时间:2023-03-16 15:27:28
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇计算机安全论文范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
2运行环境安全
在终端计算机安全防护体系建设中,运行环境至关重要。运行环境主要有物理环境、网络环境等。本文主要介绍网络环境,在网络环境中给终端计算机加几把锁,把握其方向轨迹和动态。
2.1IP地址固定
在网络中,IP地址固定可以解决信息安全事故溯源、IP地址冲突、准确掌握上网计算机数量等问题。实施中通过管理和技术相结合的办法,技术上在网络设备里通过DHCPSnooping和A-CL列表,实现IP和MAC地址绑定。
2.2控制上互联网计算机
因工作性质和安全考虑,部分终端计算机仅处理企业内部业务不需上互联网。因此加大终端计算机上互联网权限审核力度,技术上实施是在IP地址固定的前提下,在网络设备通过访问控制列表ACL或者互联网出口安全设备里进行配置。
2.3部署准入设备
为保证网络安全,在网络边界或内部部署准入设备,设立终端计算机入网规则,如必须安装企业桌面安全软件和配置安全基线等等,通过进程检测合规后入网或可访问关键业务。
2.4部署内容审计系统
在互联网出口边界部署内容审计系统,在线对终端计算机访问互联网的行为进行2~7层的识别,可进行关键字的设置过滤、URL过滤,对于计算机的互联网行为做到可控制、可管理、可审计,以保证网络信息的安全。
2.5部署服务器
为保证终端计算机上网安全,一般建议在互联网出口设置服务器,用户通过服务器访问互联网。通过服务器访问互联网可以提高访问速度,方便对用户行为进行管理和审计,起到防火墙作用,保护局域网安全。
3安全管理
三分技术七分管理,是终端计算机安全防护体系建设的准绳。在自身系统和运行环境建设中,技术操作都是通过管理来实施的,因此形成一套安全管理机制并始终贯彻运行,是十分重要的。
3.1建立终端计算机管理制度
建立终端计算机管理制度也是终端计算机安全防护体系建设的组成部分和重要措施,如《计算机信息系统管理》《计算机安全管理实施细则》《计算机工作考核评比细则》《计算机保密管理规定》《信息化考核体系》等都是非常重要的制度,通过建立健全这些制度,形成信息化考核机制,使得终端计算机安全工作有章可循。
3.2提高计算机安全管理的力度和深度
在企业计算机安全管理管理中,管理人员首先要提高各级领导和员工网络安全重视程度,其次定期通过各种手段完成终端计算机安全检查工作,如通过桌面安全系统、审计系统检查计算机违规行为,根据规定实施处罚等,最后安全管理人员要主动识别和评估安全风险,制定和落实安全整改措施,确保终端计算机持续安全稳定运行。
3.3建设完整的计算机实名库
通过建设终端计算机实名库,掌握计算机管理动态,实现计算机资产管理,给领导提供决策依据。实名库建设可采用各单位签字盖章上报、在桌面安全管理系统里注册、定期现场抽查等,从而完成终端计算机实名库的建设。
3.4建立网络建设标准
通过网络建设标准的建立,保障终端计算机安全运行环境,也加强了桌面安全防护体系在网络体系建设中的作用。
3.5建设一支过硬的信息化队伍
在企业中,建立信息安全组织架构、明确组织责任、设置相应岗位,建立一支过硬的专业信息化安全队伍,切实加强计算机管理、维护终端计算机安全。
1、环境因素的威胁环境因素指计算机所处的工作环境,日常工作中,环境因素对计算机的使用寿命、运行稳定及数据安全有着直接的影响,主要有以下方面。①电源,要有持续稳定的电源电压,最好有UPS,防止突然断电造成硬件损毁或数据丢失。②温度,计算机理想的工作温度是15℃~30℃,温度过高容易导致计算机死机或频繁重启等故障;温度过低对硬盘、光驱中的电机、读写磁头摆臂、散热风扇轴承等机械部件的影响很大,容易造成读写错误。③湿度,计算机最佳的工作湿度是45%~60%。湿度过高,湿气附着于硬件表面,影响磁性材料读写错误,导致机器金属部件生锈损坏,甚至出现短路而烧毁某些部件;湿度过低、不仅容易产生静电,还很易吸附灰尘。④静电,对计算机系统来说是最具破坏性,它可能使计算机某些硬件失灵,甚至击穿主板或其他板卡的元器件,造成永久性损坏。⑤灰尘,灰尘会引起线路板短路、元器件漏电、接触不良、弄脏磁头等。⑥电磁辐射,一方面包括外界电磁辐射对计算机本身的影响,造成计算机工作不稳定以及元器件损毁,另一方面是计算机本身的电磁泄露,会造成信息的泄露。⑦震动,磁盘驱动器的读写磁头和存储磁盘在工作中的接触是非常精密的,震动会影响磁头、磁盘的读写错误,严重时会损坏磁头造成无法读写数据或使磁盘产生坏道造成数据直接丢失。
