計算機的系統安全論文

計算機的系統安全論文

【關鍵字】摘要、安全分析、解決方案、總結

一、摘要

計算機的系統安全性歷來都是人們討論的主要話題之一。而計算機系統安全主要研究的是計算機病毒的防治和系統的安全。在計算機網絡日益擴展和普及的今天，計算機系統安全的要求更高，涉及面更廣。不但要求防治病毒，還要提高系統抵抗外來非法黑客入侵的能力，還要提高對遠程數據傳輸的保密性，避免在傳輸途中遭受非法竊取。

在Internet/Intranet的大量應用中，Internet/Intranet安全面臨著重大的挑戰。事實上，資源共享和安全歷來是一對矛盾。近年來隨著Internet的飛速發展，計算機網絡的資源共享進一步加強，隨之而來的信息安全問題日益突出。計算機網絡系統被攻擊的原因來自多方面的因素，可以分為以下若干類型：黑客入侵、來自內部的攻擊、計算機病毒的侵入、秘密信息的泄漏和修改網絡的關鍵數據等，這些都可以造成損失等等。

黑客攻擊等威脅行為為什么能經常得逞呢？主要原因在于計算機網絡系統內在安全的脆弱性；其次是人們思想麻痹，沒有正視黑客入侵所造成的嚴重后果，因而舍不得投入必要的人力、財力和物力來加強計算機網絡的安全性，沒有采取有效的安全策略和安全機制。另外，缺乏先進的網絡安全技術、工具、手段和產品等原因，也導致泉州交警部門網絡系統的安全防范能力差。

二、安全風險分析

 小型計算機信息系統安全防御機制首先必須了解存在和潛在的安全威脅，然后制定相應的安全策略，選擇符合企業安全要求的軟硬件產品。

1．物理安全風險分析

物理安全的風險是多種多樣的。物理安全主要是指地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲等。

 它是整個信息系統安全的前提，需要制定健全的安全管理制度，做好備份，加強信息系統的管理，重點設備系統重點保護，避免物理安全風險的發生。

2．網絡安全風險分析

 網絡結構的安全涉及到網絡拓撲結構、網絡路由狀況及網絡的環境等。有來自與公網互聯的安全威脅、內部網絡與系統外部網互聯安全威脅、內部局域網的安全威脅。

3．系統安全風險分析

所謂系統安全通常是指網絡操作系統、應用系統的安全。

對于中國來說，恐怕沒有絕對安全的操作系統可以選擇，無論是Microsoft的Windows NT或者其他任何商用UNIX操作系統，其開發廠商必然有其Back-Door，而且系統本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實際應用上，系統的安全程度跟對其進行安全配置及系統的應用面有很大關系，操作系統如果沒有采用相應的安全配置，則其是漏洞百出，掌握一般攻擊技術的人都可能入侵得手。如果進行安全配置，比如，填補安全漏洞，關閉一些不常用的服務，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進行內部網是不容易，這需要相當高的技術水平及相當長時間。因此應正確估價自己的網絡風險并根據自己的網絡風險大小作出相應的安全解決方案。

4．應用安全風險分析

 應用系統的安全跟具體的應用有關，它涉及很多方面。應用系統是動態的、不斷變化的，應用的安全性也是動態的。這就需要我們對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險，當然保證應用系統的安全也是一個隨網絡發展不斷完善的過程。

1）、資源共享

 資源共享是常見的一種局域網應用，比如文件共享、打印機共享等。由此就可能存在著：員工有意、無意把硬盤中重要信息目錄共享，長期暴露在網絡鄰居上。可能被輕易竊取并傳播出去造成泄密。

2）、電子郵件

電子郵件為用戶提供電子郵件應用。局域網用戶通過寬帶進行電子郵件發送和接收時就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等問題，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機會，給系統帶來不安全因素。

5．管理安全風險分析

管理是網絡中安全最最重要的部分。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。如無關人員隨意出入技術重地，或者員工有意無意泄露他們所知道的一些重要信息。或者網絡出現攻擊行為或受到其它一些安全威脅時無法得到及時的處理。

6．病毒和黑客

網絡是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入局域網。因此，病毒的危害是不可以輕視的。網絡中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內迅速擴散，傳播

到網絡上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。

黑客們的攻擊行動是無時無刻不在進行的，而且會利用系統和管理上的一切可能利用的漏洞。可以綜合采用防火墻技術、web頁面保護技術、入侵檢測技術、安全評估技術來保護網絡內的信息資源，防止黑客攻擊。

三、解決方案

一、自身提高防御意識

1、口令技術

加強內部網絡管理人員以及使用人員的安全意識，很多計算機系統常用口令來控制對系統資源的訪問，這是防病毒進程中，最容易和最經濟的方法之一。網絡管理員和終端操作員根據自己的職責權限，選擇不同的口令，對應用程序數據進行合法操作，防止用戶越權訪問數據和使用網絡資源

