淺談計算機系統(tǒng)的安全防范
淺談計算機系統(tǒng)的安全防范隨著計算機及網(wǎng)絡技術(shù)與應用的不斷發(fā)展,伴隨而來的計算機系統(tǒng)安全問題越來越引起人們的關(guān)注。計算機系統(tǒng)一旦遭受破壞,將給使用單位造成重大經(jīng)濟損失,并嚴重影響正常工作的順利開展。加強計算機系統(tǒng)安全工作,是信息化建設(shè)工作的重要工作內(nèi)容之一。一、計算機系統(tǒng)面臨的安全問題目前,廣域網(wǎng)應用已遍全省各級地稅系統(tǒng)。廣域網(wǎng)覆蓋地域廣、用戶多、資源共享程度高,所面臨的威脅和攻擊是錯綜復雜的,歸結(jié)起來主要有物理安全問題、操作系統(tǒng)的安全問題、應用程序安全問題、網(wǎng)絡協(xié)議的安全問題。(一) 物理安全問題網(wǎng)絡安全首先要保障網(wǎng)絡上信息的物理安全。物理安全是指在物理介質(zhì)層次上對存貯和傳輸?shù)男畔踩Wo 。目前常見的不安全因素(安全威脅或安全風險)包括三大類:1.自然災害(如雷電、地震、火災、水災等),物理損壞(如硬盤損壞、設(shè)備使用壽命到期、外力破損等),設(shè)備故障(如停電斷電、電磁干擾等),意外事故 。2.電磁泄漏(如偵聽微機操作過程)。3.操作失誤(如刪除文件,格式化硬盤,線路拆除等),意外疏漏(如系統(tǒng)掉電、"死機"等系統(tǒng)崩潰)4.計算機系統(tǒng)機房環(huán)境的安全。(二)操作系統(tǒng)及應用服務的安全問題現(xiàn)在地稅系統(tǒng)主流的操作系統(tǒng)為windows 操作系統(tǒng),該系統(tǒng)存在很多安全隱患。操作系統(tǒng)不安全,也是計算機不安全的重要原因。(三)黑客的攻擊人們幾乎每天都可能聽到眾多的黑客事件:一位年僅15歲的黑客通過計算機網(wǎng)絡闖入美國五角大樓;黑客將美國司法部主頁上的"美國司法部"的字樣改成了"美國不公正部";黑客們聯(lián)手襲擊世界上最大的幾個熱門網(wǎng)站如yahoo、amazon、美國在線,使得他們的服務器不能提供正常的服務;黑客襲擊中國的人權(quán)網(wǎng)站,將人權(quán)網(wǎng)站的主頁改成反政府的言論;貴州多媒體通信網(wǎng)169網(wǎng)遭到"黑客"入侵;黑客攻擊上海信息港的服務器,竊取數(shù)百個用戶的賬號。這些黑客事件一再提醒人們,必須高度重視計算機網(wǎng)絡安全問題 。黑客攻擊的主要方法有:口令攻擊、網(wǎng)絡監(jiān)聽、緩沖區(qū)溢出、電子郵件攻擊和其它攻擊方法。 (四)面臨名目繁多的計算機病毒威脅計算機病毒將導致計算機系統(tǒng)癱瘓,程序和數(shù)據(jù)嚴重破壞,使網(wǎng)絡的效率和作用大大降低,使許多功能無法使用或不敢使用。雖然,至今尚未出現(xiàn)災難性的后果,但層出不窮的各種各樣的計算機病毒活躍在各個角落,令人堪憂。去年的“沖擊波”病毒、今年的“震蕩波”病毒,給我們的正常工作已經(jīng)造成過嚴重威脅。二、 計算機系統(tǒng)的安全防范工作計算機系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程,是人防和技防相結(jié)合的綜合性工程。首先是各級領(lǐng)導的重視,加強工作責任心和防范意識,自覺執(zhí)行各項安全制度。在此基礎(chǔ)上,再采用一些先進的技術(shù)和產(chǎn)品,構(gòu)造全方位的防御機制,使系統(tǒng)在理想的狀態(tài)下運行。(一)加強安全制度的建立和落實制度建設(shè)是安全前提。通過推行標準化管理,克服傳統(tǒng)管理中憑借個人的主觀意志驅(qū)動管理模式。