2、操作因素的威胁操作因素是指计算机操作人员的操作方法及操作习惯,日常工作中,人为操作不当对计算机的损坏时有发生,所以养成良好的使用习惯是必须的:①开机顺序:先外设(显示器、打印机、扫描仪等),后主机;关机顺序则相反,先主机,后外设。②连续两次重新启动计算机时间间隔不应少于30秒。③硬盘灯在闪动,表明硬盘正在读写数据,此时不能关机和移动机器,否则有可能造成硬盘的物理损坏。④当系统显示移动存储设备拷贝数据完成时,不要马上取出移动存储设备,等指示灯熄灭后才可取出。虽然系统显示操作完成,但读写设备实际上还要工作1-5秒。⑤重要资料、文件不要存放在系统(C)盘或桌面上,一旦系统崩溃或是染毒,系统(C)盘及桌面上的数据往往全部丢失。⑥要装杀毒软件,并定期升级病毒库,以达到防毒杀毒的目的,同时开启防火墙。⑦雷雨天气最好不要上网,雷电有可能通过电话线引入Modem,而将Modem损坏。⑧不要用布、书等物覆盖显示器,避免显示器过热。⑨不用劣质光盘,尽量少用光驱读光盘,可以把音频、视频拷到硬盘中去,以减少对激光头的损害。
3、人为因素的威胁人为因素是指,一些不法分子直接潜入机房或间接利用计算机系统漏洞及网络漏洞而编制计算机病毒,盗用系统资源,非法获取资料、篡改系统数据、破坏硬件设备等。对于直接潜入机房的威胁我们可以通过加强安全防范等措施来实现。而这里主要讨论的是间接利用系统漏洞及网络漏洞而编制计算机病毒对计算机的威胁,此类威胁大多是通过计算机网络来实施的。计算机网络在带来便利的同时,也带来了各种各样的安全威胁。对设备的威胁:①利用TCP/IP协议上的不安全因素,通过伪造数据包,指定源路由等方式,进行APR欺骗和IP欺骗攻击。②病毒破坏。利用病毒占用带宽,堵塞网络,瘫痪服务器,造成系统崩溃或让服务器充斥大量垃圾信息,导致网络性能降低。③其它网络攻击方式。包括破坏网络系统的可用性,使合法用户不能访问网络资源,拒绝服务甚至摧毁系统,破坏系统信息的完整性,还可能冒充主机欺骗合法用户,非法占用系统资源等。对信息的威胁:①内部窃密和破坏,内部人员有意或无意的泄密、更改记录信息或者破坏网络系统。②截收信息,攻击者可能通过搭线或在电磁辐射的范围内安装截收装置等,截获机密信息或通过对信息流和流向、通信频度和长度等参数的分析,推算出有价值的信息。③非法访问,主要包括非法用户进入网络系统进行违法操作和合法用户以未授权的方式进行操作。
二、人为因素威胁的应对措施
我们可以通过以下方式来防范和减少此类威胁的发生:
1、提高网络工作人员的素质每一个网络使用者都必须要有安全观念和责任心,掌握正确的网络操作方法,避免人为事故的发生。此外,为了保障网络能够安全运行,一方面,对于传输线路应有露天保护措施或埋于地下,并要求远离各种辐射源,线缆铺设应当尽可能使用光纤,以减少各种辐射引起的电磁泄漏和对发送线路的干扰,并要定期检查连接情况,以检测是否有搭线窃听、非法外连或破坏行为;另一方面,我们还应制定完善的管理措施,建立严格的管理制度,完善法律、法规,提高人们对网络安全的认识,加大对计算机犯罪的法律制裁。
2、运用数据加密技术数据加密是网络系统中一种常用的数据保护方式,也是网络安全最有效的技术之一,目的是为了防止网络数据的篡改、泄露和破坏,既可以对付恶意软件攻击,又可以防止非授权用户的访问。数据加密主要有四种方式:链路加密,即对网络中两个相邻节点之间传输的数据进行加密,传送到节点后解密,不同节点间用不同的密码,此种加密能够防止搭线窃听;端端加密,对进入网络的数据加密,然后待数据从网络传送出去以后再进行解密,此种方式更加可靠,且易于设计和实现;节点加密,与链路加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中,是对源节点到目标节点的链路提供保护;混合加密,混合加密是采用链路加密和端端加密相结合的混合加密方式,可以获得更高的安全。
3、加强计算机网络访问控制访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非正常访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。
