时间:2023-03-23 15:15:12
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇计算机安全论文范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
企业按照分级部署网络版杀毒及管理软件等终端计算机安全软件,做到每台计算机可管理可控制,并掌握整体终端计算机安全动态。通过桌面安全软件部署,保证病毒定义码和补丁更新,也可自动分发企业定制的安全策略,如安全基线设置、违规接入审计、系统补丁等,保证企业信息安全政策连贯执行,达到统一标准。
2运行环境安全
在终端计算机安全防护体系建设中,运行环境至关重要。运行环境主要有物理环境、网络环境等。本文主要介绍网络环境,在网络环境中给终端计算机加几把锁,把握其方向轨迹和动态。
2.1IP地址固定
在网络中,IP地址固定可以解决信息安全事故溯源、IP地址冲突、准确掌握上网计算机数量等问题。实施中通过管理和技术相结合的办法,技术上在网络设备里通过DHCPSnooping和A-CL列表,实现IP和MAC地址绑定。
2.2控制上互联网计算机
因工作性质和安全考虑,部分终端计算机仅处理企业内部业务不需上互联网。因此加大终端计算机上互联网权限审核力度,技术上实施是在IP地址固定的前提下,在网络设备通过访问控制列表ACL或者互联网出口安全设备里进行配置。
2.3部署准入设备
为保证网络安全,在网络边界或内部部署准入设备,设立终端计算机入网规则,如必须安装企业桌面安全软件和配置安全基线等等,通过进程检测合规后入网或可访问关键业务。
2.4部署内容审计系统
在互联网出口边界部署内容审计系统,在线对终端计算机访问互联网的行为进行2~7层的识别,可进行关键字的设置过滤、URL过滤,对于计算机的互联网行为做到可控制、可管理、可审计,以保证网络信息的安全。
2.5部署服务器
为保证终端计算机上网安全,一般建议在互联网出口设置服务器,用户通过服务器访问互联网。通过服务器访问互联网可以提高访问速度,方便对用户行为进行管理和审计,起到防火墙作用,保护局域网安全。
3安全管理
三分技术七分管理,是终端计算机安全防护体系建设的准绳。在自身系统和运行环境建设中,技术操作都是通过管理来实施的,因此形成一套安全管理机制并始终贯彻运行,是十分重要的。
3.1建立终端计算机管理制度
建立终端计算机管理制度也是终端计算机安全防护体系建设的组成部分和重要措施,如《计算机信息系统管理》《计算机安全管理实施细则》《计算机工作考核评比细则》《计算机保密管理规定》《信息化考核体系》等都是非常重要的制度,通过建立健全这些制度,形成信息化考核机制,使得终端计算机安全工作有章可循。
3.2提高计算机安全管理的力度和深度
在企业计算机安全管理管理中,管理人员首先要提高各级领导和员工网络安全重视程度,其次定期通过各种手段完成终端计算机安全检查工作,如通过桌面安全系统、审计系统检查计算机违规行为,根据规定实施处罚等,最后安全管理人员要主动识别和评估安全风险,制定和落实安全整改措施,确保终端计算机持续安全稳定运行。
3.3建设完整的计算机实名库
通过建设终端计算机实名库,掌握计算机管理动态,实现计算机资产管理,给领导提供决策依据。实名库建设可采用各单位签字盖章上报、在桌面安全管理系统里注册、定期现场抽查等,从而完成终端计算机实名库的建设。
3.4建立网络建设标准
通过网络建设标准的建立,保障终端计算机安全运行环境,也加强了桌面安全防护体系在网络体系建设中的作用。
3.5建设一支过硬的信息化队伍
