第一講網(wǎng)絡(luò)安全3周

1、網(wǎng)絡(luò)安全1、計(jì)算機(jī)犯罪簡介 當(dāng)今社會，計(jì)算機(jī)技術(shù)飛速發(fā)展。同時計(jì)算機(jī)技術(shù)也是一柄雙刃劍，它的廣泛應(yīng)用和迅猛發(fā)展，一方面使社會生產(chǎn)力獲得極大解放，另一方 面又給人類社會帶 來前所未有的挑戰(zhàn)， 其中尤以計(jì)算機(jī)犯 罪為甚。 所謂計(jì)算機(jī)犯罪是指行為人利用計(jì)算機(jī)操作所實(shí)施的危害計(jì)算機(jī)信息系統(tǒng)（包括內(nèi)存數(shù)據(jù)和程序）安全和其他嚴(yán)重危害社會的犯罪行為 。從1966年美國 查處的第一起計(jì) 算機(jī)犯罪案算起 ，世界范圍內(nèi)的 計(jì)算機(jī)犯罪以驚 人的速度在增長。 2、計(jì)算機(jī)犯罪的類型 計(jì)算機(jī)犯罪的類型，由于著眼點(diǎn)的不同，有不同的分類 ，視 計(jì)算機(jī)在犯罪 中的角色而定。有 學(xué)者認(rèn)為，計(jì)算機(jī) 在犯罪中所扮演的 角色主要有如下

2、四 種。（1） 計(jì)算機(jī)作為犯罪的目標(biāo)，盜取硬件或軟件數(shù)據(jù)等 （2） 計(jì)算機(jī)作為犯罪的主體或環(huán)境，如電子轉(zhuǎn)帳欺詐等 （3） 計(jì)算機(jī)作為犯罪的工具，如計(jì)算機(jī)間諜刺探機(jī)密等 （4） 計(jì)算機(jī)作為犯罪的象征或符號，即計(jì)算機(jī)可能被用來作為掩飾計(jì)算機(jī)或?yàn)E用行為。 2007年肆虐網(wǎng)絡(luò)的熊貓燒香病毒就是一個典型例子。熊貓燒香病毒是一種經(jīng)過多次變種的蠕蟲病毒變種，2006年10月16日由25歲的中國湖北武漢 人李俊編寫，2007年1月 初肆虐網(wǎng)絡(luò)，它主要通過 下載的檔案傳染。對計(jì)算 機(jī)程序、系統(tǒng)破壞嚴(yán)重。3、計(jì)算機(jī)犯罪實(shí)例及常見病毒 1998年9月西安市某銀行支行營業(yè)室計(jì)算機(jī)程序員白某利用計(jì)算機(jī)盜竊銀行80.6萬

3、元人民幣，被西安市公安局計(jì)算機(jī)安全監(jiān)察人員配合刑警成功破獲。同月，郝某兄弟二人通過非法 侵入中國工商銀 行揚(yáng)州分行計(jì)算 機(jī)系統(tǒng)，提取虛 增存款，盜竊銀 行72萬元人民幣。 一、計(jì)算機(jī)病毒1.什么是計(jì)算機(jī)病毒？醫(yī)學(xué)上的病毒定義：是一類比較原始的、有生命特征的、能夠自我復(fù)制和在細(xì)胞內(nèi)寄生的非細(xì)胞生物。 計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 1988年11月2日下午5時1分59秒，美國康奈爾大學(xué)的計(jì)算機(jī)科學(xué)系研究生、23歲的莫里斯將其編寫的蠕蟲程序輸入計(jì)算機(jī)網(wǎng)絡(luò)，這個網(wǎng)絡(luò)連接著大學(xué)、研究機(jī)關(guān)的15.5萬臺計(jì)算機(jī)

4、，在幾小時內(nèi)導(dǎo)致網(wǎng)絡(luò)堵塞，運(yùn)行遲緩。2.病毒的產(chǎn)生原因（1）編制人員出于一種炫耀和顯示自己能力的目的（熊貓燒香）。（2）某些軟件作者出于版權(quán)保護(hù)的目的而編制 （微軟公司）。（3）出于某種報(bào)復(fù)目的或惡作劇而編寫病毒 （木馬病毒）。（4）出于政治、戰(zhàn)爭的需要（1991年海灣戰(zhàn)爭，美軍第一次將病毒用于戰(zhàn)爭）。電腦病毒發(fā)展史1986 年初，在巴基斯坦的拉合爾 (Lahore)，巴錫特 (Basit) 和阿姆杰德(Amjad) 兩兄弟經(jīng)營著一家 IBM-PC 機(jī)及其兼容機(jī)的小商店。他們編寫了Pakistan 病毒，即Brain。在一年內(nèi)流傳到了世界各地。世界上公認(rèn)的第一個在個人電腦上廣泛流行的病毒通過軟