4、使用防火墙技术防火墙是解决网络安全问题最基本、最经济、最有效的措施之一,是建立在现代通信网络技术和信息技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是由软件和硬件设备组合而成,处于内部网络与外界网络通道之间,限制外界用户对内部网络访问以及管理内部用户访问外界网络的权限。当一个网络连接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。
1 将现代通信的权限设置进行规范
权限设置是现代通信安全保护的最便捷最直接手段,它是一种通过优化计算机权限环境,对计算机实行安全管理的有效手段。计算机安全管理在权限设计的运用中为现代通讯提供了足够大的保护空间,使现代通信能够安全顺畅地进行互联网资源的共享。
2 扩大现代通信的开放程度
计算机安全管理在现代通信进行互联网资源分享、彰显开放特性、保障通信环境高效运行、避免受到外部恶意攻击等方面发挥了不可替代的作用。例如:一旦发现恶意攻击行为,就可以将防火墙技术和通信设备相连接,对通信系统内部的信息传输进行实时监测,有效监督发生在系统内部的各项行为,从而在最短时间内立即采取相应预案。
3 将现代通信的风险隐患进行过滤
现代通信设备或软件大多具备自动连接功能,虽然在一定程度上给网络用户带来了便捷,但是由于这项功能并不能及时有效地过滤或拦截外来风险因素,所以一些网络黑客就利用现代通讯设备的此项缺陷,非法窃取网络信息。计算机安全管理恰好能解决这个问题,它不仅能够识别现代通信设备运行中的各项风险隐患,预防恶意攻击者对风险信息路径的跟踪,更能够像手机回拨一样,提供反跟踪保护,防止有用信息无故丢失。
4 对现代通信的传播路径进行优化
网络客户需求的多元化,致使现代通信的传播路径多种多样,在为客户提供便利方面无可厚非,但是安全隐患也会不期而遇。计算机安全管理能够非常精确地对现代通信的传播路径进行分析,使含有风险因素的的信息或网页无法进入现代通信系统。比如说,当今计算机使用者对邮件和秒传运用得比较多,计算机安全管理能够快速分析传播路径的运行环境,只要发现不确定因素就会以信息的方式告知客户,提醒客户注意传输内容,直接在源头上阻断信息传播。
使用加固技术可以使计算机硬件的安全性得到有效提升。涵盖了防腐加固、温度环境加固、密封加固及防震加固等。对于加固技术中的防辐射加固来说,是将计算机各方面的硬件,比如电源、硬盘、芯片等均进行屏蔽,从而使电磁波辐射现象的发生实现有效避免。当然,对于计算机硬件方面的工作,除了加固技术外,还需具体情况具体分析,比如为了使数据存储的安全性得到有效提升,便可以使用数据备份的方面,把有用的数据进行定期复制,并进一步加以保存。
2、加密技术
为了使信息窃取实现有效避免,便可以采取加密技术。该项技术主要分为两类,一类为对称加密技术,另一类为非对称加密技术。其中,对于对称加密技术来说,主要是指信息的发送方与接收方使用同一各密钥进行加密及解密数据。非对称加密技术即为公钥加密,通过一对密钥的利用,以分别的方式进行加密与解密数据。
3、认证技术
对于认证技术来说,主要是指通过电子手段的加以利用,以此证明发送者与接受者身份的一种技术,同时该项技术还能够辨识文件的完整性。也就是说,能够辨识出数据在传输过程中是否被篡改或非法存储等。认证技术分为两类,一类为数字签名,另一类为数字证书。其中,数字签名又称之为电子签名,主要是将数字签名当作报文发送给接收者。对于用户来说,可以通过安全可靠的方法向相关部门提交资金的公钥,从而获取证书,进一步用户便具备公开此项证书的合法权益。对于需要用户公钥的人,均能够获取此项证书,并且通过相关合法协议的签订,从而使公钥的有效性得到证实。对于数字证书来说,将交易各方的身份信息逐一标识出来,进一步提供出验证各身份的方法,如此一来用户便能够使用这些方法对对方的身份进行有效识别。
(1)芯片陷阱。在计算机中所利用到的芯片,通常具备秘密功能,而且这些秘密功能很难让人察觉。在国外,对于我国所使用的CPU集成了病毒指令及陷阱指令。他们能够通过对无线代码的利用,从而使CPU等内部指令得到有效激活,进一步导致内部信息发生外泄,最终导致计算机瘫痪而无法正常运行。
(2)电磁泄漏。计算机在运行过程中,会辐射出巨大的电磁脉冲,恶意破坏者则通过对计算机辐射的电磁波进行接收,进一步通过复原获取计算机中的信息数据。
(3)硬件故障。在计算机存储器硬件遭遇损坏的情况下,便会导致所存储的数据无法有效读取出来。
1.2软件方面的安全问题
(1)窃听。主要指的是资料数据在进行网络传输过程当中,被第三方非法获取,从而造成资料数据的流失。对于企业而言,遭遇窃听则会泄漏公司机密,从而使企业造成不可估量的经济损失。
