1.5.1 任务描述

本任务主要介绍计算机信息系统安全概述、病毒及黑客。通过本任务的学习，学生要了解计算机信息系统安全的基本知识，掌握发现病毒、防毒及杀毒等操作。

1.5.2 相关知识

1．计算机信息系统安全概述

如今，信息化的浪潮席卷全球，世界正经历着以计算机技术为核心的信息革命，而由计算机网络技术支撑的信息网络已经成为整个社会乃至全球范围的神经系统，它完全改变了人类传统的工作和生活方式。但同时也带来了不容忽视的负面影响，网络的开放性增加了网络安全的脆弱性和复杂性，信息资源的共享和分布处理增加了网络受攻击的可能性。这使得计算机的信息安全和信息产权成为越来越突显的棘手问题。

（1）计算机安全的定义。所谓计算机信息系统安全，是指计算机系统的硬件、软件、数据受到保护，不会因偶然的或恶意的原因而遭到破坏、更改、显露，系统连续正常运行（为便于叙述，计算机信息系统安全可简称为计算机安全）。反之，计算机的不安全称为计算机危害。安全攻击的因素分为人为因素和自然因素，核心因素是人。人为的针对计算机进行的犯罪是一种新的犯罪形式，已经成为发达国家和发展中国家普遍关注的社会公共安全问题。

（2）计算机安全的重要性。随着计算机在人类生活各领域中的广泛应用，计算机病毒也在不断地产生和传播。同时，计算机网络不断地遭到非法入侵，重要情报资料不断地被窃取，甚至由此造成网络系统的瘫痪等，这给各个国家以及众多公司造成了巨大的经济损失，甚至危害到国家和地区的安全。计算机安全是一个越来越引起世界各国关注的重要问题，也是一个十分复杂的课题。可以毫不夸张地说，计算机安全问题是一个关系到人类生活与生存的大事情，必须充分重视并设法解决。

（3）计算机安全立法。国务院于1994年2月18日颁布的《中华人民共和国计算机信息系统安全保护条例》第一章第三条是：计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。

（4）计算机的安全操作。

计算机使用环境：温度为15℃～ 35℃；相对湿度为20％～ 80％；对电源的要求一是要稳，二是在机器工作时供电不能间断；在计算机的附近要避免磁场干扰。

计算机的维护：要注意防潮、防水、防尘、防火，在使用时注意通风，不用时应盖好防尘罩。机器表面要用软布蘸中性清洁剂擦拭。

开机顺序为先对外围设备加电，再对主机加电；而关机顺序正好与此相反；每次开机与关机之间的间隔不应少于10秒。在加电情况下，机器的各种设备不要随意搬动，也不要插拔各种接口卡。应避免频繁开关机器。

（5）计算机的安全管理。为了保证计算机的安全使用，在日常工作中要做好以下方面的工作。

①系统启动盘要专用，对来历不明的软件不应马上装入自己的计算机系统，要先检测，后安装使用。

②对系统文件和重要数据，要进行备份和写保护。

③不要轻易装入各种游戏软件。因为非正规游戏软件通过存储介质将病毒带入计算机系统的可能性极大。

④定期对所使用的优盘、硬盘进行病毒的检测与防治。

⑤若发现系统有任何异常现象，及时采取措施。

⑥对于联网的计算机，在下载软件时要特别注意，不要将病毒带入计算机。

（6）计算机犯罪。计算机犯罪主要是指利用计算机或计算机知识，做出触犯有关法律规范的行为。其本质是利用计算机或计算机知识侵犯计算机资产，对国家、单位和个人的安全和合法权益造成损害。它始于20世纪60年代末，70年代迅速增长，80年代形成威胁。我国自20世纪80年代中期发现首例计算机犯罪以来，在短短几年间，发案数不断翻番，个案涉案数额从原来的数万元发展到数百万元、上千万元。对侵吞公私财产的犯罪而言，不管数额多少，在计算机操作上并没有什么差异。常见的计算机危害和犯罪主要有以下六种。

①事故。发生在计算机系统及其所在机房的事故相对较普遍，这里有人为的因素，也有自然的因素。1980年，美国防空司令部指挥中心，因为计算机输入数据错误，引起防空警报，控制系统显示苏联向美国本土发射导弹，美最高指挥部命令1 000枚导弹待发，100架飞机起飞迎击，并命令部队进入实战状态，核战争一触即发。

②窃用计算机系统。国内某研究院，被人更换计算机密码，取消了对一些系统数据的保护，修改了记账收费程序参数，造成计算机运行混乱、日记账表不能打印输出、系统管理员无法工作等后果。

③非法获取数据和信息，窃取机密。国内某机关有一助理工程师借工作之便，非法复制单位属有的软件37个、软盘100多片，并以某技术开发公司的名义倒卖给该机关和其他单位，从中获利。

