第一篇:淺談計算機系統的安全防范的發展趨勢
淺談計算機系統安全防范的發展趨勢
隨著信息技術和互聯網的高速發展,傳統的安防系統將與各種信息網絡(電話網、綜合數據網、無線數據網)結合起來,成為一種開放的、靈活的系統。伴隨而來的計算機系統安全問題越來越引起人們的關注。計算機系統一旦遭受破壞,將給使用單位造成重大經濟損失,并嚴重影響正常工作的順利開展。加強計算機系統安全工作,是信息化建設工作的重要工作內容之一。
一、計算機系統面臨的安全問題
越來越多的應用系統不斷地普及到全行各個單位。使用范圍廣、用戶多、資源共享程度高,所面臨的威脅和攻擊是錯綜復雜的,歸結起來主要有操作系統的安全問題、應用程序安全問題、網絡協議的安全問題。
(一)操作系統及應用服務的安全問題。現在我行各系統主流的操作系統為微軟Windows 操作系統,該系統存在很多安全隱患和漏洞,病毒往往會趁虛而入,威脅到我行各應用系統的安全問題。操作系統不安全,也是計算機不安全的重要原因。
(二)計算機系統面臨名目繁多的計算機病毒威脅。計算機病毒將導致計算機系統癱瘓,程序和數據嚴重破壞,使網絡的效率和作用大大降低,使許多功能無法使用或不敢使
用。我行普遍采用內外網專機專用的方法來達到真正意義的物理隔離,并在客戶端安裝桌面管理系統嚴禁亂用U盤、光盤等傳輸軟件、切斷了病毒傳染途徑,有效地保證了網絡安全。雖然,至今尚未出現災難性的后果,但層出不窮的各種各樣的計算機病毒活躍在各個角落,令人堪憂。給我們的正常工作已經造成嚴重威脅。
二、計算機安全防范技術的發展趨勢
由于數字信號具有頻譜效率高、抗干擾性能力強、失真少等模擬信號無法比擬的優點,傳統的安全防范系統將在圖像數字化技術的基礎上,逐步轉為以圖像探測和圖像處理為核心。計算機多媒體技術在安防系統中開始從前臺管理向后臺處理發展,在數字圖像的層面上提取有用信息,進行傳送和存貯及相關的處理,在出入口控制系統中的特征識別裝臵將從定義識別變為以模式識別為主,從編碼數據的提取變為圖像、圖形的提取,使其更具智能化。
可以看到,隨著視頻技術、圖像壓縮技術和計算機技術的發展及相應標準的完善,各種專用芯片的研制成功,將把報警探測、出入口控制和電視監控整和為一體,成為全新概念的安防技術系統。
三、關于銀行機房安全防范工作的探討
(一)制定安防工作的基本思路
隨著21世紀知識經濟時代的來臨,金融系統的管理和
競爭將日益體現在技術上,安全保衛工作的技術化也將是必然趨勢,未來的安防系統將是Internet/Intranet及多媒體技術的結合,數字化、整合化、網絡化是其發展的必然趨勢。
(二)進一步規范安防工程的實施
安防系統的設計,應遵守安全、可靠、有效、經濟的指導思想,符合相關法規和技術規范的要求,考慮系統的兼容性和開放性,力求方便易用。同時要根據被保護對象的風險等級和防護級別,選擇與風險等級和防護級別相適應的高性能/價格比的產品和系統。注意系統和設備的防破壞問題,如:具有防破壞的保護殼體,具有防拆報警、防短路、開路、并接假負載、防內部人作案的軟件等。
(三)實現網絡化管理
銀行經過多年的金融電子化建設,已經建成了覆蓋全國的銀行的網絡系統(內聯網),隨著金融網絡業務的不斷發展,系統的網絡帶寬、性能也在不斷提高,這也是安防系統實現網絡化管理的基礎。通過網絡化才能把各級行獨立安防系統聯系起來,進一步發揮系統的作用,實現管理功能和資源共享。
根據安防技術和網絡技術的發展及現有安防設施配臵,在充分保護現有資源的情況下,有步驟地完成安防設施從模擬設備向網絡數字設備的轉化。
總之,計算機網絡系統的安全防范工作不是一朝一夕的工作,而是一項長期的任務,需要全行干部職工的參與和努力,同時要加大投入引進先進技術,建立嚴密的安全防范體系,并在制度上確保該體系功能的實現。
第二篇:計算機系統安全防范
計算機系統安全防范
一、計算機安全概述
計算機系統自身存在缺陷且有一定的脆弱性,已被各種人為因素和自然因素破壞,例如:溫濕度、水災、火災、雷擊和空氣污染等。
1.1計算機信息系統的物理安全計算機信息系統的物理安全是指計算機自身與其相關、配套的設備的安全,這是實體安全。硬件設備是信息載體,它的安全是信息系統安全的前提條件。若想保證網絡系統的物理安全,保證機房安全是關鍵。依照國家規定和標準建設機房,通常建設在建筑的避光處,有時候可以利用窗簾避免陽光照射,同時,機房中還應配備防火、救火設備。設置滿足路由器等設備總功率的電源設備,且能夠提供UPS不間斷的穩定電壓電源。配備空調,以此來保證機房的溫濕度。機房重地禁止不相關人員的進入,對于服務器和交換器等重要設備,應該定期進行雙機備份。
1.2軟件安全軟件安全是信息系統功能正常發揮的必要條件。操作系統是計算機的支撐軟件之一,應該保證程序或者其它系統在計算中的正常運行。操作系統主要管理硬件資源和軟件資源這兩個方面。一旦操作系統開發設計時存在缺陷,自身不安全,也會給整個網絡帶來安全隱患。操作系統管理系統內存CPU和外部設備,各個管理對象和模塊或者程序密切相關,任何一個模塊或者程序出現問題都會給計算機系統帶來損失。
1.3網絡傳輸安全困擾計算機系統安全的相關因素及防范對策目前,主要有局域網和廣域網這兩種網絡形式,且計算機網絡構成形式多樣,因此,網絡覆蓋跨度存在差異,這種覆蓋跨度差異在傳送方面遺留了安全鏈接隱患。
1.4信息安全信息系統的保護內容包括:保護信息有效性、完整性和保密性,避免刪除、修改、泄露和盜竊信息。計算機信息涉及國計民生、科學技術、經濟財政和軍事外交等重要領域,如果沒有科學、系統的保障系統,將會危及國家、社會的發展。
