1第7章计算机安全27.1计算机安全的基本知识计算机安全主要包括计算机系统的安全和网络方面的安全。7.1.1计算机安全概述7.1.2计算机的安全措施37.1.1计算机安全概述常见的计算机安全(ComputerSecurity)定义,有下面两种描述。国际标准化组织(ISO)的定义是:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭破坏、更改、泄露。国务院于1994年2月18日颁布的《中华人民共和国计算机信息系统安全保护条例》第一章第三条的定义是:计算机信息系统的安全保护,应当保障计算机及其相关的配套的设备、设施(含网络)的安全、运行环境的安全,保障信息的安全,保障计算机功能的正常发挥以维护计算机信息系统的安全运行。4计算机安全的范围应包括如下几个方面:1.实体安全指计算机系统设备及相关的设施运行正常,系统服务适时。包括环境、建筑、设备、电磁辐射、数据介质、灾害报警等。2.软件安全指软件完整,即保证操作系统软件、数据库管理软件、网络软件、应用软件及相关资料的完整。包括软件的开发、软件安全保密测试、软件的修改与复制等。3.数据安全指系统拥有的和产生的数据或信息完整、有效、使用合法,不被破坏或泄露,包括输入、输出、识别用户、存取控制、加密、审计与追踪、备份与恢复等。4.运行安全指系统资源和信息资源使用合法。包括电源、环境(含空调)、人事、机房管理出入控制,数据及介质管理、运行管理等。57.1.2计算机的安全措施要保证计算机的安全,应采取两个方面的措施:一是非技术性措施,如制定有关法律、法规,加强各方面的管理;其次是技术性措施,如硬件安全保密、通信网络安全保密、软件安全保密和数据安全保密等措施。61.国家有关计算机安全的法律法规现有关于计算机信息安全管理的主要法律法规有:1994年2月18日颁布的《中华人民共和国计算机信息系统安全保护条例》。1996年1月29日公安部制定的《关于对与国际互连网的计算机信息系统进行备案工作的通知》。1996年2月1日出台的《中华人民共和国计算机信息网络国际互联网管理暂行规定》,并于1997年5月20日作了修订。1997年12月30日,公安部颁发了经国务院批准的《计算机信息网络国际互联网安全保护管理办法》。其次,在我国《刑法》中,针对计算机犯罪也给出了相应的规定和处罚。72.计算机安全管理措施安全管理措施是指管理上所采用的政策和规程,是贯彻执行有关计算机安全法律法规的有效手段。主要包括操作管理、组织管理、经济管理及安全管理目标和责任等。(1)操作管理。指保证操作合法性和安全保密性方面的管理规定。(2)组织管理。指对内部职工进行保密性教育,坚持职责分工原则。(3)经济管理。指安全保密与经济利益结合的管理规定。(4)安全管理目标和责任。指计算机系统运行时,设置专门的安全监督过程。如审计日志(系统为每项事务活动所做的永久记录)和监控。83.计算机实体安全计算机实体安全是指对场地环境、设施、设备、载体及人员采取的安全对策和措施。具体内容如下:(1)温度与湿度:机房温度在18~24℃、相对湿度40%~60%。(2)清洁度与采光照明:机房应采用30万级清洁室、粒度≤0.5μm并有足够照度。(3)防静电、电磁干扰及噪声:机房设备要接地线,磁场强度<800Oe,噪声标准控制在65dB以下。(4)防火、防水及防震:机房应设在二或三楼,要考虑防震,要配备灭火器。(5)电源安全与电压稳定:保证供电连续、电压稳定在220V±10%。94.计算机的正确使用计算机的正确使用,应注意以下事项:(1)注意开关机顺序,开机时应先开外部设备,后开主机;关机顺序则相反。(2)计算机在运行时,不要拔插电源或信号电缆,磁盘读写时不要晃动机箱。(3)不要使用来路不明的盘,否则在使用前必须查杀病毒。(4)在执行可能造成文件破坏或丢失的操作时,一定格外小心。(5)用正确的关机方式来关闭计算机。(6)击键应轻,对硬盘上的重要数据要经常备份。105.