④破坏计算机系统。某市电信局一名工作人员，由于对其工作调动不满，破坏了邮电局计算机电话长途查询系统，致使长途查询系统瘫痪。

⑤计算机病毒。西安某大学传出的“中国炸弹”病毒，使山东一单位受害，使自新中国成立以来几十年辛苦积累起来的数据毁于一旦。

⑥诈骗。1989年12月，河北某银行营业部副主任伙同他人，利用计算机开空头汇票，骗得人民币179万余元。现在随着互联网的普及，利用互联网进行诈骗的案例时有发生，并呈扩大趋势。此外，还有其他综合型的犯罪，既骗取钱财又编制病毒破坏计算机系统。

计算机犯罪和其他犯罪形式相比，最显著的区别是它的技术性和专业性，且计算机犯罪极易造成严重的危害后果。这种犯罪的主要特点是：首先，它是一种高智能的违法犯罪活动；其次，作案的时间相当短，有些犯罪指令的执行只需要几十微秒；第三，危害的地域广，尤其是广域联网危害更加严重；第四，犯罪行为隐蔽，取证难度大；第五，危害目的多样性，作案手段多样化；第六，破坏性大，危害蔓延迅速；第七，攻击者处于主动的位置。

目前，计算机系统在管理和使用方面所存在的问题是计算机危害和计算机犯罪蔓延的重要原因。在许多单位，计算机管理不严、混乱或无人主管，上机随意，来去自由，增加、删除、修改、复制、玩游戏等，几乎放任自由。也正因为如此，计算机安全问题应引起我们的足够重视，无论是个人、单位还是国家。

2．计算机病毒

从目前来看，计算机病毒是计算机安全的最大威胁。计算机病毒是一种旨在破坏计算机系统正常运行的人为编制的计算机程序，它由一组具有自我复制能力并在一定条件下必然被执行的指令组成。由于它与生物学中的病毒有很多相似的特征，故将这样的计算机程序称为计算机病毒。

（1）计算机病毒的特征。

①传染性：指病毒对其他文件或系统进行一系列的非法操作，使其带有这种病毒，并成为该病毒的一个新的传染源的过程，这是病毒的最基本特征。

②隐蔽性：指病毒的存在、传染和对数据的破坏过程不易被计算机操作人员发现，有时又是难以预料的。

③寄生性：指病毒依附于其他文件而存在。

④触发性：指病毒的发作一般都有一个激发条件，这个条件可以是日期、时间、特定程序的运行或程序的运行次数等。

⑤破坏性：指病毒在触发条件满足时，立即对计算机系统进行干扰或对数据进行恶意的破坏。病毒破坏性的大小完全取决于该病毒编制者的意愿。

综上所述，我们可以了解到计算机病毒的危害是十分严重的。若待计算机病毒发作后再去杀毒，实际上已经为时已晚。因此有必要了解病毒的传播途径，以便能有效预防。

（2）计算机病毒的分类及危害性。计算机病毒的分类方式很多，通常是按寄生方式分类或按危害程度分类。

①按寄生方式分类。

a. 引导型病毒。这种病毒感染系统的引导区，当系统引导时，病毒程序被运行并获得控制权，然后伺机发作。

b. 文件型病毒。这种病毒会感染某类特定文件，例如有的病毒感染扩展名为“.com”“.exe”等的可执行文件，宏病毒攻击Microsoft Office文档文件。

c. 复合型病毒。它既感染系统引导区，又感染文件。

②按危害程度分类。

a. 良性病毒。这类病毒只干扰计算机的正常运行，不破坏软件硬件。

b. 恶性病毒。这类病毒发作后破坏程序或数据，甚至可导致整个系统瘫痪。某些病毒即使被清除，被破坏的系统和文件也无法恢复。

（3）计算机感染病毒的常见症状。

计算机病毒发作后的症状五花八门。这些症状对于有经验的用户来说是明显的，但对新手而言不一定会引起警觉，或者会束手无策。常见症状列举如下。

①计算机屏幕显示异常，包括异常图形、字符不全、异常错误提示。

②程序运行不正常，如启动速度、运行速度明显减慢，甚至出现无故死机。

③存储容量明显减少，经常提示对存储器进行非法访问，存取指示灯无故发亮或存储时间变长。

④系统不认硬盘，或硬盘无法引导。

⑤文件长度发生变化（特别是变长），或莫名其妙丢失文件、数据等。

1998年9月1日，中央电视台报道了CIH病毒在我国出现及计算机系统遭其破坏而瘫痪的消息。CIH病毒是迄今为止发现的既破坏软件又毁坏硬件的恶性病毒，造成的经济损失极为严重。它是CMOS病毒和磁盘病毒的组合，由台湾一个叫陈盈豪的人制作并通过互联网释放，CIH为其姓名的代号。