二、計算機系統問題組成
2.1無法保證系統硬件的安全來自系統硬件的電磁干擾。例如:電源變化、漏電、靜電等會對系統安全中造成一定的威脅,另外,設備老化等各種不安全因素也可能危及計算機硬件系統,使其處于不安全狀態。這類威脅影響計算機本身和周圍環境,進而阻礙計算機的正常運行。
2.2計算機系統的軟件數據易被主觀破壞和利用不合理管理人員的不合理利用可能引起計算機系統的運行故障,主觀隨意修改、刪除、復制和調整計算機數據,導致軟件系統在運行過程中可能存在設計、程序編制和使用的錯誤。目前,網絡黑客攻擊是計算機系統最大的威脅,容易引起系統癱瘓。
2.3計算機自身硬件故障計算機系統的核心內容是數據處理,計算機系統是一個復雜的人機系統,具有一定的脆弱性,各個設備的故障都會直接影響數據的安全性,一旦發生計算機硬件故障將會造成嚴重的損失。
2.4計算機系統較為復雜,不確定因素較多計算機研發系統初期,系統不夠成熟,存在一定的缺陷,開發人員的疏忽可能會引發各種漏洞,計算機系統管理員對系統的操作不合理會極大降低系統的安全性,系統操作人員沒有嚴格遵循相關規定進行操作,會使提前制定的保護措施失去預期效果。
2.5計算機病毒的威脅隨著互聯網的不斷發展,計算機病毒的傳播速度逐漸增加。計算機病毒會對系統軟件或者數據造成損壞,有些還會損壞計算機硬件,進而威脅計算機系統安全。
三、計算機系統安全的重要性
3.1計算機中涉及國家政治、經濟和軍事等內容計算機存儲的安全性直接影響相應的保密性,尤其應該加強對一些重大信息的保密,但是由于計算機系統自身脆弱性,導致計算機容易被破壞或者不正當利用。
3.2隨著社會的不斷發展和信息技術的不斷進步計算機系統的功能越來越強大,規模也越來越大,同時,人們對于計算機系統的需求不斷增加,這是社會和科技進步的必然需求,計算機也被廣泛的應用到社會生活的各個方面。
3.3計算機系統安全問題涵蓋面比較廣,涉及到很多學科知識它是一個相當復雜的綜合問題,同時,計算機技術、方法和防護、控制措施應該隨著計算機系統應用環境的變化而變化,及時更新、改進。另外,隨著計算機學科的不斷發展,與之相對應的計算機系統安全也會不斷升級更新。
四、困擾計算機系統安全的相關因素
計算機安全是保證計算機系統資源和信息資源不因自然和人為因素的影響而損壞,保證信息安全可靠,保證計算機系統的安全、高效運行。
4.1自然因素
很難預料和預防的火災、水災、雷擊、地震等的作用引起計算機設備的損壞,計算機運行環境無法滿足安全運行環境標準,例如線路設置不合理、供電系統不穩定、連接不嚴等引起計算機設備故障、數據信息損壞或者被破壞。
4.2人為因素
人既是計算機系統的設計、使用和維護者,又是損壞和破壞者。計算機系統是一個復雜的人機系統,人與計算機關系微妙且密切。
4.2.1在具體的應用過程中,操作人員不嚴格按照規范操作,無意中泄露了口令或者密碼,導致犯罪分子或者敵對勢力非法進入計算機系統,對系統安全構成威脅。
4.2.2竊取、破壞計算機設備,竊取相應的計算機系統信息;管理人員和操作人員沒有定期維護、保養設備,導致計算機系統因長期運行出現故障、信息丟失或者損壞。
4.2.3計算機網絡黑客利用各種手段,例如:監聽密保鑰匙的分配過程、網絡偵聽獲得網絡用戶密碼或者口令,非法攻擊密保鑰匙管理服務器,通過隱蔽渠道進行非法活動,突破防火墻,利用系統漏洞非法登錄網絡系統,修改、破壞重要數據信息,造成嚴重的損失。
4.2.4計算機系統中沒有制定或者設計病毒防范程序,導致計算機病毒入侵,破壞數據文件,有些嚴重導致計算機系統和網絡系統癱瘓。
4.3安全管理制度因素
安全管理制度能夠有效保證計算機系統的安全,但現階段的安全管理制度規范不完善、內控能力不足和落實不到位。
4.3.1計算機安全管理規范不完善
隨著社會的不斷發展,計算機安全管理規范已經不能完全適用,需要不斷的完善、改進。特別是計算機技術的迅猛發展,新問題的涌現,而相應的安全管理規范滯后于科學技術的發展,這為不法分子提供了機會。
4.3.2落實不到位
人們對計算機技術的認識深度不夠,給相應的管理、檢查、監督工作帶來較大的困難。另外,計算機系統運行管理制度科學性不足,不夠嚴格,例如:對計算機技術人員資格審查不嚴、缺少相應的思想教育;過于注重使用,忽略管理,缺少相應的監控;沒有指派專人保管計算機設備;沒有詳細的計算機維護記錄。
五、計算機系統的安全防護措施
5.1完善計算機安全管理制度
制度是計算機系統安全運的前提條件,制定標準化的管理流程,杜絕憑借個人才能和影響力來管理;綜合考慮各方面影響因素,制定長遠的、系統的信息化建設計劃,計算機是一個復雜、綜合的電子系統,各個部門之間的團結協作影響著計算機系統的安全,能夠科學的規劃計算機系統的采購、管理、維護等,以較少的努力換取較高的經濟收益;樹立計算機系統安全意識,加強網絡安全教育。
5.2加大網絡安全建設
對網絡整體進行系統建設,從最低層到最高層,從硬件到軟件。
5.2.1采取加密和加權措施
加密是指采用數字方法重新組合數據,使得除合法介紹介紹者外,任何人都很難恢復原始數據,常用的數字加密技術有:對成性、不對稱性和不可逆加密技術。加權措施是指對計算機進行權利管理和存儲控制,依照規范的認證,賦予用戶相應的操作權限,保證用戶行使有效范圍內的權利,不得越權操作。
5.2.2不斷更新系統
