計算機安全與保密

計算機安全與保密人類社會誕生以來出現(xiàn)了三次巨大的生產方式的變革，與此相適應產生了三種不同類型的人類文明:第一次：農業(yè)革命第二次：工業(yè)革命第三次：信息革命（以計算機網(wǎng)絡為主體）(二)第一臺電子計算機誕生1946年2月15日，在美國賓夕法尼亞大學莫爾學院誕生了世界上第一臺電子計算機，該電子計算機被命名為“埃尼阿克”（ENIAC），“埃尼阿克”是“電子數(shù)值積分計算機”。由于馮.諾依曼(JohnvonNeumann,美籍匈牙利數(shù)學家)是主要研究者，又稱馮.諾依曼式計算機。第一臺電子計算機使用了1.7萬支電子管，7萬只電阻，1萬只電容，工作時耗電量為150千瓦／每小時，占地面積170平方米，總重量達30多噸。每秒鐘可進行5000次運算。第一階段:1946-1955，電子管第二階段:1956-1963，晶體管第三階段:1964-1971，中小規(guī)模集成電路第四階段:1972至今，大規(guī)模集成電路第五階段:網(wǎng)絡計算機或后PC時代(人工智能)（一）什么是計算機網(wǎng)絡所謂計算機網(wǎng)絡，是指通過某種通信線路將地理位置上分散的多臺計算機聯(lián)系在一起，從而實現(xiàn)計算機資源共享和信息共享。INTERNET。（二）因特網(wǎng)（INTERNET)的由來１９６９年，美國國防部主持研制了世界上第一個計算機分組交換網(wǎng)，稱為高級研究項目機構網(wǎng)絡ARPAN.1972年，在首屆計算機和通信國際會議上，首次公布了ARPANET。1983年，TCP/IP正式成為軍用標準。（四）因特網(wǎng)的快速發(fā)展原因管理松散，資源龐大，使用便捷，功能齊全。（五）計算機網(wǎng)絡的前景1、“三網(wǎng)合一”電話網(wǎng)、電視網(wǎng)和計算機數(shù)據(jù)網(wǎng)三網(wǎng)合一，即現(xiàn)在所說的ＩＰ網(wǎng)（數(shù)字化傳輸），同一個傳輸平臺。電腦、電視、電話將被單獨設備代替。2、商業(yè)化3、多媒體環(huán)境4、智能化從計算機及網(wǎng)絡的硬件環(huán)境看，至少存在如下漏洞：1.存儲介質的高密度增加了信息丟失的客觀可能性目前多種存儲介質體積小，存放時容易丟失，攜帶時容易損壞。信息容易無痕跡地被拷貝，因而，保密難度大大增加。2.電磁易泄漏增加了信息被截獲的可能性計算機設備在工作時會產生電磁輻射，借助一定的儀器設備就可在一定的范圍內接收到輻射出的電磁波，通過一些高靈敏度的儀器可以清晰地還原計算機正在處理的信息，從而導致信息泄露。3.易搭線、易受破壞、易串線進入計算機通信線路和網(wǎng)絡存在諸多弱點，如可以通過搭線未受保護的外部線路切入系統(tǒng)內部進行非授權訪問、通信線路和網(wǎng)絡易受到破壞或搭線竊聽、線路間也有串線進入的可能。4.介質剩磁效應存儲介質中存儲的信息有時是清除不掉或清除不干凈的，會留下可讀信息的痕跡，如果被利用，就會造成信息的泄露。5.系統(tǒng)的復雜性增加了受破壞的概率多用途、大規(guī)模的系統(tǒng)環(huán)境都要求支持本地、遠程、相互及實時操作。從操作系統(tǒng)的安全情況看，操作系統(tǒng)的程序是可以動態(tài)連接的，I/O打補丁的方式存在安全隱患。6.網(wǎng)絡硬件設備的不一致增加了不安全性網(wǎng)絡設備種類繁多，從網(wǎng)絡服務器、路由器到網(wǎng)絡操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)都具有自己的安全狀況和保密機制。配置不當，極易造成安全漏洞。六、人為失誤或破壞使安全保密問題成為永久難題1．人為失誤由于過失，人為改變機房的溫、濕度環(huán)境，突然中止供電，偶然撞斷線路等，對系統(tǒng)都會造成影響，甚至使信息泄露或丟失。2．人為破壞人為破壞主要有三類情況：一是形形色色的入侵行為。入侵者出于政治、軍事、經(jīng)濟、學術競爭、對單位不滿或惡作劇等目的，使用破解口令、掃描系統(tǒng)漏洞、IP欺騙、修改Web／CGI腳本程序或套取內部人員資料等手段，侵入系統(tǒng)實施破壞。