(2)病毒入侵。主要指的是电脑病毒,对于电脑病毒来说,能够进行自行复制,从而对应用软件进行更换,并且还可以更改资料或删除文档。
(3)网络钓鱼。通过或者仿冒网络商店的构建,从而获取网民的信息资料,进一步造成网民个人信息泄露或直接的经济损失。
(4)伪装及篡改。在“伪装”方面,主要指的是攻击者伪装成合法的使用者,从而轻而易举地获取使用权限。在“篡改”方面主要指的是资料被篡改,比如储存或者处于传输过程中的资料被篡改,那么这些资料的完整性便遭遇损坏,同时这些资料的安全性也失去了可靠性及安全性。
二、计算机安全常见问题的防御对策探究
1、加固技术
使用加固技术可以使计算机硬件的安全性得到有效提升。涵盖了防腐加固、温度环境加固、密封加固及防震加固等。对于加固技术中的防辐射加固来说,是将计算机各方面的硬件,比如电源、硬盘、芯片等均进行屏蔽,从而使电磁波辐射现象的发生实现有效避免。当然,对于计算机硬件方面的工作,除了加固技术外,还需具体情况具体分析,比如为了使数据存储的安全性得到有效提升,便可以使用数据备份的方面,把有用的数据进行定期复制,并进一步加以保存。
2、加密技术
为了使信息窃取实现有效避免,便可以采取加密技术。该项技术主要分为两类,一类为对称加密技术,另一类为非对称加密技术。其中,对于对称加密技术来说,主要是指信息的发送方与接收方使用同一各密钥进行加密及解密数据。非对称加密技术即为公钥加密,通过一对密钥的利用,以分别的方式进行加密与解密数据。
3、认证技术
对于认证技术来说,主要是指通过电子手段的加以利用,以此证明发送者与接受者身份的一种技术,同时该项技术还能够辨识文件的完整性。也就是说,能够辨识出数据在传输过程中是否被篡改或非法存储等。认证技术分为两类,一类为数字签名,另一类为数字证书。其中,数字签名又称之为电子签名,主要是将数字签名当作报文发送给接收者。对于用户来说,可以通过安全可靠的方法向相关部门提交资金的公钥,从而获取证书,进一步用户便具备公开此项证书的合法权益。对于需要用户公钥的人,均能够获取此项证书,并且通过相关合法协议的签订,从而使公钥的有效性得到证实。对于数字证书来说,将交易各方的身份信息逐一标识出来,进一步提供出验证各身份的方法,如此一来用户便能够使用这些方法对对方的身份进行有效识别。
2检测功能的实现
系统的检测主要从软硬件环境以及常用的安全配置相关信息等及格方面进行。在Windows平台上进行这些检测需要通过系统的API来进行。WindowsAPI是提供给用户的可调用的编程接口,通过该接口用户能对操作系统进行深入的操作和设置
2.1系统硬件检测
检测主要目标是检测系统基础的硬件信息。设计方案是首先通过调用Windows提供的系统API函数和WMI接口,获得基础信息,最后通过VariantToString函数来将获得的信息转换成字符串。WMI是一种规范和基础结构,通过它可以访问、配置、管理和监视所有的—几乎所有的Windows资源。WMI的使用要通过三步实现,首先初始化,然后创建WMI的名字空间,最后通过WQL进行查询。WQL是WMI中的查询语言Windows管理规范查询语言。
2.2系统安装软件信息
该功能是检测系统安装软件的基本信息,包括软件名称,发行商,版本,安装日期,卸载命令及参数。注册表中会存有相关信息。设计方案是首先通过Windows提供的API对系统的注册表进行打开和查询,获取SOFTWARE\\Microsoft\\Windows\\Current-Version\\Uninstall该路径下的信息,然后筛选将有用的信息进行输出。
2.3系统启动项检测
启动项检测的目的是检测系统启动项的信息,包括启动软件名称和存储路径。该模块设计与检测系统安装软件信息相似,也是通过对注册表进行查询来获取相应的信息。设计方案是首先通过对注册表进行操作查询如下路径Software\\Microsoft\\Windows\\CurrentVersion\\Run从该路径下获得软件的注册表信息,在获取到系统启动项基本信息后再对信息进行格式化输出。
2.4系统进程检测
操作台系统中的正在运行的恶意程序可以通过对进程的检测进行发现。进程检测的信息包括进程名称、进程ID、线程数量、所使用的.dll文件。设计方案是通过Windows系统提供的API函数,对系统的当前进程设定一个快照,然后通过这个快照来获取相应的进程信息,然后对进程信息进行格式化输出。
2.5系统浏览器状况检测
浏览器检测主要包括通过IE浏览器打开网站名称和使用的浏览器名称。设计方案是通过系统系统提供的API函数来监控系统打开的窗口,筛选出浏览器窗口,并对浏览器打开的网页进行记录,最后对这些监控信息进行格式化输出。