在企业中,建立信息安全组织架构、明确组织责任、设置相应岗位,建立一支过硬的专业信息化安全队伍,切实加强计算机管理、维护终端计算机安全。
4结语
1、加固技术
使用加固技术可以使计算机硬件的安全性得到有效提升。涵盖了防腐加固、温度环境加固、密封加固及防震加固等。对于加固技术中的防辐射加固来说,是将计算机各方面的硬件,比如电源、硬盘、芯片等均进行屏蔽,从而使电磁波辐射现象的发生实现有效避免。当然,对于计算机硬件方面的工作,除了加固技术外,还需具体情况具体分析,比如为了使数据存储的安全性得到有效提升,便可以使用数据备份的方面,把有用的数据进行定期复制,并进一步加以保存。
2、加密技术
为了使信息窃取实现有效避免,便可以采取加密技术。该项技术主要分为两类,一类为对称加密技术,另一类为非对称加密技术。其中,对于对称加密技术来说,主要是指信息的发送方与接收方使用同一各密钥进行加密及解密数据。非对称加密技术即为公钥加密,通过一对密钥的利用,以分别的方式进行加密与解密数据。
3、认证技术
对于认证技术来说,主要是指通过电子手段的加以利用,以此证明发送者与接受者身份的一种技术,同时该项技术还能够辨识文件的完整性。也就是说,能够辨识出数据在传输过程中是否被篡改或非法存储等。认证技术分为两类,一类为数字签名,另一类为数字证书。其中,数字签名又称之为电子签名,主要是将数字签名当作报文发送给接收者。对于用户来说,可以通过安全可靠的方法向相关部门提交资金的公钥,从而获取证书,进一步用户便具备公开此项证书的合法权益。对于需要用户公钥的人,均能够获取此项证书,并且通过相关合法协议的签订,从而使公钥的有效性得到证实。对于数字证书来说,将交易各方的身份信息逐一标识出来,进一步提供出验证各身份的方法,如此一来用户便能够使用这些方法对对方的身份进行有效识别。
二、结语
1)计算机本身系统带的安全隐患。计算机是一个自动更新的系统,在每天甚至是每一个时段的更新过程中,可能会自动携带病毒。同时,人们在使用计算机时,由于打开了含有病毒的网页,或者是接收了带有病毒的链接等,这些操作都可能使得计算机染上病毒。而一些比较严重的计算机病毒则是由一些网络黑客来操控的,一种恶意侵害计算机系统的行为。一些网络黑客,出于不良目的,利用相应的网路技术,侵入用户的电脑系统中,或者窃取用户的重要信息,或许进行监听活动等,总之给计算机的安全运行带来了隐患。这些计算机系统本身的安全隐患,要想得到彻底处理,还需要用户定期对电子计算机的系统进行监控,可以通过程序找到磁盘碎片整理,将不用的程序删除掉,还可以利用杀毒软件,将含有病毒的软件和系统筛选出来,进行补丁和安全维护。总之,对于电子计算机系统本身携带的安全隐患,需要从最基础的操作来进行改变。
2)计算机网络通信中的防护体系不全面。我们国家的计算机应用技术起步晚,因此,在最近几年里对于防护体系的建立还不够完善,这是有一定的社会因素的,其一是,由于我们国家在第二次科技革命中错过了技术的更新换代,因此计算机技术的引入比较晚,所以人才储备不足,缺乏高端的计算机防护体系的操作人员;其二是国家对于计算机防护体系的建立重要性认识不足,无论是政策上还是资金上都没有给予一定的支持,所以单独凭借社会上的一些企业力量进行全面的网络通信防护体系的建立是不可能的。因此导致安全隐患多。
3)计算机网络通信中的防范意识不全面。一方面是运行商的防范意识比较薄弱,运行商将全部的经历放在了新的技术的研发,以及新的市场份额的抢占上,因此,对于计算机网络病毒的防范意识比较薄弱,这一方面没有响应的技术支持和人力支持,所以难以得到落实;另外一方面使广大用户的防范意识也相对于薄弱,计算机网路技术的问世方便了人们的沟通,尤其是异地信息的传递,快捷高效,人们为了更好的获取信息,因此往往依赖于电子计算机进行网络数据的传输,而这个传输的过程中经常会伴随产生病毒。运营商与用户双方在传递信息数据时都缺乏防范意识,所以存在严重的安全隐患。
