作者:蔡大鹏 康海燕
出版社:中国人民大学出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
网络安全与管理(21世纪高等开放教育系列教材)试读:
前 言
随着科技的发展,互联网深入到经济社会的各个领域,网络安全正面临着严峻的挑战。网络安全就是网络上的信息安全,是指网络系统的硬件、软件和系统中的数据受到保护,不因偶然的或者恶意的攻击而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。2017年9月,在北京召开了中国互联网安全大会,说明国家已经开始重视网络安全。在大会上,专家明确指出,网络安全不仅仅针对网络本身,而是包含社会安全、基础设施安全、人身安全等在内的“大安全”概念,迫切需要建立与之相适应的保障体系。
本教材选取了网络安全的主流技术、方法、管理手段等进行介绍,将带领读者更好地了解网络安全,了解网络安全给我们带来的影响,以及通过各种手段来防范各类网络安全威胁。
1.内容结构
本教材共分为七个单元,第一单元是信息安全,主要讲述了信息与信息安全的概念、信息安全的实现、信息安全的发展与现状等;第二单元是计算机病毒,主要讲述了计算机病毒的概念、典型病毒和恶意软件的分析与清除等;第三单元是智能手机信息安全,主要讲述了智能手机信息安全、智能手机病毒、智能手机隐私泄露等;第四单元是网络安全技术,主要讲述了防火墙技术、入侵检测技术、VPN技术等;第五单元是密码学基础,主要讲述了密码学的概念,以及古典密码、对称密码、非对称密码和认证技术等;第六单元是信息安全管理与法律法规,主要讲述了信息安全管理、信息安全法律法规、信息安全等级保护等;第七单元是黑客攻击技术,主要讲述了攻击的一般流程、攻击的方法与技术、网络后门与网络隐身等。
2.本书特点(1)知识新颖:在知识点的选择上,本教材不仅选取了基础的网络安全知识与技术,也选择了如今流行的网络安全技术以及各类网络安全问题,保证读者学习的知识不落伍。(2)结构合理:本教材在每一单元都会提出问题等引导读者思考,并且总结知识点,易于读者了解并建立知识结构;从多角度讲解各知识点,使读者快速抓住重点。编 者第一单元 信息安全
学习导引
同学们好!欢迎你们来到“网络安全与管理”课程的课堂。这门课程将带领我们更好地了解信息安全,了解信息安全给我们带来的影响,以及通过各种手段来防范各类信息安全问题。首先,让我们查看一下自己的计算机,计算机里是否存有各类安全软件?你是否经常给计算机系统打补丁?计算机中是否有防火墙?这类软件是做什么用的?我们面临着哪些信息安全威胁?信息安全是如何发展的?请你们带着疑问,共同进入本单元的主题。
在本单元,我们将共同学习信息与信息安全、信息安全的需求与实现、信息安全的发展等内容。学完之后,相信你对信息安全会有一个全新的认识。
在本单元的学习之旅中,需要你们认真学习本单元的内容,观看教学视频,完成在线学习活动以及作业。只有按照要求完成上述所有环节的内容,你才算完成了本单元的学习任务。
学习目标
学完本单元内容之后,你将能够:(1)掌握信息与信息安全的概念;(2)了解信息安全的威胁、实现;(3)了解信息安全的发展阶段,举例说明信息安全的发展现状。
接下来,让我们一步步深入理解本单元的学习内容吧。首先,我们来熟悉一下本单元内容的整体框架。
知识结构图
图1–1是本单元的整体框架以及学习这部分内容的思维过程规划。此图可以帮助大家从整体上了解本单元的知识结构和学习路径,包括信息安全概述、信息与信息安全、信息安全的实现、信息安全的发展与现状。请大家仔细品读和理解,建立对本部分知识的整体印象。图1–1 本单元知识结构图
看完上面的知识结构图后,大家是否已经对本单元所要学习的内容以及如何学习这些内容有一个初步的整体印象了呢?接下来,我们在这个整体框架的指引下逐一学习每个知识点。我们在了解了操作计算机时的疑问后,需要学习信息与信息安全的概念、特征等,着重学习信息安全的各种实现技术,以及信息安全的发展与现状。结合生活经验和对相关问题的认识,将理论与实践相结合。知识点1 信息安全概述
学前思考1:
淘宝网上有店铺曾出售“58同城简历数据”,一位淘宝店主表示:“一次购买2万份以上,3毛钱一条;一次购买10万份以上,2毛钱一条。要多少有多少,全国同步实时更新。”而其他店主则表示花700块钱买一套软件,就可以自己采集58同城的数据,有效期长达一个月。
为何我们的个人数据被泄露?为什么每个同学的计算机或者手机上都安装了各类杀毒软件?为什么要接受各种安全宣传,比如让我们不要随意下载软件,不要随意点击链接?
