.3防火墙的优缺点1.防火墙的优点Internet防火墙负责管理Internet和内部网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给Internet上的其他主机，极易受到攻击。这就表明内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。所以，防火墙具有如下优点：l集中的网络安全；l可作为中心“扼制点”；l产生安全报警； l监视并记录Internet的使用；图6-2Internet防火墙的好处lNAT的理想位置；lWWW和FTP服务器的理想位置。Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。过去的几年里，Internet经历了地址空间的危机，使得IP地址越来越少。这意味着想进入Internet的机构可能申请不到足够的IP地址来满足其内部网络上用户的需要。Internet防火墙可以作为部署NAT(NetworkAddressTranslator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。也许会有人说，部署防火墙会产生单一失效点。但应该强调的是，即使到Internet的连接失效，内部网络仍旧可以工作，只是不能访问Internet而已。如果存在多个访问点，每个点都可能受到攻击，网络管理员必须在每个点设置防火墙并经常监视。 2.防火墙的缺点防火墙内部网络可以在很大程度上免受攻击。但是，所有的网络安全问题不是都可以通过简单地配置防火墙来达到的。虽然当单位将其网络互联时，防火墙是网络安全重要的一环，但并非全部。许多危险是在防火墙能力范围之外的。1)不能防止来自内部变节者和不经心的用户们带来的威胁防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘或磁盘上，并将其带出公司。防火墙也不能防范这样的攻击：伪装成超级用户或诈称新员工，从而劝说没有防范心理的用户公开口令或授予其临时的网络访问权限。所以必须对员工们进行教育，让它们了解网络攻击的各种类型，并懂得保护自己的用户口令和周期性变换口令的必要性。2)无法防范通过防火墙以外的其它途径的攻击防火墙能够有效地防止通过它进行传输的信息，但不能防止不通过它而传输的信息。例如，在一个被保护的网络上有一个没有限制的拨出存在，内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet。聪明的用户可能会对需要附加认证的代理服务器感到厌烦，因而向ISP购买直接的SLIP或PPP连接，从而试图绕过由精心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可能（如图6-3）。网络上的用户们必须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。图6-3绕过防火墙系统的连接3)不能防止传送已感染病毒的软件或文件这是因为病毒的类型太多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同。所以不能期望Internet防火墙去对每一个文件进行扫描，查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件，防止病毒从软盘或其它来源进入网络系统。4)无法防范数据驱动型的攻击 数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上。但一旦执行就开成攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。后面我们将会看到，在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式，并能减少数据驱动型攻击的威胁。6.2防火墙的工作方式所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。图6-4防火墙的工作方式示意图总的来说，防火墙可以以硬件方式、软件方式以及软硬件混合的方式工作，下面进行简单介绍。6.2.1硬件方式 图6-5硬件防火墙硬件防火墙是在内部网与Internet之间放置一台硬件设备，以隔离或过滤外部人员对内部网络的访问，如图6-5所示。采用上述安装，可以根据自己的网络设计及应用配置防火墙，阻止来自外部的破坏性攻击。6.2.2软件方式采用软件方式也可以保护内部网络不受外来用户的攻击。在Web主机上或单独一台计算机上运行一类软件，监测、侦听来自网络上的信息，对访问内部网的数据起到过滤作用，从而保护内部网免受破坏。这类软件中，最常用的是代理服务器软件。在代理方式下，私有网络的数据包从来不能直接进入互联网，而是需要经过代理的处理。同样，外部网的数据也不能直接进入私有网，而是要经过代理处理以后才能到达私有网，因此在代理上就可以进行访问控制，地址转换等功能。下图是是用代理服务器的工作示意图：图6-6软件方式6.2.3混合方式一套完整的防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器和代理服务器通常组合在一起构成混合系统，其中屏蔽路由器主要用于防止IP欺骗攻击。而代理服务器是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/IP功能。 6.3防火墙分类(一)分组过滤型防火墙分组过滤或包过滤，是一种通用、廉价、有效的安全手段。之所以通用，因为它不针对各具体的网络服务采取特殊的处理方式；之所以廉价，因为大多数路由器都提供分组过滤功能；之所以有效，因为它能很大程度地满足企业的安全要求。包过滤在网络层和传输层起作用。它根据分组包的源、宿地址，端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP、TCP或UDP包头。包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。(二)应用代理型防火墙图6-7应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。 (一)复合型防火墙由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。u屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。u屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。6.4防火墙的使用在上节中我们讨论的是原理上的防火墙分类，在实际应用中，防火墙有硬件防火墙和软件防火墙两类，前者价格昂贵，不适合个人使用，而且配置相对比较复杂。我们在计算机中使用的防火墙一般都属于个人防火墙，也就是软件防火墙。软件防火墙种类比较多，常见的有天网个人防火墙、诺顿个人防火墙、瑞星等等。此外，WindowsXP中也内置了Internet连接防火墙，不过这道防火墙功能较弱，对于长时间在Internet上用户来说，安装第三方防火墙软件是完全必要的。所以，我们重点介绍用户应用最广泛的天网个人防火墙。天网防火墙（SkyNet-FireWall）个人版可以根据用户设定的安全规则（SecurityRules）把守网络，提供强大的访问控制、身份认证、网络地址转换、信息过滤、虚拟专网（VPN）、流量控制等等。也可以帮助抵档网络入侵和攻击，防止信息泄露。天网防火墙把网络分为本地网和互联网，可以针对来自不同网络的信息来设置不同的安全方案，它适合于任何拨号上网的用户，也适合通过网络共享软件上网的用户，是目前最好的个人防火墙之一。6.4.1安装天网防火墙如果你没有安装过天网防火墙，则可以去www.sky.net.cn去下载天网防火墙的安装程序，然后运行安装文件就可以了。安装过程中，一直单击“下一步”直到完成。 