此种检测方法的优点是:方法简单;能发现未知计算机病毒;被查文件的细微变化也能发现。其缺点是:容易误报警;不能识别计算机病毒名称;不能对付隐蔽型病毒。
③行为监测法。利用计算机病毒的特有行为特征来监测计算机病毒的方法,称为行为监测法。有一些行为是计算机病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。所以当程序运行时,监视其行为,如果发现了计算机病毒行为,立即报警。
此种检测方法的优点是:可发现未知计算机病毒;可相当准确地预报多数未知的计算机病毒。其缺点是:可能误报警;不能识别计算机病毒名称;实现时有一定难度。
④软件模拟法。它是一种软件分析器,用软件方法来模拟和分析程序的运行,主要用于检测多态型病毒,作为特征代码法的补充。目前,新型检测工具均纳入了软件模拟法,该类工具开始运行时,使用特征代码法检测计算机病毒,如果怀疑有隐蔽病毒或多态型病毒,就启动软件模拟模块,监视计算机病毒的运行,待计算机病毒用自身的密码译码以后,再运行特征代码法来识别计算机病毒的种类。
(4)计算机病毒的一般消除方法
如果我们的计算机系统已经感染了病毒,就需要杀毒。杀毒是为了解除病毒对计算机系统和数据等的威胁和传染。一般采用以下3种方法。
①软件编程法。使用自己编制的杀毒程序或者购买的杀毒软件消除病毒。优点是适合于大批量处理感染磁盘,且处理速度快。
②系统再生法。系统再生法是消除系统内计算机病毒的最有效的方法,即重新进行硬盘的分区和磁盘格式化。优点是处理速度快,清除病毒彻底。但是,使用此方法前,用户的磁盘数据文件一定要有备份,否则损失比计算机病毒造成的损失还要大。
③手工操作法。此法适用于没有杀毒软件或者被感染的磁盘很少的情况。优点是简单、快捷;缺点是错误率高,稍有操作不当,可能会造成更大的破坏,而且需要有一定的技术作保证。冲击波病毒2003年8月11日,一个针对微软Windows操作系统安全漏洞的计算机病毒席卷全球。它感染一台计算机,并通过被感染的计算机搜索网上的数十个或数百个地址,再感染使用这些地址的计算机,然后开始新一轮蔓延,它像“冲击波”一样依靠互联网迅速蔓延,因此得名“冲击波”(Worm.Blaster)。冲击波病毒一路传播,攻克了无数企业、学校与政府的网络,使计算机局部瘫痪,没有人能准确统计出该病毒在全球范围内所殃及的计算机数量。
冲击波病毒攻击WindowsNT4.0、Windows2000、WindowsXP与WindowsServer2003等操作系统,被感染的计算机系统资源被大量占用,系统会反复重启,不能收发邮件,不能正常复制文件,无法正常浏览网页,复制、粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒等。
所谓公钥基础设施(PublicKeyInfrastructure,PKI),是一个以公钥技术为基础的,提供和实施安全服务的具有普适性的安全基础设施。它是由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成的管理密钥和证书的系统。
PKI是一种提供信息安全服务的基础设施,旨在从技术上解决网上身份认证、信息的完整性和不可抵赖性等安全问题,为诸如电子商务、电子政务、网上银行和网上证券等各种具体应用提供可靠的安全服务的基础设施。
PKI能实现以下几方面的安全性。
①发送事务的人确实是原用户。
②接收事务的人确实是目的用户。
③数据完整性不会受到威胁。
2.PKI的功能
PKI体系部件按功能可分为如下几类。
①系统安全授权服务。其功能是使用户或其他主体在系统中建立和组合自己的操作。
②加密算法和服务。它提供基于公钥安全性的加密功能(包括密钥算法,如DES)。
③长期密钥服务。它允许用户和其他主体管理他们自己的长期密钥和证书,并可以检索和验证其他主体证书的合法性。
④协议安全服务。它提供的安全功能(数据原始授权、数据完整性保护、数据私有性保护、不可抵赖性)适用于了解安全应用(如安全协议)的人。
⑤安全协议。在完全不了解或不太了解安全应用的情况下,它提供安全的内部应用通信。
⑥安全策略服务。它提供与策略相关的信息,这些信息必须在安全协议中规定,实现安全访问控制和访问控制检测功能。
⑦支持服务。它提供了安全操作所需功能,但并不与安全策略实施直接相关。
3.PKI的基本组成
一个PKI系统包括以下组成部分,如图514所示。
图514PKI的基本组成
