2.5 计算机安全★★
考核说明:本节主要介绍计算机的安全隐患、计算机病毒的防范和计算机黑客及其防范,其中考生要熟悉计算机病毒防范的相关内容,此考点在考试中占有一定的比例,其他考点需要了解。
2.5.1 计算机安全隐患
随着计算机和网络的日益普及,计算机安全问题也越来越突出。Internet的迅速普及,促进了科学技术以及信息全球化的飞速发展,随之产生的计算机安全问题也让一个单位系统的内部问题上升为全社会的问题。目前,计算机安全作为影响国家大局和战略利益的大问题,已受到各国政府的高度重视。下面主要从单位计算机应用的角度简要地讨论计算机的安全隐患及对策。
1. 影响计算机系统安全的主要因素
计算机信息系统并不安全,其不安全因素有计算机信息系统自身的、自然的,也有人为的。
可以导致计算机信息系统不安全的因素包括软件系统、硬件系统、环境因素和人为因素等几方面。
1) 软件系统
软件系统一般包括系统软件、应用软件和数据库部分。所谓软件,就是指用程序设计语言写成的机器能处理的程序,这种程序可能会被篡改或盗窃。一旦软件被修改或破坏,就会损害系统功能,以至整个系统瘫痪。而数据库存有大量的各种数据,有的数据资料价值连城,如果遭到破坏,损失是难以估价的。
2) 硬件系统
硬件即除软件以外的所有硬设备,这些电子设备最容易被破坏或盗窃,其安全存取控制功能还比较弱。而信息或数据要通过通信线路在主机间或主机与终端及网络之间传送,在传送过程中也可能被截取。
硬件维护体现在以下几个方面。
(1) 计算机应放置于整洁的房间内。灰尘几乎会对计算机的所有配件造成不良影响,从而缩短其使用寿命或影响其性能。
(2) 计算机应摆放在宽敞的空间内,周围要保留散热空间,不要与其他杂物混放。
(3) 计算机周围严禁磁场,磁场会对显示器、磁盘等造成严重影响。音箱尽量不要置于显示器附近,不要将磁盘放置于音箱之上。
(4) 不要在电脑桌上放置茶杯,更不能将其置于主机、显示器、键盘之上,一旦水洒了,后果会很严重。
(5) 计算机工作时不要搬动主机箱或使其受到冲击震动,对于硬盘来讲这是非常危险的动作。
(6) 硬盘读盘时不可以突然关机或断电。如果电压不稳或经常停电,可以购买UPS来应对。
3) 环境因素
电磁波辐射:计算机设备本身就有电磁辐射问题,也怕外界电磁波的辐射和干扰,特别是自身辐射带有信息,容易被别人接收,造成信息泄露。
辅助保障系统:水、电、空调中断或不正常都会影响系统的运行。
自然因素:火、电、水、静电、灰尘、有害气体、地震、雷电、强磁场和电磁脉冲等危害。这些危害有的会损害系统设备,有的则会破坏数据,甚至毁掉整个系统和数据。
4) 人为因素
安全管理水平低,人员技术素质差、操作失误或错误,违法犯罪行为。
5) 数据输入部分
数据通过输入设备输入系统进行处理,数据易被篡改或输入假数据。
6) 数据输出部分
经处理的数据转换为人能阅读的文件,并通过各种输出设备输出,在此过程中信息有可能被泄露或被窃取。
2. 保证计算机安全的对策
(1) 安装正版杀(防)毒软件。
(2) 安装正版个人防火墙。
(3) 分类设置密码并使密码设置尽可能复杂。
(4) 不下载来路不明的软件及程序。
(5) 警惕“网络钓鱼”。
(6) 防范间谍软件。
(7) 只在必要时共享文件夹。
(8) 不要随意浏览黑客网站、色情网站。
(9) 定期备份重要数据。
2.5.2 计算机病毒防范
1. 计算机病毒的特点
(1) 破坏性。破坏是广义的,不仅破坏计算机软件系统,还能破坏计算机硬件系统。其破坏性包括占用CPU时间、占用内存空间、破坏数据和文件、干扰系统的正常运行等。病毒破坏的严重程度取决于病毒制造的目的和技术水平。
(2) 传染性。计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。病毒可以附着在程序上,通过磁盘、光盘、计算机网络等载体进行传染,被破坏的计算机又成为病毒生成的环境及新传染源。
(3) 隐蔽性。隐蔽性是指当运行受感染的程序时,病毒程序能首先获得计算机系统的监控权,进而能监视计算机的运行,并传染其他程序,但是不到发作时机,整个计算机系统一切正常。病毒的隐蔽性常使广大计算机用户对病毒失去应有的警惕性。
