時間:2023-03-23 15:15:12
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇計算機安全論文范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
企業按照分級部署網絡版殺毒及管理軟件等終端計算機安全軟件,做到每臺計算機可管理可控制,并掌握整體終端計算機安全動態。通過桌面安全軟件部署,保證病毒定義碼和補丁更新,也可自動分發企業定制的安全策略,如安全基線設置、違規接入審計、系統補丁等,保證企業信息安全政策連貫執行,達到統一標準。
2運行環境安全
在終端計算機安全防護體系建設中,運行環境至關重要。運行環境主要有物理環境、網絡環境等。本文主要介紹網絡環境,在網絡環境中給終端計算機加幾把鎖,把握其方向軌跡和動態。
2.1IP地址固定
在網絡中,IP地址固定可以解決信息安全事故溯源、IP地址沖突、準確掌握上網計算機數量等問題。實施中通過管理和技術相結合的辦法,技術上在網絡設備里通過DHCPSnooping和A-CL列表,實現IP和MAC地址綁定。
2.2控制上互聯網計算機
因工作性質和安全考慮,部分終端計算機僅處理企業內部業務不需上互聯網。因此加大終端計算機上互聯網權限審核力度,技術上實施是在IP地址固定的前提下,在網絡設備通過訪問控制列表ACL或者互聯網出口安全設備里進行配置。
2.3部署準入設備
為保證網絡安全,在網絡邊界或內部部署準入設備,設立終端計算機入網規則,如必須安裝企業桌面安全軟件和配置安全基線等等,通過進程檢測合規后入網或可訪問關鍵業務。
2.4部署內容審計系統
在互聯網出口邊界部署內容審計系統,在線對終端計算機訪問互聯網的行為進行2~7層的識別,可進行關鍵字的設置過濾、URL過濾,對于計算機的互聯網行為做到可控制、可管理、可審計,以保證網絡信息的安全。
2.5部署服務器
為保證終端計算機上網安全,一般建議在互聯網出口設置服務器,用戶通過服務器訪問互聯網。通過服務器訪問互聯網可以提高訪問速度,方便對用戶行為進行管理和審計,起到防火墻作用,保護局域網安全。
3安全管理
三分技術七分管理,是終端計算機安全防護體系建設的準繩。在自身系統和運行環境建設中,技術操作都是通過管理來實施的,因此形成一套安全管理機制并始終貫徹運行,是十分重要的。
3.1建立終端計算機管理制度
建立終端計算機管理制度也是終端計算機安全防護體系建設的組成部分和重要措施,如《計算機信息系統管理》《計算機安全管理實施細則》《計算機工作考核評比細則》《計算機保密管理規定》《信息化考核體系》等都是非常重要的制度,通過建立健全這些制度,形成信息化考核機制,使得終端計算機安全工作有章可循。
3.2提高計算機安全管理的力度和深度
在企業計算機安全管理管理中,管理人員首先要提高各級領導和員工網絡安全重視程度,其次定期通過各種手段完成終端計算機安全檢查工作,如通過桌面安全系統、審計系統檢查計算機違規行為,根據規定實施處罰等,最后安全管理人員要主動識別和評估安全風險,制定和落實安全整改措施,確保終端計算機持續安全穩定運行。
3.3建設完整的計算機實名庫
通過建設終端計算機實名庫,掌握計算機管理動態,實現計算機資產管理,給領導提供決策依據。實名庫建設可采用各單位簽字蓋章上報、在桌面安全管理系統里注冊、定期現場抽查等,從而完成終端計算機實名庫的建設。
3.4建立網絡建設標準
通過網絡建設標準的建立,保障終端計算機安全運行環境,也加強了桌面安全防護體系在網絡體系建設中的作用。
3.5建設一支過硬的信息化隊伍
