論算機系統的安全管理及防治對策

　　計算機安全問題是當下熱門問題，今年的3·15晚會上也重點披露了有關用戶信息安全等問題。下面這篇文章給我提供了比較好的參考依據。本篇文章發表在《計算機技術與發展》上，該刊原名《微機發展》，中國計算機學會會刊，中國科技核心期刊、中國科技論文統計源期刊。中國學術期刊綜合評價數據庫統計源期刊，中國核心期刊數據庫收錄期刊，中國期刊全文數據庫收錄期刊，萬方數據資源系統數字化期刊群上網期刊，中國學術期刊(光盤版)全文收錄期刊。中國計算機學會和陜西省計算機學會共同主辦。刊名為著名科學家胡啟恒院士親筆所提，中國計算機學會名譽理事長張效祥院士寫了創刊詞。1991年創刊，國內統一刊號CN61-1450/TP，國際刊號:ISSN 1673-629X。

　　摘要：從計算機系統安全運行方面分析了計算機漏洞產生的原因，討論了漏洞對互聯網安全產生了多方面嚴重危害，提出了計算機用戶面必須及時采取措施來解決和防范系統漏洞。

　　關鍵詞：系統安全 安全管理 解決對策

　　1.加強安全制度的建立和落實

　　1.1制度建設是安全前提。通過推行標準化管理，克服傳統管理中憑借個人的主觀意志驅動管理模式。標準化管理最大的好處是它推行的法治而不是人治，不會因為人員的去留而改變，先進的管理方法和經驗可以得到很好的繼承。各單位要根據本單位的實際情況和所采用的技術條件，參照有關的法規、條例和其他單位的版本，制定出切實可行又比較全面的各類安全管理制度。主要有：操作安全管理制度、場地與實施安全管理制度、設備安全管理制度、操作系統和數據庫安全管理制度、計算機網絡安全管理制度、軟件安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。并制定以下規范：

　　1.2制定計算機系統硬件采購規范。系統使用的關鍵設備服務器、路由器、交換機、防火墻、ups、關鍵工作站，都應統一選型和采購，對新產品、新型號必須經過嚴格測試才能上線，保證各項技術方案的有效貫徹。

　　1.3作系統安裝規范。包括硬盤分區、網段名，服務器名命名規則、操作系統用戶的命名和權限、系統參數配置，力求杜絕安全參數配置不合理而引發的技術風險。

　　1.4問控制列表參數配置規范;規范組網方式，定期對關鍵端口進行漏洞掃描，對重要端口進行實時入侵檢測。

　　1.5應用系統安裝、用戶命名、業務權限設置規范。有效防止因業務操作權限授權沒有實現崗位間的相互制約、相互監督所造成的風險。

　　1.6備份管理規范，包括備份類型、備份策略、備份保管、備份檢查，保證了數據備份工作真正落到實處。制度落實是安全保證。制度建設重要的是落實和監督。尤其是在一些細小的環節上更要注意，如系統管理員應定期及時審查系統日志和記錄。重要崗位人員調離時，應及時注銷用戶，并更換業務系統的口令和密鑰，移交全部技術資料。應成立由主管領導為組長的計算機安全運行領導小組，凡是涉及到安全問題，大事小事有人抓、有人管、有專人落實。使問題得到及時發現、及時處理、及時上報，隱患能及時預防和消除，有效保證系統的安全穩定運行。

　　2.息化建設進行綜合性的長遠規劃

　　計算機發展到今天，已經是一個門類繁多復雜的電子系統，各部分設備能否正常運行直接關系到計算機系統的安全。從設備的選型開始就應考慮到它們的高可靠性、容錯性、備份轉換的即時性和故障后的恢復功能。同時，針對計算機系統網絡化、復雜化，計算機系統故障的影響范圍大的現實，對主機、磁盤機、通信控制、磁帶機、磁帶庫、不間斷電源、機房空調、機房消防滅火系統等重要設備采取雙備份制或其他容錯技術措施，以降低故障影響，迅速恢復生產系統的正常運行。

　　3.全體稅務干部計算機系統安全意識

　　提高安全意識是安全關鍵。計算機系統的安全工作是一項經常性、長期性的工作，而事故和案件卻不是經常發生的，尤其是當處于一些業務緊張或遇到較難處理的大問題時，容易忽略或“破例”對待安全問題，給計算機系統帶來隱患。要強化工作人員的安全教育和法制教育，真正認識到計算機系統安全的重要性和解決這一問題的長期性、艱巨性及復雜性。決不能有依賴于先進技術和先進產品的思想。技術的先進永遠是相對的。俗話說：“道高一尺，魔高一丈”，今天有矛，明天就有盾。安全工作始終在此消彼長的動態過程中進行。只有依靠人的安全意識和主觀能動性，才能不斷地發現新的問題，不斷地找出解決問題的對策。要將計算機系統安全工作融入正常的信息化建設工作中去，在規劃、設計、開發、使用每一個過程中都能得到具體的體現和貫徹，以確保計算機系統的安全運行。