(4) 潜伏性。潜伏性是指计算机病毒具有依附其他媒体而寄生的能力。计算机病毒可能会长时间潜伏在计算机中,病毒的发作是由触发条件来确定的,在触发条件不满足时,系统没有异常症状。
(5) 寄生性。计算机病毒程序是一段精心编制的可执行代码,一般不独立存在,它的载体通常是磁盘系统区或程序文件,此即病毒的寄生性。正是由于病毒的寄生性及上述的潜伏性,计算机病毒一般难以觉察和检测。
2. 计算机病毒分类
计算机病毒的种类很多,其分类的方法也不尽相同,下面按不同的分类方法对计算机病毒的种类进行归纳和简要的介绍。
1) 按病毒攻击的操作系统来分类
(1) 攻击DOS系统的病毒。这类病毒出现最早、最多,变种也多,杀毒软件能够查杀的病毒中一半以上都是DOS病毒,可见DOS时代DOS病毒的泛滥程度。
(2) 攻击Windows系统的病毒。目前Windows操作系统几乎已经取代DOS操作系统,从而成为计算机病毒攻击的主要对象。首例破坏计算机硬件的CIH病毒就是一个攻击Windows 95/98的病毒。
(3) 攻击UNIX系统的病毒。由于UNIX操作系统应用非常广泛,且许多大型的系统均采用UNIX作为其主要的操作系统,所以UNIX病毒的破坏性是很大的。
(4) 攻击OS/2系统的病毒。该类病毒比较少见。
2) 按病毒攻击的机型来分类
(1) 攻击微型计算机的病毒,这是世界上传播最为广泛的一种病毒。
(2) 攻击小型机的计算机病毒。
(3) 攻击工作站的计算机病毒。
3) 按病毒的破坏情况分类
(1) 良性计算机病毒。它是指不包含直接对计算机系统产生破坏作用的代码,这类病毒主要是为了表现其存在而不停地进行扩散,但它不破坏计算机内的程序和数据。
(2) 恶性计算机病毒。它是指在其代码中包含损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。例如,米开朗基罗病毒,当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失也是无法挽回的。
4) 按病毒的寄生方式和传染对象来分类
(1) 引导型病毒。这是一种在系统引导时出现的病毒,磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑来取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方,所以系统一启动其就获得控制权,如“大麻”和“小球”病毒就是这种类型。
(2) 文件型病毒。该类病毒一般感染可执行文件(.exe和.com),病毒寄生在可执行程序中,只要程序被执行,病毒也就被激活,病毒程序会首先被执行,并将自身驻留在内存,然后设置触发条件,进行传染。如CIH病毒,就属于文件型病毒,主要感染Windows 95/98下的可执行文件,在Windows NT操作系统中无效。CIH病毒会破坏计算机硬盘和改写计算机基本输入/输出系统(BIOS),导致系统主板的破坏。该病毒已有很多变种。
(3) 混合型病毒。这种病毒综合了引导型和文件型病毒的特性,通过这两种方式来感染,更增加了病毒的传染性,不管以哪种方式传染,只要中毒就会经开机或执行程序而感染其他的磁盘或文件。
(4) 宏病毒。这是一种寄生于文档或模板宏中的计算机病毒,一旦打开这样的文档,宏病毒就会被激活,驻留在Normal模板上,所有自动保存的文档都会感染上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。凡是具有写宏能力的软件都可能存在宏病毒,如Word和Excel等Office软件。Taiwan NO.1文件宏病毒发作时会出一道连计算机都难以求解的数学乘法题目,并要求输入正确答案,一旦答错,则立即自动开启20个文件,并继续出下一道题目,一直到耗尽系统资源为止。
5) 网络病毒