我國刑法對這類犯罪行為規(guī)定了兩類罪名，即侵入計算機信息系統(tǒng)罪和破壞計算機信息系統(tǒng)罪。二是利用網(wǎng)上黑客工具等手段竊取他人互聯(lián)網(wǎng)賬號及密碼。三是制作、傳播破壞性程序，實施網(wǎng)絡攻擊。第二節(jié)計算機安全保密的基本目標計算機安全保密主要包括兩個部分：一是網(wǎng)絡安全，二是信息安全。網(wǎng)絡安全是基礎，信息安全是目的。一、網(wǎng)絡安全的目標網(wǎng)絡安全主要包括系統(tǒng)運行的可靠性、可用性和完整性。1、網(wǎng)絡的可靠性：主要是指構成系統(tǒng)的網(wǎng)絡、硬件、軟件無故障、無差錯，能夠在規(guī)定的條件下和時間內完成規(guī)定的功能，主要包括硬件可靠性、軟件可靠性、人員可靠性和環(huán)境可靠性等?？煽啃允窍到y(tǒng)安全的最基本要求之一，是一切信息系統(tǒng)建設和運行的目標?？煽啃缘臏y度有三種，即抗毀性、生存性和有效性。2、網(wǎng)絡可用性：主要是指系統(tǒng)向授權用戶提供有效服務的特性，包括系統(tǒng)在正常情況下允許授權用戶使用和在部分受損或需要降級時仍能為授權用戶提供服務等。一般用系統(tǒng)正常使用時間和整個工作時間之比作為測度標準。3、網(wǎng)絡完整性網(wǎng)絡完整性分為硬件完整性、軟件完整性。硬件完整性是要求構成網(wǎng)絡的通信線路和硬件設備滿足用戶需要的特性。軟件完整性是要求軟件具有唯一標識，可以防止拷貝、防止靜態(tài)分析、防止動態(tài)跟蹤；要求軟件有抗分析能力和完整性檢驗手段，以防止遭到非法修改；要求軟件進行加密處理。二、信息安全目標信息安全與系統(tǒng)安全既有類似之處，也有自己特殊的要求，是計算機安全的核心，主要包括信息的保密性、完整性、真實性、可控性和不可抵賴性等五個方面。二、計算機安全保密的基本內涵從其主要內容劃分，包括實體安全、網(wǎng)絡安全、軟件安全、運行安全和信息安全等五個方面；從其結構層次劃分，包括物理安全、安全控制和安全服務等三個方面。“一個認識”，即對計算機安全保密重要性的認識.“二項規(guī)劃”，即戰(zhàn)略規(guī)劃和戰(zhàn)術規(guī)劃“三方面措施”，即技術、管理和法律三管齊下，不能有倚有偏、有主有次。從技術角度，分析設計安全保密系統(tǒng)時應把握的原則和采取的方式。一、設計原則1．系統(tǒng)建設與安全建設同步實施在建設計算機信息系統(tǒng)時，應確保計算機系統(tǒng)技術和產品建設與安全保密同步，不要遺禍用戶和后來人，不要在系統(tǒng)建成后或運行過程中再補加安全措施，造成重復投資。只有這樣，才能實現(xiàn)系統(tǒng)使用效率最高而付出的代價最小。２．整體性與局部性相結合涉及國家事務、軍事國防和尖端科技領域的信息系統(tǒng)都是一個復雜的系統(tǒng)工程，對安全的需求是任何一種單元技術都無法解決的，必須從一個完整的體系結構出發(fā)，綜合考慮系統(tǒng)的各種實體和各個環(huán)節(jié)，綜合使用各層次的安全技術和手段。３．實用性和長遠性相結合由于系統(tǒng)的結構、用途、涉密程度都不一樣，因而，不可能要求采取一樣的安全措施，使用同樣的安全技術和產品，必須根據(jù)系統(tǒng)的自身情況，從實用性出發(fā)，確定安全重點。二、建立安全體系結構模型信息系統(tǒng)安全體系結構模型主要包括兩個方面，即協(xié)議層次模型和實體層次模型。1．協(xié)議層次模型從網(wǎng)絡體系結構的協(xié)議層次角度考察安全體系結構，得到網(wǎng)絡安全的協(xié)議層次模型。國際標準化組織（ISO）制定的開放系統(tǒng)互連（OSI）參考模型，成為研究、設計新的計算機網(wǎng)絡系統(tǒng)和評估、改進現(xiàn)有系統(tǒng)的理論依據(jù)，是實現(xiàn)網(wǎng)絡安全的基礎。為了提高計算機網(wǎng)絡系統(tǒng)的安全性，國際標準化組織在提出該模型后又制定了一個OSI安全體系結構（OSISecurityArchitecture,OSI-7498-2)，從而使計算機網(wǎng)絡安全保密技術研究具有全面性、協(xié)調性和有效性。