網絡信息安全培訓教程

網絡信息安全培訓教程***信息化工作辦公室-7-28局域網概述

局域網（LocalAreaNetwork,LAN）是在小范疇內將多個數(shù)據通信設備互連起來，進行數(shù)據通信和資源共享的計算機網絡。局域網的地理范疇普通在.01-20km之間。局域網連網非常靈活，兩臺計算機就能夠連成一種對等局域網。局域網的安全是內部網絡安全的核心，如何確保局域網的安全性成為網絡安全研究的一種重點。

網絡安全構成網絡安全目的

通俗地說，網絡信息安全重要是指保護網絡信息系統(tǒng)，使其沒有危險、不受威脅、不出事故。

從技術角度來說，網絡信息安全的目的重要體現(xiàn)在系統(tǒng)的保密性、完整性、真實性、可靠性、可用性、不可抵賴性等方面。

網絡安全威脅1.3.1物理威脅

物理威脅在網絡中是最難控制的，它可能來源于外界的故意無意的破壞。物理威脅有時能夠造成致命的系統(tǒng)破壞，如系統(tǒng)的硬件方法遭到嚴重的破壞。

物理威脅的防治即使很重要，然而在網絡中諸多物理威脅往往被無視，如網絡設備被盜等。在更換磁盤時，必須經格式化解決，由于反刪除軟件很容易獲取僅從磁盤上刪除的文獻。

1.3.2系統(tǒng)漏洞威脅

1.端口威脅

端口威脅是系統(tǒng)漏洞的重要方面,在顧客上網的時候，網絡病毒和黑客能夠通過這些端口連接到顧客的計算機上潛在的端口開放相稱于給系統(tǒng)開了一種后門，病毒和網絡攻擊者能夠通過開放的端口入侵系統(tǒng)。

為避免端口威脅，顧客應當使用端口掃描軟件來查看系統(tǒng)已經啟動的服務端口，并將不安全的端口關閉。

2.不安全服務

操作系統(tǒng)的部分服務不需要進行安全認證服務就能夠登錄，這些程序普通都是基于UDP合同的，它的無認證服務造成系統(tǒng)很有可能被病毒和網絡攻擊者控制。這類服務在作用后應當立刻停止，否則將造成系統(tǒng)不可挽回的損失。

3.配備和初始化

有些系統(tǒng)提供認證和匿名兩種方式，因此如何分辨服務方式和如何進行系統(tǒng)的初始化配備非常核心。

1.3.3身份鑒別威脅

1.假冒

假冒的身份普通是用一種模仿的程序替代真正的程序登錄界面，設立口令圈套，以竊取口令。

2.密碼暴力破解

按照密碼學的觀點，任何密碼都能夠被破解出來，任何密碼都只能在一段時間內保持系統(tǒng)的安全性。

1.3.4病毒和黑客威脅

病毒是一段可執(zhí)行的惡意程序，它能夠對計算機的軟件和硬件資源進行破壞。計算機病毒寄生在系統(tǒng)內部，不易被發(fā)現(xiàn)，含有很強的的傳染性，一但病毒被激活，就可能對系統(tǒng)造成巨大的危害。由于TCP/IP合同的脆弱性和Internet的管理問題，現(xiàn)在，互聯(lián)網成為病毒的最重要的傳輸途徑。計算機病毒已成為計算機與網絡安全的重要因素。黑客威脅是現(xiàn)在網絡的又一大威脅，黑客是指非法入侵別人計算機系統(tǒng)的人，他們普通帶有某種目的，通過系統(tǒng)漏洞非法入侵?！緦嵗?-1】簡述物理防護在計算機系統(tǒng)安全方面的作用。

解析物理防護重要是針對計算機硬件上的弱點進行防護，避免人為因素或自然因素造成計算機系統(tǒng)的損壞，防止方法以下：

（1）避免計算機設備丟失。

（2）避免非授權人員和破壞者進入計算機的工作環(huán)境。

（3）規(guī)劃對外通信的出口，制止非法接線。

（4）避免設備或數(shù)據損失。

（5）避免電磁輻射。局域網的安全方法局域網基于廣播技術構建。由于廣播原理，局域網的數(shù)據截取和竊取成了安全的重要問題，另外，ARP地址欺騙、泛洪等諸多問題，尚有TCP／IP合同固有的不安全因素，網絡操作系統(tǒng)的安全缺點等，都使得基于局域網的安全防備非常核心。

2.2.1網絡本身的安全設立

1.網絡分段

網絡分段普通被認為是控制網絡廣播風暴的一種基本手段，但其實也是確保網絡安全的一項重要方法。如：與，其目的就是將非法顧客與敏感的網絡資源互相隔離，從而避免可能的非法偵聽。

2.組建交換式局域網

對局域網的中心交換機進行網絡分段后，由于使用共享式集線器，當顧客與主機進行數(shù)據通信時，兩臺計算機之間的數(shù)據包會被同一臺集線器上的其它顧客所偵聽。因此，應當以交換式集線器替代共享式集線器，建立交換式局域網，能夠使單播包僅在兩個節(jié)點之間傳送，從而避免非法偵聽。

3.虛擬局域網

采用交換式局域網技術組建的局域網，能夠運用VIAN(虛擬網絡)技術來加強內部網絡管理。4.網絡訪問權限設立

如果不對局域網中的主機訪問進行權限和顧客身份設立，則能夠完全被網絡中的其它顧客訪問，因此在局域網中設立訪問權限，實現(xiàn)數(shù)據的加密服務非常重要。權限控制是針對網絡非法操作所提出的一種安全保護方法，對顧客和顧客組賦予一定的權限，能夠限制顧客和顧客組對目錄、子目錄、文獻、打印機和其它共享資源的訪問，能夠限制顧客對共享文獻、目錄和共享設備的操作。

