計(jì)算機(jī)系統(tǒng)安全性分析

1、計(jì)算機(jī)系統(tǒng)安全性分析摘要：1引言隨著計(jì)算機(jī)科學(xué)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，計(jì)算機(jī)系統(tǒng)的安全問題已成為人們十分關(guān)注的重要課題。對(duì)計(jì)算機(jī)系統(tǒng)的威脅和攻擊主要有兩類：一類是對(duì)計(jì)算機(jī)系統(tǒng)實(shí)體的威脅和攻擊；一類是對(duì)信息的威脅和攻擊。計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒則包含了對(duì)實(shí)體和信息兩個(gè)方面的威脅和攻擊。計(jì)算機(jī)系統(tǒng)實(shí)體所面臨的威脅和攻擊主要指各種自然災(zāi)害、場(chǎng)地和環(huán)境因素的影響、戰(zhàn)爭(zhēng)破壞和損失、設(shè)備故障、人為破壞、各種媒體設(shè)備的損壞和丟失。對(duì)實(shí)體的威脅和攻擊，不僅造成國(guó)家財(cái)產(chǎn)的嚴(yán)重?fù)p失，而且會(huì)造成信息的泄漏和破壞。因此，對(duì)計(jì)算機(jī)系統(tǒng)實(shí)體的安全保護(hù)是防止對(duì)信息威脅和攻擊的有力措施。對(duì)信息的威脅和攻擊主要有兩種方式：一種

2、是信息泄漏，一種是信息破壞。信息泄漏是指故意或偶然地偵收、截獲、竊取、分析、收集到系統(tǒng)中的信息，特別是機(jī)密信息和敏感信息，造成泄密事件。信息的破壞是指由于偶然事故或人為因素破壞信息的完整性、正確性和可用性，如各種軟硬件的偶然故障，環(huán)境和自然因素的影響以及操作失誤造成的信息破壞，尤其是計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒造成信息的修改、刪除或破壞，將導(dǎo)致系統(tǒng)資源被盜或被非法使用，甚至使系統(tǒng)癱瘓。2、計(jì)算機(jī)系統(tǒng)安全概述計(jì)算機(jī)系統(tǒng)(computersystem)也稱計(jì)算機(jī)信息系統(tǒng)(ComputerInformationSystem),是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，并按一定的應(yīng)用目標(biāo)和規(guī)則

3、對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。計(jì)算機(jī)系統(tǒng)安全(computersystemsecurity)中的“安全”一詞是指將服務(wù)與資源的脆弱性降到最低限度。脆弱性是指計(jì)算機(jī)系統(tǒng)的任何弱點(diǎn)。國(guó)際標(biāo)準(zhǔn)化組織(ISO)將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露?！贝烁拍钇赜陟o態(tài)信息保護(hù)。也有人將“計(jì)算機(jī)安全”定義為：“計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運(yùn)行。”該定義著重于動(dòng)態(tài)意義描述。在美國(guó)國(guó)家信息基礎(chǔ)設(shè)施(NII)的文獻(xiàn)中，給出

4、了安全的五個(gè)屬性：可用性、可靠性、完整性、保密性和不可抵賴性。這五個(gè)屬性適用于國(guó)家信息基礎(chǔ)設(shè)施的教育、娛樂、醫(yī)療、運(yùn)輸、國(guó)家安全、電力供給及分配、通信等廣泛領(lǐng)域。這五個(gè)屬性定義如下：可用性(Availability)：得到授權(quán)的實(shí)體在需要時(shí)可訪問資源和服務(wù)?？捎眯允侵笩o論何時(shí)，只要用戶需要，信息系統(tǒng)必須是可用的，也就是說信息系統(tǒng)不能拒絕服務(wù)。網(wǎng)絡(luò)最基本的功能是向用戶提供所需的信息和通信服務(wù)，而用戶的通信要求是隨機(jī)的，多方面的(話音、數(shù)據(jù)、文字和圖像等)，有時(shí)還要求時(shí)效性。網(wǎng)絡(luò)必須隨時(shí)滿足用戶通信的要求。攻擊者通常采用占用資源的手段阻礙授權(quán)者的工作?？梢允褂迷L問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，

5、從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。增強(qiáng)可用性還包括如何有效地避免因各種災(zāi)害(戰(zhàn)爭(zhēng)、地震等)造成的系統(tǒng)失效?？煽啃?Reliability)：可靠性是指系統(tǒng)在規(guī)定條件下和規(guī)定時(shí)間內(nèi)、完成規(guī)定功能的概率?？煽啃允蔷W(wǎng)絡(luò)安全最基本的要求之一，網(wǎng)絡(luò)不可靠，事故不斷，也就談不上網(wǎng)絡(luò)的安全。目前，對(duì)于網(wǎng)絡(luò)可靠性的研究基本上偏重于硬件可靠性方面。研制高可靠性元器件設(shè)備，采取合理的冗余備份措施仍是最基本的可靠性對(duì)策，然而，有許多故障和事故，則與軟件可靠性、人員可靠性和環(huán)境可靠性有關(guān)。完整性(Integrity)：信息不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞的特性。只有得到允許的人才能修改實(shí)體或進(jìn)程，并且

