网络安全与防护实践-通用信息基础

任务描述

网络以其信息实时、更新快、内容丰富等特点给用户带来极大的便利，但是网络安全问题日益凸显，如信息泄露、病毒、木马或僵尸网络控制等，对国家的安全、社会的稳定以及政府的形象、个人隐私具有重要作用，因此，了解网络面临的安全威胁和防护措施显得尤为重要和迫切。

任务目标

●了解网络面临的安全威胁；

●掌握基本的网络安全防范措施。

任务实现

一、人为失误威胁及防范

（一）人为失误威胁表现

人为失误指的是用户自己无意中操作失误而引发的网络不安全。如网络管理员安全配置不当造成安全漏洞，用户安全意识淡薄，口令选择不慎，将自己的账户随意转借他人或与别人共享，密码泄露等。

（二）人为失误威胁防范措施

针对人为无意造成的网络安全威胁，要从提高技术和增强安全意识两方面做好防范。在技术上做好用户账户安全信息管理。在用户使用网络时，各种账号的密码等设置成较为复杂的密码，尽量采用数字、字母、特殊符号相结合的密码组合方式。同时各个账号，尤其是涉及金融信息的账户尽量密码不要一样，且定期更换密码等。同时，在思想上要绷紧安全这根弦，勿将账号转借或分享他人使用，以防密码泄露。

二、恶意攻击威胁及防范

人为恶意攻击是目前网络所面临的最大威胁，下面介绍几种常见的网络攻击方式及防范策略。

（一）口令入侵及其防范方法

所谓口令入侵，就是指用一些软件解开已经得到但被人加密的口令文档，不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传，使得入侵计算机网络系统有时变得相当简单，一般不需要很深入了解系统的内部结构，黑客初学者经常采用这种方法。

以电子邮箱的密码为案例讲解，全密码保护，包括动态密保、邮件密码、文件夹单独密码、锁屏密码、网盘密码，从不同的保护强度、不同的保护方式、不同的应用场景等多方面保护邮箱密码安全。

1.动态密保

采用基于时间同步的双因素动态密码技术，支持每60秒自动更新密码，针对网络监听等黑客现象，能够最大限度地保卫用户账户信息安全。此外，邮箱的动态密保应用，需要邮箱管理员进行绑定后方可使用，也就是说一个密保对应一个账号，杜绝动态密保冒用和用户假冒。

2.邮件密码

在发送重要或涉密邮件时，邮箱的用户可以添加独立邮件密码，那么，收件人只有进行密码解锁才能读取邮件正文和附件内容。这样在邮件传输过程中，就算被黑客跟踪，黑客也无法直接看到邮件内容，从而确保邮件信息的安全。

3.文件夹单独密码

针对外部来信，用户可以采用邮箱的邮件过滤器，自动将重要文件归入一个自定义文件夹。

4.锁屏密码

在写信的过程中，临时有事需要离开座位，不想把邮箱页面关掉，又不希望被别人看到邮件内容，怎么办？很简单，邮箱的用户可以使用锁屏功能。锁屏后，邮箱保持在线，需输入正确的邮箱密码后才能再次操作。

5.网盘密码

邮箱的网络硬盘应用是企业存放和分享文件的重要工具。邮箱的用户可以为整个网盘或者网盘内的某个文件夹进行密码加锁，这样既可以放心共享文件给同事，又可以保护私人文件。

（二）网络扫描及其防范方法

“常在网上漂，肯定被扫描”。网络扫描无处不在。对于服务器来说，被扫描是危险的开始。

1.地址扫描

运用ping这样的程序探测目标地址，对此作出响应的表示其存在。

防御：在防火墙上过滤掉ICMP应答消息。

2.端口扫描

通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功地建立了连接的主机所开的端口。防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。

3.反向映射

黑客向主机发送虚假消息，然后根据返回“host unreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。