5.網絡設備安全控制

局域網中的路由器和三層交換機基本上都內置防火墻功效，且可通過設立IP訪問列表與MAC地址綁定等方案對網絡中的數(shù)據進行過濾，限制出入網絡的數(shù)據，從而增強網絡安全性。

6.防火墻控制

防火墻是現(xiàn)在最為流行也是使用最廣泛的一種網絡安全技術，防火墻作為一種分離器、限制器和分析器，用于執(zhí)行兩個網絡之間的訪問控制方略，有效地監(jiān)控了內部網和Internet。之間的任何活動，既可為內部網絡提供必要的訪問控制，又不會造成網絡瓶頸，并通過安全方略控制進出系統(tǒng)的數(shù)據，保護網絡內部的核心資源。

2.2.2

網絡操作系統(tǒng)的安全

1.安全密碼控制

操作系統(tǒng)安裝完畢后，設立一種足夠強健的賬號和密碼非常核心，并最佳將不用的匿名顧客都刪除。windowsXP操作系統(tǒng)是通過顧客級別來設立顧客的操作權限，因此配備安全方略十分必要。配備安全方略的環(huán)節(jié)以下：

(1)在“控制面板”中打開“管理工具”窗口，雙擊“計算機管理”圖標，打開“計算機管理”窗口，依次展開“系統(tǒng)工具”一“本地顧客和組”一“顧客”，在右邊窗口中的空白處右擊，彈出一種快捷菜單，如圖2—2所示。

\o"圖2—2\“計算機管理\”窗口"

圖2—2“計算機管理”窗口

(2)在該快捷菜單中選擇“新顧客”命令，彈出“新顧客”對話框，如圖2—3所示。在該對話框中輸入顧客名和密碼等信息，并選中“密碼永但是期”復選框，單擊“創(chuàng)立”按鈕，即可添加一種新顧客。添加新顧客．

\o"圖2-3添加新顧客"

圖2-3添加新顧客

2.安全漏洞掃描和補丁安裝

現(xiàn)在的網絡操作系統(tǒng)，每隔一段時問就會出現(xiàn)新的漏洞和安全威脅，因此顧客要經常關注它的官方站點，下載系統(tǒng)補丁程序。另外，選擇一款系統(tǒng)漏洞掃描工具比較重要。對于windows的操作系統(tǒng)，能夠登錄微軟官方網站http：//更新大部分的系統(tǒng)組件，修補漏洞。

瑞星殺毒軟件也集成了一款比較完美的漏洞檢測和修復工具。

3.防火墻和殺毒軟件

在局域網的構建中，安裝一款優(yōu)秀的殺毒軟件十分重要。對殺毒軟件的規(guī)定是該殺毒軟件必須要有足夠強大的病毒庫，并且容易升級，同時，對于某些未知病毒應當含有一定的預測能力?，F(xiàn)在，病毒和反病毒技術都在發(fā)展，任何殺毒軟件都不能確保操作系統(tǒng)是絕對安全的。

防火墻能夠選擇硬件或者軟件類型的，硬件類型的價格高、安全性好，但是設立和配備都比較麻煩。軟件防火墻的價格較低，但是安全性相對差某些。局域網故障檢測技術局域網的故障分為軟件故障和硬件故障，對的進行故障的解決和維護是網絡安全非常重要的方面。硬件故障重要體現(xiàn)在系統(tǒng)元件的損壞，如主板的燒毀、硬盤的損壞等，其解決方法普通是更換設備，對于部分硬件的損壞能夠使用邏輯方式臨時修復，如硬盤的劃傷等，還能夠使用屏蔽技術將壞道隱藏起來，但是這些方式都不是非常可靠的。網絡關注的是可靠性和穩(wěn)定性，能夠做臨時的解決，但從久遠來看，更換設備是非常有必要的。

近年來，計算機硬件技術的發(fā)展速度遠遠超出軟件的發(fā)展速度，硬件在可靠性上大大增強了，同時，其價格在不停下降。因此，硬件故障基本上構不成網絡故障威脅，因此在網絡故障中應首先考慮軟件故障。況且硬件故障的體現(xiàn)普通是十分明顯的，而軟件故障的體現(xiàn)卻比較隱蔽。

2.5.1

網絡連通性的檢測如果網絡不通，應當考慮網卡與否安裝對的，與否與其它設備有沖突或者網絡與否損壞。這時應當首先查看網絡合同與否安裝，設立的網絡參數(shù)與否對的，如果沒有這些問題，再檢查網絡線纜與否損壞。