6、能夠判別出實(shí)體或進(jìn)程是否已被篡改。即信息的內(nèi)容不能為未授權(quán)的第三方修改。信息在存儲(chǔ)或傳輸時(shí)不被修改、破壞，不出現(xiàn)信息包的丟失、亂序等。保密性(Confidentiality)：保密性是指確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。即信息的內(nèi)容不會(huì)被未授權(quán)的第三方所知。這里所指的信息不但包括國(guó)家秘密，而且包括各種社會(huì)團(tuán)體、企業(yè)組織的工作秘密及商業(yè)秘密，個(gè)人的秘密和個(gè)人私密(如瀏覽習(xí)慣、購(gòu)物習(xí)慣)。防止信息失竊和泄露的保障技術(shù)稱為保密技術(shù)。不可抵賴性(Non-Repudiation)：也稱作不可否認(rèn)性。不可抵賴性是面向通信雙方(人、實(shí)體或進(jìn)程)信息真實(shí)同一的安全要求，它包括收、發(fā)雙方均不可抵賴。一是源發(fā)證

7、明，它提供給信息接收者以證據(jù)，這將使發(fā)送者謊稱未發(fā)送過這些信息或者否認(rèn)它的內(nèi)容的企圖不能得逞；二是交付證明，它提供給信息發(fā)送者以證明這將使接收者謊稱未接收過這些信息或者否認(rèn)它的內(nèi)容的企圖不能得逞。3影響計(jì)算機(jī)系統(tǒng)安全問題分析這里我們只考慮從計(jì)算機(jī)用戶角度來講的計(jì)算機(jī)系統(tǒng)信息安全隱患。它大致有如下幾個(gè)方面：3.1 計(jì)算機(jī)網(wǎng)絡(luò)病毒計(jì)算機(jī)網(wǎng)絡(luò)病毒除了具有傳統(tǒng)病毒的破壞性特點(diǎn)外。還具有網(wǎng)絡(luò)特性。隨著互聯(lián)網(wǎng)的廣泛應(yīng)用。使得其傳播途徑更廣、速度更快危害也更大。計(jì)算機(jī)網(wǎng)絡(luò)病毒主要有：宏病毒、網(wǎng)頁腳本病毒、蠕蟲病毒。其中蠕蟲病毒與其他病毒不同的是其傳播具有主動(dòng)性。它會(huì)主動(dòng)掃描網(wǎng)絡(luò)上主機(jī)操作系統(tǒng)和一些網(wǎng)絡(luò)服務(wù)的

8、漏洞。利用這些漏洞感染這些主機(jī)。3.2 特洛伊木馬許多人也將它歸為計(jì)算機(jī)病毒一類。但它與計(jì)算機(jī)病毒又有較大的區(qū)別。計(jì)算機(jī)病毒從來不在宿主代碼之外獨(dú)立。而總是把自己嵌入宿主代碼，從而成為惡意代碼。木馬則是一個(gè)獨(dú)立運(yùn)行的程序。它一般由一個(gè)客戶端和一個(gè)服務(wù)端兩部分構(gòu)成，服務(wù)器端就安裝在受害者的機(jī)器上，并注冊(cè)成為一種“服務(wù)”。然后從遠(yuǎn)程控制你的機(jī)器等等。而且這種攻擊往往發(fā)生在受害者毫不知情的狀況下。所以特洛伊木馬的危害不亞于病毒。3.3 黑客惡意攻擊不管黑客攻擊的是哪種類型的目標(biāo)，其采用的攻擊手段和過程都具有一定的共性。一般攻擊大體有如下幾個(gè)步驟：對(duì)目標(biāo)系統(tǒng)安全脆弱性進(jìn)行掃描與分析；找到漏洞入口；執(zhí)行

9、攻擊程序；獲得管理員權(quán)限；放置木馬后門；清除痕跡。4計(jì)算機(jī)系統(tǒng)安全管理對(duì)策計(jì)算機(jī)系統(tǒng)的安全性和可靠性，來源于安全策略的多樣性和安全技術(shù)的先進(jìn)性。計(jì)算機(jī)技術(shù)是當(dāng)今發(fā)展最快的技術(shù)之一，對(duì)于計(jì)算機(jī)系統(tǒng)的安全性，也要根據(jù)計(jì)算機(jī)系統(tǒng)的發(fā)展不斷完善和改進(jìn)，策略要不斷求變，技術(shù)要不斷創(chuàng)新，特別是隨著計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)的各個(gè)方面的延伸。進(jìn)入網(wǎng)絡(luò)的手段越來越多，越來越方便，因此，對(duì)于計(jì)算機(jī)系統(tǒng)來自網(wǎng)絡(luò)方面的安全威脅，更是安全防范的重中之重。特別是對(duì)予各單位的一些要害部門。必須做到領(lǐng)導(dǎo)重視，制度健全，措施得力，大力加強(qiáng)工作人員的責(zé)任心和防范意識(shí)。自覺執(zhí)行各項(xiàng)安全制度，采用先進(jìn)的技術(shù)和產(chǎn)品，構(gòu)造全方位的防御機(jī)制，使計(jì)