標準化管理最大的好處是它推行的法治而不是人治,不會因為人員的去留而改變,先進的管理方法和經(jīng)驗可以得到很好的繼承。各單位要根據(jù)本單位的實際情況和所采用的技術(shù)條件,參照有關(guān)的法規(guī)、條例和其他單位的版本,制定出切實可行又比較全面的各類安全管理制度。主要有:操作安全管理制度、場地與實施安全管理制度、設(shè)備安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫安全管理制度、計算機網(wǎng)絡安全管理制度、軟件安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。并制定以下規(guī)范:
1.制定計算機系統(tǒng)硬件采購規(guī)范。系統(tǒng)使用的關(guān)鍵設(shè)備服務器、路由器、交換機、防火墻、ups、關(guān)鍵工作站,都應統(tǒng)一選型和采購,對新產(chǎn)品、新型號必須經(jīng)過嚴格測試才能上線,保證各項技術(shù)方案的有效貫徹。 2.制定操作系統(tǒng)安裝規(guī)范。包括硬盤分區(qū)、網(wǎng)段名,服務器名命名規(guī)則、操作系統(tǒng)用戶的命名和權(quán)限、系統(tǒng)參數(shù)配置,力求杜絕安全參數(shù)配置不合理而引發(fā)的技術(shù)風險。 3.制定路由器訪問控制列表參數(shù)配置規(guī)范;規(guī)范組網(wǎng)方式,定期對關(guān)鍵端口進行漏洞掃描,對重要端口進行實時入侵檢測。 4.制定應用系統(tǒng)安裝、用戶命名、業(yè)務權(quán)限設(shè)置規(guī)范。有效防止因業(yè)務操作權(quán)限授權(quán)沒有實現(xiàn)崗位間的相互制約、相互監(jiān)督所造成的風險。 5.制訂數(shù)據(jù)備份管理規(guī)范,包括備份類型、備份策略、備份保管、備份檢查,保證了數(shù)據(jù)備份工作真正落到實處。 制度落實是安全保證。制度建設(shè)重要的是落實和監(jiān)督。尤其是在一些細小的環(huán)節(jié)上更要注意,如系統(tǒng)管理員應定期及時審查系統(tǒng)日志和記錄。重要崗位人員調(diào)離時,應及時注銷用戶,并更換業(yè)務系統(tǒng)的口令和密鑰,移交全部技術(shù)資料。應成立由主管領(lǐng)導為組長的計算機安全運行領(lǐng)導小組,凡是涉及到安全問題,大事小事有人抓、有人管、有專人落實。使問題得到及時發(fā)現(xiàn)、及時處理、及時上報,隱患能及時預防和消除,有效保證系統(tǒng)的安全穩(wěn)定運行。 (二)對信息化建設(shè)進行綜合性的長遠規(guī)劃計算機發(fā)展到今天,已經(jīng)是一個門類繁多復雜的電子系統(tǒng),各部分設(shè)備能否正常運行直接關(guān)系到計算機系統(tǒng)的安全。從設(shè)備的選型開始就應考慮到它們的高可靠性、容錯性、備份轉(zhuǎn)換的即時性和故障后的恢復功能。同時,針對計算機系統(tǒng)網(wǎng)絡化、復雜化,計算機系統(tǒng)故障的影響范圍大的現(xiàn)實,對主機、磁盤機、通信控制、磁帶機、磁帶庫、不間斷電源、機房空調(diào)、機房消防滅火系統(tǒng)等重要設(shè)備采取雙備份制或其他容錯技術(shù)措施,以降低故障影響,迅速恢復生產(chǎn)系統(tǒng)的正常運行。(三)強化全體稅務干部計算機系統(tǒng)安全意識提高安全意識是安全關(guān)鍵。