计算机信息系统安全防护措施探讨

1、计算机信息系统安全防护措施探讨摘要：确保计算机信息系统安全，就是要保证计算机的软硬件系统不会由于恶意攻击或偶然的原因导致信息的泄露、更改或破坏。本文分析了计算机信息系统安全的现状与特点，根据保障计算机信息系统安全的需求，从硬件环境、操作系统安全、网络安全、数据库安全等方面，提出了保证计算机信息系统安全的一些策略。关键词：计算机信息系统；安全防护；网络安全；数据库安全1. 引言 计算机信息系统安全，指的是由计算机网络设备、计算机配套设备等组成，根据特定的规格及应用目标，实施信息的加工、采集、传输、存储、检索等处理的人机系统。伴随各个领域中计算机的广泛应用，通过计算机信息系统管理着政府部门和企事业

2、单位的经济、政治、办公、商务等有关信息，通过计算机网络为承载的信息系统实现了前所未有的快速发展。所以，计算机信息系统变成了一些黑客、不法分子经常攻击目标，妄图窃取数据信息或者破坏信息系统。加强计算机信息系统的安全，也就变成了人们越来越高度关注的安全问题。 2. 计算机信息系统安全现状与特点 伴随计算机技术的普及和不断推广应用，计算机信息系统安全所面对的问题越来越多，也越来越严重。当前，计算机信息系统安全主要面对的问题包括：信息犯罪，信息污染，计算机病毒，信息侵权，网络攻击等。依据国家计算机网络信息系统安全协调中心所发布的信息，目前计算机信息系统主要的安全问题包含了3个方面，分别是： （1）诈骗

3、信息及不良信息的传播。因为互联网信息散布广泛、传播快速、发布匿名等原因，以及针对网络的安全法规不完善，监管不彻底等情况，一些诈骗性垃圾邮件、赌博、色情等不良信息、夸大虚假广告等，违反相关法律法规及社会道德标准，公然在互联网上传播，对人民生命财产及青少年心理健康造成了巨大的威胁。 （2）木马及病毒等恶意程序的危害。依赖网络进行传播的木马及病毒等恶意程序，具有惊人的破坏性、传播速度以及传播范围等特点。当计算机连接在网络中，下载、运行、收发电子邮件时，均可能会被该类恶意程序感染，导致信息数据被窃取、信息系统崩溃或瘫痪等巨大的损失。 （3）非法侵入和篡改攻击网站。对网站的非法侵入和攻击，通常是利用计算

4、机操作系统及网络设备的管理上的疏忽及安全上的漏洞造成的，非法侵入者通过各种非法手段的使用，能在被攻击者没有察觉的情况下，入侵到信息系统中，实施删改数据、访问资源、破坏系统等非法行为，导致国家、企业等的信息安全和合法使用者的使用受到极大的损失。 3. 计算机信息系统安全防护措施 防护计算机信息系统的安全，不但要对信息系统所依赖的物理环境、操作系统、计算机网络等进行防护，而且还要保护数据库等系统信息不会被泄露或破坏，加强应用系统本身的安全。 3.1. 计算机硬件与环境安全 计算机信息系统正常运转的基础是可靠的计算机硬件和相关运行环境，它们的安全对信息系统的安全有着直接的影响。确保计算机硬件的安全，

5、可以采取多种保护的技术，如文件加密技术，硬件访问控制技术，防电磁泄露技术，防复制技术等，这些技术均可对计算机硬件实施有效的保护。良好的物理环境对计算机运行有有较大的影响，这些环境的因素包括灰尘、温湿度、电气与电磁干扰、腐蚀等。因此，在计算机信息系统所处在的位置，要遵循国家颁布的计算站场地安全要求(GB9361-88)及计算站场地技术要求(GB2887-89)实施，从而为计算机信息系统提供良好的环境基础。 3.2. 操作系统安全 操作系统的安全性属于系统级安全范围，其主要功能是控制系统的运行，管理计算机各种资源。因而，操作系统常常会被“计算机病毒”、“黑客”等攻击。为了保证操作系统的安全性，需要

6、制定必要的安全机制保护操作系统的安全，如部署采用防病毒系统、漏洞扫描、补丁升级等技术。 （1）防病毒系统 通过防病毒系统，能够清除系统中的各种病毒、木马等程序。防病毒系统集成了病毒扫描和清除、监控识别、以及自动升级等功能，甚至还具备一定的数据恢复等功能，能够有效地防范操作系统遭受各种恶意攻击。 （2）漏洞扫描 利用漏洞扫描系统，可以检测本地或远程的计算机安全性漏洞。例如通过对系统服务的扫描，可以发现系统提供服务漏洞的情况、Web服务器全部TCP分配的端口使用情况、一些专用协议的安全评估等。漏洞扫描系统主要有2种类型：基于网络的漏洞扫描器和基于主机的漏洞扫描器。 （3）补丁升级 操作系统应用越多

7、，相应的软件漏洞也会随之增多，恶意攻击者经常会通过这些漏洞，实施对操作系统进行各种攻击。而安装软件补丁则可以有效地提高系统受到攻击的风险，提高系统防御能力。因为补丁管理工作具有持续性、及时性，通过手动更新的方式比较繁琐，可以考虑采用WSUS (Windows Server Update Service)补丁升级系统，它能够在局域网内架设一台升级服务器，让各台终端自动地进行补丁的升级。 3.3. 网络安全 伴随计算机网络延伸，使信息共享和通信更加容易实现，从而也能够使非法用户从远程实施对计算机信息系统的数据的非授权访问，破坏或者拦截数据。基于确保网络安全的考虑，可以实施VPN、防火墙、防水墙、入

