淺談?dòng)?jì)算機(jī)系統(tǒng)的安全防范
作者:胡欣
評(píng)論: 更新日期:2018年08月26日
隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)與應(yīng)用的不斷發(fā)展,伴隨而來(lái)的計(jì)算機(jī)系統(tǒng)安全問題越來(lái)越引起人們的關(guān)注����。計(jì)算機(jī)系統(tǒng)一旦遭受破壞,將給使用單位造成重大經(jīng)濟(jì)損失,并嚴(yán)重影響正常工作的順利開展�����。加強(qiáng)計(jì)算機(jī)系統(tǒng)安全工作����,是信息化建設(shè)工作的重要工作內(nèi)容之一。sO100
??? 一�����、計(jì)算機(jī)系統(tǒng)面臨的安全問題
??? 目前��,廣域網(wǎng)應(yīng)用已遍全省各級(jí)地稅系統(tǒng)����。廣域網(wǎng)覆蓋地域廣、用戶多����、資源共享程度高,所面臨的威脅和攻擊是錯(cuò)綜復(fù)雜的�����,歸結(jié)起來(lái)主要有物理安全問題、操作系統(tǒng)的安全問題�、應(yīng)用程序安全問題、網(wǎng)絡(luò)協(xié)議的安全問題��。
??? (一)物理安全問題
??? 網(wǎng)絡(luò)安全首先要保障網(wǎng)絡(luò)上信息的物理安全�����。物理安全是指在物理介質(zhì)層次上對(duì)存貯和傳輸?shù)男畔踩Wo(hù)�。目前常見的不安全因素(安全威脅或安全風(fēng)險(xiǎn))包括三大類:
??? 1.自然災(zāi)害(如雷電、地震���、火災(zāi)、水災(zāi)等)��,物理?yè)p壞(如硬盤損壞��、設(shè)備使用壽命到期���、外力破損等)���,設(shè)備故障(如停電斷電、電磁干擾等)���,意外事故�。
??? 2.電磁泄漏(如偵聽微機(jī)操作過程)。
??? 3.操作失誤(如刪除文件���,格式化硬盤�����,線路拆除等)����,意外疏漏(如系統(tǒng)掉電����、"死機(jī)"等系統(tǒng)崩潰)
??? 4.計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境的安全。
??? (二)操作系統(tǒng)及應(yīng)用服務(wù)的安全問題
??? 現(xiàn)在地稅系統(tǒng)主流的操作系統(tǒng)為Windows操作系統(tǒng)�����,該系統(tǒng)存在很多安全隱患����。操作系統(tǒng)不安全,也是計(jì)算機(jī)不安全的重要原因�����。
??? (三)黑客的攻擊
??? 人們幾乎每天都可能聽到眾多的黑客事件:一位年僅15歲的黑客通過計(jì)算機(jī)網(wǎng)絡(luò)闖入美國(guó)五角大樓;黑客將美國(guó)司法部主頁(yè)上的"美國(guó)司法部"的字樣改成了"美國(guó)不公正部"���;黑客們聯(lián)手襲擊世界上最大的幾個(gè)熱門網(wǎng)站如yahoo���、amazon、美國(guó)在線��,使得他們的服務(wù)器不能提供正常的服務(wù)�����;黑客襲擊中國(guó)的人權(quán)網(wǎng)站��,將人權(quán)網(wǎng)站的主頁(yè)改成反政府的言論����;貴州多媒體通信網(wǎng)169網(wǎng)遭到"黑客"入侵����;黑客攻擊上海信息港的服務(wù)器,竊取數(shù)百個(gè)用戶的賬號(hào)�����。這些黑客事件一再提醒人們,必須高度重視計(jì)算機(jī)網(wǎng)絡(luò)安全問題����。黑客攻擊的主要方法有:口令攻擊、網(wǎng)絡(luò)監(jiān)聽��、緩沖區(qū)溢出�����、電子郵件攻擊和其它攻擊方法��。
??? (四)面臨名目繁多的計(jì)算機(jī)病毒威脅
??? 計(jì)算機(jī)病毒將導(dǎo)致計(jì)算機(jī)系統(tǒng)癱瘓���,程序和數(shù)據(jù)嚴(yán)重破壞����,使網(wǎng)絡(luò)的效率和作用大大降低���,使許多功能無(wú)法使用或不敢使用���。雖然��,至今尚未出現(xiàn)災(zāi)難性的后果���,但層出不窮的各種各樣的計(jì)算機(jī)病毒活躍在各個(gè)角落,令人堪憂���。去年的“沖擊波”病毒���、今年的“震蕩波”病毒,給我們的正常工作已經(jīng)造成過嚴(yán)重威脅�����。
