时间:2023-05-30 10:45:41
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇木马程序,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:木马 基因
1 木马程序简介
木马是一种新型的计算机网络病毒程序。它利用自身所具有的植入功能,或依附其它具有传播能力的病毒,或通过入侵后植入等多种途径,进驻目标计算机,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的各种信息,并能接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等。当木马被应用在入侵和攻击方面时,它显示出巨大的危害性。一个典型的木马程序通常具有以下四个特点:有效性、隐蔽性、顽固性和易植入性。
(1)有效性:是指入侵的木马能够与其控制端建立某种有效联系,从而能够充分控制目标机器并窃取其中的敏感信息;(2)隐蔽性:木马病毒必须有能力长期潜伏于目标机器中而不被发现:(3)顽固性:是指有效清除木马病毒的难易程度;(4)易植入性:木马病毒有效性的先决条件。木马技术与蠕虫技术的结合使得木马病毒具有类似蠕虫的传播性,这也极大提高了木马病毒的易植入性。
2 木马病毒的新发展
2.1加壳技术
所谓“壳”就是专门压缩的工具。是针对exe、tom和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,称之为程序的壳。程序的壳有以下作用:(1)保护程序不被修改和反编译;(2)对程序专门进行压缩,以减小文件大小,方便传播和存储。
目前的防火墙和杀毒软件虽然也具有了一定的脱壳能力。但病毒加壳又使用了新技术。
(1)加多层壳。这个加壳方法就是用两种相同或者不同的加壳工具对木马进行双重加壳,这样就等于将木马程序进行了两次压缩计算,自然就会逃脱杀毒软件和防火墙的第一层过滤。使用的加壳算法越多,逃脱防火墙和杀毒软件查杀的几率就越高。
(2)换壳。就是把原来的壳脱了换另一种壳。如FSG就是使用这种方法。还有就是用GUW32脱了再加壳,对于脱壳不干净的软件用UPXpr技术处理再加壳,也可以定制加壳软件和定制壳。
2.2多态和变形技术
病毒多态是使病毒能够改变自身存储形式的技术,使传统的依靠特征值检测的技术失效。变形则在多态的基础上更进一步。对整个病毒体都进行处理,使不同病毒实例的代码完全不同,不但没有固定的特征码,而且也无需还原成没有任何变化的病毒体。
3 引入基因机制检测木马病毒
目前,木马程序的查杀主要还是使用特征码的查杀毒方法,但是它的弊端也是众所周知的。在入侵检测领域,无论是基于统计的入侵检测还是基于规则的入侵检测,它们的数据源都是从病毒的攻击或者是表象出发,首先获得病毒或者黑客的攻击表象,然后提取出特征,再抽取表达成模式或者规则,供入侵检测系统进行检测和识别。对这种杀毒机制而言,高频的升级都是滞后的。并且难以发现未知的木马模式,也是制约它们进一步发展的瓶颈。我们必须透过病毒程序的表象看到它们的本质特征,即借鉴生物体的生物机理和机制,将基因机制引入信息安全领域。针对病毒的变形和多态,可以追溯到病毒和恶意软件的本质,即运行时的核心序列和动作,如系统调用序列等,也就是基因层。在基因层面上,部分多态病毒和恶意软件,有的基因一样,有的能从它们的相似度上面找到多态和变形病毒程序之间的亲缘关系,找到查杀抑制病毒的多态和变形的方法,指导一条切实可行,而且高效的途径。对于基因机制引入病毒检测和防护领域,包括以下几个方面:
(1)表象到本质(基因)。从病毒的表象出发,找出病毒程序的本质或者是深层次的根源如系统调用序列,提取出类似生物体中的基因片段,每一个基因片段都对应一个或者多个病毒表象。
(2)单个基因入手。找出病毒基因,关注基因变异(称病毒的基因片段为病变基因,相应的正常程序那部分为正常基因),进而使用基因疗法,用好的基因来置换和修复病变基因、基因修饰和基因失活。
(3)基因片段组合入手。恶意软件中对应的一些基因片段,孤立地看它们都是正常的,但是当它们组合以后,便是一个恶意程序,如木马程序。在这种情况下,我们关注的是基因片段之间的关联关系,打破这种关联,也就可以达到防止这些恶意软件的目的。
(4)已知基因到未知基因。对基因进行诱发变异,产生新的基因。使用的具体方法是:一是定向诱变,就是使用一些领域的知识进行启发式诱变;二是表型诱变,对未知基因进行诱变,发现新的显性和隐性基因突变体及功能改变。
4 引入基因机制的可行性分析
(1)计算机病毒单基因存在的可行性:在信息安全中有些病毒或者恶意程序自身的复制能力很强,也就是具有自我复制性。
针对这类病毒,如果能够找出它们自我复制的那部分基因片段或者强行向EXE文件中写入代码的基因片段,就可以借鉴生物上面的基因疗法,首先是报警,然后可以用正常的基因片段来对病变基因进行替换,从根本上达到检测和防治病毒的目的。所以引入单个计算机病毒基因机制是可行的。
(2)计算机病毒基因组存在的可行性:计算机中的程序基因从单个基因角度看时是正常程序也拥有的基因片段,但是它们组合后产生的症状就是恶意程序的典型表现。
关键词:木马;隐藏技术;网络安全
中图分类号:TP309.5 文献标识码:A 文章编号:1007-9599 (2012) 10-0000-02
目前,木马已经成为常见的网络攻击技术之一,对网络安全造成了严重的威胁。它具有攻击范围广、隐蔽性强等特点。本文主要针对木马的隐藏技术展开研究。
一、木马定义和特征
木马是指潜伏在电脑中,受到外部用户控制以达到窃取本机信息或控制权为目的的程序。其全称为特洛伊木马,英文叫做“Trojan horse”。它是指利用一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:分别为客户端和服务端,即控制端和被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。一旦运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,黑客就可以利用这些打开的端口进入电脑系统,用户的个人隐私就全无保障了。木马的设计者采用多种手段隐藏木马以防止木马被发现。随着病毒编写技术的发展,木马程序采用越来越狡猾的手段来隐蔽自己,使普通用户很难发觉。
二、木马的功能
木马的主要功能有:
(一)窃取数据:仅仅以窃取数据为目的,本身不破坏损伤计算机的文件和数值,也不妨碍系统的正常办公。有很多木马有键盘记录功能,会记录服务端每次敲击键盘的动作,所以一旦有木马入侵,数据将很容易被窃取。
(二)篡改文件:对系统的文件有选择地进行篡改,对服务端上的文件有筛选的施行删除,修改,运行等一些系列相关操作。
(三)使系统自毁。利用的方法有很多:比如改变报时的钟频率、使芯片热解体而毁坏、使系统风瘫等。
三、木马的隐藏技术
(一)文件隐藏
木马程序植入目标系统后,就会改变其文件表现形式加以隐蔽,从而欺骗用户。隐藏保护木马文件的方式主要有以下几种:
1.捆绑隐藏