Windows系統是目前較為常用的計算機操作系統,由于Windows系統規模較大,不可避免的會存在一些容易忽視的漏洞。如果不法分子發現這些漏洞,就會研制針對該漏洞的病毒或者攻擊手段。因此,需要在客戶機上安裝最新的補丁程序,禁止已知系統漏洞,且實踐效果較好。
5.2.3建立防火墻
建立網絡防火墻,抑制外部用戶利用非法手段由外部網絡進入內部網路,訪問內部資源,是一種保護內部資源操作環境的網絡互聯網設備。防火墻無法防范通過自身以外的途徑的攻擊,也不能完全阻止已經感染病毒的軟件或者文件的傳輸。
5.2.4充分利用防病毒技術
有效的防病毒技術能夠增加計算機系統的安全性,例如多層防病毒技術較為常見,防病毒不是某個人的責任,是所有用戶的共同責任。
六、結語
隨之互聯網技術的不斷發展,人們更加關注網絡安全問題,尤其是當用戶計算機系統中存在安全漏洞時,給黑客提供了可乘之機。因此,全社會應該深刻認識計算機系統安全的重要性,共同努力、積極參與,樹立計算機安全意識,保證計算機系統的安全、可靠、有效運行。
第三篇:計算機信息系統安全管理制度
計算機信息系統安全管理制度
總 則
第一條 為加強公司網絡管理,明確崗位職責,規范操作流程,維護網絡正常運行,確保計算機信息系統的安全,現根據《中華人民共和國計算機信息系統安全保護條例》等有關規定,結合本公司實際,特制訂本制度。
第二條 計算機信息系統是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
第三條信息中心的職責為專門負責本公司范圍內的計算機信息系統安全管理工作。
第一章 網絡管理
第四條 遵守公司的規章制度,嚴格執行安全保密制度,不得利用網絡從事危害公司安全、泄露公司秘密等活動,不得制作、瀏覽、復制、傳播反動及淫穢信息,不得在網絡上發布公司相關的非法和虛假消息,不得在網上泄露公司的任何隱私。嚴禁通過網絡進行任何黑客活動和性質類似的破壞活動,嚴格控制和防范計算機病毒的侵入。
第五條 各工作計算機未進行安全配置、未裝防火墻或殺毒軟件的,不得入網。各計算機終端用戶應定期對計算機系統、殺毒軟件等進行升級和更新,并定期進行病毒清查,不要下載和使用未經測試和來歷不明的軟件、不要打開來歷不明的電子郵件、以及不要隨意使用帶毒U盤等介質。
第六條 禁止未授權用戶接入公司計算機網絡及訪問網絡中的資源,禁止未授權用戶使用BT、電驢等占用大量帶寬的下載工具。
第七條 任何員工不得制造或者故意輸入、傳播計算機病毒和其他有害數據,不得利用非法手段復制、截收、篡改計算機信息系統中的數據。
第八條 公司員工禁止利用掃描、監聽、偽裝等工具對網絡和服務器進行惡意攻擊,禁止非法侵入他人網絡和服務器系統,禁止利用計算機和網絡干擾他人正常工作的行為。
第九條 計算機各終端用戶應保管好自己的用戶帳號和密碼。嚴禁隨意向他人泄露、借用自己的帳號和密碼;嚴禁不以真實身份登錄系統。計算機使用者更應定期更改密碼、使用復雜密碼。
第十條 IP地址為計算機網絡的重要資源,計算機各終端用戶應在信息中心的規劃下使用這些資源,不得擅自更改。另外,某些系統服務對網絡產生影響,計算機各終端用戶應在信息中心的指導下使用,禁止隨意開啟計算機中的系統服務,保證計算機網絡暢通運行。
第二章 設備管理
第十一條 公司員工因工作需要,確需購買IT設備或配件的,可向信息中心提出申請,若有符合需求的可調配設備;若無可調配或有但不符合工作需要的設備,由申請人填寫《信息設備申請表》。若因工作需要對設備配置有特殊要求的,需在申請表中說明。
第十二條 凡登記在案的IT設備,由信息中心統一管理并張貼IT設備卡。IT設備卡作為相應設備的標識,各終端用戶有義務保證貼牌的整潔與完整,不得遮蓋、撕毀、涂畫等。
第十三條 IT設備安全管理實行“誰使用誰負責”的原則(公用設備責任落實到部門)。凡子公司或合作單位自行購買的設備,原則上由分公司或合作單位自行負責,但若有需要,信息中心可協助處理。
第十四條 嚴禁使用假冒偽劣產品;嚴禁擅自外接電源開關和插座;嚴禁擅自移動和裝拆各類設備及其他輔助設備;嚴禁擅自請人維修;嚴禁擅自調整部門內部計算機信息系統的安排。
第十五條 設備硬件或重裝操作系統等問題由信息中心進行處理。第十六條 原購IT設備原則上在規定使用年限內不再重復購買,達到規定使用年限后,由信息中心會同相關部門對其審核后處理。在規定使用年限期間,計算機終端用戶因工作需要發生調動或離職,需要繼續使用該計算機的應在信息中心作變更備案;不繼續使用該計算機的,部門領導需監督責任人將計算機及相關設備及時退回信息中心,由信息中心再行支配。
第十七條 設備出現故障無法維修或維修成本過高,且符合報廢條件的,由IT設備終端用戶提出申請,并填寫《IT設備報廢申請表》,由相應部門經理簽字后報信息中心。經信息中心對設備使用年限、維修情況等進行鑒定,將報廢設備交有關部門處理,如報廢設備能出售,將收回的資金交公司財務入賬。同時,由信息中心對報廢設備登記備案、存檔。
第三章 數據管理
第十八條 計算機終端用戶計算機內的資料涉及公司秘密的,應該為計算機設定開機密碼或將文件加密;凡涉及公司機密的數據或文件,非工作需要不得以任何形式轉移,更不得透露給他人。離開原工作崗位的員工由所在部門經理負責將其所有工作資料收回并保存。
第十九條 工作范圍內的重要數據(重要程度由各部門經理核定)由計算機終端用戶定期更新、備份,并提交給所在部門部長,由部門部長負責保存。各部門經理在一個季度開始后10天之內將本部門上一季度的工作數據交行政人事部匯集后統一采用磁性介質或光盤保存。
