淺談計算機系統的安全防範 會議發言

淺談計算機系統的安全防範
隨着計算機及網絡技術與應用的不斷髮展，伴隨而來的計算機系統安全問題越來越引起人們的關注。計算機系統一旦遭受破壞，將給使用單位造成重大經濟損失，並嚴重影響正常工作的順利開展。加強計算機系統安全工作，是信息化建設工作的重要工作內容之一。
一、計算機系統面臨的安全問題
目前，廣域網應用已遍全省各級地稅系統。廣域網覆蓋地域廣、用戶多、資源共享程度高，所面臨的威脅和攻擊是錯綜複雜的，歸結起來主要有物理安全問題、操作系統的安全問題、應用程序安全問題、網絡協議的安全問題。
（一） 物理安全問題
網絡安全首先要保障網絡上信息的物理安全。物理安全是指在物理介質層次上對存貯和傳輸的信息安全保護。目前常見的不安全因素（安全威脅或安全風險）包括三大類：
1.自然災害（如雷電、地震、火災、水災等），物理損壞（如硬盤損壞、設備使用壽命到期、外力破損等），設備故障（如停電斷電、電磁干擾等），意外事故。
2.電磁泄漏（如偵聽微機操作過程）。
3.操作失誤（如刪除文件，格式化硬盤，線路拆除等），意外疏漏（如系統掉電、"死機"等系統崩潰）
4.計算機系統機房環境的安全。
（二）操作系統及應用服務的安全問題
現在地稅系統主流的操作系統爲Windows 操作系統，該系統存在很多安全隱患。操作系統不安全，也是計算機不安全的重要原因。
（三）黑客的攻擊
人們幾乎每天都可能聽到衆多的黑客事件：一位年僅15歲的黑客通過計算機網絡闖入美國五角大樓；黑客將美國司法部主頁上的"美國司法部"的字樣改成了"美國不公正部"；黑客們聯手襲擊世界上最大的幾個熱門網站如yahoo、amazon、美國在線，使得他們的服務器不能提供正常的服務；黑客襲擊中國的人權網站，將人權網站的主頁改成反政府的言論；貴州多媒體通信網169網遭到"黑客"入侵；黑客攻擊上海信息港的服務器，竊取數百個用戶的賬號。這些黑客事件一再提醒人們，必須高度重視計算機網絡安全問題。黑客攻擊的主要方法有：口令攻擊、網絡監聽、緩衝區溢出、電子郵件攻擊和其它攻擊方法。
（四）面臨名目繁多的計算機病毒威脅
計算機病毒將導致計算機系統癱瘓，程序和數據嚴重破壞，使網絡的效率和作用大大降低，使許多功能無法使用或不敢使用。雖然，至今尚未出現災難性的後果，但層出不窮的各種各樣的計算機病毒活躍在各個角落，令人堪憂。去年的“衝擊波”病毒、今年的“震盪波”病毒，給我們的正常工作已經造成過嚴重威脅。
二、 計算機系統的安全防範工作
計算機系統的安全防範工作是一個極爲複雜的系統工程，是人防和技防相結合的綜合性工程。首先是各級領導的重視，加強工作責任心和防範意識，自覺執行各項安全制度。在此基礎上，再採用一些先進的技術和產品，構造全方位的防禦機制，使系統在理想的狀態下運行。
（一）加強安全制度的建立和落實
制度建設是安全前提。通過推行標準化管理，克服傳統管理中憑藉個人的主觀意志驅動管理模式。標準化管理最大的好處是它推行的法治而不是人治，不會因爲人員的去留而改變，先進的管理方法和經驗可以得到很好的繼承。各單位要根據本單位的實際情況和所採用的技術條件，參照有關的法規、條例和其他單位的版本，制定出切實可行又比較全面的各類安全管理制度。主要有：操作安全管理制度、場地與實施安全管理制度、設備安全管理制度、操作系統和數據庫安全管理制度、計算機網絡安全管理制度、軟件安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。並制定以下規範：