采用此隐蔽手段的木马主要有两种方式:插入到某程序中或者与某程序捆绑到一起,一旦程序运行木马也就会被启动,例如使用压缩的木马程序伪装成jpeg等格式的图片文件,木马程序就有了随时运行的可能。或者与常用程序捆绑到一起,一旦木马被点击就会加载运行,使用户难以防范,例如提供给用户捆绑了木马程序的解压软件,一旦用户运行该软件此程序便被释放并立即运行。
2.伪装隐藏
首先利用自身多变性的外部特征伪装成单独的文件,选定好文件名,然后修改文件系统的相关程序,最后设置文件属性为隐藏或者只读。这样,木马就伪装成了正常的文件或者非可执行文件。
3.替换隐藏
木马将自身的DLL替换为目标文件的同名DLL文件,备份原先的正常系统文件。经过这样的替换后,一般情况下,正常的系统文件,只有当具有木马的控制端向被控制端发出指令后,隐藏的程序才开始运行。
(二)进程隐藏
进程是程序运行在操作系统中的表现行为。主要有以下三种方法:
1.注册为系统服务
在WIN9X系列的操作系统中,在系统进程列表中看不到任何系统服务进程,因此只需要将指定进程注册为系统服务就可以在系统进程列表中隐形此进程。
2.使用HOOK技术
我们可以利用Windows系统提供的挂钩函数,使得被挂钩的进程在自己处理接收到的消息之前,先处理我们的消息处理函数。一般地,这个消息处理函数放在DLL中,让目标进程加载,这就达到了注入代码的目的。
所谓的HOOK技术是指通过特殊的编程手段截取Windows系统调用的API函数,并将其丢掉或者替换。例如在用户查看任务管理器时截取系统遍历进程列表的函数并进行替换,隐藏木马进程。
3.基于DLL的进程隐藏技术
DLL不会在进程列表中出现,是因为它不能独立运行,必须由进程加载并调用。一个以DLL形式的程序,通过某个已经存在进程进行加载,就可实现程序的进程隐藏。主要有以下两种方式:
在注册表中插入DLL。在Windows NT/2000/XP/2003中,有一个注册表键值HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs。当某个进程加载User32.dll时,这里面所有的DLL都将User32.dll利用LoadLibrary函数加载到该进程空间中。我们可以把自己的代码放在一个DLL中,并加入该键值,这样就可以注入到所有使用User32.dll的进程中了。
远程线程注入。在Windows系统中,每个进程都有自己专门的地址空间,一个进程不能创建本来属于另一个进程的内存指针。远程线程技术就是利用特殊的内核编程手段打破这种限制,访问另一个进程的地址空间,进而达到隐藏自身的目的。所谓远程线性插入DLL技术是指通过在另一个进程中创建远程线程的方法进入其内存空间,然后加载启动DLL程序。
文献[3]提出的基于DLL加载三级跳和线程守护的隐藏技术,增强了木马的隐蔽性与抗毁性。
(三)启动隐藏
木马的最大特点就是它一定要伴随系统的启动而启动,否则就失去了意义。木马启动的方式有以下几种:
1.注册表启动项:
网站被黑,牵出木马“大小姐”
2008年5月6日这天,江苏省水利厅的工作人员一上班就发现,他们的官方网站页面无法打开,疑被黑客侵入。该网站主要承担公文办理、汛情传递等重要任务,日访问量5000人次。当时,全省已进入汛期,该网站能否正常运行,将直接影响防汛工作。当日,省水利厅即向南京警方报案。南京市公安局网警支队接警后,立即会同南京鼓楼公安分局组成专案组,立案侦查。
经过现场勘查,专案组确认,“江苏水利网”系遭到黑客攻击而瘫痪。黑客攻击政府网站,目的何在?办案人员经过连续几天的工作,终于查明,导致“江苏水利网”瘫痪的原因,是黑客将一款木马程序植入了网站后台程序。通过高科技侦查手段鉴别确认,黑客是在湖北省宜昌市某小区一民房内,对“江省水利网”发起的攻击。在宜昌市公安局网监支队的配合下,5月14日,南京警方犹如神兵天降,一举将逃离宜昌的犯罪嫌疑人何亮等人抓获。
审讯发现,何亮并非是直接攻击“江苏水利网”的人,他只是通过租用服务器,购买攻击者截获的点击用户流量。根据何亮等人的交代,专案组于5月20日在宜昌市精品国际一单元房内,将犯罪嫌疑人杨江平及其三名雇用人员抓获。
原来,杨江平是一名典型的网络黑客,他正是受雇何亮而攻击“江苏水利网”的。攻击的目的,是为了在该网站植入一款由何亮提供的域名代码,而一旦植入成功,用户只要点击该网站,就会跳转到由何亮控制的服务器上,而何亮的服务器上,设置了一种名叫“大小姐”的木马程序。杨江平本人赚钱的方式,只是向何亮卖流量,即中毒电脑越多,他获得的流量也就越大,赚的钱也就越多。之所以导致“江苏水利网”瘫痪,是因为杨江平雇用的新手,在攻击该网站时犯了低级错误。
通过对何亮、杨江平等6名归案者的审讯,专案组发现,犯罪嫌疑人攻击“江苏水利网”的目的,均是为了传播“大小姐”木马病毒。网络警察对“大小姐”木马病毒并不陌生,因为该盗号木马程序,曾屡屡窃取玩家游戏账号内的虚拟财产,对网络安全构成严峻挑战。而且杀毒软件又拿它没办法,所以该木马程序的编写及传播者,早就成了公安机关的打击对象。情况逐级上报后,引起了公安部的高度重视,随后公安部指定南京市公安局管辖“大小姐”系列木马病毒案,并于同年7月1日挂牌督办。
一网打尽,揭开黑客产业链
南京警方按照公安部的指令,追剿“大小姐”盗号木马的始作俑者。经过艰苦工作,专案组分别于6月13日在上海,6月24日在四川广元、绵阳等地,抓获了制作、传播“大小姐”系列木马病毒,涉嫌破坏计算机信息系统的团伙组织者王华、编写者龙斌及销售总周牧等10人。
经过对犯罪嫌疑人的逐一审讯,“大小姐”木马肆虐网络的真实面目,被一层层揭开。原来,王华以牟利为目的,自2006年下半年开始,雇用顶级编程高手龙斌,先后编写了40余款针对国内流行网络游戏的盗号木马。王华拿到龙斌编写的木马程序后,对外谎称为自己所写,同时寻找人销售,先后通过周牧等三人,在网上总销售盗号木马。该木马系列在传播销售时,被命名为“大小姐”木马。
购买了“大小姐”木马的犯罪嫌疑人,则分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻西游”等网络游戏,进行盗号。2009年2月23日,专门负责盗号并销售游戏装备的犯罪嫌疑人张某,在湖南益阳落网。在他的账户中,警方查获现金30余万元。由此,警方揭开了这个涉嫌制造、传播木马程序团伙的获利黑幕。
经查,王华靠销售“大小姐”木马程序,已获利1400余万元,至于王华等人到底侵害了多少游戏用户,目前难有准确的统计数字。据介绍,这些人先将非法链接植入正规网站,用户访问网站后,会自动下载盗号木马。当用户登录游戏账号时,游戏账号就会自动被盗取。犯罪嫌疑人将盗来的账号直接销售,或者雇用人员将账号内的虚拟财产转移出来,销售牟利。
据南京网警支队负责人介绍称:“大小姐”木马程序,事实上形成了一条黑色产业链,占据了我国“木马盗号市场”60%以上的份额,危害极大。
锁定证据,按刑法新条款定罪
2008年9月,侦查机关将该案向南京市鼓楼区检察院移送审查。当时,办案检察官面临着的最大困难,就是电子证据如何使用和固定。例如,犯罪嫌疑人的买卖交易都是在网上进行的,犯罪所得也都是通过“支付宝”等网上支付形式支付的。而“支付宝”的交易记录,只保留两个月时间,如何将犯罪所得与具体的犯罪行为联系起来呢?犯罪所得,其实都是源于买卖所窃取的“虚拟财产”,而受害者又很难找到,如何认定取得这些财产的非正当性呢?
