論算機(jī)系統(tǒng)的安全管理及防治對(duì)策

　　計(jì)算機(jī)安全問題是當(dāng)下熱門問題，今年的3·15晚會(huì)上也重點(diǎn)披露了有關(guān)用戶信息安全等問題。下面這篇文章給我提供了比較好的參考依據(jù)。本篇文章發(fā)表在《計(jì)算機(jī)技術(shù)與發(fā)展》上，該刊原名《微機(jī)發(fā)展》，中國(guó)計(jì)算機(jī)學(xué)會(huì)會(huì)刊，中國(guó)科技核心期刊、中國(guó)科技論文統(tǒng)計(jì)源期刊。中國(guó)學(xué)術(shù)期刊綜合評(píng)價(jià)數(shù)據(jù)庫(kù)統(tǒng)計(jì)源期刊，中國(guó)核心期刊數(shù)據(jù)庫(kù)收錄期刊，中國(guó)期刊全文數(shù)據(jù)庫(kù)收錄期刊，萬方數(shù)據(jù)資源系統(tǒng)數(shù)字化期刊群上網(wǎng)期刊，中國(guó)學(xué)術(shù)期刊(光盤版)全文收錄期刊。中國(guó)計(jì)算機(jī)學(xué)會(huì)和陜西省計(jì)算機(jī)學(xué)會(huì)共同主辦。刊名為著名科學(xué)家胡啟恒院士親筆所提，中國(guó)計(jì)算機(jī)學(xué)會(huì)名譽(yù)理事長(zhǎng)張效祥院士寫了創(chuàng)刊詞。1991年創(chuàng)刊，國(guó)內(nèi)統(tǒng)一刊號(hào)CN61-1450/TP，國(guó)際刊號(hào):ISSN 1673-629X。

　　摘要：從計(jì)算機(jī)系統(tǒng)安全運(yùn)行方面分析了計(jì)算機(jī)漏洞產(chǎn)生的原因，討論了漏洞對(duì)互聯(lián)網(wǎng)安全產(chǎn)生了多方面嚴(yán)重危害，提出了計(jì)算機(jī)用戶面必須及時(shí)采取措施來解決和防范系統(tǒng)漏洞。

　　關(guān)鍵詞：系統(tǒng)安全 安全管理 解決對(duì)策

　　1.加強(qiáng)安全制度的建立和落實(shí)

　　1.1制度建設(shè)是安全前提。通過推行標(biāo)準(zhǔn)化管理，克服傳統(tǒng)管理中憑借個(gè)人的主觀意志驅(qū)動(dòng)管理模式。標(biāo)準(zhǔn)化管理最大的好處是它推行的法治而不是人治，不會(huì)因?yàn)槿藛T的去留而改變，先進(jìn)的管理方法和經(jīng)驗(yàn)可以得到很好的繼承。各單位要根據(jù)本單位的實(shí)際情況和所采用的技術(shù)條件，參照有關(guān)的法規(guī)、條例和其他單位的版本，制定出切實(shí)可行又比較全面的各類安全管理制度。主要有：操作安全管理制度、場(chǎng)地與實(shí)施安全管理制度、設(shè)備安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫(kù)安全管理制度、計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度、軟件安全管理制度、密鑰安全管理制度、計(jì)算機(jī)病毒防治管理制度等。并制定以下規(guī)范：

　　1.2制定計(jì)算機(jī)系統(tǒng)硬件采購(gòu)規(guī)范。系統(tǒng)使用的關(guān)鍵設(shè)備服務(wù)器、路由器、交換機(jī)、防火墻、ups、關(guān)鍵工作站，都應(yīng)統(tǒng)一選型和采購(gòu)，對(duì)新產(chǎn)品、新型號(hào)必須經(jīng)過嚴(yán)格測(cè)試才能上線，保證各項(xiàng)技術(shù)方案的有效貫徹。

　　1.3作系統(tǒng)安裝規(guī)范。包括硬盤分區(qū)、網(wǎng)段名，服務(wù)器名命名規(guī)則、操作系統(tǒng)用戶的命名和權(quán)限、系統(tǒng)參數(shù)配置，力求杜絕安全參數(shù)配置不合理而引發(fā)的技術(shù)風(fēng)險(xiǎn)。