6.4.2天网防火墙的使用系统启动后，天网防火墙将启动，并且自动最小化在任务栏中，如图6-8所示：图6-8双击该图标，弹出天网防火墙主界面，如图6-9所示：图6-9我们可以进行如下设置：（1）应用程序规则设置：可以用来针对一些特定的应用程序设置一些安全访问规则，以确保这些应用程序的使用安全，如图6-10所示：图6-10（2）自定义IP规则设置：可以用来针对整个系统，在网络层（IP协议）上设置一些安全访问规则，以确保整个网络系统的使用安全，如图6-11所示：图6-11（3）系统设置：提供一些天网防火墙的系统设置功能，如图6-12所示： 图6-12（1）安全级别设置：提供了一些快捷的安全等级设置。另外，天网还提供了三个快捷功能键：当前系统中所有应用程序网络使用状况：用来查看应用程序的网络使用情况，如图6-13所示：图6-13日志：查看在天网防火墙监控下的网络访问。如图6-14所示：图6-14天网个人版防火墙将会把所有不合规则的数据包拦截并且记录下来，如果你选择了监视TCP和UDP数据包，那你发送和接收的每个数据包也将被记录下来。每条记录从左到右分别是发送/接收时间、发送端IP地址、事件、结果，如图所示。 需要注意的是，不是所有的被拦截的数据包都意味着有人在攻击你，有些正常的数据包也可能是由于你设置的安全级别过高而不符合安全规则，也会被天网防火墙拦截下来并且报警，如泥设置了禁止别人Ping你的主机，此时如果有人向你的主机发送Ping命令，天网防火墙也会把这些发来的数据拦截下来并记录在日志上报警。安全日志可以导出和被删除，其左上方的两个按钮从左至右分别为存放文件和清空日志的按钮。点击“全部日志”下拉框可以看到，日志还分为:系统日志、内网日志和外网日志，如图6－15所示。你可以选择需要的日志进行查看。图6-15接通/断开网络：提供一个暂时断开网络的小功能，如图6-16所示：图6-16如果按下“接通/断开网络”按钮，那么你的机器就将完全与网络断开了，就好像拔下了网线一样。没有任何人可以访问你的机器，但你也不可以访问网络。这是在遇到频繁攻击的时候最有效的应对方法。6.4.3天网防火墙系统设置天网防火墙系统设置主要用来完成一些系统功能设置，界面如图6-17所示：在该界面中，我们可以实现如下设置：（1）让天网防火墙开机时自动启动。 图6-17（1）将防火墙规则恢复为默认值。如果想把自己使用过程中添加的防火墙规则删除，可以点击右上角的“重置”。这时就会弹出警告的对话框。如图6-18所示。单击“确定”按钮即可。图6-18（2）允许所有应用程序都能够访问网络。当天网防火墙启动后，所有的应用程序想要访问网络，都会受到它的“审查”，默认情况下，它禁止任何应用程序访问，当该应用程序想要访问网络时，天网防火墙将自动检测到这种访问，并弹出对话框，要求你进行相应规则设置。如果不想一个个地设置，则可以将“应用程序权限”栏中的“允许所有应用程序访问网络，并在规则中记录这些程序“前面的复选框选中。（3）设置报警声音。当天网防火墙发现有恶意的安全攻击时，会发出报警声音，默认情况下的声音是冒水泡的声音。如果不喜欢的话，可以点击“报警声音”一栏中的“浏览”按钮来指定一个可交换的声音文件（扩展名为.wav）。 6.4.4应用程序规则设置唯独天网防火墙中有对应用程序数据包进行底层分析拦截的功能，通过这一功能可以实现对应用程序发送和接收的数据包的类型、通讯端口进行分析与控制，以决定拦截还是放行。刚安装完天网防火墙时，会发现应用程序规则是空的，如图6-19所示：图6-19当你启动了天网防火墙以后，每当你运行的应用程序需要访问网络时，天网防火墙都会进行提示。比如，当打开“PPLive”网络电视的时候，会弹出如下图6-20所示的对话框。图6-20 此对话框详细地说明了是什么应用程序（在此时PE），这个应用程序的脚本、创建时间、所在的路径，以及使用什么网络协议（在此是TCP）、什么端口并询问是否允许这样的访问等等，用户可以执行如下操作：n单击“允许”按钮：这样该次网络访问将顺利进行;n单击“禁止”按钮：这样该次网络访问将被中止;n如果想永远允许/禁止这样的网络访问，则选上“该程序以后都按这次的操作进行”复选框选中即可。这时，再次查看“应用程序规则这时”时，就不再是空的了。如图6-21所示：图6-21点击程序右边的“选项”，就可以对其进行详细设置，如图6-22所示：图6-22在这里，我们主要设置三个方面的内容：（1）限制传输协议: 可以限制它是否使用TCP、UDP协议发送信息以及提供服务，如果允许就选中相应的复选框；如果禁止，就将复选框置为空。（2）限制传输端口:可以对网络程序使用的端口进行限制：任何端口：也就是可以使用任何端口进行通讯。端口范围：限制在一个范围之类，选择它时，会让你填“从——到——”。端口列表：限制在指定的端口内，选择它时，要求填入指定的端口。（3）对不符合条件的访问的策略:可以对不符合条件的网络访问采用两种策略：n询问：也就是弹出一个对话框来询问。n禁止：禁止对这种网络访问。应用程序规则，还能防范一些木马程序，当攻击者对木马进行控制时，必然会产生对网络的访问，这时天网防火墙就会把其当作网络应用程序对待，弹出一个对话框说明应用程序名称，网络访问信息，这样木马就会暴露无疑了。6.4.5IP规则设置简单地说，规则是一系列的比较条件和一个对数据包的动作，就是将数据包的每一个部分与设置的条件比较，当符合条件时，就可以对该包放行或者阻挡，通过合理的设置规则就可以把有破坏的数据包档在用户的机器之外。应用程序规则的设置是针对每一个应用程序的，而IP规则设置是针对整个系统的。通过IP规则可以对整个系统的数据包进行监测，以确保系统的安全性，单击“IP规则设置”将弹出如图6-23所示的界面。图6-23 我们可以看到，界面分为三个部分：工具栏：对规则进行操作的快捷工具按钮。图6-24工具按钮而具体的规则列表位于界面的中间，如图6-25所示：图6-25对于每一个规则，有六项说明：n启用标志：在最左边有一个复选框，选中表示启用，否则为未启用;n动作：有三种，分别为继续下一规则、通行、拦截;n名称：给规则指定一个名称;n协议：规则适用的协议;n方向：红色箭头用于表示接受，蓝色箭头表示发送;n对方IP：该规则所限制的对方的IP地址（如，所有的IP地址，同网段的IP地址）。在界面最下面的是规则说明，也就是对你选中的那个规则作出的一些说明，如图6-26所示：图6-26如果想要修改其中的规则，可以进行如下操作：（1）选中要修改的规则，然后点击工具栏上的“修改”按钮。（2）直接在要修改的规则上双击该规则，此时就会弹出规则修改窗口，如图6-27所示： 图6-27以防止别人用ping命令探测为例，在这里，我们可进行如下设置：1)名称：也就是给规则取个名字，如“防止别人用ping命令探测”，当然你也可以修改成为“不许别人ping我”。2)说明:对规则作出说明，这些内容将会显示在如图3-28所示的规则说明之中。3)数据包方向：此项说明的是对发送的数据包还是对接收的数据包进行判断，在本例中，别人“ping”你的机器，数据包是对内的，所以选择“接收”。4)对方IP地址：该规则应用于具体的IP地址之上，取决于你的防范是来自局域网内的访问还是来自某台机器的访问，或是来自所有机器的访问。在本例中是不允许任何人Ping你的机器，因此选择为“任何地址”。也可以根据需要，指定某个IP地址不能够“Ping”你的机器，可供选择的设置有：Ø“任何地址”：是指数据包无论从什么地方来，都适合本规则；Ø“局域网网络地址”：是指数据包来自或发往局域网；Ø“指定地址”：是自己可以输入的任一地址；Ø“指定的网络地址”：是自己可以输入的一个网络地址或子网掩码。5)选择过滤的协议：这是最有难度的，需要有网络技术基础。Ø“IP”：不用填写内容，注意，如果你录入了IP协议的规则，则要保证IP协议规则的最后一条内容是“对方地址”为“任何地址”，“动作”为“继续下一规则”。Ø“TCP”：要填入本机的端口范围和对方的端口范围。如果只是指定一个 端口，那么可以在起始端口处输入该端口，在结束处录入“0”。如果不想指定任何端口，则只需在起始端口都录入0。TCP标志比较复杂，可以查阅其它资料，如果不选择任何标志，那么将不会对标志作检查。Ø“ICMP”：要填入类型和代码。如果要输入255，表示任何类型和代码都符合本规则。由于ping命令是采用ICMP协议来实现的，它的协议包类型号是8，因此在“类型”中填8，而对“代码”无限制，因此填入255，代表不作条件设置。