为了证明犯罪嫌疑人的钱财,来源于犯罪所得,公诉科长曹立带领其他办案检察官,从犯罪嫌疑人QQ聊天记录和“支付宝“记录出发,寻找突破口。“我们从两个犯罪嫌疑人的QQ聊天记录入手,从中找出和案件相关的只言片语,仅这项工作,就用去800多张A4打印纸。”曹立如是说。
网络用语木马是拟声词,主要模拟用力亲吻的声音。
木马通常指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被害者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
(来源:文章屋网 )
【关键词】计算机;泄密隐患;安全管理
计算机病毒,实际上就是一种特殊的计算机程序。这种程序能够通过修改计算机程序或者以其自身的复制品去感染与已经受到侵害的计算机系统相连接的其他计算机或计算机系统。把它称之为“病毒”,是因为其在计算机系统中的发作规律与习性同那些生物病毒在生物群中传染传播的情况十分类似。在这里,以广泛流行、危害极大的木马病毒程序为例,剖析病毒的危害性、破坏性,以引起广泛的重视和认同。
一、计算机病毒的特点规律
(一)木马一词的由来
木马全称“特洛伊木马”,英文为Trojan Horse。故事来源于古希腊神话,公元前1193年,特洛伊国王普利阿莫斯和它的二儿子――帕里斯王子在希腊斯巴达王麦尼劳斯的宫中受到了盛情的款待。但是,帕里斯却与麦尼劳斯美貌的妻子海伦一见钟情并将她带出宫去,恼怒的麦尼劳斯和他的兄弟迈西尼国王阿伽门农兴兵讨伐特洛伊。由于特洛伊城池牢固易守难攻,希腊军队和特洛伊勇士们对峙长达10年之久,最后英雄奥德修献上妙计,让希腊士兵全部登上战船,制造撤兵的假象,并故意在城前留下一具巨大的木马。特洛伊人高兴地把木马当作战利品抬进城去。当晚,正当特洛伊人沉湎于美酒和歌舞的时候,藏在木马腹内的20名希腊士兵杀出,打开城门,里应外合,特洛伊立刻被攻陷,杀戮和大火将整个城市毁灭,持续10年之久的战争终于结束。这就是“特洛伊木马”一词的来历。
计算机领域把伪装成一般程序的程序形象地称之为“木马”。它是通过一种特定的远程控制程序来控制目标计算机。它由客户端和服务端两部分组成。客户端运行在入侵者的主机上,完全操控服务端计算机的运行。比如,浏览、移动、复制、删除服务端计算机上的文件等等。它不会自我繁殖,也不感染其他文件,主要通过“伪装隐身”来诱骗用户下载执行,从而向客户端提供所需的信息,进而达到窃密的目的。而服务端运行在目标主机上,是被控制的平台,一般发送给目标主机的就是服务端文件。
(二)木马病毒程序的特点
1.伪装性。木马总是伪装成一般程序来迷惑网络管理员和计算机用户。比如伪装成邮件、游戏等。
2.潜伏性。木马可以悄无声息地打开端口等待外部连接。
3.隐蔽性。木马可以在用户丝毫不知情的情况下隐蔽运行。
4.通用性。目前安装主流操作系统WindowsXP以及安装有早期的Windows98操作系统的计算机都同样控。
5.顽固性。计算机一旦感染木马,无法清除,只能重新安装操作系统软件。
当然,它还具有密码截取、屏幕监视、邮件发送、开机启动、无认证入侵等特性。
(三)木马病毒程序的工作原理
其工作原理大概分为:木马种植、隐蔽伪装、自动运行、攻击目标。
木马种植就是把木马程序种植于受控计算机中。其做法是:把木马程序打包、捆绑到邮件、贺卡等诸如此类的一般文件上,发送给用户或者诱骗用户主动下载,在用户打开这些文件时就完成了木马的种植,攻击者就可以将客户端和服务端连接起来,从而获得控制权。
隐蔽伪装就是当木马在被控计算机上运行后,会把自己隐蔽伪装起来,更有甚者可以修改杀毒软件的参数配置而变成合法程序。
自动运行就是修改被控计算机的配置参数,使得每次计算机开机启动时都能够自动运行木马程序。
攻击目标就是在上述基础性工作的前提下,攻击者就完全取得了对被控计算机的控制权,可以毫无顾忌地窃取所需信息了。
(四)木马病毒程序的传播与危害
木马病毒的传播主要通过电子邮件、浏览网页、文件下载、存储介质拷贝等途径进行。传播的方法主要有:1.乔装打扮。把木马程序的图标伪装成文档文件,比如,TXT、WORD、HTML等经常使用的文件图标,引诱用户下载使用。2.弄虚作假。木马程序被激活时,常常有类似于“文件已损坏,无法打开”的提示,用户信以为真,实际上木马已经侵入该用户计算机。3.销声匿迹。木马程序一旦被激活,其源文件会立即自动删除,查杀病毒无从下手。
计算机感染木马病毒的最大危害就是,其被完全控制,为今后的失泄密留下安全隐患。那么,在网络中断的情况下,在非计算机上处理文件或用移动存储介质拷贝文件也是不安全的。因为木马程序在网络中断时会自动搜索、采集移动存储介质里的文件,为入侵者联网后窃密打下基础,甚至有些木马程序把搜集到的信息自动发送到入侵者的邮箱中。其具体表现就是盗取用户密码、监视键盘操作、损坏杀毒软件等。
(五)计算机感染木马病毒后的特征
计算机一旦感染木马病毒,它的运转就会变得异常,主要体现在:网络浏览器会自动连接某个网站;篡改操作系统软件的配置文件;文件无法彻底清除;莫名其妙警告或提示;存储介质不能正常读写等。
计算机感染木马病毒是当前最重要的失泄密途径,除此之外,操作系统漏洞泄密、密码设置不合理泄密、存储介质使用不当泄密、电磁泄露泄密等也是常见的泄密途径。
二、计算机与信息安全的防护技术和措施
(一)安装防火墙
防火墙一词(firewall)来源于早期的欧系建筑,它是建筑物之间的一道矮墙,用来防止发生火灾时火势的蔓延。在计算机网络中,防火墙通过对数据包的筛选和屏蔽,防止非法的访问进入内部或外部计算机网络。比较公认的防火墙定义为:防火墙是位于可信网络与不可信网络之间并对二者之间流动的数据包进行检查的一台、多台计算机或路由器。通常情况下,可信网络指的是内部网,不可信网络指的是外部网,比如国际互联网等。内部网络与外部网络所有通信的数据包都必须经过防火墙,而防火墙只放行合法的数据包,因此,它在内部网络与外部网络之间建立了一个屏障。对于一般用户来说,安装个人防火墙就可以屏蔽掉绝大多数非法的探测和访问,它不仅可以防止入侵者对主机的端口、漏洞进行扫描,还能阻止木马进入主机。
目前,比较流行的防火墙软件主要有:瑞星、金山网镖、卡巴斯基、诺顿、麦卡非等。
(二)安装杀毒软件和使用专杀工具
据不完全统计,全球每天大约产生3000种以上的病毒或病毒变种,大部分互联网计算机被感染,因此,安装防杀毒软件变得十分必要。由于防杀毒软件查杀病毒的能力各有优势,要针对病毒类型合理地选择使用防杀毒软件。有的时候,安装在计算机上的杀毒软件对一些病毒无能为力,既查不出来也清理不掉,这个时候就需要使用病毒专杀工具。另外,要及时更新防杀毒软件,可以更好地防止和清除病毒,保持计算机正常、高效地运行。目前,卡巴斯基、瑞星、金山毒霸等都是大家公认的防杀毒能力较强的软件,用户可选择使用。
(三)及时为操作系统、应用软件打好补丁
任何一款操作系统,任何一个应用软件都不是十全十美的,总有这样或那样的一些不足,这些不足我们称之为漏洞。这些漏洞就为病毒的入侵提供了可乘之机,为此,及时更新软件、打好补丁变得十分必要,这样可以堵塞病毒入侵的漏洞。
