万为军 江西旅游商贸职业学院 330100

常用电脑系统的安全分析及防护策略

万为军 江西旅游商贸职业学院 330100

计算机系统安全问题主要存在于互联网、操作系统及应用软件之中,也存在于数据输入、加工、存储、传输等环节上。安全措施包括树立安全意识、提高数据保险系数、加强管理、提高计算机操作人员的素质等方面。

信息安全;计算机系统;加密

1 电脑数据安全问题现状

随着计算机的普及,一些重要单位如政府机关、部队、公司财务和人事部门已经越来越依赖于计算机。而针对那些可能是极其重要的电脑数据却几乎没有任何安全措施,前不久,国家安全局在网上监测,很容易就发现某部有人用装有重要军事资料的笔记本电脑在上网;安全局在某部驻地附近的电脑广告公司和印刷厂的电脑内还发现存储有大量的部队涉密信息。毫无疑问,在不太远的将来,计算机的普及程度会比现在有更大的提高,这种普及将会产生两个方面的效应:其一,单位的日常运转会几乎完全依赖于计算机,各种重要数据如工资档案、财务报表、人事资料等将全部保存在计算机的硬盘中;其二,大多数人对计算机的知识了解更加全面,有更多的计算机技术水平较高的人可以采用种种手段非法操作计算机。这样在数据安全方面实际上就潜伏着重大隐患,装有重要数据的电脑越来越多,人们接触它的机会就会变多,而一些别有用心的人通过不正当的手段查阅、修改、破坏硬盘数据的可能性也就越大。可以说,不必使用很多人手,从键盘输入几个简单命令就有可能使一个重要部门陷入混乱,蒙受重大损失。因此,应该大力加强安全意识,组织有关人员对计算机在具体工作中的安全问题做深入、全面、科学的研究。如果安全意识以及对计算机数据安全问题的认识还停留在今天的水平上,总有一天我们要为计算机安全问题付出代价。关于计算机安全的理论已有不少专著,《解放军报》还开辟专栏对计算机系统安全问题进行了比较全面的介绍。本文针对目前我国单位办公系统中使用计算机的具体情况,分析了人为侵犯计算机数据安全的行为、手段以及数据安全易受威胁的环节,并从技术、管理等方面提出了防护对策。

2 常见的计算机信息资源泄密的途径

1)电磁辐射泄密。计算机设备工作时辐射出电磁波,任何人都可以借助仪器设备在一定范围内收到它,尤其是利用高灵敏度的仪器可以稳定、清晰地看到计算机正在处理的信息。另外,网络端口、传输线路等都有可能因屏蔽不严或未加屏蔽而造成电磁泄漏。实验表明,未加控制的电脑设施开始工作后,用普通电脑加上截线装置,可以在1km内抄收其内容。

2)通信线路泄密。计算机需要借助电缆(双绞线或同轴电缆)、光缆、微波、电话线甚至卫星设备等的介质进行数据传输。从技术上讲,所有这些传输线路都可能被窃听。对电缆的窃听方式可分为接触式和非接触式。接触式的窃听就是在通信线路上搭接侦听设备获取传输信息。而通过运用高灵敏度的电磁感应器接收设备拾取电磁感应或电磁辐射信号就可以实现非接触式窃听。无线传输可以用天线接收,96年俄罗斯军方就是通过侦听卫星移动电话而将车臣反政府武装头目杜达耶夫用导弹击毙的。至于光缆,其薄弱环节在于转接器和分路器。所以,实际上没有绝对安全的传输线路。

3)网络管理不善泄密。虽然黑客、病毒是网络信息安全的两大杀手,然而最主要的安全威胁还是来自内部。网络管理人员由于技术不精或责任心不强,对网络系统未进行必要的安全配置和管理,对网上信息缺乏严密的监控;工作人员违反安全保密规定和操作规程;个人擅自将单位微机挂接互联网;用户不注意对系统进行口令保护,不设口令或使用很容易猜到的口令,使入侵者轻易冒充合法用户进入系统,造成泄密的事实不胜枚举。

4)废弃存储器泄密。存储介质中的信息被擦除后有时仍会留下可读信息的痕迹。另外,在大多数的信息系统中,删除文件仅仅是删掉文件名,而原文还原封不动地保留在存储介质中,一旦被利用,就会泄密。计算机的数据都是存储在软盘、硬盘、光盘、磁带等外部存储介质上的,当这些设备报废时很可能只是局部物理损坏,对它们作一些特殊技术处理便可以获取其内部的几乎所有数据,而这些数据可能是十分完整和精确的。

3 需要注意的数据安全的其他环节

3.1 专用软件委托开发

某个部门需要一个专用软件时,通常都不是自行开发,而是委托另外一些专业人员代为开发。软件开发过程需要双方的合作,在这一环节上如果处理不好,该部门的现有数据对软件开发者可能是全面开放的。在这种场合,电脑数据所受到的威胁包括被非法读取和复制,篡改内容,插入伪造数据,删除有用数据等。

