網(wǎng)絡(luò)安全課件1

1、第7章 網(wǎng)絡(luò)安全 計算機病毒原理與防范 秦志光, 張鳳荔第1頁，共34頁。第7章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全概述Internet服務(wù)的安全隱患垃圾郵件系統(tǒng)安全惡意代碼的處理網(wǎng)絡(luò)安全的防范技巧用戶對計算機病毒的認識誤區(qū)第2頁，共34頁。7.1 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全的概念, 計算機網(wǎng)絡(luò)安全隱患主要體現(xiàn)在下列幾方面。（1）Internet是一個開放的、無控制機構(gòu)的網(wǎng)絡(luò)，黑客（Hacker）經(jīng)常會侵入網(wǎng)絡(luò)中的計算機系統(tǒng)，或竊取機密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。（2）Internet的數(shù)據(jù)傳輸是基于TCP/IP的，ICP/IP使傳輸過程中的信息不被竊取的安全措施。（3）在計

2、算機上存儲、傳輸和處理的電子信息，還沒有像傳統(tǒng)的郵件通信那樣進行信封保護和簽字蓋章。（4）電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。（5）計算機病毒通過Internet的傳播給上網(wǎng)用戶帶來極大的危害，計算機病毒可以使計算機和計算機網(wǎng)絡(luò)系統(tǒng)癱瘓，數(shù)據(jù)和文件丟失。第3頁，共34頁。網(wǎng)絡(luò)安全防范的內(nèi)容一個安全的計算機網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網(wǎng)絡(luò)不僅要保護計算機網(wǎng)絡(luò)設(shè)備安全和計算機網(wǎng)絡(luò)系統(tǒng)安全，還要保護數(shù)據(jù)安全等。針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全保護方案以確保計算機網(wǎng)絡(luò)自身的安全性是每一個計算機

3、網(wǎng)絡(luò)都要認真對待的一個重要問題。網(wǎng)絡(luò)安全防范的重點主要有兩個方面：一是計算機病毒，二是黑客。計算機病毒是一種危害計算機系統(tǒng)和網(wǎng)絡(luò)安全的破壞性程序。第4頁，共34頁。7.2 Internet服務(wù)的安全隱患電子郵件文件傳輸（FTP） 遠程登錄（Telnet）第5頁，共34頁。電子郵件電子郵件是個人、企業(yè)、組織之間進行交流、溝通的重要手段。在安全研究機構(gòu)美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會（SANS Institute）發(fā)布的2004年度“20大Internet安全隱患”中，電子郵件客戶端被列入10項最重大的Windows安全隱患之一。大部分計算機病毒都是依附于垃圾郵件攻擊用戶的網(wǎng)絡(luò)系統(tǒng)。目前國內(nèi)網(wǎng)民大多已使用自己

4、的個人郵箱進行商務(wù)往來，免費的個人郵箱對垃圾郵件的過濾能力十分低下，這個極大的安全漏洞被一些不懷好意者利用，成為非法獲取他人信息的“綠色”通道。一些垃圾郵件的制造者受雇于商業(yè)罪犯，設(shè)計含有計算機病毒的電子郵件發(fā)送到企業(yè)員工的個人郵件系統(tǒng)，破解密碼獲取信息。第6頁，共34頁。文件傳輸（FTP）FTP即文件傳輸協(xié)議，指通過網(wǎng)絡(luò)以約定的協(xié)議實現(xiàn)文件傳輸。由于其簡單易用，得到了極大的普及和廣泛使用。通常FTP服務(wù)器是允許匿名訪問的，目的是為用戶匿名訪問上傳、下載文件提供方便，但卻存在極大的安全隱患。因為用戶不需要申請合法的賬號，就能訪問他人的FTP服務(wù)器，甚至還可以上傳、下載文件，特別對于一些存儲重要

