《计算机安全的重要性》由会员分享,可在线阅读,更多相关《计算机安全的重要性(14页珍藏版)》请在金锄头文库上搜索。
1、计算机安全的重要性一、计算机安全的概念对于计算机安全,国际标准化委员会的定义是为数据处理系统和采取 的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或 恶意的原因而遭到破坏、更改、显露。我国公安部计算机管理监察司的定 义是是指计算机资产安全,即计算机信息系统资源和信息资源不受自然和 人为有害因素的威胁和危害。二、我们在日常生活和工作中遇到的计算机安全威胁计算机容易受到许多威胁从而造成各种各样损害导致严重损失。这些 损害从由于错误而破坏数据库的安全性到火灾摧毁整个计算机中心。损害 的原因是多种多样的,例如,看上去可信的员工欺骗系统的行为、外部黑 客或粗心的数据录入员。由于很多损害永
2、远也无法被发现,有些机构为了 避免公众形象受损所以对损害情况加以掩盖,所以准确的评估计算机安全 相关的损害是不可能的。不同的威胁其后果也有所不同:一些是影响数据 的机密性或完整性而另一些则影响系统的可用性。这些威胁包括:1. 错误和遗漏2 .欺诈和盗窃3. 员工破坏4. 丧失物理和基础设施的支持5. 网络安全攻击6. 有害代码7. 对个人隐私的威胁这里描述了如今系统运行环境中风险的基本情况。所提到的威胁和相关 损害是基于其在当今计算环境中的普遍程度和严重程度以及其预期扩展形 势而提出的。本清单并不详尽,有些威胁可以是不同领域的组合产物。这 里描述的当前常见威胁概况可以为机构研究其自身的威胁环境
3、提供帮助; 但是由于这一话题涉及面比较广阔,所以特定系统所遭遇的威胁可能与这 里讨论的有所不同。为了控制运行信息系统的风险,管理人和用户需要了解系统的缺陷和可 能利用缺陷的威胁。对威胁环境的了解使系统管理人得以实施最具成本效 益的安全措施。在有些情况下,管理人发现简单容忍预期损害更具有成本 效益。这一决策应该基于风险分析的结果。1、错误和遗漏 错误和遗漏是数据和系统完整性的重要威胁。这些错误不仅由每天处理 几百条交易的数据录入员造成,创建和编辑数据的任何类型的用户都可以 造成。许多程序,特别是那些被设计用来供个人计算机用户使用的程序缺 乏质量控制手段。但是,即使是最复杂的程序也不可能探测到所有
4、类型的 输入错误或遗漏。良好的意识和培训项目可以帮助机构减少错误和遗漏的 数量和严重程度。用户、数据录入员、系统操作员和程序员的工作中经常 会出现直接或间接影响安全的错误。在有些情况下,错误是一种威胁,例 如数据录入错误或编程错误会使系统崩溃。在另一些情况下,错误导致了 缺陷。错误可以在系统生命周期的任何阶段发生。一项由计算机安全顾问、 计算机系统安全和隐私咨询委员会的前成员Robert Courtney进行的关于 计算机的经济损失的长期调查显示,机构百分之六十五的损失是错误和遗 漏造成的。在私营和公共机构中,这种情况基本是一样的。编程和开发的 错误通常被称为“臭虫”,其严重程度从温和到灾难性
5、不等。在1989年美 国众议院科学、空间和技术委员会的研究报告程序中的缺陷中,调查 和监督小组委员会成员对政府系统中此类问题的严重性作出了以下总结: 随着费用的不断增加,对于越来越大、越来越复杂的软件系统的稳定性、 成本和准确性的关注也越来越多。随着计算机执行越来越关键的任务,其 错误会导致经济混乱、事故,在极端的情况下会导致死亡,所以对此的 关注也不断升温。自从这份研究报告发表以来,软件工业发生了相当大的变化,软件质量 有了可观的改善。但是关于软件的“恐怖故事“依然大量流传,报告中分 析发现的基本根源和问题依然存在。虽然程序的质量有了很大的改善,减 少了每1000行代码中包含的错误量,但是程