计算机的正确维护(1)日维护:每天应用脱脂棉轻擦计算机表面灰尘,检查电缆线是否松动,查杀病毒等。(2)周维护:检查并确认硬盘中的重要文件已备份,删除不再使用的文件和目录等。(3)月维护:检查所有电缆线插接是否牢固,检查硬盘中的碎块文件,整理硬盘等。(4)年维护:打开主机箱,用吸尘器吸去机箱内的灰尘;全面检查软硬件系统。116.存储器保护与通信网络安全(1)存储器保护:指对实存储器划分互斥分区,使不同用户有自己的数据存储区域;对虚存储器设定虚存空间的长度来保护程序或数据不受破坏。(2)通信网络安全:指通信网络中的数据加密、网络的端口保护、网络中的主体验证、网络中的数据完整性保护和网络中的通信流量分析控制等。7.软件与数据库安全软件与数据库安全涉及信息存储和处理状态下的保护。因此应采取的措施有:设置保护数据完整的安全机构;进行存取控制;实行推断控制等。127.2计算机病毒7.2.1计算机病毒的定义、特点及危害7.2.2计算机病毒的分类7.2.3计算机病毒的识别7.2.4几种常见病毒7.2.5计算机病毒的预防和清除137.2.1计算机病毒的定义、特点及危害1.计算机病毒的定义《中华人民共和国计算机信息系统安全保护条例》中明确将计算机病毒定义为:“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒是一种人为蓄意制造的、以破坏为目的的程序。它寄生于其他应用程序或系统的可执行部分,通过部分修改或移动别的程序,将自我复制加入其中或占据原程序的部分并隐藏起来,到一定时候或适当条件时发作,对计算机系统起破坏作用。之所以被称为“计算机病毒”,是因为它具有生物病毒的某些特征—破坏性、传染性、寄生性和潜伏性。计算机病毒一般由传染部分和表现部分组成。传染部分负责病毒的传播扩散(传染模块),表现部分又可分为计算机屏幕显示部分(表现模块)及计算机资源破坏部分(破坏模块)。表现部分是病毒的主体,传染部分是表现部分的载体。表现和破坏一般是有条件的,条件不满足或时机不成熟是不会表现出来的。142.计算机病毒的特征(1)传染性计算机病毒具有很强的繁殖能力,能通过自我复制到内存、硬盘和软盘,甚至传染到所有文件中。尤其目前Internet日益普及,数据共享使得不同地域的用户可以共享软件资源和硬件资源,但与此同时,计算机病毒也通过网络迅速蔓延到联网的计算机系统。传染性即自我复制能力,是计算机病毒最根本的特征,也是病毒和正常程序的本质区别。(2)隐蔽性(寄生性)病毒程序一般不独立存在,而是寄生在磁盘系统区或文件中。侵入磁盘系统区的病毒称为系统型病毒,其中较常见的是引导区病毒,如大麻病毒、2078病毒等。寄生于文件中的病毒称为文件型病毒,如以色列病毒(黑色星期五)等。还有一类既寄生于文件中又侵占系统区的病毒,如“幽灵”病毒、Flip病毒等,属于混合型病毒。(3)破坏性计算机病毒的破坏性因计算机病毒的种类不同而差别很大。有的计算机病毒仅干扰软件的运行而不破坏该软件;有的无限制地侵占系统资源,使系统无法运行;有的可以毁掉部分数据或程序,使之无法恢复:有的恶性病毒甚至可以毁坏整个系统,导致系统崩溃。(4)潜伏性计算机病毒可以长时间地潜伏在文件中,并不立即发作。在潜伏期中,它并不影响系统的正常运行,只是悄悄地进行传播、繁殖,使更多的正常程序成为病毒的“携带者”。一旦满足触发条件,病毒发作,才显示出其巨大的破坏威力。153.计算机病毒的危害计算机病毒的破坏行为,体现了病毒的杀伤力,主要有下面几种情况:(1)破坏系统数据区。包括破坏引导区、FAT表和文件目录,使用户系统紊乱。(2)破坏文件中的数据,删除文件等。(3)对磁盘或磁盘特定扇区进行格式化,使磁盘中的信息丢失等。(4)干扰系统运行。例如,干扰内部命令的执行,不执行命令,不打开文件,虚假报警,占用特殊数据区、更换当前盘、强制游戏,在时钟中纳入时间的循环计数使计算机空转,使系统时钟倒转、重启动、死机等。(5)扰乱屏幕显示。例如,使字符跌落、倒置,光标下跌、屏幕抖动、滚屏,乱写、吃字符等。