计算机信息系统的安全性分析

毕业论文 计算机系统的安全性分析 摘要 在人类认知的有限范围内，信息被定义为人类社会以及自然界其他生命体中需要传递、交换、存储和提取的抽象内容。这样的所谓信息存在于现实世界的一切事物之中，被人类利用来认识世界和改造世界。自从人类开始利用信息来为自己服务后，信息安全问题就自然而然地凸现出来，并随之出现了众多相应的解决办法，不过在当时，这个问题并不显得非常重要。但随着人与人、人与自然交流的日益频繁，信息数量的急剧膨胀，并且当其影响到各个相对独立主体重要利益的时候（无论大到国与国之间的战争，或小到个人与个人之间的秘密隐私），信息安全问题就显得特别重要。多年以来，虽然人们总是不自觉地利用信息安全技术来保证我们的秘密，但是只有当计算机网络出现以后，全球最大的互连网Internet连接到千家万户时，信息安全才成为普通百姓也关注的话题。本文从信息安全理论，常见信息安全案例以及如何更好维护信息安全等方面来加以讨论。 关键字：信息安全； 网络安全； 安全防范： 目录 引言    4 一    、信息安全    5 1.1    信息安全概念    5 1.2 信息安全的隐患    5 1.3信息安全的重要性    6 1.4不重视信息安全的后果    6 二    、案例分析    7 2.1    在信息安全方面较成功案例    7 2.2 在信息安全方面做得不足的案例    7 三    、信息安全对策    8 3.1 对技术的提高    8 3.2 对员工的审核    9 结论    9 参考文献    9 引言 信息既是一种资源，也是一种财富。随着知识经济时代的到来，尤其是Internet的普遍应用以来，保护重要信息的安全性，已经成为我们重点关注的问题了。我国企业在运用安全技术方面取得了重大成果，但在信息安全策略和管理方面仍显滞后。在百度搜索可得知，全国计算机用户中68%示其所在企业已安装了应用防火墙（全球平均值为67%），59%部署了互联网服务安全保护措施（全球平均值为58%）。然而，从安全策略及管理方面来看，仅有34%为部署信息技术架构建立了标准和流程（全球平均值为51%），33%建立了业务持续经营或灾难性恢复计划（全球平均值为55％）。由此可见，我国在技术应用方面是相当不错的，但在安全策略和管理环节就显得力不从心了，虽然消耗了大量的资金、人力和无力，却效果甚微。因此，信息安全的重要性必须引起我们的高度重视。 一 、信息安全 1.1 信息安全概念  信息安全宽泛的讲是指信息系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露。系统连续可靠正常地运行，保证信息服务不中断。信息安全主要包括系统安全、网络信息内容的安全、网络上系统信息的安全、网络上信息传播的安全等方面 生活的方方面面离不开对信息依赖，信息的安全性尤为重要。信息安全本身包括的范围很大，大到国家军事政治等机密安全，小到如防范商业企业机密泄露，网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名，信息认证，数据加密等），其中任何一个安全漏洞便可以威胁全局安全。 信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的综合性内容。 1.2 信息安全的隐患 计算机的安全隐患主要来自三个方面：计算机犯罪、计算机病毒、误操作等。 计算机犯罪是指运用计算机技术借助于网络实施的具有严重社会危害性的行为。主要包括网络入侵，散布破坏性病毒，放置后门程序、网络入侵，偷窥、复制他人隐私信息、更改或者删除他人计算机信息。给社会和个人造成严重后果。 计算机病毒传播危害广大，从计算机产生以来病毒便应用而生。2006年的熊猫烧香让我们切身体会到了病毒的威力，中毒后会电脑会出现蓝屏、频繁重启以及系统硬盘数据被破坏等现象。还会导致感染局域网所有计算机系统并使其瘫痪，最终导致无法使用。这一次的事件即使现在回想也还是历历在目。这是人为蓄意为之，不可避免，防不胜防。但是有些计算机病毒是可以避免的。例如2000年的千年虫，严格来说，千年虫不算是病毒，他是系统中的一个结构性缺陷，是因为日期的表示方式导致的这种缺陷，但这是不可避免的。