随着计算机网络的发展和应用,尤其是Internet的广泛应用,通过网络来传播病毒已经是当前病毒发展的主要趋势,其中影响最大的病毒当属计算机蠕虫。计算机蠕虫是指通过网络的通信功能将自身从一个结点发送到另一个结点并自动启动的程序,往往导致网络堵塞、网络服务拒绝,最终造成整个系统瘫痪。例如,W97M-MELISSA(美丽杀手)和ExploreZip(探险蠕虫),以邮件附件的形式藏匿在回复的电子邮件中,当用户一不小心打开那个名为Zip-files.exe的附件时,探险蠕虫就会感染计算机。蠕虫病毒在后台进行自我复制,将自身的副本作为附件向收件箱中所有未读邮件发送一封回信。更为可怕的是,它会疯狂地删除硬盘上的Office文档和各种程序语言的源程序文件,造成无可挽回的损失。
特洛伊木马(Trojan Horse),原指古希腊士兵藏在木马内进入敌方城市从而攻占城市的故事。在Internet上,特洛伊木马是指一些程序设计人员在其可从网络上下载的应用程序或游戏中,包含了可以控制用户计算机系统的程序,可能会造成用户的系统被破坏甚至瘫痪。木马病毒是目前网络病毒中比较流行、破坏性较大的一种病毒。
3. 防范计算机病毒的有效方法
计算机病毒已经泛滥成灾,几乎无孔不入。据统计,计算机病毒的种类已经超过4万种,而且还在以每年40%的速度递增。随着Internet的广泛应用,病毒在网络中的传播速度越来越快,其破坏性也越来越强,所以必须了解必要的病毒防治方法和技术手段,尽可能做到防患于未然。
计算机病毒防治的关键是做好预防工作,首先在思想上给予足够的重视,采取“预防为主,防治结合”的方针;其次是尽可能切断病毒的传播途径,经常做病毒检测工作,最好在计算机中装入具有动态检测病毒入侵功能的软件。一般当计算机感染了病毒以后,系统会表现出一些异常的症状,如系统运行速度变慢、文件的大小或日期发生改变、文件莫名其妙地丢失、屏幕上出现异常的提示或图形等。计算机用户平时就应该留意这些现象并及时做出反应,尽早发现,尽早清除,这样既可以减少病毒继续传染的可能性,还可以将病毒的危害降到最低限度。
4. 计算机病毒的检测和清除
1) 计算机病毒的检测
计算机病毒给广大计算机用户造成严重的甚至无法弥补的损失,要有效地阻止病毒的危害,关键在于及早发现病毒,并将其清除。现在几乎所有的杀毒软件都具有在线监测病毒的功能。例如,金山网镖的病毒防火墙就能在机器启动时自动加载并动态地监测网络上传输的数据,一旦发现有病毒或可疑现象就能马上给出警告和提示信息。
计算机病毒的检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。病毒检测技术主要有两种:一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术;另一种是不针对具体病毒程序的自身检验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地根据保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段的完整性已遭到破坏,从而检测到病毒的存在。
计算机病毒的检测技术已从早期的人工观察发展到自动检测某一类病毒,今天又发展到能自动对多个驱动器、上千种病毒自动扫描检测。目前,有些病毒检测软件还具有在不扩展由压缩软件生成的压缩文件内进行病毒检测的能力。现在大多数商品化的病毒检测软件不仅能检查出隐藏在磁盘文件和引导扇区内的病毒,还能检测到内存中驻留的计算机病毒。
2) 计算机病毒的清除
一旦检测到计算机病毒,就应该想办法立即将病毒清除。由于病毒的防治技术总是滞后于病毒的制作,所以并不是所有的病毒都能马上得以清除。目前市场上的查杀毒软件有许多种,可以根据需要选购合适的杀毒软件。下面简要介绍几个常用的查杀毒软件。
(1) 金山毒霸。
由金山公司设计开发的金山毒霸杀毒软件有多种版本,可查杀超过2万种病毒和近百种黑客程序,具备完善的实时监控(病毒防火墙)功能,它能对多种压缩格式文件进行病毒查杀,能进行在线查毒,具有功能强大的定时自动查杀功能。
(2) 瑞星杀毒软件。
瑞星杀毒软件是专门针对目前流行的网络病毒研制开发的,采用多项最新技术,有效地提升了对未知病毒、变种病毒、黑客木马和恶意网页等新型病毒的查杀能力,在降低系统资源消耗、提升查杀毒速度、快速智能升级等多方面进行了改进,是保护计算机系统安全的工具软件。
(3) 诺顿防毒软件。
