是一个变数,机构中人的思想、观念也在不断变化。在这个不断变化的世界中,要想保证本系统的安全性,就要对控制措施和信息安全政策与制度持续改进,使之在理论上、标准上及方法上与时俱进。 该控制点在不同级别主要表现为:
? ? ? ?
一级:无此要求。
二级:要求对安全管理制度定期评审和修订。
三级:在二级要求的基础上,增加了安全领导小组负责组织定期评审和修订,并对评审和修订的时机做了要求。
四级:除三级要求外,侧重对有密级的安全制度的修订和制度的日常维护等。
七 计算机病毒安全防范
(一) 计算机病毒安全防范的概念 (二) 认识计算机病毒 (三) 计算机病毒的技术防范
(四) 计算机病毒感染后的一般修复处理 (五) 计算机系统应急修复计划
1.2.7.1 计算机病毒安全防范的概念
计算机病毒是一个程序或一段可执行码,它会对计算机的正常使用造成破坏,使得算机无法正常使用甚至整个操作系统或者电脑硬盘损坏。和生物病毒一样,计算机病毒独特的复制能力,可以很快地通过网络蔓延而造成其他计算机的感染,而且难以根除。着计算机及计算机网络的发展,计算机病毒的传播问题越来越引起人们的关注。当计算
系统或文件染有计算机病毒时,需要对计算机系统进行检测和病毒清除。但是计算病毒一旦破坏了没有备份副本的文件,病毒造成的破坏,如数据被篡改、数据消失、系统瘫痪无法恢复等便无法救治了。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中,如果能采取有效的防范措施,就能使系统不染毒,或者染毒后能尽量减少中毒造成的损失。
计算机病毒安全防范就是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。计算机病毒防范工作,首先从防范体系的建设和制度的建立开始。没有一个完善的防范体系,一切防范措施都将滞后于计算机病毒的危害。计算机病毒防范体系的建设是一个社会性的工作,不是一两个人、一两家企业或者政府部门随便下一个文件、制定一部法规就可以实现的,它需要全社会的参与,充分利用所有能够利用的资源,形成广泛的、全社会的计算机病毒防范体系网络。
计算机病毒安全防范制度是防范体系中每个主体都必须的行为规程,没有制度,防范体系就不可能很好地运作,就不可能达到预期的效果。必须依照防范体系对防范制度的要求,结合实际情况,建立符合自身特点防范制度。
1.2.7.2 认识计算机病毒
计算机病毒是客观存在的,客观存在的事物总有它的特性,计算机病毒也不例外。从实质上说,计算机病毒是一段程序代码,通过对这些程序代码运行时特定的形式,或者说是计算机病毒发作时的表现现象进行判别,就可以发现计算机病毒的存在并有针对性的去清除了。
根据计算机病毒感染和发作的阶段,可以将计算机病毒的表现现象分为三大类,即:
1、计算机病毒发作前的表现现象:
计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏在系统内开始,一直到激发条件满足,计算机病毒发作之前的一个阶段。在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己在不被发现同时,又自我复制,以各种手段进行传播。以下是一些计算机病毒发作前常见的表现现象:
运行正常的计算机突然经常性无缘无故地死机。病毒感染了计算机系统后,将自身驻留在系统内并修改了中断处理程序等,引起系统工作不稳定,造成死机
现象发生。
操作系统无法正常启动。关机后再启动,操作系统报告缺少必要的启动文件,或启动文件被破坏,系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化,无法被操作系统加载、引导。