防御：NAT和非路由代理服务器能够自动抵御此类攻击，也可以在防火墙上过滤“host unreachable”ICMP应答。

4.慢速扫描

由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

防御：通过引诱服务来对慢速扫描进行侦测。

实例：禁用NetBIOS。

步骤1：打开Internet协议版本4（TCP／IP）属性，单击“高级”按钮，如图6-9所示。

步骤2：打开WINS选项卡，在“NetBIOS设置”中选择“禁用TCP／IP上的NetBIOS”，如图6-10所示。

图6-9　高级属性设置

图6-10　禁用NetBIOS设置

（三）拒绝服务攻击及其防范方法

拒绝服务（denial of service），也就是我们常说的DoS。

拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源，致使网络服务瘫痪的一种攻击手段，如图6-11所示。在早期，拒绝服务攻击主要是针对处理能力比较弱的单机，如个人PC，或是窄带宽连接的网站，对拥有高带宽连接，高性能设备的网站影响不大。

在1999年底，伴随着分布式拒绝服务（DDoS）的出现，高端网站高枕无忧的局面不复存在。DDoS的实现是借助数百，甚至数千台被植入攻击守护进程的攻击主机对目标同时发起的集团作战行为。因此，分布式拒绝服务也被称为“洪水攻击”。常见的DDoS攻击手法有UDP Flood、SYN Flood、ICMP Flood、TCP Flood、Proxy Foold等。

图6-11　拒绝服务攻击

要使系统免受DoS攻击，管理员需要积极谨慎地维护系统，确保无安全隐患和漏洞；而针对恶意攻击方式则需要安装UTM（统一威胁管理）等安全设备，过滤DoS攻击，同时应当定期查看安全设备的日志，以便及时发现对系统安全造成威胁的行为。

（四）特洛伊木马攻击及其防范方法

特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，诱使用户将其安装在PC或者服务器上。如今黑客程序借用特洛伊木马，有“一经潜入，后患无穷”之意。完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的计算机被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的计算机，为所欲为，这时你计算机上的各种文件、程序以及在你计算机上使用的账号、密码就无安全可言了。

特洛伊木马程序不能算是一种病毒，程序本身在无人操控的情况下不会像蠕虫病毒般复制感染，不会破坏操作系统及硬件。随着越来越多新版的杀毒软件，开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性和迅速感染系统文件的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标、键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

防范：传统的木马一般都要求用户运行某一文件，如*.exe，*.com，*.bat等，所以对于这类木马的防范就是尽量不要点击、运行不知名和不确定的文件，特别是通过邮件和网上下载的文件，对于可疑的下载文件要直接删除。对于下载的ZIP与自解压文件，应先解开再杀毒，以防止杀毒软件漏报，解压并不能发动木马程序，及时升级杀毒软件，有条件的可以加装桌面防火墙。不要使用过于简单的口令。有些解码程序是可以读出写入Windows的PWL文件的开机口令、联入网络的用户名、口令、密码不要用与用户名相同、纯数字、由英文单词组成、6位以内的密码，好的密码应该有8位或以上，且为数字、字母及特殊符号的组合。

（五）DNS欺骗攻击及其防范方法

DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

一旦冒充域名服务器成功，便可把用户查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

防范：DNS欺骗攻击是很难防御的，因为这种攻击大多数本质上都是被动的。通常情况下，除非发生欺骗攻击，当你打开的网页与你想要看到的网页有所不同，否则你不可能知道你的DNS已经被欺骗。在很多针对性的攻击中，用户都无法知道自己已经将网上银行账号信息输入到错误的网址，直到接到银行的电话告知其账号已购买某某高价商品时用户才会知道。这就是说，在抵御这种类型攻击方面还是有迹可循。