??? 二��、計(jì)算機(jī)系統(tǒng)的安全防范工作
??? 計(jì)算機(jī)系統(tǒng)的安全防范工作是一個(gè)極為復(fù)雜的系統(tǒng)工程���,是人防和技防相結(jié)合的綜合性工程����。首先是各級(jí)領(lǐng)導(dǎo)的重視��,加強(qiáng)工作責(zé)任心和防范意識(shí)�����,自覺執(zhí)行各項(xiàng)安全制度�。在此基礎(chǔ)上,再采用一些先進(jìn)的技術(shù)和產(chǎn)品�����,構(gòu)造全方位的防御機(jī)制����,使系統(tǒng)在理想的狀態(tài)下運(yùn)行。
??? (一)加強(qiáng)安全制度的建立和落實(shí)
??? 制度建設(shè)是安全前提�。通過推行標(biāo)準(zhǔn)化管理,克服傳統(tǒng)管理中憑借個(gè)人的主觀意志驅(qū)動(dòng)管理模式�����。標(biāo)準(zhǔn)化管理最大的好處是它推行的法治而不是人治�,不會(huì)因?yàn)槿藛T的去留而改變,先進(jìn)的管理方法和經(jīng)驗(yàn)可以得到很好的繼承��。各單位要根據(jù)本單位的實(shí)際情況和所采用的技術(shù)條件����,參照有關(guān)的法規(guī)�����、條例和其他單位的版本���,制定出切實(shí)可行又比較全面的各類安全管理制度。主要有:操作安全管理制度��、場(chǎng)地與實(shí)施安全管理制度���、設(shè)備安全管理制度����、操作系統(tǒng)和數(shù)據(jù)庫(kù)安全管理制度�����、計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度���、軟件安全管理制度�����、密鑰安全管理制度���、計(jì)算機(jī)病毒防治管理制度等。并制定以下規(guī)范:
??? 1.制定計(jì)算機(jī)系統(tǒng)硬件采購(gòu)規(guī)范��。系統(tǒng)使用的關(guān)鍵設(shè)備服務(wù)器��、路由器����、交換機(jī)、防火墻�����、ups���、關(guān)鍵工作站���,都應(yīng)統(tǒng)一選型和采購(gòu),對(duì)新產(chǎn)品�、新型號(hào)必須經(jīng)過嚴(yán)格測(cè)試才能上線,保證各項(xiàng)技術(shù)方案的有效貫徹�。
??? 2.制定操作系統(tǒng)安裝規(guī)范。包括硬盤分區(qū)、網(wǎng)段名��,服務(wù)器名命名規(guī)則����、操作系統(tǒng)用戶的命名和權(quán)限、系統(tǒng)參數(shù)配置�����,力求杜絕安全參數(shù)配置不合理而引發(fā)的技術(shù)風(fēng)險(xiǎn)��。
??? 3.制定路由器訪問控制列表參數(shù)配置規(guī)范����;規(guī)范組網(wǎng)方式,定期對(duì)關(guān)鍵端口進(jìn)行漏洞掃描���,對(duì)重要端口進(jìn)行實(shí)時(shí)入侵檢測(cè)�。
??? 4.制定應(yīng)用系統(tǒng)安裝����、用戶命名、業(yè)務(wù)權(quán)限設(shè)置規(guī)范����。有效防止因業(yè)務(wù)操作權(quán)限授權(quán)沒有實(shí)現(xiàn)崗位間的相互制約����、相互監(jiān)督所造成的風(fēng)險(xiǎn)�。
??? 5.制訂數(shù)據(jù)備份管理規(guī)范���,包括備份類型�����、備份策略����、備份保管�、備份檢查,保證了數(shù)據(jù)備份工作真正落到實(shí)處����。