如何實現(xiàn)計算機安全保密，除戰(zhàn)略上重視、策略上周密外，關鍵還是抓安全保密措施的落實，尤其是抓技術、管理和法規(guī)的三管齊下，落實到位。一、技術措施（一）建立技術控制模型計算機安全保密的技術控制模型必須建立在保護計算機系統(tǒng)、彌補技術漏洞的基礎上。計算機系統(tǒng)一般由物理環(huán)境、軟件程序、網(wǎng)絡通信及信息數(shù)據(jù)四個部分組成，且每一個部分都可能成為犯罪的對象或工具。因而，研究技術控制模型必須始終抓住這四個方面，并建立與之對應的物理環(huán)境技術控制機制、軟件程序控制機制、網(wǎng)絡通信控制機制和信息安全控制機制模型。1.建立技術控制模式應注意的問題(1)要確定信息的風險程度、服務對象、服務時限，這類信息若被非法篡改、盜用、公開、破壞，會不會造成經(jīng)濟上或其他方面的損失和問題，從而確定信息的安全等級。(2)要認真分析硬件、軟件、數(shù)據(jù)庫和應用程序等是否存在安全隱患，以制定相應的安全策略和安全措施，防患于未然。(3)要分析安全威脅的來源，哪些人將會利用技術漏洞來接觸你的信息，哪些人有便利條件能接觸到信息。(4)要設計并實現(xiàn)滿足要求的安全實施方案和具體工作步驟。信息系統(tǒng)在堅固性、保密性、可控性、可用性和不可抵賴性等方面的安全目標.(5)要采取人侵檢測等技術手段發(fā)現(xiàn)系統(tǒng)在安全方面的漏洞，及時予以修補，從而不斷完善和提高系統(tǒng)的安全性２．技術控制模型的實現(xiàn)途徑以法律法規(guī)形式規(guī)范我國信息系統(tǒng)建設和應用等問題。（二）組織開發(fā)具有自主知識產權的安全技術產品我國目前幾乎所有的計算機操作系統(tǒng)最高安全標準只能達到美國的Ｃ２級，即采用任意訪問控制模式，基本無安全可言。根據(jù)我國信息系統(tǒng)的安全狀況，目前，急需借鑒國外的經(jīng)驗和技術，研究密碼技術、系統(tǒng)掃描安全檢查技術、網(wǎng)絡攻擊監(jiān)控技術、信息內容監(jiān)控技術、審計跟蹤技術及證據(jù)搜集、認定等安全技術，并組織開發(fā)安全產品。二、管理措施安全管理是依托計算機系統(tǒng)的實踐活動，是維護系統(tǒng)安全，盡量減少計算機實體和信息安全風險的重要途徑。計算機安全管理可分為兩個部分，即內部管理和外部管理。三、法律控制1、刑法2、行政法3、行政法規(guī)4、部門規(guī)章5、地方法規(guī)一、計算機涉黃犯罪二、信用卡犯罪：惡意透支；偽造信用卡；信用卡詐騙三、我國計算機違法犯罪的主要特點1、利用互聯(lián)網(wǎng)泄露國家秘密，危害國家安全2、利用計算機，實施侵財性犯罪3、利用因特網(wǎng)，實施敲詐勒索犯罪4、制作、傳播有害信息，妨害社會管理5、攻擊重要部門信息網(wǎng)絡，危害信息網(wǎng)絡安全6、違反有關法規(guī)，干擾網(wǎng)絡管理。信息戰(zhàn)的主要構成應包括兩個方面：(一)利用信息技術構造自己的堅固不可摧的信息網(wǎng)絡，并在戰(zhàn)爭中千方百計地加以保護，確保指揮系統(tǒng)正常運轉，確保國家的政治、經(jīng)濟和各類社會網(wǎng)絡安全運行；(二)采用各種技術手段和各類武器裝備干擾、破壞或摧毀對方的軍事、政治、經(jīng)濟和社會信息網(wǎng)絡系統(tǒng)，達到不戰(zhàn)而勝的目的。利用信息技術制造的信息武器大致分為三類：(一)是制作、植入，并能在特定時間內、特定條件下激活的諸如計算機病毒等各類計算機程序，干擾、破壞對方信息網(wǎng)絡的功能及其所處理的數(shù)據(jù)，或者竊取其中的秘密信息；(二)是制作各類通信干擾信號，如無線干擾、衛(wèi)星干擾等，使對方的計算機信息網(wǎng)絡不能正常運行，甚至癱瘓；(三)是制作錯誤的數(shù)據(jù)信號，遠程植入對方重要的計算機信息系統(tǒng)，使其受到錯誤的引導，做出錯誤的決策，從而不戰(zhàn)自敗。