2.6系统网路连接检测
检测系统的网络连接情况检测信息包括Pid、名称、LocalAddr、LocalPort、RemoteAddr、RemotePort、State、Path。设计方案是通过系统的API函数获得系统当前的状态快照,然后在快照中筛选出网络连接,通过对快照的解析,得到网络连接的信息并进行格式化输出。最后通过自定义函数来获取网络连接名称和路径。
2.7系统注册表检测
主要目的是检测系统的注册表信息。设计方案是通过调用系统的API函数来对注册表进行相应的操作,并且用相应的格式进行显示。
3系统的测试
系统在联想Y400型主机上进行了相应的测试,主机所用的操作系统为Windows7。各项功都能正常运行,如图2能正确显示该主机的软件安装情况。系统也能根据所有的检测结果对系统做出相应的安全评估。
二、计算机硬件系统与设备故障原因分析
结合上述计算机硬件系统与设备的常见故障问题与类型,导致计算机硬件系统与设备故障问题发生的原因可以分为两个方面,即人为原因和本身机器老化。其中,人为原因主要是指用户在使用过程中不当操作,如强制关机、长期使用导致CPU过热等现象,而计算机本身的老化也会导致元器件性能受损,造成其使用寿命与质量等的下降。
2.1用户的使用习惯
结合上述计算机硬件系统与设备的常见故障问题与类型,导致计算机硬件系统与设备故障问题发生的原因可以分为两个方面,即人为原因和本身机器老化。其中,人为原因主要是指用户在使用过程中不当操作,结合上述计算机硬件系统与设备的常见故障问题与类型,导致计算机硬件系统与设备故障问题发生的原因可以分为两个方面,即人为原因和本身机器老化。其中,人为原因主要是指用户在使用过程中不当操作,应注意按照正常的关机顺序,不可强制关机,更不能频繁的进行关机操作,以免对元器件造成损伤。
三、计算机硬件系统与设备的维修方法研究
结合实际中对于计算机硬件系统与设备故障的维修措施,主要有对于常规故障问题的观察维修以及通过计算机设备电路检测实现的故障维修、进行计算机设备拆除基础上实现的故障维修、通过计算机设备信号检测实现的故障维修等方式。在实际故障维修和处理中,注意结合故障情况,采用合适的维修方式进行维修恢复。
3.1对计算机硬件设备常规故障的观察维修
在计算机硬件设备故障维修中,对于计算机硬件设备的常规故障和问题,可以通过观察方式在确定故障类型与原因后,进行其故障问题的维修恢复。也就是在计算机硬件设备故障维修中,先把计算机通电,再打开机箱直接观察设备内部元件的情况,主要是以电路故障检查为主,观察内部是否有短路、断线、漏电、接触不良等现象,针对能直接表现出来的故障进行观察,实现故障问题的维修恢复,这种维修方式可以很快的确定故障位置,进行故障问题的排除。
3.2以电路检测方式进行计算机硬件设备故障维修
通过电路检测方式进行计算机硬件设备故障问题的排查维修,在维修使用中,根据电路检测的内容不同,可以分为电压法、电流法以及电阻法三种电路检测方法。其中电压法进行计算机硬件设备故障维修中,主要是通过对设备电路端点的电压和元器件工作的电压进行测量,将得出的数据与正常数据进行对比分析,找到故障出现的原因。而电流法通常是用来检查设备的电源电路负载电流、电路各个部分直流和工作电流。电阻法是计算机硬件故障维修的重要方法之一,通过利用万用表测量仪器,对可能造成故障的元器件的电阻值进行测量,并将得出来的数值与正常数值进行比较,就可以判断元器件是否受损。
3.3通过计算机硬件设备的拆除进行故障维修
通过计算机硬件设备的拆除,进行计算机硬件设备故障维修,是一种计算机应急维修方法,通过将这些损坏的元器件进行拆除,以恢复设备的正常工作。在有些元件损坏后不但不能正常运转,并且对于整个电路运行造成严重影响,导致计算机不能工作的情况下,这种维修方式的应用比较多。
3.4通过计算机硬件设备信号检测的维修方式
在计算机设备维修中,通过对于计算机硬件设备的信号检测,也能够实现计算机硬件设备故障问题的维修,这主要是因为信号主要是以波形的形式来体现的,能够对于计算机硬件设备的工作状态进行反映。值得注意的是,在对波形测量的时候,要注意被测量的波形周期上的变化,使计算机的信号达到最佳状态。结束语
(二)计算机软件设施的安全问题。计算机软件是计算机运行系统中有关程序和文档的总称,属于计算机硬件设备的控制中心,可以满足人们的各种实际需求。计算机安全从软件方面来书,软件开发部门开发的软件既要满足用于的各种需求,也要有效降低开发成本,更要避免其他软件开发剽窃或者复制软件,最大程度的保护自己的知识产权。而用户也要求功能齐全、实用性好、保密性好、具有高性价比的软件,尤其是软件的安全性能,因此计算机软件安全指的是软件不易被剽窃和软件自身的安全性。