??? 制度落實(shí)是安全保證。制度建設(shè)重要的是落實(shí)和監(jiān)督��。尤其是在一些細(xì)小的環(huán)節(jié)上更要注意�����,如系統(tǒng)管理員應(yīng)定期及時(shí)審查系統(tǒng)日志和記錄。重要崗位人員調(diào)離時(shí)����,應(yīng)及時(shí)注銷用戶,并更換業(yè)務(wù)系統(tǒng)的口令和密鑰�����,移交全部技術(shù)資料�。應(yīng)成立由主管領(lǐng)導(dǎo)為組長(zhǎng)的計(jì)算機(jī)安全運(yùn)行領(lǐng)導(dǎo)小組,凡是涉及到安全問題����,大事小事有人抓、有人管����、有專人落實(shí)。使問題得到及時(shí)發(fā)現(xiàn)���、及時(shí)處理����、及時(shí)上報(bào),隱患能及時(shí)預(yù)防和消除���,有效保證系統(tǒng)的安全穩(wěn)定運(yùn)行�。
??? (二)對(duì)信息化建設(shè)進(jìn)行綜合性的長(zhǎng)遠(yuǎn)規(guī)劃
??? 計(jì)算機(jī)發(fā)展到今天���,已經(jīng)是一個(gè)門類繁多復(fù)雜的電子系統(tǒng)���,各部分設(shè)備能否正常運(yùn)行直接關(guān)系到計(jì)算機(jī)系統(tǒng)的安全���。從設(shè)備的選型開始就應(yīng)考慮到它們的高可靠性��、容錯(cuò)性�、備份轉(zhuǎn)換的即時(shí)性和故障后的恢復(fù)功能�����。同時(shí)�����,針對(duì)計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)化���、復(fù)雜化�,計(jì)算機(jī)系統(tǒng)故障的影響范圍大的現(xiàn)實(shí),對(duì)主機(jī)�����、磁盤機(jī)�����、通信控制��、磁帶機(jī)����、磁帶庫(kù)、不間斷電源�����、機(jī)房空調(diào)����、機(jī)房消防滅火系統(tǒng)等重要設(shè)備采取雙備份制或其他容錯(cuò)技術(shù)措施,以降低故障影響��,迅速恢復(fù)生產(chǎn)系統(tǒng)的正常運(yùn)行。
??? (三)強(qiáng)化全體稅務(wù)干部計(jì)算機(jī)系統(tǒng)安全意識(shí)
??? 提高安全意識(shí)是安全關(guān)鍵��。計(jì)算機(jī)系統(tǒng)的安全工作是一項(xiàng)經(jīng)常性����、長(zhǎng)期性的工作,而事故和案件卻不是經(jīng)常發(fā)生的��,尤其是當(dāng)處于一些業(yè)務(wù)緊張或遇到較難處理的大問題時(shí)�,容易忽略或“破例”對(duì)待安全問題,給計(jì)算機(jī)系統(tǒng)帶來(lái)隱患����。要強(qiáng)化工作人員的安全教育和法制教育��,真正認(rèn)識(shí)到計(jì)算機(jī)系統(tǒng)安全的重要性和解決這一問題的長(zhǎng)期性�����、艱巨性及復(fù)雜性����。決不能有依賴于先進(jìn)技術(shù)和先進(jìn)產(chǎn)品的思想。技術(shù)的先進(jìn)永遠(yuǎn)是相對(duì)的����。俗話說:“道高一尺�����,魔高一丈”���,今天有矛,明天就有盾�����。安全工作始終在此消彼長(zhǎng)的動(dòng)態(tài)過程中進(jìn)行��。只有依靠人的安全意識(shí)和主觀能動(dòng)性�,才能不斷地發(fā)現(xiàn)新的問題,不斷地找出解決問題的對(duì)策���。要將計(jì)算機(jī)系統(tǒng)安全工作融入正常的信息化建設(shè)工作中去���,在規(guī)劃、設(shè)計(jì)��、開發(fā)、使用每一個(gè)過程中都能得到具體的體現(xiàn)和貫徹�����,以確保計(jì)算機(jī)系統(tǒng)的安全運(yùn)行�����。
??? (四)構(gòu)造全方位的防御機(jī)制
??? 全方位的防御機(jī)制是安全的技術(shù)保障��。網(wǎng)絡(luò)安全是一項(xiàng)動(dòng)態(tài)的���、整體的系統(tǒng)工程�,從技術(shù)上來(lái)說�,網(wǎng)絡(luò)安全由安全的操作系統(tǒng)、應(yīng)用系統(tǒng)��、防病毒��、防火墻�����、入侵檢測(cè)��、網(wǎng)絡(luò)監(jiān)控�、信息審計(jì)、通信加密����、災(zāi)難恢復(fù)、安全掃描等多個(gè)安全組件組成�,一個(gè)單獨(dú)的組件是無(wú)法確保您信息網(wǎng)絡(luò)的安全性。
