常用的技术防范

（一）计算机病毒

1.计算机病毒的概念

最早使用“病毒”一词的是弗雷德·科恩在1984年发表的论文《电脑病毒实验》。“计算机病毒”为什么叫做病毒？首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软硬件所固有的脆弱性，编制的具有特殊功能的程序。^[25]它能通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活，它用修改其他程序的方法将自己的精确副本或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏。

1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。

2.计算机病毒的特征

（1）感染性

感染性是计算机病毒的最重要特征。计算机病毒的感染性是指病毒具有把自身复制到其他程序中的特性。正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行感染到一切符合其感染条件的其他程序上。计算机病毒可通过各种可能的渠道（如软盘、网络）去感染其他计算机。当在一台机器上发现了病毒时，曾在这台计算机上用过的可移动存储磁盘往往也已感染了病毒，而与这台机器联网的其他计算机很可能被该病毒感染上了。^[26]

（2）潜伏性

计算机病毒通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐藏文件的形式出现，目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里感染大量程序。而且受到感染后，计算机系统通常仍能正常运行，用户不会感到任何异常。试想，如果病毒在感染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行感染了，这就违背了病毒的本意。正是由于其潜伏性，计算机病毒才得以在用户没有察觉的情况下扩散到上百万台计算机中。

（3）危害性

任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机的工作效率，占用系统资源，导致系统崩溃；重者对社会和经济产生重大的危害。特别是随着互联网的发展与普及，计算机病毒可以修改文件、通讯端口、用户密码，挤占内存，甚至可以实现远程控制等。例如，1998年爆发的CIH病毒会破坏主板上的BIOS和硬盘数据，给用户造成了难以估量的损失；2004年爆发的震荡波在很短的时间内就给全球造成了数千万美元的损失；2006年年底爆发的熊猫烧香在几天之内就造成了巨大的社会危害和经济损失。

3.计算机病毒的传播途径

计算机病毒的传播主要是通过复制文件、传送文件、运行程序等方式进行的，而主要的传播途径有以下几种。

（1）软盘

软盘是早期计算机病毒传播的主要途径之一。软盘主要特点是携带方便。早期在网络还不普及时，为了计算机之间互相传递文件，经常使用软盘。由此带来的问题就是病毒通过软盘载体迅速传播到其他的计算机上。

（2）光盘

由于盗版软件的屡禁不止，一些不法商人把软件刻录在光盘上进行兜售。在制作光盘过程中难免会将带毒文件刻录在上面，造成了光盘成为病毒传播的载体。

（3）U盘

U盘即USB盘的简称，最大的特点就是：小巧、便与携带、存储容量大、价格便宜，是移动存储设备之一。一般的U盘容量有512M、1G、2G、4G甚至更大。目前，U盘已经取代了软盘成为病毒传播的主要载体。

（4）网络

在网络日益普及的今天，人们通过计算机网络互相传递文件、信件，这样给病毒的传播带来了更快捷的途径。目前，流行的病毒大都是通过互联网进行传播的。

4.计算机病毒发作的一般症状

计算机病毒是一种特殊的计算机程序，具有自我复制能力、超强的感染性、一定的潜伏性、特定的触发性和很大的破坏性。计算机病毒类似于生物病毒，它侵袭计算机以后可能很快发作，并被人们发现，也可能在几周、几个月、几年内都潜伏着，一旦满足某种条件便发作而使整个系统瘫痪。例如，“星期五”计算机病毒就在星期五发作；臭名昭著的“CIH”病毒就在每月的26日发作。计算机病毒发作时，总有一些症状是可以观察到的，比如：（1）计算机运行速度明显变慢；（2）计算机完成一个简单的工作耗费很长的时间；（3）出现与系统正在运行的软件无关的错误讯息；（4）硬盘指示灯无原因地闪烁；（5）磁盘可利用的空间突然减少；（6）硬盘内增加了来历不明的程序；（7）文件夹奇怪地消失或档案的内容被附加了一些奇怪的资料：（8）档案名称、文档名、日期和属性被更改过。^[27]