1)选择相应的策略：可以选择“拦截”（也就是禁止通过）、“下一规则”（通过下一规则判断）、“通过”（允许），在本例中我们选择“拦截”。另外我们还可以对该事件作出选择：是否记录（记录到日志中）、是否警告（图形提示）、是否发声（发出报警声）。对于天网防火墙而言，安全规则的设置是最重要的，也是最复杂的地方。如果你不熟悉网络基础知识的话，最好不要调整它，你可以直接使用系统默认的规则。如果你熟悉网络，就可以非常灵活地设计适合自己使用的规则。为了能够让大家更加明白，我们选择一些相对比较重要的规则具体说明一下：防御ICMP攻击：如果有一定基础，一定知道，如果想确定对方机器是否还在正常运行，可以使用Ping工具。而Ping就是使用了ICMP协议实现的，而现在ICMP协议通常被用于蓝屏攻击。使用了该项规则后，别人就无法使用Ping工具来确定你的存在，而且用ICMP协议对你的机器进行的蓝屏攻击也将失效。防御IGMP攻击：IGMP协议是Internet组播报文协议，对于Windows用户而言几乎是没有用的，但它也是对付蓝屏攻击的一种常用方法。使用了该项规则后，别人就无法使用IGMP协议来对你的机器实施蓝屏攻击了。TCP数据包监视：用于监视计算机上所有的基于TCP协议的服务器程序。这是一种对付木马、蓝屏攻击的有效方法，因为这些程序也是一种服务器程序，如果关闭了TCP端口的服务功能，那么规则将会使其不正常。另外，qq的文件接收功能也会受到影响，建议你不要使用该规则，因为每一个应用程序第一次访问网络时都会提醒你，这是非常讨厌的。UDP数据包监视：用于监视计算机上所有的基于UDP协议的服务器程序。UDP协议虽不常用于蓝屏攻击，但却是木马程序最常用的。但这也有一个麻烦，qq也是基于UDP的，如果设置该规则会影响它们的使用。如果想要自己建立新的规则，请注意以下事项：1)天网防火墙是按照规则列表的顺序来进行规则检查的。2)当你位于局域网内时，如果只想对局域网开放某些端口或协议，而对互联网关闭时，可对局域网的规则采用允许“局域网网络地址”的某端口、协议的数据包“通行”，然后再加上对“任何地址”的某端口、协议的数据包“通行” ，然后再加上对“任何地址”的某端口、协议的规则“拦截”，就可以实现了。1)如果新增了IP协议的规则，一定要保护IP协议规则的最后一条“对方地址”为“任何地址”，“动作”是“继续下一规则”，否则会使其它协议的规则不能执行。2)不要轻易选中“记录”功能，因为如果随便记录并不重要的日志，会造成出现大量没意义的日志，浪费内存与磁盘空间。6.4.6安全级别设置天网防火墙还提供了“安全级别”设置，分为高，中，低三级，默认为中，可以直接在主界面上设置。如图6-28所示：图6-28 第七章Web服务的安全性7.1概述随着Internet的发展，客户/服务器结构逐渐向浏览器/服务器结构迁移，因此Web服务在很短时间内也成为Internet上的主要服务。Web文本发布具有简洁、生动、形象等特点，所以，无论是单位和个人，都越来越倾向于用Web来发布自己的信息。Web服务基于超文本传输协议，即HTTP协议。目前，HTTP协议共有三个版本，分别为HTTP0.9、HTTP1.0和HTTP1.1。其中HTTP1.0为大多数服务器和浏览器所使用，是一个面向连接的无状态的协议，在TCP的端口80上进行信息的传输。大多数Web服务器和浏览器都对HTTP协议进行了必要的扩展，一些新的技术，如CGI通用网关程序、Java小程序、ActiveX控件、虚拟现实等，也开始应用于Web服务，从而使现在的Web文本看上去更生动、更形象，信息交互也显得更加容易。Web服务给用户发布信息带来了方便的同时，也给用户带来了不安全因素。特别是在HTTP标准协议之上扩展的某些服务，在给用户提供信息交互的同时，也使得Web在已有的安全隐患之外，又增加了新的不安全因素。7.2Web服务的安全威胁Web服务所面临的安全威胁大致可归纳为以下两种：一种是机密信息所面临的安全威胁，一种是WWW服务器和浏览器主机所面临的安全威胁。其中，前一种安全威胁是Internet上各种服务所共有的，而后一种威胁则是由扩展Web服务的某些软件所带来的。这两种安全隐患也不是截然分开的，而是共同存在并相互作用的，尤其是后一种安全威胁的存在，使得保护机密信息的安全更加困难。n机密信息所面临的安全威胁通过Web服务来传递信息，快捷、有效、而且生动形象。但对于机密信息，又 如何防止搭线窃听，如何防止外部用户侵入主机呢？尤其是随着新技术的应用，在外部用户进入系统越来越容易、给主机带来的危害越来越大的情况下，如果无法保证这些信息仅为授权用户阅读，致使机密信息泄露，就必将给被侵入方带来巨大损失。nWWW服务器和浏览器主机所面临的安全威胁1.CGI通用网关程序所带来的威胁CGI是英文CommonGatewayInterface(通用网关接口)的缩写，它在服务器端与Web服务器相互配合，响应远程用户的交互性请求。它允许用户选择一种语言，如C/C++、Perl、UNIXShell、VB等进行编程，提供在服务器端和远程浏览之间的信息交互能力。服务器使用环境变量传输有关的请求信息到CGI程序，这些环境变量包括服务器的名字、CGI和服务器使用协议的版本号、客户端的IP地址和域名地址、客户端的请求方式、请求内容及编码方式、合法性访问信息及用户的输入信息等。　　CGIScript是Web安全漏洞的主要来源。其安全漏洞存在于以下三个方面：　　1）它们会泄露主机系统的信息，帮助黑客入侵；　　2）当服务器处理远程用户输入的某些信息（如表格）时，易被远程用户攻击；　　3）不规范的第三方CGI程序，或存有恶意的客户发布给Web服务器的CGI程序，会对Web服务器造成物理或逻辑上的损坏，甚至将Web服务器上的整个硬盘信息拷贝到Internet的某一台主机上。2.Java小程序所带来的威胁Java是由美国SunMicroSystems公司于1995年推出的一种跨平台和具有交互能力的计算机程序语言，被公认为具有简单、面向对象、分布式、健壮、安全、结构中立、可移植、高效、多线程和动态等优点。其中JavaApplet(Java小程序)为Web服务提供了相当好的扩展能力，并且为各种通用的浏览器，如IE、Netscape2.0所支持。Java小程序由浏览器进行解释并在客户端执行，因此它把安全风险直接从服务器端转移到了客户端。尽管在实现Java小程序时进行了很多安全方面的考虑，但在发行后的很短时间内，在Java中就发现了很多由于具体实现的BUG而引起的安全漏洞。　在Netscape2.0中的Java的实现中存在一些特殊的安全漏洞，例如任意执行机器指令的能力、Applet（小程序）的相互竞争力和与随意的主机建立连接的能力。　　此外，JavaScript作为JavaApplet在IE、Netscape中的实现语言，还存在着以下一些安全漏洞：　　1）可以欺骗用户，将本地硬盘或连在网络上的磁盘上的文件传输到Internet上的任意主机；　　2）能获得用户本地硬盘和任何网络盘上的目录列表；　 3）能监视用户某段时间内访问过的所有网页，捕捉URL并将它们传送到Internet上的某台主机中；4）能够不经用户允许而触发NetscapeNavigator发送出E-mail信息。　　尽管在Netscape以后的版本中，对这些Bug进行了修正，但是谁也不能保证在新的Netscape浏览器中没有漏洞存在。1.ActiveX控件所带来的威胁ActiveX是微软在其组件对象模型（ComponentObjectModel）之上建立的一种理论和概念，同时也是一种新的编程标准，可以用任何一种面向对象的语言加以实现，如VC、VB等，用这种规范建立起来的ActiveX控件真正实现了多语言编程的无缝接，同时，这种控件也可以嵌入HTML文本中，形成一定功能的程序模块。由于ActiveX控件被嵌入到HTML页面中，并下载浏览器端加以执行，因此会给浏览器端造成一定程度的安全威胁。此外，目前已有证据表明，在客户端的浏览器中，如IE中插入某些ActiveX控件，也将直接对服务器端造成意想不到的安全威胁。　　同时，一些其他技术，如内嵌于IE的VBScript语言，用这种语言生成的客户端可执行的程序模块，也同Java小程序一样，有可能给客户端带来安全性能上的漏洞。此外，还有一些新技术，如ASP(ActiveserverPages)技术，由于用户可以为ASP的输出随意增加客户脚本、ActiveX控件和动态HTML，因此在ASP脚本中同样也都存在着一定的安全隐患。