10、算機(jī)系統(tǒng)在理想的狀態(tài)下穩(wěn)定可靠地運(yùn)行。4.1 建立健全安全管理制度建立健全安全管理制度是安全管理的重要前提。標(biāo)準(zhǔn)化的安全管理，能克服傳統(tǒng)管理中憑借個(gè)人的主觀意志驅(qū)動(dòng)管理模式。不管人員如何變化，先進(jìn)的管理方法和經(jīng)驗(yàn)可以得到很好的繼承。根據(jù)本單位的實(shí)際情況和所采用的技術(shù)條件，參照有關(guān)的法規(guī)、條例和其他單位好的經(jīng)驗(yàn)，制定出切實(shí)可行又比較全面的各類安全管理制度。這些制度應(yīng)包括：重要數(shù)據(jù)備份制度、信息數(shù)據(jù)恢復(fù)策略、應(yīng)用程序使用權(quán)限管理制度、用戶賬戶管理制度、計(jì)算機(jī)設(shè)備使用管理制度、計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度、密鑰安全管理制度、計(jì)算機(jī)病毒防治管理制度等。4.2 做好防御病毒和存儲(chǔ)權(quán)限設(shè)置防御病毒首先要加強(qiáng)計(jì)算

11、機(jī)內(nèi)部使用人員的教育，養(yǎng)成良好的安全上網(wǎng)習(xí)慣和安全意識(shí)。不隨便下載和使用來歷不明的計(jì)算機(jī)軟件和文件，選擇安裝殺毒軟件、后門及木馬檢測(cè)和清除軟件。以及防火墻軟件，在局域網(wǎng)中使用網(wǎng)絡(luò)版殺毒軟件。計(jì)算機(jī)采用口令來控制授權(quán)訪問，首先口令必須符合復(fù)雜口令規(guī)則、定期更換口令、不同的人員設(shè)置不同的訪問權(quán)限。我們需要對(duì)系統(tǒng)的所有資源進(jìn)行權(quán)限控制，權(quán)限控制的目標(biāo)就是對(duì)應(yīng)用系統(tǒng)的所有對(duì)象資源和數(shù)據(jù)資源進(jìn)行權(quán)限控制。比如應(yīng)用系統(tǒng)的功能菜單、各個(gè)界面的按鈕、數(shù)據(jù)顯示的列及各種行級(jí)數(shù)據(jù)進(jìn)行權(quán)限的操控。4.3 做好防御黑客的策略防御黑客的策略是對(duì)計(jì)算機(jī)系統(tǒng)以及整個(gè)網(wǎng)絡(luò)系統(tǒng)實(shí)施分層次、多級(jí)別的防護(hù)。包括檢測(cè)、告警和修復(fù)等應(yīng)

12、急功能的實(shí)時(shí)策略。主要有：一是防火墻技術(shù)，防火墻構(gòu)成了系統(tǒng)對(duì)外防御的第一道防線。防火墻是用來隔離被保護(hù)的內(nèi)部網(wǎng)絡(luò)。明確定義網(wǎng)絡(luò)的邊界和服務(wù)，完成授權(quán)、訪問控制以及安全審計(jì)的功能。它是分離器、限制器，也是分析器。它有效地監(jiān)控了內(nèi)部網(wǎng)和Intemet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型。但總體來講可分為二大類：分組過濾、應(yīng)用代理。防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅，基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安會(huì)措施。按照級(jí)別從低到高，分別是主機(jī)系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全：主機(jī)安全檢查和漏

13、洞修補(bǔ)以及系統(tǒng)備份安全作為輔助安全措施。主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。二是入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的，是一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，也是用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，這種活動(dòng)可能來自于網(wǎng)絡(luò)外部和內(nèi)部。入侵檢測(cè)系統(tǒng)的應(yīng)用。能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)。添加到知識(shí)庫內(nèi)，以增強(qiáng)系統(tǒng)的防范能力。4.4 關(guān)于數(shù)據(jù)備份策略建議在計(jì)算機(jī)中安裝光盤刻錄機(jī)，將一些不再修改的重要數(shù)據(jù)，直接刻錄在光盤上，分別存放在不同地點(diǎn)：一些還需修改的數(shù)據(jù)，可通過U盤或移動(dòng)硬盤，分別存放在辦公室或家庭中的不同計(jì)算機(jī)中；對(duì)于有局域網(wǎng)的單位用戶。一些重要但不需要保密的數(shù)據(jù)，可分別存放在本地計(jì)算機(jī)和局域網(wǎng)服務(wù)器中；對(duì)于一些較小的數(shù)據(jù)文件。也可壓縮后保存在自己的郵箱中。數(shù)據(jù)備份的要點(diǎn)，一是要備份多份，分別存放在不同地點(diǎn)：二是備份要及時(shí)更新，不可存在僥幸心理，否則，一旦造成損失。后悔莫及。4.5 關(guān)