3.2 软、硬件的维护

当某部门的计算机出现故障时,工作人员往往要求助于专业人员实施维修维护。在检测、调试、修复计算机的过程中,硬盘数据随时都会被维护人员别有目的地访问。据报道,有情报机构故意在部队、政府机构等重要部门附近设置电脑维修部,伺机窃取政治、军事和经济情报。

3.3 管理环节

使用计算机的部门如果疏于管理,则极容易造成个人以“合法身份”非法访问电脑数据。例如,若某个操作权限很高的用户打开机器后临时离去,这时“机会”便出现了。在纸张上修改数据会留下痕迹,而在计算机中改动数据可以做到完全不被觉察。另外有的工作人员可能会在下班后将家人、亲友带到办公室来学习、使用计算机或是玩电脑游戏。甚至有些员工避开公司的防火墙,在电脑上使用调制解调器,通过本地的ISP而连接上了国际互联网,导致企业局域网内部的“后门”暴露出来。这样的事情显然使得电脑数据始终处在危险之中。

3.4 电脑病毒

计算机技术固有的缺陷之一便是病毒问题。已发现的计算机病毒有数千种,它们一般都具有破坏性。当病毒发作时,它既可以破坏计算机的功能又可以毁坏硬盘数据。海湾战争前,美国特工将载有“病毒”的芯片装入计算机设备中,通过法国卖给伊拉克军方,开战后将“病毒”激活,造成伊军方的重大损失。曾肆虐一时的CIH更是一个恶性病毒,它甚至可以造成电脑主板失效。

4 防护策略

4.l树立安全意识

如上所述,侵犯计算机数据安全的行为具有多样性,非法人员的攻击手段往往还具有智能性和隐蔽性。泄密和数据破坏都可能造成严重后果。例如在公司财务管理系统中保存着许多各种密级的技术、财务资料,它们一旦数字化并保存到电脑中,其面临的威胁就和其他电脑数据完全一样,而这些资料一旦泄密,将对公司的利益造成重大损失。而由于大硬盘的普及,一个普通的硬盘就足以将整个公司的日常数据全部包容,它一旦遭到破坏,一般都不大可能通过文字材料来全部恢复,况且恢复数据的工作总是十分艰难的。这样,丢失数据轻则要耽误工作进程,重则会使工作陷于混乱或瘫痪。而政府和部队的涉密信息更是敌对势力刻意追求的,因此树立安全意识已是刻不容缓。

4.2 提高数据保险系数

可以通过数据加密、数据集中存储、装双硬盘、升级杀毒软件、经常数据备份、使用低辐射的显示器等方法增加数据的保险系数。数据加密可限制别人的访问;数据集中存储可通过公司局域网来实现,各个部门的计算机可以通过公司网连为一体,形成一个办公系统子网,在子网中运行诸如《公司管理系统》或《财务信息管理系统》这样的统一管理软件,所有的数据保存在服务器上,任何人只有得到授权才能访问服务器上的数据;双硬盘可大大降低因硬盘故障丢失数据的概率;及时升级杀毒软件可减少因病毒感染造成的损失;经常数据备份可有效防止数据丢失;低辐射的显示器可有效防止电磁泄漏。

4.3 加强管理

1)机器的空间管理。计算机应当被放置在安全的地方,并且要避免计算机与易燃、易爆物品为邻,尽量考虑工作电压、湿度、温度、洁净度、静电、电磁干扰等环境因素。还应该建立一套完善的规章制度来指导日常管理,规定可上机操作的人员,制订上机操作说明书,常备出现故障时的措施及恢复顺序说明书,坚持上机登记并做好运行纪录。

2)操作管理。通过采取身份识别来控制操作权限。

通过超级用户的管理,不同人员可以获得不同的操作权限,而未经授权的无关人员不能通过网络访问服务器上的资源。在计算机需要维护时,应采取相应措施保护数据,如先对重要数据进行备份,然后从硬盘上将其抹去,在维护的过程中工作人员应该在场。此外还应确保闲杂人员在任何时候都不得上机操作,不允许自行安装游戏,也不得操作未经安全检测的外来usb盘、光盘等。另外,针对“网络黑客”问题,单位办公系统与Internet的连接应当十分谨慎,重要部门不得与外界联网。

3)淘汰存储器的管理。因故障、升级或其他原因而被淘汰下来的存储器必须被统一销毁,以免造成泄密。

4)提高计算机操作员自身的技术水平。如果使用计算机的人员具有较高的计算机操作技能,对一般的软、硬件产生的故障都能够独立排除,就可以大大减少无关人员介入的机会,也就等于是提高了数据的安全性。计算机操作人员应该达到可以熟练地进行文件操作、磁盘操作以及应用软件安装、使用的程度,并能够识别和排除计算机的常见故障。通过适当的培训要达到这个目的是完全可以的,这也是安全手段中最有效的措施。

10.3969/j.issn.1001-8972.2011.08.080

万为军 (1971-)，男，江西南昌人，硕士，江西旅游商贸职业学院 讲师 主要从事计算机教学。