當出現(xiàn)一種網絡應用故障時，若無法接入Internet，首先嘗試其它網絡應用，如果其它網絡應用可正常進行，能夠排除連通性故障問題，而鑒定是網絡的問題。什么是IP和MAC，如何查找？MAC地址也叫物理地址、硬件地址或鏈路地址，由網絡設備制造商生產時寫在硬件內部。只要你不去更改自己的MAC地址，那么你的MAC地址在世界是惟一的。無論是局域網，還是廣域網中的計算機之間的通信，最后都體現(xiàn)為將數(shù)據包從某種形式的鏈路上的初始節(jié)點出發(fā)，從一種節(jié)點傳遞到另一種節(jié)點，最后傳送到目的節(jié)點。數(shù)據包在這些節(jié)點之間的移動都是由ARP（AddressResolutionProtocol：地址解析合同）負責將IP地址映射到MAC地址上來完畢的。其實人類社會和網絡也是類似的，試想在人際關系網絡中，甲要捎個口信給丁，就會通過乙和丙中轉一下，最后由丙轉告給丁。在網絡中，這個口信就好比是一種網絡中的一種數(shù)據包。數(shù)據包在傳送過程中會不停詢問相鄰節(jié)點的MAC地址，這個過程就好比是人類社會的口信傳送過程。ip是指你上網的一種網絡地址,IP是唯一的,用于識別你于網絡上的位置.每臺接入互聯(lián)網的電腦都會根據tcp/ip合同分派一種唯一的合同地址，用來與其它的主機分辨開，這個編號就是ip地址。如mac地址也是用來將一臺電腦和其它電腦區(qū)別開，但是和ip的合同分派不同，mac地址是固化在硬件上的，不可更改的，如：如何解決MAC地址帶來的安全問題我們能夠將IP地址和MAC地址捆綁起來來解決這個問題。進入“MS-DOS方式”或“命令提示符”，在命令提示符下輸入命令：ARP-s200-10-5C-AD-72-E3，即可把MAC地址和IP地址捆綁在一起。這樣，就不會出現(xiàn)IP地址被盜用而不能正常使用網絡的狀況，能夠有效確保社區(qū)網絡的安全和顧客的應用。查找本機IP及MAC：運行---MSCONFIG/ALL

2.5.2網絡檢測

Windows

XP操作系統(tǒng)中提供了ping、tracert、netstat、pathping等有關的網絡測試命令，靈活使用這些命令，實現(xiàn)對網絡的檢測和管理是比較方便的。

1、ping命令

ping命令用于測試本地主機和遠程主機與否能夠連通。查看ping命令返回的信息參數(shù)，顧客就能夠推斷網絡與否連通，根據網絡參數(shù)也能夠理解遠程主機的其它特性。使用ping命令根據反饋報文信息推測遠程主機信息，能夠作為網絡基本故障排除的辦法。

通過ping命令測試苯地網絡與否連通，能夠ping123.com、localhost或者本機的名稱，圖2-10所示的是連通的測試過程，如果不通，則如圖2-11所示。\o"圖2-10ping連通狀況"

圖2-10ping連通狀況

2、tracert命令

tracert命令是實現(xiàn)網絡路由跟蹤的命令，它把數(shù)據包所走的全部途徑、節(jié)點的IP以及耗費的時間都顯示出來，圖2-12所示的是tracert命令的測試過程。\o"圖2-12tracert命令的使用"

圖2-12tracert命令的使用

3、netstat命令

netstat命令用于檢測網絡上的連接狀況，能夠告知顧客全部的連接及其具體的端口。顧客能夠使用該命令實現(xiàn)實時監(jiān)控，能夠很清晰地排除網絡上全部非法進程和顧客的連接。netstat命令用于顯示與IP、TCP、UDP和ICMP合同有關的統(tǒng)計數(shù)據，圖2-13所示的是netstat命令的運行狀況，圖2-14報增的上掃描系統(tǒng)中全部端口的狀況。\o"netsta命令(不帶參數(shù))的使用"

netsta命令(不帶參數(shù))的使用\o"圖2-14netstat命令(帶a參數(shù))的使用"

圖2-14netstat命令(帶a參數(shù))的使用

4．pathping命令

pathping命令用于跟蹤數(shù)據包達成目的網絡所采用的路由，并顯示途徑中每個路由器的數(shù)據包損失的信息。該命令只有在安裝了TcP／IP合同后才可使用。pathping命令結合了ping和tracert命令所共有的某些功效，能夠對數(shù)據包進行跟蹤，并且在一段時間內探測路由上的每個躍點，能夠顯示數(shù)據包的延遲與丟失。圖2—15所示的是pathping命令的運行成果。\o"圖2—15pathping命令的使用"

圖2—15pathping命令的使用實例解析1.ARP合同的基本概念

ARP合同是“AddressResolutionProtocol”（地址解析合同）的縮寫。在局域網中，網絡中實際傳輸?shù)氖恰皫?，幀里面是有目的主機的MAC地址的。在以太網中，一種主機要和另一種主機進行直接通信，必須要懂得目的主機的MAC地址。但這個目的MAC地址是如何獲得的呢？它就是通過地址解析合同獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目的IP地址轉換成目的MAC地址的過程。ARP合同的基本功效就是通過目的設備的IP地址，查詢目的設備的MAC地址，以確保通信的順利進行。

2.什么是ARP地址欺騙

ARP地址欺騙是通過非法的手段來修改一種正常主機MAC地址表的過程。當局域網中一臺計算機重復想向網絡中的其它計算機發(fā)送假冒的ARP應答信息包時，將造成嚴重的網絡堵塞。

ARP欺騙普通分為兩種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。第一種ARP欺騙是截獲網關數(shù)據，它告知路由器一系列錯誤的局域網MAC地址，并按照一定的頻率不停的更新學習進行，使真實的地址信息無法通過更新保存在路由器中，成果路由器的全部數(shù)據只能發(fā)送到錯誤的MAC地址，造成正常的計算機無法收到信息。第二種ARP欺騙是通過交換機的MAC地址學習機制，偽造網關。它的原理是建立假的網關，讓被它欺騙的計算機向假網關發(fā)送數(shù)據，而不是通過正常的路由器或交換途徑尋找網關，造成在同一網關的全部計算機無法訪問網絡。

3.ARP地址欺騙的危害

ARP地址欺騙的危害的體現(xiàn)形式有:

