第五节 计算机安全基础知识

随着计算机技术的不断发展及计算机应用的普及，越来越多的人享受到计算机给他们的工作、学习、娱乐带来的好处，但也同时感受到计算机也会给他们带来烦恼，例如计算机中的数据丢失、数据被窃、数据损坏等，有时会给计算机用户带来很大的损失。为什么会出现这样的问题呢？我们又该怎样避免这类问题？出了问题又该如何解决呢？这些都属于计算机的安全问题。

计算机安全包含的范围非常广，不仅包括计算机硬件的安全、软件和数据资料、信息系统的安全，而且包括网络信息的安全等。我们在此只讨论计算机安全和病毒的防治方面的基本知识。

一、计算机安全

随着计算机应用的日益广泛和深入、信息的交流和资源共享的范围不断扩大，特别是计算机网络的快速发展，使得计算机的安全问题越来越受到人们的关注。

计算机安全实际上包括计算机的安全性和可靠性两个方面。可靠性是指设备能正常持续运行的程度，它的中心目标是反故障；安全性是指不因人为疏漏和蓄谋作案而使信息泄露、篡改和破坏，它的中心目标是反泄密、反篡改和反破坏。可靠性是计算机安全的基础，而安全性更为复杂一些。目前广泛使用的信息系统在信息传输、处理、存储和使用的过程中，都有可能受到各种各样的、主动的和被动的攻击和威胁。

实际情况表明，不同的信息系统对安全性的要求不同，不同的安全要求也需有相应的措施。一般来讲，安全措施主要包括以下几个方面：

（一）安全立法

由国家有关部门制定相应的计算机安全法律和法规，建立计算机管理和监察机构，以保障计算机安全。例如，我国在1994年颁布了《中华人民共和国计算机信息系统安全保护条例》，公安部发布的《计算机病毒防治和管理办法》，1997年12月11日经国务院批准、发布的《计算机信息网络国际网安全保护管理办法》等。

（二）安全管理

主要包括管理和操作安全性方面的问题。如操作管理问题、组织管理问题、解决管理问题、安全管理目标和责任问题等。

（三）实体安全

实体安全主要指对场地、环境、设施、载体、人员采取的各种安全对策和措施。

（四）通信网络安全

通信网络安全是指信息在传输过程中的安全问题。主要采取的安全措施有：验证用户身份、访问控制、数据完整性（防篡改）、数据加密、防抵赖（方否认）、网络审计等。

（五）软件安全

软件安全的核心是操作系统的安全，它涉及到信息在存储和处理状态下的安全问题。

（六）信息安全

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

信息安全实质上就是保护信息系统或信息资源，防止未授权者对信息的恶意访问、泄露、修改和破坏，从而导致信息的不可靠或无法处理等。为了保护信息的安全，必须达到CIA的要求，即：机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。

要实现信息安全，可以采用一些先进技术，例如DG图文档加密。DG图文档加密能够智能识别计算机中所运行的涉密数据，并自动强制对所有的涉密数据进行加密操作，而不需要人参与，体现了安全面前人人平等，从根源解决泄密问题。

要实现信息安全不仅要靠先进的技术，也需要严格的安全管理和法律约束。

二、计算机病毒及其防治

计算机病毒（Computer Viruses）是一种人为制造、以破坏为目的的程序，具有自我复制能力，通过非授权入侵而隐藏在可执行程序或数据文件中，影响和破坏正常程序的执行和数据安全，具有相当的破坏性。计算机一旦有了计算机病毒，病毒就会很快扩散，这种现象如同生物体传染生物病毒一样，具有很强的传染性。传染性是计算机病毒最根本的特征，也是病毒与正常程序的本质区别。

（一）计算机病毒的特点

计算机病毒主要有以下几个特点。

1. 传染性

计算机病毒的传染性是指计算机病毒能进行自我复制，并把复制的病毒附加到无病毒的程序中，或替换磁盘引导区中的正常记录，使得附加了病毒的程序或磁盘变成新的病毒源。这种新的病毒源又能进行病毒的自我复制。因此，计算机病毒可以很快传播到整个计算机系统或扩散到其它磁盘上。

计算机病毒一般都有很强的再生机制，且传播速度很快。

2. 破坏性

计算机病毒主要是破坏计算机系统，表现在占用系统资源、破坏数据、干扰计算机系统正常运行等方面，严重时会摧毁整个计算机系统。

计算机病毒的破坏性因其种类的不同而有很大的差别。有的计算机病毒仅干扰软件运行而不破坏该软件；有的无限制侵占系统资源，使系统无法运行；有的可以毁掉部分数据或程序，使之无法恢复，有的恶性病毒甚至可以毁坏整个系统，导致系统瘫痪。

