第二节 信息安全管理基础

Windows桌面图标发生变化。最初的时候，这一类病毒也是恶作剧式的计算机病毒，发作时会把Windows缺省的图标改成其他样式的图标，或者将其他应用程序、快捷方式的图标改成WindowS 缺省图标样式，起到迷惑用户的作用。而现在，这类恶作剧式的病毒被黑客改动以后就变成了带有恶性行为的破坏性病毒了。像“熊猫烧香”病毒发作时，会将所有的执行文件的图标变成一只拿着三根香的熊猫的图像，并且被感染的执行文件会被破坏而无法再运行。

计算机突然死机或不断地自动重启。有些计算机病毒程序兼容性上存在问题，代码没有严格测试，在发作时会造成意想不到情况，如消耗系统大量的资源而造成系统死机；与系统产生冲突而不断地自动重启计算机。比较著名的是“冲击波”病毒，Windows NT 以上平台的系统感染后，会不断地出现一个60s倒计时的警告窗口，然后自动重新启动系统。

自动发送电子邮件或网络信息。大多数电子邮件计算机病毒都采用自动发送电子邮件的方法作为传播的手段，也有的电子邮件计算机病毒在某一特定时刻向同一个邮件服务器发送大量无用的信件，以达到阻塞该邮件服务器的正常服务功能。这类病毒的变种病毒是用在即时通信工具上，发作的时候，MSN、OICQ等即时通信工具会不断地自动给其他用户发送一些带有病毒网页的链接地址，诱使其他用户点击后感染。 鼠标自己在动。没有对计算机进行任何操作，也没有运行任何演示程序、屏幕保护程序等，而屏幕上的鼠标自己在动，应用程序自己在运行，有受遥控的现象。大多数情况下是计算机系统受到了黑客程序的控制，从广义上说这也是计算机病毒发作的一种现象。

需要指出的是，有些是计算机病毒发作的明显现象，比如提示一些不相干的话、播放音乐或者显示特定的图像等口有些现象则很难直接判定是计算机病毒的表现现象，比如硬盘灯不断闪烁，当同时运行多个内存占用大的应用程序，比如3D MAX , Adobe Premiere等，而计算机本身性能又相对较弱的情况下，在启动和切换应用程序的时候也会使硬盘不停地工作，硬盘灯不断闪烁。 3、计算机病毒发作后的表现现象：

通常情况下，计算机病毒发作都会给计算机系统带来破坏性的后果，那种只是恶作剧式的“良性”计算机病毒只是计算机病毒家族中的很小一部分。大多数计算机病毒都是属于“恶性”计算机病毒。“恶性”计算机病毒发作后往往会带来很大的损失，以下列举了一些恶性计算机病毒发作后所造成的后果：

硬盘无法启动，数据丢失。计算机病毒破坏了硬盘的引导扇区后，就无法从硬盘启动计算机系统了。有些计算机病毒修改了硬盘的关键内容（如文件分配表，根目录区等），使得原先保存在硬盘上的数据几乎完全丢失。 系统文件丢失或被破坏。通常系统文件是不会被删除或修改的，除非对计算机操作系统进行了升级。但是某些计算机病毒发作时删除了系统文件，或者破坏了系统文件，使得计算机系统无法正常启

动。通常容易受攻击的系统文件有Command.com、Emm386.exe、Win.com、Autoexec.bat 等等。

文件目录发生混乱。目录发生混乱有两种情况。一种就是确实将目录结构破坏，将目录扇区作为普通扇区，填写一些无意义的数据，再也无法恢复。另一种情况将真正的目录区转移到硬盘的其他扇区中，只要内存中存在有该计算机病毒，它能够将正确的目录扇区读出，并在应用程序需要访问该目录的时候提供正确的目录项，使得从表面上看来与正常情况没有两样。但是一旦内存中没有该计算机病毒，那么通常的目录访问方式将无法访问到原先的目录扇区。这种破坏还是能够被恢复的。

部分文档丢失或被破坏。类似系统文件的丢失或被破坏一样，有些计算机病毒在发作时会删除或破坏硬盘上的文档，造成数据丢失。

文档被自动加密码。有些计算机病毒会利用加密算法，将加密密钥保存在计算机病毒程序体内或其他隐蔽的地方，而被感染的文件被加密，如果内存中驻留有这种计算机病毒，那么在系统访问被感染的文件时它自动将文档解密，使得用户察觉不到。一旦这种计算机病毒被清除，那么被加密的文档就很难被恢复了。 使部分软件升级主板的BIOS 程序混乱，主板被破坏。类似CIH 计算机病毒发作后的现象，系统主板上的BIOS 被计算机病毒改写、破坏，使得系统主板无法正常工作，从而使计算机系统报废。

网络瘫痪，无法提供正常的服务。病毒发作后会终止网络连接，修改网络连接数据而导致用户无法访问Internet。

由上所述，我们可以了解到防杀计算机病毒软件必须要实时化，在计算机病毒进人系统时要立即报警并清除，这样才能确保系统安全，待计算机病毒发作后再去杀毒，实际上已经为时已晚。

1.2.7.3 计算机病毒的技术防范

计算机病毒是可以防治并清除的，只要从技术上针对计算机病毒的特征采取有针对性的防范实施，防范计算机病毒并不是很困难，困难的是持之以恒，坚持不懈。下面总结出一系列行之有效的措施供参考。 1、新购置的计算机硬软件系统的测试：

新购置的计算机是有可能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒软件检查已知计算机病毒，用人工检测方法检查未知计算机病毒，并经过证实没有计算机病毒感染和破坏迹象后再使用。