在企業中,建立信息安全組織架構、明確組織責任、設置相應崗位,建立一支過硬的專業信息化安全隊伍,切實加強計算機管理、維護終端計算機安全。
4結語
1、加固技術
使用加固技術可以使計算機硬件的安全性得到有效提升。涵蓋了防腐加固、溫度環境加固、密封加固及防震加固等。對于加固技術中的防輻射加固來說,是將計算機各方面的硬件,比如電源、硬盤、芯片等均進行屏蔽,從而使電磁波輻射現象的發生實現有效避免。當然,對于計算機硬件方面的工作,除了加固技術外,還需具體情況具體分析,比如為了使數據存儲的安全性得到有效提升,便可以使用數據備份的方面,把有用的數據進行定期復制,并進一步加以保存。
2、加密技術
為了使信息竊取實現有效避免,便可以采取加密技術。該項技術主要分為兩類,一類為對稱加密技術,另一類為非對稱加密技術。其中,對于對稱加密技術來說,主要是指信息的發送方與接收方使用同一各密鑰進行加密及解密數據。非對稱加密技術即為公鑰加密,通過一對密鑰的利用,以分別的方式進行加密與解密數據。
3、認證技術
對于認證技術來說,主要是指通過電子手段的加以利用,以此證明發送者與接受者身份的一種技術,同時該項技術還能夠辨識文件的完整性。也就是說,能夠辨識出數據在傳輸過程中是否被篡改或非法存儲等。認證技術分為兩類,一類為數字簽名,另一類為數字證書。其中,數字簽名又稱之為電子簽名,主要是將數字簽名當作報文發送給接收者。對于用戶來說,可以通過安全可靠的方法向相關部門提交資金的公鑰,從而獲取證書,進一步用戶便具備公開此項證書的合法權益。對于需要用戶公鑰的人,均能夠獲取此項證書,并且通過相關合法協議的簽訂,從而使公鑰的有效性得到證實。對于數字證書來說,將交易各方的身份信息逐一標識出來,進一步提供出驗證各身份的方法,如此一來用戶便能夠使用這些方法對對方的身份進行有效識別。
二、結語
1)計算機本身系統帶的安全隱患。計算機是一個自動更新的系統,在每天甚至是每一個時段的更新過程中,可能會自動攜帶病毒。同時,人們在使用計算機時,由于打開了含有病毒的網頁,或者是接收了帶有病毒的鏈接等,這些操作都可能使得計算機染上病毒。而一些比較嚴重的計算機病毒則是由一些網絡黑客來操控的,一種惡意侵害計算機系統的行為。一些網絡黑客,出于不良目的,利用相應的網路技術,侵入用戶的電腦系統中,或者竊取用戶的重要信息,或許進行監聽活動等,總之給計算機的安全運行帶來了隱患。這些計算機系統本身的安全隱患,要想得到徹底處理,還需要用戶定期對電子計算機的系統進行監控,可以通過程序找到磁盤碎片整理,將不用的程序刪除掉,還可以利用殺毒軟件,將含有病毒的軟件和系統篩選出來,進行補丁和安全維護??傊瑢τ陔娮佑嬎銠C系統本身攜帶的安全隱患,需要從最基礎的操作來進行改變。
2)計算機網絡通信中的防護體系不全面。我們國家的計算機應用技術起步晚,因此,在最近幾年里對于防護體系的建立還不夠完善,這是有一定的社會因素的,其一是,由于我們國家在第二次科技革命中錯過了技術的更新換代,因此計算機技術的引入比較晚,所以人才儲備不足,缺乏高端的計算機防護體系的操作人員;其二是國家對于計算機防護體系的建立重要性認識不足,無論是政策上還是資金上都沒有給予一定的支持,所以單獨憑借社會上的一些企業力量進行全面的網絡通信防護體系的建立是不可能的。因此導致安全隱患多。
3)計算機網絡通信中的防范意識不全面。一方面是運行商的防范意識比較薄弱,運行商將全部的經歷放在了新的技術的研發,以及新的市場份額的搶占上,因此,對于計算機網絡病毒的防范意識比較薄弱,這一方面沒有響應的技術支持和人力支持,所以難以得到落實;另外一方面使廣大用戶的防范意識也相對于薄弱,計算機網路技術的問世方便了人們的溝通,尤其是異地信息的傳遞,快捷高效,人們為了更好的獲取信息,因此往往依賴于電子計算機進行網絡數據的傳輸,而這個傳輸的過程中經常會伴隨產生病毒。運營商與用戶雙方在傳遞信息數據時都缺乏防范意識,所以存在嚴重的安全隱患。
