网络基础知识-网络安全.ppt-淘文阁

资源描述

《网络基础知识-网络安全.ppt》由会员分享，可在线阅读，更多相关《网络基础知识-网络安全.ppt（61页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、9.1.1 什么是网络安全网络安全是指网络系统的硬件，软件以及系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏、更改、泄露，系统能连续、可靠和正常的运行，网络服务不中断。网络安全网络安全包括网络硬件资源和信息资源的安全性。硬件资源硬件资源包括通信线路，通信设备，（交换机，路由器等），主机等，要实现信息快速，安全地交换，一个可靠的物理网络是必不可少的。信息资源信息资源包括维持网络服务运行的系统软件和应用软件，以及在网络中存储和传输的用户信息数据等。网络安全网络安全是指保护网络系统中的软件，硬件及信息资源，使之免受偶然或恶意的破坏，篡改和泄露，保证网络系统的正常运行，网络服务不中断所

2、谓的安全威胁是指某个实体（人，事件，程序等）对某一资源的机密性，完整性，可用性在合法使用时可能造成的危害。分类：安全威胁可分成故意的（如系统入侵）和偶然的（如将信息发到错误地址）两类。故意威胁故意威胁可进一步分成被动威胁和主动威胁两类：被动威胁只对信息进行监听，而不对其修改和破坏。主动威胁则以对信息进行故意篡改和破坏，使合法用户得不到可用信息。安全威胁分为故意的和偶然的两类。 1、故意威胁又可以分为被动和主动两类。 2、被动攻击的特点是偷听或监视传送。其目的是获得正在传送的信息。被动攻击有：泄露信息内容和通信量分析等。主动攻击涉及修改数据流或创建错误的数据流，它包括中断、截取、修改、捏

3、造、假冒，重放，修改信息和拒绝服务等。 1、网络安全威胁（基本的安全威胁）I、信息泄露：信息泄露：信息泄露给某个未经授权的实体。II 完整性破坏完整性破坏：数据的一致性由于受到未授权的修改，创建，破坏而损害。III 拒绝服务拒绝服务：对资源的合法访问被阻断。拒绝服务可能由以下原因造成：攻击者对系统进行大量的，反复的非法访问尝试而造成系统资源过载，无法为合法用户提供服务；系统物理或逻辑上受到破坏而中断服务。I、非法使用非法使用：某一资源被非授权人或以非授权方式使用。根据计算机网络所面临的威胁，计算机网络的安全工作主要集中在以下方面：保密；鉴别；访问控制；病毒防范。主要的可实现的

4、威胁可以直接导致某一个基本威胁的实现，主要包括渗入威胁和植入威胁。 1、渗入威胁：假冒、旁路、授权侵犯 2、植入威胁：特洛伊杩、陷门 ISO定义了OSI/RM七层网络参考模型，不同的网络层次完成不同的功能。从安全角度来看，各层能提供一定的安全手段，针对不同层次的安全措施是不同的。没有哪个层次能够单独提供全部的网络安全服务，每个层次都有自己的贡献。防火墙并不是真正的墙，它是一种重要的访问控制措施，是一种有效的网络安全模型，是机构总体安全策略的一部分，它阻挡的是对内、对外的非法访问和不安全数据的传递。在因特网上，通过它隔离风险区域（即Internet或有一定风险的网络）与安全区域（内部网）的

5、连接，能够增强内部网络的安全性。防火墙通常分为两种类型：防火墙通常分为两种类型：网络级防火墙和应用级防火墙。防火墙配置主要有四种防火墙配置主要有四种：屏蔽路由器方式，双穴主机网关方式、被屏蔽主机网关方式和被屏蔽子网方式。一、密码学的概念密码学 (Cryptography) 一词来源于古希腊的 Crypto 和 Graphein ，意思是密写。它是以认识密码变换的本质、研究密码保密与破译的基本规律为对象的学科。经典密码学主要包括两个既对立又统一的分支：密码编码学和密码分析学。现代密码学除了包括以上两个主要学科外，还包括近几年才形成的新分支：密码密钥学。二、二、两种密码体制两种