请你参考更多资料,思考一下,各种信息安全问题给我们带来了怎样的影响,我们应该如何防范。让我们带着问题学习以下内容吧。本节知识重点
学习提示:各类安全问题一直困扰着我们,在本部分,我们可以发现信息安全的一些疑问,以及信息面临的威胁等。如果单纯阅读教材上的内容有障碍,我们可以通过观看视频《关于信息安全的一些疑问》来加深理解,然后完成在线学习活动1。
一、一些疑问
在使用计算机的时候,我们经常会遇到一些安全疑问,比如:(1)为什么我们要安装杀毒软件?现在市面上的杀毒软件这么多,国外的有诺顿、卡巴斯基、Mcafee等,国内的有360、金山、瑞星等,究竟哪一款杀毒软件查杀病毒的效果更好一些呢?(2)我随意点击了浏览器的某个广告、某个链接,从未验证的网站下载软件或手机应用,有可能会发生什么事?(3)我连接了一个免费Wi-Fi,有可能会发生什么事?(4)为什么我的QQ账号会被盗用?(5)如果有一天,我发现自己的计算机运行很慢,怀疑计算机有病毒,那么应该怎样做应急处理呢?怎样找出病毒隐藏在什么地方呢?(6)为何要为计算机安装补丁?不安装补丁会怎么样?(7)我喜欢把密码设置成“123456”或者是我的生日日期,这样做对我的账号安全会有什么影响?(8)防火墙是做什么的?如何使用软件防火墙来封锁一个IP地址或一个端口?(9)当信息系统遭受攻击的时候,为什么经常会查到攻击人的IP地址在日本、美国甚至是欧洲的某些国家呢?难道真的有日本人、美国人或是欧洲人在攻击信息系统吗?
二、信息面临的威胁
信息的安全威胁是永远存在的,如图1–2所示,信息的安全威胁真是无处不在。下面从信息安全的五个层次来介绍信息安全中的威胁。图1–2 信息面临的安全威胁(一)物理层安全
信息系统物理层安全风险主要包括以下方面:(1)地震、水灾、火灾等环境事故造成设备损坏。(2)电源故障造成设备断电以至操作系统引导失败或数据库信息丢失。(3)设备被盗、被毁造成数据丢失或信息泄露。(4)电磁辐射可能造成数据信息被窃取或偷阅。(5)监控和报警系统的缺乏或者管理不善可能造成原本可以避免的事故。(二)网络层安全
1.数据传输风险分析
数据在传输过程中,线路搭载、链路窃听可能造成数据被截获、窃听、篡改和破坏,数据的机密性、完整性无法保证。
2.网络边界风险分析
如果在网络边界上没有强有力的控制,则其外部黑客就可以随意出入企业总部及各个分支机构的网络系统,从而获取各种数据和信息,那么,信息泄露问题就无法避免。
3.网络服务风险分析
一些信息平台运行Web服务、数据库服务等,如不加以防范,各种网络攻击可能对业务系统服务造成干扰、破坏,如最常见的拒绝服务攻击DoS、DDoS。(三)操作系统层安全
系统安全通常指操作系统的安全,操作系统的安装以正常工作为目标,在通常的参数、服务配置中,以及缺省地开放的端口中,存在很大的安全隐患和风险。
操作系统在设计和实现方面本身存在一定的安全隐患,无论是Windows还是UNIX操作系统,不能排除开发商留有后门(Back Door)。系统层的安全还包括数据库系统以及相关商用产品的安全漏洞。病毒也是操作系统层安全的主要威胁,病毒大多利用了操作系统本身的漏洞,通过网络迅速传播。(四)应用层安全(1)业务服务安全风险。(2)数据库服务器安全风险。(3)信息系统访问控制风险。(五)管理层安全
管理层安全是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必需的部分。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能影响管理层安全。
无论是从数据的安全性、业务服务的保障性还是从系统维护的规范性等角度,都需要对信息系统制定严格的安全管理制度,从业务服务的运营维护和更新升级等层面加强安全管理。
三、提高安全性
无论你现在使用哪种操作系统,总有一些通用的加强系统安全的建议可以参考。如果你想加固你的系统来阻止未经授权的访问和避免不幸灾难的发生,对于信息安全知识掌握较少的同学,以下预防措施肯定会对你有很大帮助。(一)使用安全系数高的密码
提高安全性的最简单有效的方法之一就是使用一个不会轻易被暴力攻击猜到的密码。
什么是暴力攻击?攻击者使用一个自动化系统在一定范围内对所有可能的结果进行逐一排查,尽可能快地猜测密码。因此,安全系数高的密码应该包含以下两个特征:(1)包含特殊字符和空格,同时使用大小写字母,避免使用从字典中能找到的单词,不要使用纯数字密码,这种密码破解起来比你使用母亲的名字或你的生日作为密码要困难得多。(2)越长的密码破解越困难。你的密码长度每增加一位,就会以倍数级别增加被破解的难度。一般来说,小于8个字符的密码是很容易被破解的。可以用10个、12个字符作为密码,16个当然更好了。在不会因为过长而难于键入的情况下,让你的密码尽可能的长会更加安全。
密码可以设置成有规律的组合型,将英文和阿拉伯数字组合在一起,固定的部分不变,不一样的地方做出规律性的调整,这样的密码好记又安全。(二)升级软件、打补丁
对系统进行补丁测试是至关重要的。如果很长时间没有进行安全升级,可能会导致你使用的计算机非常容易成为黑客的攻击目标。因此,不要把软件安装在长期没有进行安全补丁更新的计算机上。
同样的情况也适用于任何基于特征码的恶意软件保护工具,诸如防病毒应用程序,如果对它不进行及时更新,就不能得到当前的恶意软件特征定义,防护效果会大打折扣。(三)关闭没有使用的服务、端口
多数情况下,很多计算机用户甚至不知道他们的系统上运行着哪些可以通过网络访问的服务,这是一个非常危险的情况。
Telnet和FTP是两个常见的问题服务,如果你的计算机不需要运行它们,请立即关闭。确保了解在你的计算机上运行的每一个服务究竟是做什么的,并且知道它要运行的原因。(四)通过备份保护数据
备份数据,这是保护自己在面临信息威胁时把损失降到最低的重要方法之一。备份数据既包括简单、基本的定期拷贝数据到CD上,也包括复杂的定期自动备份到一个服务器上。(五)不要信任外部网络
在公共场合,如果是那种需要复杂密码才能连上的Wi-Fi,可以比较放心地使用,反倒是什么都不需要,直接就可以连上的Wi-Fi,才存在较大的安全隐患。饭馆和咖啡厅提供免费的Wi-Fi,但这种Wi-Fi到底安不安全,确实很难辨别,在这种情况下上网,就需要多加注意。