2计算机网络通信的防护措施
1)加强互联网的防护系统。互联网的IP地址通常来说是一个广义的开放性的,由于多个用户通用一个路由器,或者是多个用户共用一个信号,则可能造成一些钓鱼软件或者是含有病毒的网页弹开,将病毒带入到互联网中。要想彻底的解决这一问题,关键是要建立起一个互联网的防护系统,加强对于病毒入侵的防护。可以建立起完善的流量监控系统,密切关注平时的流量动态,如果流量出现异常,则需要立即进行安全检查,也可以定期对系统进行安全隐患的排查等,实际可用的方法还是比较广泛的,不同的用户和互联网应用中心可以结合实际情况选择适当的方法,以维护互联网信息的安全。
2)加强网络传输信息的安全。随着人们对于互联网的依赖性的增强,大量的信息每天充斥在互联网中,一些不安全的病毒隐患就会潜藏在其中,威胁用户的信息安全,因此,需要建立起一个完善的监控系统,能够及时的检测传输信息的安全性,扩大检测的范围,一旦发现了病毒的踪迹,立即启动杀毒软件进行杀毒。同时,对于一些特别重要的信息数据需要进行加密处理,加密的信息更加安全,收取信息的用户必须有安全秘钥才能打开,因此给了传输信息一个更加安全的保障。
3)完善网络安全制度。目前我们国家的计算机管理还比较松散,责任划分不明确,管理方法落实不到位,因此,需要建立起一个比较完善的网络安全制度,提高对于网络通信安全的监管力度,并要求有专门的监督和管理人员,一旦出现相关的安全问题,能够及时应对,并对一些责任现象进行追责,把责任落实到每一个人,这样就能够营造一个相对安全的网络空间。
3结束语
1.1计算机操作系统安全问题要素分析
计算机机构操作系统的整体开发设计中存在诸多弊端与不足,其会在一定程度上给现下的电子计算机网络安全带来很深影响。第一点主要表现在计算机网络整体结构体系缺陷方面,因为计算机网络操作系统内部拥有内存管理内容和CPU管理内容以及外设管理内容等。应该了解到,步骤性管理模式均安置计算机模块和计算机程序,假设此时此类程序中出现相关问题的话,黑客和计算机网络攻击者就会趁虚而入,黑客便会利用这一系统缺陷进行网络攻击,使得计算机操作系统瘫痪。还有一点就是操作系统网上操作内容涵盖面较广,主要包括网络文件传输内容和网络文件加载内容以及相应安装程序内容等,除此之后执行文件内容也是其中重点,上述功能的出现都给计算机网络带来一系列的安全隐患。最后一点为计算机进程守护,结构系统进程中会等待事件出现,在事件发生之后,计算机网络客户并未进行文件执行和鼠标键盘处理,守卫进程中存在病毒,但是若遇到特殊情况和现象时,病毒才会被计算机系统进行捕捉。
1.2数据信息存储内容安全问题要素分析
需要注意的是,计算机数据库中存有较多文件与信息,通常情况下我们的全部上网信息都会被集中至此,数据库信息储存均有便于存储优异性和便于利优异性以及便于管理优异性等,其安全方面的问题仍旧存在。最为常见的例子为,计算机网络授权用户对超出权限的的数据信息进行了相应修改,此时由于非法用户在操作时直接越过了安全内核,这也就实行了盗窃计算机网络信息的操作。单就数据库安全问题而言,我们首先应该保证数据安全性,其次才是保证数据的有效性和完整性,因为网络数据安全可以有效防止计算机数据库破快现象的产生,此时非法存取状态也会被合理的处理掉。
2漏洞挖掘技术要素分析
2.1概念分析
