萬為軍 江西旅游商貿(mào)職業(yè)學(xué)院 330100

常用電腦系統(tǒng)的安全分析及防護(hù)策略

萬為軍 江西旅游商貿(mào)職業(yè)學(xué)院 330100

計算機(jī)系統(tǒng)安全問題主要存在于互聯(lián)網(wǎng)、操作系統(tǒng)及應(yīng)用軟件之中,也存在于數(shù)據(jù)輸入、加工、存儲、傳輸?shù)拳h(huán)節(jié)上。安全措施包括樹立安全意識、提高數(shù)據(jù)保險系數(shù)、加強(qiáng)管理、提高計算機(jī)操作人員的素質(zhì)等方面。

信息安全;計算機(jī)系統(tǒng);加密

1 電腦數(shù)據(jù)安全問題現(xiàn)狀

隨著計算機(jī)的普及,一些重要單位如政府機(jī)關(guān)、部隊、公司財務(wù)和人事部門已經(jīng)越來越依賴于計算機(jī)。而針對那些可能是極其重要的電腦數(shù)據(jù)卻幾乎沒有任何安全措施,前不久,國家安全局在網(wǎng)上監(jiān)測,很容易就發(fā)現(xiàn)某部有人用裝有重要軍事資料的筆記本電腦在上網(wǎng);安全局在某部駐地附近的電腦廣告公司和印刷廠的電腦內(nèi)還發(fā)現(xiàn)存儲有大量的部隊涉密信息。毫無疑問,在不太遠(yuǎn)的將來,計算機(jī)的普及程度會比現(xiàn)在有更大的提高,這種普及將會產(chǎn)生兩個方面的效應(yīng):其一,單位的日常運(yùn)轉(zhuǎn)會幾乎完全依賴于計算機(jī),各種重要數(shù)據(jù)如工資檔案、財務(wù)報表、人事資料等將全部保存在計算機(jī)的硬盤中;其二,大多數(shù)人對計算機(jī)的知識了解更加全面,有更多的計算機(jī)技術(shù)水平較高的人可以采用種種手段非法操作計算機(jī)。這樣在數(shù)據(jù)安全方面實(shí)際上就潛伏著重大隱患,裝有重要數(shù)據(jù)的電腦越來越多,人們接觸它的機(jī)會就會變多,而一些別有用心的人通過不正當(dāng)?shù)氖侄尾殚啞⑿薷?、破壞硬盤數(shù)據(jù)的可能性也就越大?？梢哉f,不必使用很多人手,從鍵盤輸入幾個簡單命令就有可能使一個重要部門陷入混亂,蒙受重大損失。因此,應(yīng)該大力加強(qiáng)安全意識,組織有關(guān)人員對計算機(jī)在具體工作中的安全問題做深入、全面、科學(xué)的研究。如果安全意識以及對計算機(jī)數(shù)據(jù)安全問題的認(rèn)識還停留在今天的水平上,總有一天我們要為計算機(jī)安全問題付出代價。關(guān)于計算機(jī)安全的理論已有不少專著,《解放軍報》還開辟專欄對計算機(jī)系統(tǒng)安全問題進(jìn)行了比較全面的介紹。本文針對目前我國單位辦公系統(tǒng)中使用計算機(jī)的具體情況,分析了人為侵犯計算機(jī)數(shù)據(jù)安全的行為、手段以及數(shù)據(jù)安全易受威脅的環(huán)節(jié),并從技術(shù)、管理等方面提出了防護(hù)對策。

2 常見的計算機(jī)信息資源泄密的途徑

1)電磁輻射泄密。計算機(jī)設(shè)備工作時輻射出電磁波,任何人都可以借助儀器設(shè)備在一定范圍內(nèi)收到它,尤其是利用高靈敏度的儀器可以穩(wěn)定、清晰地看到計算機(jī)正在處理的信息。另外,網(wǎng)絡(luò)端口、傳輸線路等都有可能因屏蔽不嚴(yán)或未加屏蔽而造成電磁泄漏。實(shí)驗(yàn)表明,未加控制的電腦設(shè)施開始工作后,用普通電腦加上截線裝置,可以在1km內(nèi)抄收其內(nèi)容。

2)通信線路泄密。計算機(jī)需要借助電纜(雙絞線或同軸電纜)、光纜、微波、電話線甚至衛(wèi)星設(shè)備等的介質(zhì)進(jìn)行數(shù)據(jù)傳輸。從技術(shù)上講,所有這些傳輸線路都可能被竊聽。對電纜的竊聽方式可分為接觸式和非接觸式。接觸式的竊聽就是在通信線路上搭接偵聽設(shè)備獲取傳輸信息。而通過運(yùn)用高靈敏度的電磁感應(yīng)器接收設(shè)備拾取電磁感應(yīng)或電磁輻射信號就可以實(shí)現(xiàn)非接觸式竊聽。無線傳輸可以用天線接收,96年俄羅斯軍方就是通過偵聽衛(wèi)星移動電話而將車臣反政府武裝頭目杜達(dá)耶夫用導(dǎo)彈擊斃的。至于光纜,其薄弱環(huán)節(jié)在于轉(zhuǎn)接器和分路器。所以,實(shí)際上沒有絕對安全的傳輸線路。