因此,在公众场合使用免费Wi-Fi时,更多的是浏览一些信息,尽量避免一些涉及隐私和支付的操作,如果必须进行操作,一定要确保网络环境的安全。
练一练
单项选择题
信息资产面临的主要威胁来源包括( )。
A.自然灾害
B.系统故障
C.内部人员操作失误
D.以上都包括【解析】本题正确答案为D。
经过前面的学习,如果你能够了解信息安全面临的威胁,以及自己可以对计算机进行一定的安全设置,那么恭喜你,你已经较好地掌握了本部分的内容。请记得完成在线学习活动1。
请你做好本部分知识的梳理总结,稍做休息,我们继续进行下一个知识点的学习。知识点2 信息与信息安全
学前思考2:
我们在生活中时时刻刻都要注意信息安全,信息是什么?是姓名还是身份证号码?保护信息安全到底是保护谁的信息安全?本节知识重点
学习提示:通过知识点1的学习,我们知道信息面临着种种威胁。接下来,我们将继续学习信息与信息安全,之后请大家观看视频《什么是信息安全:概念与特点》,以加深对该部分内容的理解,然后完成在线学习活动2。
信息是一种消息,通常以文字或声音、图像的形式来表现,是数据按有意义的关联排列的结果。信息安全是指信息网络的硬件、软件及系统中的数据受到保护,不受偶然的或者恶意的攻击而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,信息服务不中断。我们可以通过多方面的学习来加深对信息与信息安全的理解。
一、信息的定义
信息是事物及其属性标识的集合。信息是一种消息,通常以文字或声音、图像的形式来表现,是数据按有意义的关联排列的结果。信息由意义和符号组成,是指以声音、语言、文字、图像、动画、气味等方式所表示的实际内容。
信息是客观事物状态和运动特征的一种普遍形式,客观世界中大量地存在、产生和传递着以这些方式表示出来的各种各样的信息。在谈到信息的时候,就不可避免地涉及信息的安全问题。
二、信息的特征
信息具有很多特征,如普遍性、客观性、依附性、共享性、时效性、传递性等。下面通过对信息的一些主要特征的描述和讨论交流,来进一步认识和理解信息的概念。(一)普遍性与客观性
在自然界和人类社会中,事物都是在不断发展和变化的,事物所表达出来的信息也是无所不在。因此,信息是普遍存在的。由于事物的发展和变化是不以人的主观意志为转移的,所以信息具有客观性。(二)依附性
信息不是具体的事物,也不是某种物质,而是客观事物的一种属性。信息必须依附于某个客观事物(媒体)而存在。同一个信息可以借助不同的信息媒体表现出来,如文字、图形、图像、声音、影视和动画等。(三)共享性
信息是一种资源,具有使用价值。信息传播的范围越广,使用信息的人越多,信息的价值和作用就越大。信息在复制、传递、共享的过程中,可以不断地产生副本。但是,信息本身并不会减少,也不会被消耗掉。(四)时效性
随着事物的发展与变化,信息的可利用价值会相应地发生变化。随着时间的推移,信息可能会失去其使用价值,这时的信息就是无效的信息了。这就要求人们必须及时获取信息、利用信息,这样才能体现信息的价值。(五)传递性
信息通过媒体的传播,可以实现空间上的传递。如我国载人航天飞船“神舟九号”与“天宫一号”飞行器交会对接的现场直播,向全国及世界各地的人们展现了我国航天事业的发展进程,缩短了对接现场和电视观众之间的距离,实现了信息在空间上的传递。
信息通过存储媒体的保存,可以实现时间上的传递。如没能看到“神舟九号”与“天宫一号”空间交会对接现场直播的人,可以采用回放或重播的方式来收看。这就是利用了信息存储媒体的牢固性,实现了信息在时间上的传递。
三、信息安全
信息安全是指信息网络的硬件、软件及系统中的数据受到保护,不受偶然的或者恶意的攻击而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,信息服务不中断。
信息安全主要包括五方面的内容,即保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很广,其中包括如何防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等。
信息安全学科可分为狭义与广义两个层次。狭义的信息安全建立在以密码论为基础的计算机安全领域;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不仅是名称的变更,也是对安全发展的延伸,安全不再是单纯的技术问题,而是将管理、技术、法律等相结合的产物。
四、网络安全
从本质上讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件和系统中的数据受到保护,不受偶然的或者恶意的攻击而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。
从广义上讲,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。
网络安全由于不同的环境和应用而产生了不同的类型。主要类型有以下几种:(1)系统安全。保证系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行,避免因为系统的损坏而对系统存储、处理和传输的消息造成破坏及损失;避免由于电磁泄漏产生信息泄露,干扰他人或受他人干扰。(2)网络的安全。即网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,计算机病毒防治,数据加密等。(3)信息传播安全。网络上信息传播安全,即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果,避免公用网络上的信息失控。(4)信息内容安全。即网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为,其本质是保护用户的利益和隐私。
五、信息安全的目标