5、盤傳播。時代劃分時間總結(jié)第一代：傳統(tǒng)病毒1986-1989DOS引導(dǎo)階段DOS可執(zhí)行階段第二代：混合病毒(超級病毒)1989-1991伴隨、批次型階段第三代：多態(tài)性病毒1992-1995幽靈、多形階段生成器、變體機(jī)階段第四代：網(wǎng)絡(luò)性病毒90年代中后宏病毒階段網(wǎng)絡(luò)、蠕蟲階段1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個被稱為“蠕蟲”的電腦病毒送進(jìn)了美國最大的電腦網(wǎng)絡(luò)互聯(lián)網(wǎng)。1988年11月2日下午5點(diǎn)，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡(luò)有不明入侵者。當(dāng)晚，從美國東海岸到西海岸，互聯(lián)網(wǎng)用戶陷入一片恐慌?！叭湎x” 莫里斯CIHCIH病毒是一種能夠破壞計(jì)算機(jī)系統(tǒng)硬件的惡性病毒。當(dāng)計(jì)算機(jī)被重新啟動后，用戶

6、會發(fā)現(xiàn)自己計(jì)算機(jī)硬盤上的數(shù)據(jù)被全部刪除了，甚至某些計(jì)算機(jī)使用者主板上Flash ROM中的BIOS數(shù)據(jù)被清除 沖擊波沖擊波（Worm.Blaster）病毒是利用微軟公司在7月21日公布的RPC漏洞進(jìn)行傳播的，只要是計(jì)算機(jī)上有RPC服務(wù)并且沒有打安全補(bǔ)丁的計(jì)算機(jī)都存在有RPC漏洞，具體涉及的操作系統(tǒng)是：Windows2000、XP、Server 2003。該病毒感染系統(tǒng)后，會使計(jì)算機(jī)產(chǎn)生下列現(xiàn)象：系統(tǒng)資源被大量占用，有時會彈出RPC服務(wù)終止的對話框，并且系統(tǒng)反復(fù)重啟, 不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁，復(fù)制粘貼等操作受到嚴(yán)重影響，DNS和IIS服務(wù)遭到非法拒絕等。 “武漢男生”

7、俗稱“熊貓燒香”2007年李俊制作該病毒。它是一個感染型的蠕蟲病毒，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣紅色代碼紅色代碼病毒是一種網(wǎng)絡(luò)傳播的文件型病毒。該病毒主要針對微軟公司的Microsoft IIS和索引服務(wù)的Windows NT4.0以及Windows2000服務(wù)器中存在的技術(shù)漏洞進(jìn)行對網(wǎng)站的攻擊。 服務(wù)器受到感染的網(wǎng)站將被修改。如果是在英文系統(tǒng)下，紅色代

8、碼病毒會繼續(xù)修改網(wǎng)頁；如果是在中文系統(tǒng)下，紅色代碼病毒會繼續(xù)進(jìn)行傳播。 3. 計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象（共28項(xiàng)） 1.計(jì)算機(jī)系統(tǒng)運(yùn)行速度減慢。 2.計(jì)算機(jī)系統(tǒng)經(jīng)常無故發(fā)生死機(jī)。 3.計(jì)算機(jī)系統(tǒng)中的文件長度發(fā)生變化。 4.計(jì)算機(jī)存儲的容量異常減少。 5.系統(tǒng)引導(dǎo)速度減慢。 6.丟失文件或文件損壞。 7.計(jì)算機(jī)屏幕上出現(xiàn)異常顯示。 8.計(jì)算機(jī)系統(tǒng)的蜂鳴器出現(xiàn)異常聲響。 9.磁盤卷標(biāo)發(fā)生變化。 10.系統(tǒng)不識別硬盤。 11.對存儲系統(tǒng)異常訪問。 12.鍵盤輸入異常。 13.文件的日期、時間、屬性等發(fā)生變化。 14.文件無法正確讀取、復(fù)制或打開。 15.命令執(zhí)行出現(xiàn)錯誤。 16.虛假報(bào)警。 17.換當(dāng)前

