論算機系統(tǒng)的安全管理及防治對策
簡要:從計算機系統(tǒng)安全運行方面分析了計算機漏洞產(chǎn)生的原因�����,討論了漏洞對互聯(lián)網(wǎng)安全產(chǎn)生了多方面嚴重危害���,提出了計算機用戶面必須及時采取措施來解決和防范系統(tǒng)漏洞�。
計算機安全問題是當(dāng)下熱門問題���,今年的3·15晚會上也重點披露了有關(guān)用戶信息安全等問題�。下面這篇文章給我提供了比較好的參考依據(jù)。本篇文章發(fā)表在《計算機技術(shù)與發(fā)展》上��,該刊原名《微機發(fā)展》�,中國計算機學(xué)會會刊,中國科技核心期刊�、中國科技論文統(tǒng)計源期刊。中國學(xué)術(shù)期刊綜合評價數(shù)據(jù)庫統(tǒng)計源期刊,中國核心期刊數(shù)據(jù)庫收錄期刊,中國期刊全文數(shù)據(jù)庫收錄期刊���,萬方數(shù)據(jù)資源系統(tǒng)數(shù)字化期刊群上網(wǎng)期刊,中國學(xué)術(shù)期刊(光盤版)全文收錄期刊。中國計算機學(xué)會和陜西省計算機學(xué)會共同主辦�����。刊名為著名科學(xué)家胡啟恒院士親筆所提,中國計算機學(xué)會名譽理事長張效祥院士寫了創(chuàng)刊詞����。1991年創(chuàng)刊���,國內(nèi)統(tǒng)一刊號CN61-1450/TP�,國際刊號:ISSN 1673-629X��。
摘要:從計算機系統(tǒng)安全運行方面分析了計算機漏洞產(chǎn)生的原因�����,討論了漏洞對互聯(lián)網(wǎng)安全產(chǎn)生了多方面嚴重危害,提出了計算機用戶面必須及時采取措施來解決和防范系統(tǒng)漏洞�����。
關(guān)鍵詞:系統(tǒng)安全 安全管理 解決對策
1.加強安全制度的建立和落實
1.1制度建設(shè)是安全前提�。通過推行標準化管理,克服傳統(tǒng)管理中憑借個人的主觀意志驅(qū)動管理模式���。標準化管理最大的好處是它推行的法治而不是人治,不會因為人員的去留而改變���,先進的管理方法和經(jīng)驗可以得到很好的繼承。各單位要根據(jù)本單位的實際情況和所采用的技術(shù)條件,參照有關(guān)的法規(guī)�����、條例和其他單位的版本���,制定出切實可行又比較全面的各類安全管理制度��。主要有:操作安全管理制度、場地與實施安全管理制度��、設(shè)備安全管理制度��、操作系統(tǒng)和數(shù)據(jù)庫安全管理制度�、計算機網(wǎng)絡(luò)安全管理制度�、軟件安全管理制度、密鑰安全管理制度�����、計算機病毒防治管理制度等����。并制定以下規(guī)范:
1.2制定計算機系統(tǒng)硬件采購規(guī)范。系統(tǒng)使用的關(guān)鍵設(shè)備服務(wù)器、路由器、交換機��、防火墻�����、ups����、關(guān)鍵工作站�,都應(yīng)統(tǒng)一選型和采購,對新產(chǎn)品��、新型號必須經(jīng)過嚴格測試才能上線���,保證各項技術(shù)方案的有效貫徹�。
1.3作系統(tǒng)安裝規(guī)范�����。包括硬盤分區(qū)�����、網(wǎng)段名,服務(wù)器名命名規(guī)則����、操作系統(tǒng)用戶的命名和權(quán)限��、系統(tǒng)參數(shù)配置��,力求杜絕安全參數(shù)配置不合理而引發(fā)的技術(shù)風(fēng)險。
1.4問控制列表參數(shù)配置規(guī)范;規(guī)范組網(wǎng)方式����,定期對關(guān)鍵端口進行漏洞掃描���,對重要端口進行實時入侵檢測�����。
1.5應(yīng)用系統(tǒng)安裝、用戶命名����、業(yè)務(wù)權(quán)限設(shè)置規(guī)范�。有效防止因業(yè)務(wù)操作權(quán)限授權(quán)沒有實現(xiàn)崗位間的相互制約����、相互監(jiān)督所造成的風(fēng)險���。
