涉密网络中使用的计算机病毒防护

在计算机网络安全中，病毒一直给人们造成了非常大的危害。较近的如“美丽莎”“杀手命令”病毒，较远的有“CIH”“红色代码”等病毒。了解它们对维护系统的安全有着非常重要的作用。

1.计算机病毒的定义

计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或程序代码。计算机病毒与生物病毒一样具有传染与破坏作用。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的并能与所在系统或网络环境相适应并配合。随着计算机网络的飞速发展与普及，出现了传播范围更广、危害更大的新型病毒，这就是在网络环境下流行的网络病毒。网络病毒都是充分利用网络的缺陷来设计与传播的。例如，电子邮件的广泛应用，催生了存在于邮件附件中的E－mail病毒。从前计算机病毒以磁盘的方式传递，由于以Internet为代表的计算机网络的发展，现在的网络病毒的传播速度与范围是惊人的。计算机病毒主要有以下明显特征。

1）隐蔽性

病毒进入计算机后，并不会马上发作，它有一段时间的潜伏期，而且病毒未发作时从界面上很难看出有什么变化。待到发现病毒发作之时，系统可能已深染病毒，文件已被破坏。

2）欺骗性

一般病毒运行的时候具备一定的掩饰性。用一些友好的界面欺骗用户，令用户认为它是系统程序，或者没有任何界面，在后台发作。

3）执行性

病毒要发作，只有通过在计算机中运行才能达到目的。因此，病毒文件都具有可执行性，文件一般为EXE文件或COM文件等。

4）感染性和传播性

计算机病毒最具危害的特性就是具有感染性和传播性。病毒文件会在其他计算机文件中添加自己的病毒代码，让其他文件也变成病毒文件，以达到感染病毒、传播病毒的目的，尤其以网络传播最为严重。

5）可触发性

病毒发作有一定的触发性。如某个时间一到，病毒就被触发“爆发”，去感染计算机上的其他文件。或者某个条件满足了，如从网络上下载文件，病毒就开始发作，传播病毒代码。

6）破坏性

病毒被触发时会产生一些破坏性，如发一些骚扰邮件或破坏硬盘上的文件，造成数据丢失。有的甚至会烧毁计算机硬件，造成系统瘫痪。

除以上主要特征外计算机病毒还有一些其他特征，比如针对性，有些病毒只针对Win⁃dows、Lunix操作系统；再如恐吓性，小球病毒、“女鬼”病毒，发作时会进行各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。

2.计算机病毒的分类

1983年，美国科学家佛雷德·科恩最先证实计算机病毒的存在。它是一种人为制造的寄生于计算机应用程序或操作系统中的可执行、可自行复制、具有传播性和破坏性的恶性程序。从1987年发现第一类流行计算机病毒起，病毒数每年以40%的比率增加。一个小型病毒程序可令一台微型计算机、一个大型计算机系统或一个网络系统瘫痪。计算机病毒已对计算机系统和网络安全构成了极大的威胁，它不仅成为一种新的恐怖活动手段，而且正演变为一种信息战中的进攻性武器。计算机病毒可分为以下几种。

1）宏病毒

宏病毒是由一个宏组成的寄生型病毒，能够感染Word系统中的文档与模板。在宏病毒感染过程中，宏病毒使用一种特殊的算法，从自己的源文件中向宿主文件传送病毒代码，删除自身的有关文件以隐藏踪迹，并将感染所有访问过它的Word系统。宏病毒能够变异或遭到破坏，变异的宏病毒是具有不同特征的新病毒。

2）引导型病毒

引导型病毒是一种能感染硬盘的引导程序的病毒。所有的硬盘与软盘都有一个引导扇区，其中保存与磁盘格式和存储数据有关的信息，以及用来装载操作系统文件的引导程序。如果系统已被感染了引导型病毒，当系统读取并执行硬盘或软盘中的引导程序时，病毒会感染这台计算机所使用的每个磁盘。

3）文件型病毒

文件型病毒将自身粘贴到或替换掉COM文件和EXE文件，它们有时也感染SYS、DRV、BIN后缀的文件。当文件型病毒运行时，其将自己隐藏在内存中并伺机感染其他文件。后来出现了一些混合型病毒，它们通常能够感染多种目标，同时具有引导型病毒与文件型病毒的特性。这类病毒具有相当大的传染力，病毒发作后的破坏力一般都比较大。

4）蠕虫病毒

蠕虫病毒是通过网络在计算机之间传播的病毒。蠕虫病毒在计算机之间进行传播时，很少依赖或完全不依赖人的行为。蠕虫病毒是一种通过某种网络媒介（如电子邮件），自身从一台计算机复制到其他计算机的程序。蠕虫病毒倾向于在网络上感染尽可能多的计算机，而不是在一台计算机上尽可能多地复制自身。典型的蠕虫病毒只需感染目标系统，之后就会通过网络自动向其他计算机传播。