5、資料的FTP服務(wù)器，很容易出現(xiàn)泄密的情況，成為黑客們的攻擊目標(biāo)。在網(wǎng)絡(luò)上傳播計算機病毒就可以通過公共匿名FTP文件傳送，因此為了系統(tǒng)安全必須取消匿名訪問功能。啟用FTP日志記錄以記錄所有用戶的訪問信息，如訪問時間、客戶機IP地址、使用的登錄賬號等，這些信息對于FTP服務(wù)器的穩(wěn)定運行具有很重要的意義，一旦服務(wù)器出現(xiàn)問題，就可以查看FTP日志，找到故障所在，及時排除。 第7頁，共34頁。遠程登錄（Telnet）Telnet全稱為遠程登錄協(xié)議，該協(xié)議是Internet上普遍采用的仿真網(wǎng)絡(luò)協(xié)議，同時Telnet也是從遠程位置登錄常用的程序。通過Telnet協(xié)議可以把自己的計算機作為遠程計算機的一個終端

6、，通過Telnet程序登錄遠程Telnet計算機，一般采用授權(quán)的用戶名和密碼登錄。Telnet同時也造成了一個系統(tǒng)后門，為攻擊者提供了方便，而又對用戶沒有太大用處，建議刪除Telnet服務(wù)以減少被攻擊的可能性。第8頁，共34頁。7.3 垃圾郵件垃圾郵件的定義垃圾郵件的危害追蹤垃圾郵件郵件防毒技術(shù)第9頁，共34頁。垃圾郵件的定義垃圾郵件是指未經(jīng)用戶許可，但卻被強行塞入用戶郵箱的電子郵件。垃圾郵件一般具有批量發(fā)送的特征，在Internet上同時傳送多個副本。從內(nèi)容上看，它們通常是商業(yè)廣告、宣傳資料或者其他一些無關(guān)的內(nèi)容。垃圾郵件是Internet發(fā)展的副產(chǎn)品，最早起源于美國，在英文中有3個稱呼：U

7、CE（Unsolicited Commercial Email），UBE（Unsolicited Bulk Email）和Spam，但最常用的是Spam。UCE是專指以商業(yè)廣告為內(nèi)容的垃圾郵件，UBE則還包含其他一些無關(guān)的內(nèi)容。第10頁，共34頁。垃圾郵件的危害垃圾郵件不顧他人的反對，強制性地把郵件發(fā)到別人的郵箱，侵犯了個人的隱私權(quán)，打破平等自愿交流的規(guī)則，無疑會遭到人們的反對；另外，大量的垃圾郵件發(fā)到新聞組，會降低新聞組的信息價值，甚至可能導(dǎo)致新聞組因此關(guān)閉。大量發(fā)到個人郵箱的垃圾郵件會給人們的通信帶來不便。垃圾郵件與其他的媒體不同，它的成本部分是追加到收件人一方的。垃圾郵件占用了收件方的帶

8、寬和存儲資源。垃圾郵件也威脅著網(wǎng)絡(luò)的安全，特別是那些利用別人的服務(wù)器轉(zhuǎn)發(fā)郵件的情況。例如2003年3月份，CCERT就收到兩起來自用戶的有關(guān)事故報告。其中一個是網(wǎng)絡(luò)管理員發(fā)現(xiàn)他們的服務(wù)器在以每秒60封的速度轉(zhuǎn)發(fā)郵件，占用了大量的系統(tǒng)資源，其他正常運作被迫終止，構(gòu)成了典型的DOS型攻擊；另外一起是管理員發(fā)現(xiàn)出國流量突然增加，一查發(fā)現(xiàn)該服務(wù)器轉(zhuǎn)發(fā)了200多萬封來自國外來源不明的郵件，嚴(yán)重阻礙了網(wǎng)絡(luò)流量。垃圾郵件不僅帶來了技術(shù)方面和經(jīng)濟方面的問題，同時也帶來令人關(guān)注社會問題，如一些含有色情內(nèi)容的郵件和帶有明顯欺詐性質(zhì)的內(nèi)容的郵件。第11頁，共34頁。追蹤垃圾郵件阻止垃圾郵件的首要任務(wù)是找到垃圾郵件的