　　1.4問控制列表參數(shù)配置規(guī)范;規(guī)范組網(wǎng)方式，定期對(duì)關(guān)鍵端口進(jìn)行漏洞掃描，對(duì)重要端口進(jìn)行實(shí)時(shí)入侵檢測(cè)。

　　1.5應(yīng)用系統(tǒng)安裝、用戶命名、業(yè)務(wù)權(quán)限設(shè)置規(guī)范。有效防止因業(yè)務(wù)操作權(quán)限授權(quán)沒有實(shí)現(xiàn)崗位間的相互制約、相互監(jiān)督所造成的風(fēng)險(xiǎn)。

　　1.6備份管理規(guī)范，包括備份類型、備份策略、備份保管、備份檢查，保證了數(shù)據(jù)備份工作真正落到實(shí)處。制度落實(shí)是安全保證。制度建設(shè)重要的是落實(shí)和監(jiān)督。尤其是在一些細(xì)小的環(huán)節(jié)上更要注意，如系統(tǒng)管理員應(yīng)定期及時(shí)審查系統(tǒng)日志和記錄。重要崗位人員調(diào)離時(shí)，應(yīng)及時(shí)注銷用戶，并更換業(yè)務(wù)系統(tǒng)的口令和密鑰，移交全部技術(shù)資料。應(yīng)成立由主管領(lǐng)導(dǎo)為組長(zhǎng)的計(jì)算機(jī)安全運(yùn)行領(lǐng)導(dǎo)小組，凡是涉及到安全問題，大事小事有人抓、有人管、有專人落實(shí)。使問題得到及時(shí)發(fā)現(xiàn)、及時(shí)處理、及時(shí)上報(bào)，隱患能及時(shí)預(yù)防和消除，有效保證系統(tǒng)的安全穩(wěn)定運(yùn)行。

　　2.息化建設(shè)進(jìn)行綜合性的長(zhǎng)遠(yuǎn)規(guī)劃

　　計(jì)算機(jī)發(fā)展到今天，已經(jīng)是一個(gè)門類繁多復(fù)雜的電子系統(tǒng)，各部分設(shè)備能否正常運(yùn)行直接關(guān)系到計(jì)算機(jī)系統(tǒng)的安全。從設(shè)備的選型開始就應(yīng)考慮到它們的高可靠性、容錯(cuò)性、備份轉(zhuǎn)換的即時(shí)性和故障后的恢復(fù)功能。同時(shí)，針對(duì)計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)化、復(fù)雜化，計(jì)算機(jī)系統(tǒng)故障的影響范圍大的現(xiàn)實(shí)，對(duì)主機(jī)、磁盤機(jī)、通信控制、磁帶機(jī)、磁帶庫(kù)、不間斷電源、機(jī)房空調(diào)、機(jī)房消防滅火系統(tǒng)等重要設(shè)備采取雙備份制或其他容錯(cuò)技術(shù)措施，以降低故障影響，迅速恢復(fù)生產(chǎn)系統(tǒng)的正常運(yùn)行。

　　3.全體稅務(wù)干部計(jì)算機(jī)系統(tǒng)安全意識(shí)

　　提高安全意識(shí)是安全關(guān)鍵。計(jì)算機(jī)系統(tǒng)的安全工作是一項(xiàng)經(jīng)常性、長(zhǎng)期性的工作，而事故和案件卻不是經(jīng)常發(fā)生的，尤其是當(dāng)處于一些業(yè)務(wù)緊張或遇到較難處理的大問題時(shí)，容易忽略或“破例”對(duì)待安全問題，給計(jì)算機(jī)系統(tǒng)帶來隱患。要強(qiáng)化工作人員的安全教育和法制教育，真正認(rèn)識(shí)到計(jì)算機(jī)系統(tǒng)安全的重要性和解決這一問題的長(zhǎng)期性、艱巨性及復(fù)雜性。決不能有依賴于先進(jìn)技術(shù)和先進(jìn)產(chǎn)品的思想。技術(shù)的先進(jìn)永遠(yuǎn)是相對(duì)的。俗話說：“道高一尺，魔高一丈”，今天有矛，明天就有盾。安全工作始終在此消彼長(zhǎng)的動(dòng)態(tài)過程中進(jìn)行。只有依靠人的安全意識(shí)和主觀能動(dòng)性，才能不斷地發(fā)現(xiàn)新的問題，不斷地找出解決問題的對(duì)策。要將計(jì)算機(jī)系統(tǒng)安全工作融入正常的信息化建設(shè)工作中去，在規(guī)劃、設(shè)計(jì)、開發(fā)、使用每一個(gè)過程中都能得到具體的體現(xiàn)和貫徹，以確保計(jì)算機(jī)系統(tǒng)的安全運(yùn)行。