所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、真实性和不可否认性五个。(1)保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。(2)完整性:保证数据的一致性,防止数据被非法用户篡改。(3)可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。(4)真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别。(5)不可否认性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。
六、网络安全模型——PDRR模型
PDRR(Protect Detect React Restore)模型中,安全的概念已经从信息安全扩展到了信息保障。信息保障的内涵已超出传统的信息安全保密,是保护(Protect)、检测(Detect)、反应(React)、恢复(Restore)的有机结合,如图1–3所示。图1–3 PDRR模型
PDRR模型把信息的安全保护作为基础,将保护视为活动过程,采用检测手段来发现安全漏洞,及时更正;同时采用应急响应措施对付各种入侵。在系统被入侵后,要采取相应的措施将系统恢复到正常状态,这样使信息的安全得到全方位的保障。该模型强调的是自动故障恢复能力。
现有的网络安全模型众多,不仅包括PDRR模型,还包括PPDR(Policy Protection Detection Response)模型、PPDRR(Policy Protection Detection Response Restore)模型等。
练一练
单项选择题
PDRR模型的要素不包括( )。
A.保护 B.检测 C.预警 D.恢复【解析】PDRR模型是保护(Protect)、检测(Detect)、反应(React)、恢复(Restore)的结合,本题正确答案为C。
经过前面的学习,如果你能够了解信息与信息安全的特征和定义,并了解PDRR模型,那么恭喜你,你已经较好地掌握了本部分的内容。请记得完成在线学习活动2。
请你做好本部分知识的梳理总结,稍做休息,我们继续进行下一个知识点的学习。知识点3 信息安全的实现
学前思考3:
即使我们在使用计算机的过程中加强防范,不随意下载内容、点击链接,但是仍然有信息安全的威胁。需要采用何种技术才能保证信息安全?请你们带着这个疑问,学习本知识点内容。本节知识重点
学习提示:通过知识点2的学习,我们知道了信息与信息安全的概念和性质,也了解了存在多种信息安全模型,那么信息安全是如何实现的呢?我们需要怎样的技术?怎样进行管理?接下来,我们将学习信息安全的实现,之后请大家观看视频《什么是信息安全:实现》,加深对该部分内容的理解,然后完成在线学习活动3。
信息安全的实现需要实施一定的信息安全策略。实现信息安全,不仅要靠信息安全技术,还要靠严格的信息安全管理、信息安全法律等来保障。
一、信息安全技术
先进的安全技术是网络安全的根本保证,常见的信息安全技术有:(1)密码学。密码学是研究密码编制、密码破译和密钥管理的一门综合性应用学科。其中包含古典密码、对称密码、非对称密码、散列密码、数字签名等。(2)网络安全协议。网络安全协议是营造网络安全环境的基础,是构建安全网络的关键技术。设计并保证网络安全协议的安全性和正确性能够从根本上保证网络安全,避免因网络安全等级不够而导致网络数据信息丢失或文件损坏等信息泄露问题。(3)网络攻击技术。利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及系统中的数据进行攻击。(4)入侵检测技术。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统。(5)访问控制技术。访问控制技术是指通过用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。它可以防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。(6)防火墙技术。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法。(7)VPN技术。VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
二、信息安全管理
信息安全管理体系(Information Security Management System,ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。
ISMS是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立,组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
安全领域中有句话叫“三分技术,七分管理”,信息安全管理从某种意义上比其他管理更加重要,严格的管理制度、明确的部门划分、合理的人员角色定义都可以在很大程度上弥补其他层次的安全问题。
三、信息安全法律
信息安全法律狭义上是指维护信息安全,预防信息犯罪的刑事法律规范的总称,仅指保障信息安全、惩治信息犯罪的刑事法律。
广义的信息安全法律的调整对象涉及信息安全的方方面面,其优势在于对信息安全进行全方位的观察和阐述。信息安全法律的调整范围应当包括网络信息安全应急保障关系、信息共享分析和预警关系、政府机构信息安全管理、通信运营机构的安全监管、ISP(入侵防御系统)的安全监管、ICP(网络内容服务商,含大型商业机构)的安全监管、家庭用户及商业企业用户的安全责任、网络与信息安全技术进出口监管、网络与信息安全标准和指南以及评估监管、网络与信息安全研究规划、网络与信息安全培训管理、网络与信息安全监控等方面。
练一练
单项选择题
信息安全的实现需要( )。
A.信息安全技术
B.信息安全管理
C.信息安全法律
D.以上都包括【解析】本题正确答案为D。
经过前面的学习,如果你能够了解信息安全的实现需要信息安全技术、信息安全管理、信息安全法律三个方面来保障,那么恭喜你,你已经较好地掌握了本部分的内容。请记得完成在线学习活动3。
请你做好本部分知识的梳理总结,稍做休息,我们继续进行下一个知识点的学习。知识点4 信息安全的发展与现状
学前思考4:
距离信息安全被提及已经过了百余年,信息安全的侧重点和控制方式是一成不变的吗?