广义之上的漏洞挖掘技术就是对相关未知事物和位置事件的发现与探索,然后尽最大努力去进行计算机软件隐藏漏洞查找与挖掘。计算机漏洞分析技术主要是指对已经被发现的计算机漏洞进行分析处理,之后在此基础上为后续的漏洞利用内容和漏洞补救处理内容等进行操作基础奠定。
2.2技术分类
以源码内容为基础漏洞挖掘技术进行的主要前提为计算机源代码获取,针对开源项目,应该对所公布源代码进行分析,只有这样才能在一定程度上找到漏洞所在。最为常见的例子即为,Linux结构系统漏洞挖掘工作和缺陷查找工作进行时便可运用此种办法进行合理解决与分析。需要注意的是,市场上大部分商业计算机软件源代码获得途径较为稀少且我们并不能够在此项内容中进行缺陷查找与漏洞挖掘,仅仅只能够运用目标代码手段进行计算机网络漏洞挖掘技术的合理实施。针对目标码这一问题,应对编译器部分好指令机构系统部分以及文件格式部分等进行深度分析与调整,但是后续操作难度相对较大。较为正确的做法是,应该将二进制目标代码进行反向汇编操作,然后获得应得的汇编代码,在获取汇编代码后要对其进行切片处理,再者则是对度预期相关的代码进行汇聚操作,使得操作复杂性得以降低,最后的步骤则为功能模块的仔细分析,便可对计算机网络结构系统漏洞进行适时分析与观察。
2.3常见类型
(1)Fuzzing技术从实际角度而言,Fuzzing以自动软件测试技术形式产生,其存在缺陷性的本质也是众所周知,核心思想为对黑盒测试的合理利用,并且将绝大多数有效计算机数据作为依托,便可进行正常的计算机应用程序输入,其标志性内容即为程序出现过程中是否存在异常,以此种断定手段来挖掘潜在的网络计算机漏洞。Fuzzing测试内容为部分字符串内容和标志字符串内容以及相关二进制模块内容等,上述内容均以自身大小作出正常合理区分,在边界值附近范围内进行真正意义上的目标测试。Fuzzing技术不仅可以对基本内容进行检查,同时也可将其运用到网络安全漏洞检查中来,其漏洞检查内容主要包括缓冲区溢出漏洞内容、整型溢出漏洞内容、格式化串漏洞内容、竞争条件漏洞和SQL注入以及跨站点脚本内容等,需要注意的是远程命令执行内容和文件系统攻击内容以及信息泄露内容也会被囊括其中。有的Fuzzing工具也会对程序安全性运行机能作出评定。
(2)静态分析技术当前流行的静态分析技术以源代码扫描技术和反汇编扫描技术为主,上述二者并不能被理解为只要程序运行机会发现漏洞。源代码扫描技术主要是针对开放程序而言的,应运用检测程序去发现中有悖于文件结构内容和命名内容和函数内容等的运行环节,并挖掘出其自身潜在的漏洞与缺陷。此种漏洞分析技术可以通过熟练语言编程进行深度的不安全代码检查,挖掘出具有不规则性质的代码以确保源代码的安全性,因为程序运行以动态为主,应对源代码就行代码词法分析和代码语法分析,在把握准确程序语义的基础上去发现安全漏洞问题,随之将其解决。
3结语
段存在的问题出发,提出针对性的、可行的防范策略,制定合理了计算机网络信息安全防护方案。
1规划安全过滤规则
依据具体的计算机网络安全防护策略和确切的目标,科学规划安全过滤规则,严格审核IP数据包,主要包含以下内容:端口、来源地址、目的地址和线路等,最大限度地禁止非法用户的入侵。
2设置IP地址
在计算机网络中,针对全体用户,规范设置相应的IP地址,进而使防火墙系统能够准确辨别数据包来源,切实保障计算机网络的全体用户均能利用和享受安全的网络服务。
3安装防火墙
通过防火墙,在网络传输信息的过程中执行访问控制命令,只允许通过防火墙检测合格的用户和数据才能进入内网,禁止一切不合格用户或者不安全数据的访问,有效地抑制了网络黑客的蓄意攻击,避免他们擅自修改、删除或者移动信息。现阶段,防火墙发展成熟且效果显著,在计算机网络信息安全的防护中发挥着重要的作用,它能够最大限度地避免病毒传播到内网。