新购置计算机的硬盘可以进行检测或进行低级格式化来确保没有计算机病毒存在。对硬盘只在DOS 下做FORMAT 格式化是不能去除主引导区（分区表）计算机病毒的。软盘在DOS下做FORMAT格式化可以去除感染的计算机病毒。 新购置的计算机软件也要进行计算机病毒检测。有些软件厂商发售的软件，可能无意中已被计算机病毒感染。就算是正版软件也难保证没有携带计算机病毒的可能性，更不要说盗版软件了。这在国内外都是有实例的。这时不仅要用杀毒软件查找已知的计算机病毒，还要用人工检测和实验的方法检测。 2、计算机系统的启动：

在保证硬盘无计算机病毒的情况下，尽量使用硬盘引导系统。启动前，一般应将软盘从软盘驱动器中取出。这是因为即使在不通过软盘启动的情况下，只要软盘在启动时被读过，计算机病毒仍然会进人内存进行传染。很多计算机中，可以通过设置CMOS 参数，使启动时直接从硬盘引导启动，而根本不去读软盘。这样即使软盘驱动器中插着软盘，启动时也会跳过软驱，尝试由硬盘进行引导。很多人认为，软盘上如果没有COMMAND.COM 等系统启动文件，就不会带计算机病毒，其实引导型计算机病毒根本不需要这些系统文件就能进行传染。

3、单台计算机系统的安全使用：

在自己的机器上用别人的软盘前应进行检查。在别人的计算机上使用过自己的已打开了写保护的软盘，再在自己的计算机上使用前，也应进行计算机病毒检测。对重点保护的计算机系统应做到专机、专盘、专人、专用，封闭的使用环境中是不会自然产生计算机病毒的。

4、重要数据文件要有备份：

硬盘分区表、引导扇区等的关键数据应作备份工作，并妥善保管。在进行系统维护和修复工作时可作为参考。重要数据文件定期进行备份工作。不要等到由于计算机病毒破坏、计算机硬件或软件出现故障，使用户数据受到损伤时再去急救。对于软盘，要尽可能将数据和应用程序分别保存，装应用程序的软盘要有写保护。

在任何情况下都要保留一张不能写入的、不带有计算机病毒的、包含有常用DOS 命令文件的系统启动盘，以便发生病毒感染时用以清除计算机病毒和维护系统。 5、不要随便直接运行或直接打开电子邮件中夹带的附件文件：

不要随意下载软件，尤其是一些可执行文件和office 文档，即使下载了，也要先用最新的防杀计算机病毒软件来检查。

6、计算机网络的安全使用：

以上这些措施不终可以应用在单机上，也可以应用在作为网络工作站的计算机上。而对于网络计算机系统，还应采取下列针对网络的防杀计算机病毒措施： （1）安装网络服务器时，应保证没有计算机病毒存在，即安装环境和网络操作系统本身没有感染计算机病毒。

（2）在安装网络服务器时，应将文件系统划分成多个文件卷系统，至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全。 如果系统卷受到某种损伤，导致服务器瘫痪，那么通过重装系统卷，恢复网络操作系统，就可以使服务器又马上投人运行。而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤。如果用户卷内由于计算机病毒或由于使用上的原因导致存储空间拥塞时，系统卷是不受影响的，不会导致网络系统运行失常。并且这种划分十分有利于系统管理员设置网络安全存取权限，保证网络系统不受计算机病毒感染和破坏。

（3）一定要用硬盘启动网络服务器，否则在受到引导型计算机病毒感染和破坏后，遭受损失的将不是一个人的机器，而会影响到整个网络的中枢。

（4）为各个卷分配不同的用户权限。将操作系统卷设置成对一般用户为只读权限，屏蔽其他网络用户对系统卷除读和执行以外的所有其他操作，如修改、改名、删除、创建文件和写文件等操作权限。应用程序卷也应设置成对一般用户是只读权限的，不经授权、不经计算机病毒检测，就不允许在共享的应用程序卷中安装程序。保证除系统管理员外，其他网络用户不可能将计算机病毒感染到系统中，使网络用户总有一个安全的联网工作环境。

（5）在网络服务器上必须安装真正有效的防杀计算机病毒软件，并经常进行升级。必要的时候还可以在网关、路由器上安装计算机病毒防火墙产品，从网络出人口保护整个网络不受计算机病毒的侵害。在网络工作站上采取必要的防杀计算机病毒措施，可使用户不必担心来自网络内和网络工作站本身的计算机病毒侵害。

（6）系统管理员的口令应严格管理，不使泄漏，不定期地予以更换，保护网络系统不被非法存取，不被感染上计算机病毒或遭受破坏。系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷应定期进行计算机病毒扫描，发现异常情况及时处理。如果可能，在应用程序卷中安装最新版本的防杀计算机病毒软件供用户使用。在安装应用程序软件时，应由系统管理员进行，或由系统管理员临时授权进行，以保护网络用户使用共享资源时总是安全无毒的。网络系统管理员应做好日常管理事务，同时，还要准备应急措施，及时发现计算机病毒感染迹象。当出现计算机病毒传播迹象时，应立即隔离被感染的计算机系统和网络，并进行处理。不应当带毒继续工作下去，要按照特别情况清查整个网络，切断计算机病毒传播的途径，保障正常工作的进行。必要的时候应立即得到专家的帮助。 由于技术上的计算机病毒防治方法尚无法达到完美的境地，难免会有新的计算机病毒突破防护系统的保护，传染到计算机系统中。因此对可能由计算机病毒引起的现象应予以注意，发现异常情况时，不使计算机