3. 隐蔽性

计算机病毒进入系统后，不容易被用户发现。这些病毒程序通常附着在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，目的就是不让用户发现它的存在。如果不经过代码分析，病毒出现于正常程序是不容易区分开的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间传染大量的程序，而且受到传染后计算机在一段时间内仍可正常运行，使用户不会感到异常。正是计算机病毒的隐蔽性，使得病毒在用户没有察觉的情况下繁殖和扩散。

4. 潜伏性

计算机病毒在计算机中一般不是立即发作，而是长时间潜伏在文件中。在潜伏期中，它不影响系统的正常运行，只是悄悄进行繁殖、传播，使更多的正常程序成为病毒的“携带者”，一旦满足触发条件病毒就会发作，这时才显示出其巨大的破坏威力。著名的“黑色星期五”在13号星期五发作；国内的“上海一号”会在每年的三、六、九月的13日发作；最令人痛恨的是26日发作CIH病毒。这些病毒在平时隐藏的很好，只有在发作日才会露出本来面目。

5. 可激发性

在一定条件下，病毒程序可以根据设计者的要求，在某个点上激活并发起攻击。

6. 寄生性

病毒程序一般不独立存在，而是寄生在磁盘系统区或文件中。侵入磁盘系统区的病毒称为系统型病毒，较常见的是引导区病毒。寄生于文件中的病毒称为文件型病毒。还有一类病毒既寄生于文件中又侵占系统区，如“幽灵”病毒、Flip病毒等，属于混合型病毒。

（二）计算机病毒的分类

按照计算机病毒的特点及特性，计算机病毒分类方法有很多种。

1. 按计算机病毒的表现性质可以分为良性病毒和恶性病毒

良性病毒只是扩散和传染，浪费计算机的存储空间，降低计算机系统的工作效率，在严重时可以使计算机不能正常工作。这类病毒如“小球”病毒等。

恶性病毒往往要破坏计算机系统的数据资源和文件，如：破坏数据、删除文件、格式化磁盘等。这类病毒如“1575”病毒、“新世纪”病毒等。

2. 按病毒感染的方式可以分为引导型、文件型和混合型病毒

引导型病毒一般只感染磁盘的主引导扇区，使引导扇区内容转移到别的地方，而以病毒程序取而代之。这类病毒如“GENP”，“小球”病毒等。

文件型病毒能感染可执行文件（COM、EXE），将病毒程序嵌入可执行文件中，并取得执行权。这类病毒如“DIR-2”病毒等。

混合型病毒既可以感染磁盘的主引导扇区，也可感染可执行文件。这类病毒如“新世纪”病毒等。

3. 按病毒的寄生媒介可分为入侵性、源码型、外壳型和操作系统型病毒

入侵型病毒主要是入侵到主程序而作为主程序的一部分。

源码型病毒一般在源程序被编译之前就已隐藏在源程序之中，随源程序一起编译成目标程序。

外壳型病毒一般都感染DOS下的可执行文件。当运行被病毒感染的程序时，病毒程序也被执行，从而达到传播扩散病毒的目的。

操作系统型的病毒一般替代操作系统中常用的敏感功能（如I/O处理、实时处理等）。这种病毒是最常见的，危害性也最大。

除了以上几种对计算机病毒的分类方法外，还有其它一些分类方法。例如，按病毒是否可传染分为可传染型病毒和不可传染型病毒；按病毒激活的时间可分为随机型病毒和定时型病毒等。