8、侵检测技术、PKI认证等技术，保障信息系统的安全。 （1）虚拟专用网络 虚拟专用网络（Virtual Private Network，VPN）依靠二层或三层的网络加密协议，在本地网络或异地网络之间，在公网的通信基础上，架设一条专有的通讯线路，实施安全、保密通信，而无需布设实际物理线路。 （2）防火墙 防火墙可以防止外部用户对内部网络资源的非授权访问，保护内部的设备及各种信息资源，也可以阻止内部用户对外部网络的攻击行为。防火墙采取一定的安全策略，进行对网络之间传输的数据包检查，判断数据包是否可以放行，同时对网络运行状态进行监控。 （3）防水墙 防水墙的主要功能是组织内部信息的泄漏。其通过限制、监

9、测、修改跨越防火墙的信息，在最大程度上屏蔽外部网络内部的结构、信息以及运行状况，从而包含网络的安全。 （4）入侵检测系统 入侵检测系统（Intrusion Detection System，IDS）实时监视网络的数据传输情况，当存在异常的数据传输或访问行为时，IDS发出警报或者实施主动的保护反应手段。目前，IDS主要是依靠两种常用分析方法进行入侵行为或事件的检测，即：异常检测（Anomaly Detection），误用检测（Misuse Detection）。 （5）高强度身份认证 和使用用户名及口令简单的认证不同，采用PKI体制的数字证书技术的身份认证和系统登录可以提供强度更高的安全包含。在

10、用户登录信息系统时，以后对资源进行访问时，均要使用证书及会话的信息进行用户真实身份的验证，阻止用户的非法假冒行为。PKI技术体制还可以用在其它许多方面来加强信息的安全性，如系统的单点登录，日志审计与管理，权限控制与管理，安全电子邮件，安全的WWW网站，电子印章，域用户智能卡登录等。 3.4. 数据库安全 当前，很多计算机信息系统均要使用数据库作为信息的基础设施，进行数据的存储。因为数据库系统数据量巨大，而且同时会有用户进行读取，其安全性问题比较突出。因此，需要对数据库采用统一的数据保护，确保数据库数据的正确有效和安全可靠。 （1）数据加密存储 保证数据的保密性，对于数据的安全性非常关键。一般使

11、用的技术是在存储数据的过程中，通过加密算法进行数据的加密存储于介质中。Windows操作系统的NTFS文件系统，采用的是EFS(Encrypt File System)加密技术，进行对数据加密存储。另外，PGP(Pretty Good Privacy)技术也能够实施存储介质中数据的加密，而不仅仅是应用在电子邮件的非授权阅读方面。 （2）高可用性系统 高可用性系统其主要功能在于，当计算机系统出现硬件或软件故障时，能利用集群软件进行快速的业务切换，确保业务不中断的运行，提高可用性。高可用性系统为利用高速网络互连的系统集合，利用高可用集群软件，实施互相协作，以一致的方式提供给外部相应的服务。 （3）

12、网络备份 对于单机备份这种方式来说，通常是将备份设备连入服务器上，这就会增加服务器的负担，因而备份操作安全性不好。若服务器采用集群或者双机方式，备份设备就仅能使用双机中一台设备实施备份操作。如果网络中有较多的业务主机，而且进行备份操作的数据库版本及系统平台又不一样，那么利用网络备份服务器实施局域网中的不同主机数据的备份，将是一个比较合适的方式。 （4）分级及归档存储管理 分级及归档存储采用的是不同于网络备份的技术。分级及归档存储能够解决数据存储量大造成的一些问题，如网络上不断增加的数据，导致计算机的存储空间不能实现数据库储存的需求等问题。 （5）数据容灾系统 高可用性系统及数据备份系统能够防止

13、因为人为操作失误、软硬件故障以及病毒导致的数据可用性、完整性破坏问题。如果计算机系统遇到火灾、地震及恐怖等袭击时，高可用性系统及数据备份系统就难以解决。这时，需要通过数据容灾系统来对数据的可用性、完整性进行保护。 3.5. 应用系统安全 应用系统安全主要指避免对系统自身的非授权访问，以及系统对所在的计算机系统产生的破坏。应用系统的主要目的是：确保各种记录的准确性、完全性和输入有效性，避免未授权修改或各种操作的错误。确保应用系统安全的常用控制方式有： （1）验证输出数据 对于应用程序的输出数据，应当对其进行有效的验证，保证适当、正确地处理存储信息。应定期地将编辑报告打印出来，同时检查输入正确性。 （2）审查日志 系统应当具备维护用户活动及记录异常活动的功能，能根据需要查阅以往的各种记录信息。 （3）管理用户访问 应用系统访问应制定准入政策。系统的研发人员不能对实际使用的数据库进行调试或访问，以免对系统造成影响。 （4）责任分离 在用户被授权可以用应用程序进行对数据库的访问时，同样也要保证在应用程序中的责任分离。 4. 结束语 随着安全技术的日趋完善与成熟，对于信息系统的安全防护手段结构与功能也越来越成熟，能够在复杂环境中应对一些大规模的攻击行为。这类防护手段大都是把各种设备的数据实施融合，对当前系统的态势进行综合的评估，把各种杂乱