2計算機網絡通信的防護措施
1)加強互聯網的防護系統?;ヂ摼W的IP地址通常來說是一個廣義的開放性的,由于多個用戶通用一個路由器,或者是多個用戶共用一個信號,則可能造成一些釣魚軟件或者是含有病毒的網頁彈開,將病毒帶入到互聯網中。要想徹底的解決這一問題,關鍵是要建立起一個互聯網的防護系統,加強對于病毒入侵的防護??梢越⑵鹜晟频牧髁勘O控系統,密切關注平時的流量動態,如果流量出現異常,則需要立即進行安全檢查,也可以定期對系統進行安全隱患的排查等,實際可用的方法還是比較廣泛的,不同的用戶和互聯網應用中心可以結合實際情況選擇適當的方法,以維護互聯網信息的安全。
2)加強網絡傳輸信息的安全。隨著人們對于互聯網的依賴性的增強,大量的信息每天充斥在互聯網中,一些不安全的病毒隱患就會潛藏在其中,威脅用戶的信息安全,因此,需要建立起一個完善的監控系統,能夠及時的檢測傳輸信息的安全性,擴大檢測的范圍,一旦發現了病毒的蹤跡,立即啟動殺毒軟件進行殺毒。同時,對于一些特別重要的信息數據需要進行加密處理,加密的信息更加安全,收取信息的用戶必須有安全秘鑰才能打開,因此給了傳輸信息一個更加安全的保障。
3)完善網絡安全制度。目前我們國家的計算機管理還比較松散,責任劃分不明確,管理方法落實不到位,因此,需要建立起一個比較完善的網絡安全制度,提高對于網絡通信安全的監管力度,并要求有專門的監督和管理人員,一旦出現相關的安全問題,能夠及時應對,并對一些責任現象進行追責,把責任落實到每一個人,這樣就能夠營造一個相對安全的網絡空間。
3結束語
1.1計算機操作系統安全問題要素分析
計算機機構操作系統的整體開發設計中存在諸多弊端與不足,其會在一定程度上給現下的電子計算機網絡安全帶來很深影響。第一點主要表現在計算機網絡整體結構體系缺陷方面,因為計算機網絡操作系統內部擁有內存管理內容和CPU管理內容以及外設管理內容等。應該了解到,步驟性管理模式均安置計算機模塊和計算機程序,假設此時此類程序中出現相關問題的話,黑客和計算機網絡攻擊者就會趁虛而入,黑客便會利用這一系統缺陷進行網絡攻擊,使得計算機操作系統癱瘓。還有一點就是操作系統網上操作內容涵蓋面較廣,主要包括網絡文件傳輸內容和網絡文件加載內容以及相應安裝程序內容等,除此之后執行文件內容也是其中重點,上述功能的出現都給計算機網絡帶來一系列的安全隱患。最后一點為計算機進程守護,結構系統進程中會等待事件出現,在事件發生之后,計算機網絡客戶并未進行文件執行和鼠標鍵盤處理,守衛進程中存在病毒,但是若遇到特殊情況和現象時,病毒才會被計算機系統進行捕捉。
1.2數據信息存儲內容安全問題要素分析
需要注意的是,計算機數據庫中存有較多文件與信息,通常情況下我們的全部上網信息都會被集中至此,數據庫信息儲存均有便于存儲優異性和便于利優異性以及便于管理優異性等,其安全方面的問題仍舊存在。最為常見的例子為,計算機網絡授權用戶對超出權限的的數據信息進行了相應修改,此時由于非法用戶在操作時直接越過了安全內核,這也就實行了盜竊計算機網絡信息的操作。單就數據庫安全問題而言,我們首先應該保證數據安全性,其次才是保證數據的有效性和完整性,因為網絡數據安全可以有效防止計算機數據庫破快現象的產生,此時非法存取狀態也會被合理的處理掉。
2漏洞挖掘技術要素分析
2.1概念分析
