1、12.3 计算机安全的管理与技术 保证计算机系统安全,杜绝计算机犯罪,需要建立明确的计算机安全目标,制定周密的安全使用计算机的条例与程序,进行严谨的计算机安全教育,提供先进的计算机安全技术。计算机安全管理上的疏忽、计算机用户思想上的麻痹与计算机安全技术上的漏洞都会给犯罪分子以可乘之机,破坏计算机系统安全。 12.3.1 计算机安全目标 由于计算机系统本身存在的安全漏洞以及外在主、客观因素的影响与破坏,计算机用户的利益随时都可能遭受损失,因此,维护计算机系统安全具有重要的意义。 怎样才算维护了计算机的安全?计算机安全是指哪些指标必须得到保证呢?这是计算机安全管理与开发计算机安全技术的基础。 那么
2、,如何建立计算机安全目标呢?我们可以从威胁计算机系统安全的原因与性质两方面分别建立安全目标。威胁计算机系统安全的原因主要有:数据被修改或破坏;数据被泄露;数据或系统拒绝服务。因此,与此相应的安全目标为: (1)保证数据的完整性 (2)保证数据的保密性 (3)保证系统的可用性 例如,航空设计中的工程计算与健康保健查询等提供一般处理支持的应用系统的主要安全目标是数据完整性;利润支付与收入支出等财务管理系统的主要安全目标是数据完整性、保密性;全自动资金支付与账目管理等自动判定系统的主要安全目标是严格的数据完整性;航空控制与证券交易等实时控制系统的主要安全目标是系统可用性和数据完整性。那么,如何让计算
3、机随时提供正常服务呢?你可以通过提高系统部件的准确性、双机备份、加强系统管理、阻止非法操作等方法来保证系统的可用性。因此,计算机安全要保证信息设备物理安全,保证计算机系统不受病毒干扰,保证通讯设备的信息安全与网络安全,保证计算机不因偶然或恶意的操作而导致硬件被破坏、软件被更改、数据被泄露等计算机事故,保证计算机功能的正常发挥,维护计算机系统的安全运行。威胁计算机系统安全的性质可以分为:事故与蓄意行为两种。因此建立的安全目标分别如下:(1)对于无意造成的计算机事故,安全目标是减少产生事故的过失。通过系统内部控制与外部安全管理相结合等行之有效的方法,明确岗位和责任,用制度和技术手段相结合避免渎职与
4、滥用行为,降低计算机事故的发生。(2)蓄意破坏一般是有针对性的,入侵者往往利用系统的脆弱点开展攻击。因此,安全目标应该制定得更加明确,采取的措施要更加具体。12.3.2 物理安全管理对于一个计算机系统,物理性的毁坏有时是非常严重的。例如,1970 年,越南战争期间,美国威斯康星大学的国防数学研究中心遭到炸弹袭击。结果是:一个研究生被杀害,整个建筑被炸,计算机与积累了 20 年的数据被毁于一旦,如图 12.7 所示。 图 12.7 被炸毁的国防数学研究中心从物理上对计算机设备和数据进行的安全保护措施归纳如下: 限制不明来访者在计算机周围地带的行动,防止其从物理上破坏计算机设备。 软盘和数据的备份
5、要锁在一个安全的地方,防止被偷窃以及防火。 有计算机的办公室要加固门锁,防止小偷和不合法的用户进入。 机箱要加锁,防止计算机部件如 RAM 和微处理器的丢失。 12.3.3 数据访问管理今天,随着计算机犯罪的逐步升级,数据保护的问题也越来越重要,将数据的访问限制在合法用户范围之内,是当今网络技术亟待解决的问题。随之而来的问题是如何有效地识别合法用户,特别是远程登录的用户。 鉴别一个人是否是合法用户通常有三种方法: (1)这个人所携带的东西; (2)这个人所知道的信息; (3)这个人所具有的唯一物理特性。 但这些方法也都有利有弊,存在一定的片面性。 第一种方法,根据个人的信息如照片或者指纹等为每
6、个合法用户制作一个身份卡片,并通过专门的读卡机进行身份识别。但是,单纯使用身份卡片来鉴别是否是合法用户也不安全,因为卡片容易丢失、被盗与复制,这时身份卡片就可能被别人利用,因此对身份卡片的识别还需要视觉上的检查,而且,照片的远程传输与图像的自动识别都存在困难。除非将身份卡片和口令或者 PIN(个人身份编码)结合使用。 第二种方法,根据个人知道的某些信息如用户标识和口令来鉴别是否是合法用户。当工作环境是多用户或网络时,一般对每个合法用户都会分配一个用户标识和口令,来作为识别合法用户的标准。但与此同时,也存在着将非法用户当成合法用户的危险,这取决于口令的保密性,因为口令在使用与存储的过程中很容易泄
7、露。因此口令保护不是一劳永逸的安全手段。 第三种方法,根据个人的唯一物理特征如指纹或者视网膜上的血管组织等来鉴别是否是合法用户。采用这种方法,可以避免口令的遗忘、丢失或者转借等问题,用于识别的特征有手形、指纹、脸形、虹膜、视网膜、脉搏、耳廓、签字、声音、按键力度等。基于这些特征,人们已经发展了手形识别、指纹识别、面部识别、发音识别、虹膜识别、签名识别等多种身份识别技术。但这种方法同样存在着误识别的问题,即将非法用户识别为合法用户。图 12.8 表示了一个指纹机识别身份的例子。 图 12.8 用指纹机识别身份 12.3.4 使用权限管理设定用户权限,即限制每个用户可以访问的文件和目录。对每一个合
