2009 届本科毕业论文
浅析个人计算机安全
姓 名:吕 智慧
系 别:计 算机 科 学 系
专业:信息管理与信息系统
学 号:05111333
指导教师:孙 红丽
2009 年 5 月5日
浅析个人计算机安全
摘 要
个人计算机安全关系到计算机系统中软硬件的稳定性与使用性,是每一个计算机用户必须面对并妥善解决的问题,本文就个人计算机安全系统地做了分析.首先,介绍了系统安全,告诉大家怎样选择系统;其次,描述了网络安全的一些常识;最后,介绍了计算机病毒和黑客的特征、危害及防御.
关键词
系统安全;网络安全;病毒
Analyzing Security of Personal Computer
Abstract
The security of P C is connented to thestability and practicality of the hardware/software in the computersystem.It is a problem each computer user to face and must beproper settled.Computer security is systematically analysed by thisarticle.Fist of all,the artice tell us how to choose thesystem;Secondly,some knowledge of network security isdiscribed;Finally,the feature and harm of computer viruses andhackers,how to defense them are introduced in this article.
Key words
System security ; Network security; Virus
引言
如今,信息产业高度发展,计算机应用技术也迅速普及,个人电脑已经逐步深入到人们的生活。然而,我们也必须面对一个现实问题,那就是个人计算机的安全。计算机的安全运行是当前信息社会极为关注的问题。本文就个人计算机安全问题做了系统的说明,从系统的选择、个人权限的设置,到计算机病毒及黑客的特征和防御。这些情况就发生在我们身边,本文介绍的方法都非常实用、方便,使在人们在遇到问题时,能够人们很好的保护个人计算机的安全。
计算机安全是指计算机系统的硬件、软件、数据受到保护,不因意外的因素而遭到破坏、更改、显露,系统能够连续正常运行。所以个人计算机的安全应包括系统安全、网络安全、计算机病毒、黑客入侵、硬件安全五个部分。
1系统安全
系统包括操作系统和应用软件两大部分,所以系统安全包括操作系统安全和应用软件安全两部分。
操作系统是计算机软件系统中最重要的组成部分,是计算机的硬件与人之间建立联系、实现人机交互的一个纽带,也是其他应用软件赖以存在的一个载体,几乎所有的软件都是要安装在操作系统之上。如果没有操作系统,计算机的硬件将无法工作,其他应用软件也将无法使用。所以我们要特别注意操作系统的安全。
1.1选择适合自己使用的操作系统,并及时系统进行升级
目前个人计算机常用的操作系统有Windows98、WindowsMe、Windows2000(专业版或服务器版)、WinNT、WindowsXP、Linux等,根据自己的工作需要或者习惯爱好选择一种适合自己的操作系统。无论是哪一种系统都要及时的进行升级,因为网络上病毒横行,有些病毒就是利用系统的不完善之处(比如某些漏洞)来对系统进行攻击。所以要经常升级来下载安装针对某些病毒的专用补丁程序,这样使系统不断的完善,从而保护个人计算机免遭病毒和黑客的袭击。举个例子,我们经常使用的Win2000专业版安装以后,如果不安装补丁的话,那么在开机登陆界面时通过输入的一个帮助文件就可以进入计算机系统进行任何操作,如果不装这一补丁的话就给一部分非法入侵者提供了可乘之机。
1.2建立安全、合理、有效的验证口令,合理设置访问权限