4有效利用入侵检测技术
入侵检测技术能够有效防范源自内外网的攻击,分析计算机网络信息安全防防护策略的性质可知,防火墙的本质为一种被动防护,为进一步增强其主动性,应有效利用入侵检测技术,积极防范恶意攻击。
5定期升级杀毒软件
为避免计算机内部信息被恶意盗窃,应主动使用杀毒软件,定期对其进行升级操作,进而不断增强杀毒软件的安全防护能力,高效防护计算机内部信息,切实保障内部信息安全。分析计算机网络信息安全防护现状可知,杀毒软件属于一种经济适用的安全防护策略,具有较强的安全防护效果,并在现实生活中得到了有效的证实。
6治理网络中心环境
为达到增强计算机网路信息安全性的目的,应全面治理计算机网络中心环境,以硬件设施为切入点,及时解决网络硬件的各种问题,避免因硬件设施故障而引发自然灾害现象的发生,提升网络硬件的工作效率,增强网络硬件设施的安全性和可靠性,进而达到计算机网络信息管理标准。
二、结语
Windows2003在用户设定系统口令时不作口令安全规则检查,用户为了使用方便,往往设置很简单的口令,这样容易造成口令安全的问题。可以专门增设口令安全规则检查组件,在用户设定系统口令时进行口令符合安全规则的检查。当用户输入不符合规则的口令时,系统向用户指出,并建议用户更改,否则拒绝用户使用简单的口令。在进行安全规则设定时,我们可将规则进行分级,按照应用要求进行不同强度的规则划分。不同等级强度采用不同的安全规则进行检查。若1个用户为系统管理员,则应设为最高级,进行最强的安全规则检查。若用户为1个普通用户,可根据系统对这类用户的安全要求作相应等级的安全规则检查。
2口令文件保护
为了加强口令文件的安全,现在都使用了结合随机数加密口令的方式,有效防止了预处理字典攻击。作为进一步的改进,可以将Windows2003的口令文件管理SAM进行扩展,在创建新用户时,采集每个用户的生物特征信息替代上面的随机数,将生物特征代码与用户口令合成,再加密生成加密数据存贮在口令文件相应位置。这样也可防范预处理字典攻击,同时,由于生物特征与每1个人和用户名相对应,这样用户不可能否认该帐号不是他的,可提供抗抵赖证据。
3访问控制
Window2003的访问控制采用了自主访问方式,具有较好的灵活性和易用性,同时有些安全组件己经实现了Bl级的部份安全要求,如安全标识功能。因此我们可以充分利用现有的安全组件,增设相应的强制访问控制管理机制。系统首先执行强制访问控制来检查用户是否拥有权限访问1个文件组,然后再针对该组中的各个文件制定相关的访问控制列表,进行自主访问控制,使系统中主体对客体的访问要同时满足强制访问控制和自主访问控制检查。
4文件管理
CZ级要求具备审计功能,不允许访问其他用户的内存内容和恢复其他用户己删除的文件。Windows2003通过提供相应的安全审计组件满足安全审计要求。在文件管理方面,Windows2003提供了NTFS文件系统增强文件的安全性。在进行文件删除管理时,Windows2003通过提供回收站功能,用户可先将不用的文件放入回收站,这样用户可从回收站中将再次需要的文件重新取回。当确认不再使用这些己放入回收站的文件时,只需清空回收站,这时别的用户就不可能利用系统本身提供的功能恢复别的用户己删除的文件。虽然它基本满足了CZ级对文件管理的要求,但这对更高安全要求的应用是不够的。由于Windows2003的文件删除并不是彻底覆盖删除文件所用的硬盘扇区,而只是在文件分配表中给该文件作上已删除标记,使系统不能再访问,通过使用第3方工具可以很容易地恢复出用户已删除的文件。因此为了加强文件管理的安全性,可以通过增加系统安全擦除组件,删除文件的同时就彻底覆盖文件所用的硬盘扇区。从而即使有用户使用第3方工具也无法恢复出别的用户已通过安全擦除方式删除的文件。实现安全擦除,由于要重写删除文件所用的每一个扇区,因此比较耗费时间,会使系统的响应变慢。在设计擦除组件时,应充分考虑系统的可用性和灵活性,由用户来设定重写扇区的次数。系统缺省还是采用Windows2003的常规文件删除方式,用户在删除自己的高密文件时,根据安全需求采用相应的擦除方式。