请你参考更多的资料,思考一下,现今信息安全的侧重点与控制方式与过去有何不同。本节知识重点
学习提示:通过知识点3的学习,我们知道信息安全的实现需要信息安全技术、信息安全管理、信息安全法律三个方面来保障。随着时间的推移、技术的变化,信息安全的侧重点和控制方式是一成不变的吗?接下来,我们学习信息安全的发展与现状,之后请大家观看视频《前沿:信息安全的发展》,加深对该部分内容的理解,然后完成在线学习活动4。
我们将根据技术的发展介绍信息安全的发展过程,以及信息安全的发展现状。
一、信息安全的发展过程
信息安全发展大致经历了三个阶段,即通信安全阶段、信息安全阶段、信息保障阶段。(一)第一阶段——通信安全
早在20世纪初,通信技术还不发达,人们主要是靠电话、电报、传真等进行信息传递,存在安全问题主要是在信息交换阶段,信息的保密性对于人们来说是十分重要的,因此,对安全理论和技术的研究只侧重于密码学。这一阶段的信息安全可以简单地称为通信安全,即第一阶段。(二)第二阶段——信息安全
20世纪60年代后,半导体和集成电路技术得到了飞速发展,这些技术的飞速发展推动了计算机软硬件的发展,单纯靠复杂的密码已经无法满足保密的要求,而且计算机和网络技术的应用进入了实用化和规模化阶段,人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段,即第二阶段。(三)第三阶段——信息保障
从20世纪80年代开始,由于互联网技术的飞速发展,无论是对内还是对外,信息都得到极大开放,而由互联网产生的信息安全问题跨越了时间和空间,比如你计算机里的个人信息可能被处在地球另一端的人所窃取,因此信息安全的焦点已经不仅仅是传统的保密性、完整性和可用性了,由此衍生出诸如可控性、抗抵赖性、真实性等其他原则和目标,信息安全也转化为从整体角度考虑其体系建设的信息保障阶段,也就是第三阶段。
二、信息安全的发展现状(一)国外信息安全发展现状
信息化发展比较好的发达国家,特别是美国,非常重视国家信息安全的管理工作。美、日、俄等国家都已经或正在制订自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全部,分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等,主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初,美国出台了计算机空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月,日本信息技术战略本部及信息安全会议拟定了信息安全指导方针。2000年9月,俄罗斯批准了《国家信息安全构想》,明确了保护信息安全的措施。
美、日、俄均以法律的形式规定和规范信息安全工作,为有效实施安全措施提供了有力保证。2000年10月,美国的电子签名法案正式生效,当日美参议院通过了《互联网网络完备性及关键设备保护法案》。日本于2000年6月公布了旨在对付黑客的《信息通信网络安全可靠性标准》的补充修改方案。2000年9月,俄罗斯实施了关于网络信息安全的法律。
国际信息安全管理已步入标准化与系统化管理时代。在20世纪90年代之前,保障信息安全主要依靠安全技术手段与不成体系的管理规章来实现。随着ISO9000质量管理体系标准的出现及随后在全世界的推广应用,系统管理的思想在其他领域被借鉴与采用,信息安全管理在20世纪90年代步入了标准化与系统化的管理时代。1995年,英国率先推出了BS7799信息安全管理标准,该标准于2000年被国际标准化组织认可为国际标准ISO/ IEC 17799。现在该标准已引起许多国家与地区的重视,在一些国家已经被推广与应用。组织贯彻实施该标准可以对信息安全风险进行安全系统的管理,从而实现组织信息安全。其他国家及组织也提出了很多与信息安全管理相关的标准。(二)网络安全法
党的十八大以来,国家网络安全保障体系不断健全,网络安全能力和水平大幅提升,并取得显著成绩:以《中华人民共和国网络安全法》为核心的法律政策框架基本形成;全社会网络安全意识明显提升,人才建设取得突破性进展;关键信息基础设施防护能力持续增强,网络安全技术产业快速发展;互联网治理全面加强,网络空间文明有序。《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。该法是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。该法将近年来一些成熟的好做法制度化,并对将来可能的制度创新进行了原则性规定,为网络安全工作提供切实法律保障。(三)国家网络安全宣传周“国家网络安全宣传周”是为了“共建网络安全,共享网络文明”而开展的主题活动,围绕金融、电信、电子政务、电子商务等重点领域和行业网络安全问题,针对社会公众关注的热点问题,举办网络安全体验展等系列主题宣传活动,营造网络安全人人有责、人人参与的良好氛围。
从2014年开始,在全国范围统一举办“国家网络安全宣传周”,以通俗易懂、人民群众喜闻乐见的形式,开展网络安全进社区、进校园、进企业、进家庭等活动,增强广大网民的网络安全意识,提升基本防护技能,在全社会形成人人学安全、懂安全、重安全的良好氛围。
正如习近平总书记所指出的,“没有网络安全就没有国家安全”。今天的互联网,已经被国际社会确立为继“陆海空天”之后的第五空间,网络安全治理成为国家安全治理的一个重要领域。正因为如此,习近平总书记突出强调要“维护网络安全”,“共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系”。与此同时,中国正在积极推进网络建设,让互联网发展成果惠及13亿中国人民。要实现这一目标,就必须加强网络安全建设,构筑网络安全防线。
练一练
单项选择题
信息安全的发展大致经历了三个阶段,目前处于( )阶段。
A.通信安全 B.信息保障 C.计算机安全 D.网络安全【解析】信息安全发展大致经历了三个阶段,即通信安全阶段、信息安全阶段、信息保障阶段。本题正确答案为B。
学完上述内容以后,大家应该知道信息安全存在于我们的生活中,面对信息安全威胁,我们可以采用多种方法去解决。在本部分中,如果你能够了解随着技术的不断发展,信息安全的侧重点在不断变化,信息安全的威胁也在变化,那么恭喜你,你已经掌握了本部分的知识。请认真完成在线学习活动4,它将有助于你更好地巩固本部分的相关内容。
到这里,本单元的学习之旅就告一段落了,请大家认真欣赏沿途的风景,并记得按时完成本单元的作业,然后上传至网络平台中的“本单元作业”处。
拓展阅读
1.周学广,张焕国,张少武.信息安全学.北京:机械工业出版社,2008.