6、密码体制根据密码算法所使用的加密密钥和解密密钥是否相同、能否由加密过程推导出解密过程(或者由解密过程推导出加密过程)，可将密码体制分为对称密码体制(也叫作单钥密码体制、秘密密钥密码体制)和非对称密码体制(也叫作双钥密码体制、公开密钥密码体制)。三、对称密码体制对称密码体制早期主要使用替代密码和置换密码。从得到的密文的序列结构来划分，加密体制又分为序列密码和分组密码两种体制。分组密码的代表是美国的数据加密标准DES。 DES的保密性仅取决于对密钥的保密，而算法是公开的。四、四、公开密码体制公开密码体制公开密钥算法的特点如下：1、用加密密钥PK对明文X加密后，再用解密密钥SK解密

7、，即可恢复出明文，或写为：DSK（EPK（X）=X 2、加密密钥不能用来解密，即DPK（EPK（X）X 3、在计算机上可以容易地产生成对的PK和SK。 4、从已知的PK实际上不可能推导出SK。 5、加密和解密的运算可以对调，即：EPK（DSK（X）=X 五、五、密钥的管理密钥的管理目前，公认的有效方法是通过密钥分配中心KDC来管理和分配公开密钥。每个用户只保存自己的秘密密钥和KDC的公开密钥PKAS。用户可以通过KDC获得任何其他用户的公开密钥。对付被动攻击的方法主要是加密，而对付主动攻击中报文的篡改和伪造则要用到报文鉴别。报文鉴别是指可靠地验证某个通信参与方的身份和报文内容的真伪的过

8、程。一、一、数字签名数字签名数字签名必须保证以下几点：接收者能够核实发送者对报文的签名；发送者事后不能抵赖对报文的签名；接收者不能伪造对报文的签名。二、二、报文鉴别码报文鉴别码报文鉴别码是用一个密钥生成的一个小的数据块追加在报文的后面，这种技术的前提是通信的双方使用对称密钥密码体制。生成报文鉴别码的过程和加密的过程十分相似，所不同的是进行鉴别不是对于加密的反向计算。因此，鉴别是比较难攻破的。三、三、报文摘要报文摘要报文摘要是报文鉴别码的变种。它将可变长度的报文M作为单向散列函数（One-way Hash Function）的输入，得出一个固定长度的标志H（M），称为报文摘要

9、MD。这里的单向散列函数应满足以下要求：这里的单向散列函数应满足以下要求：散列函数H能够用于任何大小的报文段；由H生成的报文摘要MD长度应是固定的；对于任何给定的报文M，计算MD比进行加密容易得多；由报文摘要MD和散列函数H不能求出报文M；不同的报文得到的MD不同。四、四、 PKI技术技术 PKI技术是认证机构（CA）、注册机构（RA）、策略管理、密钥（Key）与证书（Certificate）管理、密钥备份与恢复、撤消系统等功能模块的有机结合。 PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制

10、等安全问题。当移动用户或远程用户通过拨号方式远程访问公司或企业内部专用网络的时候，采用传统的远程访问方式不但通讯费用比较高，而且在与内部专用网络中的计算机进行数据传输时，不能保证通信的安全性。为了避免以上的问题，通过拨号与企业内部专用网络建立VPN连接是一个理想的选择。 9.3 虚拟专用网技术虚拟专用网技术虚拟专用网实际上就是将Internet看作一种公有数据网，这种公有网和PSTN网（电话网络）在数据传输上没有本质的区别，从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。目前VPN主要采用四项技术来保证安全，这四项技

11、术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。一、改变传统的企业内部的信息流通方式，可以大量节省企业日常通讯的费用。二、通过企业内部网进行电视会议，减少会议开支。三、通过企业网进行远程教学及远程监控，达到企业管理统一。四、虚拟专网这种高度安全和高度开放统一的网络系统，有利于企业内部业务信息流通的安全保密和获取外部信息的方便快捷。五、提高企业信息化管理，使企业成为行业的楷模。虚拟专网是企业内部网络设计，信息管理、流通的必然趋势