　　4.什么是漏洞

　　也叫脆弱性(Vulnerability)，是計(jì)算機(jī)系統(tǒng)在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷和不足。漏洞一旦被發(fā)現(xiàn)，就可使用這個(gè)漏洞獲得計(jì)算機(jī)系統(tǒng)的額外權(quán)限，使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)，從而導(dǎo)致危害計(jì)算機(jī)系統(tǒng)安全。

　　從概念上理解計(jì)算機(jī)系統(tǒng)漏洞只是文字意義，現(xiàn)在舉個(gè)現(xiàn)實(shí)中的實(shí)例讓你更能透徹理解到底什么是計(jì)算機(jī)系統(tǒng)漏洞。

　　如今用電子商務(wù)支付是非常方便快捷的交易方式，很多人都開通了網(wǎng)上銀行坐在家里通過計(jì)算機(jī) 網(wǎng)絡(luò) 可以進(jìn)行各項(xiàng)業(yè)務(wù)的辦理。如果一個(gè)人在使用網(wǎng)上銀行交易的過程中，如果計(jì)算機(jī)本身安全系統(tǒng)不健全，這時(shí)黑客就可以通過您的計(jì)算機(jī)系統(tǒng)漏洞把病毒植入計(jì)算機(jī)中竊取您銀行卡的賬號(hào)和密碼，那么存款在瞬間就會(huì)被黑客轉(zhuǎn)走，您的存款無形中已被竊走。發(fā)生的這一切都是黑客通過網(wǎng)絡(luò)系統(tǒng)遠(yuǎn)程在操作。有了系統(tǒng)漏洞無疑計(jì)算機(jī)系統(tǒng)安全就得不到保障。

　　5. 漏洞對(duì)計(jì)算機(jī)系統(tǒng)的影響

　　從計(jì)算機(jī)系統(tǒng)軟件編寫完成開始運(yùn)行的那刻起，計(jì)算機(jī)系統(tǒng)漏洞也就伴隨著就產(chǎn)生了。計(jì)算機(jī)系統(tǒng)軟件分為操作系統(tǒng)軟件和應(yīng)用系統(tǒng)軟件，因此相對(duì)應(yīng)也就有系統(tǒng)軟件漏洞和應(yīng)用系統(tǒng)軟件漏洞。下面分別對(duì)這兩種漏洞對(duì)計(jì)算機(jī)系統(tǒng)的影響進(jìn)行。首先分析一下系統(tǒng)軟件漏洞對(duì)計(jì)算機(jī)系統(tǒng)的影響。主要是對(duì)windows操作系統(tǒng)常見的若干漏洞分析。

　　(1)UPNP服務(wù)漏洞。此漏洞允許攻擊者執(zhí)行任意指令。Windows操作系統(tǒng)默認(rèn)啟動(dòng)的UPNP服務(wù)存在嚴(yán)重漏洞。UPNP(Universal Plug and Play)體系面向無線設(shè)備、PC機(jī)和智能應(yīng)用，提供普遍的對(duì)等網(wǎng)絡(luò)連接，在家用信息設(shè)備、辦公用間提供TCP/IP連接和Web訪問功能，該服務(wù)可用于檢測(cè)和集成UPNP硬件。UPNP存在漏洞，使攻擊者可非法獲取任何XP的系統(tǒng)級(jí)訪問、進(jìn)行攻擊，還可通過控制多臺(tái)XP機(jī)器發(fā)起分布式的攻擊。

