計(jì)算機(jī)系統(tǒng)的安全性分析

1、計(jì)算機(jī)系統(tǒng)的安全性分析摘要：1引言隨著計(jì)算機(jī)科學(xué)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，計(jì)算機(jī)系統(tǒng)的安全問(wèn)題已成為人們十分關(guān)注的重要課題。對(duì)計(jì)算機(jī)系統(tǒng)的威脅和攻擊主要有兩類(lèi)：一類(lèi)是對(duì)計(jì)算機(jī)系統(tǒng)實(shí)體的威脅和攻擊；一類(lèi)是對(duì)信息的威脅和攻擊。計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒則包含了對(duì)實(shí)體和信息兩個(gè)方面的威脅和攻擊。計(jì)算機(jī)系統(tǒng)實(shí)體所面臨的威脅和攻擊主要指各種自然災(zāi)害、場(chǎng)地和環(huán)境因素的影響、戰(zhàn)爭(zhēng)破壞和損失、設(shè)備故障、人為破壞、各種媒體設(shè)備的損壞和丟失。對(duì)實(shí)體的威脅和攻擊

2、，不僅造成國(guó)家財(cái)產(chǎn)的嚴(yán)重?fù)p失，而且會(huì)造成信息的泄漏和破壞。因此，對(duì)計(jì)算機(jī)系統(tǒng)實(shí)體的安全保護(hù)是防止對(duì)信息威脅和攻擊的有力措施。對(duì)信息的威脅和攻擊主要有兩種方式：一種是信息泄漏，一種是信息破壞。信息泄漏是指故意或偶然地偵收、截獲、竊取、分析、收集到系統(tǒng)中的信息，特別是機(jī)密信息和敏感信息，造成泄密事件。信息的破壞是指由于偶然事故或人為因素破壞信息的完整性、正確性和可用性，如各種軟硬件的偶然故障，環(huán)境和自然因素的影響以及操作失誤造成的信息破壞，

3、尤其是計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒造成信息的修改、刪除或破壞，將導(dǎo)致系統(tǒng)資源被盜或被非法使用，甚至使系統(tǒng)癱瘓。2、計(jì)算機(jī)系統(tǒng)安全概述計(jì)算機(jī)系統(tǒng)（computersystem）也稱(chēng)計(jì)算機(jī)信息系統(tǒng)（ComputerInfmationSystem），是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，并按一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。計(jì)算機(jī)系統(tǒng)安全（computersystemsecurity）中的

4、“安全”一詞是指將服務(wù)與資源的脆弱性降到最低限度。脆弱性是指計(jì)算機(jī)系統(tǒng)的任何弱點(diǎn)。國(guó)際標(biāo)準(zhǔn)化組織(ISO)將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。”此概念偏重于靜態(tài)信息保護(hù)。也有人將“計(jì)算機(jī)安全”定義為：“計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運(yùn)行?！痹摱x著重于動(dòng)態(tài)意義描述。在美國(guó)國(guó)

5、家信息基礎(chǔ)設(shè)施（NII）的文獻(xiàn)中，給出了安全的五個(gè)屬性：可用性、可靠性、完整性、保密性和不可抵賴(lài)性。這五個(gè)屬性適用于國(guó)家信息基礎(chǔ)設(shè)施的教育、娛樂(lè)、醫(yī)療、運(yùn)輸、國(guó)家安全、電力供給及分配、通信等廣泛領(lǐng)域。這五個(gè)屬性定義如下：可用性（Availability）：得到授權(quán)的實(shí)體在需要時(shí)可訪問(wèn)資源和服務(wù)。可用性是指無(wú)論何時(shí)，只要用戶(hù)需要，信息系統(tǒng)必須是可用的，也就是說(shuō)信息系統(tǒng)不能拒絕服務(wù)。網(wǎng)絡(luò)最基本的功能是向用戶(hù)提供所需的信息和通信服務(wù)，而用戶(hù)的

6、通信要求是隨機(jī)的，多方面的（話音、數(shù)據(jù)、文字和圖像等），有時(shí)還要求時(shí)效性。網(wǎng)絡(luò)必須隨時(shí)滿(mǎn)足用戶(hù)通信的要求。攻擊者通常采用占用資源的手段阻礙授權(quán)者的工作。可以使用訪問(wèn)控制機(jī)制，阻止非授權(quán)用戶(hù)進(jìn)入網(wǎng)絡(luò)，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。增強(qiáng)可用性還包括如何有效地避免因各種災(zāi)害（戰(zhàn)爭(zhēng)、地震等）造成的系統(tǒng)失效?？煽啃裕≧eliability）：可靠性是指系統(tǒng)在規(guī)定條件下和規(guī)定時(shí)間內(nèi)、完成規(guī)定功能的概率?？煽啃允蔷W(wǎng)絡(luò)安全最基本的要求之一，網(wǎng)絡(luò)不可靠，事故