9、真正源頭。由于協(xié)議的弱認證機制，使得郵件信頭的部分內(nèi)容很容易被偽造。充分理解信頭各部分的含義可以幫助我們迅速找出郵件的正確源頭。 第12頁，共34頁。郵件防毒技術(shù)電子郵件因其具有廣泛的用戶群體，而成為計算機病毒的主要傳播通道與重要載體后，郵件防毒技術(shù)也在逐步發(fā)展，并可分為刪除郵件時代、查殺壓縮文件時代和郵件計算機病毒前殺時代3個階段。1刪除郵件時代2查殺壓縮文件時代3郵件病毒前殺時代 4比特動態(tài)濾毒技術(shù)第13頁，共34頁。7.4 系統(tǒng)安全來自Internet實驗室的相關(guān)數(shù)據(jù)顯示，每年寬帶用戶數(shù)量同比上一年度都有比較大幅的增長，絕大多數(shù)用戶因為寬帶上網(wǎng)而受到計算機病毒威脅，有三成經(jīng)常上網(wǎng)的用戶遇

10、到過網(wǎng)絡(luò)游戲用戶名被盜的情況。寬帶越來越“寬”，直接導(dǎo)致木馬病毒、間諜軟件、垃圾郵件、網(wǎng)頁惡意程序等計算機病毒傳播速度更加驚人。計算機病毒傳播的網(wǎng)絡(luò)化趨勢更加明顯，Internet下載、瀏覽網(wǎng)站和電子郵件成為計算機病毒傳播的重要途徑，由此感染的用戶數(shù)量明顯增加。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全也就成為當(dāng)今網(wǎng)絡(luò)社會焦點中的焦點。就像“矛”與“盾”，網(wǎng)絡(luò)與計算機病毒、黑客永遠是一對共存體。第14頁，共34頁。網(wǎng)絡(luò)安全體系1網(wǎng)絡(luò)安全問題分析從計算機病毒誕生開始，人們就發(fā)現(xiàn)這么一個基本事實：計算機系統(tǒng)本身是脆弱的，大量依賴國外計算機產(chǎn)品本身就不安全。從計算機科學(xué)的研究對象上分析，目前人類制造出完全沒有漏洞

11、、絕對安全的計算機系統(tǒng)幾乎是不可能的。2網(wǎng)絡(luò)安全基本體系按照安全策略的要求及風(fēng)險分析的結(jié)果，整個網(wǎng)絡(luò)的安全措施應(yīng)按系統(tǒng)體系建立。具體的安全控制系統(tǒng)應(yīng)由以下幾個方面組成：物理安全、網(wǎng)絡(luò)安全和信息安全。物理安全：保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個計算機信息系統(tǒng)安全的前提。主要包括3個方面：環(huán)境安全、設(shè)備安全和媒體安全。 網(wǎng)絡(luò)安全：系統(tǒng)（主機、服務(wù)器）安全、反計算機病毒、系統(tǒng)安全檢測、入侵檢測（監(jiān)控）、審計分析、網(wǎng)絡(luò)運行安全、備份與恢復(fù)應(yīng)急、局域網(wǎng)、子網(wǎng)安全、訪問控制（防火墻）以及網(wǎng)絡(luò)安全檢測等。信息安全：主要涉及信息傳輸?shù)陌踩?、信息存儲的安全以及對網(wǎng)絡(luò)傳輸信息內(nèi)容的審計三方面。3網(wǎng)絡(luò)安全的

12、構(gòu)架網(wǎng)絡(luò)安全構(gòu)架包括以下層次的內(nèi)容，安全政策評估、安全漏洞偵測、防黑客探測器，邊界安全性中的防火墻、安全漏洞偵測、防駭客探測器，Internet Extranet安全性中的驗證、外聯(lián)網(wǎng)、VPN計算機安全性、Web安全性和安全管理中的一次性入網(wǎng)、網(wǎng)絡(luò)資源管理、UNIX安全性，在此基礎(chǔ)上統(tǒng)一指定戰(zhàn)略安全服務(wù)，構(gòu)成一個完整的網(wǎng)絡(luò)安全框架。第15頁，共34頁。加密技術(shù)現(xiàn)代的加密技術(shù)就是適應(yīng)了網(wǎng)絡(luò)安全的需要而應(yīng)運產(chǎn)生的，它為我們進行一般的電子商務(wù)活動提供了安全保障，如在網(wǎng)絡(luò)中進行文件傳輸、電子郵件往來和進行合同文本的簽署等。1加密技術(shù)產(chǎn)生的背景2加密產(chǎn)生的過程數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)