（三）计算机病毒的传染途径

计算机病毒的传染主要通过以下途径：

1. 通过机器传染

这实际上就是通过硬盘传染。由于带有病毒的机器移到其他地方使用、维修等，将干净的软盘传染并扩散。

2. 通过网络传染

这种传染扩散得极快，能在很短时间内传遍网络上的机器，造成网络瘫痪。

三、计算机病毒的检测与预防

（一）计算机病毒的检测

以下一些现象可以作为检测病毒的参考：

1. 程序装入时间比平时长，运行异常；

2. 有规律的发现异常信息；

3. 用户访问设备（例如打印机）时发现情况异常，如打印机不能联机或打印符号异常；

4. 磁盘的空间突然变小了，或不识别磁盘设备；

5. 程序或数据神秘地丢失了，文件名不能辨认；

6. 显示器上经常出现一些莫名其妙的信息或异常显示（如白斑或圆点等）；

7. 机器经常出现死机现象或不能正常启动；

8. 发现可执行文件的大小发生变化或发现不知来源的隐藏文件。

（二）病毒的预防与清除

对计算机病毒应采取“预防为主，防治结合”的策略，牢固树立计算机安全意识，防患于未然。

1. 预防病毒

一般来说，可以采取如下预防措施：

（1）系统启动盘要专用，保证机器无毒启动；

（2）不要使用不知底细的磁盘和盗版光盘，对于外来存储设备，必须对其进行病毒检测处理后才能使用；

（3）系统中的重要数据要定期备份；

（4）定期对使用的磁盘进行病毒检测；

（5）发现计算机系统出现任何异常现象时，应及时采取检测和消毒措施；

（6）安装防病毒卡；

（7）网络用户必须遵守网络软件的规定和控制数据共享；

（8）对于一些来历不明的邮件，应先用杀毒软件检查一遍。

2. 清除病毒

如发现了计算机病毒，应立即清除，清除病毒的方法通常有人工处理和利用防病毒软件两种方法。

如果发现磁盘引导区的纪录被破坏，可以利用正确的引导记录覆盖它；如果发现某一文件已经感染上病毒，则可以恢复那个正常的文件或消除链接在该文件上的病毒，或者干脆清除该文件等，这些都属于人工处理。消除病毒的人工处理方法很重要的，但是，人工处理容易出错，有一定的危险性，如果不慎误操作将会造成系统数据的丢失，不合理的处理方法还可能导致意料不到的后果。

通常反病毒软件具有对特定种类的病毒进行检测的功能，有的软件可查出几十种甚至几百种病毒，并且大部分反病毒软件可同时消除病毒。另外，利用反病毒软件清除病毒时，一般不会因清除病毒而破坏系统中的正常数据。特别是反病毒软件有理想的菜单提示，使用户的操作非常简便，但是，利用反病毒软件很难处理计算机病毒的某些变种。

对一般用户来说，多是采用反病毒软件的方法来清除病毒。目前的反病毒软件很多，如瑞星杀毒软件、360、KILL、Norton、卡巴斯基等都可以很好的检测和清除病毒，而且这些反病毒软件还在随着新病毒的不断出现而随时升级，是清除病毒的有力武器。

四、目前常见病毒简介

（一）木马病毒

1. 木马病毒的特点

木马（Trojan，特洛伊），这个名字来源于古希腊传说（荷马史诗中木马计的故事），参见图1-30。

木马病毒是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

2. 木马病毒的类型

（1）网络游戏木马

网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。

网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。

（2）网银木马

网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。网银木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。

（3）即时通讯软件木马

常见的即时通讯类木马一般有3种：

●发送消息型。通过即时通讯软件自动发送含有恶意网址的消息，目的在于让收到消息的用户点击网址中毒，用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口，进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告，如“武汉男生2005”木马，可以通过MSN、QQ、UC等多种聊天软件发送带毒网址，其主要功能是盗取传奇游戏的帐号和密码。

●盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后，可能偷窥聊天记录等隐私内容，或将帐号卖掉。

●传播自身型。

（4）网页点击类木马

网页点击类木马会恶意模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。

（5）下载类木马

这种木马程序的体积一般很小，其功能是从网络上下载其他病毒程序或安装广告软件。由于体积很小，下载类木马更容易传播，传播速度也更快。通常功能强大、体积也很大的后门类病毒，如“灰鸽子”、“黑洞”等，传播时都单独编写一个小巧的下载型木马，用户中毒后会把后门主程序下载到本机运行。

（6）代理类木马

用户感染代理类木马后，会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板，以被感染用户的身份进行黑客活动，达到隐藏自己的目的。

3. 木马病毒的防御与清除方法

常用的杀毒软件基本上都可以清除木马病毒。在安全模式下启动杀毒软件就可以进行杀毒了，如果中了木马病毒而不能打开杀毒软件时，可以用“360安全卫士”安全启动。另外可以用“超级兔子”等软件清理临时文件，以避免病毒隐藏在临时文件中。

（二）蠕虫病毒

1. 蠕虫病毒特点

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。

与一般病毒不同，蠕虫病毒不需要将其自身附着到宿主程序，它是一种独立的智能程序。

2. 传播方式及危害

对于个人用户而言，威胁大的蠕虫病毒采取的传播方式，一般为电子邮件（Email）以及恶意网页等等。

对于利用电子邮件传播的蠕虫病毒来说，通常利用的是各种各样的欺骗手段诱惑用户点击的方式进行传播。通过电子邮件传播，是病毒作者青睐的方式之一，像“恶鹰”、“网络天空”等都是危害巨大的邮件蠕虫病毒。这样的病毒往往会频繁大量的出现变种，用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。

恶意网页确切地讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。

3. 防范措施

蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件。防范邮件蠕虫的最好办法，就是提高自己的安全意识，不要轻易打开带有附件的电子邮件。另外，可以启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能，也可以提高自己对病毒邮件的防护能力。防范聊天蠕虫的主要措施之一，就是提高安全防范意识，对于通过聊天软件发送的任何文件，都要经过好友确认后再运行；不要随意点击聊天软件发送的网络链接。