常用電腦系統的安全分析及防護策略

萬為軍 江西旅游商貿職業學院 330100

常用電腦系統的安全分析及防護策略

萬為軍 江西旅游商貿職業學院 330100

計算機系統安全問題主要存在于互聯網、操作系統及應用軟件之中,也存在于數據輸入、加工、存儲、傳輸等環節上。安全措施包括樹立安全意識、提高數據保險系數、加強管理、提高計算機操作人員的素質等方面。

信息安全;計算機系統;加密

1 電腦數據安全問題現狀

隨著計算機的普及,一些重要單位如政府機關、部隊、公司財務和人事部門已經越來越依賴于計算機。而針對那些可能是極其重要的電腦數據卻幾乎沒有任何安全措施,前不久,國家安全局在網上監測,很容易就發現某部有人用裝有重要軍事資料的筆記本電腦在上網;安全局在某部駐地附近的電腦廣告公司和印刷廠的電腦內還發現存儲有大量的部隊涉密信息。毫無疑問,在不太遠的將來,計算機的普及程度會比現在有更大的提高,這種普及將會產生兩個方面的效應:其一,單位的日常運轉會幾乎完全依賴于計算機,各種重要數據如工資檔案、財務報表、人事資料等將全部保存在計算機的硬盤中;其二,大多數人對計算機的知識了解更加全面,有更多的計算機技術水平較高的人可以采用種種手段非法操作計算機。這樣在數據安全方面實際上就潛伏著重大隱患,裝有重要數據的電腦越來越多,人們接觸它的機會就會變多,而一些別有用心的人通過不正當的手段查閱、修改、破壞硬盤數據的可能性也就越大。可以說,不必使用很多人手,從鍵盤輸入幾個簡單命令就有可能使一個重要部門陷入混亂,蒙受重大損失。因此,應該大力加強安全意識,組織有關人員對計算機在具體工作中的安全問題做深入、全面、科學的研究。如果安全意識以及對計算機數據安全問題的認識還停留在今天的水平上,總有一天我們要為計算機安全問題付出代價。關于計算機安全的理論已有不少專著,《解放軍報》還開辟專欄對計算機系統安全問題進行了比較全面的介紹。本文針對目前我國單位辦公系統中使用計算機的具體情況,分析了人為侵犯計算機數據安全的行為、手段以及數據安全易受威脅的環節,并從技術、管理等方面提出了防護對策。

2 常見的計算機信息資源泄密的途徑

1)電磁輻射泄密。計算機設備工作時輻射出電磁波,任何人都可以借助儀器設備在一定范圍內收到它,尤其是利用高靈敏度的儀器可以穩定、清晰地看到計算機正在處理的信息。另外,網絡端口、傳輸線路等都有可能因屏蔽不嚴或未加屏蔽而造成電磁泄漏。實驗表明,未加控制的電腦設施開始工作后,用普通電腦加上截線裝置,可以在1km內抄收其內容。

2)通信線路泄密。計算機需要借助電纜(雙絞線或同軸電纜)、光纜、微波、電話線甚至衛星設備等的介質進行數據傳輸。從技術上講,所有這些傳輸線路都可能被竊聽。對電纜的竊聽方式可分為接觸式和非接觸式。接觸式的竊聽就是在通信線路上搭接偵聽設備獲取傳輸信息。而通過運用高靈敏度的電磁感應器接收設備拾取電磁感應或電磁輻射信號就可以實現非接觸式竊聽。無線傳輸可以用天線接收,96年俄羅斯軍方就是通過偵聽衛星移動電話而將車臣反政府武裝頭目杜達耶夫用導彈擊斃的。至于光纜,其薄弱環節在于轉接器和分路器。所以,實際上沒有絕對安全的傳輸線路。

3)網絡管理不善泄密。雖然黑客、病毒是網絡信息安全的兩大殺手,然而最主要的安全威脅還是來自內部。網絡管理人員由于技術不精或責任心不強,對網絡系統未進行必要的安全配置和管理,對網上信息缺乏嚴密的監控;工作人員違反安全保密規定和操作規程;個人擅自將單位微機掛接互聯網;用戶不注意對系統進行口令保護,不設口令或使用很容易猜到的口令,使入侵者輕易冒充合法用戶進入系統,造成泄密的事實不勝枚舉。

4)廢棄存儲器泄密。存儲介質中的信息被擦除后有時仍會留下可讀信息的痕跡。另外,在大多數的信息系統中,刪除文件僅僅是刪掉文件名,而原文還原封不動地保留在存儲介質中,一旦被利用,就會泄密。計算機的數據都是存儲在軟盤、硬盤、光盤、磁帶等外部存儲介質上的,當這些設備報廢時很可能只是局部物理損壞,對它們作一些特殊技術處理便可以獲取其內部的幾乎所有數據,而這些數據可能是十分完整和精確的。

3 需要注意的數據安全的其他環節

3.1 專用軟件委托開發

某個部門需要一個專用軟件時,通常都不是自行開發,而是委托另外一些專業人員代為開發。軟件開發過程需要雙方的合作,在這一環節上如果處理不好,該部門的現有數據對軟件開發者可能是全面開放的。在這種場合,電腦數據所受到的威脅包括被非法讀取和復制,篡改內容,插入偽造數據,刪除有用數據等。