第二節(jié)計算機違法犯罪呈現(xiàn)許多新特征一、由發(fā)達國家向發(fā)展中國家蔓延二、由金融系統(tǒng)、政府機關向所有行業(yè)、所有部門滲透三、受害對象由單位、團體向個人蔓延四、由針對硬件逐漸向針對軟件發(fā)展五、“軟破壞”的實施者由個體犯罪向共同犯罪、有組織犯罪發(fā)展六、由本區(qū)域內向跨地區(qū)、跨國界發(fā)展七、針對計算機信息系統(tǒng)的新型犯罪將逐漸增加八、計算機犯罪的實施主體由成年人逐漸向青少年發(fā)展九、計算機犯罪的危害程度日益增大第三節(jié)計算機違法犯罪類型日益多樣化一、干擾、破壞網(wǎng)絡運行二、網(wǎng)上泄密、竊密三、實施人身傷害四、實施要挾報復五、實施貪污、挪用、盜竊等犯罪六、制作、傳播黃色淫穢物品七、侵犯知識產權八、侵犯他人名譽權、人格權、姓名權在開放系統(tǒng)互連的環(huán)境下，為了實現(xiàn)信息的安全交換，標準化組織制定了“開放系統(tǒng)互連基本參考模型第２部分安全體系結構”標準，即ISO74982。該標準分析了計算機通信網(wǎng)可能遇到的安全性威脅，提出應付這些威脅的安全功能，規(guī)定了這些安全功能在不同層上的配置以及實現(xiàn)這些安全功能應采取的安全機制。信息安全標準化工作的核心是信息技術安全標準體系結構。這個結構體系主要有以下內容：一是基礎類標準，除信息技術安全詞匯外，還包括信息技術安全體系結構，即OSI安全體系結構和TCP/IP安全體系結構；信息技術安全框架，如開放系統(tǒng)安全框架、鑒別框架、訪問控制框架、完整性框架、保密性框架、抗抵賴框架、密鑰管理框架、安全審計框架等；信息技術安全管理，如安全產品分類編碼管理、信息技術安全管理指南等；信息技術安全測評基礎，如信息安全等級和系統(tǒng)安全等級劃分、信息技術安全性評估準則、保護輪廓和安全目標產生規(guī)范、測評方法等。二是安全機制類標準，包括信息技術安全模型和安全服務，如高層安全模型、低層安全模型、傳輸層安全服務、網(wǎng)絡層安全服務、通用安全服務應用程序接口、傳輸套接庫、安全套接庫、IP完全協(xié)議等；信息技術安全機制，如簽名機制、加密完整性機制、鑒別機制、訪問控制機制、抗抵賴機制、分組密碼工作方式、數(shù)列函數(shù)等三是應用類標準，包括應用基礎安全，如物理安全要求、硬件應用平臺安全、軟件應用平臺安全、網(wǎng)絡安全、分布式計算環(huán)境安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、公鑰基礎設施、證書管理體系、智能卡安全、安全審計和報警、計算機病毒防治等；應用產品安全，如密碼模塊保密性要求、密碼模塊安全性要求、防火墻安全要求、應用級代理安全要求、路由器安全要求、證書認證機構安全要求、數(shù)據(jù)保密設備安全要求等；應用系統(tǒng)安全，如電子商務安全、電子政務安全、電子銀行安全、電子郵件安全、遠程協(xié)議安全和電子數(shù)據(jù)交換安全等；安全測評，包括對各類產品和系統(tǒng)的安全性測評的標準規(guī)范。第三節(jié)計算機安全保密的基本技術為加強計算機信息系統(tǒng)安全保密，計算機安全專家和計算機廠商從不同角度出發(fā)研究安全技術和開發(fā)安全產品。比如，IBM公司早在七十年代就建立了包括數(shù)百起計算機犯罪案件的絕密資料庫，其著眼點是提高自身硬件和軟件產品的安全性能。目前計算機安全保密技術主要分為防范技術和檢測技術兩大類。防范技術主要是通過建立嚴格的認證和訪問控制機制來阻止發(fā)生計算機犯罪的發(fā)生，檢測技術主要是通過建立入侵檢測機制實時或事后識別已發(fā)生的計算機犯罪行為。近年來研究較多的主要是防電磁泄漏、密碼、防火墻（Firewall）、身份識別、訪問控制、數(shù)字簽名、網(wǎng)上監(jiān)控、內容審查、入侵檢測、審計跟蹤等安全技術。三、計算機病毒的性質1.復制性。就計算機病毒本質而言，病毒只是一種具有自我復制能力的功能性程序。病毒程序包含有復制手段，也就是進行自我繁殖的功能。當病毒程序進行繁殖的時候，有時也稱為傳染。