3)網(wǎng)絡(luò)管理不善泄密。雖然黑客、病毒是網(wǎng)絡(luò)信息安全的兩大殺手,然而最主要的安全威脅還是來自內(nèi)部。網(wǎng)絡(luò)管理人員由于技術(shù)不精或責(zé)任心不強(qiáng),對網(wǎng)絡(luò)系統(tǒng)未進(jìn)行必要的安全配置和管理,對網(wǎng)上信息缺乏嚴(yán)密的監(jiān)控;工作人員違反安全保密規(guī)定和操作規(guī)程;個人擅自將單位微機(jī)掛接互聯(lián)網(wǎng);用戶不注意對系統(tǒng)進(jìn)行口令保護(hù),不設(shè)口令或使用很容易猜到的口令,使入侵者輕易冒充合法用戶進(jìn)入系統(tǒng),造成泄密的事實(shí)不勝枚舉。

4)廢棄存儲器泄密。存儲介質(zhì)中的信息被擦除后有時仍會留下可讀信息的痕跡。另外,在大多數(shù)的信息系統(tǒng)中,刪除文件僅僅是刪掉文件名,而原文還原封不動地保留在存儲介質(zhì)中,一旦被利用,就會泄密。計算機(jī)的數(shù)據(jù)都是存儲在軟盤、硬盤、光盤、磁帶等外部存儲介質(zhì)上的,當(dāng)這些設(shè)備報廢時很可能只是局部物理損壞,對它們作一些特殊技術(shù)處理便可以獲取其內(nèi)部的幾乎所有數(shù)據(jù),而這些數(shù)據(jù)可能是十分完整和精確的。

3 需要注意的數(shù)據(jù)安全的其他環(huán)節(jié)

3.1 專用軟件委托開發(fā)

某個部門需要一個專用軟件時,通常都不是自行開發(fā),而是委托另外一些專業(yè)人員代為開發(fā)。軟件開發(fā)過程需要雙方的合作,在這一環(huán)節(jié)上如果處理不好,該部門的現(xiàn)有數(shù)據(jù)對軟件開發(fā)者可能是全面開放的。在這種場合,電腦數(shù)據(jù)所受到的威脅包括被非法讀取和復(fù)制,篡改內(nèi)容,插入偽造數(shù)據(jù),刪除有用數(shù)據(jù)等。

3.2 軟、硬件的維護(hù)

當(dāng)某部門的計算機(jī)出現(xiàn)故障時,工作人員往往要求助于專業(yè)人員實(shí)施維修維護(hù)。在檢測、調(diào)試、修復(fù)計算機(jī)的過程中,硬盤數(shù)據(jù)隨時都會被維護(hù)人員別有目的地訪問。據(jù)報道,有情報機(jī)構(gòu)故意在部隊、政府機(jī)構(gòu)等重要部門附近設(shè)置電腦維修部,伺機(jī)竊取政治、軍事和經(jīng)濟(jì)情報。

3.3 管理環(huán)節(jié)

使用計算機(jī)的部門如果疏于管理,則極容易造成個人以“合法身份”非法訪問電腦數(shù)據(jù)。例如,若某個操作權(quán)限很高的用戶打開機(jī)器后臨時離去,這時“機(jī)會”便出現(xiàn)了。在紙張上修改數(shù)據(jù)會留下痕跡,而在計算機(jī)中改動數(shù)據(jù)可以做到完全不被覺察。另外有的工作人員可能會在下班后將家人、親友帶到辦公室來學(xué)習(xí)、使用計算機(jī)或是玩電腦游戲。甚至有些員工避開公司的防火墻,在電腦上使用調(diào)制解調(diào)器,通過本地的ISP而連接上了國際互聯(lián)網(wǎng),導(dǎo)致企業(yè)局域網(wǎng)內(nèi)部的“后門”暴露出來。這樣的事情顯然使得電腦數(shù)據(jù)始終處在危險之中。

3.4 電腦病毒

計算機(jī)技術(shù)固有的缺陷之一便是病毒問題。已發(fā)現(xiàn)的計算機(jī)病毒有數(shù)千種,它們一般都具有破壞性。當(dāng)病毒發(fā)作時,它既可以破壞計算機(jī)的功能又可以毀壞硬盤數(shù)據(jù)。海灣戰(zhàn)爭前,美國特工將載有“病毒”的芯片裝入計算機(jī)設(shè)備中,通過法國賣給伊拉克軍方,開戰(zhàn)后將“病毒”激活,造成伊軍方的重大損失。曾肆虐一時的CIH更是一個惡性病毒,它甚至可以造成電腦主板失效。