9、盤。有些病毒會將當(dāng)前盤切換到C盤。 18.時鐘倒轉(zhuǎn)。有些病毒會命名系統(tǒng)時間倒轉(zhuǎn)，逆向計(jì)時。 19.WINDOWS操作系統(tǒng)無故頻繁出現(xiàn)錯誤?；驘o法正常啟動。20.系統(tǒng)異常重新啟動。 21.一些外部設(shè)備工作異常。如打印和通訊發(fā)生異常。 22.異常要求用戶輸入密碼。 23.WORD或EXCEL提示執(zhí)行“宏”。 24.不應(yīng)駐留內(nèi)存的程序駐留內(nèi)存。 25平時運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無緣無故地死機(jī)。 26收到陌生人發(fā)來的電子郵件。 27自動鏈接到一些陌生的網(wǎng)站。 28網(wǎng)絡(luò)癱瘓。 4.計(jì)算機(jī)病毒的特征 （2）破壞性 （1）傳染性 （3）隱蔽性 （6） 寄生性 （4）可觸發(fā)性（5）潛伏性5.計(jì)算機(jī)病毒的傳播

10、途徑 計(jì)算機(jī)病毒主要是通過復(fù)制文件、發(fā)送文件、運(yùn)行程序等操作傳播的。通常有以下幾種傳播途徑： 1移動存儲設(shè)備 包括硬盤、移動硬盤、光盤等。硬盤是數(shù)據(jù)的主要存儲介質(zhì)，因此也是計(jì)算機(jī)病毒感染的主要目標(biāo)。 2網(wǎng)絡(luò) 目前大多數(shù)病毒都是通過網(wǎng)絡(luò)進(jìn)行傳播的，破壞性很大。6.計(jì)算機(jī)病毒的分類 我們把計(jì)算機(jī)病毒大致歸結(jié)為7種類型。 1引導(dǎo)型病毒。主要通過感染軟盤、硬盤上的引導(dǎo)扇區(qū)或改寫磁盤分區(qū)表（FAT）來感染系統(tǒng)。早期的計(jì)算機(jī)病毒大多數(shù)屬于這類病毒。 2文件型病毒。它主要是以感染COM、EXE等可執(zhí)行文件為主，被感染的可執(zhí)行文件在執(zhí)行的同時，病毒被加載并向其它正常的可執(zhí)行文件傳染或執(zhí)行破壞操作。文件型病毒大

11、多數(shù)也是常駐內(nèi)存的。 3宏病毒。宏病毒是一種寄存于微軟Office的文檔或模板的宏中的計(jì)算機(jī)病毒，是利用宏語言編寫的。由于Office軟件在全球存在著廣泛的用戶，所以宏病毒的傳播十分迅速和廣泛。 4蠕蟲病毒。蠕蟲病毒與一般的計(jì)算機(jī)病毒不同，它不采用將自身拷貝附加到其它程序中的方式來復(fù)制自己，也就是說蠕蟲病毒不需要將其自身附著到宿主程序上。蠕蟲病毒主要通過網(wǎng)絡(luò)傳播，具有極強(qiáng)的自我復(fù)制能力、傳播性和破壞性。 5特洛伊木馬型病毒。特洛伊木馬型病毒實(shí)際上就是黑客程序，一般不對計(jì)算機(jī)系統(tǒng)進(jìn)行直接破壞，而是通過網(wǎng)絡(luò)控制其它計(jì)算機(jī)，包括竊取秘密信息，占用計(jì)算機(jī)系統(tǒng)資源等現(xiàn)象。 6網(wǎng)頁病毒。網(wǎng)頁病毒一般也是使

12、用腳本語言將有害代碼直接寫在網(wǎng)頁上，當(dāng)瀏覽網(wǎng)頁時會立即破壞本地計(jì)算機(jī)系統(tǒng)，輕者修改或鎖定主頁，重者格式化硬盤，使你防不勝防。 7混合型病毒。兼有上述計(jì)算機(jī)病毒特點(diǎn)的病毒統(tǒng)稱為混合型病毒，所以它的破壞性更大，傳染的機(jī)會也更多，殺毒也更加困難。 有多種分類方法：根據(jù)病毒存在的媒體可分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。 根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒。按病毒破壞的能力可分為無害型、無危險(xiǎn)型、危險(xiǎn)型、非常危險(xiǎn)型。按病毒的算法可分為伴隨型病毒，“蠕蟲”型病毒，寄生型病毒、詭秘型病毒（它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。）、變型病毒（又稱幽靈病毒） （這一類病毒使用一個復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成）。 按破壞程度可分為惡性病毒和良性病毒，其中良性病毒可導(dǎo)致系統(tǒng)運(yùn)行效率降低。二、安全設(shè)置：1.認(rèn)識防火墻防火墻是一個或一組網(wǎng)絡(luò)設(shè)備，它架在兩個或兩個以上的網(wǎng)絡(luò)之間，用來加強(qiáng)訪問控制，免得一個網(wǎng)絡(luò)受到來自另一個網(wǎng)絡(luò)的攻擊。防火墻分為硬件防火墻和軟件防火墻兩類。2.病毒的預(yù)防措施