若在不清楚的情況下將含有病毒的程序裝入系統(tǒng)，病毒的復制功能使得病毒具有很強的傳播能力。病毒復制的方法大致可分為兩類：文件傳染和引導扇區(qū)復制。2.隱蔽性。病毒能夠順利復制而確保不被發(fā)現(xiàn)的前提條件就是病毒程序具有隱蔽性。很顯然，一個沒有隱蔽性的病毒程序是很難方便地復制自身并傳播，因為他很可能將被用戶及時殺掉。病毒程序有多種方法隱蔽自身。(1)占用空間小。(2)屬性管理。(3)隱蔽性(4)對付反病毒軟件的措施(5)加密(6)多型性3.危害性。病毒程序進入系統(tǒng)就會通過自身的連續(xù)復制并傳播而產生危害作用。由于病毒是依附于某程序并隨該程序的運行執(zhí)行惡意任務而產生危害作用，我們可將其運行和危害過程大體劃分為兩個部分：復制傳染部和危害作用部。復制傳染部決定病毒蔓延的速度和侵襲的范圍，危害作用部決定病毒入侵后的危害程度。４．人為性。我們知道，病毒程序是人為故意編寫與傳播的，有的編寫者或傳播者或許只是出于一種善意的玩笑，但大多數(shù)編寫者和傳播者是出于惡意目的的。這種人為性的編寫與傳播危害很大，尤其是隨著網(wǎng)絡的普及，這種人為性甚至能使整個計算機世界處于癱瘓半癱瘓狀態(tài)，造成的損失將無法估量。四、計算機病毒的類型依據(jù)不同的標準，可以將病毒進行多種分類。這里介紹兩種分類方法：1.根據(jù)病毒的危害程度，可以將病毒分為良性病毒與惡性病毒。良性病毒是指那些復制速度較慢、破壞程度較小和傳播速度不快的程序。惡性病毒可以感染整個信息系統(tǒng)的數(shù)據(jù)或摧毀整個系統(tǒng)。良性病毒與惡性病毒的區(qū)別主要表現(xiàn)在傳染源上。2.根據(jù)病毒的依附地點，可以將病毒分為文件型病毒、系統(tǒng)或引導記錄型病毒及混合型病毒。一、世界為之震驚的莫里斯蠕蟲蠕蟲也是一種計算機程序，它的特點是可以獨立存在和運行。它慢慢地蠕動著穿過一個系統(tǒng)，并改變其所訪問的數(shù)據(jù)或編碼。蠕蟲的目的是反復復制自身，最終占用計算機或網(wǎng)絡的所有內存，從而使計算機既不能檢索也不能輸入。在計算機詞典中，蠕蟲被認為是一種通過信道不斷地在其他系統(tǒng)中進行自我復制和運行，從而危害系統(tǒng)的計算機程序。美國國家標準和技術局認為蠕蟲有兩個關鍵特征：一是蠕蟲利用操作系統(tǒng)中的缺陷或系統(tǒng)管理中的不當之處進行繁衍；二是揭露一種蠕蟲一般會造成短暫的、但是特殊的停機，使整個網(wǎng)絡癱瘓。1988年冬天，正在康乃爾大學攻讀的莫里斯，把一個被稱為“蠕蟲”的電腦病毒送進了美國最大的電腦網(wǎng)絡--互聯(lián)網(wǎng)。1988年11月2日下午5點，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡有不明入侵者。它們仿佛是網(wǎng)絡中的超級間諜，狡猾地不斷截取用戶口令等網(wǎng)絡中的“機密文件”，利用這些口令欺騙網(wǎng)絡中的“哨兵”，長驅直入互聯(lián)網(wǎng)中的用戶電腦。入侵得手，立即反客為主，并閃電般地自我復制，搶占地盤。

用戶目瞪口呆地看著這些不請自來的神秘入侵者迅速擴大戰(zhàn)果，充斥電腦內存，使電腦莫名其妙地“死掉”，只好急如星火地向管理人員求援，哪知，他們此時四面楚歌，也只能眼睜睜地看著網(wǎng)絡中電腦一批又一批地被病毒感染而“身亡”。當晚，從美國東海岸到西海岸，互聯(lián)網(wǎng)用戶陷入一片恐慌。到11月3日清晨5點，當加州伯克利分校的專家找出阻止病毒蔓延的辦法時，短短12小時內，已有6200臺采用Unix操作系統(tǒng)的SUN工作站和VAX小型機癱瘓或半癱瘓，不計其數(shù)的數(shù)據(jù)和資料毀于這一夜之間。造成一場損失近億美元的空前大劫難！1990年5月5日，紐約地方法庭根據(jù)羅伯特·莫里斯設計病毒程序，造成包括國家航空和航天局、軍事基地和主要大學的計算機停止運行的重大事故，判處莫里斯三年緩刑，罰款一萬美金，義務為新區(qū)服務400小時。莫里斯事件震驚了美國社會乃至整個世界。莫里斯蠕蟲事件引起了巨大的混亂，也帶來了一些好的作用。