(三)计算机网络信息安全问题。计算机用户缺乏网络安全意识和信息保密意识,同时计算机网络系统还不够完善,有一定的安全漏洞,这是引起网络风险的一个主要因素,比如,Windows系统自身存在着一定的问题、软件自身携带的插件等,这些存在着一定的安全隐患,为不法分子提供了机会,有些黑客会侵入计算机的安全系统,甚至导致数据丢失或者系统的瘫痪。此外,计算机病毒入侵也对计算机网络安全产生威胁。因为病毒具有很快的传播速度,只要病毒进入网络,既对计算机安全运行产生影响,也将计算机数据破坏,极大的损害了用户的利益。
二、计算机安全问题的解决对策
(一)计算机硬件安全问题的对策。当前,人们的日常工作、学习和生活和计算机息息相关,为了维持计算机更长的寿命,并促使其更好的为人类服务,我们在一定程度上要了解计算机,并且具备普通的维修常识。可是,计算机的寿命是有限的,用户有必要对操作流程进行学习,然后正确使用计算机,如果计算机发生问题要及时维修,避免计算机硬件遭到更严重的损坏。用户熟练掌握计算机日常使用规范以及基本的维护知识可以促使用户及时发现计算机安全问题,并且提早做好预防,促使计算机更好的服务于用户。
(二)计算机软件设施安全问题的对策。首先加密计算机软件,并且确保密码的安全性,因为计算机软件非常容易复制,因此计算机软件安全防护的一个重要手段是密码保护。而一个密码只在一段时间内有效,因此用户要定期对密码进行更改,确保计算机软件安全。其次,为了从源头上确保计算机软件的安全,就要做好它的安全设计。软件设计人员在开发计算机软件的过程中要全面细致考虑软件的安全问题,比如从软件用途方面来说,就要对用途肯能带来的风险进行考虑,并且提前制定应对措施;在开发完软件之后要全方位检测软件,及时修补检测出来的漏洞,并且提高检测次数,最大程度的避免软件漏洞。而用户在使用软件的过程中如果发现问题就要及时解决问题,并应用合理措施实施修补,确保安全运行软件,避免不必要的风险。
(三)计算机网络信息安全问题的对策。计算机病毒主要通过网络以及硬件传播,所以要定期升级计算机软件,应用最新的版本,确保计算机软件具有较少的漏洞。此外也要及时更新浏览器的版本,确保网页浏览的安全性。在浏览网页时尽量不要浏览不合常规的网站,不安装不合常规的软件,确保浏览的安全性。
2)计算机网络通信中的防护体系不全面。我们国家的计算机应用技术起步晚,因此,在最近几年里对于防护体系的建立还不够完善,这是有一定的社会因素的,其一是,由于我们国家在第二次科技革命中错过了技术的更新换代,因此计算机技术的引入比较晚,所以人才储备不足,缺乏高端的计算机防护体系的操作人员;其二是国家对于计算机防护体系的建立重要性认识不足,无论是政策上还是资金上都没有给予一定的支持,所以单独凭借社会上的一些企业力量进行全面的网络通信防护体系的建立是不可能的。因此导致安全隐患多。
3)计算机网络通信中的防范意识不全面。一方面是运行商的防范意识比较薄弱,运行商将全部的经历放在了新的技术的研发,以及新的市场份额的抢占上,因此,对于计算机网络病毒的防范意识比较薄弱,这一方面没有响应的技术支持和人力支持,所以难以得到落实;另外一方面使广大用户的防范意识也相对于薄弱,计算机网路技术的问世方便了人们的沟通,尤其是异地信息的传递,快捷高效,人们为了更好的获取信息,因此往往依赖于电子计算机进行网络数据的传输,而这个传输的过程中经常会伴随产生病毒。运营商与用户双方在传递信息数据时都缺乏防范意识,所以存在严重的安全隐患。
2计算机网络通信的防护措施
1)加强互联网的防护系统。互联网的IP地址通常来说是一个广义的开放性的,由于多个用户通用一个路由器,或者是多个用户共用一个信号,则可能造成一些钓鱼软件或者是含有病毒的网页弹开,将病毒带入到互联网中。要想彻底的解决这一问题,关键是要建立起一个互联网的防护系统,加强对于病毒入侵的防护。可以建立起完善的流量监控系统,密切关注平时的流量动态,如果流量出现异常,则需要立即进行安全检查,也可以定期对系统进行安全隐患的排查等,实际可用的方法还是比较广泛的,不同的用户和互联网应用中心可以结合实际情况选择适当的方法,以维护互联网信息的安全。