第二十條 計算機終端用戶務必將有價值的數據存放在除系統盤(操作系統所在的硬盤分區,一般是C盤)外的盤上。計算機信息系統發生故障,應及時與信息中心聯系并采取保護數據安全的措施。
第二十一條 對重要的數據應準備雙份,存放在不同的地點;對采用磁性介質或光盤保存的數據,要定期進行檢查,定期進行復制,防止由于磁性介質損壞,而使數據丟失;做好防磁、防火、防潮和防塵工作。
第四章 操作管理
第二十二條 凡涉及業務的專業軟件由使用人員自行負責。嚴禁利用計算機干與工作無關的事情;嚴禁除維修人員以外的外部人員操作各類設備;嚴禁非信息中心人員隨意更改設備配置。
第二十三條 信息中心將有針對性地對員工的計算機應用技能進行定期或不定期的培訓,培訓成績將記入員工績效考核;由信息中心收集計算機信息系統常見故障及排除方法并整理成冊,供公司員工學習參考。
第二十四條 計算機終端用戶在工作中遇到計算機信息系統問題,首先要學會自行處理或參照手冊處理;若遇到手冊中沒有此問題,或培訓未曾講過的問題,再與信息中心或軟件開發單位、硬件供應商聯系,盡快解決問題。
第五章 網站管理
第二十五條 公司網站由信息中心提供技術支持和后臺管理,由公司相關部門提供經審核后的書面和電子版網站建設資料。
(一)網站、網頁出現非法言論時的緊急處置措施
1、網站、網頁由信息中心人員隨時密切監視信息內容。
2、發現網上出現非法信息時,負責人員應立即向部門領導通報情況,情況緊急的應先采取刪除等處理措施,再按流程辦理。
3、網站負責人員在接到通知后立即清理非法信息,強化安全防范措施,并將網站網頁重新投入使用。
4、網站負責人員應妥善保存有關記錄及日志或檢查記錄。
(二)黑客攻擊時的緊急處置措施
1、當有網頁內容被篡改,或通過公司網絡防火墻發現有黑客正在進行攻擊時, 首先應將被攻擊的服務器等設備斷開網絡,同時向上級領導匯報情況。
2、網站負責人員立即進行將被破壞系統進行恢復和重建。
(三)病毒安全緊急處置措施
1、當發現計算機感染病毒后,應立即將該機從網絡上隔離出來。
2、對存放數據的計算機的硬盤進行數據備份。
3、啟用反病毒軟件對該機進行殺毒,同時用殺毒軟件對其他聯網機器進行病毒掃描和清除。
4、如發現殺毒軟件無法清除該病毒,應立即向上級領導報告。
5、經網站負責人員確認確實無法查殺該病毒后,應作好相關記錄,同時立即聯系相關技術人員迅速研究并解決問題。
6、如果感染病毒的設備是服務器或者主機系統,經上級領導同意,應立即切斷服務器并告知客戶端人員進行客戶端機器的殺毒工作。
(四)軟件系統遭受破壞性攻擊的緊急處置措施
1、OA等重要的軟件系統平時必須存有備份,與軟件系統相對應的數據必須有多日備份,并將它們保存于不同的機器上。
2、如發現軟件遭到破壞或運行不正常,應立即向信息中心人員報告。
3、信息中心人員立即進行軟件系統和數據的恢復。
(五)數據庫安全緊急處置措施
1、各數據庫系統要至少準備兩個以上數據庫備份。
2、一旦數據庫崩潰,應立即上級領導報告,同時通知各部門使用人員暫緩上傳上報數據。
3、信息中心人員應對主機系統進行維護,如遇無法解決的問題,立即向上級領導匯報并及時通知專業技術人員進行處理。
4、系統修復完畢后,按照要求恢復數據。
5、如果備份數據也出現問題,及時匯報領導并且聯系軟件開發商解決。
(六)設備安全緊急處置措施
1、計算機、服務器等關鍵設備損壞后,應立即通知信息中心人員。
2、信息中心人員應立即查明原因。
3、如果能夠自行恢復,應立即用備件替換受損部件。
4、如果不能自行恢復的,立即與設備提供商聯系,請求派專業維修人員進行維修。
5、如果設備一時不能修復,應向上級領導匯報。
(七)關鍵人員不在崗的緊急處置措施
1、對于關鍵崗位平時應做好人員儲備,確保一項工作有兩人能操作。
2、一旦發生關鍵人員不在崗的情況,首先應向上級領導匯報。
3、經上級領導批準后由信息中心其他人員進行操作。
第六章 處罰措施
第二十六條 計算機終端用戶擅自下載、安裝或存放與工作無關的文件,經查實后,根據文件大小第一次按10元/100M(四舍五入到百兆)進行罰款,以后每次按倍數原則(第二次20元/100M,第三40元/100M,第四次80元/100M,以此類推)處罰。凡某一使用責任人此種情況出現三次以上(包括三次),將給予行政處罰。
第二十七條 有以下情況之一者,視情節嚴重程度處以50元以上500元以下罰款。
(一)制造或者故意輸入、傳播計算機病毒以及其他有害數據的;
(二)非法復制、截收、篡改計算機信息系統中的數據危害計算機信息系統安全的;
(三)對網絡和服務器進行惡意攻擊,侵入他人網絡和服務器系統,利用計算機和網絡干擾他人正常工作;
(四)訪問未經授權的文件、系統或更改設備設置;
(五)申請人在設備領用或報廢一周之內未將第二章所涉及到的表單交會信息中心;
(六)擅自與他人更換使用計算機或相關設備;
(七)擅自調整部門內部計算機的安排且未向信息中心備案;
(八)日常抽查、崗位調動、離職時檢查到計算機配置與該計算機檔案不符、IT設備卡被撕毀、涂畫或遮蓋等。
(九)工作時間外使用公司計算機做與工作無關的事務;
(十)相同故障多次出現且經判斷故障原因為個人原因所導致的;
(十一)因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關閉;