　　(2)幫助和支持中心漏洞。此漏洞可以刪除用戶系統(tǒng)的文件。幫助和支持中心提供集成工具，用戶通過該工具獲取針對(duì)各種主題的幫助和支持。在目前版本的Windows XP幫助和支持中心存在漏洞，該漏洞使攻擊者可跳過特殊的網(wǎng)頁(yè)(在打開該網(wǎng)頁(yè)時(shí)，調(diào)用錯(cuò)誤的函數(shù)，并將存在的文件或文件夾的名字作為參數(shù)傳送)來使上傳文件或文件夾的操作失敗，隨后該網(wǎng)頁(yè)可在網(wǎng)站上公布，以攻擊訪問該網(wǎng)站的用戶或被作為郵件傳播來攻擊。該漏洞除使攻擊者可刪除文件外，不會(huì)賦予其他權(quán)利，攻擊者既無法獲取系統(tǒng)管理員的權(quán)限，也無法讀取或修改文件。

　　(3)RDP信息泄露并拒絕服務(wù)漏洞。Windows操作系統(tǒng)通過RDP(Remote Data Protocol)為客戶端提供遠(yuǎn)程終端會(huì)話。RDP將終端會(huì)話的相關(guān)硬件信息傳送至遠(yuǎn)程客戶端，其漏洞如下所述：①與某些RDP版本的會(huì)話加密實(shí)現(xiàn)有關(guān)的漏洞。所有RDP實(shí)現(xiàn)均允許對(duì)RDP會(huì)話中的數(shù)據(jù)進(jìn)行加密，然而在Windows 2000和Windows XP版本中，純文本會(huì)話數(shù)據(jù)的校驗(yàn)在發(fā)送前并未經(jīng)過加密，竊聽并記錄RDP會(huì)話的攻擊者可對(duì)該校驗(yàn)密碼分析攻擊并覆蓋該會(huì)話傳輸。②與Windwos XP中的RDP實(shí)現(xiàn)對(duì)某些不正確的數(shù)據(jù)包處理方法有關(guān)的漏洞。當(dāng)接收這些數(shù)據(jù)包時(shí)，遠(yuǎn)程桌面服務(wù)將會(huì)失效，同時(shí)也會(huì)導(dǎo)致操作系統(tǒng)失效。攻擊者只需向一個(gè)已受影響的系統(tǒng)發(fā)送這類數(shù)據(jù)包時(shí)，并不需經(jīng)過系統(tǒng)驗(yàn)證。

　　(4)VM漏洞。此漏洞可能造成信息泄露，并執(zhí)行攻擊者的代碼。攻擊者可通過向JDBC類傳送無效的參數(shù)使宿主應(yīng)用程序崩潰，攻擊者需在網(wǎng)站上擁有惡意的applet并引誘用戶訪問該站點(diǎn)。惡意用戶可在用戶機(jī)器上安裝任意DLL，并執(zhí)行任意的本機(jī)代碼，潛在地破壞或讀取內(nèi)存數(shù)據(jù)。

　　(5)帳號(hào)快速切換漏洞。Windows操作系統(tǒng)快速帳號(hào)切換功能存在問題，可被造成帳號(hào)鎖定，使所有非管理員帳號(hào)均無法登錄。Windows操作系統(tǒng)設(shè)計(jì)了帳號(hào)快速切換功能，使用戶可快速地在不同的帳號(hào)間切換，但其設(shè)計(jì)存在問題，可被用于造成帳號(hào)鎖定，使所有非管理員帳號(hào)均無法登錄。配合帳號(hào)鎖定功能，用戶可利用帳號(hào)快速切換功能，快速重試登錄另一個(gè)用戶名，系統(tǒng)則會(huì)認(rèn)為判別為暴力破解，從而導(dǎo)致非管理員帳號(hào)鎖定。

　　6.結(jié)語

　　總之，在互聯(lián)網(wǎng)信息發(fā)達(dá)的年代，每一臺(tái)運(yùn)行的計(jì)算機(jī)背后總有計(jì)算機(jī)系統(tǒng)漏洞時(shí)時(shí)刻刻在威脅著計(jì)算機(jī)系統(tǒng)的安全運(yùn)行。作為一名 網(wǎng)絡(luò) 用戶，當(dāng)在你瀏覽網(wǎng)頁(yè)，觀看視頻、圖片及傳送文件資料的同時(shí)一定要把計(jì)算機(jī)系統(tǒng)的安全因素提前考慮：安裝殺毒軟件，更新病毒庫(kù)，系統(tǒng)漏洞掃描，及時(shí)安裝補(bǔ)丁軟件等等，查漏補(bǔ)缺，防患未然。