(四)严格控制移动存储介质的使用
移动存储介质主要是指移动硬盘、优盘等使用方便、携带方便的存储介质。它轻巧精致、存储量大、时尚新潮,越来越受到人们的欢迎,不少单位已经把移动存储介质作为办公的标准存储设备。殊不知,这些介质已经成了当前传播病毒的重要工具,很多失泄密事件也由此而引起。《严密防范网络泄密“十条禁令”》严格规定了计算机和移动存储介质的使用,人人都要牢固树立安全保密意识,切实遵守安全保密规定,严防失泄密事件的发生。
(五)科学合理设置计算机密码
安全使用计算机,设置好开机密码、用户密码、屏保密码是不可或缺的重要手段,它可以防止计算机里存储的信息被窥探、被盗取。设置密码的要求是:1.同时设置上述三种密码;2.密码长度要在八位数以上;3.由字母、数字、特殊字符构成。这样设置的密码通常情况下是很难破解的,有利于保证计算机信息的安全。
(六)安装安全管理保密系统
安全保密系统是局域网的一道安全屏障,它不仅可以防止病毒的入侵,还可以有效控制外接设备的随意使用。
(七)为计算机配备防辐射干扰仪和屏蔽设施
防辐射干扰仪工作时,可以产生与计算机频谱十分类似、强度较高的电磁信号,来覆盖计算机产生的辐射,隐藏真正的信号,防止接受设备接收到计算机泄漏的电磁信息。
为计算机安装屏蔽设施也可以较好地保护计算机和信息安全,一是能够阻止信息的泄露;二是防止外部电磁信号的干扰和影响。
(八)养成使用计算机的良好习惯
[关键词] 扫描 权限 后门
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
1.特征匹配。找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等等。
2.统计分析。预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析。若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
1.行为监测法。由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。
监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
2.文件完备性检查。对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
3.系统快照对比检查。对系统中的公共信息,如系统的配置参数,环境变量做先验快照, 检测对这些系统变量的访问,防止篡改导向攻击。
4.虚拟机技术。通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
三、后门留置检测的常用技术
1.对比检测法。检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。 常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法。文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
关键词:木马入侵:漏洞入侵;口令入侵
中图分类号:TP393.8 文献标识码:A
许多上网的用户对网络安全可能抱着无所谓的态度,认为最多不过是被“黑客”盗用账号,他们往往会认为“安全”只是针对那些大中型企事业单位的,而且黑客与自己无怨无仇,干嘛要攻击自己呢?其实,在信息时代里,几乎每个人都面临着安全威胁,都有必要对网络安全有所了解,并能够处理一些安全方面的问题,那些平时不注意安全的人,往往在受到安全方面的攻击时,付出惨重的代价时才会后悔不已。为了把损失降低到最低限度,我们一定要有安全观念,并掌握一定的安全防范措施,让黑客无任何机会可乘。只有了解了他们的入侵方式,我们才能采取准确的对策对付这些黑客。常见入侵方式有以下几种:木马入侵、漏洞入侵、口令入侵等。
1 木马入侵
木马不属于病毒,它是设计藏在电脑中进行特定工作或依照黑客的操作来进行某些工作的程序。它是一个C/S结构的程序,运行在黑客的电脑上的是Client瑞,运行在目标电脑上的是Server端。当目标电脑连上互联网后,Client端会发给Server端信息,然后听候黑客指令,执行黑客指令。
机器中木马的原因大概有以下几种:
(1)黑客入侵后植入,如利用NetBIOS入侵后侵入。
(2)利用系统或软件(IE、OutlookExpress)等的漏洞侵入。
(3)寄电子邮件后侵入,寄一封夹带木马程序的信件,只要收件者没有警觉心、不注意网络安全而运行它就可能成功侵入;或通过即时聊天软件发送含木马的链接或者文件,接收者运行后木马就被成功侵入。
(4)在自己的网站上放一些伪装后的木马程序,宣称它是好玩的或者是有用的工具等,让不知情的人下载运行后便可成功侵入木马程序。一般我们说的木马程序多半是指功能强大且完整的工具,如冰河、SubSever等。他们通常可以进行如下黑客任务:
①复制各类文件或电子邮件、删除各类文件、查看被黑者电脑中的文件,就如同使用资源管理器查看一样。
②转向入侵,利用被黑者的电脑来进入其他电脑或服务器进行各种黑客行为,也就是找个替罪羊。
③监控被黑者的电脑屏幕画面,键盘操作来获取各类密码,例如进入各种会员网页的密码、拨号上网的密码、网络银行的密码、邮件密码等。
④远程遥控操作对方的Windows系统、程序、键盘。
预防方法:及时给系统打补丁,不要随意打开来历不明的邮件,不随意下载和运行不明软件,打开杀毒软件的即时监控功能。
2 漏洞入侵
漏洞就是有缺陷的地方,而所谓的系统或软件的漏洞,当然就是因在程序设计上的问题或考虑不够周密而造成黑客可以利用这些漏洞有机可乘地进行入侵、攻击或其他黑客任务,例如:Windows、IE等产品都有许多的漏洞。黑客通常是利用有漏洞的软件下达命令、针对该漏洞的王具、自己设计的针对该漏洞的工具等方式来入侵、攻击。不同的漏洞产生的原因与用法差别很大,怎样利用该漏洞也是取决于漏洞本身,利用该漏洞能执行什么样的黑客行为也取决于该漏洞本身的特性。比较著名的漏洞入侵有Unicode漏洞入侵、跨站脚本入侵、Sql注入入侵等。
预防方法:及时升级你的系统,及时给系统打补丁。补丁是漏洞的修补程序,一般某种漏洞被发现并公布后,系统厂商就会考虑及时修补该系统,于是补丁包。及时打补丁不但可以预防黑客入侵,还可以阻止病毒入侵,因为有些病毒就是针对系统的漏洞进行传播、攻击的。
3 口令入侵
口令入侵,是指破解口令或屏蔽口令保护。但实际上,真正的加密口令是很难逆向破解的。黑客们常用的口令入侵工具所采用的技术是仿真对比,利用与原口令程序相同的方法,通过对比分析,用不同的加密口令去匹配原口令。Internet上大多数服务器运行的是UNIX或类UNIX操作系统。在UNIX平台上,用户录的ID和口令都存放在password中。UNIX以数据加密标准DES为基础,以ID为密钥,对口令进行加密。而加密算法是公开的。虽然加密算法公开,但目前还没有能够逆向破解其加密信息的方法。