廣義之上的漏洞挖掘技術就是對相關未知事物和位置事件的發現與探索,然后盡最大努力去進行計算機軟件隱藏漏洞查找與挖掘。計算機漏洞分析技術主要是指對已經被發現的計算機漏洞進行分析處理,之后在此基礎上為后續的漏洞利用內容和漏洞補救處理內容等進行操作基礎奠定。
2.2技術分類
以源碼內容為基礎漏洞挖掘技術進行的主要前提為計算機源代碼獲取,針對開源項目,應該對所公布源代碼進行分析,只有這樣才能在一定程度上找到漏洞所在。最為常見的例子即為,Linux結構系統漏洞挖掘工作和缺陷查找工作進行時便可運用此種辦法進行合理解決與分析。需要注意的是,市場上大部分商業計算機軟件源代碼獲得途徑較為稀少且我們并不能夠在此項內容中進行缺陷查找與漏洞挖掘,僅僅只能夠運用目標代碼手段進行計算機網絡漏洞挖掘技術的合理實施。針對目標碼這一問題,應對編譯器部分好指令機構系統部分以及文件格式部分等進行深度分析與調整,但是后續操作難度相對較大。較為正確的做法是,應該將二進制目標代碼進行反向匯編操作,然后獲得應得的匯編代碼,在獲取匯編代碼后要對其進行切片處理,再者則是對度預期相關的代碼進行匯聚操作,使得操作復雜性得以降低,最后的步驟則為功能模塊的仔細分析,便可對計算機網絡結構系統漏洞進行適時分析與觀察。
2.3常見類型
(1)Fuzzing技術從實際角度而言,Fuzzing以自動軟件測試技術形式產生,其存在缺陷性的本質也是眾所周知,核心思想為對黑盒測試的合理利用,并且將絕大多數有效計算機數據作為依托,便可進行正常的計算機應用程序輸入,其標志性內容即為程序出現過程中是否存在異常,以此種斷定手段來挖掘潛在的網絡計算機漏洞。Fuzzing測試內容為部分字符串內容和標志字符串內容以及相關二進制模塊內容等,上述內容均以自身大小作出正常合理區分,在邊界值附近范圍內進行真正意義上的目標測試。Fuzzing技術不僅可以對基本內容進行檢查,同時也可將其運用到網絡安全漏洞檢查中來,其漏洞檢查內容主要包括緩沖區溢出漏洞內容、整型溢出漏洞內容、格式化串漏洞內容、競爭條件漏洞和SQL注入以及跨站點腳本內容等,需要注意的是遠程命令執行內容和文件系統攻擊內容以及信息泄露內容也會被囊括其中。有的Fuzzing工具也會對程序安全性運行機能作出評定。
(2)靜態分析技術當前流行的靜態分析技術以源代碼掃描技術和反匯編掃描技術為主,上述二者并不能被理解為只要程序運行機會發現漏洞。源代碼掃描技術主要是針對開放程序而言的,應運用檢測程序去發現中有悖于文件結構內容和命名內容和函數內容等的運行環節,并挖掘出其自身潛在的漏洞與缺陷。此種漏洞分析技術可以通過熟練語言編程進行深度的不安全代碼檢查,挖掘出具有不規則性質的代碼以確保源代碼的安全性,因為程序運行以動態為主,應對源代碼就行代碼詞法分析和代碼語法分析,在把握準確程序語義的基礎上去發現安全漏洞問題,隨之將其解決。
3結語
段存在的問題出發,提出針對性的、可行的防范策略,制定合理了計算機網絡信息安全防護方案。
1規劃安全過濾規則
依據具體的計算機網絡安全防護策略和確切的目標,科學規劃安全過濾規則,嚴格審核IP數據包,主要包含以下內容:端口、來源地址、目的地址和線路等,最大限度地禁止非法用戶的入侵。
2設置IP地址
在計算機網絡中,針對全體用戶,規范設置相應的IP地址,進而使防火墻系統能夠準確辨別數據包來源,切實保障計算機網絡的全體用戶均能利用和享受安全的網絡服務。
3安裝防火墻
通過防火墻,在網絡傳輸信息的過程中執行訪問控制命令,只允許通過防火墻檢測合格的用戶和數據才能進入內網,禁止一切不合格用戶或者不安全數據的訪問,有效地抑制了網絡黑客的蓄意攻擊,避免他們擅自修改、刪除或者移動信息?,F階段,防火墻發展成熟且效果顯著,在計算機網絡信息安全的防護中發揮著重要的作用,它能夠最大限度地避免病毒傳播到內網。