1).網絡訪問時斷時繼，掉線頻繁，網絡訪問速度越來越慢，有時則長時間不能上網，雙擊任務欄中的本地連接圖標，顯示為已經連接，并且發(fā)現(xiàn)發(fā)送的數(shù)據包明顯少于接受的數(shù)據包；

2).同一網段的全部上網機器均無法正常連接網絡；

3).打開·windows任務管理器，出現(xiàn)可疑進程，如“MIE0.dat”等進程；

4).如果是中了ARP欺騙病毒的話，病毒發(fā)作時除了會造成同一局域網內的其它顧客出現(xiàn)時斷時續(xù)外，還可能會竊取顧客密碼（如QQ、網上銀行以及其它脆弱系統(tǒng)帳號等），這是木馬的慣用手段；

5).打開路由器的系統(tǒng)歷史統(tǒng)計中看到大量的MAC更換信息。

4.ARP地址欺騙的解決方法

1).指定ARP對應關系

2).使用殺毒軟件進行病毒的掃描

3).編寫一種批解決文獻rarp.bat內容以下：@echooffarp-darp-s5400-22-aa-00-22-aa

將文獻中的網關IP地址和MAC地址更改為您自己的網關IP地址和

MAC地址即可。將這個批解決軟件拖到“windows--開始--程序--啟動”中。

5.防止方法輔助

1).立刻更新操作系統(tǒng)，打上多個系統(tǒng)漏洞補丁；

2).不要容易共享多個文獻夾，若不得不共享時，應設立好對應的權限，另外還能夠限定只有指定的帳號或機器才干訪問，文獻夾最佳不要設立成可寫或可控制；

3).操作系統(tǒng)和多個帳號的密碼不要設立為空，應當盡量為6位以上；

4).不要隨便打開來歷不明的電子郵件，特別是打開郵件附件時要特別小心；

5).使用U盤等外來文獻時，必須先對其進行病毒查殺，盡量控制病毒不進入網絡系統(tǒng)；

6).做好重要、機密數(shù)據的備份工作，以免系統(tǒng)中毒后造成數(shù)據的丟失；

7).現(xiàn)在諸多公司都能夠上網，但不要容易登陸不明網站，特別不要隨意登陸需要輸入自己銀行帳號或手機及計算機系統(tǒng)帳號的不明網站，當進行網上交易時更要特別謹慎；

8).加強公司員工的安全意識，經常組織多個計算機方面的培訓，完善計算機使用和網絡安全管理等各方面的制度，力求將病毒拒之網外。因特網安全概述隨著Internel的發(fā)展和網上電子商務的繁華，Internet已從最初的科研教育網絡轉變成了一種龐大的商業(yè)通信骨干網。越來越多的公司、部門和組織加入進來，新的應用領域不停擴展，諸多公司都但愿在Internet上開展自己的業(yè)務，而個人也但愿Internet能提供更多的服務。由于人們對Internet的依賴性越來越強，Internet的安全性正成為人們關注的焦點。

病毒的基本特性計算機病毒是人為制造的程序，它的運行是非法入侵。

隨著操作系統(tǒng)的發(fā)展和Internet的流行，病毒技術的發(fā)展經歷了由DOS向wirldows及Internet網絡發(fā)展的過程。

DOS是一種安全性較差的操作系統(tǒng)，因此在DOS時代，計算機病毒的種類繁多?，F(xiàn)在DOS病毒已經大大減少。首先是基于DOS平臺的軟件越來越少，另首先是DOS模式下的病毒基本上能夠被殺毒軟件檢測出來。

隨著著Windows操作系統(tǒng)的出現(xiàn)，產生了大量基于windows平臺的計算機病毒。Inter-net的出現(xiàn)和流行，使得病毒的傳染途徑更為多元化，而網絡已成為最重要的病毒傳輸途徑。

7.1.1

常見的計算機病毒

1．木馬病毒

木馬病毒源于古希臘的特洛伊木馬神話，它是把自己偽裝在正常程序內部的病毒，這種病毒的偽裝性強，普通使顧客很難判斷它終究是正當程序還是木馬。木馬病毒帶有黑客性質坨有強大的控制和破壞能力，可竊取密碼、控制系統(tǒng)、操作文獻等。

木馬由客戶端和服務器端兩個執(zhí)行程序構成，客戶端程序是攻擊者向遠程計算機植入木馬的執(zhí)行程序，以達成遠程控制此計算機的目的；服務器程序是被植入的木馬程序。木馬的設計者為了避免木馬被發(fā)現(xiàn)，采用多個手段隱藏木馬。木馬入侵目的計算機后，會把目的計算機的IP地址、木馬端口等信息發(fā)送給入侵者，從而使入侵者運用這些信息來控制目的計算機。木馬病毒的類型涉及EXE文獻執(zhí)行類木馬、進程插入式木馬和Rootkit類木馬。

2．宏病毒

宏是一系列由顧客編寫或錄制的命令和指令，用來實現(xiàn)任務執(zhí)行的自動化。

宏病毒是使用Word的VBA編程接口編寫的含有病毒特性的宏集合。它的危害性大，以二進制文獻加密壓縮格式存入．doc或．dot文獻中，它通過小文檔或模板進行大量自我復制及傳染。一旦運行宏病毒，對應的Normal模板會被傳染，全部打開的word文檔都會在自動保存時被傳染。多數(shù)宏病毒包含AutoExe、AutoOpen和AutoNew等自動宏，通過這些自動宏，病毒獲得文檔(模板)操作權。宏病毒的種類諸多，版本也各不相似，因此查殺各類宏病毒的核心是恢復文獻參數(shù)。