保护内部设备：DNS欺骗攻击大多数都是从网络内部执行攻击的，如果你的网络设备很安全，那么那些感染的主机就很难向你的设备发动欺骗攻击。

不要依赖DNS：在高度敏感和安全的系统，你通常不会在这些系统上浏览网页，最后不要使用DNS。如果你有软件依赖于主机名来运行，那么可以在设备主机文件里手动指定。

使用入侵检测系统：只要正确部署和配置，使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。

（六）IP欺骗攻击与防护

IP欺骗技术起源于1985年美国罗伯特·T.莫里斯（Robert T.Morris）的一篇关于Unix中TCP／IP缺陷的文章：攻击者可以利用TCP／IP协议本身的漏洞来进行攻击，以达到入侵目标主机的目的。因为罗伯特·T.莫里斯的这一行为，成了第一个被1986年计算机欺诈和滥用法令起诉的人。

1.IP欺骗的定义

IP欺骗就是伪造他人的IP地址与入侵主机联系，通过另外一台机器来代替自己的方式借以达到蒙混过关的目的。

按照Internet Protocal（IP）网络互联协议，数据包包头包含来源地和目的地信息。而IP地址欺骗，就是通过伪造数据包包头，使显示的信息源不是实际的来源，其实这个数据包是从另一台计算机上发送的。单从IP地址来看，你会认为那只是你邻居、对门、室友的计算机，或者是你在公司、学校的服务器等。而一旦骗取用户的信任，黑客就会把数据或命令注入客户／服务应用之间或对等网络连接之间传送已存在的数据流中。

2.IP欺骗的原理

攻击者B首先要对受信任者C进行Flood以免它对目标A的TCP产生RST回应而影响效果（这步不算难），然后攻击者B伪装成C的IP对目标A发起SYN，目标A会向受信任者C回应SYN+ACK，所以C这个时候必须无响应，作为攻击者B收不到A给C的SYN+ACK，所以必须对A的TCP ISN进行预测，然后以正确的ACK值（A的ISN+1）和要发送的数据回复给目标A完成一次攻击。

3.IP欺骗的防护

IP地址欺骗常见于拒绝服务攻击（DoS attack），大量伪造来源的信息被发送到目标计算机或系统。攻击者制造大量的，伪造成来自不同IP的数据请求，这些IP地址任选自服务器可以提供的IP段，同时隐藏真实IP，如同一个面具杀手。现在一般将IP地址欺骗作为其他攻击方法的辅助方法，使得依靠禁用特定IP的防御方法失效。有时这种方法用于突破网络安全防御而侵入系统，不过需要一次制造大量数据包，因此这种侵入手段显得笨拙费劲。安全措施不完备的网络内，比如互相信任的企业局域网，是这种攻击的高发地。

网关过滤源地址在内网的外网数据包或者源地址在外网的内网数据包，前者可能攻击内网计算机，后者则攻击外网。

识别IP欺骗的方式主要可以通过查看Mac地址来做到。防止欺骗的最好方法是在相互通信的两台服务器上做双向的Mac地址绑定。

也有人提议修改网络协议，不依赖IP认证，使IP地址欺骗失效。

有些高层协议拥有独特的防御方法，比如TCP（传输控制协议）通过回复序列号来保证数据包来自已建立的连接。由于攻击者通常收不到回复信息，因此无从得知序列号。不过有些老机器和旧系统的TCP序列号可以被探得。

应用程序服务器和网络设备用IP地址标识客户端。应用程序服务器经常缓存来自同一台计算机的客户端信息。网络路由器则尝试缓存源信息和目标信息来优化吞吐量。如果许多用户使用同一个IP地址，服务器和路由器都将尝试优化处理。由于同一台负载发生器计算机上的Vuser具有相同的IP地址，因此服务器和路由器优化不反映真实情况。在场景运行时，每台负载发生器计算机上的Vuser都使用其计算机的固定IP地址，这样就不能模拟用户使用不同计算机的真实情况。