预防方法:黑客们破解口令的过程大致如下:首先将大量字表中的单词用一定规则进行变换,再用加密算法进行加密。看是否有与password文件中加密口令相匹配者,若有,则口令很可能被破解。单词变换的规则一般有:大小写交替使用;把单词正向、反向拼写后,接在一起(如mannam);在每个单词的开头或结尾加上数字1等等。同时,在Internet上有许多字表可用。如果用户选择口令不恰当,口令落入了字表库,黑客们获得了password文件,基本上就等于完成了口令破解任务。
“网页挂马”已成为木马传播的主要途径之一,黑客往往在入侵网站后利用这种方式将木马“种植”到浏览该网站的用户计算机上并执行命令,以达到盗取用户财物和控制用户计算机的目的。日前,微点反病毒专家发现一种更为新颖的网页挂马方法,通过向“第三方”网站间接挂马,实现病毒传播速度、数量倍速增长,对网民危害极大。微点反病毒专家经过技术分析发现,与以往不同的是近期被挂马的网站,其共同特征为被挂马的地址完全相同。经核查,这批被挂马网站均使用了国内某知名“统计网站”编写的用于收集统计用户浏览网页数据信息的代码。黑客正是利用该知名统计网站进行挂马,从而使得所有使用了该统计代码的网站全部被间接挂马。如果用户浏览了被间接挂马的网站,木马即被下载到用户电脑中,下载的木马被激活后,将注入系统关键进程中,并自动下载多种盗号木马程序,同时完成自身木马程序在线更新,释放autorun.inf利用Windows自动播放功能并借助移动存储介质广泛传播。利用统计网站间接挂马的方式,使得病毒的传播范围和感染数量呈几何级数增长,对社会危害极大。
微点反病毒专家介绍,这种新型的借助第三方进行间接“网页挂马”手段实为一种带有浓郁牟利色彩的新型木马传播手段,可以迅速实现病毒大量传播,已成为黑客“创收”不义之财聚宝盆。传统的网页挂马手段只针对单一网站,并不会主动 “感染”其他网站,由于浏览特定网站的用户数量终究有限,因此病毒传播范围并不是很大,对社会危害也较为有限。微点反病毒专家认为,统计网站间接挂马方式将有可能取代传统的单一网页挂马而成为未来网页挂马的主流途径。黑客肆意寻找知名的第三方网站“下手”,成功入侵后对该网站进行挂马,从而使得其他依赖该第三方网站功能的网站自动被中上了木马页面,这样显然极大地增强了木马传播能力。由于使用知名第三方网站功能的网站很多,使得病毒网页能够短时间内迅速膨胀传播,对社会危害极大。
值得注意的是,使用间接挂马的方法,使得单纯分析网页本身代码的方法已无法发现网站是否被挂马。微点反病毒专家在用户的反馈中发现,由于间接挂马手段的隐蔽性较强,很多网站的管理员甚至都不知道自己的网站已被挂马。微点反病毒专家说,这种新型挂马方式甚至能够逃脱部分具有网页监控的杀毒软件的检测,从而可以躲避传统杀毒软件的查杀。因此,建议广大网友安装使用具有主动防御功能的安全软件,主动防御软件特有的行为杀毒技术,针对此类复杂多变的木马程序也有较好清除功能。
关键词:计算机病毒,信息安全博物馆
0.引言
当前,我们正处在飞速发展的信息社会,计算机已经普及到我们工作和学习的每个角落,我们对计算机和计算机网络的依赖性也越来越高。随着博物馆信息化的推进,很多重要数据都以电子文件的形式保存,虽然现阶段博物馆拥有基本抵御网络安全威胁的能力和硬件设施,但是针对数据、信息、身份等窃取为主的入侵攻击、机密信息泄露、重要数据丢失等现象仍然时有发生,因此在博物馆信息化建设中加强信息安全迫在眉睫。
1.博物馆信息化建设中信息安全的重要性
信息是博物馆的重要资源,信息安全是博物馆信息化建设中的重要问题,特别是现代化博物馆的信息化建设将由独立的计算机服务器过渡到计算机网络集成化管理,信息的安全问题更加突出。计算机病毒与互联网黑客入侵,计算机管理及应用人员在使用中的疏漏等,都容易威胁到博物馆信息化网络系统的信息安全。
博物馆的信息系统存在安全方面的问题主要表现在:①计算机病毒和互联网黑客入侵。博物馆网站的电子信箱每天都会接收到包括病毒程序和钓鱼网页链接的垃圾邮件,这对博物馆的信息安全构成严重威胁,因此必须采取防病毒措施避免病毒和黑客程序在博物馆计算机网络内传播。②博物馆使用计算机的工作人员也必须保持安全防范意识,不要认为计算机安装了杀毒软件和病毒防火墙就不会遭受病毒和黑客的入侵,而要根据实际使用情况对杀毒软件进行合理配置,打开杀毒软件的实时监控功能,并且定期进行杀毒软件的升级和相关病毒代码库文件的更新,保证杀毒软件能够查杀互联网上最新流行的病毒。③做好计算机重要数据的备份。
博物馆的计算机专业技术人员应经常对整个计算机网络系统进行维护、检测,发现问题及时解决,消除安全隐患。同时博物馆在进行计算机硬件建设时不应忽视软件方面的投资,一方面适当购买计算机信息安全产品,如企业级网络版杀毒软件、企业级防火墙软件等,在技术方面消除安全隐患;另一方面就是对计算机技术人员的定期培训,以提高计算机管理人员的网络信息维护的能力。
2.计算机病毒的传播途径、处理方法及预防技巧
计算机病毒程序的传播途径主要有以下两种:①通过存储介质。存储介质包括软盘、硬盘(包括移动硬盘)、光盘、优盘和各种数码设备的存储介质(包括MP3、MP4、数码伴侣、SD卡、CF卡)等,这些存储介质存放用户需要的信息数据文件,一旦这些信息数据文件受到病毒的感染,这些存储介质将会成为病毒传播的物理介质。②通过网络方式。网络方式包括电子邮件、互联网地址页面、网络协议等,互联网络的普及给病毒的传播增加了新的途径。目前新型的病毒程序不但能够感染计算机的数据文件,而且能够主动对网络上的计算机进行攻击,并造成大规模的计算机中毒,进而使整个计算机网络陷入瘫痪状态。
计算机病毒的处理方法:首先判断计算机是否感染病毒程序,只需要查看计算机中的安全软件或杀毒软件能否正常运行;如果安全软件或杀毒软件都不能正常运行的话,就基本确定计算机被病毒感染了。其次为防止病毒在网络上传播和相互感染,在处理感染病毒的计算机前,都必须断开计算机的物理网络连接,然后进行计算机病毒的清除工作。再次根据计算机感染病毒的具体特性,采用针对病毒特性的方法进行查杀病毒。最后连接计算机网络并且升级安全软件和杀毒软件,确保它们处于正常运行的状态,避免计算机受到病毒程序和木马程序的重复感染。免费论文参考网。
预防计算机病毒有以下技巧:①在计算机上安装安全软件并且更新到最新版本,及时升级计算机操作系统安全补丁,定期检查计算机系统的整体安全性。免费论文参考网。②在计算机上安装杀毒软件,开启杀毒软件的实时监控功能,及时更新杀毒软件的病毒特征数据库,定期检查计算机内的所有文件,检测可能入侵计算机的未知病毒程序。③在计算机上安装防火墙软件,设置合适的防火墙软件安全策略,能够有效阻止来自互联网络上黑客的入侵攻击。④建立良好的计算机使用习惯,例如不要打开来历不明的邮件及其附件,不要访问不太了解的网站,不要运行从互联网上下载后未经杀毒处理的软件等。⑤在使用各种存储介质前,先运行杀毒软件对存储介质进行病毒检查,在确认没有病毒的情况下才打开存储介质里的文件。⑥定期对计算机进行全盘病毒木马扫描,及时发现隐藏在计算机中的各种病毒木马程序。