4有效利用入侵檢測技術
入侵檢測技術能夠有效防范源自內外網的攻擊,分析計算機網絡信息安全防防護策略的性質可知,防火墻的本質為一種被動防護,為進一步增強其主動性,應有效利用入侵檢測技術,積極防范惡意攻擊。
5定期升級殺毒軟件
為避免計算機內部信息被惡意盜竊,應主動使用殺毒軟件,定期對其進行升級操作,進而不斷增強殺毒軟件的安全防護能力,高效防護計算機內部信息,切實保障內部信息安全。分析計算機網絡信息安全防護現狀可知,殺毒軟件屬于一種經濟適用的安全防護策略,具有較強的安全防護效果,并在現實生活中得到了有效的證實。
6治理網絡中心環境
為達到增強計算機網路信息安全性的目的,應全面治理計算機網絡中心環境,以硬件設施為切入點,及時解決網絡硬件的各種問題,避免因硬件設施故障而引發自然災害現象的發生,提升網絡硬件的工作效率,增強網絡硬件設施的安全性和可靠性,進而達到計算機網絡信息管理標準。
二、結語
Windows2003在用戶設定系統口令時不作口令安全規則檢查,用戶為了使用方便,往往設置很簡單的口令,這樣容易造成口令安全的問題。可以專門增設口令安全規則檢查組件,在用戶設定系統口令時進行口令符合安全規則的檢查。當用戶輸入不符合規則的口令時,系統向用戶指出,并建議用戶更改,否則拒絕用戶使用簡單的口令。在進行安全規則設定時,我們可將規則進行分級,按照應用要求進行不同強度的規則劃分。不同等級強度采用不同的安全規則進行檢查。若1個用戶為系統管理員,則應設為最高級,進行最強的安全規則檢查。若用戶為1個普通用戶,可根據系統對這類用戶的安全要求作相應等級的安全規則檢查。
2口令文件保護
為了加強口令文件的安全,現在都使用了結合隨機數加密口令的方式,有效防止了預處理字典攻擊。作為進一步的改進,可以將Windows2003的口令文件管理SAM進行擴展,在創建新用戶時,采集每個用戶的生物特征信息替代上面的隨機數,將生物特征代碼與用戶口令合成,再加密生成加密數據存貯在口令文件相應位置。這樣也可防范預處理字典攻擊,同時,由于生物特征與每1個人和用戶名相對應,這樣用戶不可能否認該帳號不是他的,可提供抗抵賴證據。
3訪問控制
Window2003的訪問控制采用了自主訪問方式,具有較好的靈活性和易用性,同時有些安全組件己經實現了Bl級的部份安全要求,如安全標識功能。因此我們可以充分利用現有的安全組件,增設相應的強制訪問控制管理機制。系統首先執行強制訪問控制來檢查用戶是否擁有權限訪問1個文件組,然后再針對該組中的各個文件制定相關的訪問控制列表,進行自主訪問控制,使系統中主體對客體的訪問要同時滿足強制訪問控制和自主訪問控制檢查。
4文件管理
CZ級要求具備審計功能,不允許訪問其他用戶的內存內容和恢復其他用戶己刪除的文件。Windows2003通過提供相應的安全審計組件滿足安全審計要求。在文件管理方面,Windows2003提供了NTFS文件系統增強文件的安全性。在進行文件刪除管理時,Windows2003通過提供回收站功能,用戶可先將不用的文件放入回收站,這樣用戶可從回收站中將再次需要的文件重新取回。當確認不再使用這些己放入回收站的文件時,只需清空回收站,這時別的用戶就不可能利用系統本身提供的功能恢復別的用戶己刪除的文件。雖然它基本滿足了CZ級對文件管理的要求,但這對更高安全要求的應用是不夠的。由于Windows2003的文件刪除并不是徹底覆蓋刪除文件所用的硬盤扇區,而只是在文件分配表中給該文件作上已刪除標記,使系統不能再訪問,通過使用第3方工具可以很容易地恢復出用戶已刪除的文件。因此為了加強文件管理的安全性,可以通過增加系統安全擦除組件,刪除文件的同時就徹底覆蓋文件所用的硬盤扇區。從而即使有用戶使用第3方工具也無法恢復出別的用戶已通過安全擦除方式刪除的文件。實現安全擦除,由于要重寫刪除文件所用的每一個扇區,因此比較耗費時間,會使系統的響應變慢。在設計擦除組件時,應充分考慮系統的可用性和靈活性,由用戶來設定重寫扇區的次數。系統缺省還是采用Windows2003的常規文件刪除方式,用戶在刪除自己的高密文件時,根據安全需求采用相應的擦除方式。