2、網絡安全

1）、防火墻技術

是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

2)、防病毒

對于企業網絡及網內大量的計算機，各種病毒更是防不勝防，如宏病毒和變形病毒。徹底清除病毒，必須采用多層的病毒防護體系。企業網絡防病毒系統采用多層的病毒防衛體系和層次化的管理結構，即在企業信息中心設防病毒控制臺，通過該控制臺控制各二級網絡中各個服務器和工作站的防病毒策略，監督整個網絡系統的防病毒軟件配置和運行情況，并且能夠進行相應策略的統一調整和管理：在較大的下屬子公司設置防病毒服務器，負責防病毒策略的設置、病毒代碼分發等工作。其中信息中心控制臺作為中央控制臺負責控制各分控制臺的防病毒策略，采集網絡中所有客戶端防毒軟件的運行狀態和配置參數，對客戶端實施分組管理等。管理員可以通過管理員客戶端遠程登錄到網絡中的所有管理服務器上，實現對整個網絡的管理。根據需要各個管理服務器還可以由專門的區域管理員管理。管理服務器負責收集網絡中的客戶端的實時信息，分發管理員制定的防毒安全策略等。

配套軟件：冠群金辰KILL6.0。KILL采用服務器/客戶端構架，實時保護Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系統的服務器及Internet網關服務器，防止各種引導型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒進入企業內部網，阻止不懷好意的Java、ActiveX小程序等攻擊企業內部網絡系統。它通過全方位的網絡管理、多種報警機制、完整的病毒報告、支持遠程服務器、軟件自動分發，幫助管理員更好的實施網絡防病毒工作。

3、安全加密技術

加密技術的出現為全球電子商務提供了保證，從而使基于Internet上的電子交易系統成為了可能，因此完善的對稱加密和非對稱加密技術仍是21世紀的主流，能起到很好的保護計算機網絡系統的作用。

4、網絡主機的操作系統安全和物理安全措施

防火墻作為網絡的第一道防線并不能完全保護內部網絡，必須結合其他措施才能提高系統的安全水平。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施。按照級別從低到高，分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全;同時主機安全檢查和漏洞修補以及系統備份安全作為輔助安全措施。

5．信息安全

計算機安全和網絡安全的核心的問題是信息安全。信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞，或是信息被非法系統所識別和控制，即確保信息的完整性、保密性、可用性和可控性。

6．應用安全

 加強應用的訪問控制和系統漏洞檢測，采取相應的安全措施，降低應用的安全風險。選擇應用系統時要考慮安全因素。

7．安全管理

安全管理策略主要有：定義完善的安全管理模型；建立長遠的并且可實施的安全策略；徹底貫徹規范的安全防范措施；建立恰當的安全評估尺度，并且進行經常性的規則審核。當然，還需要建立

二、計算機網絡入侵檢測系統

計算機網絡入侵檢測系統是一個能檢測出入侵的系統，它能使安全管理員及時地處理入侵警報，盡可能減少入侵對系統造成的損害。由于入侵事件的實際危害越來越大，人們對計算機網絡入侵檢測系統的關注越來越多，計算機網絡入侵檢測系統已經成為計算機網絡安全體系結構中的一個重要環節。

一個成功的計算機網絡入侵檢測系統，它不但可使系統管理員時刻了解計算機網絡系統（包括程序、文件和硬件設備等）的任何變更，還能為計算機網絡安全策略的制訂提供指導。更為重要的一點是，它應該管理、配置簡單，從而使非專業人員非常容易地獲得計算機網絡安全。而且，入侵檢測的規模還應根據計算機網絡威脅、系統構造和安全需要的改變而改變。入侵檢測系統在發現入侵后，會及時作出響應，包括切斷計算機網絡連接、記錄事件和報警等。所以入侵檢測系統的功能有：(1)監視用戶和系統的運行狀況，查找非法用戶和合法用戶的越權操作；(2)檢測系統配置的正確性和安全漏洞，并提示管理人員修補漏洞；(3)對用戶的非正常活動進行統計分析，發現入侵行為的規律；(4)檢查系統程序和數據的一致性和正確性，如計算和比較文件系統的校驗和；(5)能夠實時對檢測到的入侵行為進行反應；(6)操作系統的審計跟蹤管理。

三.安全配置 

1)、端口：：端口是計算機和外部網絡相連的邏輯接口，從安全的角度來看，僅打開你需要使用的端口會比較安全，配置的方法是在網卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選，不過對于Win2000的端口過濾來說，有一個不好的特性：只能規定開哪些端口，不能規定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。 

2）、IIS： IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，所以IIS的配置是我們的重點，所以在本系統的WWW服務器采取下面的設置： 

首先，把操作系統在C盤默認安裝的Inetpub目錄徹底刪掉，在D盤建一個Inetpub在IIS管理器中將主目錄指向D： \Inetpub。 

其次，在IIS安裝時默認的scripts等虛擬目錄一概刪除，這些都容易成為攻擊的目標。我們雖然已經把Inetpub從系統盤挪出來了，但這樣作也是完全必要的。如果需要什么權限的目錄可以在需要的時候再建，需要什么權限開什么。特別注意寫權限和執行程序的權限，沒有絕對的必要千萬不要給。 