3.计算机网络入侵的攻击方法和防范措施
在互联网普及的时代,博物馆信息化建设需要结合计算机网络新技术,在抵御病毒入侵的同时,更加需要抵御来自互联网的黑客入侵攻击。黑客入侵的攻击方法有:扫描器法、特洛伊木马法、拒绝服务攻击法等。
(1)扫描器是利用客户机/服务器(简称C/S)结构中的“请求——应答”机制来实现的。它通过使用不同的请求信息依次向远程主机或本地主机发送服务请求,如果远程主机或本地主机有响应,则表明与服务请求所对应的服务正在进行中,这时再进一步分析和确定服务软件的版本信息,并试探该版本中的漏洞是否存在,从而实现扫描的目的。网络入侵扫描器具备的基本功能包括:利用网络命令扫描并且发现目标主机及其所在的计算机网络,发现目标主机后能够扫描目标主机正在运行的各种服务及其对应的端口,能够扫描并测试目标主机上这些服务中是否存在漏洞,能够结合其它黑客工具对目标主机实施攻击并且达到控制目标主机的作用。免费论文参考网。
预防扫描器法网络入侵攻击的方法是:使用正版的操作系统软件并及时安装操作系统的漏洞补丁升级程序,使用正版的各种应用程序软件并及时安装软件的升级补丁程序,保持操作系统和应用软件处于最新的版本,使用安全软件检查系统软件,这样能够有效防止因系统漏洞或者软件漏洞而导致计算机被网络扫描器攻击入侵。
(2)特洛伊木马(简称木马)是一种C/S结构的网络应用程序。木马的服务器端程序可以驻留在目标主机上以后台方式自动运行,攻击者使用木马的客户端程序与驻留在目标主机上的服务器木马程序进行通信,进而获取目标主机上的各种信息。例如,窃取用户口令、复制或删除文件、控制目标主机等。
计算机系统中出现木马程序的原因主要有三种:第一种是合法用户故意获得木马程序并将其安装在系统上;第二种是互联网上免费提供下载的软件被植入木马程序,合法用户在安装该软件时,无意识地将木马程序安装到了系统上;第三种是合法用户访问挂马网站激活了网页木马而中毒。网页木马防不胜防,主要有两个原因:一、网页木马利用用户电脑中的各式各样的漏洞偷偷潜入;以往最多的是系统漏洞,现在主流的都是第三方软件漏洞,因为很多用户都没有给软件打安全补丁的习惯。二、木马在变成网页木马之前,一般都会针对各种流行的杀毒软件使用加花、加壳等手段进行病毒免杀处理,从而逃避杀毒软件的查杀。
预防木马入侵的方法是:不要打开来历不明的软件程序;不要打开未知的互联网网页地址;通过安全软件检查计算机操作系统是否存在木马程序。
(3)拒绝服务攻击(简称DoS攻击)是指攻击者通过消耗或破坏目标系统上的网络带宽、系统资源、服务程序使目标系统无法提供正常的网络服务。DoS攻击会导致计算机系统资源匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快,都无法避免这种攻击带来的后果,因此DoS攻击是一种对计算机网络危害巨大的恶意攻击。DoS攻击以分布式拒绝服务攻击(简称DDoS攻击)最为典型。发动一次DDoS攻击,攻击者首先控制大量的僵尸机(攻击者通过操作系统或某些常用应用程序的漏洞来获得访问主机系统的权限,并在主机系统里安装木马程序,这些被入侵的主机系统就是僵尸机),大量的僵尸机组织在一起就形成一个僵尸网络,攻击者控制僵尸网络同时以高速度向目标主机发送大量的数据包,目标主机就会因处理源源不断的数据包而迅速消耗系统资源,最终导致目标主机无法响应正常的请求或死机。
防范拒绝服务攻击的对策有:①进行拒绝服务检测,如主机异常情况的检测、主机网络连接特征的检测、伪造数据包的检测、统计检测等;②增强容忍拒绝服务攻击的能力;③阻止拒绝服务攻击,如通过入口过滤、源端统计过滤、基于路由过滤等方式来过滤明显伪造的数据包;④追踪拒绝服务攻击;⑤网络的边界过滤;⑥合理编写防火墙规则和路由器的访问控制列表,合理过滤数据流;⑦网络的流量控制;⑧网络带宽提供冗余,关键的防火墙和服务器提供备份;⑨尽量为系统打好必须的安全补丁;⑩服务器采用DNS轮询或负载均衡技术等等。拒绝服务攻击问题一直以来得不到根本的解决,是因为这是由于计算机网络协议本身的安全缺陷造成的,因此无法从根本上抵御拒绝服务攻击。【1】
4.加强博物馆网络安全和提高安全防范技能,有效保护博物馆信息化建设成果
博物馆的计算机网络安全是保护博物馆计算机网络系统中的硬件、软件和数据资源,不因偶然或其他的原因遭到破坏、更改、泄露,使博物馆计算机网络系统能够连续可靠地正常运行并提供网络服务。加强博物馆计算机网络安全和提高博物馆计算机网络安全防范技能有以下的对策:
(1)在技术层面的对策。①加强网络安全教育和管理。提高工作人员的保密观念和责任心, 教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。②运用网络加密技术保护网络传输的数据。把各种加密算法结合在一起使用,这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一,既可以对付恶意软件攻击又可以防止非授权用户的访问。③加强计算机网络访问控制。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问,也是维护网络系统安全、保护网络资源的重要手段。④信息资源数据库的备份与恢复。博物馆信息资源数据库的备份与恢复是数据库专业技术人员维护博物馆信息数据安全性和完整性的重要操作。⑤采用防火墙技术是解决网络安全问题的主要手段。防火墙是在网络之间执行访问控制策略的系统,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,而且防火墙具有较强的抗攻击能力。
(2)在物理层面的对策。①保证博物馆计算机网络系统实体有安全的物理环境条件,如温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。②选择博物馆信息中心机房安装场所十分重要,它直接影响到计算机系统的安全性和可靠性,而且要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,避免设在建筑物高层和用水设备的下层或隔壁,还要注意出入口的管理。③博物馆信息中心机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。首先物理访问控制识别访问用户的身份并对其合法性进行验证,其次对来访者必须限定其活动范围,再次要在计算机系统中心设备外设多层安全防护圈防止非法暴力入侵,最后信息中心计算机系统设备所在的建筑物应具有抵御各种自然灾害的设施。【2】
5.结论
我们只有重视博物馆信息化建设中信息安全的重要性,做好各项措施预防计算机病毒并且有效抵御互联网的黑客入侵攻击,加强博物馆计算机网络安全和提高博物馆计算机网络安全防范技能,才能保障博物馆信息化建设成果。
参考文献:
[1]王海彬. 网络拒绝服务攻击及防范对策[J]. 网管员世界,2008,24:98-102.