计算机的运行速度明显变慢。在硬件设备没有损坏或更换的情况下,本来运行速度很快的计算机,运行同样的程序速度明显变得很慢,而且重启或简单维护后依然很慢。这就很可能是计算机病毒占用了大量的系统资源而造成系统资源不足,运行变慢。 计算机自动对软盘进行读写操作。用户没有进行任何读、写软盘的操作,操作系统却提示软驱中没有插入软盘,或者要求在有写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。 以前能正常运行的软件经常发生内存不足的错误,或者是造成系统经常性死机、系统提示非法错误等。某个以前能够正常运行的程序,程序启动的时候报系统内存不足,或者使用应用程序中的某个功能时报说内存不足,这可能是计算机病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减小。在硬件和操作系统没有进行改动的情况下,以前能够正常运行的应用程序产生非法错误和死机的情况明显增加。这可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能,或者计算机病毒程序本身存在着兼容性方面的问题造成的。
系统文件的时间、日期、大小发生变化。这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在原始文件的后面,文件大小大多会有所增加,文件的访问和修改日期和时间也会被改成感染时的时间。尤其是对那些系统文件,绝大多数情况下是不会修改它们的,除非是进行系统升级或打补丁。对应用程序使用到的数据文件,文件大小和修改日期、时间是可能会改变的,并不一定是计算机病毒在作怪。
磁盘空间迅速减少。没有安装新的应用程序,而系统可用的磁盘空间减少得很快。这可能是计算机病毒感染造成的。需要注意的是经常浏览网页、回收站中的文件过多、临时文件夹下的文件数量过多过大、计算机系统有过意外断电等情况也可能会造成可用的磁盘空间迅速减少。
收到陌生人发来的电子邮件或网络信息。收到陌生人发来的电子邮件,尤其是那些标题很具诱惑力,比如一则笑话、一封情书等,而邮件中又带有附件的电子邮件,大部分是计算机病毒伪装的病毒邮件。当然,这要与广告电子邮件、垃圾电子邮件和电子邮件炸弹区分开。一般来说广告电子邮件有很明确的推销目的,会有它推销的产品介绍;垃圾电子邮件的内容要么自成章回,要么根本没有价值。这两种电子邮件大多是不会携带附件的。电子邮件炸弹虽然也带有附件,但附件一般都很大,少则上兆字节,多的有几十兆甚至上百兆字节,而电子邮件计算机病毒的附件大多是脚本程序,
通常不会超过100Kb 字节。当然,电子邮件炸弹在一定意义上可以看成是一种黑客程序,也算是一种计算机病毒。
计算机会自动链接到一些陌生的网站上。没有在上网时计算机会自动拨号并链接到因特网上一个陌生的站点,或者在上网的时候发现网络特别慢,存在陌生的网络链接。这种链接大多是黑客程序将收集到的计算机系统的信息“悄悄地”发回某个特定的网址。现在网络上很大一部分网页中会带有一些脚本程序,这些脚本程序会自动链接到一些网页评比站点或者是广告站点,这种情况也可以认为是非法的,通常称这些非法脚本程序为流氓软件。部分黑客会将这些流氓软件改编成病毒文件来窃取用户计算机中的资料。
一般的系统故障是有别于计算机病毒感染而引起的故障的。系统故障大多只符合上面的一到两点现象,而计算机病毒感染所出现的现象会多得多。根据上述几点,就可以初步判断计算机和网络是否感染上了计算机病毒。
2、计算机病毒发作时的表现现象:
计算机病毒发作时是指计算机系统满足计算机病毒发作的条件,计算机病毒程序开始破坏行为的阶段。计算机病毒发作时的表现大都各不相同,可以说一百个计算机病毒发作有一百种花样。这与编写计算机病毒者的心态、所采用的技术手段等都有密切的关系。以下是一些计算机病毒发作时常见的表现现象:提示一些不相干的话。最常见的是提示一些不相干的话,比如打开感染了宏病毒的Word 文档,如果满足了发作条件的话,它就会弹出对话框显示“这个世界太黑暗了!”, 并且要求你输人“太正确了”后按确定按钮。