5漏洞补丁
Windows2003在发现系统安全漏洞后,通过及时在网上系统的漏洞补丁来解决由漏洞引起的安全隐患。通常网上公布后,由用户自行下载安装或设置系统定时下载补丁来安装,但这样缺乏及时性。应在系统安全漏洞的补救方式上,采取“推”而不是“拉”的办法实现安全漏洞的补救。这样一旦发现系统安全漏洞,操作系统供应商提出解决方案后就可通过网络向用户系统及时推出,而不是由用户知道了漏洞再向服务器下“拉”漏洞补丁而错过及时解决问题的时机。增加1个专门接收系统漏洞补丁的组件,保持端口常开,随时接收来至网站的安全补丁,实现漏洞补救的及时性。
6用户管理
在Windows2003系统中,系统管理员拥有绝对的权力,能对系统的一切相关设置进行管理,这样对于安全性要求较高的应用场合是不适合的。应改变现有用户管理的方式,将系统安全管理部分独立出来,降低超级用户的权力,设立系统管理员、安全管理员、安全审计员,防止攻击者利用1个特权用户的身份获得对整个系统的控制。系统管理员的职责是系统的日常运行维护,安全管理员管理安全属性等信息,安全审计员进行审计的配置和审计信息维护3种特权角色的权力互不交叉,不允许同一用户充当两种以上的特权角色,使相互之间形权力制约,限制系统管理员的权限,就可避免系统管理员权限过大的缺陷,使Windows2003更能适合安全要求更高的应用场合。
7安全模型
7.1安全操作系统模型
安全模型是对安全策略所表达的安全需求的简单、抽象和无歧义的描述,为安全策略与其实现机制的关联提供了1种框架。安全模型描述了对某个安全策略需要用哪种机制来满足,而模型的实现则描述了如何把特定的机制应用于系统中,从而实现某一特别的安全策略所需要的安全保护。通常由特殊可信主体,完整性检查员的工作模式。通用操作系统虽然通过使用多种安全技术相结合的办法能增强系统的安全性,但对于安全性要求较高的应用场合还是不能满足安全要求的。该安全模型就是为了加强系统的安全性提出的,该模型设计目的就是在更大程度上实现系统的安全性。通常机密性和完整性是操作系统安全的两个重要特性,BLP模型只解决了机密性的问题,而Biba模型只解决了完整性的问题,没有使二者同时兼顾。为了更好地实现系统安全,根据BLP和Biha安全型的安全原理,结合实际应用,该模型将安全政策,决策实施,安全数据库三者相分离,这样就可以灵活的支持多种访问控制机制。在这种情况下,系统通过修改内核中与安全相关的系统调用,在具体操作执行前请求安全决策,根据决策结果决定是否允许实施操作。系统安全模型中,把操作系统分为系统内核和用户空间,系统内核分为安全决策和决策实施两个部分,安全决策依赖于安全政策,负责判断1个安全相关行为是否可以执行,决策实施与安全政策无关,负责执行1个已经得到许可的行为所要执行的任务。安全决策内部设立相互独立的政策支持机制,每个安全政策对应1个政策支持机制,这样在安全政策的支持方面就能获得一定的灵活性。在系统中,多种访问控制机制、安全审计、加密文件系统等安全机制相互结合,构成了强大的安全内核。
7.2通用访问控制框架
