计算机信息技术和网络技术的应用,成为信息时代的标志.但计算机信息系统潜伏着严重的不安全因.病毒的兴风作浪让了不安全因素更为突出.网络提供了资源共享,但网络安全的脆弱和复杂,对数据的安全和保密构成了新的威胁,这就要求对数据处理系统建立和采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而受破坏、更改和泄漏。为此要为计算机提供良好而又恰当的环境。
一、天灾人祸造成的环境污染
计算机安全的对立面是计算机危害和计算机犯罪.这将造成计算机信息系统的软件硬件资源受到非法的复制,更改,破坏和泄漏,造成系统不能正常运行.
(一)计算机危害的来源。
计算机危害的来源于天灾和人祸。
1.天灾
天灾指不可控制的自然灾害如地震直击雷。天灾轻则造成业务工作混乱,重则造成计算机系统的业务中断或造成无法估量的损失。如1999年8月吉林省蛟河市某电信业务部门的通信设备被雷中,造成惊人的损失。某铁路计算机系统受雷击,设备损坏,铁路运输秩序中断。
2 人祸
人祸可分为有意和无意。
2.1有意
有意的指违纪、违法和犯罪。
违纪主要是内部工作人员违反工作规程和制度。例如银行系统的网络系统管理员与操作员的口令一致,职责不分。
违法和犯罪主要有:
1.制造谣言,发布虚假信息。在相关的主页上散布不真实的消息或道听途说的“秘闻”,制造新闻。
2.诬蔑诽谤,利用计算机进行非法的图像合成,搞张冠李戴,以达目的.
3.非法复制,侵犯著作权和版权.目前最突出的就是盗版光盘和非法下载。
4.窃取机密. 利用特洛伊木马程序的欺诈,在计算机信息系统中隐藏一组破坏或盗窃程序,以达目的.
5.金融犯罪利用计算机信息系统的管理漏洞,偷窃身分或骗取口令,进行诈骗和转移资金。这在电子商务日渐普及的今天,此类犯罪呈上升趋势。
6.色情犯罪利用网络传播色情图文,贩卖色情物品,进行色情交易。
7.宣传邪教
8.宣传种族歧视和民族沙文主义
9.宣传恐怖主义
10.制造和传播病毒.这是最严重的计算机危害.CIH和"I Love you"都造成了严重的后果.
2.2无意
无意的指各种失误和故障。
1.各种各样的误操作都可能会带来不良的后果.典型的有错误的删除文件,错误的输入不正常的数据.
2.有些软件在开发时预留了"窗口",一方面为软件调试或进一步开发和远程维护提供了方便,但也为非法入侵提供了通道.
3.计算机的故障.典型的有系统中的BUGS.
计算机的故障可分为:
(1) 永久性故障,如电路的短路、断线和程序编写的错误,其故障如不解决可重复出现.
(2)间隙性故障,如接触不良引起的不稳定,表现出的系统时好时坏.此故障需进行维修和纠正.
(3)瞬时性故障,如电压的波动的干扰.一般无需修复即可恢复正常.
(4)系统的BUGS.
(二)计算机危害的特点
1.危害大,不仅损坏设备本身,而且会造成严重的社会影响,;
2.范围广,可以作到足不出户,一台调制解调器,一根电话线,一台计算机即可完成跨国犯罪;
3.形式复杂多样,上面已作说明;
4.作案的技术强,速度快,远隔千山万水,作案瞬间可成.