使用Load Runner的多IP地址功能，可以用许多IP地址来标识在一台计算机上运行的多个Vuser。这样，服务器和路由器将认为Vuser来自不同的计算机，因此测试环境更加真实。Load Runner在设计的时候就想到这个问题了，这就是IP欺骗技术。但是在使用IP欺骗时需要注意IP Spoofer要在连接Load Generator之前启用，并且各负载发生器计算机必须使用固定IP，不能使用动态IP（即DHCP）。

三、软件漏洞与后门威胁与防范

任何一款软件都或多或少存在漏洞，这些漏洞和缺陷恰恰给攻击者可乘之机。绝大部分网络入侵事件都是因为安全措施不完善，没有及时补上系统漏洞造成的。此外，软件公司的编程人员为便于维护而设置的软件“后门”也是不容忽视的巨大威胁，一旦“后门”遭到攻击而洞开，别人就能随意进入系统，后果不堪设想。

防范：及时关注软件厂商发布的补丁，同时在使用互联网时，必须及时安装补丁，从而有效避免漏洞程序所带来的威胁，要及时完善安装漏洞及补丁等程序，实现及时对计算机网络信息的监管。

四、其他防范措施

网络时刻面临各种威胁，各种病毒、木马等层出不穷，除以上常见防御措施外，我们还要做到以下几点：

（1）增强防范意识，加强安全技能培训及管理；

（2）安装杀毒软件，定期升级并经常杀毒；

（3）合理设置防火墙；

（4）及时对系统、软件进行更新，打补丁；

（5）加强对网络物理设备的安全管理。

相关知识

一、计算机病毒

（一）计算机病毒的定义

计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中有明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者以可能演化的形式放入其他程序中。从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大。(www.xing528.com)

（二）计算机病毒的特征

1.繁殖性

计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行的时候，它也进行运行自身复制。是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。

2.破坏性

计算机中毒后，可能会导致正常的程序无法运行，计算机内的文件会被删除或受到不同程度的损坏。通常表现为增、删、改、移。

3.传染性

计算机病毒不但本身具有破坏性，更可怕的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。只要一台计算机感染病毒，如不及时处理，那么病毒会在这台计算机上迅速扩散，计算机病毒可通过各种可能的渠道，如软盘、硬盘、移动硬盘、计算机网络去传染其他的计算机。当您在一台机器上发现病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其他计算机也许已经被该病毒传染了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

4.潜伏性

有些病毒像定时炸弹一样，什么时间发作是预先设定好的。比如黑色星期五病毒，不到预定时间一点都不会被觉察出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，病毒可以静静地躲在磁盘或磁带里待上几天，甚至几年，一旦时机成熟，得到运行机会，便四处繁殖、扩散，继续危害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做别的破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。

5.隐蔽性

计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。

6.可触发性

病毒因某个事件或数值的出现，病毒被诱使实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，则病毒继续潜伏。

（三）计算机病毒的分类

计算机病毒可以根据下面的属性进行分类。

1.存在媒体

根据病毒存在的媒体，病毒可以划分为网络病毒、文件病毒、引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如COM、EXE、DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如，多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用加密和变形算法。

2.传染渠道

根据病毒传染的方法可把病毒分为驻留型病毒和非驻留型病毒。驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，它处于激活状态，一直到关机或重新启动。非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染。

3.破坏能力

无害型：除了传染时减少磁盘的可用空间外，对系统没有其他影响。

无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。

危险型：这类病毒在计算机系统操作中造成严重的错误。

非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起计算机无法预料的和灾难性的破坏。由病毒引起其他的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。