它改變了先前人們對系統(tǒng)弱點的看法。此前，人們只認為這不過是一些微不足道的小問題，而InternetWorm則偶然把這種缺陷加以充分地擴大。這次事件促使CERT（計算機應急響應小組）的誕生，他們負責對與計算機相關的安全問題提供幫助和解決方案。二、暗渡陳倉的特洛伊木馬術荷馬史詩描述了這樣一個故事：古希臘人在他們的將領奧德塞和國王愛塞肯的率領下攻擊特洛伊城，他們先將小部分部隊藏于特洛伊木馬中，希臘艦隊佯裝敗退，對方將特洛伊木馬作為戰(zhàn)利品拖入城中，夜晚降臨時，小股軍隊打開城門，大部隊乘機殺入，一舉攻下久攻不下的城堡。計算機中的特洛伊木馬是一種程序，是以盜取用戶個人信息，甚至是遠程控制用戶計算機為主要目的的惡意代碼。由于它像間諜一樣潛入用戶的電腦，與戰(zhàn)爭中的“木馬”戰(zhàn)術十分相似，因而得名木馬。按照功能，木馬程序可進一步分為：盜號木馬、網(wǎng)銀木馬、竊密木馬、遠程控制木馬、流量劫持木馬和其它木馬六類。三、肆虐全球的ＣＩＨ病毒CIH全稱為“Windows95.CIH”，是由臺灣大學生陳英豪編寫并將其作為一個實用程序發(fā)送到因特網(wǎng)上的病毒程序。CIH病毒的文件長度雖然只有1k，但因寫入的是文件的空閑區(qū)，人們很難從外表觀察到文件內容的增加。CIH病毒可以感染W(wǎng)indows95或Windows98全部可執(zhí)行文件，但真正可怕的是己知的首例可以直接攻擊、破壞電腦設備的病毒。一、如何判斷計算機感染了病毒一般情況下，如何判斷計算機是否面臨病毒的威脅，也就是說病毒發(fā)生時有什么征兆呢？看是否有下面的情況出現(xiàn)：(1)應用程序不能正常運行；(2)磁盤無法訪問；(3)菜單無故變形；(4)顯示的上次訪問時間與實際訪問時間不符；(5)文件的大小和內容發(fā)生了改變；(6)未增加任何東西時，系統(tǒng)中文件數(shù)量增多；(7)系統(tǒng)變慢、停止或崩潰；(8)磁盤驅動器在無任何指令的情況下自動活動；(9)打印不正確；(10)其他系統(tǒng)資源的再分配情況，如引導扇區(qū)等發(fā)生異常；(11)出現(xiàn)異常錯誤信息等。二、如何正確對待計算機病毒1．主動防范。病毒是無孔不入的，其危害性也確實令人不寒而栗，但我們不能因此而“草木皆兵”，甚至一使用計算機就惴惴不安。在使用計算機時應認真檢查，做好防范工作。2.及時殺毒。對于已知的計算機病毒，可以抽取一定的所謂特征碼，作為比較用。然后用掃描、殺毒程序。3.保護重要數(shù)據(jù)。在計算機網(wǎng)絡迅猛發(fā)展的情況下，病毒防不勝防，因此對一些重要的數(shù)據(jù)要采取一定的保護措施。數(shù)據(jù)應該加以寫保護。4.保留證據(jù)。如果有可能，提取病毒樣本，為公安計算機監(jiān)管部門立案偵查提供證據(jù)。三、如何建立病毒、蠕蟲、特洛伊木馬等惡意程序的防治模式1.訪問控制建立訪問控制策略不僅是一種良好的安全措施，還可以防治惡意程序的傳播。但訪問控制不會刪除甚至不會檢測是否有惡意程序，它只保護和防止用戶系統(tǒng)被惡意程序侵入。當然，這種方法不是對所有可執(zhí)行程序都有效。2.校驗信息的驗證校驗信息驗證是一種對文件中的數(shù)據(jù)進行檢驗的數(shù)學方法它使用數(shù)字來表示文件的內容。如果文件內部有一個字節(jié)發(fā)生了變化，校驗和信息就會改變，而文件大小可能還是相同的。二、黑客的特征隨著計算機網(wǎng)絡滲入各個領域，尤其是因特網(wǎng)的迅速發(fā)展，使計算機信息系統(tǒng)受黑客侵擾的可能性越來越大，黑客的行為方式也越來越多樣化。１.黑客行為的本身特征一是遠離現(xiàn)場，既可能跨地區(qū)，又可能跨國。二是時間短，在幾分、幾秒、甚至不到１秒的時間內即能進行一次侵入，完成一次攻擊，實施一次破壞。三是隱蔽性強，不論采取什么手段，反映在網(wǎng)絡和系統(tǒng)中都是稍縱即逝的電子脈沖，看不見、摸不著、抓不到。四是技術性強，侵入的手段技術特征明顯，用傳統(tǒng)的方法難以防范和查證。盡管許多計算機網(wǎng)絡都安裝了防火墻，信息的存儲和傳輸都采取了加密技術，但網(wǎng)絡遭受黑客攻擊的事件卻不見減少，信息泄露事件仍屢見不鮮。