5漏洞補丁
Windows2003在發現系統安全漏洞后,通過及時在網上系統的漏洞補丁來解決由漏洞引起的安全隱患。通常網上公布后,由用戶自行下載安裝或設置系統定時下載補丁來安裝,但這樣缺乏及時性。應在系統安全漏洞的補救方式上,采取“推”而不是“拉”的辦法實現安全漏洞的補救。這樣一旦發現系統安全漏洞,操作系統供應商提出解決方案后就可通過網絡向用戶系統及時推出,而不是由用戶知道了漏洞再向服務器下“拉”漏洞補丁而錯過及時解決問題的時機。增加1個專門接收系統漏洞補丁的組件,保持端口常開,隨時接收來至網站的安全補丁,實現漏洞補救的及時性。
6用戶管理
在Windows2003系統中,系統管理員擁有絕對的權力,能對系統的一切相關設置進行管理,這樣對于安全性要求較高的應用場合是不適合的。應改變現有用戶管理的方式,將系統安全管理部分獨立出來,降低超級用戶的權力,設立系統管理員、安全管理員、安全審計員,防止攻擊者利用1個特權用戶的身份獲得對整個系統的控制。系統管理員的職責是系統的日常運行維護,安全管理員管理安全屬性等信息,安全審計員進行審計的配置和審計信息維護3種特權角色的權力互不交叉,不允許同一用戶充當兩種以上的特權角色,使相互之間形權力制約,限制系統管理員的權限,就可避免系統管理員權限過大的缺陷,使Windows2003更能適合安全要求更高的應用場合。
7安全模型
7.1安全操作系統模型
安全模型是對安全策略所表達的安全需求的簡單、抽象和無歧義的描述,為安全策略與其實現機制的關聯提供了1種框架。安全模型描述了對某個安全策略需要用哪種機制來滿足,而模型的實現則描述了如何把特定的機制應用于系統中,從而實現某一特別的安全策略所需要的安全保護。通常由特殊可信主體,完整性檢查員的工作模式。通用操作系統雖然通過使用多種安全技術相結合的辦法能增強系統的安全性,但對于安全性要求較高的應用場合還是不能滿足安全要求的。該安全模型就是為了加強系統的安全性提出的,該模型設計目的就是在更大程度上實現系統的安全性。通常機密性和完整性是操作系統安全的兩個重要特性,BLP模型只解決了機密性的問題,而Biba模型只解決了完整性的問題,沒有使二者同時兼顧。為了更好地實現系統安全,根據BLP和Biha安全型的安全原理,結合實際應用,該模型將安全政策,決策實施,安全數據庫三者相分離,這樣就可以靈活的支持多種訪問控制機制。在這種情況下,系統通過修改內核中與安全相關的系統調用,在具體操作執行前請求安全決策,根據決策結果決定是否允許實施操作。系統安全模型中,把操作系統分為系統內核和用戶空間,系統內核分為安全決策和決策實施兩個部分,安全決策依賴于安全政策,負責判斷1個安全相關行為是否可以執行,決策實施與安全政策無關,負責執行1個已經得到許可的行為所要執行的任務。安全決策內部設立相互獨立的政策支持機制,每個安全政策對應1個政策支持機制,這樣在安全政策的支持方面就能獲得一定的靈活性。在系統中,多種訪問控制機制、安全審計、加密文件系統等安全機制相互結合,構成了強大的安全內核。
7.2通用訪問控制框架
