第6章计算机病毒及其防治

1第6章计算机病毒及其防治26.1计算机病毒的概念6.2计算机病毒的分析6.3计算机病毒的防范6.4网络病毒的防治6.5常用的防杀毒软件36.1计算机病毒的概念6.1.1计算机病毒的产生6.1.2计算机病毒的特征6.1.3计算机病毒的分类46.1计算机病毒的概念计算机病毒：编制或者在计算机程度中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。——《中华人民共和国计算机信息系统安全保护条例》56.1.1计算机病毒的产生计算机病毒最早大约出现在２０世纪６０年代末计算机病毒存在的理论依据来自于冯诺依曼结构及信息共享计算机病毒产生的来源多种多样归根结底，计算机病毒来源于计算机系统本身所具有的动态修改和自我复制的能力6.1计算机病毒的概念66.1.2计算机病毒的特征破坏性大感染性强传播性强隐藏性好可激活性有针对性非授权性难于控制不可预见性6.1计算机病毒的概念76.1.3计算机病毒的分类按攻击的对象分类•可以分为攻击微机型、攻击小型机、攻击大型机、攻击工作站、攻击便携式电子设备、攻击计算机网络6种按攻击的操作系统分类•可以分为攻击DOS系统、攻击Windows系统、攻击UNIX系统、攻击OS/2系统、攻击嵌入式操作系统5种按表现性质分类•可以分为良性病毒、恶性病毒、中性病毒3种6.1计算机病毒的概念86.1.3计算机病毒的分类按寄生的方式分类•可以分为覆盖式寄生病毒、代替式寄生病毒、链接式寄生病毒、填充式寄生病毒和转储式寄生病毒5种按感染的方式分类•可以分为引导扇区病毒、文件感染病毒、综合型感染病毒3种按侵入途径分类•可以分为源码病毒、操作系统病毒、入侵病毒和外壳病毒4种6.1计算机病毒的概念96.2计算机病毒的分析6.2.1计算机病毒的传播途径6.2.2计算机病毒的破坏行为6.2.3常见计算机病毒的发作症状106.2.1计算机病毒的传播途径常见的计算机病毒的传播途径有以下4种：通过不可移动的计算机硬件设备进行传播通过移动存储设备来传播通过计算机网络进行传播通过点对点通信系统和无线通道传播6.2计算机病毒的分析116.2.2计算机病毒的破坏行为攻击系统数据区攻击文件攻击内存干扰系统运行速度下降攻击磁盘扰乱屏幕显示键盘喇叭攻击CMOS干扰打印机6.2计算机病毒的分析126.2.3常见计算机病毒的发作症状电脑运行比平常迟钝程序载入时间比平常久对一个简单的工作，磁盘似乎花了比预期长的时间不寻常的错误信息出现硬盘的指示灯无缘无故的亮了系统内存容量忽然大量减少磁盘可利用的空间突然减少可执行程序的大小改变了坏轨增加程序同时存取多部磁盘内存内增加来路不明的常驻程序文件奇怪的消失文件的内容被加上一些奇怪的资料文件名称、扩展名、日期、属性被更改过6.2计算机病毒的分析136.3计算机病毒的防范6.3.1提高计算机病毒的防范意识6.3.2加强计算机病毒的防范管理6.3.3规范计算机的使用方法6.3.4清除计算机病毒的原则146.3.1提高计算机病毒的防范意识6.3.2加强计算机病毒的防范管理尊重知识产权采取必要的病毒检测、监控措施，制定完善的管理规则建立计算机系统使用登记制度,及时追查、清除病毒加强教育和宣传工作建立有效的计算机病毒防护体系建立、完善各种法律制度，保障计算机系统的安全性6.3计算机病毒的防范156.3.3规范计算机的使用方法新购置的计算机的安全使用方法计算机启动的安全使用方法防止或减少数据丢失的方法网络管理员需要注意的问题6.3计算机病毒的防范166.3.4清除计算机病毒的原则在清除计算机病毒前后，一般应遵循的3条原则在发现计算机病毒后，一般应遵循的5条杀毒原则在清除病毒的过程中，一般应遵循的7条原则6.3计算机病毒的防范176.4网络病毒的防治6.4.1计算机病毒的发展趋势6.4.2网络病毒的特征6.4.3基于网络安全体系的防毒管理措施6.4.4基于工作站与服务器的防毒技术6.4.5网络病毒清除方法186.4.1计算机病毒的发展趋势网络成为计算机病毒传播的主要载体网络蠕虫成为最主要和破坏力最大的病毒类型恶意网页成为破坏的新类型出现带有明显病毒特征的木马或木马特征的病毒6.4网络病毒的防治196.4.1计算机病毒的发展趋势技术的遗传与结合传播方式多样化跨操作系统的病毒出现手机病毒、信息家电病毒6.4网络病毒的防治206.4.2网络病毒的特征传染方式多传染速度快清除难度大破坏性更强6.4网络病毒的防治216.4.3基于网络安全体系的防毒管理措施有以下几点加以注意：尽量多用无盘工作站尽量少用有盘工作站尽量少用超级用户登录严格控制用户的网络使用权限2个不允许对某些频繁使用或非常重要的文件属性加以控制，以免被病毒传染对远程工作站的登录权限严格限制6.4网络病毒的防治226.4.4基于工作站与服务器的防毒技术基于工作站的DOS防毒技术工作站防毒主要有以下几种方法：•使用防毒杀毒软件•安装防毒卡•安装防毒芯片6.4网络病毒的防治236.4.4基于工作站与服务器的防毒技术基于服务器的NLM防毒技术基于服务器的NLM防毒技术一般具备以下功能：•实时在线扫描•服务器扫描•工作站扫描6.4网络病毒的防治246.4.5网络病毒清除方法立即使用BROADCAST命令，通知所有用户退网，关闭文件服务器。