13、據(jù)按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容，通過這樣的途徑來達到保護數(shù)據(jù)不被非法竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉(zhuǎn)化為其原來數(shù)據(jù)的過程。3加密技術(shù)的作用首先，通過Internet進行文件傳輸或電子郵件商務(wù)往來存在許多不安全因素，特別是對于一些大公司和一些機密文件在網(wǎng)絡(luò)上傳輸。為了能在安全的基礎(chǔ)上打開這通向世界之門，人們只好選擇數(shù)據(jù)加密、數(shù)字簽名等技術(shù)。加密在網(wǎng)絡(luò)上的作用就是防止有用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取。第16頁，共34頁。加密技術(shù)4加密技術(shù)的分類信息交換加密技術(shù)分為兩類：即對稱加密和非對稱加

14、密。具體如下。（1）對稱加密技術(shù)在對稱加密技術(shù)中，對信息的加密和解密都使用相同的密鑰，通常稱之為“Session Key”。這種加密技術(shù)有加密速度快，可以用軟件或硬件實現(xiàn)，目前被廣泛采用但對稱加密技術(shù)存在密鑰交換換問題。（2）非對稱加密技術(shù)在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰），即加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們兩個必須配對使用，否則不能打開加密文件。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能由生成密鑰的交

15、換方掌握，公開密鑰可廣泛公布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計算機復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。RSA算法是Rivest，Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。RSA算法的描述如下。公開密鑰：n=pq（p，q分別為兩個互異的大素數(shù)，p，q必須保密）。e與（p-1）（q-1）互素。私有密鑰：d=e-1 mod（p-1）（q-1）。加密：c=me（mod n），其中m為明文，c為密文。解密：m=cd（mod n）。5摘要函數(shù)數(shù)據(jù)摘要是一種保證數(shù)據(jù)完整

16、性的方法，其中用到的函數(shù)叫摘要函數(shù)。這些函數(shù)的輸入可以是任意大小的消息，而輸出是一個固定長度的數(shù)據(jù)摘要。數(shù)據(jù)摘要有這樣一個性質(zhì)，如果改變了輸入消息中的任何東西，甚至只有一位，輸出的數(shù)據(jù)摘要將會發(fā)生不可預(yù)測的改變，也就是說輸入消息的每一位對輸出摘要都有影響。第17頁，共34頁。加密技術(shù)6加密技術(shù)的密鑰管理加密技術(shù)的實現(xiàn)是通過密鑰，但并不是有了密鑰就高枕無憂，任何保密也只是相對的，是有時效的，這涉及密鑰的管理，如果管理不好，密鑰就會丟失。通常密鑰的管理要注意以下幾個方面。（1）密鑰的使用要注意時效和次數(shù)如果用戶可以一次又一次地使用同樣密鑰與別人交換信息，那么密鑰也同其他任何密碼一樣存在著一定的安全

17、性，雖然說用戶的私鑰是不對外公開的，但是也很難保證私鑰長期的保密性，很難保證長期以往不被泄露。（2）多密鑰的管理假設(shè)在某機構(gòu)中有100個人，如果其中任意兩人之間可以進行秘密對話，那么總共需要多少密鑰呢？每個人需要知道多少密鑰呢？也許很容易得出答案，如果任何兩個人之間要不同的密鑰，則總共需要4950個密鑰，而且每個人應(yīng)記住99個密鑰。如果機構(gòu)的人數(shù)是1000，10000入或更多，這種辦法就顯然過于復(fù)雜了，管理密鑰將是一件可怕的事情。Kerberos提供了一種較好的解決方案，能在Internet上提供一個實用的解決方案，Kerberos建立了一個安全的、可信任的密鑰分發(fā)中心即KDC，每個用戶只要知