該安全系統模型中,通過使用通用訪問控制框架來實現靈活的訪問控制。當1個主體訪問客體時,相關系統調用就會請求安全決策,安全決策的相應機制首先根據安全請求的類型確定應采用的安全政策,再把決策任務轉交給對應的政策支持機制,最后將決策結果返回給決策實施機制去執行。從內核的角度看,安全相關行為是由系統調用觸發的。以系統調用打開文件為例,這是個安全相關行為,首先決策實施模塊把打開文件的請求提交給安全決策子系統,決策系統受理這個請求,并由相應的政策支持機制作出判斷。決策結果返回給決策實施部分,決策實施部分根據決策結果實施相應動作,并將結果信息返回給系統調用。系統調用根據這個安全決策結果確定下一步的行為。
7.3自主訪問控制
為了實現進一步地對訪問進行控制,系統安全模型中通過增加基于ACL的自主訪問控制來實現。通過訪問控制列表(ACL)機制就可以實現對系統資源的訪問控制粒度的細化,可以實現系統中任一用戶對各種系統資源(目錄,文件,特別文件,管道等)的控制訪問。主體對客體的權限可以有3種方式:第1種是ACL信息中具體指定了此主體對此客體的權限;第2種是主體作為某1組中的具體成員而對此客體享有它所在的組所享有的權限;第3種是該主體取此客體對外的缺省值。
7.4強制訪問控制
強制訪問控制是指對客體訪問的安全政策由系統強制實施,客體屬主無權控制客體的訪問權限,防止對信息的非法和越權訪問,保證信息的機密性。BLP模型是公認的信息保密模型,自產生以來在很多安全操作系統的開發中得到了應用。本模型的強制訪問控制也采用BLP模型,通過利用安全屬性庫(一些安全文件的集合)來實現強制訪問,并把這些安全文件放在受保護的特殊目錄下。為了實現完整性訪問控制,模型可以用Biba安全模型為基礎,根據信息可能被破壞所造成的影響的嚴重程度,對信息的修改實施強制訪問控制,支持系統客體和主體的完整性級別劃分,系統根據用戶身份的完整性級別和信息資源的完整性級別確定用戶對信息資源作修改的授權決定。在完整性訪問控制的支持下,可以防止非法用戶或進程修改敏感信息。
7.5系統管理特權分立
Windows2003、Linux、Unix的用戶特權劃分只有2級,超級用戶和普通用戶。超級用戶具有所有的特權,普通用戶沒有特權。這種做法不符合安全系統的“最小特權”原則。攻擊者只要獲得超級用戶身份,便得到了對系統的完全控制。通過在模型中使用“最小特權”原則對超級用戶的特權進行化分,根據系統管理任務設立3個角色并賦予相應特權。3個系統管理角色分別是系統管理員、安全管理員、審計管理員。統管理員負責系統的安裝、管理和日常維護,如安裝軟件、增添用戶帳號、數據備份等。安全管理員負責安全屬性的設定與管理。審計管理員負責配置系統的審計行為和管理系統的審計信息,3個角色互相制約。攻擊者破獲某個管理角色的口令時不會得到對系統的完全控制,這樣就能更好地保證系統的安全性。
8結束語
關鍵詞:計算機 網絡信息 安全保密技術
隨著計算機網絡的產生和快速發展,不斷改變著人類的生活方式。可以通過計算機網絡技術發送電子郵件,進行網絡辦公,網絡學習,處理銀行事務,國家機關處理要務等等。但是計算機網絡也是一把雙刃劍,許多不法分子或者病毒等等“不速之客”嚴重威脅著人們的計算機網絡信息的安全,甚至會威脅到國家機關和部隊中的信息安全,加強計算機網絡信息安全保密工作至關重要。計算機安全保密技術的提出成為近些年來非常熱門的話題,越來越受到人們的關注。以下將對計算機網絡信息安全保密技術具體分析。
1. 計算機網絡信息安全保密技術的概述
關于計算機網絡信息的安全保密工作主要是通過對計算機系統的安全和數據保護以及對信息保密來實現的。計算機的系統安全主要是指通過一定的安全技術,來進行保護計算機的硬件、應用的軟件和操作系統、數據等等,防止被破壞、入侵的過程。主要是保護計算機網絡防止受到入侵和剖壞,以保護系統的可靠運行和網絡的不中斷。信息保密是指對計算機信息系統中的信息資源進行控制的過程?,F在網絡病毒或者不法分子的入侵越來越多,所以加強計算機安全保密技術非常關鍵。