口令是只有系统管理员和用户本人知道的简单字符串,是进行访问控制的简单而有效的方法。没有正确的口令,入侵者要进入计算机系统是比较困难的。但是随着网络技术的高速发展,各种黑客软件在网上比比皆是,其中不泛一些对于系统口令破译的黑客程序,另外有一些病毒也对弱密码实施攻击。因此,合理有效的设置密码是系统维护至关重要的措施。口令的设置应该既安全又容易记忆,但还不能使用弱密码。所谓弱密码就是指比较简短单一的密码字符,如000BBB等。
如果操作系统选择的是Win2000 、XP、NT等,系统口令的设置可以参考以下规则:
(1)选择较长的口令,大多数系统都接受长字符串的口令。口令越长,要猜出或试出它所有的可能组合就越难。
(2)口令最好选用字母和数字等字符的多种组合方式,避免口令字符单一化。
(3)最好不要单纯使用自己的名字、生日、电话号码和简单英语单词,因为这些都是容易被别人猜到的信息。
(4)经常更换口令,如一个月换一次,避免一个口令在长期使用的过程中被人破译获取。
除了口令验证措施以外,还可以采用多用户管理,控制访问权限。具体做法是,建立多个用户,对于不同用户,让其隶属于不同用户组,并赋于不同的权限,普通用户组(如Users、Guests)只有访问权限而没有修改权限,管理员用户组(Administrators)有修改权限。建议大家建立一个属于自己的专用用户,而在平常使用时不以管理员用户来登录。以管理员身份运行Windows2000容易使系统受特洛伊木马和其他安全性威胁的侵略。访问Internet站点的简单操作也可能对系统产生非常大的破坏。不熟悉的Internet站点可能有特洛伊木马(病毒的一种)代码,这些代码可以下载到本地机系统并执行。如果以管理员身份登录,特洛伊木马可能会重新格式化硬盘、删除所有文件、新建具有管理访问权限的用户帐户等。
1.3 使用安全、稳定的应用软件,并及时更新版本
计算机内要安装使用安全、稳定的应用软件,并且防止病毒的带入。有些软件本身也有一定的安全漏洞,所以,也要注意更新软件的版本或者升级。对于一些下载的共享软件要慎重使用,一般来说下载到本地机器以后建议先查毒后使用。
2 网络安全
与个人计算机相关的网络可以分为局域网和互联网两大类。如我院大部分计算机都是通过局域网接入互联网,而有的个人计算机是通过ADSL或ISDN拨号直接接入互联网。
互联网(Internet)是目前世界上最为开放的计算机网络系统。它为我们学习、生活和娱乐提供了诸多方便,但是它的开放性和共享性也被许多别有用心的人所利用,在放便了人们使用的同时,也使得网络很容易受到威胁,个人计算机信息和资源也很容易受到黑客的攻击,诸如被非法用户登录、数据被人窃取、服务器不能提供服务等等。对于与Internet相连的局域网同样会受到来自Internet的恶意攻击,保护网络系统的安全应当引起我们的高度重视。产生这种攻击、危害的主要原因就是个人计算机网络的安全漏洞,包括以下几个方面:
2.1 口令
这里所说的口令指的是与网络相关的口令,如电子邮件(E-mail)口令、用户的口令等。计算机网络的口令系统非常脆弱,常常会被破译,更何况还有黑客软件兴风作浪。破译者常常通过对信道的监测来截取口令解密,获得对系统的访问权。从而达到远程控制计算机、获取对方文件资料或者实现其它目的。有关口令设置方面的防范措施在前面已经提到,在此不再阐述。
2.2 协议
互联网的某些协议,如TCP/IP协议存在着许多安全方面的漏洞,例如只能对主机地址进行认证,而不能对用户进行认证就是一个漏洞。通过这个漏洞,只授权给某个主机,而不是授权给特定的用户,这样攻击就可利用被授权的主机与服务器通信,对系统进行攻击。因此,为了使信息在网络传输中不被窃取、替换、修改等,要求采取各种硬件及软件防护措施,如网关、传输协议等来保护E-mail或FTP文件。
2.3 操作系统和应用软件
一些操作系统和应用软件本身存在的安全漏洞也成为网络上的安全隐患,为此,需要采取安全级别较高的操作系统并增加必要的软、硬件防护措施。如安装放火墙并及时升级以便及时弥补各种漏洞。