该安全系统模型中,通过使用通用访问控制框架来实现灵活的访问控制。当1个主体访问客体时,相关系统调用就会请求安全决策,安全决策的相应机制首先根据安全请求的类型确定应采用的安全政策,再把决策任务转交给对应的政策支持机制,最后将决策结果返回给决策实施机制去执行。从内核的角度看,安全相关行为是由系统调用触发的。以系统调用打开文件为例,这是个安全相关行为,首先决策实施模块把打开文件的请求提交给安全决策子系统,决策系统受理这个请求,并由相应的政策支持机制作出判断。决策结果返回给决策实施部分,决策实施部分根据决策结果实施相应动作,并将结果信息返回给系统调用。系统调用根据这个安全决策结果确定下一步的行为。
7.3自主访问控制
为了实现进一步地对访问进行控制,系统安全模型中通过增加基于ACL的自主访问控制来实现。通过访问控制列表(ACL)机制就可以实现对系统资源的访问控制粒度的细化,可以实现系统中任一用户对各种系统资源(目录,文件,特别文件,管道等)的控制访问。主体对客体的权限可以有3种方式:第1种是ACL信息中具体指定了此主体对此客体的权限;第2种是主体作为某1组中的具体成员而对此客体享有它所在的组所享有的权限;第3种是该主体取此客体对外的缺省值。
7.4强制访问控制
强制访问控制是指对客体访问的安全政策由系统强制实施,客体属主无权控制客体的访问权限,防止对信息的非法和越权访问,保证信息的机密性。BLP模型是公认的信息保密模型,自产生以来在很多安全操作系统的开发中得到了应用。本模型的强制访问控制也采用BLP模型,通过利用安全属性库(一些安全文件的集合)来实现强制访问,并把这些安全文件放在受保护的特殊目录下。为了实现完整性访问控制,模型可以用Biba安全模型为基础,根据信息可能被破坏所造成的影响的严重程度,对信息的修改实施强制访问控制,支持系统客体和主体的完整性级别划分,系统根据用户身份的完整性级别和信息资源的完整性级别确定用户对信息资源作修改的授权决定。在完整性访问控制的支持下,可以防止非法用户或进程修改敏感信息。
7.5系统管理特权分立
Windows2003、Linux、Unix的用户特权划分只有2级,超级用户和普通用户。超级用户具有所有的特权,普通用户没有特权。这种做法不符合安全系统的“最小特权”原则。攻击者只要获得超级用户身份,便得到了对系统的完全控制。通过在模型中使用“最小特权”原则对超级用户的特权进行化分,根据系统管理任务设立3个角色并赋予相应特权。3个系统管理角色分别是系统管理员、安全管理员、审计管理员。统管理员负责系统的安装、管理和日常维护,如安装软件、增添用户帐号、数据备份等。安全管理员负责安全属性的设定与管理。审计管理员负责配置系统的审计行为和管理系统的审计信息,3个角色互相制约。攻击者破获某个管理角色的口令时不会得到对系统的完全控制,这样就能更好地保证系统的安全性。
8结束语
关键词:计算机 网络信息 安全保密技术
随着计算机网络的产生和快速发展,不断改变着人类的生活方式。可以通过计算机网络技术发送电子邮件,进行网络办公,网络学习,处理银行事务,国家机关处理要务等等。但是计算机网络也是一把双刃剑,许多不法分子或者病毒等等“不速之客”严重威胁着人们的计算机网络信息的安全,甚至会威胁到国家机关和部队中的信息安全,加强计算机网络信息安全保密工作至关重要。计算机安全保密技术的提出成为近些年来非常热门的话题,越来越受到人们的关注。以下将对计算机网络信息安全保密技术具体分析。
1. 计算机网络信息安全保密技术的概述
关于计算机网络信息的安全保密工作主要是通过对计算机系统的安全和数据保护以及对信息保密来实现的。计算机的系统安全主要是指通过一定的安全技术,来进行保护计算机的硬件、应用的软件和操作系统、数据等等,防止被破坏、入侵的过程。主要是保护计算机网络防止受到入侵和剖坏,以保护系统的可靠运行和网络的不中断。信息保密是指对计算机信息系统中的信息资源进行控制的过程。现在网络病毒或者不法分子的入侵越来越多,所以加强计算机安全保密技术非常关键。