3.2 軟、硬件的維護

當某部門的計算機出現故障時,工作人員往往要求助于專業人員實施維修維護。在檢測、調試、修復計算機的過程中,硬盤數據隨時都會被維護人員別有目的地訪問。據報道,有情報機構故意在部隊、政府機構等重要部門附近設置電腦維修部,伺機竊取政治、軍事和經濟情報。

3.3 管理環節

使用計算機的部門如果疏于管理,則極容易造成個人以“合法身份”非法訪問電腦數據。例如,若某個操作權限很高的用戶打開機器后臨時離去,這時“機會”便出現了。在紙張上修改數據會留下痕跡,而在計算機中改動數據可以做到完全不被覺察。另外有的工作人員可能會在下班后將家人、親友帶到辦公室來學習、使用計算機或是玩電腦游戲。甚至有些員工避開公司的防火墻,在電腦上使用調制解調器,通過本地的ISP而連接上了國際互聯網,導致企業局域網內部的“后門”暴露出來。這樣的事情顯然使得電腦數據始終處在危險之中。

3.4 電腦病毒

計算機技術固有的缺陷之一便是病毒問題。已發現的計算機病毒有數千種,它們一般都具有破壞性。當病毒發作時,它既可以破壞計算機的功能又可以毀壞硬盤數據。海灣戰爭前,美國特工將載有“病毒”的芯片裝入計算機設備中,通過法國賣給伊拉克軍方,開戰后將“病毒”激活,造成伊軍方的重大損失。曾肆虐一時的CIH更是一個惡性病毒,它甚至可以造成電腦主板失效。

4 防護策略

4.l樹立安全意識

如上所述,侵犯計算機數據安全的行為具有多樣性,非法人員的攻擊手段往往還具有智能性和隱蔽性。泄密和數據破壞都可能造成嚴重后果。例如在公司財務管理系統中保存著許多各種密級的技術、財務資料,它們一旦數字化并保存到電腦中,其面臨的威脅就和其他電腦數據完全一樣,而這些資料一旦泄密,將對公司的利益造成重大損失。而由于大硬盤的普及,一個普通的硬盤就足以將整個公司的日常數據全部包容,它一旦遭到破壞,一般都不大可能通過文字材料來全部恢復,況且恢復數據的工作總是十分艱難的。這樣,丟失數據輕則要耽誤工作進程,重則會使工作陷于混亂或癱瘓。而政府和部隊的涉密信息更是敵對勢力刻意追求的,因此樹立安全意識已是刻不容緩。

4.2 提高數據保險系數

可以通過數據加密、數據集中存儲、裝雙硬盤、升級殺毒軟件、經常數據備份、使用低輻射的顯示器等方法增加數據的保險系數。數據加密可限制別人的訪問;數據集中存儲可通過公司局域網來實現,各個部門的計算機可以通過公司網連為一體,形成一個辦公系統子網,在子網中運行諸如《公司管理系統》或《財務信息管理系統》這樣的統一管理軟件,所有的數據保存在服務器上,任何人只有得到授權才能訪問服務器上的數據;雙硬盤可大大降低因硬盤故障丟失數據的概率;及時升級殺毒軟件可減少因病毒感染造成的損失;經常數據備份可有效防止數據丟失;低輻射的顯示器可有效防止電磁泄漏。

4.3 加強管理

1)機器的空間管理。計算機應當被放置在安全的地方,并且要避免計算機與易燃、易爆物品為鄰,盡量考慮工作電壓、濕度、溫度、潔凈度、靜電、電磁干擾等環境因素。還應該建立一套完善的規章制度來指導日常管理,規定可上機操作的人員,制訂上機操作說明書,常備出現故障時的措施及恢復順序說明書,堅持上機登記并做好運行紀錄。

2)操作管理。通過采取身份識別來控制操作權限。

通過超級用戶的管理,不同人員可以獲得不同的操作權限,而未經授權的無關人員不能通過網絡訪問服務器上的資源。在計算機需要維護時,應采取相應措施保護數據,如先對重要數據進行備份,然后從硬盤上將其抹去,在維護的過程中工作人員應該在場。此外還應確保閑雜人員在任何時候都不得上機操作,不允許自行安裝游戲,也不得操作未經安全檢測的外來usb盤、光盤等。另外,針對“網絡黑客”問題,單位辦公系統與Internet的連接應當十分謹慎,重要部門不得與外界聯網。

3)淘汰存儲器的管理。因故障、升級或其他原因而被淘汰下來的存儲器必須被統一銷毀,以免造成泄密。

4)提高計算機操作員自身的技術水平。如果使用計算機的人員具有較高的計算機操作技能,對一般的軟、硬件產生的故障都能夠獨立排除,就可以大大減少無關人員介入的機會,也就等于是提高了數據的安全性。計算機操作人員應該達到可以熟練地進行文件操作、磁盤操作以及應用軟件安裝、使用的程度,并能夠識別和排除計算機的常見故障。通過適當的培訓要達到這個目的是完全可以的,這也是安全手段中最有效的措施。

10.3969/j.issn.1001-8972.2011.08.080

萬為軍 (1971-)，男，江西南昌人，碩士，江西旅游商貿職業學院 講師 主要從事計算機教學。