２．黑客行為的后果特征一是時空跨度大。今天實施的侵入可能間隔一段時間才產生危害后果，如在系統(tǒng)中植入特洛伊木馬或邏輯炸彈等，規(guī)定在一定的條件下觸發(fā)；在甲地實施的侵入，可能在乙地產生危害后果。二是波及面廣。一個黑客行為往往能使一臺服務器、一個計算機中心、一個局域網(wǎng)、一個遠程網(wǎng)、甚至是整個因特網(wǎng)癱瘓。目前，黑客攻擊已涉及政治、軍事、經(jīng)濟、文化及社會生活的各個方面。一個企業(yè)、一個行業(yè)、一個部門不能正常運轉，經(jīng)常會產生連鎖反應，直至造成整個社會運轉不靈。三是危害程度大。黑客的惡意破壞，不但能使客戶辛苦多年積累起來的數(shù)據(jù)毀于一旦，而且也可使整個企業(yè)、整個行業(yè)、甚至整個國家不能正常運轉，在戰(zhàn)時不戰(zhàn)而敗，重演沒有硝煙的“珍珠港事件”。黑客之所以頻頻得手，主要有兩個原因，一是系統(tǒng)漏洞多，二是黑客攻擊手段多并越來越精明。一、黑客攻擊利用的技術漏洞1.操作系統(tǒng)的漏洞(1)操作系統(tǒng)的體系結構造成操作系統(tǒng)本身的不安全性，這是計算機系統(tǒng)不安全的根本原因。操作系統(tǒng)的程序是可以動態(tài)連接的，包括I/O的驅動程序與服務系統(tǒng)，都可以用打補丁的方式進行動態(tài)連接。如許多ＵＮＩＸ操作系統(tǒng)的版本升級開發(fā)都是采用打補丁的方式進行的。廠商可以利用這種方法修補自己的漏洞，“黑客”也可以利用這種手段侵入系統(tǒng)實施破壞。一個靠滲透與打補丁開發(fā)的操作系統(tǒng)是不可能從根本上解決安全問題的。此外，操作系統(tǒng)的動態(tài)連接環(huán)境也有利于計算機病毒的傳播。(2)操作系統(tǒng)支持在網(wǎng)絡上傳輸文件，包括可以執(zhí)行的文件映象，即在網(wǎng)絡上加載程序，為黑客遠程安裝邏輯炸彈或特洛伊木馬提供了可能。(3)操作系統(tǒng)不安全的另一個因素在于它可以創(chuàng)建進程，甚至支持在網(wǎng)絡的節(jié)點上進行遠程進程的創(chuàng)建與激活，被創(chuàng)建的進程可以繼續(xù)繼承創(chuàng)建進程的權力，為在遠端服務器上安裝“間諜”軟件創(chuàng)造了條件。(4)操作系統(tǒng)通常都提供守護程序，這種軟件實質上是一些系統(tǒng)進程，在UNIX以及WINDOWSNT操作系統(tǒng)上具有與操作系統(tǒng)核心層軟件同等的權利，它們總在等待一些條件的出現(xiàn)。這樣的軟件都是“黑客”可以利用的。(5)操作系統(tǒng)提供遠程調用服務，為黑客遠程作案提供方便。(6)操作系統(tǒng)安排的無口令入口是為系統(tǒng)開發(fā)人員提供的便捷入口，但它也是黑客的通道。2.計算機網(wǎng)絡的漏洞因特網(wǎng)運行需要眾多的協(xié)議，而眾多協(xié)議的本身就包含許多不安全因素，存在許多漏洞。很多人都知道，1988年一個叫羅伯特.莫里斯的人用Ｃ語言編寫了一個根據(jù)搜索來的用戶名字猜測機器密碼口令的程序，結果自1988年11月開始在網(wǎng)絡上傳播以來，幾乎每年都給因特網(wǎng)系統(tǒng)用戶造成上億美元的損失。黑客通常采用序列預測（如SourcePorting）或者使用遠程訪問（RPC）進行直接掃描等方法對防火墻進行攻擊。3.數(shù)據(jù)庫的漏洞數(shù)據(jù)庫的安全必須與操作系統(tǒng)的安全配套，例如，數(shù)據(jù)庫的安全級別是B2級，那么操作系統(tǒng)的安全級別也應當是B2級。由于數(shù)據(jù)庫的安全管理同樣建立在分級管理的概念之上，因此數(shù)據(jù)庫的安全也是脆弱的。4.應用系統(tǒng)的漏洞路由器—錯誤的路由配置、隱蔽的調制解調器、缺省的路由配置等，這些都可以成為黑客成功攻擊的途徑。防火墻—它的出發(fā)點是防止外部黑客的攻擊，防外不防內。此外，防火墻也不是堅不可破的，據(jù)美國有關部門調查，所有的防火墻都不同程度地被黑客攻擊過。