3 计算机病毒
网络的开放性、互联网和共享性也为病毒的传播提供了一种方便快捷的途径,通过网络,一种病毒可能在一夜之间传遍世界各地。所以对于病毒的防范我们不能掉以轻心。
计算机病毒的产生、泛滥,速度之快,蔓延之广,危害之大,可谓是令人深恶痛绝。所谓计算机病毒是指计算机系统运行过程中,能实施传染和侵害功能的程序,它的种类繁多,主要有如下特征:(1)传染性(2)破坏性(3)潜伏性(4)持久性(5)可触发性。
3.1 计算机病毒的主要危害
病毒对计算机的危害从硬件到软件可以说多种多样,目前常见的有以下几种:
(1)感染、修改、删除系统文件、注册表,影响系统正常运行。
(2)破坏文件分配表,修改或破坏文件中的数据,导致无法读取磁盘上的数据信息。
(3)病毒本身反复复制,使磁盘可用空间减少。
(4)病毒程序常驻内存导致内存不够,或者影响内存常驻程序的运行。
(5)在系统中产生新的文件。
(6)长时间占用系统资源,使CPU时间耗费饴尽,从而死机或重启。
3.2 计算机病毒的主要征兆
因为计算机病毒具有危害性和传染性,这就决定了计算机感染病毒后必然要表现为一定的异常现象,如果在运行过程中计算机出现了下面的现象那么可以初步判断感染了病毒,要及时的做进一步处理:
(1)原有的一些系统文件,如Command.com、Autoexec.bat、Config.sys等发生了变化,系统的配置出现了错误;
(2)计算机的运行速度突然间感觉慢了许多,查看任务管理器(2000系统以上),发现CPU时间被占用接近100%,或者内存占用较平时多了很多;
(3)磁盘空间急剧减少,查看硬盘分区里多了一些莫名其妙的文件;
(4)光驱、软驱、硬盘或其它存储设备的指示灯一直亮着,甚至不访问程序时也亮着;
(5)显示器上经常出现一些莫名其妙的信息或异常显示(如白斑或圆点等);
(6)IE浏览器首页被恶意修改,改变成了自己所不知的一些网站;
(7)计算机每次开机总是自动运行一些非系统任务,如:每次打开或重起计算机总是自动运行IE浏览器并打开一些网页;
(8)计算机经常出现死机、自动关机、不能正常启动、系统引导事件增长现象,或者反复重启;
每一种病毒都有其独特的表现方式,我们在了解了这些表现方式,或者掌握了它的破坏性后,就可以初步判断出是哪一种病毒。然后我们可以有针对性的去对付这种病毒。
3.3 计算机病毒的清除
通过一些异常现象,或者是通过杀毒软件检测发现了病毒,要及时清除,在清除病毒前如果计算机还能开机工作,最好先把重要文件做一个备份,一般只需要备份系统分区(通常为C盘,如:我的文档)里的即可。以防一旦系统瘫痪导致文件丢失。查毒时可以参照以下步骤进行:
(1)隔离计算机(如拔掉网线),备份关键性的重要文件。
(2)运行杀毒软件(瑞星、金山毒霸等),全面查杀病毒。
(3)有些杀毒软件对一些新出现病毒可能清除不掉,我们可以到网上下载该病毒的专杀工具,一般在各杀毒软件的网站上都提供了这种专杀工具,下载后便可以使用,清除病毒;另外,也可以重启机器进入安全模式,找到病毒文件所在的目录路径,手动清除这些病毒。
(4)有些病毒可能把注册表也感染了,这时就需要手动清除注册表,通过运行注册表编辑器regedit命令来进行,当然这步最好是在专业人员的指导下进行;有些人习惯用注册表修改工具来修改,这种做法不提倡。除非能保证这种软件不会带来负面的影响。
(5)如果病毒使系统文件丢失导致不能正常工作,我们可以用系统盘来恢复一下操作系统,即恢复安装。
(6)以上步骤均不能奏效,采用最后一步,格式化系统分区,重新安装操作系统。
3.4 防御计算机病毒的相关知识
(1)根据常识进行初步判断,对于可疑文件不予执行。对于经常下载或使用FTP进行文件传输的用户,如果发现源文件夹中有可疑文件,最好尽快离开该FTP网站,或者立即对下载的文件进行查毒。在使用E-mail时,如果发现收件箱中发现了来历不明的邮件、附件,最好不要急于去打开它。有些病毒有一定的欺骗性,即使附件看起来好象.jpg文件,因为Windows允许用户在文件命名时使用多个后缀,而邮件程序只显示第一个后缀,例如,你看到的邮件附件名称是wow.jpg,而它的全名实际是wow.jpg.vbs,打开这个附件意味着运行恶意的VBScript病毒,而不是期待的.jpg图片。