[2]顾巧论,高铁杠,贾春福. 计算机网络安全[M], 清华大学出版社,2008,6.
[3]张洪彪. 浅谈计算机网络安全与防范[J]. 决策与信息,2009,12:186-188.
1垃圾邮件的危害
电子邮件具有公开性与广泛性的特点,从而使不法入侵者通过发送一些垃圾邮件的形式来实施攻击。垃圾邮件通常不能够直接危害到用户计算机的安全,可是邮件的发送占用了很多的流量,会导致用户的网络变慢,甚至会导致邮件系统的崩溃,一些垃圾邮件占用邮箱的空间,在垃圾邮件当中隐藏着一些木马程序和病毒,危害着网络的安全。
2黑客攻击的危害
黑客能够应用他人计算机的系统漏洞,非法地访问计算机。黑客的攻击方式有非破坏性与破坏性两类:非破坏性的攻击通常是仅仅是扰乱计算机系统的正常运转;破坏性的攻击通常是盗取别人的信息资料,破坏对方的数据。黑客往往使用窃取用户密码和木马程序的攻击方式。
3特洛伊木马程序的危害
特洛伊木马程序是一种比较特殊的计算机病毒,具有危害较大,较为常见,类别较多的特点。特洛伊木马能够直接侵入用户的计算机,盗取信息。在侵入计算机后,木马病毒把自己伪装成程序或游戏,隐藏在计算机当中,一旦把这些程序或游戏打开,木马就能够盗用和复制计算机的参数、文件等,控制用户的计算机。
4计算机病毒的危害
当前,威胁计算机网络安全的主要因素是计算机病毒。计算机病毒指的是一些特定的程序代码或指令。一旦计算机系统受到病毒的入侵,就能够在软件程序或存储介质当中得以寄生,随后实施自我复制,网络是当前传播病毒的主要方式,病毒的传播依靠互联网,具有隐蔽性强,清除难度大,传染速度快的特点。计算机病毒会降低计算机的工作效率,破坏计算机的数据资料。
5用户的安全观念较差
系统的管理人员没有妥善地保管配置信息、口令、密码,就可能泄露系统的信息。此外,有不少的用户没有充分地认识到计算机网络的安全问题,不遵循网络安全的有关要求,没有定期地维护、检查与监控网络环境,没有实施必要的防范措施。
6不适当的系统配置
计算机的网络系统是非常复杂的,它需要结合相关要求与网络环境的变化进行配置,倘若没有进行适当的配置,那么就会威胁到网络的安全,比如,设置不适当的防火墙软件,就会使防火墙失去应有的意义。一些特定的程序会直接影响到一系列相关的配置,一些用户乱配置系统,就会导致安全隐患。
二、防范建议
1安装防火墙
防火墙是确保网络安全的最有效、最基本的策略,是外部网和内部网之间的门户。防火墙在内部网络与外部网络之间创建了一套通信监控系统,来筛选、限制与检测进出的数据流,屏蔽外部的网络,禁止访问没有进行授权的用户,实现保护计算机网络的效果。防火墙技术由安全路由器、应用级、地址翻译和数据包过滤等技术组成。
2备份与恢复机制
备份与恢复机制能够在发生网络安全事故的情况下迅速地恢复想要的服务。备份与恢复机制的实现需要借助于多个层次,首先要避免损坏硬件设施,其次系统的备份需要借助于软件层面,需要养成定期备份重要数据的习惯。
3防治病毒的策略
针对计算机病毒,需要注重预防。首先确保具备有效的计算机防护机制。其次重视选择软件与操作系统,并实时地更新软件与操作系统,以减少漏洞。还需要重视选择杀毒软件,保证所安装的杀毒软件是正版的,并实时地更新与检查杀毒软件,以及实施定期地杀毒。
4网络加密技术
数据加密技术通常跟防火墙技术配套使用,能够提高数据的安全系数,避免数据被盗窃。它的使用方法是应用一些算法来加密数据,使它变成一些乱码,随后发送数据,到达目的地后再用同样的算法实施还原,这样可以避免泄露机密信息。
5访问控制技术
访问控制技术能够根据一定的规则判断用户的进程,使用户合法地访问数据,并限制重要资源的访问,以避免非法的用户入侵重要的数据资源。访问控制包括高层访问控制与低层访问控制,高层访问控制的方式是检查权限与身份这两个方面,通过对比和检查用户的权限、口令来实施的,低层访问控制是通过判断网络通信协议当中的信息特征来实施的。访问控制技术是保护网络安全的一种核心手段。
6入侵检测技术
1.救活“假死”的电脑
电脑出错的问题,常用电脑的人几乎都遇到过。玩游戏或是用某个软件时电脑突然没有了反应,鼠标的指针虽然能够移动,但点击鼠标没有反应,你无法操作电脑了,这种情况称为电脑“假死”。这时按电脑主机上的Reset键重新启动电脑,让电脑放弃现在运行出错的程序重新开始工作,电脑就又“复活”了。这可能是菜鸟最常用的解决问题的方法了,简单、实用、有效。
但这个方法有一些副作用,如可能会在硬盘中形成很多无用的垃圾文件。另外,如果电脑正同时执行多个任务,当一个程序造成电脑“假死”时,按Reset键等于是不分青红皂白把所有任务都抛弃掉重新开始,这有点滥杀无辜的味道了。在没有(或你不会用)任务管理器时,这种“滥杀无辜”是无奈之举,有了任务管理器,就不要滥用Reset键了。
小提示
自学电脑的法宝――Reset键
告诉你一个小秘密,电脑不是学会的,而是用会的。自学的主要手段不是看书,而是试用和摸索。这个图标有什么用?点击一下试试。那个程序有什么功能?运行一下试试。试用了这个程序后退不出来了怎么办?试乱了电脑找不回桌面了怎么办?没关系,有万能钥匙――Reset键,按下它后,经过电脑的重新启动,熟悉的Windows就又回来了,我们又可以重新开始我们的自学电脑冒险之旅了。机箱上的Reset键是我们学电脑不求人的第一大法宝。
要是连Windows也进不去了怎么办?这时我们要请出自学电脑的第二大法宝――重装系统,这确实需要向高手学习几分钟。掌握这两大法宝,你就可以大胆地进行你的自学电脑冒险之旅,再也不会有一不小心“用坏”电脑而四处求人的后顾之忧了。
2.拷大文件时干别的也不影响速度
现在的U盘越来越大,连8GB的都有了,这无疑给我们转移大文件提供了很大的便利。你也许遇到过往U盘里复制几GB的文件要等几十分钟的事,这时你总不会坐在那里干等吧,我们知道Windows可以同时干多项任务,那么在复制文件的时候玩玩Flash小游戏怎样?可玩游戏会不会使复制文件的速度变慢呢?那可有点得不偿失了。别担心,调出任务管理器,把你认为重要的任务的优先级设为高,不重要的任务的优先级设为低就可以了。