1.制定計算機系統硬件採購規範。系統使用的關鍵設備服務器、路由器、交換機、防火牆、ups、關鍵工作站，都應統一選型和採購，對新產品、新型號必須經過嚴格測試才能上線，保證各項技術方案的有效貫徹。
2.制定操作系統安裝規範。包括硬盤分區、網段名，服務器名命名規則、操作系統用戶的命名和權限、系統參數配置，力求杜絕安全參數配置不合理而引發的技術風險。
3.制定路由器訪問控制列表參數配置規範；規範組網方式，定期對關鍵端口進行漏洞掃描，對重要端口進行實時入侵檢測。
4.制定應用系統安裝、用戶命名、業務權限設置規範。有效防止因業務操作權限授權沒有實現崗位間的相互制約、相互監督所造成的風險。
5.制訂數據備份管理規範，包括備份類型、備份策略、備份保管、備份檢查，保證了數據備份工作真正落到實處。
制度落實是安全保證。制度建設重要的是落實和監督。尤其是在一些細小的環節上更要注意，如系統管理員應定期及時審查系統日誌和記錄。重要崗位人員調離時，應及時註銷用戶，並更換業務系統的口令和密鑰，移交全部技術資料。應成立由主管領導爲組長的計算機安全運行領導小組，凡是涉及到安全問題，大事小事有人抓、有人管、有專人落實。使問題得到及時發現、及時處理、及時上報，隱患能及時預防和消除，有效保證系統的安全穩定運行。
（二）對信息化建設進行綜合性的長遠規劃
計算機發展到今天，已經是一個門類繁多複雜的電子系統，各部分設備能否正常運行直接關係到計算機系統的安全。從設備的選型開始就應考慮到它們的高可靠性、容錯性、備份轉換的即時性和故障後的恢復功能。同時，針對計算機系統網絡化、複雜化，計算機系統故障的影響範圍大的現實，對主機、磁盤機、通信控制、磁帶機、磁帶庫、不間斷電源、機房空調、機房消防滅火系統等重要設備採取雙備份制或其他容錯技術措施，以降低故障影響，迅速恢復生產系統的正常運行。
（三）強化全體稅務幹部計算機系統安全意識
提高安全意識是安全關鍵。計算機系統的安全工作是一項經常性、長期性的工作，而事故和案件卻不是經常發生的，尤其是當處於一些業務緊張或遇到較難處理的大問題時，容易忽略或“破例”對待安全問題，給計算機系統帶來隱患。要強化工作人員的安全教育和法制教育，真正認識到計算機系統安全的重要性和解決這一問題的長期性、艱鉅性及複雜性。決不能有依賴於先進技術和先進產品的思想。技術的先進永遠是相對的。俗話說：“道高一尺，魔高一丈”，今天有矛，明天就有盾。安全工作始終在此消彼長的動態過程中進行。只有依靠人的安全意識和主觀能動性，才能不斷地發現新的問題，不斷地找出解決問題的對策。要將計算機系統安全工作融入正常的信息化建設工作中去，在規劃、設計、開發、使用每一個過程中都能得到具體的體現和貫徹，以確保計算機系統的安全運行。
（四）構造全方位的防禦機制
全方位的防禦機制是安全的技術保障。網絡安全是一項動態的、整體的系統工程，從技術上來說，網絡安全由安全的操作系統、應用系統、防病毒、防火牆、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件是無法確保您信息網絡的安全性。
1.利用防病毒技術，阻止病毒的傳播與發作
2012年，紅色代碼病毒、尼姆達病毒、求職病毒觸動了信息網絡脆弱的安全神經，更使部分信息網絡用戶一度陷入通訊癱瘓的尷尬局面；2012年、2012年，“衝擊波”病毒、“震盪波”病毒更是給計算機用戶留下了深刻的印象。爲了免受病毒所造成的損失，應採用多層的病毒防衛體系。所謂的多層病毒防衛體系，是指在每臺PC機上安裝單機版反病毒軟件，在服務器上安裝基於服務器的反病毒軟件，在網關上安裝基於網關的反病毒軟件。因爲防止病毒的攻擊是每個員工的責任，人人都要做到自己使用的臺式機上不受病毒的感染，從而保證整個網絡不受病毒的感染。