6、序的规模同时也在扩大,这在 很大程度上抵消了程序质量改进的好处。安装和维护的错误是安全问题的另一个根源。例如,由美国正直和效率 总统委员会(PCIE)在1988年进行的审计中发现,被调查的每十个大型计 算机站点中就有一个存在会导致严重安全缺陷的安装和维护错误。2、欺诈和盗窃计算机系统会受到欺诈和盗窃的伤害,这种伤害可以是通过“自动化 “了的传统手段进行也可以是通过新的手段进行。例如,有人可能会使用 计算机在大型帐户中稍微减少一小部分数量的金钱,期望这个微小的差异 不会被调查。金融系统不是这种风险的唯一受害者。控制资源访问的系统(如时间和考勤系统、存货系统、学籍系统以及长途电话系统)都可能成 为
7、受害者。计算机欺诈和盗窃可以是内部人所为也可以是外部人所为。欺 诈主要是内部人(如系统的受权用户)所为。1993年信息周刊/Ernst &Young公司研究发现百分之九十的首席信息官将“知道过多”信息的员 工视为一种威胁。美国司法部计算机犯罪调查部门指出“内部人构成了计 算机系统的最大威胁”。因为内部人既可以访问受害的计算机系统(包括 其控制和流动的资源)又对系统比较熟悉,受权用户在进行计算机犯罪时 处于有利的地位。内部人可以是普通用户(如职员)也可以是技术人员。 了解机构运行情况的机构的前员工也可能是一种威胁,在其访问权限没有 得到适当终止的时侯尤其如此。另外,对于使用技术手段进行欺诈和盗窃
8、,计算机硬件、和软件都容易 被窃取。例如,由Safeware保险公司进行的一项研究发现,在1992年中 由于盗窃损失的计算机的价值高达8亿8千2百万美金。3、员工破坏员工最熟悉其雇主的计算机和应用,包括知道何种行为会导致最大的损 害、故障或破坏。公共和私营机构中人员的不断缩减造成有一些人对整个 机构都很熟悉,这些人可能会保留潜在的系统访问权(如系统帐户没有被 及时删除)。从数量上看,员工破坏事件比盗窃事件要少,但是这种事件 造成的损失却很高。美国工作场所的破坏的作者Mar tin Sprouse报告 说,破坏的动机从利他主义到报复不等:当员工在工作中感到受了欺骗、 厌烦、疲倦、受到威胁或背叛的
9、时侯,破坏将被当做获得工作满足感的直 接手段,这种手段老板当然是不会同意的。4、丧失物理和基础设施的支持丧失基础设施的支持包括电力故障(中断、瞬间高压和电压不足)、丧 失通信能力、水的中断和泄漏、下水管道问题、缺乏运输服务、火灾、洪 水、国内混乱和罢工。这些损害包括如美国世贸中心爆炸和芝加哥隧道洪 水这样的激烈事件,也包括像水管破裂这样的普通事件。基础设施的丧失 通常导致系统停机,有时结果是在无法预料的。例如,在暴风雪的天气下 员工无法上班,而计算机系统依然在工作。5、网络安全攻击(1)即时通信软件的安全性QQ,MSN等都是这个被关注的软件;现象,号码被盗,欺骗熟人,骗钱;建议:密码弄的安全点
10、,不要相信网上的人的借钱,即便认识,打款前先 电话确认下;或者开通声频功能;或者直接说我也没钱(只要一说钱,就 敏感点,先当骗子再说)(2)病毒,木马软件的安全性;现象:计算机速度慢,建议:不要随便打开网络上不认识或不熟悉的人发的图片,可执行文件等; 保持经常杀病毒,木马;同时自己的文件做好备份,和操作系统分开放; 比如操作系统C盘,其他文件放D盘;免的万一要重新装系统,机器 不行了,很麻烦。(3)网上银行的安全性一般开通好后网络银行,可以支持网上银行的转账功能,但可能会有不熟悉操作的人,被不熟悉的人不怀好意的教导下导致不好后果;建议:要么不开通网络银行功能,要开通的话,银行的USB KEY是
11、最好的, 动态口令次一点;USB KEY也有一代,二代的,我用下来觉得二代更好写, 转账时,按确定是需要按USB KEY 上的确定二次,才可。而不是一代的, 鼠标按电脑上界面的确定;可防止恶意远程被操作。其次是,开通的银行卡上,最好钱少点,要用的时候,从另张卡上(这张 卡可以是不开通网上功能的),每次划个1000,2000过去就好。(4)文件安全性这个就看个人具体情况了,图片,文件,可以目录设置安全性,或者文件 设置安全性;(5)游戏安全性打游戏别把自己真实身份傻乎乎告诉人家,包括视频头最好也关掉(尤其 是美女);即便是一起打游戏很长时间的人。网络游戏和生活最好分分开, 保持点距离。6、有害代