①认证机构(CA):它是PKI的核心。
②由于认证机构CA的任务很多,因此有时可将受理证书申请的工作转交给注册机构(RA)来完成。作为CA发放、管理证书的延伸,RA负责证书申请者的信息录入、审核及证书发放等工作。
③数字证书库(CR):是CA颁发证书和撤销证书的集中存放地,是网上的一种公共信息库,供广大公众进行开放式查询。它可以提供存储证书、提供证书和确认证书状态等功能。
④证书作废系统(CRL):其证书作废表为核心,其中记录了尚未过期但已经声明作废的用户证书序列号,供证书使用者在认证与之通信的对方证书是否作废时查询。CRL通常也被称为黑名单。
⑤应用程序接口(API):提供各应用程序与PKI系统之间的接口。
⑥密钥备份及恢复系统:建立一套PKI系统内的密钥备份与恢复机制,并确保在该机制下实现密钥的备份与恢复功能。
5.3.2数字证书
1.数字证书的概念
所谓数字证书(DigitalCertificate或DigitalID),就是公钥证书,是一个包含有用户身份信息、用户公钥及一个可信第三方认证机构CA的数字签名的数据文件。数字证书是用来在网络应用中识别通信各方的身份,其作用类似于现实生活中的身份证。
是一个由使用数字证书的用户群所公认和信任的权威机构(CA)签署了其数字签名的信息集合。主体将其身份信息和公钥以安全的方式提交给CA认证中心,CA用自己的私钥对主体的公钥和身份ID的混合体进行签名,将签名信息附在公钥和身份ID等信息后,这样就生成了一张证书,它主要由公钥、身份ID和CA的签名3部分组成。
2.数字证书的内容
数字证书有3个选项卡,分别为常规、详细信息和证书路径。“常规”选项卡通常会标明证书的目的、证书申请者、颁发者、有效起始日期及私钥信息提示等。“详细信息”包括版本信息、证书序列号、签名算法、颁发者、有效起始日期、有效终止日期、主题、公钥等内容。“证书路径”中显示根证书发放机构的名称及证书状态(是否过期、是否生效等)。如图516所示。
图516数字证书选项卡
从数字证书的内容可以看出,数字证书是加密密钥的载体。CA在颁发数字证书的同时,即向申请者分发了密钥。目前,数字证书采用的是公钥密码体制,数字证书上显示了公钥的内容。由于数字证书采用的是公钥密码体制,因此可用来对网络上传输的信息进行加密和解密、数字签名和签名验证,以此来确保网上传递信息的机密性、完整性,交易主体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。拥有数字证书的用户可用随证书发放的私钥进行信息解密和数字签名,用别人的公钥进行信息加密和签名验证。
3.数字证书的类型
(1)个人数字证书
个人数字证书主要用来进行身份验证和数字签名(又称电子签名),常见的有个人安全电子邮件证书和个人身份证书两种。
①个人安全电子邮件证书:用户可以利用它来发送签名或加密的电子邮件,以确保邮件的真实性和保密性。个人安全电子邮件证书一般支持Outlook、OutlookExpress、Foxmail等邮件客户端软件,申请后一般安装在用户的浏览器里。
②个人身份证书:用来表明和验证个人在网络上的身份,它确保了网上交易和作业的安全性和可靠性,可应用于网上炒股、网上理财、网上保险、网上缴费、网上购物、网上办公等。
(2)单位证书
单位证书是CA签发给独立的单位、组织,在互联网上证明该单位、组织身份的数字证书。单位证书可以应用于工商、税务、金融、社保、政府采购、行政办公等一系列电子政务、电子商务活动,它支持现在主流的浏览器产品和电子邮件客户端软件(包括Outlook等)。单位证书一般包括企业安全电子邮件证书、企业身份证书、部门证书和职位证书等。
①企业安全电子邮件证书:企业可以利用它来发送签名或加密的电子邮件,以确保邮件的真实性和保密性,申请后一般安装在用户的浏览器里。
②企业身份证书:用来表明和验证企业用户在网络上的身份,它确保了企业网上交易和作业的安全性和可靠性,可应用于网上证券、网上办公、网上交税、网上采购、网上资金转账、网上银行等。
③部门证书:颁发给某个部门使用并用来证明该部门身份的数字证书。
④职位证书:包含证书持有者职位的基本信息,用来标识网络通信中证书持有者身份的数字证书。
(3)服务器证书