1.6備份管理規(guī)范�����,包括備份類型�、備份策略���、備份保管�、備份檢查,保證了數(shù)據(jù)備份工作真正落到實處��。制度落實是安全保證����。制度建設(shè)重要的是落實和監(jiān)督。尤其是在一些細小的環(huán)節(jié)上更要注意����,如系統(tǒng)管理員應(yīng)定期及時審查系統(tǒng)日志和記錄�。重要崗位人員調(diào)離時�,應(yīng)及時注銷用戶,并更換業(yè)務(wù)系統(tǒng)的口令和密鑰�,移交全部技術(shù)資料����。應(yīng)成立由主管領(lǐng)導(dǎo)為組長的計算機安全運行領(lǐng)導(dǎo)小組���,凡是涉及到安全問題��,大事小事有人抓���、有人管��、有專人落實�����。使問題得到及時發(fā)現(xiàn)����、及時處理�����、及時上報��,隱患能及時預(yù)防和消除,有效保證系統(tǒng)的安全穩(wěn)定運行。
2.息化建設(shè)進行綜合性的長遠規(guī)劃
計算機發(fā)展到今天���,已經(jīng)是一個門類繁多復(fù)雜的電子系統(tǒng),各部分設(shè)備能否正常運行直接關(guān)系到計算機系統(tǒng)的安全��。從設(shè)備的選型開始就應(yīng)考慮到它們的高可靠性、容錯性、備份轉(zhuǎn)換的即時性和故障后的恢復(fù)功能�����。同時����,針對計算機系統(tǒng)網(wǎng)絡(luò)化、復(fù)雜化,計算機系統(tǒng)故障的影響范圍大的現(xiàn)實,對主機、磁盤機��、通信控制���、磁帶機����、磁帶庫���、不間斷電源���、機房空調(diào)��、機房消防滅火系統(tǒng)等重要設(shè)備采取雙備份制或其他容錯技術(shù)措施���,以降低故障影響��,迅速恢復(fù)生產(chǎn)系統(tǒng)的正常運行。
3.全體稅務(wù)干部計算機系統(tǒng)安全意識
提高安全意識是安全關(guān)鍵����。計算機系統(tǒng)的安全工作是一項經(jīng)常性�、長期性的工作��,而事故和案件卻不是經(jīng)常發(fā)生的�,尤其是當(dāng)處于一些業(yè)務(wù)緊張或遇到較難處理的大問題時��,容易忽略或“破例”對待安全問題����,給計算機系統(tǒng)帶來隱患��。要強化工作人員的安全教育和法制教育���,真正認識到計算機系統(tǒng)安全的重要性和解決這一問題的長期性�����、艱巨性及復(fù)雜性。決不能有依賴于先進技術(shù)和先進產(chǎn)品的思想�����。技術(shù)的先進永遠是相對的�����。俗話說:“道高一尺,魔高一丈”���,今天有矛,明天就有盾����。安全工作始終在此消彼長的動態(tài)過程中進行����。只有依靠人的安全意識和主觀能動性�,才能不斷地發(fā)現(xiàn)新的問題,不斷地找出解決問題的對策�。要將計算機系統(tǒng)安全工作融入正常的信息化建設(shè)工作中去�,在規(guī)劃�����、設(shè)計�、開發(fā)���、使用每一個過程中都能得到具體的體現(xiàn)和貫徹,以確保計算機系統(tǒng)的安全運行����。
4.什么是漏洞
也叫脆弱性(Vulnerability)��,是計算機系統(tǒng)在硬件、軟件�、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷和不足�����。漏洞一旦被發(fā)現(xiàn)��,就可使用這個漏洞獲得計算機系統(tǒng)的額外權(quán)限���,使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)�����,從而導(dǎo)致危害計算機系統(tǒng)安全。
從概念上理解計算機系統(tǒng)漏洞只是文字意義��,現(xiàn)在舉個現(xiàn)實中的實例讓你更能透徹理解到底什么是計算機系統(tǒng)漏洞���。
如今用電子商務(wù)支付是非常方便快捷的交易方式�,很多人都開通了網(wǎng)上銀行坐在家里通過計算機 網(wǎng)絡(luò) 可以進行各項業(yè)務(wù)的辦理。如果一個人在使用網(wǎng)上銀行交易的過程中,如果計算機本身安全系統(tǒng)不健全�����,這時黑客就可以通過您的計算機系統(tǒng)漏洞把病毒植入計算機中竊取您銀行卡的賬號和密碼����,那么存款在瞬間就會被黑客轉(zhuǎn)走,您的存款無形中已被竊走。發(fā)生的這一切都是黑客通過網(wǎng)絡(luò)系統(tǒng)遠程在操作。有了系統(tǒng)漏洞無疑計算機系統(tǒng)安全就得不到保障���。
5. 漏洞對計算機系統(tǒng)的影響