二、黑客攻擊的目標不論是善意的黑客還是惡意的黑客，實施攻擊都有一定的目標，歸納起來有以下幾類：１．獲取系統(tǒng)處理數(shù)據(jù)或口令文件系統(tǒng)中存儲或傳輸?shù)臄?shù)據(jù)往往是黑客攻擊的主要目標。這類數(shù)據(jù)包括兩方面內容，一是系統(tǒng)處理的可調用的數(shù)據(jù)，二是系統(tǒng)自身的指令和口令等。黑客登錄目標主機后，使用網(wǎng)絡監(jiān)聽一類的程序即能輕而易舉地監(jiān)聽到所需的信息，也能獲取用戶口令文件?？诹钍且粋€非常重要的數(shù)據(jù)，當黑客獲知口令后，便可順利地登錄別的主機，或訪問有一定限制的信息資源。２．獲取超級用戶權限黑客們普遍都青睞超級用戶權限，因為有了它，可以完全隱藏自己的行蹤，在系統(tǒng)中設置一個后門，隨時修改資源配置，做任何自己想做的事。如在ＵＮＩＸ系統(tǒng)中運行網(wǎng)絡監(jiān)聽程序，就必須取得這種權限。因此，在一個局域網(wǎng)或一個計算機系統(tǒng)中，只要掌握了主機的超級用戶權限，就可以控制整個網(wǎng)絡。３．對系統(tǒng)的非法訪問有許多系統(tǒng)是不允許其他用戶訪問的，因此要訪問該系統(tǒng)，首先必須以一定的非常行為來得到訪問權限。黑客的這種攻擊并不一定是要做什么，有時僅僅是為了瀏覽、尋找自己感興趣的東西。當然，有的黑客在獲得訪問權后，可能進行惡意破壞，如刪除、篡改文件等。４．對系統(tǒng)的非法操作有的系統(tǒng)是允許用戶訪問的，但不允許對系統(tǒng)進行非授權操作。黑客們?yōu)榱诉_到實施非法操作的目的，總是通過尋找系統(tǒng)設置的漏洞，或者用一些黑客工具等辦法，突破系統(tǒng)安全防線，對系統(tǒng)實施非法操作。５．破壞系統(tǒng)功能或數(shù)據(jù)有的黑客侵入系統(tǒng)的目的是對系統(tǒng)功能進行修改、增加或干擾，使系統(tǒng)不能正常工作，直到癱瘓；對系統(tǒng)中存儲或處理的數(shù)據(jù)進行刪除、修改、增加，使數(shù)據(jù)失去真實性、可靠性，給用戶造成很大損失。６．泄露秘密信息黑客入侵有時是為了獲取秘密信息。如果是黑客自己需要的信息，他們因害怕直接取走會暴露自己的身份和地址，往往將秘密信息和數(shù)據(jù)送到一個公開的ＦＦＰ站點，或利用電子郵件寄往一個可以拿到的地方，以后再從這些地方取走，以隱藏自己。四、黑客攻擊的常用技術手段1.竊聽,通過搭線、接受電磁波等非法手段竊取信息的行為；2.偷閱，侵入系統(tǒng)內部非法閱讀信息的行為；3.冒名頂替，冒充合法使用者從事欺騙或其他犯罪活動；4.借道，借用合法用戶的信道侵入系統(tǒng)內部的行為；5.數(shù)據(jù)欺騙，非法篡改輸入、輸出數(shù)據(jù)或輸入錯誤數(shù)據(jù)；6.特洛伊木馬術，在計算機程序中隱藏作案所需要的計算機指令以實施犯罪的辦法；7.病毒，將病毒隱藏在可執(zhí)行程序或數(shù)據(jù)文件中，在一定條件下自動觸發(fā)的干擾或破壞計算機系統(tǒng)的程序；8.意大利香腸術，采取不易察覺的手段逐步實施犯罪的方法，通常指金融系統(tǒng)中的犯罪嫌疑人采取截留四舍五入的利息尾數(shù)零頭，轉移到一個虛設的賬號上，集少成多，實施盜竊的方法；9.活動天窗，利用事先設置的查錯、修改時使用的指令實施犯罪；10.邏輯炸彈，在操作系統(tǒng)中有意設置并插入某些程序的編碼，在特定時間、特定條件下自動激活執(zhí)行而產生破壞性的程序；11．數(shù)據(jù)泄露，轉移或竊取數(shù)據(jù)的手段；12.數(shù)據(jù)欺騙，非法存取數(shù)據(jù)，如篡改輸入、輸出數(shù)據(jù)及輸入假數(shù)據(jù)，或偽造、冒充輸入文件，用事先準備好的假內容替換原有的正常輸入內容等；13.超級沖殺,利用在特殊情況下使用的高級干預程序，實施破壞系統(tǒng)的犯罪活動;14.拾垃圾，從廢棄的資料、磁帶、磁盤中搜尋具有潛在價值的數(shù)據(jù)和信息、密碼等；15.寄生術，用