(6)破坏CMOS数据。在CMOS中保存着系统的重要数据,如系统时钟、内存容量和磁盘类型等。计算机病毒能够对CMOS执行写入操作,破坏CMOS中的数据。167.2.2计算机病毒的分类1.按病毒的寄生媒介分类可分为入侵型、源码型、外壳型和操作系统型四种类型。(1)入侵型病毒这种病毒一般入侵到主程序,作为主程序的一部分。(2)源码型病毒这种病毒在源程序被编译之前,就已隐藏在源程序中,随源程序一起被编译成目标代码。(3)外壳型病毒这种病毒一般感染计算机系统的可执行文件。当运行被病毒感染的程序时,病毒程序也被执行,从而达到传播扩散的目的。(4)操作系统型病毒这种病毒替代操作系统的输入输出、实时处理等常用的敏感功能。这种病毒最常见,危害性也最大。172.按病毒的破坏情况分类(1)良性计算机病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码,这类病毒主要是为了表现其存在,而不停的进行扩散,但它不破坏计算机内的程序和数据。(2)恶性计算机病毒是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对其系统产生直接的破坏作用。如米开郎基罗病毒,当其发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。183.按病毒的寄生方式和传染对象分类(1)引导型病毒是一种在系统引导时出现的病毒,这类病毒使磁盘引导扇区的内容转移,取而代之的是病毒引导程序。(2)文件型病毒这类病毒一般感染可执行文件(.exe或.com),病毒程序寄生在可执行程序中,只要程序被执行,病毒也被激活,病毒程序会首先被执行,并将自身驻留在内存,然后设置触发条件,进行传染。(3)混合型病毒综合了引导型病毒和文件型病毒的特点,此种病毒通过这两种方式来感染,更增加了病毒的传染性,不管以哪种方式传染,只要中毒就会经开机或执行程序而感染其他的磁盘或文件。197.2.3计算机病毒的识别1.计算机病毒程序的一般工作过程(1)在计算机启动时,检查系统是否感染上病毒,若未染上,则将病毒程序装入内存,同时修改系统的敏感资源(一般是中断向量),使其具有传染病毒的机能。(2)检查磁盘上的系统文件是否感染病毒,若未染上,则将病毒传染到系统文件上。(3)检查引导扇区是否染上病毒,若未染上,则将病毒传染到引导扇区。(4)完成上述工作后,才执行源程序。通过对文件感染过程的分析,可知道被感染对象的哪些地方作了修改,病毒存放在什么部位,病毒感染条件以及感染后的特征等,为以后诊断病毒、消除病毒提供了参考依据。202.计算机感染上病毒的症状计算机感染上病毒常常表现出下面一些症状:(1)异常要求输入口令。(2)程序装入的时间比平时长,计算机发出怪叫声,运行异常。(3)有规律地出现异常现象或显示异常信息。如异常死机后又自动重新启动;屏幕上显示白斑或圆点等。(4)计算机经常出现死机现象或不能正常启动。(5)程序和数据神秘丢失,文件名不能辨认。可执行文件的大小发生变化。(6)访问设备时发现异常情况,如磁盘访问时间比平时长,打印机不能联机或打印时出现怪字符。(7)磁盘不可用簇增多,卷名发生变化。(8)发现不知来源的隐含文件或电子邮件。217.2.4几种常见病毒目前,常见的病毒有宏病毒、CIH病毒、蠕虫病毒等。1.宏病毒宏病毒是近年来人们遇到较多的一种病毒,从1996年下半年开始在我国广泛流行。宏病毒是使用某个应用程序自带的宏编程语言编写的病毒。目前国际上已发现三类宏病毒:感染Word系统的Word宏病毒;感染Excel系统的Excel宏病毒;感染LotusAmiPro的宏病毒。通常,人们所说的宏病毒主要指Word和Excel宏病毒。222.CIH病毒CIH病毒是计算机用户深感头痛的病毒之一。它使用面向Windows的VxD技术编制,1998年8月从台湾传入内地,有1.2版、1.3版、1.4版三个版本,发作时间分别是4月26日、6月26日和每