3．蠕蟲病毒

蠕蟲病毒是一種能自我復制的程序，并能通過計算機網絡進行傳輸，它消耗大量系統(tǒng)資源，使其它程序運行減慢甚至停止，最后造成系統(tǒng)和網絡癱瘓。蠕蟲病毒的傳染目的是互聯(lián)網內的全部計算機，其傳輸方式分為兩類：一類是運用系統(tǒng)漏洞主動進行攻擊，另一類是通過網絡服務傳輸。

4．PE病毒

PE(PortableExectltable)病毒是指全部感染windows操作系統(tǒng)中PE文獻的病毒。PE病毒大多數(shù)采用win32匯編語言編寫。該病毒感染普通PE文獻(如EXE文獻)并把自己的代碼加到EXE文獻尾部，修改原程序的入口點以指向病毒體，PE病毒沒有．data段，變量和數(shù)據全部放在．code段，病毒本身沒有什么危害，但被感染的文獻可能被破壞。

5．腳本病毒

腳本病毒普通是用JavaScript或者VBscript代碼編寫的惡意代碼病毒。JavaScEipt腳本病毒通過網頁進行傳輸，一旦顧客運行了帶有病毒的網頁，病毒就會修改IE首頁及注冊表等信息，給顧客使用計算機帶來不便。

VBS腳本病毒是使用VBScript編寫的，以宏病毒和新歡樂時光病毒為典型代表。VBS腳本病毒編寫簡樸，破壞力大，感染力強。這類病毒通過．htm文檔、E—mail附件或其它方式傳輸，因此，其傳輸范疇很大。

6．惡意網頁病毒

網頁病毒重要是運用軟件或系統(tǒng)操作平臺等的安全漏洞，通過執(zhí)行嵌入在網頁HTML(超文本標記語言)內的JavaApplet小應用程序、JavaScript腳本語言程序或ActiveX控件，強行修改顧客操作系統(tǒng)的注冊表設立及系統(tǒng)實用配備程序，或非法控制系統(tǒng)資源，盜取顧客文獻，或惡意刪除硬盤文獻、格式化硬盤。這種網頁病毒容易編寫，使顧客防不勝防，最佳的防備方法是選用有網頁監(jiān)控功效的殺毒軟件。反病毒技術病毒的防止方法病毒的防備比病毒的防治更加重要，建立一套強大的防備機制能夠大大提高系統(tǒng)的安全性。計算機病毒的防止分為管理辦法上的防止和技術上的防止兩種，在一定的程度上，這兩種辦法是相輔相成的。慣用的防止方法以下：(1)使用比較強健的密碼。盡量選擇難于猜想的密碼，對不同的賬號選用不同的密碼。(2)經常備份重要數(shù)據。(3)不要打開來歷不明的電子郵件。(4)對的配備系統(tǒng)，減少病毒入侵。充足運用系統(tǒng)提供的安全機制，提高系統(tǒng)防備病毒的能力。(5)定時檢查敏感文獻。對系統(tǒng)的敏感文獻定時進行檢查，確保及時發(fā)現(xiàn)已感染的病毒和黑客程序。(6)慎用軟盤、光盤等移動存儲介質。(7)定義瀏覽器安全設立，瀏覽網頁時要謹慎，不要容易下載ActiveX控件或Java腳本。(8)安裝最新的操作系統(tǒng)、應用軟件的安全補丁程序。(9)選擇安裝優(yōu)秀的防病毒軟件和防火墻，定時對整個硬盤進行病毒檢測、去除工作。(10)當計算機不使用時，不要接入互聯(lián)網，一定要斷掉連接。(11)重要的計算機系統(tǒng)和網絡一定要嚴格與互聯(lián)網物理隔離。這種隔離涉及離線隔離，即在互聯(lián)網中使用過的系統(tǒng)不能再用于內網。

7.4.2

慣用的防病毒設立

1.嚴禁Windows的ScriptingHost功效\o"嚴禁Windows的ScriptingHost功效"為了有效避免腳本病毒在主機上運行，能夠將Windows腳本文獻類型刪除，這個方法能夠制止ⅥsualBasic的腳本病毒的運行。雙擊“我的電腦”圖標，在打開的窗口中選擇"工具"——>"文獻夾選項"命令，打開"文獻夾選項"對話框，單擊“文獻類型”選項卡，選擇WSH、VBS、VBE、JS、JSE-WSF文獻類型后單擊"刪除"按鈕將其刪除，如圖7-1所示。

\o"圖7-1嚴禁ScriptingHost功效"

圖7-1嚴禁ScriptingHost功效

2．設立文獻和文獻夾的查看方式全部的Windows操作系統(tǒng)在默認狀況下會隱藏已知文獻類型的擴展名。這個特性能夠被惡意程序編寫者或黑客運用，將病毒程序用別的文獻類型偽裝起來。顯示文獻的擴展名的辦法以下：在如圖7—1所示的“文獻夾選項”對話框中，單擊“查看”選項卡，在“高級設立”列表框中取消選中“隱藏已知文獻類型的擴展名”復選框，如圖7—2所示。

\o"圖7-2設立與否顯示文獻擴展名"