服务器证书一般包括应用服务器证书和Web服务器证书,其作用是证明服务器的身份以防止假冒站点和进行通信加密。在服务器上安装服务器证书后,客户端浏览器可以与服务器证书建立SSL连接,在SSL连接上传输的任何数据都会被加密。同时,浏览器会自动验证服务器证书是否有效,验证所访问的站点是否是假冒站点。服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。目前CA颁发的服务器证书可支持Apache、BEAWebLogic、WebSphere、IIS、Lotus、iPlanet等服务器。
(4)代码签名证书
代码签名证书是CA签发给软件提供商的数字证书。任何软件提供商要想通过网络来发布代码或程序,都会面临软件被仿冒和篡改的风险。代码签名技术可以有效地防范这些风险,使用户免遭病毒与黑客程序的侵扰,可以有效地进行软件网上发布认证,为软件的完整性提供保障。
(5)其他证书
有些CA还颁发VPN证书(又称为设备证书)和无线应用证书等。VPN证书包括VPN网关证书和VPN客户端证书。无线应用证书包括无线应用网关证书和无线应用客户端证书。
1.数字证书的导出和导入操作
为了保护数字证书及私钥的安全,需要进行证书及私钥的备份工作。如果需要在不同的计算机上使用同一张数字证书或者重新安装计算机系统,就需要重新安装根证书、导入个人证书及私钥。具体步骤如下。
(1)备份证书和私钥的操作步骤
①打开一个IE浏览器,依次选择“工具”—“Internet选项”—“内容”—“证书”,然后从显示出的数字证书中选择要备份的数字证书,单击“导出”按钮,此时会弹出证书导出向导。单击“下一步”后,选择是否将私钥和证书一起导出。如图517所示。
图517②因导出的证书需要按文件存放,选择导出文件的格式,如图518所示。
图518③指定证书导出后文件的文件名和路径,如图519所示。
④此时显示前面所选择的所有设置,如果觉得完全正确则单击“完成”即可完成证书导出;如有错误则单击“上一步”重新设置。
图519(2)导入证书及私钥的操作步骤
①打开一个IE浏览器,“工具”—“Internet选项”—“内容”—“证书”,单击“导入”按钮,此时会弹出证书导入向导。单击“下一步”,根据向导提示选择导入证书的文件名和路径。
②此时需要选择导入证书的存储区,可以由系统自动选择也可以由用户指定。系统默认该证书是用户自己的证书而存入“个人证书”之中,如果要导入对方的证书(这主要发生在利用对方证书给对方发送加密邮件的时候),则应该指定位置并选择“其他人”。
③单击“下一步”,进入确认界面,此时显示前面所选择的所有设置,如果觉得完全正确则单击“完成”;如有错误则单击“上一步”重新设置。
使用OutlookExpress可以对电子邮件进行数字签名和加密。对电子邮件进行签名需要一个属于你自己的数字证书,而要对电子邮件进行加密则需要拥有对方的数字证书。
要使用OutlookExpress对电子邮件进行签名和加密,首先要配置Outlook,建立你自己的账号。然后在OutlookExpress中,单击“工具”菜单中的“账户”。选取“邮件”选项卡中用于发送安全邮件的账号,然后单击“属性”。在属性设置窗口中,选择“服务器”选项卡,勾选“我的服务器要求身份验证”。如图522所示。
图522选取安全选项卡,选择签名证书和加密证书及算法。点击选择按钮,在弹出的“选择默认账户数字标识”窗口中,选择要使用的数字证书。单击“确定”按钮,完成证书设置。如图523所示。
图523如果希望在服务器上保留邮件副本,则在账户属性中,单击“高级”选项卡。勾选“在服务器上保留邮件副本”。此时下边设置细则的勾选项由禁止(灰色)变为可选(黑色)。如图524所示。
图524(1)使用Outlook发送附数字签名的电子邮件
①单击OutlookExpress窗口中的“新邮件”按钮,撰写新邮件内容,填写好收件人邮箱地址和邮件主题。选取“工具”菜单中的“数字签名”项或工具条上的“签名”按钮,在邮件收件人的右侧会出现一个红色的“签名”标牌。如图525所示。
图525②点击新邮件窗口左边的“发送”按钮。发出带签名的电子邮件。
③当收件人收到并打开有数字签名的邮件时,将看到“数字签名邮件”的提示信息(用户可以设置下次不提示该信息),按“继续”按钮后,才可阅读到该邮件的内容。若邮件在传输过程中被他人篡改或发信人的数字证书有问题,页面将出现“安全警告”提示。在收件箱中,当邮件未阅读或签名未检查时,签名证书标志出现在未拆封信封图标(在发件人姓名前)的右侧;当双击邮件进行安全检查后,证书标志出现在已拆封的信封图标的左侧。
(2)使用Outlook发送加密的电子邮件