（二）病毒防范

1.病毒的一般防范措施

对于计算机病毒的预防，最重要的是思想重视，充分认识到计算机病毒的危害性，对计算机要加强管理，采取有效措施，切断和堵塞病毒的传播途径。因此，我们应该在“防”上下工夫，而不是感染了病毒之后再进行杀毒。

（1）对于不清楚有无病毒的磁盘，要先杀毒然后再使用。

（2）在网上下载文件时，要到一些大型的知名网站上下载，不要在一些黑客的网站上下载文件，尤其是黑客程序。

（3）对于不明来历的电子邮件不要阅读，而是直接删除。

（4）不做非法拷贝。对于商业的、加密的软件不要非法拷贝，有些公司为了商业利益，会把本公司的软件用病毒进行保护，防止非法拷贝。

（5）对重要程序或数据，要经常备份，以便染上病毒后能尽快得到恢复。

（6）不要使用盗版软件。

（7）条件允许可以安装防病毒卡。

2.发现病毒后的常用措施

（1）如果发现病毒，首先是停止使用计算机。如果正在上网，则应先将网线拔掉，然后用干净启动软盘启动，将所有资料备份。

（2）用正版杀毒软件进行杀毒，最好能将杀毒软件升级到最新版。

（3）可以用多个杀毒软件进行查杀。

3.常用的杀毒软件

（1）360安全卫士

360安全卫士是国内最受欢迎的免费安全软件之一，它拥有查杀流行木马、管理应用软件、系统实时保护、修复系统漏洞等数个强劲功能，同时还提供系统全面诊断、弹出插件免疫、清理使用痕迹以及系统还原等特定辅助功能。

运行360安全卫士正式版（如图9-1所示），软件界面上方是一排共6个按钮，分别是常用、杀毒、高级、保护、求助和推荐。默认情况下“常用”按钮处在选中状态。单击这6个按钮可以切换到相应页面进行操作，每个按钮对应的页面下包括一排选项卡，利用这些选项卡可以实现具体功能的操作。

图9-1　360安全卫士界面

下面简单介绍6个按钮对应的功能。

①常用

“常用”按钮对应8个选项卡，分别是基本状态、查杀流行木马、清理恶评插件、管理应用软件、恢复系统漏洞、系统全面诊断、清理使用痕迹和装机必备软件。利用这些选项卡可以进行最常用的一些安全防护操作。

②杀毒

“杀毒”按钮对应4个选项卡，分别是杀毒、在线杀毒、病毒专杀工具、恶评插件专杀工具。利用这些选项卡可以进行在线查杀病毒等操作。

③高级

“高级”按钮对应7个选项卡，分别是修复IE、系统优化清理、启动项状态、系统服务状态、系统进程状态、网络连接状态和高级工具集。利用这些选项卡可以进行系统优化和维护等方面的操作。

④保护

“保护”按钮对应2个选项卡，分别是开启实时保护、保护360。利用这两个选项卡可以选择是否对一些选项进行实时保护。

⑤求助

“求助”按钮对应3个选项卡，分别是到求助中心、到论坛举报和导出诊断报告。利用这些选项卡可以在遇到疑难问题时进行求助和举报，进而得到问题的解答。

⑥推荐

“推荐”按钮对应2个选项卡，分别是绿色软件推荐下载和装机必备软件。360安全卫士为用户推荐了一些绿色软件以及安装计算机系统必备的一些软件。

（2）瑞星杀毒软件

瑞星杀毒软件是国内最早的反病毒软件之一。运行瑞星杀毒软件正式版（如图9-2所示），软件界面上方有“操作”、“视图”、“设置”和“帮助”4个菜单项，包括了瑞星杀毒软件全部的功能。菜单栏的下面是6个选项卡，分别是“首页”、“杀毒”、“监控”、“防御”、“工具”和“安检”，它们是“视图”菜单中子菜单项的快捷按钮。默认情况下“首页”按钮处在选中状态。单击这5个按钮可以切换到相应页面进行操作，以实现软件最主要的功能。