計算機系統(tǒng)的安全工作是一項經(jīng)常性、長期性的工作,而事故和案件卻不是經(jīng)常發(fā)生的,尤其是當處于一些業(yè)務緊張或遇到較難處理的大問題時,容易忽略或“破例”對待安全問題,給計算機系統(tǒng)帶來隱患 。要強化工作人員的安全教育和法制教育,真正認識到計算機系統(tǒng)安全的重要性和解決這一問題的長期性、艱巨性及復雜性。決不能有依賴于先進技術(shù)和先進產(chǎn)品的思想。技術(shù)的先進永遠是相對的。俗話說:“道高一尺,魔高一丈”,今天有矛,明天就有盾。安全工作始終在此消彼長的動態(tài)過程中進行。只有依靠人的安全意識和主觀能動性,才能不斷地發(fā)現(xiàn)新的問題,不斷地找出解決問題的對策。要將計算機系統(tǒng)安全工作融入正常的信息化建設(shè)工作中去,在規(guī)劃、設(shè)計、開發(fā)、使用每一個過程中都能得到具體的體現(xiàn)和貫徹,以確保計算機系統(tǒng)的安全運行。(四)構(gòu)造全方位的防御機制全方位的防御機制是安全的技術(shù)保障。網(wǎng)絡安全是一項動態(tài)的、整體的系統(tǒng)工程,從技術(shù)上來說,網(wǎng)絡安全由安全的操作系統(tǒng)、應用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成,一個單獨的組件是無法確保您信息網(wǎng)絡的安全性 。1.利用防病毒技術(shù),阻止病毒的傳播與發(fā)作2001年,紅色代碼病毒、尼姆達病毒、求職病毒觸動了信息網(wǎng)絡脆弱的安全神經(jīng),更使部分信息網(wǎng)絡用戶一度陷入通訊癱瘓的尷尬局面;2003年、2004年,“沖擊波”病毒、“震蕩波”病毒更是給計算機用戶留下了深刻的印象。為了免受病毒所造成的損失,應采用多層的病毒防衛(wèi)體系 。所謂的多層病毒防衛(wèi)體系,是指在每臺pc機上安裝單機版反病毒軟件,在服務器上安裝基于服務器的反病毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件 。因為防止病毒的攻擊是每個員工的責任,人人都要做到自己使用的臺式機上不受病毒的感染,從而保證整個網(wǎng)絡不受病毒的感染。2.應用防火墻技術(shù),控制訪問權(quán)限防火墻技術(shù)是近年發(fā)展起來的重要網(wǎng)絡安全技術(shù),其主要作用是在網(wǎng)絡入口處檢查網(wǎng)絡通訊,根據(jù)客戶設(shè)定的安全規(guī)則,在保護內(nèi)部網(wǎng)絡安全的前提下,保障內(nèi)外網(wǎng)絡通訊 。在網(wǎng)絡出口處安裝防火墻后,內(nèi)部網(wǎng)絡與外部網(wǎng)絡進行了有效的隔離,所有來自外部網(wǎng)絡的訪問請求都要通過防火墻的檢查,內(nèi)部網(wǎng)絡的安全有了很大的提高 。防火墻可以完成以下具體任務:-通過源地址過濾,拒絕外部非法ip地址,有效避免外部網(wǎng)絡上與業(yè)務無關(guān)的主機的越權(quán)訪問;-防火墻可以只保留有用的服務,將其他不需要的服務關(guān)閉,這樣做可以將系統(tǒng)受攻擊的可能性降低到最小限度,使黑客無機可乘;-同樣,防火墻可以制定訪問策略,只有被授權(quán)的外部主機可以訪問內(nèi)部網(wǎng)絡的有限ip地址,保證外部網(wǎng)絡只能訪問內(nèi)部網(wǎng)絡中的必要資源,與業(yè)務無關(guān)的操作將被拒絕;-由于外部網(wǎng)絡對內(nèi)部網(wǎng)絡的所有訪問都要經(jīng)過防火墻,所以防火墻可以全面監(jiān)視外部網(wǎng)絡對內(nèi)部網(wǎng)絡的訪問活動,并進行詳細的記錄,通過分析可以得出可疑的攻擊行為;-另外,由于安裝了防火墻后,網(wǎng)絡的安全策略由防火墻集中管理,因此,黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權(quán)限的目的,而直接攻擊防火墻幾乎是不可能的。