（四）计算机病毒的症状

（1）在特定情况下屏幕上出现某些异常字符或特定画面；

（2）文件长度异常增减或莫名产生新文件；

（3）一些文件打开异常或突然丢失；

（4）系统无故进行大量磁盘读写或未经用户允许进行格式化操作；

（5）系统出现异常的重启现象，经常死机，或者蓝屏无法进入系统；

（6）可用的内存或硬盘空间变小；

（7）打印机等外部设备出现工作异常；

（8）在汉字库正常的情况下，无法调用和打印汉字或汉字库无故损坏；

（9）磁盘上无故出现扇区损坏；

（10）程序或数据的神秘消失了，文件名不能辨认等。

（五）计算机病毒的预防

根据计算机病毒的传播特点，防治计算机病毒关键是要注意以下几点：

（1）提高对计算机病毒危害的认识；

（2）养成使用计算机的良好习惯；

（3）大力普及杀毒软件，充分利用和正确使用现有的杀毒软件，定期查杀计算机病毒，并及时升级杀毒软件；

（4）及时了解特定计算机病毒的发作时间，及时采取措施；

（5）开启计算机病毒查杀软件的实时监测功能，特别是有利于及时防范利用网络传播的病毒；　　　　

（6）加强对网络流量等异常情况的监测，做好异常情况的技术分析；

（7）有规律的备份系统关键数据，建立应对灾难的数据安全策略和灾难恢复计划，保证备份的数据能够正确、迅速地恢复。

二、关于黑客

（一）黑客的起源

黑客（hacker）源于英语动词hack，引申为“干了一件非常漂亮的工作”。它起源于20世纪50年代麻省理工学院的实验室，用于指代那些独立思考、精力充沛、非常聪明并富有创造力，热衷于解决问题的程序员和设计人员。他们智力超群，对计算机全身心投入，从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索，他们为计算机技术的发展做出了巨大贡献。

20世纪70年代，出现了更多的“黑客”，这些“黑客”同样具有高超的技术，但以侵入别人的系统为乐，利用网络漏洞破坏网络，随意修改别人的资料，做出有损他人权益的事情，这就是“骇客”（cracxe，破坏者）。随之，“黑客”的含义也发生了很大变化，更多人把它当作网络入侵者的代名词。

（二）黑客的特征

（1）热衷挑战。如果能发现大公司机构或安全公司的问题，就能证明自己的能力。

（2）崇尚自由。这是从国外黑客的角度来说的。这种自由是一种无限的自由，可以说是自由主义者、无政府主义的理念，是在美国20世纪60年代的反主流的文化中形成的。

（3）主张信息的共享。

（4）反叛精神。年轻人的最大特点之一就是富有反叛精神，藐视传统与权威，有热情，有冲劲。

（5）由于黑客进入的是他们权限以外的计算机系统，因此，常常表现为程度不同的破坏性行为。

（三）黑客的攻击步骤

一次成功的入侵，一般需要五个步骤：①隐藏IP；②信息搜集（探测、扫描、监听）；③实施入侵（获得管理员权限）；④保持访问（种植后门等）；⑤隐藏踪迹（清除日志）。

三、关于木马

（一）木马

木马（Trojan）这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。

木马会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的办法。只要把Form的Visible属性设为False，ShowIn TaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动，黑客当然不会指望用户每次启动后单击“木马”图标来运行服务端，“木马”会在每次用户启动时自动装载。Windows系统启动时自动加载应用程序的方法，“木马”都会利用上，如启动组、Win.ini、System.ini、注册表等都是“木马”藏身的好地方。

（二）特征

1.隐蔽性

木马的隐蔽性主要体现在：一是不产生图标；二是木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。

2.自动运行性

木马是一个当系统启动时即自动运行的程序，所以它必须潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3.欺骗性

木马程序要达到其长期隐蔽的目的，就必须借助系统中已有的文件，以防被你发现，它经常利用的是常见的文件名或扩展名，如“dll、win、sys、explorer”等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常常修改文件中这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径下。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行，如此等等。那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。

4.自动恢复功能

很多木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。

5.自动打开端口

木马程序潜入计算机中的主要目的不是为了破坏系统，而是为了获取系统中有用的信息，当计算机上网与远端客户进行通信时，这样木马程序就会用服务器／客户端的通信手段把信息告诉黑客们，以便黑客们控制，或实施更进一步的入侵企图。