5）特洛伊木马程序

特洛伊木马程序隐藏着编写者的某种企图而丝毫不为用户所知。特洛伊木马程序通常被用于破坏或是对某个系统进行恶意操作，但是表面上伪装成良性的程序。特洛伊木马程序不对自身进行复制，但它同样能对计算机造成严重损害。

3.计算机病毒的危害

计算机病毒的危害可以分为对计算机网络的危害和对微型计算机的危害两个方面。

1）病毒对计算机网络的危害

病毒程序通过“自我复制”传染给正在运行的其他程序并与正常运行的程序争夺计算机资源，可冲毁存储器中的大量数据，致使计算机其他用户的数据蒙受损失。病毒不仅侵害其所使用的计算机系统，而且侵害与该系统联网的其他计算机系统，病毒程序可导致以计算机为核心的网络失灵。

2）病毒对微型计算机的危害

计算机病毒破坏磁盘文件分配表，使用户在磁盘上的信息丢失，将非法数据植入操作系统，引起系统崩溃，删除硬盘或软盘上特定的可执行文件或数据，修改或破坏文件的数据，影响内存中常驻程序的正常执行，在磁盘上产生虚假坏分区，从而破坏有关的程序或数据文件，更改或重新写入磁盘的卷标号，不断反复传染复制，造成存储空间减少，并影响系统的运行效率，对整个磁盘或磁盘上的特定磁道进行格式化，造成显示屏幕或键盘的封锁状态。

4.网络反病毒技术

网络反病毒技术包括预防病毒、检测病毒和消除病毒3种技术。

（1）预防病毒技术，是通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。

（2）检测病毒技术，是通过对计算机病毒的静态或动态特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。

（3）消除病毒技术，是通过对计算机病毒的分析，开发出具有删除病毒程序并恢复源文件功能的软件。

网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测，在工作站上采用防病毒芯片及对网络目录和文件设置访问权限等。

5.对计算机病毒的防范措施

在实际应用中，防范网络病毒应注意从两方面着手：第一，加强网络管理人员的网络安全意识，有效控制和管理本地网与外界之间的数据交换，同时坚决抵制盗版软件的使用；第二，选择和加载保护计算机网络安全的网络防病毒产品。随着网络技术的不断发展，网络反病毒技术将成为计算机反病毒技术的重要方面，其也是计算机应用领域中需要认真对待的问题，这将成为网络管理人员及用户的长期任务。只有做好这项工作，才能保证计算机网络长期安全稳定地运行。要有效地在整个网络环境下预防病毒，应该做到以下几点：

（1）给计算机安装防病毒软件。应用于网络的防病毒软件有两种：一种是单机版防病毒产品；另一种是联机版防病毒产品。前者是以事后杀毒为原理的，当系统被病毒感染之后这种软件才能发挥作用，它适合个人用户，这类产品有360卫士、金山毒霸等。后者属于事前的防范，其原理是在网络端口设置一个病毒过滤器，即事前在系统上安装防病毒的网络软件，它能够在病毒入侵系统之前，将其挡在系统外边。例如，在每个工作站和服务器的批次处理文件中，调用DOS系统文件中最好的内存驻留型防病毒程序——VSAIE.COM，一旦有病毒侵入，该程序会立即报警。

（2）认真执行病毒定期清理制度。许多病毒都有一个潜伏期，有时虽然计算机仍在运行，但实际上已经染上了病毒。病毒定期清理制度可以清除处于潜伏期的病毒，防止病毒的突然爆发，使计算机始终处于良好的工作状态。

（3）控制权限。这是指对网络系统中易感染病毒的文件的属性、权限加以限制。对各终端用户，允许他们具有只读权限，断绝病毒入侵的渠道，从而达到预防的目的。

（4）高度警惕网络陷阱。网络上常常会出现非常诱人的广告及免费使用的承诺，在从事网络营销时对此应保持高度的警惕。例如，有人给某个用户发送电子邮件，声称为“确定我们的用户需求”而进行调查。作为对填写表格的回报，允许用户免费使用5小时。如果用户被诱惑，那便掉入黑客的诡计之中。这些程序是类似“特洛伊木马”病毒程序的变体。它看起来像一种合法的程序，但是它静静地记录着用户输入的每个口令，然后把它们发送到黑客的互联网信箱中。

（5）不打开陌生地址的电子邮件。网络病毒主要的传播渠道是电子邮件，而电子邮件传播病毒的关键是附件中的宏病毒。当有人发送电子邮件给某个用户时，如果它们带有病毒，只要用户打开这些文件，用户的计算机就会被宏病毒感染，此后用户打开或新建的文件都可能带上宏病毒。