2.Cookie所带来的威胁Cookie指的是一个保存在客户机中的简单的文本文件，它与特定的Web文档关联在一起，保存了该客户机访问这个Web文档时的信息，当客户机再次访问这个Web文件档时，这些信息可供该文档使用。在DocumentandSettings文件夹中，任意打开一个用户，便可以看到一个名为Cookies的文件夹，此文件夹中所包含的.txt文件就是Cookie文件。由于Cookie可以保存在客户机上，因此它具有记录用户个人信息的功能，但不必使用复杂的CGI等程序实现。 Cookie可以定制个性化空间，用于记录站点轨迹。当用户访问一个站点时，由于费用、带宽限制等原因，可能并不希望浏览网页所有的内容。Cookie可根据个人喜好进行栏目设定，实时、动态地产生用户所需的内容，从而满足了不同层次用户的需求，减少用户选择项目的次数，更加合理地利用网页服务器的传输带宽。此外，由于Cookie可以保存在客户机上，具有当用户再次访问该Server时读回的特性，利用这一特性可以实现很多设计功能，如显示用户访问该网页的次数；显示用户上一次的访问时间；甚至记录用户以前在本页中所作的选择等，从而不必研究复杂的CGI编程。Cookie在给用户带来方便的同时，也带来了一定的安全隐患。这些安全隐患在很正规的大网站是不必担忧的，但在互联网上还是要谨慎防范的。对Cookie的限制，有下述几种方法：1)如果用户使用的浏览器是IE4，可右击InternetExplorer->属性->安全->自定义级别，选中“禁止所有Cookie使用”即可。2)如果用户使用的浏览器是IE5，而IE5有本地、可信站点、受限站点等级别之分，所以需要分别进行上述设置。3)另一个简单的方法是把Cookie文件夹的属性设为“只读”。4)如果Cookie放在注册表中，则可运行regedit，找到HKEY_LOCAL_MCHANE/Softuare/Microsoft/Windows/CurrentVersion/InternetSetting/Cache/SpecialPaths/Cookies，删除其中所有的文件，最后使用查找功能，将Cookie找出来一一删除即可。1.ASP所带来的威胁微软的InternetInformationServer(IIS)提供了利用ActiveServerPages（ASP）动态产生网页的服务。一个ASP文件就是一个在HTML网页中直接含有程序代码的文件。回询一个ASP文件，会促使IIS运行网页中内嵌的程序代码，然后将运行结果直接回送到浏览器上。此外，静态的HTML网页，是按其原来的样子回传到浏览器上，而不经过任何解析处理。IIS是利用文件的扩展名来区别文件的形态。扩展名为.htm或.html的文件属于静态HTML文件，扩展名为.asp的文件则是一个ActiveServerPages文件。在所有网络安全漏洞里，很容易忽略的一个就是未经解析的文件内容或程序代码无意中被显示出来。简单地说，就是使用者能够从网页服务器上骗取动态网页里的程序代码。利用WindowsNT的数据传输串行的特性存取文件是利用ASP安全漏洞的最早方式。只需利用一个简单的参数（；；$DATA）便可看到ASP的原始程序。例如，以下的URL：Http://10.1.1.11/login.asp::$DATA从这个URL中可以取得成为login.asp的文件中未经解析的ASP程序代码。因为此URL字符串并没有以.asp作为结束，所以IIS没有办法决定这个被回询的文件是否为一个ASP档。而在IIS5.0的安全漏洞中，有一种利用.htr控制模块解析文件的安全漏洞。IIS的InternetServiceManager使用ism.dll来处理.htr文件。而IIS本身则使用asp.dll 来处理ASP文件。利用.htr的安全漏洞，黑客可以将任何文件（包括.asp文件，.asa文件等）用ism.dll来处理，而不是用asp.dll来处理。由于ism.dll未被用于处理ASP的tag，因此原代码被直接显示出来。要想利用这个安全漏洞，远程的黑客只要在URL字符串的尾巴加上“+.htr”即可。例如，要在10.11.11.15上看default.asp的原代码，用下面的URL：http://10.11.11.15/default.asp+.htr便可。此时只要在浏览器的菜单栏选择“查看/源文件”就可以看到ASP的程序。与showcoole.asp不同，这个漏洞不能使黑客们在网站服务器文件根目录之外窃取到指定的文件。此外，如果ASP文档有卷标，此方法无法顺利运作。在遇到%符号时，输出结果会被终止掉。因此，利用这个漏洞所能窃取的一般只是使用SCRIPTRUNAT=“SERVER”…/SCRIPT卷标的ASP文件。7.3防御措施为了确保Web服务的安全，通常采用下列技术措施：在现有的网络上安装防火墙，对需要保护的资源建立隔离区；对机密敏感的信息进行加密存储和传输；在现有网络协议的基础上，为C/S通信双方提供身份认证并通过加密手段建立秘密通道；对没有安全保证的软件实施数字签名，提供审计、追踪手段，保证一旦出现问题，可立即根据审计日志进行追查等。7.3.1安装防火墙为自己的局域网或站点提供隔离保护，是目前普遍采用的一种安全有效的方法，这种方法不是只针对Web服务，对其他服务也同样有效。　防火墙是一个位于内部网络与Internet之间的计算机或网络设备中的一个功能模块，是按照一定的安全策略建立起来的硬件和软件的有机组成体，其目的是为内部网络或主机提供安全保护，控制谁可以从外部访问内部受保护的对象，谁可以从内部网络访问Internet，以及相互之间以哪种方式进行访问。从其运行机制上可以分为包过滤和代理两种。　　包过滤主要是针对特定IP地址的主机所提供的服务，其基本原理是在网络传输的IP层截获往来的IP包，查找出 IP包的源地址和目的地址、源端口号和目的端口号，以及IP包包头中其他一些信息，并根据一定的过滤原则，确定是否对此IP包进行转发。简单的包过滤在路由器上即可实现，通常放置在路由器的后面，同时在过滤的基础上可以加上其他安全技术，如加密、认证等，从而实现较高的安全性。　　代理在应用层实现，其基本原理是对Web服务单独构造一个代理程序，不允许客户程序与服务器程序直接交互，必须通过代理程序双方才能进行信息的交互；还可以在代理程序中实现其他的安全控制措施，如用户认证和报文加密等，从而达到更高的安全性能。代理根据所代理的对象及所放的位置，又可分为客户端代理和服务器端代理。客户端代理主要是保护浏览器一方主机的安全，服务器端代理主要是保护服务器的安全。7.3.2加密保护为了保护您的数据在传递过程中不被别人窃听或修改，您必须对数据进行加密（加密后的数据称为密文），这样，即使别人窃取了您的数据（密文），由于没有密钥而无法将之还原成明文（未经加密数据），从而保证了数据的安全性，接收方因有正确的密钥，因此可以将密文还原成正确的明文。所以对机密信息进行加密存储和传输是传统而有效的方法，这种方法对保护机密信息的安全特别有效，能够防止搭线窃听和黑客入侵，在目前基于Web服务的一些网络安全协议中得到了广泛的应用。　　在Web服务中的传输加密一般在应用层实现。WWW服务器在发送机密信息时，首先根据接收方的IP地址或其他标识，选取密钥对，信息进行加密运算；浏览器在接收到加密数据后，根据IP包中信息的源地址或其他标识对加密数据进行解密运算，从而得到所需的数据。在目前流行的WWW服务器和浏览器中，如微软公司的IIS服务器和浏览器IE，都可以对信息进行加解密运算，同时也留有接口，用户可以对这些加解密算法进行重载，构造自己的加解模块。此外，传输加解密也可以在IP层实现，对进出的所有信息进行加解密，以保证在网络层的信息安全。7.3.3身份认证1.身份认证技术概述随着计算机及网络技术的广泛应用，越来越多的应用系统通过电脑和网络进行信息的传输和处理，随之而来的信息安全问题令人忧虑。众所周知，计算机及信息犯罪近年来呈大幅上升趋势，直接和间接导致的经济损失已达天文数字。我们必须采取有效措施保护信息资源，并根据受到攻击和破坏的可能性以及可能导致的损失程度，决定预防措施的功能和投资水平。在信息技术中，所谓“认证” ，是指通过一定的验证技术，确认系统使用者身份，以及系统硬件（如电脑）的数字化代号真实性的整个过程。