7、不斷，也就談不上網(wǎng)絡(luò)的安全。目前，對(duì)于網(wǎng)絡(luò)可靠性的研究基本上偏重于硬件可靠性方面。研制高可靠性元器件設(shè)備，采取合理的冗余備份措施仍是最基本的可靠性對(duì)策，然而，有許多故障和事故，則與軟件可靠性、人員可靠性和環(huán)境可靠性有關(guān)。完整性（Integrity）：信息不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞的特性。只有得到允許的人才能修改實(shí)體或進(jìn)程，并且能夠判別出實(shí)體或進(jìn)程是否已到很好的繼承。根據(jù)本單位的實(shí)際情況和所采用的技術(shù)條件，參

8、照有關(guān)的法規(guī)、條例和其他單位好的經(jīng)驗(yàn)，制定出切實(shí)可行又比較全面的各類(lèi)安全管理制度。這些制度應(yīng)包括：重要數(shù)據(jù)備份制度、信息數(shù)據(jù)恢復(fù)策略、應(yīng)用程序使用權(quán)限管理制度、用戶(hù)賬戶(hù)管理制度、計(jì)算機(jī)設(shè)備使用管理制度、計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度、密鑰安全管理制度、計(jì)算機(jī)病毒防治管理制度等。4.2做好防御病毒和存儲(chǔ)權(quán)限設(shè)置防御病毒首先要加強(qiáng)計(jì)算機(jī)內(nèi)部使用人員的教育，養(yǎng)成良好的安全上網(wǎng)習(xí)慣和安全意識(shí)。不隨便下載和使用來(lái)歷不明的計(jì)算機(jī)軟件和文件，選擇安裝殺毒軟件

9、、后門(mén)及木馬檢測(cè)和清除軟件。以及防火墻軟件，在局域網(wǎng)中使用網(wǎng)絡(luò)版殺毒軟件。計(jì)算機(jī)采用口令來(lái)控制授權(quán)訪問(wèn)，首先口令必須符合復(fù)雜口令規(guī)則、定期更換口令、不同的人員設(shè)置不同的訪問(wèn)權(quán)限。我們需要對(duì)系統(tǒng)的所有資源進(jìn)行權(quán)限控制，權(quán)限控制的目標(biāo)就是對(duì)應(yīng)用系統(tǒng)的所有對(duì)象資源和數(shù)據(jù)資源進(jìn)行權(quán)限控制。比如應(yīng)用系統(tǒng)的功能菜單、各個(gè)界面的按鈕、數(shù)據(jù)顯示的列及各種行級(jí)數(shù)據(jù)進(jìn)行權(quán)限的操控。4.3做好防御黑客的策略防御黑客的策略是對(duì)計(jì)算機(jī)系統(tǒng)以及整個(gè)網(wǎng)絡(luò)系統(tǒng)實(shí)施分層

10、次、多級(jí)別的防護(hù)。包括檢測(cè)、告警和修復(fù)等應(yīng)急功能的實(shí)時(shí)策略。主要有：一是防火墻技術(shù)，防火墻構(gòu)成了系統(tǒng)對(duì)外防御的第一道防線。防火墻是用來(lái)隔離被保護(hù)的內(nèi)部網(wǎng)絡(luò)。明確定義網(wǎng)絡(luò)的邊界和服務(wù)，完成授權(quán)、訪問(wèn)控制以及安全審計(jì)的功能。它是分離器、限制器，也是分析器。它有效地監(jiān)控了內(nèi)部網(wǎng)和Intemet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類(lèi)型。但總體來(lái)講可分為二大類(lèi)：分組過(guò)濾、應(yīng)用代理。防火墻很難防

11、范來(lái)自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅，基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安會(huì)措施。按照級(jí)別從低到高，分別是主機(jī)系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全：主機(jī)安全檢查和漏洞修補(bǔ)以及系統(tǒng)備份安全作為輔助安全措施。主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。二是入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的，是一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，也是用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安

12、全策略行為的技術(shù)。入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，這種活動(dòng)可能來(lái)自于網(wǎng)絡(luò)外部和內(nèi)部。入侵檢測(cè)系統(tǒng)的應(yīng)用。能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過(guò)程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)。添加到知識(shí)庫(kù)內(nèi)，以增強(qiáng)系統(tǒng)的防范能力。4.4關(guān)于數(shù)據(jù)備份策略建議在計(jì)算機(jī)中安裝光盤(pán)刻錄機(jī)，將一些不再修改的重要數(shù)據(jù)，直接刻錄在光盤(pán)上，分別

13、存放在不同地點(diǎn)：一些還需修改的數(shù)據(jù)，可通過(guò)U盤(pán)或移動(dòng)硬盤(pán)，分別存放在辦公室或家庭中的不同計(jì)算機(jī)中；對(duì)于有局域網(wǎng)的單位用戶(hù)。一些重要但不需要保密的數(shù)據(jù)，可分別存放在本地計(jì)算機(jī)和局域網(wǎng)服務(wù)器中；對(duì)于一些較小的數(shù)據(jù)文件。也可壓縮后保存在自己的郵箱中。數(shù)據(jù)備份的要點(diǎn)，一是要備份多份，分別存放在不同地點(diǎn)：二是備份要及時(shí)更新，不可存在僥幸心理，否則，一旦造成損失。后悔莫及。4.5關(guān)于信息數(shù)據(jù)的恢復(fù)策略只要及時(shí)做好了備份，數(shù)據(jù)的恢復(fù)非常簡(jiǎn)單。由于備份