從計算機系統(tǒng)軟件編寫完成開始運行的那刻起,計算機系統(tǒng)漏洞也就伴隨著就產(chǎn)生了�。計算機系統(tǒng)軟件分為操作系統(tǒng)軟件和應(yīng)用系統(tǒng)軟件�,因此相對應(yīng)也就有系統(tǒng)軟件漏洞和應(yīng)用系統(tǒng)軟件漏洞�。下面分別對這兩種漏洞對計算機系統(tǒng)的影響進行。首先分析一下系統(tǒng)軟件漏洞對計算機系統(tǒng)的影響�。主要是對windows操作系統(tǒng)常見的若干漏洞分析���。
(1)UPNP服務(wù)漏洞。此漏洞允許攻擊者執(zhí)行任意指令。Windows操作系統(tǒng)默認啟動的UPNP服務(wù)存在嚴重漏洞����。UPNP(Universal Plug and Play)體系面向無線設(shè)備��、PC機和智能應(yīng)用,提供普遍的對等網(wǎng)絡(luò)連接��,在家用信息設(shè)備����、辦公用間提供TCP/IP連接和Web訪問功能,該服務(wù)可用于檢測和集成UPNP硬件���。UPNP存在漏洞,使攻擊者可非法獲取任何XP的系統(tǒng)級訪問�����、進行攻擊�����,還可通過控制多臺XP機器發(fā)起分布式的攻擊����。
(2)幫助和支持中心漏洞��。此漏洞可以刪除用戶系統(tǒng)的文件��。幫助和支持中心提供集成工具,用戶通過該工具獲取針對各種主題的幫助和支持��。在目前版本的Windows XP幫助和支持中心存在漏洞��,該漏洞使攻擊者可跳過特殊的網(wǎng)頁(在打開該網(wǎng)頁時�,調(diào)用錯誤的函數(shù),并將存在的文件或文件夾的名字作為參數(shù)傳送)來使上傳文件或文件夾的操作失敗,隨后該網(wǎng)頁可在網(wǎng)站上公布��,以攻擊訪問該網(wǎng)站的用戶或被作為郵件傳播來攻擊�����。該漏洞除使攻擊者可刪除文件外,不會賦予其他權(quán)利��,攻擊者既無法獲取系統(tǒng)管理員的權(quán)限����,也無法讀取或修改文件。
(3)RDP信息泄露并拒絕服務(wù)漏洞�。Windows操作系統(tǒng)通過RDP(Remote Data Protocol)為客戶端提供遠程終端會話�����。RDP將終端會話的相關(guān)硬件信息傳送至遠程客戶端,其漏洞如下所述:①與某些RDP版本的會話加密實現(xiàn)有關(guān)的漏洞�。所有RDP實現(xiàn)均允許對RDP會話中的數(shù)據(jù)進行加密��,然而在Windows 2000和Windows XP版本中,純文本會話數(shù)據(jù)的校驗在發(fā)送前并未經(jīng)過加密����,竊聽并記錄RDP會話的攻擊者可對該校驗密碼分析攻擊并覆蓋該會話傳輸����。②與Windwos XP中的RDP實現(xiàn)對某些不正確的數(shù)據(jù)包處理方法有關(guān)的漏洞�。當(dāng)接收這些數(shù)據(jù)包時,遠程桌面服務(wù)將會失效�����,同時也會導(dǎo)致操作系統(tǒng)失效����。攻擊者只需向一個已受影響的系統(tǒng)發(fā)送這類數(shù)據(jù)包時,并不需經(jīng)過系統(tǒng)驗證����。
(4)VM漏洞。此漏洞可能造成信息泄露����,并執(zhí)行攻擊者的代碼���。攻擊者可通過向JDBC類傳送無效的參數(shù)使宿主應(yīng)用程序崩潰�����,攻擊者需在網(wǎng)站上擁有惡意的applet并引誘用戶訪問該站點。惡意用戶可在用戶機器上安裝任意DLL,并執(zhí)行任意的本機代碼�,潛在地破壞或讀取內(nèi)存數(shù)據(jù)����。
(5)帳號快速切換漏洞���。Windows操作系統(tǒng)快速帳號切換功能存在問題�����,可被造成帳號鎖定����,使所有非管理員帳號均無法登錄���。Windows操作系統(tǒng)設(shè)計了帳號快速切換功能��,使用戶可快速地在不同的帳號間切換��,但其設(shè)計存在問題���,可被用于造成帳號鎖定,使所有非管理員帳號均無法登錄。配合帳號鎖定功能�,用戶可利用帳號快速切換功能�����,快速重試登錄另一個用戶名,系統(tǒng)則會認為判別為暴力破解,從而導(dǎo)致非管理員帳號鎖定�。
6.結(jié)語
總之�,在互聯(lián)網(wǎng)信息發(fā)達的年代���,每一臺運行的計算機背后總有計算機系統(tǒng)漏洞時時刻刻在威脅著計算機系統(tǒng)的安全運行����。作為一名 網(wǎng)絡(luò) 用戶,當(dāng)在你瀏覽網(wǎng)頁���,觀看視頻、圖片及傳送文件資料的同時一定要把計算機系統(tǒng)的安全因素提前考慮:安裝殺毒軟件�,更新病毒庫���,系統(tǒng)漏洞掃描����,及時安裝補丁軟件等等����,查漏補缺,防患未然。