??? 1.利用防病毒技術(shù)���,阻止病毒的傳播與發(fā)作
??? 2001年�,紅色代碼病毒�����、尼姆達(dá)病毒����、求職病毒觸動(dòng)了信息網(wǎng)絡(luò)脆弱的安全神經(jīng),更使部分信息網(wǎng)絡(luò)用戶一度陷入通訊癱瘓的尷尬局面�����;2003年��、2004年,“沖擊波”病毒�、“震蕩波”病毒更是給計(jì)算機(jī)用戶留下了深刻的印象。為了免受病毒所造成的損失�����,應(yīng)采用多層的病毒防衛(wèi)體系�。所謂的多層病毒防衛(wèi)體系,是指在每臺(tái)PC機(jī)上安裝單機(jī)版反病毒軟件��,在服務(wù)器上安裝基于服務(wù)器的反病毒軟件��,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件���。因?yàn)榉乐共《镜墓羰敲總€(gè)員工的責(zé)任�����,人人都要做到自己使用的臺(tái)式機(jī)上不受病毒的感染�����,從而保證整個(gè)網(wǎng)絡(luò)不受病毒的感染��。
??? 2.應(yīng)用防火墻技術(shù),控制訪問權(quán)限
??? 防火墻技術(shù)是近年發(fā)展起來(lái)的重要網(wǎng)絡(luò)安全技術(shù),其主要作用是在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊�,根據(jù)客戶設(shè)定的安全規(guī)則,在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下���,保障內(nèi)外網(wǎng)絡(luò)通訊���。在網(wǎng)絡(luò)出口處安裝防火墻后,內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行了有效的隔離��,所有來(lái)自外部網(wǎng)絡(luò)的訪問請(qǐng)求都要通過防火墻的檢查����,內(nèi)部網(wǎng)絡(luò)的安全有了很大的提高。防火墻可以完成以下具體任務(wù):
??? -通過源地址過濾����,拒絕外部非法IP地址,有效避免外部網(wǎng)絡(luò)上與業(yè)務(wù)無(wú)關(guān)的主機(jī)的越權(quán)訪問��;
??? -防火墻可以只保留有用的服務(wù)��,將其他不需要的服務(wù)關(guān)閉�����,這樣做可以將系統(tǒng)受攻擊的可能性降低到最小限度,使黑客無(wú)機(jī)可乘���;
??? -同樣��,防火墻可以制定訪問策略����,只有被授權(quán)的外部主機(jī)可以訪問內(nèi)部網(wǎng)絡(luò)的有限IP地址����,保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中的必要資源,與業(yè)務(wù)無(wú)關(guān)的操作將被拒絕�;
??? -由于外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的所有訪問都要經(jīng)過防火墻,所以防火墻可以全面監(jiān)視外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問活動(dòng)�����,并進(jìn)行詳細(xì)的記錄��,通過分析可以得出可疑的攻擊行為���;
??? -另外��,由于安裝了防火墻后�����,網(wǎng)絡(luò)的安全策略由防火墻集中管理��,因此��,黑客無(wú)法通過更改某一臺(tái)主機(jī)的安全策略來(lái)達(dá)到控制其他資源訪問權(quán)限的目的�,而直接攻擊防火墻幾乎是不可能的��。
??? -防火墻可以進(jìn)行地址轉(zhuǎn)換工作�,使外部網(wǎng)絡(luò)用戶不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu),使黑客攻擊失去目標(biāo)����。
??? 3.應(yīng)用入侵檢測(cè)技術(shù)及時(shí)發(fā)現(xiàn)攻擊苗頭