2)加强网络传输信息的安全。随着人们对于互联网的依赖性的增强,大量的信息每天充斥在互联网中,一些不安全的病毒隐患就会潜藏在其中,威胁用户的信息安全,因此,需要建立起一个完善的监控系统,能够及时的检测传输信息的安全性,扩大检测的范围,一旦发现了病毒的踪迹,立即启动杀毒软件进行杀毒。同时,对于一些特别重要的信息数据需要进行加密处理,加密的信息更加安全,收取信息的用户必须有安全秘钥才能打开,因此给了传输信息一个更加安全的保障。
3)完善网络安全制度。目前我们国家的计算机管理还比较松散,责任划分不明确,管理方法落实不到位,因此,需要建立起一个比较完善的网络安全制度,提高对于网络通信安全的监管力度,并要求有专门的监督和管理人员,一旦出现相关的安全问题,能够及时应对,并对一些责任现象进行追责,把责任落实到每一个人,这样就能够营造一个相对安全的网络空间。
2口令文件保护
为了加强口令文件的安全,现在都使用了结合随机数加密口令的方式,有效防止了预处理字典攻击。作为进一步的改进,可以将Windows2003的口令文件管理SAM进行扩展,在创建新用户时,采集每个用户的生物特征信息替代上面的随机数,将生物特征代码与用户口令合成,再加密生成加密数据存贮在口令文件相应位置。这样也可防范预处理字典攻击,同时,由于生物特征与每1个人和用户名相对应,这样用户不可能否认该帐号不是他的,可提供抗抵赖证据。
3访问控制
Window2003的访问控制采用了自主访问方式,具有较好的灵活性和易用性,同时有些安全组件己经实现了Bl级的部份安全要求,如安全标识功能。因此我们可以充分利用现有的安全组件,增设相应的强制访问控制管理机制。系统首先执行强制访问控制来检查用户是否拥有权限访问1个文件组,然后再针对该组中的各个文件制定相关的访问控制列表,进行自主访问控制,使系统中主体对客体的访问要同时满足强制访问控制和自主访问控制检查。
4文件管理
CZ级要求具备审计功能,不允许访问其他用户的内存内容和恢复其他用户己删除的文件。Windows2003通过提供相应的安全审计组件满足安全审计要求。在文件管理方面,Windows2003提供了NTFS文件系统增强文件的安全性。在进行文件删除管理时,Windows2003通过提供回收站功能,用户可先将不用的文件放入回收站,这样用户可从回收站中将再次需要的文件重新取回。当确认不再使用这些己放入回收站的文件时,只需清空回收站,这时别的用户就不可能利用系统本身提供的功能恢复别的用户己删除的文件。虽然它基本满足了CZ级对文件管理的要求,但这对更高安全要求的应用是不够的。由于Windows2003的文件删除并不是彻底覆盖删除文件所用的硬盘扇区,而只是在文件分配表中给该文件作上已删除标记,使系统不能再访问,通过使用第3方工具可以很容易地恢复出用户已删除的文件。因此为了加强文件管理的安全性,可以通过增加系统安全擦除组件,删除文件的同时就彻底覆盖文件所用的硬盘扇区。从而即使有用户使用第3方工具也无法恢复出别的用户已通过安全擦除方式删除的文件。实现安全擦除,由于要重写删除文件所用的每一个扇区,因此比较耗费时间,会使系统的响应变慢。在设计擦除组件时,应充分考虑系统的可用性和灵活性,由用户来设定重写扇区的次数。系统缺省还是采用Windows2003的常规文件删除方式,用户在删除自己的高密文件时,根据安全需求采用相应的擦除方式。
5漏洞补丁
Windows2003在发现系统安全漏洞后,通过及时在网上系统的漏洞补丁来解决由漏洞引起的安全隐患。通常网上公布后,由用户自行下载安装或设置系统定时下载补丁来安装,但这样缺乏及时性。应在系统安全漏洞的补救方式上,采取“推”而不是“拉”的办法实现安全漏洞的补救。这样一旦发现系统安全漏洞,操作系统供应商提出解决方案后就可通过网络向用户系统及时推出,而不是由用户知道了漏洞再向服务器下“拉”漏洞补丁而错过及时解决问题的时机。增加1个专门接收系统漏洞补丁的组件,保持端口常开,随时接收来至网站的安全补丁,实现漏洞补救的及时性。
6用户管理
在Windows2003系统中,系统管理员拥有绝对的权力,能对系统的一切相关设置进行管理,这样对于安全性要求较高的应用场合是不适合的。应改变现有用户管理的方式,将系统安全管理部分独立出来,降低超级用户的权力,设立系统管理员、安全管理员、安全审计员,防止攻击者利用1个特权用户的身份获得对整个系统的控制。系统管理员的职责是系统的日常运行维护,安全管理员管理安全属性等信息,安全审计员进行审计的配置和审计信息维护3种特权角色的权力互不交叉,不允许同一用户充当两种以上的特权角色,使相互之间形权力制约,限制系统管理员的权限,就可避免系统管理员权限过大的缺陷,使Windows2003更能适合安全要求更高的应用场合。