12、。中国网通在综合考察用户现有的网络状况和充分考虑用户的未来发展的基础上，采用了先进的标准的MPLS技术，提出了基于用户需求的、安全可靠的、可扩展的可行性虚拟专网技术方案。降低费用首先远程用户可以通过向当地的ISP申请账户登录到Internet，以Internet作为隧道与企业内部专用网络相连，通信费用大幅度降低；其次企业可以节省购买和维护通讯设备的费用。增强的安全性 VPN通过使用点到点协议（PPP用户级身份验证的方法进行验证，这些验证方法包括：密码身份验证协议 (PAP)、质询握手身份验证协议 (CHAP)、Shiva 密码身份验证协议 (SPAP)、Microsoft 质询握手身份

13、验证协议 (MS-CHAP) 和可选的可扩展身份验证协议 (EAP)；并且采用微软点对点加密算法（MPPE）和网际协议安全（IPSec）机制对数据进行加密。以上的身份验证和加密手段由远程VPN服务器强制执行。对于敏感的数据，可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔，只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接，并且可以访问敏感部门网络中受到保护的资源。网络协议支持 VPN支持最常用的网络协议，基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协

14、议的应用程序。 IP地址安全因为VPN是加密的， VPN数据包在Internet中传输时，Internet上的用户只看到公用的IP地址，看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。 VPNVPN使用两种隧道协议使用两种隧道协议：点到点隧道协议（PPTP）；第二层隧道协议（L2TP）。 PPTP PPTP是PPP的扩展，它增加了一个新的安全等级，并且可以通过Internet 进行多协议通信，它支持通过公共网络（如Internet）建立按需的、多协议的、虚拟专用网络。PPTP 可以建立隧道或将 IP、IPX 或 NetBEUI 协议封装在 PPP 数据包内，因

15、此允许用户远程运行依赖特定网络协议的应用程序。PPTP在基于 TCP/IP 协议的数据网络上创建 VPN连接，实现从远程计算机到专用服务器的安全数据传输。VPN服务器执行所有的安全检查和验证，并启用数据加密，使得在不安全的网络上发送信息变得更加安全。尤其是使用EAP后，通过启用 PPTP 的 VPN传输数据就象在企业的一个局域网内那样安全。另外还可以使用 PPTP 建立专用 LAN 到 LAN 的网络。 L2TP L2TP 是一个工业标准的Internet隧道协议，它和PPTP的功能大致相同。L2TP 也会压缩PPP 的帧，从而压缩 IP、IPX 或 NetBEUI 协议，同样允许用户远程运行

16、依赖特定网络协议的应用程序。与PPTP不同的是，L2TP使用新的网际协议安全 (IPSec) 机制来进行身份验证和数据加密。目前L2TP只支持通过IP网络建立隧道，不支持通过 X.25、帧中继或 ATM 网络的本地隧道。前面已经提到VPN的身份验证采用PPP的身份验证方法，下面介绍一下VPN进行身份验证的几种方法。在Windows系统中，对于采用智能卡进行身份验证，将采用EAP验证方法；对于通过密码进行身份验证，将采用CHAP、MS-CHAP或MS-CHAP v2验证方法。 VPNVPN采用何种加密技术依赖于采用何种加密技术依赖于VPNVPN服服务器的类型，因此可以分为两种情况。务器的类型

17、，因此可以分为两种情况。对于PPTP服务器，将采用MPPE加密技术 MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份验证被协商之后，数据才由 MPPE 进行加密，MPPE需要这些类型的身份验证生成的公用客户和服务器密钥。对于L2TP服务器，将使用IPSec机制对数据进行加密 IPSec是基于密码学的保护服务和安全协议的套件。IPSec 对使用 L2TP 协议的 VPN 连接提供机器级身份验证和数据加密。在保护密码和数据的 L2TP 连接建立之前，IPSec 在计算机及其远程VPN服务器之间进行协商。