因为早期的电脑配置很低，为了节省空间就把年份只用后两位数表示。如1900就表示为00，这样到新千年时便会出现问题，电脑把2000年认为是1900年。这样就带来了不必要的麻烦，虽然最后经过打补丁修复了漏洞，但千年虫的影响却深深的印刻在每个人的心上。 误操作是由于计算机管理人员麻痹大意、违反现场作业的具体规定，不按照程序进行相应操作，看错或误碰触设备造成的违背操作者意愿的错误指令造成的严重后果。致使信息数据无法恢复，重要数据损失严重，给企业和个人造成无法挽回的后果。其实这是完全可以避免的，但在很多实际工作却总是屡见不鲜。工作人员缺乏基本的职业操守，给原本良好的计算机环境造成不必要的损失。 造成计算机安全隐患的还有个人方面，有的用户不设系统密码、随意使用不明来路的存储器，或者打开来路不明的文件、不装防火墙、不安装杀毒软件或不定期更新、不注重数据的备份等等。 综上所述，网络信息安全隐患无处不在，造成的后果十分严重，不得不引起我们的足够重视。 1.3信息安全的重要性 随着信息时代的来临，信息安全成为各个领域探索和完善的问题。随着网络环境的日益恶化以及企业自身的发展伴随着越来越多的商业泄密事件的发生，信息安全问题逐渐被提上议事日程，企业管理者也逐渐走出以往的误区，信息安全建设成了企业首要任务，一些中小企业也纷纷加入到这个日益庞大的队伍中来。 在一个企业运作过程中，技术上的问题往往都差别不是很大，主要是自身管理和安全意似的薄弱。所以作为信息安全的防范，应该引起管理者的高度重视了。近几年在各企业中屡屡发生的信息被破坏的事件就暴露了企业管理的薄弱环节。其原因主要是两个方面：一是企业领导者不重视或者对其认识不足，二是员工缺乏安全意识。领导者不重视的原因，是因为他们对信息安全在企业中的重要性认识不足，没有认真考虑过一旦出了重大信息安全事故，会给企业造成多么惨重的损失；有些企业的领导目光短浅，对信息安全管理的投资不感兴趣。由于领导的不重视，企业对员工缺乏足够的、持续的信息安全教育和培训，致使员工也没有足够的安全意识，最终导致的危害是非常巨大的。如果从企业的领导到企业的员工普遍都缺乏安全意识，只靠企业的网络管理员、信息安全管理员的常规管理，信息安全将无从谈起。若企业的信息安全得不到保障，轻则将会给企业带严重的经济损失,重则使企业面临破产。 许多企业在近几年投入不少财力购买了安全设备、安全软件、甚至是安全服务，但是，其结果并没有从根本上解决信息安全问题了。其时我们可以从多个角度帮助用户分析：技术不能解决所有的问题，问题出在管理上，必须要两手抓。只有这样才能尽最大可能保证信息不外漏，不被窃取，保护企业财产不受损失。 1.4不重视信息安全的后果 用以下两个例子来阐述不重视信息安全的后果： 案例1：曾智峰是深圳腾讯公司，负责系统监控工作。一次偶然机会他在淘宝网上与杨某认识，二人逐渐熟略以后决定通过窃取他人QQ号出售获利。2005年3月至7月间，由杨医男将随机选定的他人的QQ号通过互联网发给曾智峰，曾智峰将利用职务之便进入本公司计算机后台，对选定的QQ号进行密码修改，使用户无法登录。而后对这些QQ用户进行敲诈勒索或倒卖QQ号并从中获利。二人共修改密码并卖出QQ号约130个，获利6万多元。事后QQ用户报警，警察立案侦查最终两人被绳之以法。 企业管理不善，安全措施防范不到位，安全体系漏洞百出，使得违法犯罪分子有机可乘，这都是造成信息遭窃取的和破坏的根本原因。即使信息被追回，但企业也因此蒙受了信誉损失，也为用户造成了不必要的麻烦。 案例2：巴纳拜·杰克是一名出生于新西兰的黑客、程序员和计算机安全专家。他曾花了2年时间研究如何破解自动提款机。2010年7月28日，在美国拉斯维加斯举行的一年一度的“黑帽”黑客会议上，杰克将2台ATM搬到“黑帽”会场上，他刚一执行破解程序，自动提款机便不断吐出钞票，在地上堆成一座小山！这段“提款机破解秀”堪称2010年“黑帽”黑客会议上最为轰动的精彩好戏。 这名白帽黑客利用自己的技术找到了ATM机的安全漏洞，为银行系统和我们每一个人上了很有教育意义的一堂课。试想一下，如果他把黑客技术用在违法犯罪上，那我们将会损失惨重。