圖7-2設立與否顯示文獻擴展名

在設立文獻夾的查看方式時，推薦顧客使用Windows傳統(tǒng)風格的文獻夾。由于如果在文獻夾中顯示常見任務選項，其中會包含某些腳本代碼。設立文獻夾的查看方式為Windows傳統(tǒng)風格的辦法以下：在如圖7—1所示的“文獻夾選項’’對話框中，單擊“常規(guī)”選項卡，在“任務”選項區(qū)中選中“使用windows傳統(tǒng)風格的文獻夾”單選按鈕，如圖7-3所示。\o"圖7-3設立顯示風格"

圖7-3設立顯示風格

3．設立IE的安全級別

現(xiàn)在的諸多病毒是隨著顧客瀏覽站點而下載的，因此進行IE的安全屬性設立對維護系統(tǒng)安全非常核心。在默認狀況下，IE的安全屬性設立為“中”，但是某些病毒和惡意程序能夠將這個選項改為低，從而造成病毒的侵入。建議顧客最少將安全級別設為“中”，以減少被感染的幾率。在中度安全級別下，當要運行某些包含不安全因素的程序時，IE會給出警告。設立IE安全級別的辦法以下：右擊IE瀏覽器圖標，在彈出的快捷菜單中選擇“屬性”命令打開“Internet屬性”對話框，單擊“安全”選項卡，然后單擊“默認級別”按鈕，拖動滑動設立IE的安全級別，如圖7-4所示。

\o"圖7-4IE安全設立"

圖7-4IE安全設立

4．Outlook安全設立電子郵件是病毒的一種重要的傳輸源，因此如何設立郵件客戶端軟件的安全屬性是核心。微軟公司提供的電子郵件客戶端軟件涉及MicrosoftOutlook和OutlookExpress，它們的功效基本相似，下面以OutlookExpressr的安全設立為例來介紹基本的電子郵件客戶端軟件的安全屬性設立過程。打開Outlook軟件，選擇“工具”—“選項”，彈出“選項”對話框，單擊“安全”選項卡，選擇要使用的InternetExpress的安全區(qū)域為“受限站點區(qū)域”，并選中“當別的應用程度試圖用我的名義發(fā)送電子郵件時警告我”和“不允許保存或打開可能有病毒的附件”復選項，如圖7-5所示。

\o"圖7-5Outlook安全設立"

圖7-5Outlook安全設立

關閉OutlookExpress的預覽窗口，由于預覽窗口會自動打開郵件的附件，這將威脅到顧客的計算機安全，因此關閉預覽功效能夠進行Outlook的安全維護。打開Outlook軟件，選擇“查看”——>“布局”命令，打開“窗口布局屬性”對話框，取消選中“顯示預覽窗格”復選框，如圖7-6所示。

\o"圖7-6窗口布局屬性設立"

圖7-6窗口布局屬性設立

5．宏病毒保護設立宏病毒是現(xiàn)在系統(tǒng)中常見的病毒，由于Office辦公系列軟件的大量使用，造成宏病毒成為現(xiàn)在病毒的重要構成部分?，F(xiàn)在，在微軟公司的Office系列軟件中能夠對宏進行安全設立，在Word、Excel、PowerPoint中的設立方式相似。打開軟件，選擇“工具”—“宏”—“安全性”命令，彈出“安全性”對話框，在“安全級”選項卡中設立宏的安全級別為“非常高”，如圖7—7所示，這樣系統(tǒng)就能夠嚴禁運行來歷不名的宏，從而有效制止宏病毒。

\o"圖7-7宏病毒保護設立"

圖7-7宏病毒保護設立

6．安裝最新系統(tǒng)安全補丁操作系統(tǒng)的安全漏洞成為病毒的一大攻擊口，因此經常對系統(tǒng)進行自動更新能夠及時安裝補丁程序，更新安全補丁能夠制止黑客或某些惡意程序運用已知的安全漏洞對系統(tǒng)進行攻擊。設立辦法是：在桌面上右擊“我的電腦”圖標，在彈出的快捷菜單中選擇“屬性”命令，彈出“系統(tǒng)屬性”對話框，單擊“自動更新”選項卡，如圖7—8所示，在該選項卡中，顧客能夠決定系統(tǒng)的更新方式。固然，顧客也能夠從操作系統(tǒng)提供的更新站點下載并更新數(shù)據。

\o"圖7-8系統(tǒng)更新設立"

圖7-8系統(tǒng)更新設立

7．設立安全密碼在操作系統(tǒng)和應用軟件中，設立強健的安全密碼是非常必要的，一種強健的安全密碼，其長度最少應當為8位，最少同時有大小寫字母，最少含有數(shù)字或符號字符。設立的密碼不應當含有規(guī)律性，例如常見的單詞，這些將很容易被破解。例如Bh_42qqwK_4J1就是一種比較強健的密碼。常見的病毒檢測辦法現(xiàn)在，計算機病毒技術與計算機反病毒技術的矛盾越來越鋒利。病毒的危害使顧客防不勝防，稍有不慎，病毒就會給顧客造成嚴重后果。對計算機病毒的防備首先應當杜絕它的傳染途徑，對存儲介質和網絡都進行實時監(jiān)控；另首先要安裝優(yōu)秀的殺毒軟件和防火墻，對系統(tǒng)時常進行掃描和病毒去除；同時還要建立系統(tǒng)備份和還原機制，以備不測。病毒解決的環(huán)節(jié)