18、道一個和KDC進行會話的密鑰就可以了，而不需要知道成百上千個不同的密鑰。7加密技術(shù)應(yīng)用加密技術(shù)的應(yīng)用是多方面的，但最為廣泛的還是在電子商務(wù)和VPN上的應(yīng)用，前者應(yīng)用電子商務(wù)（E-business），以讓顧客可以在網(wǎng)上進行各種商務(wù)活動，而不必擔(dān)心自己的信用卡會被盜用。在過去，用戶為了防止信用卡的號碼被竊取，一般是通過電話訂貨，然后使用用戶的信用卡進行付款?，F(xiàn)在人們開始用RSA（一種公開/私有密鑰）的加密技術(shù)，提高信用卡交易的安全性，從而使電子商務(wù)走向?qū)嵱贸蔀榭赡?。?8頁，共34頁。黑客防范 現(xiàn)在全球每20秒就有一起黑客事件發(fā)生，僅美國，每年由黑客所造成的經(jīng)濟損失就高達100億美元?！昂诳凸簟?/p>

19、在今后的電子對抗中可能成為一種重要武器。隨著Internet的日益普及和在社會經(jīng)濟活動中的地位不斷加強，Internet安全性得到了更多的關(guān)注。目前黑客防范主要是針對特洛伊木馬、拒絕服務(wù)攻擊等以下內(nèi)容。1特洛伊木馬特洛伊木馬在前面的章節(jié)中已述及，簡單地說是包含在合法程序中的未授權(quán)代碼，執(zhí)行不為用戶所知的功能。國際著名的計算機病毒專家Alan Solomon博士在他的計算機病毒大全一書中給出了另一個恰當(dāng)?shù)亩x：“特洛伊木馬是超出用戶所希望的，并且有害的程序”。一般來說，我們可以把特洛伊看成是執(zhí)行隱藏功能的任何程序。2拒絕服務(wù)攻擊拒絕服務(wù)實際就是分布式DDOS（Distributed Denial

20、 Of Service）攻擊。這種攻擊的簡單原理是：攻擊者首先通過一些常用的黑客手段侵入并控制一些計算機，在這些計算機上安裝并啟動一個進程，這個進程將聽命于攻擊者的特殊指令。當(dāng)攻擊者把攻擊目標(biāo)的IP地址作為指令下達給這些進程的時候，這些進程就開始向目標(biāo)主機發(fā)送攻擊。第19頁，共34頁。黑客防范 3網(wǎng)絡(luò)嗅探器嗅探器（Sniffer）就是能夠捕獲網(wǎng)絡(luò)報文的設(shè)備。嗅探器的正當(dāng)用處在于監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?，分析網(wǎng)絡(luò)的流量，以便找出網(wǎng)絡(luò)中潛在的問題，嗅探器有時又叫網(wǎng)絡(luò)偵聽。嗅探器程序在功能和設(shè)計方面有很多不同，有些只能分析一種協(xié)議，而另一些則能夠分析幾百種協(xié)議。嗅探器網(wǎng)絡(luò)監(jiān)聽

21、的特點如下。（1）網(wǎng)絡(luò)響應(yīng)速度慢。網(wǎng)絡(luò)監(jiān)聽要保存大量的信息，并對收集的信息進行整理，因此，正在進行監(jiān)聽的計算機對用戶的請求響應(yīng)很慢，但也不能完全憑此而判定其正在運行網(wǎng)絡(luò)監(jiān)聽軟件。（2）只能監(jiān)聽同一網(wǎng)段的主機。（3）網(wǎng)絡(luò)監(jiān)聽最有用的是獲得用戶口令。目前網(wǎng)上的數(shù)據(jù)絕大多數(shù)是以明文的形式傳輸，而且口令通常都很短且容易辨認。（4）網(wǎng)絡(luò)監(jiān)聽很難被發(fā)現(xiàn)。運行網(wǎng)絡(luò)監(jiān)聽的主機只是被動地接收在局部網(wǎng)絡(luò)上傳輸?shù)男畔?，并沒有主動的行動，既不會與其他主機交換信息，也不修改在網(wǎng)上傳輸?shù)男虐?。擊敗網(wǎng)絡(luò)監(jiān)聽最有效的方法是使用安全的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。這種技術(shù)通常被稱為分段技術(shù)，將網(wǎng)絡(luò)分成一些小的網(wǎng)絡(luò)，每一網(wǎng)段的集線器被連接到一個