事实上，在计算机历史上利用计算机漏洞偷取他人信息，危害公共信息安全的实例比比皆是，社会和企业也因此承受了无法估量的损失。 二 、案例分析 2.1 在信息安全方面较成功案例 2006年的熊猫烧香，相信让很多人记忆深刻，在很多人都来不及防御之前就已经被恶意代码集体攻陷。熊猫烧香恶意程序不仅可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为.gho的系统备份文件，造成用户系统备份文件丢失，从而无法进行系统恢复。同事该程序还能终止大量发病毒软件进程，大大降低用户系统的安全性。给个人用户和企业造成无法挽回的损失。 张晓是一家软件公司的网络管理员，对于像他一样的资深网管，对于信息的安全性时刻保持警惕。公司领导也很注重信息安全的重要性，对于软件公司来说，不仅要预防恶意攻击，还要防范自身产品信息流失和窃取。为此，公司领导命令张晓和其他网管制定了几套安全运营，时刻保持windows获得最新的安全更新，定期查看服务器拦截记录，时刻预防特殊情况的发生。 在熊猫烧香在网络上迅速蔓延之时，该公司部分电脑遭受恶意攻击，导致系统无法使用和无法恢复。张晓和其他同事迅速启动安全预案，首先切断公司外网，隔离中毒电脑，立即加强服务器密码强度，并且通知全公司个人电脑加强密码强度，防止被恶意代码修改密码，导致无法登录的情况发生；同时迅速分析恶意程序功能和特点，结合自身安全预案，迅速进行补救措施。首先利用组策略，关闭所有驱动器的自动播放功能，放置恶意程序在未经未允许的情况下自动启动；修改文件夹选项，查看不明文件的真实属性，迅速彻底删除不明文件；利用杀毒软件进行全盘搜索查杀病毒，防止病毒寄存在文件中。对于已经中病毒的电脑迅速进行处理；首先关闭病毒启动项，结束病毒进行；删除病毒文件；修复或重新安装被破坏的安全软件；修复被感染的程序。对于无法修复的电脑就行系统的重转和更新windows更新等操作。 经过张晓和同事的共同努力，公司在基本未受损失的情况下度过了一次考验，为企业和集团挽回了巨大的损失。同行业的其他公司因为做好安全预防的工作，在熊猫烧香的洗礼中遭受了巨大的损失，这是金钱和时间都买不回的高昂代价。如果没有安全预案的指引和导向，遇到问题手忙脚乱，自然是事倍功半。如果没有提前做好安全防范，等到病毒来袭，那就只能坐以待毙，无可奈何了。 2.2 在信息安全方面做得不足的案例 李明的一家保险公司的技术部经理，对于从事已久又缺乏激情的工作，他做事情都是得过且过，很少做到细致入微。对于公司网络环境和信息安全的管理十分不到位。对于网络管理员的工作也很少主动核查详细内容。公司也没有遵守集团下达的相应的安全运营方案等细则。人员积极性不高，公司网络环境和安全状况时刻保持在警戒线上。 作为一名技术部经理难免要经常外出参加集团会议，哪里有分店就去哪里进行技术支持和指导。为此李明要求公司专门为他开设一个后台账户，方面他进行远程登录。按照集团，这种后台账户是严令禁止的，李明为了方便查看内部信息，还是坚持让网络管理人员开了个后门。刚开始使用时，会限期关闭，后来为了使用方便就很少再去主动关闭后门程序。 随着公司的发展和壮大，服务器的增加和工作量的逐渐加大，再由于网络管理人员和李明缺乏沟通，李明和同事逐渐忘记了这个后们程序的存在。就在公司准备向集团进行年底统计汇报时发现，他们的长期顾客群在逐渐减少，新增顾客量虽然很大但都很短期。面对这种情况公司决定进行彻查和整改。李明也被分配到去复查网络安全情况的任务，防止信息丢失引起的公司业绩下滑。就在网络管理人员进行系统检查时发现，早先为李明使用方便而开启的后门程序在近一年间非法登录了近100次，随着登录轨迹查询才得知，该公司的数据库信息被分多次复制和导出了近100万条数据。公司文件全都被预览过，重要信息也有非法复制的痕迹。因为非法登录者每次都使用不同地址进行登录，所以很难查询。根据登录时间和轨迹判断，非法登录者目的只有获取数据信息。初步判定是同行之间的商业机密信息窃取事件。即使该公司及时报警也未能挽回和追缴商业机密数据。原本为简化登录手续而开启的后台却成了他者的方便之门。这次事件给该公司造成的难以预计的损失，造成了大量的顾客群丢失，给企业形象也染上了污点。