(2)插入软盘、光盘和其它可插拔介质前,一定要进行病毒扫描然后安装使用。
(3)不上不可靠的网站,不从任何不可靠的渠道下载任何软件。这一点比较难做到,因为我们无法判断什么不是可靠的渠道。但我们可以根据经验来做出判断,比如打开某一网页时突然自动打开一些莫名其妙的网页(广告除外),建议尽快关闭此网页。网上提供的软件下载后建议先做病毒扫描再进行安装。
4 黑客入侵
网络的开放性、系统的漏洞及一些应用软件的漏洞给黑客的入侵也提供了便利,黑客的入侵也是对计算机潜在的威胁,黑客可能会窃取、修改计算机中重要的文件数据或把这台计算机作为自己的“肉鸡”干些其他的事那就更危险了,所以我们对于黑客的防范决不能掉以轻心。
黑客入侵别人的机器,除了对这台机器进行控制,获取该机器本身数据外,还多半会将该机器设置为自己的代理服务器,利用它更好地访问Internet,进行WWW浏览;利用这台代理服务器的特殊位置绕过一些访问限制等。
4.1 黑客入侵的诊断
要想明确诊断机器是否被黑客入侵,首先应了解黑客常用的攻击手段和方法,大部分黑客都是利用系统漏洞进入,然后展开一系列的权限提升、留后门等工作。知道了黑客的常用进攻方法后,我们就要设法使机器尽量少给黑客留可乘之机——即最少限度的存在漏洞,尽量不使自己成为所谓的“肉鸡”。“肉鸡”显著特征为存在Unicode漏洞、guest密码为空、administrators组用户和其他已知漏洞。
黑客为了完成控制入侵的机器,往往会在被侵机器上留下蛛丝马迹,例如鼎鼎大名的冰河使用监听端口7626的方法,BackOrifice2000则是使用54320端口监听。那么我们可以利用查看本机开放端口的方法来检测自己是否被安装了木马或其它黑客程序:在[开始]→[运行]中输入:net-shat-na查看本机的网络连接状况(即开放了哪些不该开放的端口,目前有无别的机器相连),或者用Ctrl+Alt+Delete键,在[任务管理器]→[系统进程]中查看有无特殊的程序在运行。使用windows2000的用户还可以在网络上下载专门的工具,如fport程序来显示本机开放端口与进程对应关系。
4.2 防止黑客
(1)关闭不必要的协议和端口:当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器)打开监听端口开等待连接。这样,正确配置端口就成为个人计算机首要的安全任务。一般来说仅打开需要使用的端口会比较安全,不过关闭端口意味着减少功能,所以我们需要在安全和功能上面做一些平衡。一般上网用户只安装TCP/IP协议就够了,即在[网上邻居]→[属性]→[本地连接]→[属性]中只包含TCP/IP协议。NETBIOS是很多安全缺陷的源泉,对于不需要提供文件和打印共享的主机,可以将绑定在TCP/IP协议的NETBIOS关闭。避免针对NETBIOS的攻击,即[网上邻居]→[属性]→[本地连接]→[属性]→[Internet协议(TCP/IP)]→[属性]→[高级]→[WINS]中选择“禁用TCP/IP上的NETBIOS”。
对于协议和端口的限制,还可以采用以下方法:[网上邻居]→[属性]→[本地连接]→[属性]→[Internet协议(TCP/IP)]→[属性]→[高级]→[选项]→[TCP/IP筛选]→[属性],勾选“启用TCP/IP筛选”,只允许需要的TCP/UDP端口和协议即可。