-防火墻可以進行地址轉(zhuǎn)換工作,使外部網(wǎng)絡用戶不能看到內(nèi)部網(wǎng)絡的結(jié)構(gòu),使黑客攻擊失去目標。3.應用入侵檢測技術(shù)及時發(fā)現(xiàn)攻擊苗頭應用防火墻技術(shù),經(jīng)過細致的系統(tǒng)配置,通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡保護,降低網(wǎng)絡的安全風險。但是,僅僅使用防火墻、網(wǎng)絡安全還遠遠不夠。因為:(1)入侵者可能尋找到防火墻背后敞開的后門;(2)入侵者可能就在防火墻內(nèi);(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡安全技術(shù),目的是提供實時的入侵檢測及采取相應的防護手段,如記錄證據(jù)用于跟蹤和恢復、斷開網(wǎng)絡連接等。實時入侵檢測能力之所以重要是因為它能夠?qū)Ω秮碜詢?nèi)外網(wǎng)絡的攻擊,其次是因為它能夠縮短發(fā)現(xiàn)黑客入侵的時間。4.應用安全掃描技術(shù)主動探測網(wǎng)絡安全漏洞,進行網(wǎng)絡安全評估與安全加固安全掃描技術(shù)是又一類重要的網(wǎng)絡安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)互相配合,能夠有效提高網(wǎng)絡的安全性。通過對網(wǎng)絡的掃描,網(wǎng)絡管理員可以了解網(wǎng)絡的安全配置和運行的應用服務,及時發(fā)現(xiàn)安全漏洞,客觀評估網(wǎng)絡風險等級。網(wǎng)絡管理員可以根據(jù)掃描的結(jié)果及時消除網(wǎng)絡安全漏洞和更正系統(tǒng)中的錯誤配置,在黑客攻擊前進行防范。如果說防火墻和網(wǎng)絡監(jiān)控系統(tǒng)是被動的防御手段,那么安全掃描就是一種主動的防范措施,可以有效避免黑客攻擊行為,做到防患于未然。5.應用網(wǎng)絡安全緊急響應體系,防范安全突發(fā)事件
網(wǎng)絡安全作為一項動態(tài)工程,意味著它的安全程度會隨著時間的變化而發(fā)生改變。在信息技術(shù)日新月異的今天,昔日固若金湯的網(wǎng)絡安全策略,總難免會隨著時間的推進和環(huán)境的變化,而變得不堪一擊。因此,我們需要隨著時間和網(wǎng)絡環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略,并及時組建網(wǎng)絡安全緊急響應體系,專人負責,防范安全突發(fā)事件。 總之,計算機網(wǎng)絡系統(tǒng)的安全工作不是一朝一夕的工作,而是一項長期的任務,需要全體稅務干部的參與和努力,同時要加大投入引進先進技術(shù),建立嚴密的安全防范體系,并在制度上確保該體系功能的實現(xiàn)。
版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權(quán),不承擔相關(guān)法律責任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 yyfangchan@163.com (舉報時請帶上具體的網(wǎng)址) 舉報,一經(jīng)查實,本站將立刻刪除