22、交換機上。這樣，網(wǎng)絡(luò)中的其余部分（不在同一網(wǎng)段的部分）就被保護了，用戶也可以使用網(wǎng)橋或者路由器來進行分段。第20頁，共34頁。黑客防范 掃描程序掃描程序（Scanner）是自動檢測主機安全脆弱點的程序。通過使用掃描程序，一個洛杉磯用戶足不出戶就可以發(fā)現(xiàn)在日本境內(nèi)服務(wù)器的安全脆弱點。掃描程序通過確定下列項目，收集關(guān)于目標(biāo)主機的有用信息：當(dāng)前正在進行什么服務(wù)、哪些用戶擁有這些服務(wù)、是否支持匿名登錄、是否有某些網(wǎng)絡(luò)服務(wù)需要鑒別。掃描程序具有兩面性：一方面它能揭示一個網(wǎng)絡(luò)的脆弱點，掃描程序可以使一些繁瑣的安全審計工作得到簡化；另一方面，在不負責(zé)任的人手中，掃描程序會對網(wǎng)絡(luò)的安全造成合法的威脅。5字典攻

23、擊字典攻擊是一種典型的網(wǎng)絡(luò)攻擊手段，簡單地說它就是用字典庫中的數(shù)據(jù)不斷地進行用戶名和口令的反復(fù)試探。一般黑客都擁有自己的攻擊用字典，其中包括常用的詞、詞組、數(shù)字及其組合等，并在進行攻擊的過程中不斷地充實豐富自己的字典庫，黑客之間也經(jīng)常會交換各自的字典庫。對付字典攻擊最有效的方法，是設(shè)置合適的口令，建議不要用自己的名字、生日、電話號碼或簡單的單詞作為自己的口令，如果能隱蔽自己的用戶名當(dāng)然更好。另有一些黑客，出于某種原因進行匯憤、報復(fù)、抗議而侵入，纂改目標(biāo)網(wǎng)頁的內(nèi)容，羞辱對方，雖不對系統(tǒng)進行致命性的破壞，也足以令對方傷腦筋。第三類就是惡意的攻擊、破壞。其危害性最大，所占的比例也最大。其中又可分為3

24、種情況：一是竊取國防、軍事、政治、經(jīng)濟機密，輕則損害企業(yè)、團體的利益，重則危及國家安全；二是謀取非法的經(jīng)濟利益，如盜用賬號非法提取他人的銀行存款，或?qū)Ρ还魧ο筮M行勒索，使個人、團體、國家遭受重大的經(jīng)濟損夫；三是蓄意毀壞對方的計算機系統(tǒng)，為一定的政治、軍事、經(jīng)濟目的服務(wù)，系統(tǒng)中重要的程序數(shù)據(jù)可能被纂改、毀壞，甚至全部丟失，導(dǎo)致系統(tǒng)崩潰、業(yè)務(wù)癱瘓，后果不堪設(shè)想。 第21頁，共34頁。安全漏洞庫及補丁程序安全漏洞通常是指操作系統(tǒng)漏洞。由于漏洞攻擊不需經(jīng)由使用者執(zhí)行程序就能發(fā)作，加上全球計算機與服務(wù)器已網(wǎng)網(wǎng)相連，不但較以往更難防范、造成的財務(wù)損失也特別巨大。據(jù)統(tǒng)計，有80%的網(wǎng)絡(luò)計算機病毒是通過系統(tǒng)

25、安全漏洞進行傳播的，象蠕蟲王、沖擊波、震蕩波等，所以我們應(yīng)該定期到系統(tǒng)提供商網(wǎng)站去下載最新的安全補丁，以防范未然。據(jù)報道，目前全球每年平均發(fā)現(xiàn)2500個以上的安全漏洞。同時各種網(wǎng)絡(luò)計算機病毒也越發(fā)肆虐。此外，如今操作系統(tǒng)漏洞公布后計算機病毒出現(xiàn)的時間也越來越短。如2001年的Nimda計算機病毒是在安全漏洞發(fā)現(xiàn)后336天開始出現(xiàn)，而2003年的“Blaster”在漏洞發(fā)布后不足一個月便告誕生（26天）。到了2004年，“Sasser”只用了18天，而8月出現(xiàn)的“Witty”計算機病毒僅僅用了48小時，速度之快令人咋舌。及時地對系統(tǒng)補丁進行更新，大多數(shù)計算機病毒和黑客都是通過系統(tǒng)漏洞進來的，但也