发出一段音乐。恶作剧式的计算机病毒,最著名的是外国的“杨基”计算机病毒(Yangkee)和中国的“浏阳河”计算机病毒。“杨基”计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐,而“浏阳河”计算机病毒更绝,当系统时钟为9月9日时演奏歌曲《浏阳河》,而当系统时钟为12月26日时则演奏《东方红》的旋律。这类计算机病毒大多属于“良性”计算机病毒,只是在发作时发出音乐和占用处理器资源。
产生特定的图像。另一类恶作剧式的计算机病毒,比如小球计算机病毒,发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图像的计算机病毒大多也是“良性”计算机病毒,只是在发作时破坏用户的显示界面,干扰用户的正常工作。
硬盘灯不断闪烁。硬盘灯闪烁说明有硬盘读写操作。当对硬盘有持续大量的操作时,硬盘的灯就会不断闪烁,比如格式化或者写入很大的文件。有时候对某个硬盘扇区或文件反复读取的情况下也会造成硬盘灯不断闪烁。有的计算机病毒会在发作的时候对硬盘进行格式化,或者写人许多垃圾文件,或反复读取某个文件,致使硬盘上的数据遭到损失。具有这类发作现象的计算机病毒大多是“恶性”计算机病毒。
Windows桌面图标发生变化。最初的时候,这一类病毒也是恶作剧式的计算机病毒,发作时会把Windows缺省的图标改成其他样式的图标,或者将其他应用程序、快捷方式的图标改成WindowS 缺省图标样式,起到迷惑用户的作用。而现在,这类恶作剧式的病毒被黑客改动以后就变成了带有恶性行为的破坏性病毒了。像“熊猫烧香”病毒发作时,会将所有的执行文件的图标变成一只拿着三根香的熊猫的图像,并且被感染的执行文件会被破坏而无法再运行。
计算机突然死机或不断地自动重启。有些计算机病毒程序兼容性上存在问题,代码没有严格测试,在发作时会造成意想不到情况,如消耗系统大量的资源而造成系统死机;与系统产生冲突而不断地自动重启计算机。比较著名的是“冲击波”病毒,Windows NT 以上平台的系统感染后,会不断地出现一个60s倒计时的警告窗口,然后自动重新启动系统。
自动发送电子邮件或网络信息。大多数电子邮件计算机病毒都采用自动发送电子邮件的方法作为传播的手段,也有的电子邮件计算机病毒在某一特定时刻向同一个邮件服务器发送大量无用的信件,以达到阻塞该邮件服务器的正常服务功能。这类病毒的变种病毒是用在即时通信工具上,发作的时候,MSN、OICQ等即时通信工具会不断地自动给其他用户发送一些带有病毒网页的链接地址,诱使其他用户点击后感染。 鼠标自己在动。没有对计算机进行任何操作,也没有运行任何演示程序、屏幕保护程序等,而屏幕上的鼠标自己在动,应用程序自己在运行,有受遥控的现象。大多数情况下是计算机系统受到了黑客程序的控制,从广义上说这也是计算机病毒发作的一种现象。
需要指出的是,有些是计算机病毒发作的明显现象,比如提示一些不相干的话、播放音乐或者显示特定的图像等口有些现象则很难直接判定是计算机病毒的表现现象,比如硬盘灯不断闪烁,当同时运行多个内存占用大的应用程序,比如3D MAX , Adobe Premiere等,而计算机本身性能又相对较弱的情况下,在启动和切换应用程序的时候也会使硬盘不停地工作,硬盘灯不断闪烁。 3、计算机病毒发作后的表现现象:
通常情况下,计算机病毒发作都会给计算机系统带来破坏性的后果,那种只是恶作剧式的“良性”计算机病毒只是计算机病毒家族中的很小一部分。大多数计算机病毒都是属于“恶性”计算机病毒。“恶性”计算机病毒发作后往往会带来很大的损失,以下列举了一些恶性计算机病毒发作后所造成的后果:
硬盘无法启动,数据丢失。计算机病毒破坏了硬盘的引导扇区后,就无法从硬盘启动计算机系统了。有些计算机病毒修改了硬盘的关键内容(如文件分配表,根目录区等),使得原先保存在硬盘上的数据几乎完全丢失。 系统文件丢失或被破坏。通常系统文件是不会被删除或修改的,除非对计算机操作系统进行了升级。但是某些计算机病毒发作时删除了系统文件,或者破坏了系统文件,使得计算机系统无法正常启