18、IPSec可用的加密包括 56 位密钥的数据加密标准DES和 56 位密钥的三倍 DES (3DES)。 9.4.1 计算机病毒简介计算机病毒简介计算机病毒利用读写文件能进行感染，利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作，提供对系统的保护，最大限度地避免各种计算机病毒的传染破坏。 1、DOS病毒：指针对DOS操作系统开发的病毒。目前几乎没有新制作的DOS病毒，由于Win9x病毒的出现，DOS病毒几乎绝迹。但DOS病毒在Win9x环境中仍可以进行感染活动，因此若执行染毒文件，Win9x用户也会被感染。我们使用的杀毒软件能够查杀的病毒

19、中一半以上都是DOS病毒，可见DOS时代DOS病毒的泛滥程度。但这些众多的病毒中除了少数几个让用户胆战心惊的病毒之外，大部分病毒都只是制作者出于好奇或对公开代码进行一定变形而制作的病毒。 2、Windows病毒：主要指针对Win9x操作系统的病毒。现在的电脑用户一般都安装Windows系统 Windows病毒一般感染Win9x系统，其中最典型的病毒有CIH病毒。但这并不意味着可以忽略系统是WinNT系列包括 Win2000的计算机。一些Windows病毒不仅在Win9x上正常感染，还可以感染WinNT上的其它文件。主要感染的文件扩展名为EXESCRDLLOCX等。3、入侵型病毒：可用

20、自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下难以发现，清除起来较困难。 4、嵌入式病毒：这种病毒将自身代码嵌入到被感染文件中，当文件被感染后，查杀和清除病毒都非常不易。不过编写嵌入式病毒比较困难，所以这种病毒数量不多。 5、外壳类病毒：这种病毒将自身代码附着于正常程序的首部或尾部。该类病毒的种类繁多，大多感染文件的病毒都是这种类型。 6、病毒生成工具：通常是以菜单形式驱动，只要是具备一点计算机知识的人，利用病毒生成工具就可以像点菜一样轻易地制造出计算机病毒，而且可以设计出非常复杂的具有偷盗和多形性特征的病毒。引导区病毒：引导区病毒：病

21、毒隐藏在硬盘或软盘的引导区，当计算机从感染了引导区病毒的硬盘或软盘启动，或当计算机从受感染的软盘中读取数据时，引导区病毒就开始发作。一旦它们将自己拷贝到机器的内存中，马上就会感染其他磁盘的引导区，或通过网络传播到其他计算机上。文件型病毒：文件型病毒：病毒寄生在其他文件中，常常通过对它们的编码加密或使用其他技术来隐藏自己。文件型病毒劫夺用来启动主程序的可执行命令，用作它自身的运行命令。同时还经常将控制权还给主程序，伪装计算机系统正常运行。宏病毒：宏病毒：一种特殊的文件型病毒，一些软件开发商在产品研发中引入宏语言，并允许这些产品在生成载有宏的数据文件之后出现。宏的功能十分强大，但是便给宏病毒留下可

22、乘之机！脚本病毒：脚本病毒：脚本病毒依赖一种特殊的脚本语言（如：VBScript、JavaScript等）起作用，同时需要主软件或应用环境能够正确识别和翻译这种脚本语言中嵌套的命令。脚本病毒在某方面与宏病毒类似，但脚本病毒可以在多个产品环境中进行，还能在其他所有可以识别和翻译它的产品中运行。脚本语言比宏语言更具有开放终端的趋势，这样使得病毒制造者对感染脚本病毒得机器可以有更多的控制力。网络蠕虫程序：网络蠕虫程序：一种通过间接方式复制自身非感染型病毒。有些网络蠕虫拦截E-mail系统向世界各地发送自己的复制品；有些则出现在高速下载站点中同时使用两种方法与其它技术传播自身。它的传播速度相当惊人，成

23、千上万的病毒感染造成众多邮件服务器先后崩溃，给人们带来难以弥补的损失。“特洛伊木马特洛伊木马”程序：程序：通常是指伪装成合法软件的非感染型病毒，但它不进行自我复制。有些木马可以模仿运行环境，收集所需的信息，最常见的木马便是试图窃取用户名和密码的登录窗口，或者试图从众多的Internet 服务器提供商（ISP）盗窃用户的注册信息和账号信息。根据计算机病毒感染和发作的阶段，可以将计算机病毒的表现现象分为三大类，即：计算机病毒发作前、发作时和发作后的表现现象。只要稍有警惕，根据计算机病毒在传染时和传染后留下的蛛丝马迹，再运用计算机病毒检测软件和DEBUG程序进行人工检测，是完全可以在计算机病毒进