26、不一定所有補丁都打上。第22頁，共34頁。7.5 惡意代碼的處理不必要代碼（Unwanted Code）是指沒有作用卻會帶來危險的代碼，一個最安全的定義是把所有不必要的代碼都看做是惡意的，不必要代碼比惡意代碼具有更寬泛的含義，包括所有可能與某個組織安全策略相沖突的軟件。惡意代碼（Malicious Code）或者叫惡意軟件Malware（Malicious Software）具有如下共同特征： 惡意的目的； 本身是程序； 通過執(zhí)行發(fā)生作用。有些惡作劇程序或者游戲程序不能看做是惡意代碼。 第23頁，共34頁。惡意代碼的種類諜件遠程訪問特洛伊zombies程序的攻擊非法獲取資源訪問權(quán)鍵盤記錄程序P

27、2P系統(tǒng)邏輯炸彈和時間炸彈第24頁，共34頁。惡意代碼的傳播手法惡意代碼編寫者一般利用三類手段來傳播惡意代碼：軟件漏洞、用戶本身或者兩者的混合。有些惡意代碼是自啟動的蠕蟲和嵌入腳本，本身就是軟件，這類惡意代碼對用戶的活動沒有要求。利用商品軟件缺陷的惡意代碼有“Code Red”，“KaK” 和“BubbleBoy”。它們完全依賴商業(yè)軟件產(chǎn)品的缺陷和弱點，例如溢出漏洞和可以在不適當(dāng)?shù)沫h(huán)境中執(zhí)行任意代碼。像沒有打補丁的IIS軟件就有輸入緩沖區(qū)溢出方面的缺陷。利用Web 服務(wù)缺陷的攻擊代碼有“Code Red”，“Nimda”等，惡意代碼編寫者的一種典型手法是把惡意代碼郵件偽裝成其他惡意代碼受害者的

28、感染報警郵件，惡意代碼受害者往往是Outlook地址簿中的用戶或者是緩沖區(qū)中Web頁的用戶，這樣做可以最大可能地吸引受害者的注意力。附件的使用正在和必將受到網(wǎng)關(guān)過濾程序的限制和阻斷，惡意代碼的編寫者也會設(shè)法繞過網(wǎng)關(guān)過濾程序的檢查。使用的手法可能包括采用模糊的文件類型，將公共的執(zhí)行文件類型壓縮成zip文件等。對聊天室IRC（Internet Relay Chat）和即時消息IM（Instant Messaging）系統(tǒng)的攻擊案例不斷增加，其手法多為欺騙用戶下載和執(zhí)行自動的Agent軟件，讓遠程系統(tǒng)用做分布式拒絕服務(wù)（DDOS）的攻擊平臺，或者使用后門程序和特洛伊木馬程序控制它們 第25頁，共34

29、頁。惡意代碼的發(fā)展趨勢種類更模糊混合傳播模式多平臺攻擊開始出現(xiàn)使用銷售技術(shù)服務(wù)器和客戶機同樣遭受攻擊Windows操作系統(tǒng)遭受的攻擊最多惡意代碼類型變化第26頁，共34頁。惡意代碼的危害及其解決方案網(wǎng)絡(luò)安全問題一向被人們所看重，隨著網(wǎng)絡(luò)的不斷發(fā)展，眾多的攻擊手法層出不窮，現(xiàn)在就連普通的瀏覽網(wǎng)頁也存在著不安全的因素。在網(wǎng)頁上還可以插入Java等功能強大的語言來進行編程。除了JavaScript腳本語言ActiveX控件在網(wǎng)頁中的應(yīng)用也比較廣泛，通過對ActiveX的調(diào)用，或者是利用系統(tǒng)漏洞，就可以對硬盤上的文件進行訪問，其中包括對文件的讀取與改寫，這樣就有可能暴露用戶的隱私，另外利用這一點對硬盤