2. 计算机网络信息安全的现状
计算机网络具有开放性和资源的共享性等等特点,正是由于这些特点,计算机安全和保密技术越来越突出。当前计算机网络信息所面临的安全非常多,尤其是对电脑来说,安全问题至关重要。这些病毒主要有:计算机病毒的入侵和危害、计算机电磁信号的泄露、网络通信协议的安全泄露、在计算机系统中安装窃密的装置等等威胁,将会带来意想不到的后果,对于计算机网络信息安全和保密工作刻不容缓。
3. 计算机网络信息安全保密的常用技术
3.1 网络安全技术
对于计算机网络的安全和保密工作主要涉及的问题是网络协议的完备性。主要措施是加强网络脆弱性的检测和防火墙、入侵检测的技术。网络脆弱性检测技术,主要是通过计算机“黑客”攻击而演变出来的探测软件的集合,主要包括的对象有网络操作系统、协议、防火墙、口令等等安全保密措施进行保密工作;对这些软件的探测和攻击,可以对安全网路的防护做出具体的评估,以不断改进安全保密措施。防火墙的安全技术,主要是对网络上流通的信息的识别和过滤,已达到阻止一些信息的作用,这是内部网络和外部网络进行安全隔离的系统。入侵检测技术,主要是通过发现网络系统的异常访问,并判断出一些入侵行为的发生,已达到阻止和反攻击的目的。
3.2 病毒防治技术
计算机的病毒对于计算机网络信息安全具有非常大的威胁。典型特征是,进行潜伏、复制和破坏。防治计算机病毒的方法;发现了病毒进行解剖,最后在灭杀。对计算机病毒的主要防治工作可以在服务器上装载防病毒的装置;也可以不定期的使用防毒软件对计算机进行检测;还可以在网络接口上安装防病毒的芯片等,这些方法也可以结合使用也达到病毒防治的作用。
3.3 加强数据库的安全技术
加强数据库的安全技术,首先制定出正确的安全策略;在利用一定的技术手段对数据库进行保护(比如密钥口令的分段管理,数据加密保护,身份认证,信息加密,防病毒传染等等保护措施);然后对数据库管理系统进行安全保密;在制定数据库的荣灭备份;最后在数据库的周围警戒和出入控制等措施。
3.4 鉴别技术
鉴别技术的主要工作发现非法用户对网络信息的修改和窃取等。鉴别技术也被称为认证技术。鉴别技术主要有;对身份的鉴别,目的是为了验证合法用户,使系统决定是否能够上网;在一个是对信息过程的鉴别;还有一个是对防抵赖的鉴别,主要是对重要的文书或者契约发生了否认和抵赖进行防止工作。
3.5 对访问的控制
这一个工作是计算机信息系统安全中的一个关键性的技术。主要是由访问控制原则和访问的机制构成的。访问控制原则可以确定授予每一个用户的限制条件;访问机制是实现访问策略的预定的访问控制功能。
4. 加强网络信息安全的辅助措施
主要关于加强电脑的保密工作具体有(1)设置8位以上的开机密码,以防止他们破解、更改,密码要定期更换。(2)电脑必须配备安全的杀毒软件。(3)不得让无关的工作人员使用电脑。(4)电脑在使用打印机、传真机等设备时,不得与其它非电脑网络进行连接,严禁在电脑上使用无线设备。(5)对于电脑的维修要严格按照程序进行。(6)责任人要定期对电脑进行核对、清查工作,发现丢失后及时向有关部门报告。
结语
随着计算机技术的不断发展,对于网络信息安全保密工作越来越重要,所以要不断加强计算机网络信息的安全保密技术,才能确保计算机信息系统的安全可靠。
参考文献
[1] 周碧英 浅析计算机网络安全技术[期刊论文]-甘肃科技 2008(3)
[2] 王治 计算机网络安全探讨[期刊论文]-科技创新导报 2008(21)