24、行传播的过程中就能发现它。从技术上采取实施，防范计算机病毒，执行起来并不困难，困难的是持之以恒，坚持不懈。 1、新购置的计算机硬软件系统的测试新购置的计算机是有可能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒软件检查已知计算机病毒，用人工检测方法检查未知计算机病毒，并经过证实没有计算机病毒感染和破坏迹象后再使用。新购置计算机的硬盘可以进行检测或进行低级格式化来确保没有计算机病毒存在。对硬盘只在DOS下做FORMAT格式化是不能去除主引导区（分区表）计算机病毒的。软盘在DOS下做FORMAT格式化可以去除感染的计算机病毒。新购置的计算机软件也要进行计算机病毒检测。有些软件厂商发

25、售的软件，可能无意中已被计算机病毒感染。就算是正版软件也难保证没有携带计算机病毒的可能性，更不要说盗版软件了。这在国内、外都是有实例的。这时不仅要用杀毒软件查找已知的计算机病毒，还要用人工检测和实验的方法检测。2、计算机系统的启动在保证硬盘无计算机病毒的情况下，尽量使用硬盘引导系统。启动前，一般应将软盘从软盘驱动器中取出。这是因为即使在不通过软盘启动的情况下，只要软盘在启动时被读过，计算机病毒仍然会进入内存进行传染。很多计算机中，可以通过设置CMOS参数，使启动时直接从硬盘引导启动，而根本不去读软盘。这样即使软盘驱动器中插着软盘，启动时也会跳过软驱，尝试由硬盘进行引导。很多人认为，软盘上如果没

26、有COMMAND.COM等系统启动文件，就不会带计算机病毒，其实引导型计算机病毒根本不需要这些系统文件就能进行传染。3、单台计算机系统的安全使用在自己的机器上用别人的软盘前应进行检查。在别人的计算机上使用过自己的已打开了写保护的软盘，再在自己的计算机上使用前，也应进行计算机病毒检测。对重点保护的计算机系统应做到专机、专盘、专人、专用，封闭的使用环境中是不会自然产生计算机病毒的。4、重要数据文件要有备份硬盘分区表、引导扇区等的关键数据应作备份工作，并妥善保管。在进行系统维护和修复工作时可作为参考。重要数据文件定期进行备份工作。不要等到由于计算机病毒破坏、计算机硬件或软件出现故障，使用户数据受到损

27、伤时再去急救。对于软盘，要尽可能将数据和应用程序分别保存，装应用程序的软盘要有写保护。在任何情况下，总应保留一张写保护的、无计算机病毒的、带有常用DOS命令文件的系统启动软盘，用以清除计算机病毒和维护系统。常用的DOS应用程序也有副本，计算机修复工作就比较容易进行了。5、不要随便直接运行或直接打开电子函件中夹带的附件文件，不要随意下载软件，尤其是一些可执行文件和Office文档。即使下载了，也要先用最新的防杀计算机病毒软件来检查。6、计算机网络的安全使用以上这些措施不仅可以应用在单机上，也可以应用在作为网络工作站的计算机上。（1）安装网络服务器时应，应保证没有计算机病毒存在，即安装环境和网

28、络操作系统本身没有感染计算机病毒。（2）在安装网络服务器时，应将文件系统划分成多个文件卷系统，至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全。如果系统卷受到某种损伤，导致服务器瘫痪，那么通过重装系统卷，恢复网络操作系统，就可以使服务器又马上投入运行。而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤。如果用户卷内由于计算机病毒或由于使用上的原因导致存储空间拥塞时，系统卷是不受影响的，不会导致网络系统运行失常。并且这种划分十分有利于系统管理员设置网络安全存取权限，保证网络系统不受计算机病毒感染