計算機病毒的解決涉及防毒、查毒、殺毒3個方面。病毒解決存在的問題1．漏報由于病毒技術的不停變化，諸多未知新病毒、病毒變異、多形性病毒或者隱形病毒都將不能被殺毒軟件檢測到。由于病毒的特性碼不停變化，壓縮文獻方式多樣，病毒體加密解密方式變化(如循環(huán)加密等)，病毒采用反跟蹤技術和困惑技術，內存高端和XMS／EMS區(qū)駐留，病毒技術避開檢測技術等，漏報是病毒檢測中經常見到的現(xiàn)象，因此只有不停地升級殺毒系統(tǒng)的病毒庫文獻，隔一段時間應當重新進行系統(tǒng)的安全掃描。2．誤報誤報指的是把正常的系統(tǒng)文獻報成病毒。由于殺毒軟件的病毒特性碼選擇不合理，造成正常操作與非正常操作不能分辨、判斷失誤，檢測技術錯誤或者不當，有時可能由于特殊干擾而造成殺毒軟件做出錯誤推測。3．錯報錯報指的是將一種病毒錯報成另一種病毒。由于病毒的特性碼交叉，病毒交叉感染、重復感染、病毒欺騙等往往會造成錯報。對殺毒系統(tǒng)而言，少量的漏報和誤報是允許的，而錯報可能會帶來一定問題，但誤報率超出一定程度，就會使顧客對反病毒軟件的質量與可靠性產生懷疑。慣用的殺毒軟件國外的殺毒軟件現(xiàn)在，市場上的殺毒軟件產品琳瑯滿目，國外的殺毒軟件在國內擁有很大的顧客群。Toptenreviews已經公布了的世界殺毒軟件排名，圖7-9所示的是Toptenreviews站點上的殺毒軟件排名。

\o"圖7-9世界殺毒軟件排名"

圖7-9世界殺毒軟件排名

1．BitDefendrBitDefendr是羅馬尼亞出品的殺毒軟件，它有24萬種病毒的超大病毒庫，為顧客的計算機提供最大可能的保護，含有功效強大的反病毒引擎以及互聯(lián)網過濾技術。2．KasperskyKaspersky(卡巴斯基)殺毒軟件來源于俄羅斯，是世界上頂級的網絡殺毒軟件，卡巴斯基殺毒；軟件含有超強的中心管理和殺毒告知。它強大的功效和局部靈活性以及網絡管理工具為自動信息搜索、中央安裝和病毒防護控制提供最大的便利和最少的時間來建構顧客的抗病毒分離墻。3．ESETNod32ESETNod32是ESET公司出品的優(yōu)秀殺毒軟件，它在全球共獲得40多個獎項，能夠對郵件進行實時監(jiān)測，占用內存資源較少，去除病毒的速度和效果都令人滿意。4．PC-cillinPC-cillin是美國趨勢科技公司出品的優(yōu)秀殺毒軟件。PC—cillin集個人防火墻、防病毒、防垃圾郵件等功效于一體，最大程度地提供對桌面機的保護，并不需要顧客進行過多的操作。5．F-SecureAnti-VirusF-SectlreAnt}Ⅵrus是芬蘭出品的殺毒軟件，它集合AVP、LIBRA、ORION和DRACO共4套殺毒引擎。該軟件采用分布式防火墻技術，對網絡流行病毒的查殺特別有效。6．McAfeeVirllsScanMcAfeeVirusScan是全球最暢銷的殺毒軟件之一，McAfee防毒軟件除了操作界面比較新穎外，也將該公司的webScanX功效合在一起，殺毒性能穩(wěn)定，操作方便。7．NortonAntiVirusNorton

AntiVirus是Symantec公司出品的優(yōu)秀殺毒軟件，它可協(xié)助顧客偵測上萬種已知和未知的病毒。8．AVGAnti-Virus

AVGAnti-Virussystem在功效上相稱完善，可及時對任何存取文獻偵測，避免計算機感染病毒。9．CAAntivirusCAAntiVirus是CA公司出品的面對中小型公司及SOHO顧客的反病毒軟件。該產品殺毒功效強大，操作簡樸。10．NorilianVirusControlNormanVirusControl是歐洲名牌殺毒軟件，它結合了先進的病毒掃描引擎、啟發(fā)式分析技術以及宏驗證技術，可有效查殺已知和未知病毒。

7.5.2

國內的殺毒軟件1．金山毒霸金山毒霸是金山軟件股份有限公司開發(fā)的高智能反病毒軟件。金山毒霸獨創(chuàng)雙引擎殺毒技術，內置金山自主研發(fā)的殺毒引擎和俄羅斯出名殺毒軟件Dr．Web殺毒引擎，融合了啟發(fā)式搜索、代碼分析、虛擬機查毒等經業(yè)界證明已經成熟可靠的反病毒技術，使其在查殺病毒種類、查殺病毒速度、未知病毒防治等多方面達成世界先進水平。2．江民殺毒軟件江民殺毒軟件是北京江民新科技術有限公司開發(fā)的計算機病毒解決軟件。江民殺毒軟件可有效去除20多萬種的已知計算機病毒、蠕蟲、木馬、黑客程序、網頁病毒、郵件病毒、腳本病毒等，可全方位主動防御未知病毒，并新增了流氓軟件清理功效。3．瑞星殺毒軟件瑞星殺毒軟件是北京瑞星科技股份有限公司出品的反病毒軟件，它用于對已知病毒和黑客程序進行查找、實時監(jiān)控和去除，恢復被病毒感染的文獻或系統(tǒng)，保護計算機系統(tǒng)的安全。它能全方面去除感染DOS、Windows系統(tǒng)的病毒以及危脅計算機安全的黑客程序，現(xiàn)在的最新版本是瑞星。瑞星殺毒軟件的更新速度非?？欤瑤缀趺刻於加行碌纳壈?。4．東方衛(wèi)士東方衛(wèi)士是世紀長捷公司開發(fā)的免費殺毒軟件，含有超強的易用性和實用性。東方衛(wèi)士采用獨創(chuàng)的自免疫智能反毒系統(tǒng)，通過對系統(tǒng)軟件正常運行狀態(tài)的統(tǒng)計，嚴禁病毒進行諸如復制、刪除、格式化硬盤、破壞分區(qū)表、減少系統(tǒng)性能等操作，通過凍結病毒的傳輸和破壞兩種特性，使病毒的隱蔽性發(fā)揮不了作用，能在完全不知病毒代碼的狀況下，解除新病毒及未知病毒的威脅，有效遏制多個病毒的傳輸。實例解析【實例7-1】理解沖擊病毒并給出手去除的辦法。