（3）卡巴斯基杀毒软件

卡巴斯基杀毒软件是国外著名的杀毒软件之一，它提供了几乎所有类型的抗病毒防护功能，如抗病毒扫描仪、监控器和防火墙等。运行卡巴斯基杀毒软件正式版，其界面如下（如图9-3所示）。

（4）USBCleaner

USBCleaner是一款专门用于查杀U盘病毒、木马和恶意程序的纯绿色辅助杀毒工具软件。随着U盘、MP3播放机、SD卡和移动硬盘等移动存储设备的流行，通过U盘传播的病毒的数量也与日俱增。USBCleaner就是专门用于查杀U盘病毒的工具软件，它能对U盘病毒进行免疫，还有修复显示隐藏文件及系统文件，安全卸载移动盘盘符等功能（如图9-4所示）。

图9-2　瑞星杀毒软件界面

图9-3　卡巴斯基杀毒软件界面

图9-4　USBCleaner界面

（三）防火墙技术

目前，每天都有数不清的公司和个人加入到Internet中，而Internet本身也成为世界上空前庞大的网络系统。Internet给人们带来了无尽的便捷，拉近了每个人的距离，把地球缩成一个村落，大大提高了工作效率。但是每个网络用户又都面临着严峻的安全性问题，如网上的信息可能被非法调用、复制和篡改等。怎么样才能既充分利用Internet，同时又不受外来的各种侵犯呢？这就要采用防火墙技术。

1.防火墙的概念

防火墙起初含义是可以控制火灾的一种建筑墙，常用于公共安全领域。在网络安全领域内，防火墙是指设置在不同网络（企业内部网和公共网）之间的一系列部件的组合。通常它是由硬件设备——路由器、网关、堡垒主机、代理服务器和防护软件等共同组成。最初，防火墙是用于企业网，后来随着互联网的普及和用户信息安全意识的提高，越来越多的个人计算机也加装了防火墙。对于普通用户来说，所谓“防火墙”，指的就是放置在自己的计算机与外界网络之间的一套防御软件系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，从而实现了对计算机的保护。

防火墙在网络中可对信息进行分析、隔离、限制，既可限制非授权用户访问敏感数据，又可允许合法用户自由地访问网络资源，从而保护网络的运行安全。具体地说，防火墙就是内部网和互联网的连接。它具有访问控制功能，按照系统要求，确定哪些内部服务允许外部访问，哪些外部服务允许内部访问。

如图9-5所示，防火墙的一面是安全、保密、可靠的内部网（专用网），而另一面是开放不保密的互联网。内部网和互联网之间的每个活动（如电子邮件、文件传输、远程登录等）和每条信息都要被拦截，由防火墙确定活动是否符合安全规则，是否允许进行。

图9-5　防火墙

2.防火墙的技术

防火墙所采取的主要技术有包过滤技术、代理技术、状态监视技术等。

（1）包过滤技术

依据系统事先设定的过滤规则，检查数据流中每个数据包，根据数据包的源地址、目的地址、TCP端口、路径状态等来确定是否允许数据包通过。包过滤器可在路由器之外单独设置，也可与路由器做成一体，在路由设备上实现包过滤，还可在工作站上用软件进行包过滤。

（2）代理技术

代理服务是在网络中专门设置的代理服务器上的专用程序。代理服务可按安全管理员的设置，允许或拒绝特定的数据或功能。一般和包过滤器、应用网关等共同使用，将外部信息流阻挡在内部网的结构和运行之外，使内部网与外部网的数据交换只在代理服务器上进行，从而实现内部网与外部网的隔离。此外，代理服务还可完成数据流监控、过滤、记录和报告等功能。