2.薛丽敏,陆幼骊,罗隽.信息安全理论与技术.北京:国防工业出版社,2014.
3.朱雪龙.应用信息论基础.北京:清华大学出版社,2001.
单元小结
本单元主要讲述了信息安全的概念、信息安全的实现、信息安全的发展与现状。学完本单元,学生应该能够认识到信息安全存在于我们的生活中,面对信息安全威胁,我们可以采用多种方法去解决,而且随着技术的不断发展,信息安全的侧重点在不断变化,信息安全的威胁也在变化。
以上就是本单元的全部内容,感谢大家的努力,继续保持,加油!第二单元 计算机病毒
学习导引
同学们好!欢迎你们来到“网络安全与管理”课程的课堂。这门课程将带领我们更好地了解信息安全,了解信息安全给我们带来的影响,以及通过各种手段来解决各类信息安全问题。2006年12月大规模爆发的“熊猫烧香”病毒,造成的危害堪称严重:据统计,全国有上百万台计算机感染该病毒,数以千计的企业受到侵害……计算机病毒是什么?我们应该如何防范?
在本单元,我们将共同学习何为计算机病毒、计算机病毒的种类以及如何防治计算机病毒等内容。学完之后,相信你对计算机病毒会有一个全新的认识,对网络安全和计算机安全有新的理解。
在本单元的学习之旅中,需要你们认真学习本单元的内容,观看教学视频,完成在线学习活动以及作业。只有按照要求完成上述所有环节的内容,你才算完成了本单元的学习任务。
学习目标
学完本单元内容之后,你将能够:(1)了解什么是计算机病毒;(2)阐释计算机病毒的种类;(3)举例说明杀毒软件的常用查杀原理;(4)清除计算机病毒和恶意软件。
接下来,让我们一步步深入理解本单元的学习内容吧。首先,我们来熟悉一下本单元内容的整体框架。
知识结构图
图2–1是本单元的整体框架以及学习这部分内容的思维过程规划。此图可以帮助大家从整体上了解本单元的知识结构和学习路径,包括计算机病毒概述、典型病毒分析与清除、恶意软件分析与清除。请大家仔细品读和理解,建立对本部分知识的整体印象。图2–1 本单元知识结构图
看完上面的知识结构图后,大家是否已经对本单元所要学的内容以及如何学习这些内容有一个初步的整体印象了呢?接下来,我们在这个整体框架的指引下逐一学习每个知识点。我们要在理解计算机病毒种类、病毒的特点及杀毒软件的原理的基础上,重点学习如何防治计算机病毒以及维护计算机安全。结合生活经验和对相关问题的认识,将理论与现实相结合。知识点1 计算机病毒概述
学前思考1:
很多时候,大家已经用杀毒软件查出了自己的计算机中了病毒,例如查出了Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15 等这些带一串英文和数字的病毒名,有些人就懵了,这些是什么东西?会对计算机产生什么影响?
请你参考更多资料,思考一下,计算机病毒给我们带来了什么影响。
你想好了吗?让我们带着问题学习以下内容吧。本节知识重点
学习提示:计算机病毒会破坏计算机功能或者数据,能影响计算机的使用。在本部分中,我们需要重点关注计算机病毒的概念、特点、杀毒软件等。如果单纯阅读教材上的内容有障碍,我们还可以通过观看视频《计算机病毒特点与杀毒软件》来加深理解,然后完成在线学习活动5。接下来,让我们一起认真学习计算机病毒的相关内容。
一、计算机病毒的概念
计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。
计算机病毒是一个程序,一段可执行代码,就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
计算机病毒与医学上的病毒不同,计算机病毒不是天然存在的,是人们利用计算机软件和硬件所固有的脆弱性而编制的一组指令集或程序代码。它能潜伏在计算机的存储介质(或程序)里,条件满足时即被激活,通过修改其他程序的方法将自己精确拷贝或者以可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏。计算机病毒是人为制造的,对计算机用户的危害性很大。
二、计算机病毒的发展
第一份关于计算机病毒理论的学术工作(“病毒”一词当时并未使用)于1949年由约翰·冯·诺伊曼完成。他以“Theory and Organization of Complicated Automata”为题在伊利诺伊大学演讲,后改以“Theory of Self-reproducing Automata”为题出版。约翰·冯·诺伊曼在他的论文中描述了一个计算机程序如何复制其自身。
1980年,Jürgen Kraus 于多特蒙德大学撰写他的学位论文“Self-reproduction of Programs”。论文中假设计算机程序可以表现出如同病毒般的行为。
1983 年 11月,在一次国际计算机安全学术会议上,美国学者科恩第一次明确提出计算机病毒的概念,并进行了演示。
1987年,第一个计算机病毒C-BRAIN诞生。由巴基斯坦兄弟巴斯特(Basit)和阿姆捷特(Am jad)编写。此时的计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。
1988年,中国最早的计算机病毒在财政部的计算机上被发现。
1989年,引导型病毒发展为可以感染硬盘的计算机病毒,典型的代表有“石头2”。
1990年,计算机病毒发展为复合型病毒,可感染com和exe文件。
1992年,计算机病毒利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒。
1995年,当生成器的生成结果为病毒时,产生了复杂的“病毒生成器”,幽灵病毒流行中国。典型病毒代表是“病毒制造机”“VCL”。
1998年,台湾大同工学院学生陈盈豪编制了CIH病毒。
2000年,最具破坏力的十种病毒分别是Kakworm、爱虫、Apology-B、Marker、Pretty、Stages-A、Navidad、Ska-Happy99、WM97/Thus、XM97/Jin。
2003年,我国发作最多的十种病毒分别是红色结束符、爱情后门、FUNLOVE、QQ传送者、冲击波杀手、罗拉、求职信、尼姆达II、QQ木马、CIH。
2005年1月到10月,金山反病毒监测中心共截获或监测到的病毒达到50 179个,其中木马、蠕虫、黑客病毒占其中的91%,以盗取用户有价账号的木马病毒(如网银、QQ、网游)为主,达2 000多种。
2007年1月,计算机病毒累计感染了中国80%的用户,其中78%以上的病毒为木马、后门病毒。“熊猫烧香”肆虐全球。
2010年,越南拥有计算机的数量已达500万台,其中93%感染过病毒,共损失59 000万亿越南盾。