用带有写保护的、“干净”的系统盘启动系统管理员工作站，并立即清除本机病毒。用带有写保护的、“干净”的系统盘启动文件服务器，系统管理员登录后，使用DISABLELOGIN命令禁止其他用户登录。将文件服务器的硬盘中的重要资料备份到“干净的”软盘上。用杀毒软件扫描服务器上所有卷的文件，恢复或删除发现被病毒感染的文件，重新安装被删文件。用杀毒软件扫描并清除所有可能染上病毒的软盘或备份文件中的病毒。用杀毒软件扫描并清除所有的有盘工作站硬盘上的病毒。在确信病毒已经彻底清除后，重新启动网络和工作站。6.4网络病毒的防治256.5常用的防杀毒软件6.5.1国际著名防杀毒软件6.5.2国内防杀毒软件6.5.3国内外防杀毒软件的比较6.5.4企业级的防病毒工作6.5.5权威病毒认证机构及其法规、标准26表6.1常用防杀毒软件对照表6.5常用的防杀毒软件防杀毒软件网址卡巴斯基Kaspersky国内外防杀毒软件的比较国内外防杀毒软件总体上的差别有以下两点：国外的防杀毒软件厂商主要集中在高端的信息安全领域，而较底端的单机版才是国内厂商聚集的场所国外的防杀毒软件具有强大的病毒前摄防御功能，而国内的防杀毒软件能够查杀到的病毒数量相对来讲更多，查杀的速度相对也更快6.5常用的防杀毒软件296.5.4企业级的防病毒工作建立企业多层次的病毒防护体系•这里的多层次病毒防护体系是指在企业的每个台式机上安装台式机的反病毒软件，在服务器上安装基于服务器的反病毒软件，在Internet网关上安装基于Internet网关的反病毒软件。•企业在防病毒体系建设方面主要存在三方面的问题–防病毒系统建设简单化–对如何发挥个体主机自身防御能力考虑过少–对用户防病毒教育重视不够6.5常用的防杀毒软件306.5.4企业级的防病毒工作建立企业多层次的病毒防护体系•有效的防病毒方法应从以下五方面着手–依据最小服务化原则，进行标准化配置，减小攻击面–建立补丁自动分发机制，及时进行漏洞修补，保证应用安全更新–启用基于主机的防火墙，完善信息隔离机制–选择合适的防病毒系统，全面部署防病毒软件–强化安全教育，增强用户自我防护意识6.5常用的防杀毒软件316.5.4企业级的防病毒工作防病毒体系建设的注意问题•绝不能出现安装防病毒系统造成业务中断的情况•要确保有人监控防病毒系统的运转情况企业级防病毒软件产品的选择•防病毒引擎的工作效率•系统的易管理性•对病毒的防护能力(特别是病毒码的更新能力)6.5常用的防杀毒软件326.5.5权威病毒认证机构及其法规、标准表6.2国内外权威病毒认证机构网址对照表6.5常用的防杀毒软件国内外权威病毒认证机构网址我国公安部（病毒公报）权威病毒认证机构及其法规、标准我国的法律法规•《中华人民共和国计算机信息系统安全保护条例》•新《刑法》•《计算机病毒防治管理办法》•《计算机病毒防治产品评级准则》我国的技术标准•计算机信息系统安全专用产品分类原则•计算机病毒防治产品评级准则6.5常用的防杀毒软件346.5.5权威病毒认证机构及其法规、标准国际权威病毒认证机构•国际计算机安全协会ICSA•英国著名杂志VirusBulletin•其他国际权威病毒认证机构，如英国的权威电脑安全杂志SecureComputing颁发的CheckMark认证，以及国际著名的独立的数据安全产品测试机构——美国西海岸数据安全软件测试中心WestCoastLabs认证等各计算机防病毒产品所获的认证情况6.5常用的防杀毒软件35本章小结本章介绍了各类计算机病毒及其防治方法。计算机病毒是指编制或者在计算机程度中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒虽然在产生的方式、破坏的程度上各不相同，但其主要特征却非常相似，如：破坏性大、感染性强、传播性强、隐藏性好、可激活性、有针对性、非授权性、难于控制、不可预见性。计算机病毒的传播途径主要有4种：通过不可移动的计算机硬件设备进行传播，通过移动存储设备来传播，通过计算机网络进行传播，通过点对点通信系统和无线通道传播。虽然计算机病毒纷繁复杂，具有不同的发作症状和破坏行为，但通过采取技术上和管理上的措施，计算机病毒是可以防范的。36本章小结计算机病毒的概念计算机病毒存在的理论依据计算机病毒的主要特征、分类方法、传播途径计算机病毒的防范网络病毒的清除方法国内外防杀毒软件建立企业多层次的病毒防护体系国内外的权威病毒认证机构及其法规、标准37Thanks!