（3）状态监视技术

状态监视可通过提取相关数据来对网络通信的各层实施监视并作为决策时的依据。监视功能支持多种网络协议，可以方便地实现应用和服务的扩充，特别是可监视RPC（远程进程调用）和UDP（用户数据报文）端口信息，这是其他安全服务所不能完成的。

（四）个人防火墙的操作

一般按照对网络安全保护对象的不同，将防火墙应用分为硬件防火墙和软件防火墙。硬件防火墙往往是一整套硬、软件设备，主要用于企业、学校等部门使用。对于普通用户来说，硬件防火墙过于昂贵，且无必要。因此，普通用户一般是通过个人计算机安装防火墙软件来实现安全防护的目的。接下来，我们简要介绍两款国内著名的防火墙软件。

1.天网防火墙简介

作为国内第一款针对个人用户设计的软件防火墙，它可以根据系统管理者设定的安全规则把守网络，提供强大的访问控制、信息过滤等功能，能抵挡网络入侵和攻击，防止信息泄露，保障用户机器的网络安全。它还把网络分为本地网和互联网，可以针对来自不同网络的信息，设置不同的安全方案，因此它适合于任何方式连接上网的个人用户。

运行天网防火墙（如图9-6所示），软件界面上方一排共9个按钮，大体可以分为3组：第一组是设置按钮，有应用程序规则、IP规则管理和系统设置，它们可以对各种规则和参数进行设置；中间一组是信息查看按钮，有网络使用状况和日志，提供了即时的网络使用状况和软件的各项日志记录；第三组是帮助按钮，提供了便捷的帮助功能。下方是安全级别定义栏，用来快速定义天网防火墙的安全级别，共有低、中、高、扩展和自定义5个级别。右下方是连接/断开网络开关。

图9-6　天网防火墙界面

天网防火墙的主要功能：

（1）网络访问监控

应用程序网络状态功能是天网防火墙个人版重要功能之一，它能监视所有开放端口连接的应用程序和它们使用的数据传输通信协议，这样，所有不明程序的数据传输通信协议端口，例如特洛伊木马等，都可以在应用程序网络状态下一览无遗。单击“网络访问监控”按钮，打开应用程序网络状态窗口，如图9-7所示，可以清楚地看到应用程序的使用情况。

图9-7　网络访问监控

（2）日志查看与分析

天网防火墙能把所有不合规则的数据传输包拦截并且记录下来，供用户查看和分析。单击主界面上的“　日志”按钮，打开日志窗口（如图9-8所示）。

单击打开日志旁的下拉菜单可以查看各类日志，其中包括“系统日志”、“内网日志”、“外网日志”和“全部日志”。每条记录从左到右分别是发送/接收时间、发送IP地址、数据传输封包类型、本机通信端口、对方通信端口和标志位。分析完成后的日志可以保存、输出和删除，单击界面上方的两个按钮——“保存为档案”和“清空日志”能实现相应的操作。

（3）断开、接通网络

如果遇到了频繁攻击，最有效的应对方法就是单击天网防火墙主界面上的“断开/接通网络”按钮和网络断开，就好像拔下了网线一样（如图9-9所示）。

2.360网络防火墙

360网络防火墙是国内一款优秀的免费防火墙软件。其采用云安全引擎，解决了传统网络防火墙频繁拦截、识别能力弱的问题，能够轻巧而快速地保护用户的上网安全。360网络防火墙提供了防护状态、连接监控、入侵检测、程序规则、网络规则和防护日志六大功能模块。

图9-8　日志查看

图9-9　断开、接通网络

（1）主界面（图9-10）

（2）程序规则模块

程序规则模块通过云安全引擎，智能分析程序上网行为，对可疑网络行为进行拦截，提高用户上网安全性（如图9-11所示）。

（3）防护日志模块

防护日志模块提供了包括云监控日志、入侵检测日志和ARP防护日志在内的整套日志体系，可以自动记录检测到的各种可疑网络行为（如图9-12所示）。

图9-10　360网络防火墙主界面

图9-11　程序规则模块

图9-12　防护日志模块