诺顿防毒软件(Norton AntiVirus)是Symantec公司设计开发的软件,可侦测上万种已知和未知的病毒。每当开机时,诺顿自动防护系统会常驻在System Tray,当用户从磁盘、网络上或E-mail附件中打开文档时便会自动检测文档的安全性,若文档内含有病毒,便会立即警告,并做适当的处理。Symantec公司平均每周更新一次病毒库,可通过诺顿防毒软件附有的自动更新(LiveUpdate)功能,连接Symantec公司的FTP服务器下载最新的病毒库,下载完后系统会自动完成安装更新的工作。
(4) 360杀毒软件。
360杀毒是360安全中心出品的一款免费的云安全杀毒软件,是一款一次性通过VB100认证的国产杀毒软件。360杀毒具有查杀率高、资源占用少、升级迅速等特点。同时,360杀毒可以与其他杀毒软件共存,是一个理想的杀毒备选方案。
现在的杀毒软件都具有在线监视功能,一般在操作系统启动后即自动装载并运行,时刻监视打开的磁盘文件、从网络上下载的文件及收发的邮件等。有时,在一台计算机上同时安装多个杀毒软件后,使用时可能会有冲突,容易导致原有的杀毒软件不能正常工作。对用户来说,选择一款合适的防杀毒软件主要应该考虑以下几个因素。
(1) 能够查杀的病毒种类越多越好。
(2) 对病毒具有免疫功能,即能预防未知病毒。
(3) 具有实现在线检测和即时查杀病毒的能力。
(4) 能不断地对杀毒软件进行升级服务,因为每天都可能有新病毒产生,所以杀毒软件必须能够对病毒库进行不断的更新。
2.5.3 计算机黑客及其防范
网络黑客(Hacker)一般指的是计算机网络的非法入侵者,他们大都是程序员,对计算机技术和网络技术非常精通,了解系统的漏洞及其原因所在,喜欢非法闯入并以此作为一种智力挑战而沉醉其中。有些黑客仅仅是为了验证自己的能力而非法闯入,并不会对信息系统或网络系统产生破坏,但也有很多黑客非法闯入是为了窃取机密的信息、盗用系统资源或出于报复心理而恶意毁坏某个信息系统等。
1. 黑客常用手段
1) 黑客的攻击步骤
一般黑客的攻击分为以下三个步骤。
(1) 信息收集。
信息收集是为了了解所要攻击目标的详细信息,通常黑客利用相关的网络协议或实用程序来收集信息。例如,SNMP协议可用来查看路由器的路由表,了解目标主机内部拓扑结构的细节;用TraceRoute程序可获得到达目标主机所要经过的网络数和路由数;用Ping程序可以检测一个指定主机的位置并确定是否可到达等。
(2) 探测分析系统的安全弱点。
在收集到目标的相关信息以后,黑客会探测网络上的每一台主机,以寻找系统的安全漏洞或安全弱点。黑客一般会使用Telnet、FTP等软件向目标主机申请服务,如果目标主机有应答,就说明开放了这些端口的服务。其次使用一些公开的工具软件,如Internet安全扫描程序ISS(Internet Security Scanner)、网络安全分析工具SATAN等来对整个网络或子网进行扫描,寻找系统的安全漏洞,获取攻击目标系统的非法访问权。
(3) 实施攻击。
在获得了目标系统的非法访问权以后,黑客一般会实施以下攻击。
① 试图毁掉入侵的痕迹,并在受到攻击的目标系统中建立新的安全漏洞或后门,以便在先前的攻击点被发现以后能继续访问该系统。
② 在目标系统安装探测器软件,如特洛伊木马程序,用来窥探目标系统的活动,继续收集黑客感兴趣的一切信息,如账号与口令等敏感数据。
③ 进一步发现目标系统的信任等级,以展开对整个系统的攻击。
④ 如果黑客在被攻击的目标系统上获得了特许访问权,他就可以读取邮件、搜索和盗取私人文件、毁坏重要数据以致破坏整个网络系统,那么后果将不堪设想。
2) 黑客的攻击方式
黑客通常采用以下几种典型的攻击方式。
(1) 密码破解。
通常采用的攻击方式有字典攻击、假登录程序、密码探测程序等,主要是获取系统或用户的口令文件。
① 字典攻击。这是一种被动攻击,黑客先获取系统的口令文件,然后用黑客字典中的单词一个一个地进行匹配比较。由于计算机速度的显著提高,这种匹配的速度也很快,而且由于大多数用户的口令采用的是人名、常见的单词或数字的组合等,所以字典攻击的成功率比较高。