 3）、應用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指出的是ASP, ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射，刪除所有的映射，具體操作：在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射，然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性。 

經過了Win2000 Server的正確安裝與正確配置，操作系統的漏洞得到了很好的預防，同時增加了補丁，這樣子就大大增強了操作系統的安全性能。 

雖然信息管理系統安全性措施目前已經比較成熟，但我們切不可馬虎大意，只有不斷學習新的網絡安全知識、采取日新月異的網絡安全措施，才能保證我們的網絡安全防御真正金湯。

四、網絡系統的安全評估

 網絡安全性之所以這么低的一個主要原因就是系統漏洞。譬如管理漏洞、軟件漏洞、結構漏洞、信任漏洞。采用安全掃描技術與防火墻、安全監控系統互相配合來檢測系統安全漏洞。

網絡安全漏洞掃描系統通常安裝在一臺與網絡有連接的主機上。系統中配有一個信息庫，其中存放著大量有關系統安全漏洞和可能的黑客攻擊行為的數據。掃描系統根據這些信息向網絡上的其他主機和網絡設備發送數據包，觀察被掃描的設備是否存在與信息庫中記錄的內容相匹配的安全漏洞。掃描的內容包括主機操作系統本身、操作系統的配置、防火墻配置、網路設備配置以及應用系統等。

網絡安全掃描的主要性能應該考慮以下方面：①速度。在網絡內進行安全掃描非常耗時；②網絡拓撲。通過GUI的圖形界面，可選擇一個或某些區域的設備；③能夠發現的漏洞數量；④是否支持可定制的攻擊方法；⑤掃描器應該能夠給出清楚的安全漏洞報告。⑥更新周期。提供該項產品的廠商應盡快給出新發現的安全漏洞掃描特性升級，并給出相應的改進建議。

通過網絡掃描，系統管理員可以及時發現網路中存在的安全隱患，并加以必要的修補，從而減小網絡被攻擊的可能。

　　配套軟件：Symantec Enterprise Security Manger 5.5。 　

五、主機防護系統

　　在一個大的的網絡環境中，大部分信息是以文件、數據庫的形式存放在服務器中的。在信息中心，使用WWW、Mail、文件服務器、數據庫服務器來對內部、外部用戶提供信息。但無論是UNIX還是Windows 9X/NT/2K，都存在著這樣和那樣的安全薄弱環節，存放在這些機器上的關鍵業務數據存在著被破壞和竊取的風險。因此，對主機防護提出了專門的需求。

　　配套軟件：CA eTrust Access。eTrust Access Control在操作系統的安全功能之上提供了一個安全保護層。通過從核心層截取文件訪問控制，以加強操作系統安全性。它具有完整的用戶認證，訪問控制及審計的功能，采用集中式管理，克服了分布式系統在管理上的許多問題。

通過eTrust Access Control，我們可以集中維護多臺異構平臺的用戶、組合安全策略，以簡化安全管理工作。

通過以上幾種安全措施的實施，從系統級安全到桌面級安全，從靜態訪問控制到動態入侵檢測主要層面：方案覆蓋網絡安全的事前弱點漏洞分析修正、事中入侵行為監控響應和事后信息監控取證的全過程，從而全面解決企業的信息安全問題，使企業網絡避免來自內外部的攻擊，防止病毒對主機的侵害和在網絡中的傳播。使整個網絡的安全水平有很大程度的提高。

四、總結

對任何信息系統，絕對安全是難以達到的，也不一定是必要的。我們要將信息系統的效能發揮至最大限度，風險降低至最低限度。

信息安全的任務是多方面的，根據當前信息安全的現狀，制定信息安全防范的任務主要是:  從安全技術上，進行全面的安全漏洞檢測和分析，針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網絡防病毒軟件、入侵檢測系統、建立安全認證系統等安全系統。 

 從安全管理上，建立和完善安全管理規范和機制，切實加強和落實安全管理制度，增強安全防范意識。 

信息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源、實體、載體)穩定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality )、完整性(Integrity)、抗否認性(non-Repudiation) ,可用性(Availability)。其他安全:病毒防治、預防內部犯罪。 

總之，網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。為此建立有中國特色的網絡安全體系，需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。

參考文獻：

[1]張紅旗,等.信息網絡安全[M].北京：清華大學出版社，2003.

[2]胡道元.計算機局域網[M].北京:清華大學出版社,2001.

[3]朱理森，張守連.計算機網絡應用技術[M].北京:專利文獻出版社，2001.

[4]謝希仁.計算機網絡(第4版)[M].北京:電子工業出版社,2003.

[5]中小企業信息系統安全設計方案 

[6]網絡信息安全系統設計方案

[7]計算機病毒預防安全設計