??? 應(yīng)用防火墻技術(shù),經(jīng)過細(xì)致的系統(tǒng)配置���,通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)��,降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)�����。但是��,僅僅使用防火墻�����、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠���。因?yàn)椋?br />
??? (1)入侵者可能尋找到防火墻背后敞開的后門���;
??? (2)入侵者可能就在防火墻內(nèi);
??? (3)由于性能的限制���,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力�。
??? 入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)��,目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段�,如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等�����。實(shí)時(shí)入侵檢測(cè)能力之所以重要是因?yàn)樗軌驅(qū)Ω秮?lái)自內(nèi)外網(wǎng)絡(luò)的攻擊�����,其次是因?yàn)樗軌蚩s短發(fā)現(xiàn)黑客入侵的時(shí)間。
??? 4.應(yīng)用安全掃描技術(shù)主動(dòng)探測(cè)網(wǎng)絡(luò)安全漏洞����,進(jìn)行網(wǎng)絡(luò)安全評(píng)估與安全加固
??? 安全掃描技術(shù)是又一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻�����、入侵檢測(cè)系統(tǒng)互相配合�����,能夠有效提高網(wǎng)絡(luò)的安全性��。通過對(duì)網(wǎng)絡(luò)的掃描����,網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)����,及時(shí)發(fā)現(xiàn)安全漏洞,客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)�。網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果及時(shí)消除網(wǎng)絡(luò)安全漏洞和更正系統(tǒng)中的錯(cuò)誤配置,在黑客攻擊前進(jìn)行防范�。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動(dòng)的防御手段����,那么安全掃描就是一種主動(dòng)的防范措施����,可以有效避免黑客攻擊行為,做到防患于未然�。
??? 5.應(yīng)用網(wǎng)絡(luò)安全緊急響應(yīng)體系,防范安全突發(fā)事件
??? 網(wǎng)絡(luò)安全作為一項(xiàng)動(dòng)態(tài)工程����,意味著它的安全程度會(huì)隨著時(shí)間的變化而發(fā)生改變。在信息技術(shù)日新月異的今天��,昔日固若金湯的網(wǎng)絡(luò)安全策略�,總難免會(huì)隨著時(shí)間的推進(jìn)和環(huán)境的變化,而變得不堪一擊����。因此,我們需要隨著時(shí)間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略�,并及時(shí)組建網(wǎng)絡(luò)安全緊急響應(yīng)體系,專人負(fù)責(zé)�����,防范安全突發(fā)事件。
??? 總之��,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全工作不是一朝一夕的工作�����,而是一項(xiàng)長(zhǎng)期的任務(wù)�,需要全體稅務(wù)干部的參與和努力,同時(shí)要加大投入引進(jìn)先進(jìn)技術(shù)����,建立嚴(yán)密的安全防范體系�,并在制度上確保該體系功能的實(shí)現(xiàn)。
?