② 假登录程序。设计一个与系统登录画面一模一样的程序并嵌入到相关的网页上,以骗取他人的账号和密码。当用户在这个假的登录程序上输入账号和密码之后,该程序就会记录下所输入的账号和密码。
③ 密码探测。在Windows NT系统内保存或传送的密码都经过单向散列函数(Hash)的编码处理,并存放到SAM数据库中。于是网上出现了一种专门用来探测NT密码的程序LophtCrack,它能利用各种可能的密码反复模拟NT的编码过程,并将所编出来的密码与SAM数据库中的密码进行比较,如果两者相同就得到了正确的密码。
(2) IP嗅探与欺骗。
① 嗅探(Sniffing)。这是一种被动式的攻击,又叫网络监听,就是通过改变网卡的操作模式让它接受流经该计算机的所有信息包,这样就可以截获其他计算机的数据报文或口令。监听只能针对同一物理网段上的主机,对于不在同一网段的数据包会被网关过滤掉。
② 欺骗(Spoofing)。这是一种主动式的攻击,即将网络上的某台计算机伪装成另一台不同的主机,目的是欺骗网络中的其他计算机误将冒名顶替者当作原始的计算机而向其发送数据或允许它修改数据。常用的欺骗方式有IP欺骗、路由欺骗、DNS欺骗、ARP(地址转换协议)欺骗及Web欺骗等。典型的Web欺骗的原理是:攻击者先建立一个Web站点的副本,使它具有与真正的Web站点一样的页面和链接,由于攻击者控制了副本Web站点,被攻击对象与真正的Web站点之间的所有信息交换全都被攻击者所获取,如用户访问Web服务器时所提供的账号、口令等信息,攻击者还可以假冒用户给服务器发送数据,也可以假冒服务器给用户发送消息,这样攻击者就可以监视和控制整个通信过程。
③ 系统漏洞。漏洞是指程序在设计、实现和操作上存在的错误。由于程序或软件的功能一般较为复杂,程序员在设计和调试过程中总有考虑欠缺的地方,绝大部分软件在使用过程中都需要不断地改进与完善。被黑客利用最多的系统漏洞是缓冲区溢出(Buffer Overflow)。因为缓冲区的大小有限,一旦往缓冲区中放入超过其大小的数据,就会产生溢出,多出来的数据可能会覆盖其他变量的值,正常情况下程序会因出错而结束,但黑客却可以利用这样的溢出来改变程序的执行流程,转向执行事先编好的黑客程序。
④ 端口扫描。由于计算机与外界通信都必须通过某个端口才能进行,黑客可以利用一些端口扫描软件,如SATAN、IP Hacker等对被攻击的目标计算机进行端口扫描,查看该机器的哪些端口是开放的,由此可以知道与目标计算机能进行哪些通信服务。例如,邮件服务器的25号端口是用来接收用户发送的邮件,而用户接收邮件则与邮件服务器的110号端口通信,访问Web服务器一般都是通过其80号端口等。了解了目标计算机开放的端口服务以后,黑客一般会通过这些开放的端口发送特洛伊木马程序到目标计算机上,利用木马来控制被攻击的目标,如“冰河V8.0”木马就是利用了系统的2001号端口。
2. 防范黑客的措施
1) 数据加密
加密的目的是保护系统内的数据、文件、口令和控制信息等,同时也可以提高网上传输数据的可靠性,这样即使黑客截获了网上传输的信息包,一般也无法得到正确的信息。
2) 身份认证
身份认证是通过密码或特征信息等来确认用户身份的真实性,只对确认了的用户给予相应的访问权限。
3) 建立完善的访问控制策略
系统应当设置入网访问权限、网络共享资源的访问权限、目录安全等级控制、网络端口和结点的安全控制、防火墙的安全控制等,通过各种安全控制机制的相互配合,最大限度地保护系统免受黑客的攻击。
4) 审计
审计是指把系统中和安全有关的事件记录下来,保存在相应的日志文件中。例如,记录网络上用户的注册信息,如注册来源、注册失败的次数等;记录用户访问的网络资源等各种相关信息,当遭到黑客攻击时,这些数据可以用来帮助调查黑客的来源,并作为证据来追踪黑客;也可以通过对这些数据的分析来了解黑客攻击的手段,以便找出应对的策略。
5) 其他安全防护措施
首先不随便从Internet上下载软件,不要运行来历不明的软件,不随便打开陌生人发来的邮件中的附件。其次要经常运行专门的反黑客软件,可以在系统中安装具有实时检测、拦截和查找黑客攻击程序用的工具软件,经常检查用户的系统注册表和系统启动文件中的自启动程序项是否有异常,做好系统的数据备份工作,及时安装系统的补丁程序等。