7安全模型
7.1安全操作系统模型
安全模型是对安全策略所表达的安全需求的简单、抽象和无歧义的描述,为安全策略与其实现机制的关联提供了1种框架。安全模型描述了对某个安全策略需要用哪种机制来满足,而模型的实现则描述了如何把特定的机制应用于系统中,从而实现某一特别的安全策略所需要的安全保护。通常由特殊可信主体,完整性检查员的工作模式。通用操作系统虽然通过使用多种安全技术相结合的办法能增强系统的安全性,但对于安全性要求较高的应用场合还是不能满足安全要求的。该安全模型就是为了加强系统的安全性提出的,该模型设计目的就是在更大程度上实现系统的安全性。通常机密性和完整性是操作系统安全的两个重要特性,BLP模型只解决了机密性的问题,而Biba模型只解决了完整性的问题,没有使二者同时兼顾。为了更好地实现系统安全,根据BLP和Biha安全型的安全原理,结合实际应用,该模型将安全政策,决策实施,安全数据库三者相分离,这样就可以灵活的支持多种访问控制机制。在这种情况下,系统通过修改内核中与安全相关的系统调用,在具体操作执行前请求安全决策,根据决策结果决定是否允许实施操作。系统安全模型中,把操作系统分为系统内核和用户空间,系统内核分为安全决策和决策实施两个部分,安全决策依赖于安全政策,负责判断1个安全相关行为是否可以执行,决策实施与安全政策无关,负责执行1个已经得到许可的行为所要执行的任务。安全决策内部设立相互独立的政策支持机制,每个安全政策对应1个政策支持机制,这样在安全政策的支持方面就能获得一定的灵活性。在系统中,多种访问控制机制、安全审计、加密文件系统等安全机制相互结合,构成了强大的安全内核。
7.2通用访问控制框架
该安全系统模型中,通过使用通用访问控制框架来实现灵活的访问控制。当1个主体访问客体时,相关系统调用就会请求安全决策,安全决策的相应机制首先根据安全请求的类型确定应采用的安全政策,再把决策任务转交给对应的政策支持机制,最后将决策结果返回给决策实施机制去执行。从内核的角度看,安全相关行为是由系统调用触发的。以系统调用打开文件为例,这是个安全相关行为,首先决策实施模块把打开文件的请求提交给安全决策子系统,决策系统受理这个请求,并由相应的政策支持机制作出判断。决策结果返回给决策实施部分,决策实施部分根据决策结果实施相应动作,并将结果信息返回给系统调用。系统调用根据这个安全决策结果确定下一步的行为。
7.3自主访问控制
为了实现进一步地对访问进行控制,系统安全模型中通过增加基于ACL的自主访问控制来实现。通过访问控制列表(ACL)机制就可以实现对系统资源的访问控制粒度的细化,可以实现系统中任一用户对各种系统资源(目录,文件,特别文件,管道等)的控制访问。主体对客体的权限可以有3种方式:第1种是ACL信息中具体指定了此主体对此客体的权限;第2种是主体作为某1组中的具体成员而对此客体享有它所在的组所享有的权限;第3种是该主体取此客体对外的缺省值。
7.4强制访问控制
强制访问控制是指对客体访问的安全政策由系统强制实施,客体属主无权控制客体的访问权限,防止对信息的非法和越权访问,保证信息的机密性。BLP模型是公认的信息保密模型,自产生以来在很多安全操作系统的开发中得到了应用。本模型的强制访问控制也采用BLP模型,通过利用安全属性库(一些安全文件的集合)来实现强制访问,并把这些安全文件放在受保护的特殊目录下。为了实现完整性访问控制,模型可以用Biba安全模型为基础,根据信息可能被破坏所造成的影响的严重程度,对信息的修改实施强制访问控制,支持系统客体和主体的完整性级别划分,系统根据用户身份的完整性级别和信息资源的完整性级别确定用户对信息资源作修改的授权决定。在完整性访问控制的支持下,可以防止非法用户或进程修改敏感信息。
7.5系统管理特权分立
Windows2003、Linux、Unix的用户特权划分只有2级,超级用户和普通用户。超级用户具有所有的特权,普通用户没有特权。这种做法不符合安全系统的“最小特权”原则。攻击者只要获得超级用户身份,便得到了对系统的完全控制。通过在模型中使用“最小特权”原则对超级用户的特权进行化分,根据系统管理任务设立3个角色并赋予相应特权。3个系统管理角色分别是系统管理员、安全管理员、审计管理员。统管理员负责系统的安装、管理和日常维护,如安装软件、增添用户帐号、数据备份等。安全管理员负责安全属性的设定与管理。审计管理员负责配置系统的审计行为和管理系统的审计信息,3个角色互相制约。攻击者破获某个管理角色的口令时不会得到对系统的完全控制,这样就能更好地保证系统的安全性。