（4）计算机病毒的传染。

①存储介质传染。这是最普遍的传染方式。使用带毒的光盘、优盘，使计算机（硬盘、内存）感染病毒，然后又通过已感染病毒的计算机将病毒传染给在该计算机上使用的软盘或优盘，从而造成进一步扩散。

②网络传染。利用网络的各种数据传输（如文件传输、邮件发送）进行传染。由于网络传染扩散的速度极快，特别是因特网的广泛使用，使得这种传染方式成为现在计算机病毒传染的一种主要方式。而且，某些网页因为各种原因自身带有病毒，这样加快了病毒的传染，提高了防治病毒的难度。

（5）计算机病毒的防治。针对计算机病毒给系统带来的破坏，我们必须采取有效的防治措施。通常从预防、检测和清除三方面着手。

①预防。根据计算机病毒的传染途径和现有的技术条件，主要采取以下预防措施。

a. 重要数据文件要定期备份，如果使用优盘或移动硬盘，要加写保护。

b. 如果要使用外来存储介质，必须先进行病毒检测，确保无病毒后方可使用。

c . 对担负重要工作的机器应做到专机专用、专盘专用。

d. 不要随意打开网络上来历不明的软件和邮件。

e. 安装防病毒卡或实时防病毒程序，以实时监视系统，及时报警异常动作。

②检测和清除。计算机一旦染上病毒，就要设法清除，以免造成更大危害。可采用杀毒软件对计算机病毒进行检测和清除，这两个过程往往可以同时进行。杀毒软件主要利用计算机病毒特征并依据其特征码检测出病毒，然后清除病毒或删除被病毒感染的文件。常见的杀毒软件有以下几种：金山毒霸、卡巴斯基杀毒软件、江民杀毒软件、瑞星杀毒软件、360杀毒软件等。

特征码是指按一定抽取原则，从特定计算机病毒体提取该病毒所特有的代码集合。因此杀毒软件都有一个病毒特征码库文件。计算机病毒检测程序对被检文件进行搜索，若发现某特征码，就认定该文件包含该病毒。利用特征码技术可以对整个系统或特定目标进行检测并发现病毒，但该技术有以下三个缺点。

a. 病毒检测的准确性和效率都依赖于特征码抽取的科学性，而准确性与效率又相互矛盾，难以两者兼顾。

b. 随着病毒种类的增多，特征码库需要不断更新。因此，对新出现的病毒，原有检测程序是无能为力的。也就是说，病毒检测程序总是滞后于病毒。

c. 由于变形病毒随着运行时间和空间的不同而不同，静态的特征检测技术对变形病毒往往无能为力（现在的智能检测就是一种弥补措施）。

要特别提醒的是，杀毒软件并非总是能安全地清除检测出的病毒。

● 杀毒软件报告已清除某种病毒，但实际上并未清除。原因之一是杀毒软件确实不能清除该种病毒；原因之二是该病毒已进入内存，关机后又侵入已被清除病毒的文件（对这种情况，可用干净的带系统的优盘启动系统后进行杀毒，从而达到彻底清除病毒的目的）。

● 杀毒软件报告能安全清除病毒，最后却发现被感染文件已经删除。如果是重要文件被感染，谨慎的办法是在检测之后杀毒之前备份它。

● 杀毒软件明确报告不能清除某种病毒。如果被感染的是非系统文件，可以选择杀毒软件提供的隔离功能隔离这些文件；如果是重要的系统文件，就只好重装系统了。

● 图1-5-1所示是360杀毒软件对用户的提示界面。

3．计算机黑客

（1）黑客的出现。黑客（Hacker）一词来源于英语动词Hack，意为劈、砍，这个词被引申为干了一件非常漂亮的工作。最初的Hacker是一些编程高手，他们发现系统安全漏洞并能进行修补。后来有些人不一定会编程，但他们可以利用黑客技术攻入系统获得利益或自我满足，总之是起破坏作用，他们也把自己称为Hacker，因此将其翻译为带贬义的黑客。黑客行为几乎与计算机犯罪之间画上了等号。在许多人的心目中，黑客行为似乎就是计算机犯罪。可也有人认为黑客是网络时代的牛仔，甚至是反传统文化的斗士。但不管对黑客现象是褒是贬，有一点却是必须承认的，那就是哪里有网络，哪里就会留下黑客的影子。当今世界里，人们对计算机网络技术的依赖性越来越大，网络安全问题越来越突出。黑客的活动比想象的更复杂，他们可以利用互联网超越国界去参与战争。