计算机安全保障体系应尽量避免天灾造成的计算机危害,控制预防减少人祸造成的计算机危害。
二、五大管理要素
(一)、系统的软环境
系统的软环境主要指人文社会环境.本文主要指管理组织与制度安全
1、有专门的安全防范组织和安全员。各单位相应的建立健全计算机信息系统安全委员会、安全小组、安全员。安全组织成员应当由主管领导公安保卫、信息中心、人事、审计等部门的工作人员组成,必要时可聘请相关部门的专家组成。安全组织也可成立专门的独立机构。对安全组织的成立、成员的变动等应定期向公安计算机安全监察部门报告。对计算机信息系统中发生的案件,应当在24小时内向当地县级以上公安机关报告。并受公安机关对计算机有害数据防治工作的监督、检查和指导。
[1] [2]
2、有完善的安全管理规章制度,并落到实处。
2、1 必须有机房安全管理制度,其要点为:
(1)、身分验证出入,例如采用指纹自动识别系统作为门禁;
(2)、带入带出物品检查;
(3)、登记手续齐全;
(4)、非经批准不得参观中心机房。
2、2必须有计算机运行系统管理制度,其要点为:
(1)、专人负责启动、关闭计算机系统;
(2)、对系统运行状况进行监视;
(3)、对系统进行定期维护。
2、3必须有各种人员的管理制度
2、3、1 操作人员管理制度,其要点为:
(1)、指定计算机或终端操作;
(2)、程序员、系统管理员、操作员岗位分离;
(3)、系统运行的机器上作与工作无关的操作;
(4)、不越权运行程序,不查阅无关参数;
(5)、操作异常,立即报告。
2、3、2管理人员的管理制度
2、3、3工程技术人员的管理制度包括门卫在内的工作人员均应进行相应的管理。
2、4必须有重要的系统软件、应用软件管理制度,如系统软件的更新维护,应用软件的源程序与目标程序分离,系统自身的安全保护措施 ;
2、5必须有数据管理制度。例如重要数据输入、输出处理管理;
2、6必须有密码口令管理制度,作到口令专管专用,定期更改并在失密后立即报告;
2、7必须有网络通信安全管理制度;
2、8必须有人员调离的安全管理制度。例如,人员调离的同时马上收回钥匙、移交工作、更换口令、取消帐号,并向被调离的工作人员申明其保密义务,人员的录用调入必须经人事组织技术部门的考核和接受相应的安全教育;
2、9必须有病毒的防治管理管理制度。及时检测、清除计算机病毒,并备有检测、清除的记录。
2、10必须实行安全等级保护制度。制定安全等级的划分标准和安全等级的保护办法。
2、11必须实行网络电子公告系统的用户登记和信息管理制度。
2、12必须有对外交流维护管理制度。如运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。
3、详细的工作手册和工作记录。
4、定期进行风险分析,制定灾害恢复计划,如关键技术人员的多种联络方法,备份数据的取得,系统重建的组织。
5、建立安全培训制度,进行计算机安全法律教育、职业道德教育和计算机安全技术教育。对关键岗位的人员进行定期考核。
6、建立合作制度。加强与相关单位的合作,及时获得必要的信息和技术支持。
计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。
(出处:http://www.sheup.com)
[1] [2]
2、5必须有数据管理制度。例如重要数据输入、输出处理管理;
2、6必须有密码口令管理制度,作到口令专管专用,定期更改并在失密后立即报告;
2、7必须有网络通信安全管理制度;
2、8必须有人员调离的安全管理制度。例如,人员调离的同时马上收回钥匙、移交工作、更换口令、取消帐号,并向被调离的工作人员申明其保密义务,人员的录用调入必须经人事组织技术部门的考核和接受相应的安全教育;
2、9必须有病毒的防治管理管理制度。及时检测、清除计算机病毒,并备有检测、清除的记录。
2、10必须实行安全等级保护制度。制定安全等级的划分标准和安全等级的保护办法。
2、11必须实行网络电子公告系统的用户登记和信息管理制度。
2、12必须有对外交流维护管理制度。如运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。
3、详细的工作手册和工作记录。
4、定期进行风险分析,制定灾害恢复计划,如关键技术人员的多种联络方法,备份数据的取得,系统重建的组织。
5、建立安全培训制度,进行计算机安全法律教育、职业道德教育和计算机安全技术教育。对关键岗位的人员进行定期考核。
6、建立合作制度。加强与相关单位的合作,及时获得必要的信息和技术支持。
计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。
(出处:http://www.sheup.com)
[1] [2] [3]