李明也被革职查办。 原本只是中层干部的小聪明行为，却给非法入侵者取得了可乘之机。如果该公司上层能定期进行检查、如果李明能不行使职务之便。如果该公司网络管理人员能多点责任心，定期检查网络环境和安全状况、那么该事情就不会发生。 三 、信息安全对策 3.1 对技术的提高 常言道：预先做其事，必先利其器。系统信息遭窃取大部分是由于技术落后和意识缺乏引起的，那么我们先来说说技术在网络安全方面的重要性： 技术作为信息安全的基础，也是人们获取信息的手段，它是不可缺少的。它可以防范病毒，监控网络，扫描漏洞等等。技术应用的主要在内在和外在两个方面： 1. 内在方面： 企业内部的网络安全需要全面的技术支持。内在安全隐患主要有未授权访问、破坏数据完整性、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。通过对网络内部行为的监控可以规范网络内部的上网行为，提高工作效率，同时减少企业内部产生网络安全隐患。 2. 外在方面： 外在方面主要防范黑客与病毒。他们在Internet上是无孔不入，这极大地影响了Internet的可靠性和安全性，保护企业自身利益不受损伤、加强网络安全建设都必须建立在技术的基础之上，做到安全的网络边缘防护。 要解决以上两个问题，就必须知道企业的安全需求是什么？ 1.　基本安全需求 企业内部网络、设备正常运行，维护业务系统的安全，是企业网络的基本安全需求。保护服务器资料不被窃取、保护用户帐号、密码等资料不被泄露、对用户帐号和密码进行集中分类管理。设置个人操作权限、对用户身份认证、服务器、PC机和Internet网关的防病毒保证、提供灵活高效且安全的内外通讯服务、保证拨号用户的上网安全等。 2.　关键业务系统安全需求 关键业务系统是企业内网应用的核心。它具有最高的网络安全措施，确保业务系统不被非法访问；保证数据不被破坏；对于试图破坏关键业务系统的行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据；系统服务器、客户机以及电子邮件系统的综合防病毒措施等。 以上两方面都需要安全产品来解决，如：瑞星系列杀毒软件，金山系列杀毒软件，卡巴斯基系列杀毒软件等。他们再更大程度上保证机密信息不被窃听、篡改；防止大多数病毒入侵、破坏等。 3.2 对员工的审核 真正的网络安全实际上不仅靠那些安全产品，更与企业和员工自身长期培养起来的安全意识有关。好的安全意识只会督促自己时刻保持警惕之心，防范于未然。一旦发现问题就采取相应的防范措施，反应速度的快慢和安全方案的优劣将决定你的网络系统被减少伤害到什么程度。 信息能帮助领导者为企业指出正确的方向以及做出正确的决策。如果信息不受安全威胁的影响，则不仅能减少公司不必要的损失、减少人员的浪费，也能大大提高工作效率。制定长期的信息安全，培养公司员工的信息安全意识，使企业再遭遇信息安全时，将损失降到最小。 因此，只有公司领导在以‘管理为主，技术为辅’的情况下，才能使整个公司有条不紊保证信息安全的情况下持续运行下去。 结论 信息安全的重要性是无庸质疑的，它有时能毁灭一个人；有时能毁灭一个企业；甚至还能毁灭一个国家。用先进的技术对个人信息、企业信息、国防信息等各种各样的信息进行有效的管理，才能在风暴来临前或者来临时进行防范或者补救。这样才能是企业屹立在信息海洋中永不衰落。 我们当然不能完全阻止信息被窃取，但我们却能尽最大的努力，使用最先进的技术设备和有责任心的员工，为企业和个人的信息最出最好的防范。尽最大可能减少信息的流失。值得庆幸的是随着科学技术的发展和科技知识的传播，人们越来越认识到信息安全的重要性，而且人们对信息安全的重视程度也加快了信息安全的发展和成熟。 参考文献 [1]曾一.计算机信息管理基础. 重庆大学出版社.2006-8-1 [2]克鲁兹.信息安全.机械工业出版社; 第1版2005版.2005-2-1 [3]胡道元、闵京华、邹忠岿.信息安全.清华大学出版社; 第2版. 2008-10-1 [4]王育民.信息隐藏——理论与技术. 清华大学出版社. 2006-03-01 [5]林东岱. 企业信息系统安全（威胁与对策）. 清华大学出版社2006-03-01