第二十八條 計算機終端用戶因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的,視情節嚴重,按所破壞設備市場價值的20%~80%賠償,并給予行政處罰。
第七章 附 則
第二十九條 本制度下列用語的含義:
設備:指為完成工作而購買的筆記本電腦、臺式電腦、打印機、復印機、傳真機、掃描儀等IT設備。
有害數據:指與計算機信息系統相關的,含有危害計算機信息系統安全運行的程序,或者對國家和社會公共安全構成危害或潛在威脅的數據。
合法用戶:經信息中心授權使用本公司網絡資源的本公司員工,其余均為非法用戶。
第三十條 計算機終端用戶應積極配合信息中心共同做好計算機信息系統安全管理工作。
第三十一條 本制度適用于全公司范圍,由總裁辦信息中心負責解釋、修訂。
第三十二條 本制度自發布之日起實施,凡原制度與本制度不相符的,照本制度執行。
第四篇:計算機系統安全復習(2013)
計算機系統安全復習
一、判斷題
1.信息網絡的物理安全要從環境安全和設備安全兩個角度來考慮。√ 2.計算機場地可以選擇在公共區域人流量比較大的地方。× 3.計算機場地在正常情況下溫度保持在 18~28 攝氏度。√ 4.機房供電線路和動力、照明用電可以用同一線路。×
5.只要手干凈就可以直接觸摸或者擦拔電路組件,不必有進一步的措施。× 6.備用電路板或者元器件、圖紙文件必須存放在防靜電屏蔽袋內,使用時要遠離靜電敏感器件。√
7.屏蔽室是一個導電的金屬材料制成的大型六面體,能夠抑制和阻擋電磁波在空氣中傳播。√
8.屏蔽室的拼接、焊接工藝對電磁防護沒有影響。×
9.由于傳輸的內容不同,電力線可以與網絡線同槽鋪設。×
10.接地線在穿越墻壁、樓板和地坪時應套鋼管或其他非金屬的保護套管,鋼管應與接地線做電氣連通.√
11.TEMPEST 技術,是指在設計和生產計算機設備時,就對可能產生電磁輻射的元器 件、集成電路、連接線、顯示器等采取防輻射措施于從而達到減少計算機信息泄露的最終目的。√
12.機房內的環境對粉塵含量沒有要求。×
13.防電磁輻射的干擾技術,是指把干擾器發射出來的電磁波和計算機輻射出來的電磁波混合在一起,以掩蓋原泄露信息的內容和特征等,使竊密者即使截獲這一混合信號也無法提取其中的信息。√
14.有很高使用價值或很高機密程度的重要數據應采用加密等方法進行保護。√ 15.紙介質資料廢棄應用碎紙機粉碎或焚毀。√
16.數據備份按數據類型劃分可以分成系統數據備份和用戶數據備份。√ 17.容災就是數據備份。×
18.數據越重要,容災等級越高。√
19.容災項目的實施過程是周而復始的。√
20.如果系統在一段時間內沒有出現問題,就可以不用再進行容災了。×
21.廉價磁盤冗余陣列(RAID), 基本思想就是將多只容量較小的、相對廉價的硬盤進行有機組合,使其性能超過一只昂貴的大硬盤。√
22.Windows 系統中,系統中的用戶帳號可以由任意系統用戶建立。用戶帳號中包含著用戶的名稱與密碼、用戶所屬的組、用戶的權利和用戶的權限等相關數據。×
23.Windows 系統的用戶帳號有兩種基本類型 : 全局帳號(Global Accounts)和本地帳號(local Accounts)√
24.本地用戶組中的 Guests-(來賓用戶)組成員可以登錄和運行應用程序,也可以關閉操作系統,但是其功能比 Users 有更多的限制。√
25.域帳號的名稱在域中必須是唯一的,而且也不能和本地帳號名稱相同,否則會引起混亂。×
26.全局組是由本域的域用戶組成的,不能包含任何組,也不能包含其他域的用戶,全局組能在域中任何一臺機器上創建。×
27.對于注冊表的訪問許可是將訪問權限賦予計算機系統的用戶組,如 Administrator、Users、Creator/Owner 組等。√ 28.每個 UNIX/Linux 系統中都只有一個特權用戶,就是 root 帳號。×
29.標準的 UNIX/Linux 系統以屬主、屬組、其他人三個粒度進行控制。特權用戶不受這種訪問控制的限制。√ 30.UNIX/Linux 系統中,設置文件許可位以使得文件的所有者比其他用戶擁有更少的權限是不可能的。×
31.UNIX/Linux 系統和 Windows 系統類似,每一個系統用戶都有一個主目錄。√
32.數據庫系統是一種封閉的系統,其中的數據無法由多個用戶共享。× 33.數據庫安全只依靠技術即可保障。×
34.數據庫的強身份認證與強制訪問控制是同一概念。×
35.用戶對他自己擁有的數據,不需要有指定的授權動作就擁有全權管理和操作的權限。√
37.數據庫加密適宜采用公開密鑰密碼系統。√
38.數據庫加密的時候,可以將關系運算的比較字段加密。× 39.數據庫管理員擁有數據庫的一切權限。√
40.不需要對數據庫應用程序的開發者制定安全策略。× 41.SQL 注入攻擊不會威脅到操作系統的安全。× 42.完全備份就是對全部數據庫數據進行備份。√
二、單選題
1.網絡安全是在分布網絡環境中對(D)提供安全保護。
A.信息載體
B.信息的處理、傳輸
C.信息的存儲、訪問
D.上面3項都是 2.ISO 7498-2從體系結構觀點描述了5種安全服務,以下不屬于這5種安全服務的是(B)。
A.身份鑒別
B.數據報過濾
C.授權控制
D.數據完整性 3.ISO 7498-2描述了8種特定的安全機制,以下不屬于這8種安全機制的是(A)。
A.安全標記機制
B.加密機制