12、码有害代码是指病毒、蠕虫、特洛伊木马、逻辑炸弹和其它“不受欢 迎的软件”。有时人们会错误的认为这些只与个人计算机有关,事实上有 害代码可以攻击其它平台。1993年的一项病毒研究发现,已知病毒的数量 呈指数速度增长,病毒事件的数量不是这样。研究断定,病毒已经变得相 当普遍,但是这仅仅是“逐步的”。北美商业领域中等到严重的PC-DOS病 毒事件接近于每个季度每1000台PC发生一件,假设大多数这样的企业都 有基本的防病毒保护,那么受感染的机器将是这个数字的3或4倍。有害 代码所造成的实际损失主要来自系统的中断和修复系统所花费的人力资 源。无论如何,费用是巨大的。7、对个人隐私的威胁政府、电信部门、
13、银行和私人公司等积累了大量的关于个人的电子信息, 结合计算机监控、处理和聚集大量关于个人信息的能力形成了对个人隐私 的威胁。这些信息和技术结合的可能性越来越成为现代信息时代的隐忧。 这通常被称为“独裁大哥”。为了防范此类侵害,在过去的很多年中,美 国国会颁布了法律,如1974年隐私法案、1988年计算机匹配和隐私法案, 它定义了政府所收集的个人信息的合法使用界限。对个人隐私的威胁来自 多个方面。在一些案件中,美国联邦和州雇员将个人信息出售给私人侦探 或其它“信息掮客”。1992年发现了一桩类似的案件,美国司法部宣布逮 捕了二十多人,他们涉嫌买卖美国社会保障总署(SSA)计算机文件中的信 息。在
14、调查中,审计员发现SSA的雇员没有限制地访问了超过1.3亿条就 业记录。另一项调查发现在一个IRS区域中有5%的员工浏览过朋友、亲属 和名人的税收记录。有些员工使用这些信息骗取退税,但大多数只是出于 好奇。诸多此类案件的曝光,越来越多的人开始关注针对个人隐私的威胁。 1993年七月在MacWorld杂志中一项特别报告中公布了 Louis Harris& Associates公司的民意调查数据,数据显示在1970年有33%的回答者关 心个人隐私问题。到了 1990年这个数字跃升至79%。虽然对个人隐私威 胁的程度和及其造成的社会成本难以测量,但是很明显,强大的信息技术 有理由使人们担心政府和公司
15、变成“独裁大哥”。增强此类意识是必要的。三、计算机安全的重要性以及受到安全威胁的常见措施计算机存在着某些缺陷。首先,它是电子技术产品,它所处理的信息 也是各种电子信号;其次,系统运行是靠程序控制的,一个大型计算机信 息系统具有数百万个受各种程序控制的逻辑联结;第三,自身抗外界影响 的能力还比较弱,安全存取控制功能还不够完善;第四,其运行环境要求 比较高;第五,现代化管理不够完善。因此计算机资源最易受自然和人为 有害因素的影响。 1992年3月6日,全世界对“米开朗基罗”计算机病毒 的恐慌,就充分反应了计算机安全的重要性。1计算机信息系统的脆弱性 计算机信息系统资源的脆弱因素包括: 数据输入部分
16、:数据通过输入设备输入系统进行处理,数据易被篡改或输 入假数据。编程部分:用语言写成机器能处理的程序,这种程序可能会被篡改或盗窃。 软件部分:计算机系统离开软件就是一堆废铁,一旦软件被修改或破坏, 就会损害系统功能,以至整个系统瘫痪。数据库部分:数据库存有大量的各种数据,有的数据资料价值连城,如果 遭到破坏,损失是难以估价的。操作系统:操作系统是操纵系统运行、保证数据安全、协调处理业务和联 机运行的关键部分,如被破坏就等于破坏了系统功能。输出部分:经处理后的数据要在这里译成人能阅读的文件,并通过各种输 出设备输出,信息有可能被泄露或被截取。通信部分:信息或数据要通过它在计算机之间或主机与终端及网络之间传 送,通信线路一般是电话线、专线、微波、光缆,前三种线路上的信息易 被截取。硬件部分:即除软件以外的所有硬设备,这些电子设备最容易被破坏或盗