2017年5月,一种名为“想哭”的勒索病毒席卷全球,在短短一周时间里,上百个国家和地区受到影响。据美国有线新闻网报道,截至2017年5月15日,大约有150个国家受到影响,至少30万台计算机被病毒感染。
三、计算机病毒的分类
计算机病毒种类繁多且复杂,按照不同的方式以及计算机病毒的特点,可以有多种不同的分类方法。同时,根据不同的分类方法,同一种计算机病毒也可能属于不同的病毒种类。(一)按破坏性分类
按破坏性大小,计算机病毒可分为良性病毒、恶性病毒、极恶性病毒、灾难性病毒。(二)按传染方式分类
引导区型病毒主要通过软盘在操作系统中传播,感染引导区,蔓延到硬盘,并能感染硬盘中的“主引导记录”。
文件型病毒是文件感染者,也称为寄生病毒。它在计算机存储器中运行,通常感染扩展名为com、exe、sys等类型的文件。
混合型病毒具有引导区型病毒和文件型病毒两者的特点。
宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。(三)按连接方式分类
源码型病毒攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。源码型病毒较为少见,亦难以编写。
入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。这类病毒只攻击某些特定程序,针对性强。一般情况下难以被发现,清除起来也较困难。
操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,故这类病毒的危害性较大。
外壳型病毒通常将自身附着在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部分的文件型病毒都属于这一类。
四、计算机病毒的特点(一)繁殖性
计算机病毒可以像生物病毒一样进行繁殖,当正常程序运行时,它也进行自身复制,是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。(二)破坏性
计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或使文件受到不同程度的损坏。若破坏了引导扇区及BIOS,则硬件环境被破坏。(三)传染性
计算机病毒的传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染给其他无毒的对象,这些对象可以是一个程序,也可以是系统中的某一个部件。(四)潜伏性
计算机病毒的潜伏性是指计算机病毒可以依附于其他媒体寄生的能力,侵入后的病毒潜伏到条件成熟时才发作,会使计算机变慢。(五)隐蔽性
计算机病毒具有很强的隐蔽性,可以通过病毒软件检查出来少数。计算机病毒时隐时现、变化无常,处理起来非常困难。(六)可触发性
编制计算机病毒的人,一般都为病毒程序设定了一些触发条件,例如,系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足,计算机病毒就会发作,使系统遭到破坏。
五、计算机病毒的命名方式
世界上有那么多的计算机病毒,反病毒公司为了方便管理,会按照病毒的特性将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。
一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>。
病毒前缀是指一个病毒的种类,是用来区别病毒的种族分类的。不同种类的病毒,其前缀是不同的。比如常见的木马病毒的前缀为 Trojan,蠕虫病毒的前缀是 Worm 等。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的。如著名的CIH病毒的家族名都是统一的“CIH”,再如振荡波蠕虫病毒的家族名是“ Sasser ”。
病毒后缀是指一个病毒的变种特征,是用来区别某个具体家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如Worm.Sasser.B就是指振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多(也表明该病毒生命力顽强),可以采用数字与字母混合表示变种标识。
综上所述,一个病毒的前缀对于快速地判断该病毒属于哪种类型是有非常大的帮助的。通过判断病毒的类型,可以对这个病毒有个大概的评估(当然,这需要积累一些常见病毒类型的相关知识,这不在本文讨论范围内)。而通过病毒名,可以利用查找资料等方式进一步了解该病毒的详细特征。通过病毒后缀,能知道现在在你的计算机里存在的病毒是哪个变种。
下面介绍一些常见的病毒前缀的解释(针对用得最多的Windows操作系统)。(一)系统病毒
系统病毒的前缀为Win32、PE、Win95、W32、W95等。这些病毒的一般公有特性是可以感染Windows操作系统的exe和dll文件,并通过这些文件进行传播。如CIH病毒。(二)蠕虫病毒
蠕虫病毒的前缀是Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件、阻塞网络的特性。比如“冲击波”(阻塞网络)、“小邮差”(发带毒邮件) 等。(三)木马病毒、黑客病毒
木马病毒的前缀是Trojan,黑客病毒的前缀一般为 Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的计算机进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的计算机,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型的病毒越来越趋向于整合了。一般的木马病毒如Trojan.QQ3344,还有大家可能遇见比较多的针对网络游戏的木马病毒Trojan.LMir.PSW.60。这里补充一点,病毒名中有PSW一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“Password”的缩写)。(四)脚本病毒
脚本病毒的前缀是Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行传播,如红色代码(Script.Redlof)。脚本病毒还会有VBS、JS(表明是何种脚本编写的)等前缀,如“欢乐时光”(VBS.Happytime)、“十四日”(JS.Fortnight.c.s)等。(五)宏病毒