其中对系统使用者的验证技术过程称为“身份认证”。身份认证技术是信息安全理论与技术的一个重要方面。身份认证是安全系统中的第一道关卡.用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为，同时入侵检测系统实时或非实时地侦测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统所提供的“信息”——用户的身份。可见身份认证在安全系统中的地位极其重要，是最基本的安全服务，其它的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统。因此要加快信息安全的建设，加强身份认证理论及其应用的研究是一个非常重要的课题。2.身份认证的方式身份认证一般会涉及到两方面的内容，一个是识别，一个是验证。所谓识别，就是要明确访问者是谁？即必须对系统中的每个合法（注册）的用户具有识别能力。要保证识别的有效性，必须保证任意两个不同的用户都不能具有相同的识别符。所谓验证是指访问者声称自己的身份后（比如，向系统输入特定的标识符），系统还必须对它声称的身份进行验证，以防止冒名顶替者。识别符可以是非秘密的，而验证信息必须是秘密的。身份认证的本质是被认证方有一些信息（无论是一些秘密的信息还是一些个人持有的特殊硬件或个人特有的生物学信息），除被认证方自己外，任何第三方（在有些需要认证权威的方案中，认证权威除外）不能伪造，被认证方能够使认证方相信他确实拥有那些秘密（无论是将那些信息出示给认证方或者采用零知识证明的方法），则他的身份就得到了认证。大致上来讲，身份认证可分为用户与主机间的认证和主机与主机之间的认证。本文只讨论用户与主机间的身份认证。一般而言，用户与主机间的身份认证有三类，它们分别是：△“Whatyouknow?”你知道什么？这是对被识别人员知识的验证，如口令；△“Whatyouhave?”你有什么？这是对被识别人员所持有物品的验证，如智能卡、令牌等；△“Whoareyou?”你是谁？这是对应于被识别人员自身固有特征的验证，如指纹、面部等。所以,可以为客户/服务器通信双方提供身份认证，建立安全信道 　　目前已经出现了建立在现有网络协议基础上的一些网络安全协议，如SSL和PCT。这两种协议主要是用于保护机密信息，同时也用于防止其他非法用户侵入自己的主机，给自己带来安全威胁。　　SSL协议是美国Netscape公司最早提出的一种包括服务器的认证、签名、加密技术的私有通信，可提供对服务器的认证，根据服务器的选项，还可提供对客户端的认证。SSL协议可运行在任何一种可靠的传输协议之上，如TCP，但它并不依赖于TCP，并能够运行在HTTP、FTP、TELNET等应用协议之下，为其提供安全的通信。SSL协议使用X.509V3认证标准，RSA、diffie-Hellman和Fortezza-KEA算法作为其公钥算法，使用RC4-128、RC-128、DES、3层DWS或IDEA作为其数据加密算法。PCT提供了比SSL更加丰富的认证方案、加密算法，并在某些协议细节上作了改进。7.3.4数字签名以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢？这就是数字签名所要解决的问题。数字签名必须保证以下3点：1.接收者能够核实发送者对报文的签名；2.发送者事后不能抵赖对报文的签名；3.接收者不能伪造对报文的签名。　现在已有多种实现各种数字签名的方法，但采用公开密钥算法要比常规算法更容易实现。下面就来介绍这种数字签名。 　　发送者A用其秘密解密密钥SKA对报文X进行运算，将结果DSKA(X)传送给接收者B。B用已知的A的公开加密密钥得出EPKA(DSKA(X))=X。因为除A外没有别人能具有A的解密密钥SKA，所以除A外没有别人能产生密文DSKA(X)。这样，报文X就被签名了。　　假若A要抵赖曾发送报文给B。B可将X及DSKA(X)出示给第三者。第三者很容易用PKA去证实A确实发送消息X给B。反之，如果是B将X伪造成X，则B不能在第三者面前出示DSKA(X)。这样就证明B伪造了报文。可以看出，实现数字签名也同时实现了对报文来源的鉴别。　　但是上述过程只是对报文进行了签名。对传送的报文X本身却未保密。因为截到密文DSKA(X)并知道发送者身份的任何人，通过查问手册即可获得发送者的公开密钥PKA，因而能够理解报文内容。则可同时实现秘密通信和数字签名。SKA和SKB分别为A和B的秘密密钥，而PKA和PKB分别为A和B的公开密钥。　所以还可以对软件采用数字签名。为了维护自己公司的良好声誉，许多大公司纷纷对自己的软件采用数字签名技术，宣称对自己的软件，尤其是像Java小程序，ActiveX控件这样给Web服务带来隐患的软件的安全性负责。一些证书机构也开始提供这方面的服务，并且已有了相应的工业标准，如微软公司的Authenticode等。数字签名是根据公钥算法，用自己的私钥对自己发布的软件进行签名，由用户用其公钥进行验证。这里的公钥是由证书机构发布的证书证实的。微软的Authenticode2.0技术用于标识一份软件的发布者并且证明它还没有被损害。从证书机构（CA）处获得数字证书的软件发布者可以使用Authenticode签名工具来为他们的软件包进行数字化签名。其证书格式一般遵从ITU-X5.09V3格式，公钥算法为RSA。Authenticode是客户方软件，它监视ActiveX控件、Cab文件、Java小应用程序或可执行文件的下载，在这些文件中寻找数字证书来进行验证，然后对可能出现的安全问题向用户显示警字、证书机构的名字及它是商业证书还是个人证书、证书的有效时间等等。数字签名能够保护软件的完整性，对软件在传输过程中的非法更改比较敏感。软件一般来说规模都比较大，而目前的公钥算法，如RSA，在实现上比较慢，因此在对软件进行数字签名时，可先用一个杂凑函数对软件代码进行处理，然后再用用户的私钥对杂凑结果进行签名。当其他用户验证时，也是用同样的杂凑函数算出杂凑值，再对签名进行解密，如果两个结果一致，则说明软件没有被更改过，否则，就说明软件在传输的过程中被非法更改了。　　数字签名还能够确认软件的发布者。软件使用者导入证书机构（CA）发布给软件发布者的证书，就可以用软件发布者的公钥认定发布软件有的有效性。签过名的软件并不能保证没有安全问题，签名的作用在于一旦出现问题，就可以根据证书对软件发布者进行追查。　　以上这些解决Web安全性的方法，在具体应用中也不是只使用某一项技术，而是把几种解决方法集成在一起，针对自己的服务器端或客户端的安全需求，构筑起实用的安全体系。 第八章常见安全故障处理8.1计算机中毒现象计算机病毒是客观存在的，客观存在的事物总有它的特性，计算机病毒也不例外。从实质上说，计算机病毒是一段程序代码，虽然它可能隐藏得很好，但也会留下许多痕迹。通过对这些蛛丝马迹的判别，我们就能发现计算机病毒的存在了。计算机病毒发作时是指满足计算机病毒发作的条件，计算机病毒程序开始破坏行为的阶段。计算机病毒发作时的表现大都各不相同，可以说一百个计算机病毒发作有一百种花样。这与编写计算机病毒者的心态、所采用的技术手段等都有密切的关系。计算机病毒发作前的表现现象:　　计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏在系统内开始，一直到激发条件满足，计算机病毒发作之前的一个阶段。在这个阶段，计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己，在不被发现同时，又自我复制，以各种手段进行传播。　　以下是一些计算机病毒发作前常见的表现现象：　　1、平时运行正常的计算机突然经常性无缘无故地死机。病毒感染了计算机系统后，将自身驻留在系统内并修改了中断处理程序等，引起系统工作不稳定，造成死机现象发生。　　2、操作系统无法正常启动。关机后再启动，操作系统报告缺少必要的启动文件，或启动文件被破坏，系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化，无法被操作系统加载、引导。　　3、运行速度明显变慢。在硬件设备没有损坏或更换的情况下，本来运行速度很快的计算机，运行同样应用程序，速度明显变慢，而且重启后依然很慢。