经过如下图这样的设置,你就不用担心玩小游戏会影响复制文件的速度了。你也不用太担心任务管理器的警告,因为只要重启电脑,程序的优先级就又恢复正常了。
3.自己查杀木马 体验当高手的感觉
如果你想体验一下当高手的感觉,就学习一下用任务管理器找出运行程序所在的位置方法吧。首先调出任务管理器,在“进程”选项卡中选中你关心的“进程”(通常它就是一个可执行文件)。
如果你在“进程”选项卡中选中一个“进程”后选“结束进程”,就可以终止这个正在运行的程序。
小提示
学会这些不但有实用价值,还有经济价值呢!现在上网的人都痛恨一个东西――木马,它不但会使你的电脑运行速度变慢,还会窃取你电脑中的秘密,如QQ密码、银行账号和密码等,就算你电脑中没有什么值钱的信息,也不希望别人窥探你的隐私吧。买杀毒软件不但贵,而且每年还要交年费,简直是个无底洞。免费的杀毒软件经常是能查毒不能杀毒,如果你用免费杀毒软件查到自己的电脑里有木马,选“清除木马”时却告诉你要交费注册才能清除,这时你该怎么办?上面学会的方法就有用了。
随着黑客技术的“普及”,以获利为目的的病毒、恶意、木马软件开始在互联网泛滥。由此带来的安全市场的动荡难以想像。据有关数据显示,2007年上半年截获的恶意软件数量达到14万,其中90%是以盗窃帐号为目的的木马程序。
随着股市的火爆,网上虚拟资产的失窃事件,也在一夜间成为互联网公害。
一个典型的故事版本是:为了鼓励注册,互联网公司迅雷曾经向十个注册用户颁发奖品。然而,消息公布之后,这十个注册用户帐号很快全部失窃,奖品也全被盗窃者冒领。
“目前中国法律对于虚拟财产的保护还处于空白状态。大量黑客都在盗窃虚拟资产,却很少有人因此受到严惩。”周鸿t说,这种“无法可依”的局面也在加剧了黑客产业化形成的趋势。
变味
黑客的身影已经存在了多年。但在中国的变质,却只有几年时间。
20世纪70年代,几个青少年用破坏新注册的电话系统的行为挑战权威,他们成为黑客的最早样板。“黑客”因此也成为一个褒义词,指那些尽力挖掘计算机程序的最大潜力的电脑精英。
当时,美国雅皮士社会运动发起了“青年国际阵营联盟/技术协助计划”,以黑客技术实现免费长途通话功能。加利福尼亚某电脑俱乐部的两名成员开始制作“蓝盒子”,并用这种装备侵入电话系统。这两名成员,一个绰号“伯克利蓝”(即SteveJobs),另一个绰号“橡树皮”(即SteveWozniak),他们后来创建了苹果电脑。
据他们在回忆录透露,当时在破解电话系统之后,他们自己打电话从来不使用这种装备,而是自己花钱。“因为他们的目的不是牟利,而是挑战权威,大多是恶作剧。”周鸿t如此评论说。
实际上,早期的病毒作者的动机也同样“单纯得可爱”。
1998年,台湾青年陈盈豪编写了臭名昭著的CIH病毒,造成的损失在当时可谓“史无前例”,但讽刺的是,陈盈豪编写它的动机却是“出一家在广告上吹嘘‘百分之百防毒软件’的洋相”。陈盈豪并没有通过CIH赚一分钱。
然而时至今日,国内黑客不求牟利的已经少之又少。在过去两年,大量流氓软件充斥国内互联网,甚至发展到人人喊打的地步。随后,病毒、木马等黑客技术也快速加入到利益链条中来。调查显示,我国有7成的网民曾经丢失过QQ帐号,6成的网民因此不敢使用网上支付平台。
业内人士透露,目前我国已经基本形成了制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱,分工明确的木马程序产业链。2007年上榜的“毒王”中,“AV终结者”、“熊猫烧香”、“灰鸽子”等均属此例。这些“毒王”的威胁更是无处不在:无论是网银中真实的钱,还是虚拟财产,都可能成为他们瞄准的对象。
最为可怕的是,由于暴利驱使,且犯罪成本低,网上甚至出现了公开授课“如何制作木马程序”的团伙。据奇虎360安全卫士负责人傅胜透露,目前从事木马传播的大多是不具备“专业知识”的普通少年,他们可以轻易在网上买到木马文件,而且用50元就能给木马加一层“外壳”,从而产生新的木马变种。据他透露,之前流行的“灰鸽子”病毒官方统计就有6万多种,其中大部分是由众多的“少年黑客”自行制作。
考验
这样的形势也对杀毒软件厂商提出严峻挑战。随着流氓软件、木马技术的发展,传统的杀毒软件已经很难真正给网民“保驾护航”。
据傅胜解释,这种尴尬局面的形成,也与杀毒软件的运作原理有关,因为杀毒软件一般都是查杀已知软件,对于潜在的病毒和木马束手无策。随着病毒、木马及其变种数量的激增,这种查杀方式显然很难满足网上安全的需求,而且对于任何杀毒软件厂商,统计已知病毒也是一件难以承受的浩大工程。
“而且木马存在滞后效应。病毒中了可以杀掉,木马中了再去杀的话,你的隐私和虚拟财富可能已经被窃了。”傅胜解释说。
在这种背景下,木马查杀和预防工具因此受到网民极大欢迎。最近,艾瑞咨询了《2007中国个人网络安全研究报告》。该报告显示,国内安全市场三强排名已改头换面,除了瑞星还稳坐老大的位置外,老牌的金山和江民竟不知所踪,诺顿呈现明显下滑趋势。崛起的新生力量竟是“反流氓软件”360安全卫士,以及与之合作的卡巴斯基。
这一份报告引起了杀毒厂商的强烈抗议,金山公司公关发言人许晓辉对外声称,艾瑞报告统计方法存在明显的作弊行为。另一杀毒厂商也声称,将杀毒软件与360安全卫士排列一起并不科学,因为“两者定义不一样,而且,杀毒软件收费,360只是个免费小软件”。
不过,周鸿t对此不屑一顾。“现在用户的需求已经发生变化,安全市场已经不再是杀毒软件的事,而是病毒、流氓软件、木马的综合治理,杀毒软件和木马查杀工具缺一不可。”据他透露,目前360安全卫士已经拥有4000万用户,同样免费的瑞星卡卡也拥有1600多万用户,其力量不容忽视。