解析1．毒感染特性如果計算機感染了沖擊波克星病毒，在任務管理器中會發(fā)現(xiàn)DLLhost.exe和ms-blast.exe進程，計算機會莫名其妙地死機或重新啟動；IE瀏覽器不能正常使用。2．去除的方法手動去除的環(huán)節(jié)以下：(1)染病毒的計算機從網絡中斷開。(2)在“控制面板”中打開“管理工具”窗口，然后打開“服務”窗口，在窗口右側的列框中單擊WebClicent選項，然后單擊“停止”按鈕，并將啟動類型改為“禁用”，如圖7-19所示，最后單擊“擬定”按鈕。

\o"圖7-19WebClient的屬性設立"

圖7-19WebClient的屬性設立

(3)使用上一環(huán)節(jié)中同樣的辦法停止NetworkConnections服務，并將啟動類型改為“禁用”，如圖7-20所示。

\o"圖7-20NetworkConnections的屬性設立"

圖7-20NetworkConnections的屬性設立

(4)找到系統(tǒng)中全部的DLLhost.exe和svchost.exe文獻，將其刪除，如果在Windows系統(tǒng)中刪除不了，轉入DOS環(huán)境中的刪除該文獻。(5)安裝操作系統(tǒng)補丁文獻。補丁下載地址為：http：//www．Microsoft．com

chinna/secu-rity/Bulletins/MS03-026.asp。

【實例7-2】

理解“熊貓燒香”病毒并給出手動去除的方法。

解析1．病毒感染特性“熊貓燒香”是由Delphi工具編寫的蠕蟲病毒，它能夠終止大量的反病毒軟件和防火墻軟件進程。病毒會刪除擴展名為．gho的文獻，使顧客無法使用GllOSt軟件恢復操作系統(tǒng)?！靶茇垷恪辈《靖腥鞠到y(tǒng)的.exe、.com、.pif、.src、.html和.asp文獻，添加病毒網址，造成顧客一打開這些網頁文獻，IE就會自動連接到指定的病毒網址中下載病毒?！靶茇垷恪辈《驹谟脖P各個分區(qū)中生成aitprun．inf和setup.exe文獻，能夠通過U盤和移動硬盤等方式進行傳輸，運用windows系統(tǒng)的自動播放功效來運行，搜索硬盤中的.exe可執(zhí)行文獻并感染，感染后的文獻圖標變成“熊貓燒香”圖案?！靶茇垷恪辈《具€能夠通過共享文獻夾、系統(tǒng)弱口令等多個方式進行傳輸。

2．手動去除方法

手動去除的環(huán)節(jié)以下：

(1)打開“開始”菜單，選擇“運行”命令，在打開的“運行”對話框中輸入ntsd-cq-pnspo-clsv．exe后按回車鍵結束病毒的進程。

(2)運行regedit.exe，打開注冊表編輯器。找到HKEY_LOCAL_MACHlNE\SOFT-WARE\Microsoft\Windows\CurrentVersion\Explotrer\Advanced\Folder\Hidden\SHOWALL一項，將CheckedValue改成1。打開HKEY-CURRENT-USER\Software\Mi-crosoft\Windowsk\CurrentVersiorl\Run，將Svcshare的項目刪除。

(3)雙擊“我的電腦’’圖標，在打開的窗口中選擇“工具”—“文獻夾選項”命令，在打開的對話框中單擊“查看”選擇卡，取消選中“隱藏受保護的操作系統(tǒng)文獻”復選框，并在“隱藏文獻和文獻夾”中選中“顯示全部文獻和文獻夾”復選框，同時取消選中“隱藏已知類型文獻的擴展名”復選框，最后單擊“擬定”按鈕。在硬盤的各個分區(qū)的圖標上右擊，在彈出的快捷菜單中選擇“打開”命令，切忌直接雙擊打開。刪除根目錄下的setup.exe(圖標為“熊貓燒香”)和auto-run.inf文獻。

(4)進入系統(tǒng)目錄下的drivers目錄，默認為C：\windows\system32\drivers，將該目錄中的spoclsv．exe文獻刪除。重新啟動計算機，檢查這幾個文獻與否存在，如果不存在，則病毒已被去除干凈。

如果上面的刪除文獻過程在Windows操作系統(tǒng)中不能進行，能夠轉入DOS模式進行。對于隱藏的文獻，應當先使用attrib命令更改隱藏文獻的屬性，然后使用delete命令刪除病毒文獻。一招讓你的電腦百毒不侵如果大家使用的是Windows2K或WindowsXP，那么教大家一招克就能死全部病毒!從此上網可安心了，不再怕中毒！如果你是新裝的系統(tǒng)(或者是你能確認你的系統(tǒng)現(xiàn)在是無毒的)，那就再好但是了，現(xiàn)在就立刻就打開：“開始→程序→管理工具→計算機管理→本地顧客和組→