这很可能是计算机病毒占用了大量的系统资源，并且自身的运行占用了大量的处理器时间，造成系统资源不足，运行变慢。　　4、以前能正常运行的软件经常发生内存不足的错误。某个以前能够正常运行的程序，程序启动的时候报系统内存不足，或者使用应用程序中的某个功能时报说内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间，使得可用内存空间减小。需要注意的是在Windows 95/98下，记事本程序所能够编辑的文本文件不超过64Kb字节，如果用"复制／粘贴"操作粘贴一段很大的文字到记事本程序时，也会报"内存不足，不能完成操作"的错误，但这不是计算机病毒在作怪。5、打印和通讯发生异常。硬件没有更改或损坏的情况下，以前工作正常的打印机，近期发现无法进行打印操作，或打印出来的是乱码。串口设备无法正常工作，比如调制解调器不拨号。这很可能是计算机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务程序，使之不能正常工作。　　6、无意中要求对软盘进行写操作。没有进行任何读、写软盘的操作，操作系统提示软驱中没有插入软盘，或者要求在读取、复制写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。需要注意的是有些编辑软件需要在打开文件的时候创建一个临时文件，也有的安装程序（如Office97）对软盘有写的操作。　　7、以前能正常运行的应用程序经常发生死机或者非法错误。在硬件和操作系统没有进行改动的情况下，以前能够正常运行的应用程序产生非法错误和死机的情况明显增加。这可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能，或者计算机病毒程序本身存在着兼容性方面的问题造成的。　　8、系统文件的时间、日期、大小发生变化。这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后，会将自身隐藏在原始文件的后面，文件大小大多会有所增加，文件的访问和修改日期和时间也会被改成感染时的时间。尤其是对那些系统文件，绝大多数情况下是不会修改它们的，除非是进行系统升级或打补丁。对应用程序使用到的数据文件，文件大小和修改日期、时间是可能会改变的，并不一定是计算机病毒在作怪。　　9、运行Word，打开Word文档后，该文件另存时只能以模板方式保存。无法另存为一个DOC文档，只能保存成模板文档（DOT）。这往往是打开的Word文档中感染了Word宏病毒的缘故。　　10、磁盘空间迅速减少。没有安装新的应用程序，而系统可用的可用的磁盘空间减少地很快。这可能是计算机病毒感染造成的。需要注意的是经常浏览网页、回收站中的文件过多、临时文件夹下的文件数量过多过大、计算机系统有过意外断电等情况也可能会造成可用的磁盘空间迅速减少。另一种情况是Windows95/98下的内存交换文件的增长，在Windows95/98下内存交换文件会随着应用程序运行的时间和进程的数量增加而增长，一般不会减少，而且同时运行的应用程序数量越多，内存交换文件就越大。　　11、网络驱动器卷或共享目录无法调用。对于有读权限的网络驱动器 卷、共享目录等无法打开、浏览，或者对有写权限的网络驱动器卷、共享目录等无法创建、修改文件。虽然目前还很少有纯粹地针对网络驱动器卷和共享目录的计算机病毒，但计算机病毒的某些行为可能会影响对网络驱动器卷和共享目录的正常访问。　　12、基本内存发生变化。在DOS下用mem/c/p命令查看系统中内存使用状况的时候可以发现基本内存总字节数比正常的640Kb要小，一般少1Kb～2Kb。这通常是计算机系统感染了引导型计算机病毒所造成的。　　13、陌生人发来的电子函件。收到陌生人发来的电子函件执行之后会出现重启，系统变慢。这就说明你有可能中毒了。　　以下列举了一些计算机病毒发作时常见的表现现象：　　1、提示一些不相干的话。最常见的是提示一些不相干的话，比如打开感染了宏病毒的Word文档，如果满足了发作条件的话，它就会弹出对话框显示"这个世界太黑暗了！"，并且要求你输入"太正确了"后按确定按钮。　　2、发出一段恶作剧式的音乐。8.2故障处理8.2.1故障现象分析及处理在着手处理故障之前,最好先准备笔和记事本,然后,将故障现象认真仔细记录下来。在观察和记录时一定要注意细节,解决大型网络故障也是如此,因为有时正时一些最小的细节会使整个问题变得明朗化。1.识别故障现象在准备处理故障之前,必须清楚的知道网络上到底出了什么问题,知道出了什么问题并能够及时识别,是成功处理故障最重要的步骤。识别故障现象时,应该询问:当被记录的故障现象发生时,正在运行什么进程。这个进程以前运行过没有?以前这个进程的运行是不是可以成功?这个进程最后一次成功运行是什么时候?从最后一次成功运行起,哪些进程发生了改变?2.对故障现象进行描述当处理其他人报告的问题时,对故障现象的详细描述九显得尤为重要。如果仅凭一面之词,有时还很难下结论,这就需要你亲自操作一下刚才出错的程序,并注意出错信息。例如,在使用Web浏览器进行浏览时,无论键入哪一个网址都返回“该页无法显示”之类的信息。使用ping命令时,无论ping哪一个IP地址都显示超时连接信息等。诸如此类的出错信息为缩小问题范围提供许多有价值的信息。对此在处理故障前,可按以下步骤执行: (1)收集相关故障现象的信息内容并对故障现象进行详细描述,在过程当中要注意细节(因为问题一般出在小的细节方面)。(2)把所有的问题都记录下来。(3)不要匆忙下定论。1.列举可能导致错误的原因应当考虑,导致无法查看信息的原因可能有哪些,是网卡硬件故障,还是网络连接故障、网络设备(如集线器、交换机)故障,还是TCP/IP协议设置不当等。注意:不要着急下结论,可根据出错的可能性把这些原因按优先级别进行排序,一个个先后排除。2.缩小搜索的范围对自己所有列出可能导致错误的原因进行逐一检查,不要根据一次测试,就断定某一区域的网络是运行正常还是异常。另外,也不要在自己确定了的第一个错误上就停下来,应该把自己所列出可能导致出错的原因全部检查过一遍为止。除了测试之外,还要注意的是:不要忘记看一看网卡、HUB、MODEN、路由器面板上的指示灯。通常情况下,绿灯表示连接正常(MODEN需要几个绿灯和红灯都要亮),红灯表示连接故障,不亮则表示无连接或线路不通。根据数据流量的大小,指示灯会时快时慢的闪烁。3.隔离查找出来的错误经过一番折腾后,这时已经基本知道了故障的部位,对于电脑的错误,可以开始检查该电脑网卡是否安装好、TCP/IP协议是否安装并设置正确、Web浏览器的连接设置是否得当等等一切与已知故障现象有关的内容。然后剩下的事情就是排除故障了。4.分析故障处理完问题后,还必须搞清楚故障是如何发生的,是何原因导致了故障的发生,以后如何避免类似故障的发生。8.2.2举例说明(一)保护您的IE浏览器安全除了安装使用最高版本的IE，并打上所有IE补丁外，我们还可以从以下方面保护IE的安全性。1.安全级别设定如果你想屏蔽Cookie与ActiveX控件功能，可以很容易地通过IE的安全级别设定功能加以实现。如图8-1： 图8-1　　IE的安全机制共分为高，中，中低，低四个级别，分别对应着不同的网络功能。高级是最安全的浏览方式，但功能最少，而且由于禁用Cookies可能造成某些需要进行验证的站点不能登录；中级是比较安全的浏览方式，能在下载潜在的不安全内容之前给出提示，同时屏蔽了ActiveX控件下载功能，适用于大多数站点；中低的浏览方式接近于中级，但在下载潜在的不安全内容之前不能给出提示，同时，大多数内容运行时都没有提示，适用于内部网络；低级别的安全机制不能屏蔽任何活动内容，大多数内容自动下载并运行，因此，它只能提供最小的安全防护措施。　　操作步骤：点击工具/Internet选项/安全，然后你就会看到如图8-1的面板了，简单地拖动滑块就能完成安全级别的设定。1.建议禁用自动完成功能IE的自动完成功能非常实用，可以让我们实现快速登录，快速填写的目的，但它的缺陷也同样明显。许多站点，在你进行登录时会自动搜索与读取你的历史操作以便获取用户信息，包括我们在地址栏中输入的历史地址，以及一些填过的表单信息；同时，那些经常在网吧上网，又不想让其他人知道自己的历史操作的朋友，最好禁用IE的自动完成功能，因为后来上网的用户只需点击"历史"按钮就能让你的所有隐私无所遁形。