C.數字簽名機制
D.訪問控制機制 4.用于實現身份鑒別的安全機制是(A)。
A.加密機制和數字簽名機制
B.加密機制和訪問控制機制
C.數字簽名機制和路由控制機制
D.訪問控制機制和路由控制機制
5.在ISO/OSI定義的安全體系結構中,沒有規定(E)。
A.對象認證服務
B.數據保密性安全服務
C.訪問控制安全服務
D.數據完整性安全服務
E.數據可用性安全服務
6.ISO定義的安全體系結構中包含(B)種安全服務。
A.4
B.5
C.6
D.7 7.(D)不屬于ISO/OSI安全體系結構的安全機制。
A.通信業務填充機制
B.訪問控制機制
C.數字簽名機制
D.審計機制
8.ISO安全體系結構中的對象認證服務,使用(B)完成。
A.加密機制
B.數字簽名機制
C.訪問控制機制
D.數據完整性機制 9.CA屬于ISO安全體系結構中定義的(D)。
A.認證交換機制
B.通信業務填充機制
C.路由控制機制
D.公證機制 10.數據保密性安全服務的基礎是(D)。
A.數據完整性機制
B.數字簽名機制
C.訪問控制機制
D.加密機制 11.可以被數據完整性機制防止的攻擊方式是(D)。
A.假冒源地址或用戶的地址欺騙攻擊
B.抵賴做過信息的遞交行為
C.數據中途被攻擊者竊聽獲取
D.數據在途中被攻擊者篡改或破壞 12.SSL產生會話密鑰的方式是(C)。
A.從密鑰管理數據庫中請求獲得
B.每一臺客戶機分配一個密鑰的方式
C.隨機由客戶機產生并加密后通知服務器
D.由服務器產生并分配給客戶機 13(C)屬于Web中使用的安全協議。
A.PEM、SSL
B.S-HTTP、S/MIME
C.SSL、S-HTTP
D.S/MIME、SSL 15.身份鑒別是安全服務中的重要一環,以下關于身份鑒別敘述不正確的是(B)A.身份鑒別是授權控制的基礎
B.身份鑒別一般不用提供雙向的認證
C.目前一般采用基于對稱密鑰加密或公開密鑰加密的方法 D.數字簽名機制是實現身份鑒別的重要機制 16.PKI支持的服務不包括(D)。
A.非對稱密鑰技術及證書管理
B.目錄服務 C.對稱密鑰的產生和分發
D.訪問控制服務 19.會話偵聽與劫持技術屬于(B)技術
A密碼分析還原
B協議漏洞滲透
C應用漏洞分析與滲透
D DOS攻擊
20.PKI的主要組成不包括(B)
A CA
B SSL
C RA
D CR 22.社會工程學常被黑客用于(踩點階段信息收集A)
A 口令獲取
B ARP
C TCP
D DDOS 23,windows中強制終止進程的命令是(C)
A Tasklist
B Netsat C Taskkill
D Netshare 24.現代病毒木馬融合了(D)新技術
A 進程注入
B注冊表隱藏
C漏洞掃描
D都是 25.溢出攻擊的核心是(A)
A 修改堆棧記錄中進程的返回地址
B利用Shellcode
C 提升用戶進程 權限
D 捕捉程序漏洞
26.在被屏蔽的主機體系中,堡壘主機位于(A)中,所有的外部連接都經過濾路由器到它上面去。
A 內部網絡
B周邊網絡 C外部網絡
D自由連接 27.外部數據包經過過濾路由只能阻止(D)唯一的IP欺騙
A 內部主機偽裝成外部主機IP
B內部主機偽裝成內部主機IP C外部主機偽裝成外部主機IP
D外部主機偽裝成內部主機IP 28.ICMP數據包的過濾主要基于(D)
A目標端口
B 源端口
C消息源代碼
D協議prot
31.數字簽名要預先使用單向Hash函數進行處理的原因是(C)。
A.多一道加密工序使密文更難破譯
B.提高密文的計算速度
C.縮小簽名密文的長度,加快數字簽名和驗證簽名的運算速度
D.保證密文能正確還原成明文
34.PKI管理對象不包括(A)。
A.ID和口令
B.證書
C.密鑰
D.證書撤消 35.下面不屬于PKI組成部分的是(D)。
A.證書主體
B.使用證書的應用和系統
C.證書權威機構
D.AS 37.以下關于等級保護的地位和作用的說法中不正確的是(C)A.是國家信息安全保障工作的基本制度、基本國策。B.是開展信息安全工作的基本方法。C.是提高國家綜合競爭力的主要手段。
D.是促進信息化、維護國家信息安全的根本保障。
38.以下關于信息系統安全建設整改工作工作方法說法中不正確的是:(A)A.突出重要系統,涉及所有等級,試點示范,行業推廣,國家強制執行。B.利用信息安全等級保護綜合工作平臺使等級保護工作常態化。C.管理制度建設和技術措施建設同步或分步實施。
D.加固改造缺什么補什么也可以進行總體安全建設整改規劃。39.安全建設整改的目的是(D)
(1)探索信息安全工作的整體思路;(2)確定信息系統保護的基線要求;(3)了解信息系統的問題和差距;(4)明確信息系統安全建設的目標;(5)提升信息系統的安全保護能力; A.(1)、(2)、(3)、(5)B.(3)、(4)、(5)C.(2)、(3)、(4)、(5)D.全部
40.物理安全的管理應做到(D)
A.所有相關人員都必須進行相應的培訓,明確個人工作職責
B.制定嚴格的值班和考勤制度,安排人員定期檢查各種設備的運行情況 C.在重要場所的迸出口安裝監視器,并對進出情況進行錄像 D.以上均正確 41.信息安全的基本屬性是(D)。
A.機密性
B.可用性
C.完整性
D.上面3項都是
42.“會話偵聽和劫持技術”是屬于(B)的技術。
A.密碼分析還原
B.協議漏洞滲透
C.應用漏洞分析與滲透