2.應用防火牆技術，控制訪問權限
防火牆技術是近年發展起來的重要網絡安全技術，其主要作用是在網絡入口處檢查網絡通訊，根據客戶設定的安全規則，在保護內部網絡安全的前提下，保障內外網絡通訊。在網絡出口處安裝防火牆後，內部網絡與外部網絡進行了有效的隔離，所有來自外部網絡的訪問請求都要通過防火牆的檢查，內部網絡的安全有了很大的提高。防火牆可以完成以下具體任務：
－通過源地址過濾，拒絕外部非法IP地址，有效避免外部網絡上與業務無關的主機的越權訪問；
－防火牆可以只保留有用的服務，將其他不需要的服務關閉，這樣做可以將系統受攻擊的可能性降低到最小限度，使黑客無機可乘；
－同樣，防火牆可以制定訪問策略，只有被授權的外部主機可以訪問內部網絡的有限IP地址，保證外部網絡只能訪問內部網絡中的必要資源，與業務無關的操作將被拒絕；
－由於外部網絡對內部網絡的所有訪問都要經過防火牆，所以防火牆可以全面監視外部網絡對內部網絡的訪問活動，並進行詳細的記錄，通過分析可以得出可疑的攻擊行爲；
－另外，由於安裝了防火牆後，網絡的安全策略由防火牆集中管理，因此，黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權限的目的，而直接攻擊防火牆幾乎是不可能的。
－防火牆可以進行地址轉換工作，使外部網絡用戶不能看到內部網絡的結構，使黑客攻擊失去目標。
3.應用入侵檢測技術及時發現攻擊苗頭
應用防火牆技術，經過細緻的系統配置，通常能夠在內外網之間提供安全的網絡保護，降低網絡的安全風險。但是，僅僅使用防火牆、網絡安全還遠遠不夠。因爲：
（1）入侵者可能尋找到防火牆背後敞開的後門；
（2）入侵者可能就在防火牆內；
（3）由於性能的限制，防火牆通常不能提供實時的入侵檢測能力。
入侵檢測系統是近年出現的新型網絡安全技術，目的是提供實時的入侵檢測及採取相應的防護手段，如記錄證據用於跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要是因爲它能夠對付來自內外網絡的攻擊，其次是因爲它能夠縮短髮現黑客入侵的時間。
4.應用安全掃描技術主動探測網絡安全漏洞，進行網絡安全評估與安全加固
安全掃描技術是又一類重要的網絡安全技術。安全掃描技術與防火牆、入侵檢測系統互相配合，能夠有效提高網絡的安全性。通過對網絡的掃描，網絡管理員可以瞭解網絡的安全配置和運行的應用服務，及時發現安全漏洞，客觀評估網絡風險等級。網絡管理員可以根據掃描的結果及時消除網絡安全漏洞和更正系統中的錯誤配置，在黑客攻擊前進行防範。如果說防火牆和網絡監控系統是被動的防禦手段，那麼安全掃描就是一種主動的防範措施，可以有效避免黑客攻擊行爲，做到防患於未然。
5.應用網絡安全緊急響應體系，防範安全突發事件
　　網絡安全作爲一項動態工程，意味着它的安全程度會隨着時間的變化而發生改變。在信息技術日新月異的今天，昔日固若金湯的網絡安全策略，總難免會隨着時間的推進和環境的變化，而變得不堪一擊。因此，我們需要隨着時間和網絡環境的變化或技術的發展而不斷調整自身的安全策略，並及時組建網絡安全緊急響應體系，專人負責，防範安全突發事件。
總之，計算機網絡系統的安全工作不是一朝一夕的工作，而是一項長期的任務，需要全體稅務幹部的參與和努力，同時要加大投入引進先進技術，建立嚴密的安全防範體系，並在制度上確保該體系功能的實現。