2. 計算機網絡信息安全的現狀
計算機網絡具有開放性和資源的共享性等等特點,正是由于這些特點,計算機安全和保密技術越來越突出。當前計算機網絡信息所面臨的安全非常多,尤其是對電腦來說,安全問題至關重要。這些病毒主要有:計算機病毒的入侵和危害、計算機電磁信號的泄露、網絡通信協議的安全泄露、在計算機系統中安裝竊密的裝置等等威脅,將會帶來意想不到的后果,對于計算機網絡信息安全和保密工作刻不容緩。
3. 計算機網絡信息安全保密的常用技術
3.1 網絡安全技術
對于計算機網絡的安全和保密工作主要涉及的問題是網絡協議的完備性。主要措施是加強網絡脆弱性的檢測和防火墻、入侵檢測的技術。網絡脆弱性檢測技術,主要是通過計算機“黑客”攻擊而演變出來的探測軟件的集合,主要包括的對象有網絡操作系統、協議、防火墻、口令等等安全保密措施進行保密工作;對這些軟件的探測和攻擊,可以對安全網路的防護做出具體的評估,以不斷改進安全保密措施。防火墻的安全技術,主要是對網絡上流通的信息的識別和過濾,已達到阻止一些信息的作用,這是內部網絡和外部網絡進行安全隔離的系統。入侵檢測技術,主要是通過發現網絡系統的異常訪問,并判斷出一些入侵行為的發生,已達到阻止和反攻擊的目的。
3.2 病毒防治技術
計算機的病毒對于計算機網絡信息安全具有非常大的威脅。典型特征是,進行潛伏、復制和破壞。防治計算機病毒的方法;發現了病毒進行解剖,最后在滅殺。對計算機病毒的主要防治工作可以在服務器上裝載防病毒的裝置;也可以不定期的使用防毒軟件對計算機進行檢測;還可以在網絡接口上安裝防病毒的芯片等,這些方法也可以結合使用也達到病毒防治的作用。
3.3 加強數據庫的安全技術
加強數據庫的安全技術,首先制定出正確的安全策略;在利用一定的技術手段對數據庫進行保護(比如密鑰口令的分段管理,數據加密保護,身份認證,信息加密,防病毒傳染等等保護措施);然后對數據庫管理系統進行安全保密;在制定數據庫的榮滅備份;最后在數據庫的周圍警戒和出入控制等措施。
3.4 鑒別技術
鑒別技術的主要工作發現非法用戶對網絡信息的修改和竊取等。鑒別技術也被稱為認證技術。鑒別技術主要有;對身份的鑒別,目的是為了驗證合法用戶,使系統決定是否能夠上網;在一個是對信息過程的鑒別;還有一個是對防抵賴的鑒別,主要是對重要的文書或者契約發生了否認和抵賴進行防止工作。
3.5 對訪問的控制
這一個工作是計算機信息系統安全中的一個關鍵性的技術。主要是由訪問控制原則和訪問的機制構成的。訪問控制原則可以確定授予每一個用戶的限制條件;訪問機制是實現訪問策略的預定的訪問控制功能。
4. 加強網絡信息安全的輔助措施
主要關于加強電腦的保密工作具體有(1)設置8位以上的開機密碼,以防止他們破解、更改,密碼要定期更換。(2)電腦必須配備安全的殺毒軟件。(3)不得讓無關的工作人員使用電腦。(4)電腦在使用打印機、傳真機等設備時,不得與其它非電腦網絡進行連接,嚴禁在電腦上使用無線設備。(5)對于電腦的維修要嚴格按照程序進行。(6)責任人要定期對電腦進行核對、清查工作,發現丟失后及時向有關部門報告。
結語
隨著計算機技術的不斷發展,對于網絡信息安全保密工作越來越重要,所以要不斷加強計算機網絡信息的安全保密技術,才能確保計算機信息系統的安全可靠。
參考文獻
[1] 周碧英 淺析計算機網絡安全技術[期刊論文]-甘肅科技 2008(3)
[2] 王治 計算機網絡安全探討[期刊論文]-科技創新導報 2008(21)