D.DOS攻擊 43.對攻擊可能性的分析在很大程度上帶有(B)。
A.客觀性
B.主觀性
C.盲目性
D.上面3項都不是
44.從安全屬性對各種網絡攻擊進行分類,阻斷攻擊是針對(B)的攻擊。
A.機密性
B.可用性
C.完整性
D.真實性
45.從安全屬性對各種網絡攻擊進行分類,截獲攻擊是針對(A)的攻擊。
A.機密性
B.可用性
C.完整性
D.真實性 46.從攻擊方式區分攻擊類型,可分為被動攻擊和主動攻擊。被動攻擊難以(C),然而(C)這些攻擊是可行的;主動攻擊難以(C),然而(C)這些攻擊是可行的。
A.阻止,檢測,阻止,檢測
B.檢測,阻止,檢測,阻止
C.檢測,阻止,阻止,檢測
D.上面3項都不是
47.竊聽是一種(A)攻擊,攻擊者(A)將自己的系統插入到發送站和接收站之間。截獲是一種(A)攻擊,攻擊者(A)將自己的系統插入到發送站和接受站之間。
A.被動,無須,主動,必須
B.主動,必須,被動,無須
C.主動,無須,被動,必須
D.被動,必須,主動,無須
48.攻擊者截獲并記錄了從A到B的數據,然后又從早些時候所截獲的數據中提取出信息重新發往B稱為(D)。
A.中間人攻擊
B.口令猜測器和字典攻擊 C.強力攻擊
D.回放攻擊
49.機密性服務提供信息的保密,機密性服務包括(D)。
A.文件機密性
B.信息傳輸機密性
C.通信流的機密性
D.以上3項都是 50.最新的研究和統計表明,安全攻擊主要來自(B)。
A.接入網
B.企業內部網
C.公用IP網
D.個人網 簡答題:
1.Windows 操作系統的安全特點是什么?
在Windows中所有的對象都有一個安全標示符,安全性標識符上列出了允許用戶和組在對象上可以執行的動作。安全性標識符可以用來設置和查詢一個對象的安全屬性,所有的命名對象、進程和線程都有與之關聯的安全描述。Windows安全模式的一個最初目標,就是定義一系列標準的安全信息,并把它應用于所有對象的實例。
2.計算機取證的需要遵循的主要原則是什么?
答:計算機取證的主要原則有:盡早搜集證據,并保證其沒有受到任何破壞;必須保證“證據連續性”即在證據被正式提交給法庭時,必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化,當然最好是沒有任何變化;整個檢查、取證過程必須是受到監督的,也就是說,由原告委派的專家所作的所有調查取證工作,都應該受到由其它方委派的專家的監督。
3.什么是網絡隔離?其關鍵點是什么?
網絡隔離,英文名為Network Isolation,主要是指把兩個或兩個以上可路由的網絡(如TCP/IP網絡)的直接連接斷開,通過不可路由的協議(如:IPX/SPX、NetBEUI等)和專用隔離硬件進行數據交換而達到隔離目的,保護內部網絡的安全和信息不致外泄。
網絡隔離的關鍵點在于任何時刻在保護網絡和外部網絡之間都不存在直接的物理連接,它是目前能夠提供最高安全級別的安全技術。對于需要絕對安全的保密網、專網等網絡與互聯網連接時,幾乎全部采用網絡隔離技術 4.訪問控制有幾種常用的實現方法?它們各有什么特點?
(1)訪問控制矩陣: 行表示客體(各種資源),列表示主體(通常為用戶),行和列的交叉點表示某個主體對某個客體的訪問權限。通常一個文件的Own權限表示可以授予(Authorize)或撤消(Revoke)其他用戶對該文件的訪問控制權限。(2)訪問能力表: 實際的系統中雖然可能有很多的主體與客體,但兩者之間的權限關系可能并不多。為了減輕系統的開銷與浪費,我們可以從主體(行)出發,表達矩陣某一行的信息,這就是訪問能力表(Capabilities)。(3)只有當一個主體對某個客體擁有訪問的能力時,它才能訪問這個客體。但是要從訪問能力表獲得對某一特定客體有特定權限的所有主體就比較困難。在一個安全系統中,正是客體本身需要得到可靠的保護,訪問控制服務也應該能夠控制可訪問某一客體的主體集合,于是出現了以客體為出發點的實現方式——ACL。
(3)訪問控制表 也可以從客體(列)出發,表達矩陣某一列的信息,這就是訪問控制表(Access Control List)。它可以對某一特定資源指定任意一個用戶的訪問權限,還可以將有相同權限的用戶分組,并授予組的訪問權。
(4)授權關系表: 授權關系表(Authorization Relations)的每一行表示了主體和客體的一個授權關系。對表按客體進行排序,可以得到訪問控制表的優勢;對表按主體進行排序,可以得到訪問能力表的優勢。適合采用關系數據庫來實現。5.有哪幾種訪問控制策略?
三種不同的訪問控制策略:自主訪問控制(DAC)、強制訪問控制(MAC)和基于角色的訪問控制(RBAC),前兩種屬于傳統的訪問控制策略,而RBAC是90年代后期出現的,有很大的優勢,所以發展很快。
每種策略并非是絕對互斥的,我們可以把幾種策略綜合起來應用從而獲得更好、更安全的系統保護——多重的訪問控制策略。6.簡述認證機構的嚴格層次結構模型的性質? 層次結構中的所有實體都信任惟一的根CA。在認證機構的嚴格層次結構中,每個實體(包括中介CA和終端實體)都必須擁有根CA的公鑰,該公鑰的安裝是在這個模型中為隨后進行的所有通信進行證書處理的基礎,因此,它必須通過一種安全(帶外)的方式來完成。
值得注意的是,在一個多層的嚴格層次結構中.終端實體直接被其上層的CA認證(也就是頒發證書),但是它們的信任錨是另一個不同的CA(根CA)。
7.可信計算平臺的工作原理是什么?