30、進行格式化已經(jīng)不是新聞了。通過這些代碼，可以調(diào)用硬盤上的“”或“deltree.exe”等文件來對硬盤進行格式化或刪除文件，并且這一切都是比較隱蔽的。在上網(wǎng)時對于一些選擇性的提示一定要留意，另外可以將“format.exe”和“deltree.exe”等有可能對文件數(shù)據(jù)造成破壞的程序改名，這樣除了可以防止網(wǎng)頁上的惡意代碼對用戶造成損壞，同樣也可以避免一些宏病毒發(fā)作時造成的破壞。第27頁，共34頁。網(wǎng)頁惡意代碼制造惡意代碼的人大多數(shù)是出于個人目的，通過在其主頁源程序里加入具有破壞性的代碼，使瀏覽網(wǎng)站的計算機受到嚴(yán)重破壞。而這些代碼通常是Java Applet小應(yīng)用程序，JavaScript腳本語

31、言程序和ActiveX控件。1Java Applet由于Internet和Java在全球應(yīng)用得越來越普及，因此人們在瀏覽Web頁面的同時也會同時下載大量的Java Applet，就使得Web用戶的計算機面臨的安全威脅比以往任何時候都要大。2JavaScriptJavaScript有兩個特點：第一，JavaScript是一種像文件一樣的描述語言，通過瀏覽器就可以直接執(zhí)行；第二，JavaScript編寫在HTML文件中，直接查看網(wǎng)頁的原始碼，就可以看到JavaScript程序，所以沒有保護，任何人都可以通過HTML文件復(fù)制程序。正是因為JavaScript具有以上特點，所以在網(wǎng)絡(luò)中可以很輕易地得到

32、編寫好了的惡意JavaScript程序。3ActiveX控件它提供了Office和IE內(nèi)部的大量有用功能。但因為它們是可執(zhí)行的代碼片段，一個惡意的開發(fā)人員可以編寫一個ActiveX控件來竊取或損害用戶的信息，或者做一些其他的有害事情。 第28頁，共34頁。IE惡性修改1篡改IE的默認頁, 它主要是修改了注冊表中 IE 設(shè)置的下面這個鍵值：1).HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page=about：blank 2).HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExp

33、lorerMainStart Page=about：blank 3) .HKEY_USERs.DEFAULTSoftwareMicrosoftInternet ExplorerMainStart Page=about：blank2修改IE缺省主頁，鎖定設(shè)置項并禁止用戶更改回來它主要是修改了注冊表中IE設(shè)置的下面這些鍵值（dWord：1時為不可選）：HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl PanelSettings=dWord：0HKEY_CURRENT_USERSoftwarePoliciesMicr

34、osoftInternet ExplorerControl PanelLinks=dWord：0HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl PanelSecAddSites=dWord：0第29頁，共34頁。IE惡性修改3IE標(biāo)題欄被修改修改IE瀏覽器標(biāo)題欄，把缺省或者用戶設(shè)定的標(biāo)題改成瀏覽網(wǎng)站的標(biāo)題。它主要是修改了注冊表中 IE 設(shè)置的下面這個鍵值：1).HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title=IE 瀏覽器標(biāo)

35、題2).HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainWindow Title=IE 瀏覽器標(biāo)題3).HKEY_USERs.DEFAULTSoftwareMicrosoftInternet ExplorerMainWindow Title=IE 瀏覽器標(biāo)題4IE右鍵菜單被修改修改IE右鍵菜單，并將未經(jīng)授權(quán)網(wǎng)站的網(wǎng)址加到右鍵菜單上。它主要是修改了注冊表中 IE 設(shè)置的下面這個鍵值：HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt5IE默認搜索引擎被修改修改IE中的搜索引擎，它主要是修改了注冊表中 IE 設(shè)置的下面這個鍵值：HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainSearch Page=被更改后的搜索引擎地址如I6系統(tǒng)啟動時彈出對話框使在Wi