181-第7章 计算机网络系统安全.pptVIP

第7章 计算机网络系统安全 本章摘要 本章讨论计算机病毒的本质、类型及其防治技术；网络操作系统的安全问题；介绍安全电子邮件系统的原理及主要的标准；较详细地阐述了各种防火墙技术并比较它们的优缺点；最后，介绍了电子商务安全协议SET及其处理流程。 7.1 计算机病毒及其防治 7.1.1 计算机病毒的本质及其类型 计算机病毒是一段程序，它附着于计算机系统中其他可执行程序（宿主程序），并依赖其宿主程序的执行而进行未经许可的复制和破坏。一般来说，计算机病毒的动作分两阶段：感染和攻击。在感染阶段，计算机病毒进行自身代码的广泛复制。在攻击阶段，计算机病毒则进行该病毒程序所拟订的破坏。 (1)病毒的行为 在感染阶段，病毒制造者必须要抗衡对病毒的检测，故病毒感染的扩散常常不是即时进行。 有些病毒是当宿主程序一执行，便开始动作，感染其他程序；有些病毒的感染，却要等待某些事件的触发。 很多病毒程序会以内存中的驻留程序方式存在，驻留病毒经常会取代系统软件的若干部分以隐藏自己的存在，这种技术称为偷袭。多形态技术也会有助于病毒进行感染而逃过检测。 所有病毒都需要时间实施感染，不是所有病毒都进行攻击，但可以肯定的是，所有病毒都会耗费系统资源，通常都会给系统造成故障，诸如删除文件、改动数据或降低系统执行速度等等，且有些病毒的攻击对系统是致命的。如同病毒感染需要触发一样，病毒的攻击也需等待触发时机的到来。 (2)病毒的类型 ①感染的对象 病毒会感染系统扇区、宏指令、伴随文件（与EXE文件同名的COM文件）、磁盘簇、批处理文件、源代码、用VB写的蠕虫，等 ②病毒的种类： ﹒多形态病毒： 病毒的每个副本看上去都是不同的。被某种病毒所感染的多个文件上所附着的病毒代码是不相同的。变异后的代码并非完全不相同，大多数病毒扫描程序都已能识别。 ﹒偷袭者病毒 偷袭病毒掩盖自己所作的改变的办法是取代那些读文件或系统扇区的管理程序，当有程序要求磁盘上这些部位的信息时，偷袭病毒就将未改变前的正确信息来替代实际的被病毒改变了的信息。当然，偷袭病毒必须常驻内存且处于活动状态才能作到这一点。因此，系统用干净（无毒）的系统软盘启动后再使用抗病毒程序才是效果最好的。 ﹒快速和慢速感染者病毒 快速感染者病毒不但在其它程序运行时实施感染，而且当其它程序仅仅是被简单地访问而并非在执行时即实施感染。它附在抗病毒软件上，当其它程序被检查时就实施感染。由于抗病毒程序要打开外存上的每一个程序来扫描病毒，所以驻留在内存中在抗病毒程序启动之前未被发现的快速感染者病毒将在抗病毒程序启动后迅速传遍全部外存的盘片。 慢速感染者病毒感染其它程序仅在这些程序被创建和修改时进行。它的意图是试图在程序合法变动之机侵入以抵御对软件的完整性检查，因为用户会认为此时的程序完整性的改变是自己做的，而很少会怀疑到病毒的感染。慢速感染者病毒不会很快传遍整块磁盘。 ﹒稀疏者病毒 它可能会感染那些刚好执行了20次的文件；或那些长度刚好等于某个预定的数值范围的文件；或其名字是以某些预定的字母开头的文件等。 ﹒装甲病毒 采用抵制反汇编的技术的病毒。 ﹒多歧病毒 有时感染系统扇区，有时感染文件。 ﹒空穴病毒 空穴病毒就是在不破坏原程序本身的前提下来把自己安装到程序（文件）的空白区域中去。 一种新的Windos文件格式- PE（Portable Executable）,使得空穴病毒“钻空子”容易多了。P E格式文件在运行时在程序执行代码间潜在地留下若干大段的空隙。空穴病毒能发现这些空隙再将自己安装进去。曾肆虐四方的CIH病毒便是利用了这种新文件格式的空穴病毒。 ﹒隧道病毒 隧道病毒便试图回溯中断链以求直接获得DOS和BIOS的中断句柄，然后将自己安装进去替代原中断处理程序的执行代码来一个“偷梁换柱”。 ﹒伪装病毒 ﹒NTFS ADS病毒 NT文件系统（NTFS）在其内部含有一个交替数据流（ADS－Alternate Data Stream）子系统。这个ADS子系统允许另外的数据连接到一个文件，且这另外附加的数据文件（ADS文件）对用户并不总是可见的。 病毒先为自己创建一个副本作为一个临时EXE文件，然后把原始的正常EXE文件作为ADS文件附加到临时EXE文件上去，再把那临时EXE