答:可信計算平臺的工作原理是將BIOS引導塊作為完整性測量的信任的根,可信計算模塊TPM作為完整性報告的信任的根,對BIOS、操作系統進行完整性測量,保證計算環境的可信性。信任鏈通過構建一個信任根,從信任根開始到硬件平臺、到操作系統、再到應用,一級測量認證一級,一級信任一級,從而把這種信任擴展到整個計算機系統。其中信任根的可信性由物理安全和管理安全確保。
8.利用智能卡進行的雙因素的認證方式的原理是什么?
智能卡具有硬件加密功能,有較高的安全性。每個用戶持有一張智能卡,智能卡存儲用戶個性化的秘密信息,同時在驗證服務器中也存放該秘密信息。進行認證時,用戶輸入PIN(個人身份識別碼),智能卡認證PIN,成功后,即可讀出智能卡中的秘密信息,進而利用該秘密信息與主機之間進行認證。雙因素的認證方式(PIN+智能卡),即使PIN或智能卡被竊取,用戶仍不會被冒充。智能卡提供硬件保護措施和加密算法,可以利用這些功能加強安全性能。9.數字證書的原理是什么?
數字證書采用公開密鑰體制(例如RSA)。每個用戶設定一僅為本人所知的私有密鑰,用它進行解密和簽名;同時設定一公開密鑰,為一組用戶所共享,用于加密和驗證簽名。
采用數字證書,能夠確認以下兩點:
(1)保證信息是由簽名者自己簽名發送的,簽名者不能否認或難以否認。(2)保證信
四、綜述題
1.根據所學知識,試述在以后的工作崗位上,在軟件工程的各個階段應采取哪些安全措施?
答:(1)需求分析階段:詳細說明安全與保密要求;把安全保密分配到處理流程中;確定用戶數據的敏感等級;確定安全計劃,建立安全模型。
(2)設計與驗證階段:驗證安全模型的正確性;設計整體安全機制和安全方案;把安全要求分解到相關模塊中;把對數據的安全要求體現在安全數據庫的設計中。(3)編程控制階段:按要求實現各模塊的安全功能;組織獨立人員審查模塊代碼;(仔細閱讀源程序)保護源代碼不與無關人員接觸。(4)測試控制階段:測試各模塊安全功能,最好通過第三方獨立測試;根據安全要求綜合測試程序與運行環境;組織安全專業人員進行攻擊性測試。(5)運行維護管理階段:成立軟件配置管理機構對提交運行的軟件,對其任何修改必須得到批準;對修改后的源程序需要再審查;
由配置管理機構自己對源代碼編譯生成目標代碼,防止引入不安全功能。(6)行政管理控制階段:首先指定程序開發標準,包括 設計標準、文件、語言和編碼風格的標準、編程標準、測試標準、配置管理標準等,然后實施程序開發標準,遵循程序開發標準有利于項目的持續進行,即使項目中途換人,也不影響項目按標準完成。對開發安全軟件的公司需要進行安全審計。由一個獨立的安全評價小組以不聲張的方式檢查每一個項目。注意要責任分開:模塊化編程和設計迫使程序員取得非法的程序結果必須合謀,由獨立測試小組而不是由編寫這段程序的程序員對模塊進行測試,這些分離措施可以使程序具有更高的安全性。對職員的管理:招收雇員時需要調查其背景,在公司對他取得信任之前,應限制其訪問權限。為了安全上的原因公司還應該要求其遵守一般的行為準則。
2.可信計算平臺的可信機制通過哪三個方面來體現?簡述這三方面的作用?(1)用戶的身份認證,這是對使用者的信任。傳統的方法是依賴操作系統提供的用戶登錄,這種方法具有兩個致命的弱點,一是用戶名稱和密碼容易仿冒,二是無法控制操作系統啟動之前的軟件裝載操作,所以被認為是不夠安全的。而可信計算平臺對用戶的鑒別則是與硬件中的BIOS相結合,通過BIOS提取用戶的身份信息,如IC卡或USB KEY中的認證信息進行驗證,從而讓用戶身份認證不再依賴操作系統,并且用戶身份信息的假冒更加困難。
(2)可信計算平臺內部各元素之間的互相認證,這體現了使用者對平臺運行環境的信任。系統的啟動從一個可信任源(通常是BIOS的部分或全部)開始,依次將驗證BIOS、操作系統裝載模塊、操作系統等,從而保證可信計算平臺啟動鏈中的軟件未被篡改。
(3)平臺之間的可驗證性,指網絡環境下平臺之間的相互信任。可信計算平臺具備在網絡上的唯一的身份標識。現有的計算機在網絡上是依靠不固定的也不唯一的IP 地址進行活動,導致網絡黑客泛濫和用戶信用不足。而具備由權威機構頒發的唯一的身份證書的可信計算平臺則可以準確地提供自己的身份證明,從而為電子商務之類的系統應用奠定信用基礎。
第五篇:計算機信息系統安全保密制度
計算機信息系統安全保密制度
為了切實加強我局計算機網絡信息系統安全保密管理工作,根據國家保密局《計算機信息系統保密管理暫行規定》的要求,結合本局實際,制訂本制度。
一、我局計算機信息網絡系統的保密管理由局保密領導小組負責。具體工作由辦公室專人承辦。
二、涉密信息不得在與互聯網絡聯網的計算機信息系統中存儲、處理、傳遞。
三、計算機信息系統打印輸出的涉密文件,應當按相應密級的文件進行管理。
四、存儲過涉密信息的計算機媒體的維修應原地維修,保證其所存儲的國家秘密不被泄露。
五、存儲涉密信息的計算機媒體,應按所存儲信息的密級標明密級,并按相應密級的文件進行管理。
六、存儲涉密信息的計算機安裝的操作系統軟件和重要的應用軟件必須具有合法的使用權,嚴禁把非法版權軟件安裝在裝有重要數據的計算機上。
七、計算機信息網絡的訪問采取嚴格的權限控制和數據保護措施。計算機信息網絡系統的用戶定期更換口令,嚴禁將口令告訴無關人員。
八、涉密信息的計算機應定期進行保密技術檢查。
點擊咨詢 