6.特殊性

通常木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册等操作，以及锁定鼠标等功能。

（三）传播方式

（1）通过邮件附件、程序下载等形式传播。不要随意使用来历不明的程序，因为它们可能被修改过从而含有木马。

（2）通过伪装网页登录过程，骗取用户信息进而传播木马。

（3）通过攻击系统安全漏洞传播木马。大量黑客使用专门的黑客工具来传播木马。

四、网络犯罪

（一）网络犯罪

网络犯罪，是指行为人运用计算机技术，借助于网络对系统或信息进行攻击，破坏或利用网络进行其他犯罪的总称。既包括行为人运用其编程、加密、解码技术或工具在网络上实施的犯罪，也包括行为人利用软件指令，网络系统或产品加密等技术及法律规定上的漏洞在网络内外交互实施的犯罪，还包括行为人借助于其居于网络服务提供者特定地位或其他方法在网络系统实施的犯罪。简而言之，网络犯罪是针对和利用网络进行的犯罪，网络犯罪的本质特征是危害网络及其信息的安全与秩序。

（二）网络犯罪特点

同传统的犯罪相比，网络犯罪具有一些独特的特点：成本低，传播迅速，传播范围广；互动性、隐蔽性高，取证困难；严重的社会危害性；网络犯罪是典型的计算机犯罪。

（三）种类形式

在计算机网络上实施的犯罪种类：非法侵入计算机信息系统罪，破坏计算机信息系统罪。表现形式有：袭击网站，在线传播计算机病毒。

利用计算机网络实施的犯罪种类：利用计算机实施金融诈骗罪，利用计算机实施盗窃罪，利用计算机实施贪污、挪用公款罪，利用计算机窃取国家秘密罪，利用计算机实施其他犯罪：电子讹诈，网上走私，网上非法交易，电子色情服务、虚假广告，网上洗钱，网上诈骗，电子盗窃，网上毁损商誉，在线侮辱、毁谤，网上侵犯商业秘密，网上组织邪教组织，在线间谍，网上刺探、提供国家机密的犯罪。

（四）对策

1.以技术治网

网络犯罪是利用计算机技术和网络技术实施的高科技犯罪，因此，防范网络犯罪首先应当依靠技术手段，以技术治网。主要措施有防火墙技术、数据加密技术、掌上指纹扫描仪、通信协议等。

2.依法治网

如果仅从技术层面来防范网络犯罪，这是不够的，因为再先进的技术，总有破解的方法，而一旦陷入攻防循环之中，就有可能造成社会财富的极大浪费，而且达不到预防犯罪的目的。所以，要更有效地防范网络犯罪，还得靠法律，实行依法治网。

3.以德治网

网络交往的虚拟性，淡化了人们的道德观念，削弱了人们的道德意识，甚至导致人格虚伪。加强网络伦理道德教育，提倡网络文明，培养人们明辨是非的能力，使其形成正确的道德观，是预防网络犯罪的重要手段之一。当前，开展网络行为道德宣传教育活动，就是要把公民道德建设纲要的内容作为网上道德宣传教育的主要内容，利用声、光、电等多种现代化手段，把“爱国守法、明礼诚信、团结友善、勤俭自强、敬业奉献”的基本道德规范灌输给广大网民，从而提高网民的道德素质，使网民能识别和抵制网上的黑色、黄色和灰色信息，主动选择有积极意义的信息，形成良好的上网习惯，坚决抵制网络色情等不良信息的诱惑，自觉地遵守有关网络规则，不做违法犯罪的事情，不断推动网民的道德自律。

任务小结

网络面临的各种安全威胁远远不止上述所讲，通过本任务的学习，用户要提高网络安全意识，养成安全上网的习惯，多学习网络安全防范的相关技能，为安全使用网络保驾护航。