29、和破坏。（3）一定要用硬盘启动网络服务器，否则在受到引导型计算机病毒感染和破坏后，遭受损失的将不是一个人的机器，而会影响到整个网络的中枢。（4）为各个卷分配不同的用户权限。将操作系统卷设置成对一般用户为只读权限，屏蔽其它网络用户对系统卷除读和执行以外的所有其它操作，如修改、改名、删除、创建文件和写文件等操作权限。应用程序卷也应设置成对一般用户是只读权限的，不经授权、不经计算机病毒检测，就不允许在共享的应用程序卷中安装程序。保证除系统管理员外，其它网络用户不可能将计算机病毒感染到系统中，使网络用户总有一个安全的联网工作环境。（5）在网络服务器上必须安装真正有效的防杀计算机病毒软件，并经常进行升级

30、。必要的时候还可以在网关、路由器上安装计算机病毒防火墙产品，从网络出入口保护整个网络不受计算机病毒的侵害。在网络工作站上采取必要的防杀计算机病毒措施，可使用户不必担心来自网络内和网络工作站本身的计算机病毒侵害。（6）系统管理员的职责：1）系统管理员的口令应严格管理，不使泄漏，不定期地予以更换，保护网络系统不被非法存取，不被感染上计算机病毒或遭受破坏。2）在安装应用程序软件时，应由系统管理员进行，或由系统管理员临时授权进行。以保护网络用户使用共享资源时总是安全无毒的。3）系统管理员对网络内的共享电子函件系统、共享存储区域和用户卷应定期进行计算机病毒扫描，发现异常情况及时处理。如果可能，在应用

31、程序卷中安装最新版本的防杀计算机病毒软件供用户使用。4）网络系统管理员应做好日常管理事务的同时，还要准备应急措施，及时发现计算机病毒感染迹象。当出现计算机病毒传播迹象时，应立即隔离被感染的计算机系统和网络，并进行处理。不应当带毒继续工作下去，要按照特别情况清查整个网络，切断计算机病毒传播的途径，保障正常工作的进行。必要的时候应立即得到专家的帮助。比较法加总比对法搜索法分析法人工智能陷阱技术和宏病毒陷阱技术恢复数据要本着几项原则：恢复数据要本着几项原则：1）先备份；2）优先抢救最关键的数据；3）在稳妥的情况下先把最稳定的鸡蛋捞出来，理应先修复扩展分区，再修复引导分区，最好修复一部分备份

32、一部分；4）要先作好准备，不要忙中出错。蠕虫病毒是目前最令人头痛的计算机病毒，它以一传十，十传百的速度，短短几天之内即可感染数百万台计算机。蠕虫病毒感染了一台计算机后，就在这台计算机里自动生成一封新邮件，并搜集被感染的计算机里储存的电子邮箱地址，一有机会就把带毒邮件按这些邮箱地址发送出去。收件人收到蠕虫病毒发出的邮件，稍有不慎就会中毒，成为另一个病毒源头。蠕虫病毒一般不会破坏计算机里蠕虫病毒一般不会破坏计算机里的数据，而是先占用遭感染计算机的内的数据，而是先占用遭感染计算机的内存空间复制病毒，再占用中央处理器存空间复制病毒，再占用中央处理器（CPU）发送带毒邮件同时源源不断地）发送带毒邮件

33、同时源源不断地制造垃圾邮件。因此，这台计算机的运制造垃圾邮件。因此，这台计算机的运行速度及其所在的局域网的传输速度都行速度及其所在的局域网的传输速度都慢如蜗牛，甚至造成慢如蜗牛，甚至造成网络大塞车网络大塞车，严，严重影响工作效率。重影响工作效率。某些蠕虫病毒作者还在黑客网站散某些蠕虫病毒作者还在黑客网站散布蠕虫病毒的源代码让布蠕虫病毒的源代码让“同行同行”分享，制分享，制造造“蠕虫蠕虫”的人越来越多，追查病毒原作的人越来越多，追查病毒原作者就更加困难了。以臭名昭著的蠕虫病毒者就更加困难了。以臭名昭著的蠕虫病毒“MYDOOM(地狱之门地狱之门)”为例，它曾对为例，它曾对SCO公司的网站发起攻击