如图8-2所示,可以不选择相应的"自动完成功能应用于"选项复选框选项。 图8-21.清除IE历史记录"历史"也是非常有用的一项功能，但对于公共用户，正如上面我们谈到的，极容易造成个人信息的泄露，因此，对于这部分用户，建议在离开电脑前清除历史纪录。图8-3操作步骤：工具/常规/清除历史记录，如图8-3。如果要清除单个网址记录，可以直接单击"历史"按钮，找到要删除的网址，点击鼠标右键，选"删除"命令。2.清除CookiesIE的"历史"并不是唯一纪录我们操作过程的地方，许多站点在用户访问时会在用户电脑里放置一些小文件用以跟踪Cookies。我们可以通过安全机制的设定禁止Cookie功能，但那样的话就不能访问需要Cookie验证的网站了。　清除Cookies的步骤：找到C盘下Windows文件夹，然后清除Cookies与TemporaryInternet文件夹中的内容就行了。 1.使用IE保护小工具目前网上有几款不错的小工具可以即时保护IE，象超级兔子IE保护器、IE修复专家、IE浏览器防改精灵等等。(二)IE浏览器经典故障与排除解决大全1.发送错误报告故障现象:在使用IE浏览网页的过程中，出现“MicrosoftInternetExplorer遇到问题需要关闭……”的信息提示。此时，如果单击“发送错误报告”按钮，则会创建错误报告，单击“关闭”按钮之后会引起当前IE窗口关闭；如果单击“不发送”按钮，则会关闭所有IE窗口。故障分析:这是IE为了解用户在使用中的错误而设计的一个小程序，不过我可不想当微软的“免费测试员”，更何况每天它都会面对成千上万的报告，谁知道有没有在意我的报告问题呢？！故障解决:针对不同情况，可分别用以下方法关闭IE发送错误报告功能：①对IE5.x用户，执行“控制面板→添加或删除程序”，在列表中选择“InternetExplorerErrorReporting”选项，然后单击“更改/删除”按钮，将其从系统中删除。②对Windows9x/Me/NT/2000下的IE6.0用户，则可打开“注册表编辑器”，找到[HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMain]，在右侧窗格创建名为IEWatsonEnabled的DWORD双字节值，并将其赋值为0.③对WindowsXP的IE6.0用户，执行“控制面板→系统”，切换到“高级”选项卡，单击“错误报告”按钮，选中“禁用错误报告”选项，并选中“但在发生严重错误时通知我”，最后单击“确定”按钮。2.IE发生内部错误，窗口被关闭故障现象:在使用IE浏览一些网页时，出现错误提示对话框：“该程序执行了非法操作，即将关闭……”，单击“确定”按钮后又弹出一个对话框，提示“发生内部错误……”。单击“确定”按钮后，所有打开的IE窗口都被关闭。故障分析:该错误产生原因多种多样，内存资源占用过多、IE安全级别设置与浏览的网站不匹配、与其他软件发生冲突、浏览网站本身含有错误代码……这些情况都有可能，需要耐心加以解决。故障解决:①关闭过多的IE窗口。如果在运行需占大量内存的程序，建议IE窗口打开数不要超过5个。②降低IE安全级别。执行“工具→Internet选项”菜单，选择“安全”选项卡，单击“默认级别”按钮，拖动滑块降低默认的安全级别。 ③将IE升级到最新版本。IE6.0SP1可使用以IE为核心的浏览器，如MyIE2.它占用系统资源相对要少，而且当浏览器发生故障关闭时，下次启动它，会有“是否打开上次发生错误时的页面”的提示，尽可能地帮你挽回损失。1.出现运行错误故障现象:用IE浏览网页时弹出“出现运行错误，是否纠正错误”对话框，单击“否”按钮后，可以继续上网浏览。故障分析:可能是所浏览网站本身的问题，也可能是由于IE对某些脚本不支持。故障解决:①启动IE，执行“工具→Internet选项”菜单，选择“高级”选项卡，选中“禁止脚本调试”复选框，最后单击“确定”按钮即可。②将IE浏览器升级到最新版本。2.脱机却无法浏览本机上的网页故障现象:通过IE的“脱机浏览”功能，我们差不多能浏览所有已经下载到本地硬盘的网页内容，这对拨号上网的用户来说更是省钱的一大法宝。但有时，目标网页虽然在硬盘上，但是却提示“无法浏览”。故障分析:这多半是由于你修改了系统时间，引起了IE历史记录的错乱。故障解决:①可用直接在“临时文件夹”中搜索的方法来激活它。按下Win+F，在“包含文字”处输入部分记忆中的关键字，在“搜索”处按“浏览”按钮选择IE临时文件夹的地址，如“C：WINDOWSTemporaryInternetFiles”，单击“开始查找”，在结果列表里双击目标页打开。②可以尝试用腾讯的TE等浏览器来脱机浏览。3.联网状态下，浏览器无法打开某些站点故障现象:上网后，在浏览某些站点时遇到各种不同的连接错误。故障分析:这种错误一般是由于网站发生故障或者你没有浏览权限所引起。故障解决:针对不同的连接错误，IE会给出不同的错误信息提示，比较常见的有以下几个：①提示信息：404NOTFOUND这是最为常见的IE错误信息。主要是因为IE不能找到你所要求的网页文件，该文件可能根本不存在或者已经被转移到了其他地方。 ②提示信息：403FORBIDDEN常见于需要注册的网站。一般情况下，可以通过在网上即时注册来解决该问题，但有一些完全“封闭”的网站还是不能访问的。③提示信息：500SERVERERROR通常由于所访问的网页程序设计错误或者数据库错误而引起，你只有等待对方网页纠正错误后再浏览了。1.IE默认首页被修改的故障排除。IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式，这是最常见的篡改手段，受害者众多。排除办法可通过修改注册表来解决：①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；②展开注册表到HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternetExplorerMain下，在右半部分窗口中找到串值“StartPage”双击，将StartPage的键值改为“about：blank”即可；③同理，展开注册表到HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMain在右半部分窗口中找到串值“StartPage”，然后按②中所述方法处理。④退出注册表编辑器，重新启动计算机，一切OK了！特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。解决办法：运行注册表编辑器regedit.exe，然后依次展开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键，然后将其下的registry.exe子键删除，然后删除自运行程序c：ProgramFilesregistry.exe，最后从IE选项中重新设置起始页就好了。8.3个人主机的安全防范措施一、杀（防）毒软件不可少　　病毒的发作给全球计算机系统造成巨大损失，令人们谈“毒”色变。上网的人中，很少有谁没被病毒侵害过。对于一般用户而言，首先要做的就是为电脑安装一套正版的杀毒软件。 　　现在不少人对防病毒有个误区，就是对待电脑病毒的关键是“杀”，其实对待电脑病毒应当是以“防”为主。目前绝大多数的杀毒软件都在扮演“事后诸葛亮”的角色，即电脑被病毒感染后杀毒软件才忙不迭地去发现、分析和治疗。这种被动防御的消极模式远不能彻底解决计算机安全问题。杀毒软件应立足于拒病毒于计算机门外。因此应当安装杀毒软件的实时监控程序，应该定期升级所安装的杀毒软件（如果安装的是网络版，在安装时可先将其设定为自动升级），给操作系统打相应补丁、升级引擎和病毒定义码。由于新病毒的出现层出不穷，现在各杀毒软件厂商的病毒库更新十分频繁，应当设置每天定时更新杀毒实时监控程序的病毒库，以保证其能够抵御最新出现的病毒的攻击。　　每周要对电脑进行一次全面的杀毒、扫描工作，以便发现并清除隐藏在系统中的病毒。当用户不慎感染上病毒时，应该立即将杀毒软件升级到最新版本，然后对整个硬盘进行扫描操作，清除一切可以查杀的病毒。