(2)关闭不必要的服务:多种服务可以给计算机应用带来方便,但同时也带来了风险。“最小的权限+最少的服务=最大的安全”是计算机管理中公认的原则。因此,个人计算机根据用途需要关闭一些不必要的服务。进入控制面板的“管理工具”,运行“服务”,进入服务界面,双击右侧列表中需要禁用的服务,在打开的服务属性的常规标签页“启动类型”一栏,点击小三角形按钮选择“已禁用”,再点击[停止]按钮,最后确定即可。一般情况下需要禁用以下一些服务:alertr、clipbook、computer browser、 dhcp client、 messenger、 net logon、 networkdde、network dde dsdn、 runas service、 remote registry service、server、 task scheduler、 tcp/ip netbios help service、 telnet、workstation。
(3)禁止共享文件:局域网中用户喜欢将自己的电脑或电脑中的文件设置为共享,以方便相互之间资源访问,但是如果不正确设置共享的话,就为黑客留了后门。这样黑客就有机会进入电脑偷看文件,甚至搞些小破坏。建议在非设共享不可的情况下,最好为共享文件夹设置一个密码,而且密码要有一定的复杂度,否则将给黑客留下可乘之机。
系统安装完毕后,默认情况下IPC$、C$、D$、ADMIS$为缺省共享,为了安全,需要关闭默认的系统共享文件。禁止默认的共享可以在[控制面板]→[管理工具]→[计算机管理]→[共享文件夹]中设定,也可以采取修改注册表的方法。
5 计算机硬件的安全
硬件的安全是比较容易做到的,一方面是按照正确的操作步骤开关机,另一方面是注意机器零部件的相对稳定性,特别是硬盘等部件是比较脆弱的,不宜碰撞,以免发生损坏,造成不必要的损失。其实这正像是家中的电视等家用电器一样,注意保护其硬件的安全。另外,在使用过程中对一些设备的拆卸插拔不要带电操作。除非设备是热插拔的,如U盘等。在开机维修维护时一定要把电源拔掉,以免所带静电或工具不慎掉入机箱内造成主板短路而损坏机器的零部件。
结 论
综上所述,做好个人计算机的安全防范是多方面的,有时这些方面也是相互联系的,包括计算机的软硬件、网络系统、操作系统等,特别是软件的维护和病毒的防范更是要加以重视。所以我们在做这些防范的时候也不能单纯的去做某一方面而忽略了其它方面的防护措施。全面、细致的做好每一个环节是保障个人计算机安全的有效手段。
参考文献
[1] 王锡林,郭庆平,程胜利. 计算机安全[M]. 北京:人民邮电出版社,1995: 53-57
[2] 袁家政. 计算机网络[M]. 西安:西安电子科技大学出版社,2001: 101-105
[3] 屠立德,屠 祁. 操作系统基础(第二版)[M]. 北京:清华大学出版社,1995:20-23
[4] 王 利,张玉祥,杨良怀. 计算机网络实用教程[M].北京:清华大学出版社,1999: 55-60
[5] 胡道明. 计算机局域网(第二版)[M]. 北京:清华大学出版社,1996: 23-31
[6] 钱榕. 黑客行为与网络安全[J]. 北京:电力机车技术,2002:15-17
[7] 舒洁. 堵住黑客入口[J]. 北京:中国电脑教育报,2002,6:2-3
致 谢
时光飞逝,短暂的四年生活就要结束了,本文是一个总结。但即使做完全部的事情,合上扉页,四年的生活也绝不仅如时光逝去那样匆匆无痕。毕业在即,论文的撰写工作使我有机会对过去的学习生活作个总结。四年的时间中,许多人给予了我无私的指导和帮助,给我的生活和工作平添了许多乐趣。下面的致谢永远也表达不完四年来他们对我的指导和帮助。
首先衷心的感谢我的导师孙红丽老师,孙老师言传身教于我设计研究的态度和方法、培养我设计研究中的严谨和执著、始终不懈地为我设计工作掌舵、导航,使我获益非浅。我在毕业设计期间取得的所有成绩,都凝聚着孙老师辛勤指导的汗水。孙老师严谨的治学态度、渊博的科学知识、高度的责任感以及诲人不倦的精神,给我深深的影响,让我终生难忘,将激励我在今后的道路上刻苦钻研、不断进步,再次致上最深沉的谢意。
感谢自己成长过程中关心和帮助过我的所有亲人、师长、同学和朋友们!感谢论文答辩委员会的诸位老师能在百忙之中审阅我的论文,并出席论文答辩会。
谨以此文献给我的父母,没有他们在我学习生涯中的无私奉献和默默的支持,没有他们的关心和理解,我将无法顺利完成今天的学业。