宏病毒也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是Macro,第二前缀是Word97、Word、Excel97、Excel(也许还有别的)其中之一。
凡是只感染Word97及以前版本Word文档的病毒,采用Word97作为第二前缀,格式是:Macro.Word97。
凡是只感染Word97以后版本Word文档的病毒,采用Word作为第二前缀,格式是:Macro.Word。
凡是只感染Excel97及以前版本Excel文档的病毒,采用Excel97作为第二前缀,格式是:Macro.Excel97。
凡是只感染Excel97以后版本Excel文档的病毒,采用Excel作为第二前缀,格式是:Macro.Excel,依此类推。
该类病毒的公有特性是能感染Office系列文档,然后通过Office通用模板进行传播,如著名的“美丽莎”(Macro.Melissa)。(六)后门病毒
后门病毒的前缀是Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户的计算机带来安全隐患。如Backdoor.IRCBot。(七)病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒进行破坏。如冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。(八)破坏性程序病毒
破坏性程序病毒的前缀是Harm。这类病毒的公有特性是通过本身具有的好看图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机进行破坏。如格式化C盘(Harm.FormatC.f)、杀手命令(Harm.Command.Killer)等。(九)玩笑病毒
玩笑病毒的前缀是Joke,也称恶作剧病毒。这类病毒的公有特性是通过本身具有的好看图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户计算机进行任何破坏。如女鬼病毒(Joke.Girlghost)。(十)捆绑机病毒
捆绑机病毒的前缀是Binder。这类病毒的公有特性是病毒编制者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒的应用程序时,会运行捆绑在一起的病毒,从而给用户造成危害。如捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.Killsys)等。
以上为比较常见的病毒前缀,有时候还会看到一些其他的类型,但比较少见,例如:
DOS:会针对某台主机或者服务器进行DOS攻击。
Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者其本身就是一个用于攻击的溢出工具。
HackTool:黑客工具,也许本身并不破坏用户的计算机,但是会被别人加以利用,以用户的计算机做替身去破坏别人的计算机。
你可以在查出某个病毒以后,通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的目的。当无法自动查杀,打算采用手工方式查杀的时候,这些信息会给你很大的帮助。
六、杀毒软件
学习了上面这么多种类型的计算机病毒,我们可以大致了解到,其实计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,通俗的理解就是藏在计算机的硬盘和内存中,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合(其实就是一段代码集合)。
既然我们知道计算机病毒对我们的计算机有破坏性的危害,那么怎么防治呢?其实方法相当简单——使用杀毒软件。我们计算机里安装的360安全卫士、QQ电脑管家或者金山毒霸,它们都是杀毒软件。
杀毒软件是根据什么来进行病毒判断并查杀的呢?在讲这个问题之前,首先要弄清楚杀毒软件检测病毒的方法。在与病毒的对抗中,及早发现病毒很重要,早发现,早处理,可以减少损失。这些杀毒软件依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。常用的杀毒软件的查杀原理有特征码法、校验和法、行为监测法和软件模拟法,我们详细介绍前两种。(一)特征码法
特征码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征码法是检测已知病毒的最简单、开销最小的方法。
采用特征码法的要求如下:(1)抽取的代码比较特殊,不大可能与普通正常程序代码吻合。(2)抽取的代码长度适当,一方面维持特征码的唯一性,另一方面不要占用太多的空间与时间。如果一种病毒的特征码增加一个字节,要检测3 000种病毒,增加的空间就是3 000字节。在保持唯一性的前提下,尽量使特征码长度短些。
杀毒软件在扫描文件的时候,在文件中搜索是否含有病毒数据库中的病毒特征码。如果发现病毒特征码,由于特征码与病毒一一对应,便可以断定其为病毒。这里的特征码分为两个部分,第一部分是特征码位置;第二部分是狭义上的特征码。
杀毒软件运用特征码扫描确定某文件为病毒时,这个文件需要满足两个条件:(1)该文件中的某一位置与杀毒软件病毒库的某一位置相对应。(2)该位置上存放的代码与病毒库中定义的该位置上的代码相同。
特征码的特点包括:
第一,速度慢。随着病毒种类的增多,检索时间变长。如果检索5 000种病毒,必须对5 000个病毒特征码逐一检查。如果病毒种类在增加,检索病毒的时间和开销就变得十分可观。
第二,误报率低。
第三,不能检查多态性病毒。使用特征码法是不可能检测多态性病毒的。国外专家认为,多态性病毒是病毒特征码法的“索命者”。
第四,不能对付隐藏性病毒。隐藏性病毒如果先于检测工具运行的时间进驻内存,在被检测工具扫描前已经将被查文件中的病毒代码剥去,检测工具运行时便是在检查一个虚假的“好文件”,因而不会报警,会被隐藏性病毒所蒙骗。(二)校验和法
对正常文件的内容计算其校验和,将该校验和写入文件中或写入别的文件中保存,在文件使用过程中,定期或不定期地检查根据文件当前内容计算出的校验和与原来保存的校验和是否一致,由此得出文件是否被感染的结论,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中,除了特征码法之外,还纳入校验和法,以提高其检测能力。
运用校验和法检测病毒采用三种方式:(1)在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
试读结束[说明:试读内容隐藏了图片]