尽管对黑客行为的解释全在于个人的理解，但黑客技术首先是一种计算机技术，对黑客行为的评判，全在于把技术用在什么地方和用来干什么。

我国现行计算机网络体系抗黑客攻击能力差、缺乏整体防范保护措施。由于缺乏必要的安全防护技术，近来，以高技术手段攻击计算机网络系统的行为有增多的趋势。

（2）黑客的危害。黑客一旦侵入或攻击系统，可产生如下危害。

①修改网络主页，造成不良的社会后果或政治后果。

②通过攻击系统，使网络瘫痪。

③修改或窃取数据，造成巨大的经济损失。

④修改控制指令，引发战争。

下面是几种常见的黑客入侵方式。

● Data Diddling——未经授权删除档案、更改其资料。

● Scanner——利用工具寻找暗门漏洞。

● Sniffer——监听加密之封包。

● Denial of Service——使其系统瘫痪。

● IP Spoofing——冒充系统内网络的地址。

（3）提防黑客入侵。无论是个人计算机还是局域网，一旦联入互联网，就应该对黑客的危害引起足够的重视，就应该采取相应的防范措施。

①选用安全的口令。根据十几个黑客软件的工作原理，参照口令破译的难易程度，以破解需要的时间为排序指标，这里列出了常见的危险口令：用户名（账号）作为口令；用户名（账号）的变换形式作为口令；使用生日作为口令；常用的英文单词作为口令；5位或5位以下的字符作为口令。因此，在设置口令时应遵循以下原则。

a. 口令应该包括大写字母、小写字母及数字，有控制符更好。

b. 口令不要太常见，至少应有8位长度。

c. 应保守口令秘密并经常改变口令。最糟糕的口令是具有明显特征的口令，不要循环使用旧的口令。

d. 至少每90天把所有的口令改变一次，对于那些具有高安全特权的口令，更应经常改变。

之所以强调口令设置的重要性，是因为许多关于网站安全调查的结果表明：超过80％的黑客侵犯都是由于人们选用了拙劣的口令。

②实施存取控制。存取控制规定何种主体对何种客体具有何种操作权力。存取控制是内部网安全理论的重要方面，它包括人员权限、数据标识、权限控制、控制类型、风险分析等内容。

③保证数据的完整性。完整性是在数据处理过程中，在原来数据和现行数据之间保持完全一致的证明手段。一般常用数字签名和数据谪压算法来保证。

④确保数据的安全。通过加密算法对数据进行加密，并采用数字签名及认证来确保数据的安全。

⑤使用安全的服务器系统。如今可以选择的服务器系统是很多的，如UNIX、Windows NT、Novell、Intranet等，但是服务器最好使用UNIX系统。

⑥谨慎开放缺乏安全保障的应用和端口。由于计算机与外界通信都必须通过某个端口才能进行，每种应用也都用端口表示，所以对不用的端口都要关闭，对缺乏安全保障的端口更不能随便开放。

⑦定期分析系统日志。建立服务器系统日志，记录机器运行、维护情况有利于系统分析和信息收集。

⑧不断完善服务器系统的安全性能。很多服务器系统都被发现有不少漏洞，服务商会不断在网上发布系统的补丁。为了保证系统的安全性，应随时关注这些信息，及时完善自己的系统。

⑨排除人为因素。再完善的安全体制，没有足够的重视、足够的安全意识和技术人员的经常维护，安全性将大打折扣。

⑩进行动态站点监控。及时发现网络遭受攻击的情况并加以防范，避免对网络造成任何损失。

⑪请第三方评估机构或专家来完成网络安全的评估。这样做的好处是能对自己所处的环境有更加清醒的认识，把未来可能的风险降到最小。

⑫谨慎利用共享软件。许多程序员为了测试和调试的方便，都在看起来无害的软件中藏有后门、秘诀及陷阱，发布软件时却忘了去掉。对于共享软件和免费软件，一定要彻底进行检测。如果不这样做，可能会损失惨重。

⑬做好数据的备份工作。这是非常关键的一个步骤，有了完整的数据备份，才可以在遭到攻击或系统出现故障时迅速恢复系统。

⑭使用防火墙。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上，在互联网上的Web网点中，超过1/3的Web网点都是由某种形式的防火墙加以保护的，这是对黑客防范最严、安全性较强的一种方式。任何关键性的服务器，都建议放在防火墙之后，任何对关键服务器的访问都必须通过代理服务器，这虽然降低了服务器的交互能力，但为了安全，这点牺牲是值得的。但是，防火墙也存在局限性，不能过分迷信防火墙。 TSj3cyZ1/r/TYJzVPFKlntsq0tP6MEWD3EfHNTPUsknUYcnyNln8qWw0VmqbDMnj