4 防護(hù)策略

4.l樹立安全意識

如上所述,侵犯計算機(jī)數(shù)據(jù)安全的行為具有多樣性,非法人員的攻擊手段往往還具有智能性和隱蔽性。泄密和數(shù)據(jù)破壞都可能造成嚴(yán)重后果。例如在公司財務(wù)管理系統(tǒng)中保存著許多各種密級的技術(shù)、財務(wù)資料,它們一旦數(shù)字化并保存到電腦中,其面臨的威脅就和其他電腦數(shù)據(jù)完全一樣,而這些資料一旦泄密,將對公司的利益造成重大損失。而由于大硬盤的普及,一個普通的硬盤就足以將整個公司的日常數(shù)據(jù)全部包容,它一旦遭到破壞,一般都不大可能通過文字材料來全部恢復(fù),況且恢復(fù)數(shù)據(jù)的工作總是十分艱難的。這樣,丟失數(shù)據(jù)輕則要耽誤工作進(jìn)程,重則會使工作陷于混亂或癱瘓。而政府和部隊的涉密信息更是敵對勢力刻意追求的,因此樹立安全意識已是刻不容緩。

4.2 提高數(shù)據(jù)保險系數(shù)

可以通過數(shù)據(jù)加密、數(shù)據(jù)集中存儲、裝雙硬盤、升級殺毒軟件、經(jīng)常數(shù)據(jù)備份、使用低輻射的顯示器等方法增加數(shù)據(jù)的保險系數(shù)。數(shù)據(jù)加密可限制別人的訪問;數(shù)據(jù)集中存儲可通過公司局域網(wǎng)來實(shí)現(xiàn),各個部門的計算機(jī)可以通過公司網(wǎng)連為一體,形成一個辦公系統(tǒng)子網(wǎng),在子網(wǎng)中運(yùn)行諸如《公司管理系統(tǒng)》或《財務(wù)信息管理系統(tǒng)》這樣的統(tǒng)一管理軟件,所有的數(shù)據(jù)保存在服務(wù)器上,任何人只有得到授權(quán)才能訪問服務(wù)器上的數(shù)據(jù);雙硬盤可大大降低因硬盤故障丟失數(shù)據(jù)的概率;及時升級殺毒軟件可減少因病毒感染造成的損失;經(jīng)常數(shù)據(jù)備份可有效防止數(shù)據(jù)丟失;低輻射的顯示器可有效防止電磁泄漏。

4.3 加強(qiáng)管理

1)機(jī)器的空間管理。計算機(jī)應(yīng)當(dāng)被放置在安全的地方,并且要避免計算機(jī)與易燃、易爆物品為鄰,盡量考慮工作電壓、濕度、溫度、潔凈度、靜電、電磁干擾等環(huán)境因素。還應(yīng)該建立一套完善的規(guī)章制度來指導(dǎo)日常管理,規(guī)定可上機(jī)操作的人員,制訂上機(jī)操作說明書,常備出現(xiàn)故障時的措施及恢復(fù)順序說明書,堅持上機(jī)登記并做好運(yùn)行紀(jì)錄。

2)操作管理。通過采取身份識別來控制操作權(quán)限。

通過超級用戶的管理,不同人員可以獲得不同的操作權(quán)限,而未經(jīng)授權(quán)的無關(guān)人員不能通過網(wǎng)絡(luò)訪問服務(wù)器上的資源。在計算機(jī)需要維護(hù)時,應(yīng)采取相應(yīng)措施保護(hù)數(shù)據(jù),如先對重要數(shù)據(jù)進(jìn)行備份,然后從硬盤上將其抹去,在維護(hù)的過程中工作人員應(yīng)該在場。此外還應(yīng)確保閑雜人員在任何時候都不得上機(jī)操作,不允許自行安裝游戲,也不得操作未經(jīng)安全檢測的外來usb盤、光盤等。另外,針對“網(wǎng)絡(luò)黑客”問題,單位辦公系統(tǒng)與Internet的連接應(yīng)當(dāng)十分謹(jǐn)慎,重要部門不得與外界聯(lián)網(wǎng)。

3)淘汰存儲器的管理。因故障、升級或其他原因而被淘汰下來的存儲器必須被統(tǒng)一銷毀,以免造成泄密。

4)提高計算機(jī)操作員自身的技術(shù)水平。如果使用計算機(jī)的人員具有較高的計算機(jī)操作技能,對一般的軟、硬件產(chǎn)生的故障都能夠獨(dú)立排除,就可以大大減少無關(guān)人員介入的機(jī)會,也就等于是提高了數(shù)據(jù)的安全性。計算機(jī)操作人員應(yīng)該達(dá)到可以熟練地進(jìn)行文件操作、磁盤操作以及應(yīng)用軟件安裝、使用的程度,并能夠識別和排除計算機(jī)的常見故障。通過適當(dāng)?shù)呐嘤?xùn)要達(dá)到這個目的是完全可以的,這也是安全手段中最有效的措施。

10.3969/j.issn.1001-8972.2011.08.080

萬為軍 (1971-)，男，江西南昌人，碩士，江西旅游商貿(mào)職業(yè)學(xué)院 講師 主要從事計算機(jī)教學(xué)。