34、，令公司的网站发起攻击，令SCO公司损公司损失惨重，虽然失惨重，虽然SCO公司悬赏公司悬赏20万美元缉拿万美元缉拿“MYDOOM”的始作俑者，但病毒作者至的始作俑者，但病毒作者至今逍遥法外。今逍遥法外。 ftp:/ “圣诞节病毒圣诞节病毒Navidad”藏在电子邮件的藏在电子邮件的附件中，计算机一旦感染上，它就会自动重复转附件中，计算机一旦感染上，它就会自动重复转发，造成更大范围的传播。对这种病毒的防范其发，造成更大范围的传播。对这种病毒的防范其实也很简单，只要发现电子邮件附件中有实也很简单，只要发现电子邮件附件中有“Navidad”字样，将其删除即可免受感染。字样，将其删除即可免受感染。如

35、何及时知道新产生的病毒呢？如何及时知道新产生的病毒呢？国内著名的反病毒网站都会及时将一些大国内著名的反病毒网站都会及时将一些大的病毒的活动情况及时发布在网站上，如的病毒的活动情况及时发布在网站上，如网站，早在网站，早在11月月15日就发日就发布了关于防范圣诞节病毒的紧急通告，并公布了布了关于防范圣诞节病毒的紧急通告，并公布了可彻底查杀可彻底查杀“圣诞节病毒圣诞节病毒”的瑞星杀毒软件的瑞星杀毒软件11.33版。版。 Win32.Kriz.3862具有与CIH病毒相同的破坏机制，即能够破坏计算机的硬件，使计算机根本无法启动。Win32.Kriz.3862病毒在12月25日发作，一种常驻内存的多态

36、恶性病毒，与CIH病毒的破坏机制相似，但它却比CIH病毒更具杀伤力，它能够擦掉CMOS指令集合，覆盖所有可用驱动器中的数据文件，之后，随即利用我们曾在CIH病毒中发现的相同的程序毁坏计算机的主板BIOS，使机器无法运行。而且这种病毒极易被复制到Windo ws 95/98/NT系统内，感染Windows程序下扩展名为.EXE和.SCR的文件，在Windows系统运行过程中，Windows的核心动态链接库KERNEL32.DLL允许Win32.Kriz.3862病毒常驻内存，令该病毒达到对计算机破坏的目的。（1999年8月）病毒发作时的确能将某些型号主板上闪烁存储器（FLASH ROM）中的（

37、基本输入输出系统）破坏掉，从而使计算机完全无法工作。由于闪烁存储器中的被破坏后，一般的用户是无法通过本机恢复的，只能将闪烁存储器从主板上取下交厂商通过专用设备重新写入。正是因为这一点，有人称病毒能破坏硬件，对此种提法我不敢苟同。我认为，这种提法既混淆了概念还容易引起不必要的恐慌。事实上，病毒只是破坏了存放在闪烁存储器中的程序而已，闪烁存储器本身并没有损坏。这一点与普通病毒可以破坏磁盘上内容而不能破坏磁盘本身并没有什么两样。病毒与其它的病毒只是攻击目标不同罢了，在本质上并无不同。两者最大的不同是：磁盘里系统被破坏可以通过本机重做，而闪烁存储器中的被破坏似乎只有换一片或用专用设备重写。对此我们可以考虑没有硬盘的（很久前的就是这样的）上的情况，如果系统软盘被病毒破坏，你同样也只有换一片或拿到别的机器上重做。当然，也可以在本机上重做（拷贝）一片，但前提是你必须先用另一片系统盘启动系统。同样的，如果你先用另一片芯片来启动机器，你一样可以在本机上重写你的芯片（即所谓的“热插拔”法，当然这种方法有一定的危险性，不推荐！）。通过比较，我们不难看出，病毒和以前发现的其他病毒并无本质上的不同，仍然不可能真正破坏硬件。

展开阅读全文