　　4.什么是漏洞

　　也叫脆弱性(Vulnerability)，是計算機系統在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷和不足。漏洞一旦被發現，就可使用這個漏洞獲得計算機系統的額外權限，使攻擊者能夠在未授權的情況下訪問或破壞系統，從而導致危害計算機系統安全。

　　從概念上理解計算機系統漏洞只是文字意義，現在舉個現實中的實例讓你更能透徹理解到底什么是計算機系統漏洞。

　　如今用電子商務支付是非常方便快捷的交易方式，很多人都開通了網上銀行坐在家里通過計算機 網絡 可以進行各項業務的辦理。如果一個人在使用網上銀行交易的過程中，如果計算機本身安全系統不健全，這時黑客就可以通過您的計算機系統漏洞把病毒植入計算機中竊取您銀行卡的賬號和密碼，那么存款在瞬間就會被黑客轉走，您的存款無形中已被竊走。發生的這一切都是黑客通過網絡系統遠程在操作。有了系統漏洞無疑計算機系統安全就得不到保障。

　　5. 漏洞對計算機系統的影響

　　從計算機系統軟件編寫完成開始運行的那刻起，計算機系統漏洞也就伴隨著就產生了。計算機系統軟件分為操作系統軟件和應用系統軟件，因此相對應也就有系統軟件漏洞和應用系統軟件漏洞。下面分別對這兩種漏洞對計算機系統的影響進行。首先分析一下系統軟件漏洞對計算機系統的影響。主要是對windows操作系統常見的若干漏洞分析。

　　(1)UPNP服務漏洞。此漏洞允許攻擊者執行任意指令。Windows操作系統默認啟動的UPNP服務存在嚴重漏洞。UPNP(Universal Plug and Play)體系面向無線設備、PC機和智能應用，提供普遍的對等網絡連接，在家用信息設備、辦公用間提供TCP/IP連接和Web訪問功能，該服務可用于檢測和集成UPNP硬件。UPNP存在漏洞，使攻擊者可非法獲取任何XP的系統級訪問、進行攻擊，還可通過控制多臺XP機器發起分布式的攻擊。

　　(2)幫助和支持中心漏洞。此漏洞可以刪除用戶系統的文件。幫助和支持中心提供集成工具，用戶通過該工具獲取針對各種主題的幫助和支持。在目前版本的Windows XP幫助和支持中心存在漏洞，該漏洞使攻擊者可跳過特殊的網頁(在打開該網頁時，調用錯誤的函數，并將存在的文件或文件夾的名字作為參數傳送)來使上傳文件或文件夾的操作失敗，隨后該網頁可在網站上公布，以攻擊訪問該網站的用戶或被作為郵件傳播來攻擊。該漏洞除使攻擊者可刪除文件外，不會賦予其他權利，攻擊者既無法獲取系統管理員的權限，也無法讀取或修改文件。

　　(3)RDP信息泄露并拒絕服務漏洞。Windows操作系統通過RDP(Remote Data Protocol)為客戶端提供遠程終端會話。RDP將終端會話的相關硬件信息傳送至遠程客戶端，其漏洞如下所述：①與某些RDP版本的會話加密實現有關的漏洞。所有RDP實現均允許對RDP會話中的數據進行加密，然而在Windows 2000和Windows XP版本中，純文本會話數據的校驗在發送前并未經過加密，竊聽并記錄RDP會話的攻擊者可對該校驗密碼分析攻擊并覆蓋該會話傳輸。②與Windwos XP中的RDP實現對某些不正確的數據包處理方法有關的漏洞。當接收這些數據包時，遠程桌面服務將會失效，同時也會導致操作系統失效。攻擊者只需向一個已受影響的系統發送這類數據包時，并不需經過系統驗證。

　　(4)VM漏洞。此漏洞可能造成信息泄露，并執行攻擊者的代碼。攻擊者可通過向JDBC類傳送無效的參數使宿主應用程序崩潰，攻擊者需在網站上擁有惡意的applet并引誘用戶訪問該站點。惡意用戶可在用戶機器上安裝任意DLL，并執行任意的本機代碼，潛在地破壞或讀取內存數據。

　　(5)帳號快速切換漏洞。Windows操作系統快速帳號切換功能存在問題，可被造成帳號鎖定，使所有非管理員帳號均無法登錄。Windows操作系統設計了帳號快速切換功能，使用戶可快速地在不同的帳號間切換，但其設計存在問題，可被用于造成帳號鎖定，使所有非管理員帳號均無法登錄。配合帳號鎖定功能，用戶可利用帳號快速切換功能，快速重試登錄另一個用戶名，系統則會認為判別為暴力破解，從而導致非管理員帳號鎖定。

　　6.結語

　　總之，在互聯網信息發達的年代，每一臺運行的計算機背后總有計算機系統漏洞時時刻刻在威脅著計算機系統的安全運行。作為一名 網絡 用戶，當在你瀏覽網頁，觀看視頻、圖片及傳送文件資料的同時一定要把計算機系統的安全因素提前考慮：安裝殺毒軟件，更新病毒庫，系統漏洞掃描，及時安裝補丁軟件等等，查漏補缺，防患未然。