如果病毒无法清除，或者杀毒软件不能做到对病毒体进行清晰的辨认，那么应该将病毒提交给杀毒软件公司，杀毒软件公司一般会在短期内给予用户满意的答复。而面对网络攻击之时，我们的第一反应应该是拔掉网络连接端口，或按下杀毒软件上的断开网络连接钮。　　二、个人防火墙不可替代　　如果有条件，安装个人防火墙（FireWall）以抵御黑客的袭击。所谓“防火墙”，是指一种将内部网和公众访问网（Internet）分开的方法，实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，就会尽快发布补救（Patch）产品，此时应尽快确认真伪（防止特洛伊木马等病毒），并对防火墙进行更新。在理想情况下，一个好的防火墙应该能把各种安全问题在发生之前解决。就现实情况看，这还是个遥远的梦想。目前各家杀毒软件的厂商都会提供个人版防火墙软件，防病毒软件中都含有个人防火墙，所以可用同一张光盘运行个人防火墙安装，重点提示防火墙在安装后一定要根据需求进行详细配置。合理设置防火墙后应能防范大部分的蠕虫入侵。　　三、分类设置密码并使密码设置尽可能复杂　　在不同的场合使用不同的密码。网上需要设置密码的地方很多，如网上银行、上网账户、E-Mail、聊天室以及一些网站的会员等。应尽可能使用不同的密码，以免因一个密码泄露导致所有资料外泄。对于重要的密码（如网上银行的密码）一定要单独设置，并且不要与其他密码相同。 　　设置密码时要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄露的字符作为密码，最好采用字符与数字混合的密码。　　不要贪图方便在拨号连接的时候选择“保存密码”选项;如果您是使用Email客户端软件（OutlookExpress、Foxmail、Thebat等）来收发重要的电子邮箱，如ISP信箱中的电子邮件，在设置账户属性时尽量不要使用“记忆密码”的功能。因为虽然密码在机器中是以加密方式存储的，但是这样的加密往往并不保险，一些初级的黑客即可轻易地破译你的密码。　　定期地修改自己的上网密码，至少一个月更改一次，这样可以确保即使原密码泄露，也能将损失减小到最少。　　四、不下载来路不明的软件及程序，不打开来历不明的邮件及附件　　不下载来路不明的软件及程序。几乎所有上网的人都在网上下载过共享软件（尤其是可执行文件），在给你带来方便和快乐的同时，也会悄悄地把一些你不欢迎的东西带到你的机器中，比如病毒。因此应选择信誉较好的下载网站下载软件，将下载的软件及程序集中放在非引导分区的某个目录，在使用前最好用杀毒软件查杀病毒。有条件的话，可以安装一个实时监控病毒的软件，随时监控网上传递的信息。　　不要打开来历不明的电子邮件及其附件，以免遭受病毒邮件的侵害。在互联网上有许多种病毒流行，有些病毒就是通过电子邮件来传播的，这些病毒邮件通常都会以带有噱头的标题来吸引你打开其附件，如果您抵挡不住它的诱惑，而下载或运行了它的附件，就会受到感染，所以对于来历不明的邮件应当将其拒之门外。　　五、警惕“网络钓鱼”　　目前，网上一些黑客利用“网络钓鱼”手法进行诈骗，如建立假冒网站或发送含有欺诈信息的电子邮件，盗取网上银行、网上证券或其他电子商务用户的账户密码，从而窃取用户资金的违法犯罪活动不断增多。公安机关和银行、证券等有关部门提醒网上银行、网上证券和电子商务用户对此提高警惕，防止上当受骗。　　目前“网络钓鱼”的主要手法有以下几种方式：　　（1）发送电子邮件，以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。 　　（2）建立假冒网上银行、网上证券网站，骗取用户账号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意Html代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用cookies窃取用户信息。　　（3）利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。　　（4）利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁。　　（5）利用用户弱口令等漏洞破解、猜测用户账号和密码。不法分子利用部分用户贪图方便设置弱口令的漏洞，对银行卡密码进行破解。　　实际上，不法分子在实施网络诈骗的犯罪活动过程中，经常采取以上几种手法交织、配合进行，还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”不法活动。反网络钓鱼组织APWG（Anti-PhishingWorkingGroup）最新统计指出，约有70.8%的网络欺诈是针对金融机构而来。从国内前几年的情况看大多Phishing只是被用来骗取QQ密码与游戏点卡与装备，但今年国内的众多银行已经多次被Phishing过了。可以下载一些工具来防范Phishing活动，如NetcraftToolbar，该软件是IE上的Toolbar，当用户开启IE里的网址时，就会检查是否属于被拦截的危险或嫌疑网站，若属此范围就会停止连接到该网站并显示提示。　　六、防范间谍软件　　最近公布的一份家用电脑调查结果显示，大约80%的用户对间谍软件入侵他们的电脑毫无知晓。间谍软件（Spyware）是一种能够在用户不知情的情况下偷偷进行安装（安装后很难找到其踪影），并悄悄把截获的信息发送给第三者的软件。它的历史不长，可到目前为止，间谍软件数量已有几万种。间谍软件的一个共同特点是，能够附着在共享文件、可执行图像以及各种免费软件当中，并趁机潜入用户的系统，而用户对此毫不知情。间谍软件的主要用途是跟踪用户的上网习惯，有些间谍软件还可以记录用户的键盘操作，捕捉并传送屏幕图像。间谍程序总是与其他程序捆绑在一起，用户很难发现它们是什么时候被安装的。一旦间谍软件进入计算机系统，要想彻底清除它们就会十分困难，而且间谍软件往往成为不法分子手中的危险工具。　　从一般用户能做到的方法来讲，要避免间谍软件的侵入，可以从下面三个途径入手：　　（1）把浏览器调到较高的安全等级——Internet Explorer预设为提供基本的安全防护，但您可以自行调整其等级设定。将InternetExplorer的安全等级调到“高”或“中”可有助于防止下载。　　（2）在计算机上安装防止间谍软件的应用程序，时常监察及清除电脑的间谍软件，以阻止软件对外进行未经许可的通讯。　　（3）对将要在计算机上安装的共享软件进行甄别选择，尤其是那些你并不熟悉的，可以登录其官方网站了解详情；在安装共享软件时，不要总是心不在焉地一路单击“OK”按钮，而应仔细阅读各个步骤出现的协议条款，特别留意那些有关间谍软件行为的语句。　　七、只在必要时共享文件夹　　不要以为你在内部网上共享的文件是安全的，其实你在共享文件的同时就会有软件漏洞呈现在互联网的不速之客面前，公众可以自由地访问您的那些文件，并很有可能被有恶意的人利用和攻击。因此共享文件应该设置密码，一旦不需要共享时立即关闭。　　一般情况下不要设置文件夹共享，以免成为居心叵测的人进入你的计算机的跳板。　　如果确实需要共享文件夹，一定要将文件夹设为只读。通常共享设定“访问类型”不要选择“完全”选项，因为这一选项将导致只要能访问这一共享文件夹的人员都可以将所有内容进行修改或者删除。Windows98/ME的共享默认是“只读”的，其他机器不能写入;Windows2000的共享默认是“可写”的，其他机器可以删除和写入文件，对用户安全构成威胁。　　不要将整个硬盘设定为共享。例如，某一个访问者将系统文件删除，会导致计算机系统全面崩溃，无法启动。　　八、不要随意浏览黑客网站、色情网站　　这点勿庸多说，不仅是道德层面，而且时下许多病毒、木马和间谍软件都来自于黑客网站和色情网站，如果你上了这些网站，而你的个人电脑恰巧又没有缜密的防范措施，哈哈，那么你十有八九会中招，接下来的事情可想而知。　　九、定期备份重要数据　　数据备份的重要性毋庸讳言，无论你的防范措施做得多么严密，也无法完全防止“道高一尺，魔高一丈”的情况出现。如果遭到致命的攻击，操作系统和应用软件可以重装，而重要的数据就只能靠你日常的备份了。所以，无论你采取了多么严密的防范措施，也不要忘了随时备份你的重要数据，做到有备无患！