8、法用户,系统管理员会根据需要,授权可以实现的某些功能与可以存取的某些数据,允许访问特定的目录以及其中的文件。这样,既保证了正常的工作,又限制了对计算机程序的删除和修改。大多数网络和主机的系统管理员会给用户提供如表 12.4 所示的权限。 表 12.4 用户权限 对于合法用户,受到权限控制,既保证了正常工作,又可以防止一些意外的事故。对于非法用户,即使盗窃了合法用户的身份证明(如口令等),混入了计算机系统,也只能享有和被偷窃的这个用户同样的权利,而不能为所欲为,降低了可能造成的破坏的程度。 12.3.5 数据加密管理数据加密是指将原数据(称为明文)经过一些特殊变换,使之成为另一种表面上难以理解的
9、隐蔽的形式(称为密文)。数据被加密后,从表面上看只是一堆杂乱无章的垃圾而不是有意义的信息。如图 12.9 所示。 图 12.9 数据加密的例子 数据加密后,则以密文的形式存储在计算机文件中,或在因特网中传输,那么,又如何进行解密呢? 我们可以设想两种方法: (1)在数据发送方传输加密数据的同时,传输解密密钥给数据接收方; (2)使用一对密钥的加密方法。其中,一个密钥是对每个人公开的公用密钥,另一个密钥是只有数据接收方知道的私用密钥。公用密钥用来加密,私用密钥用来解密。这种方法也称为公用密钥加密算法(PKE)。 在第一种方法中,存在这样的问题:数据发送方既传输加密的数据,又传输解密的密钥,因此,
10、在数据传输过程中,如果黑客将这两者全部截获,那么数据的保密性就不存在了。 在第二种方法中,数据发送方只传输加密后的数据,不需要借助秘密通道来传输解密的密钥,而且加密的密钥与数据接收方是共享的,因此,在数据传输过程中,即使黑客截获了这个加密的数据,也会由于得不到解密的密钥而放弃破坏。图 12.10 表示了公用密钥加密算法的加密过程。 图 12.10 公共密钥加密过程 从以上的分析中可以看出,数据加密技术在网络传输中尤为重要。随着计算机应用技术的发展,数据加密技术也日益成熟。无论是微机、小型机还是大型机都有数据加密软件,通过加密软件将重要信息保存或传送是一个行之有效的方法。12.3.6 因特网安全
11、与防火墙技术1因特网安全 什么原因使因特网出现了安全问题呢?从技术上分析主要有如下两方面因素: Java 小程序 ActiveX 控件Java 小程序,又称 Java Applet,主要用于给网页添加处理和交互能力。例如,FrontPage 2000 中的横幅广告管理器和悬停按钮,就是一个 Java 小程序。禁止它们读出或写进文件、创建或删除文件(这些都是病毒最喜欢做的事情之一)、创建或删除目录、读取文件的大小、检查某个文件存在与否、重命名文件、以及启动其它的程序等等。所以,从理论上讲,在沙箱的约束下,Java 小程序通常被认为是安全的。ActiveX 控件也是进行网页控制和增加交互功能的一种
12、方法,与 Java 小程序相同的是,使用了 ActiveX 控件的程序也会自动下载到你的计算机。 ActiveX 技术实质上是已有 OLE 技术的一种改进,允许在一个可信赖的环境(你的计算机)中进行链接或嵌入组件。如果该技术被应用到因特网中,你将遇到未知的 ActiveX 控件,它们用本地代码编写并在你的系统中执行。与 Java 小程序不同的是:ActiveX 控件的执行没有被限制在沙盒中,可以全权访问你的计算机,所以黑客可能利用 ActiveX 控件进行破坏。这个问题的部分解决方法是使用数字识别技术对 ActiveX 控件的生成者进行识别。一个有效的程序都要经过编者的数字签名。 2防火墙技术
13、 为了保护你的计算机系统免受外部网络侵害,可以在你的计算机系统与外部网络之间设置一组只允许合法访问进入内部网络的软硬件装置,即防火墙(firewall),如图 12.11 所示。图 12.11 防火墙 从图 12.11 中可以看出:防火墙使得内部网络与因特网或其他外部网络之间互相隔离,从而限制了网络互访,以达到保护内部网络的目的。防火墙为什么能够确保网络安全呢?我们可以考虑两方面原因: (1)因为它不是一台通用的主机。因而,没有必要既具有双倍的安全性,又要极大地增加用户的方便性,可以省去与防火墙功能无关的很多未知的安全性。 (2)因为防火墙机器受到的专业管理。防火墙管理员比普通系统管理员具有更
14、强的安全意识。 正因为如此,防火墙能够过滤掉不安全服务和非法用户、控制对特殊站点的访问并提供监视因特网安全和预警的方便端点。 3. 电子商务的安全技术 随着网络技术的进一步应用,在因特网上进行购物、交易以及在线电子支付的商业运营模式已经被越来越多的人接受。人们在网上刊登电子商情广告,或者进行电子选购与交易,或者实现售后的网上服务等。 电子商务的交易过程如图 12.12 所示。 图 12.12 电子商务的交易过程 那么,这种商务活动安全吗?越来越普遍的网上购物出现了下列令人担忧的问题: (1)信息在网络的传输过程中被截获 (2)传输的文件可能被篡改 攻击者可能从以下几方面破坏信息的完整性: 篡改
15、:改变信息流的次序,更改信息的内容(如购买商品的收货地址); 删除:删除某个消息或消息的某些部分; 插入:在消息中插入一些信息,让收方读不懂或接收错误的信息。 (3)伪造电子邮件 虚开网站和商店,给用户发电子邮件,收订货单; 伪造大量用户。发电子邮件,耗尽商家资源、使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应; 伪造用户,发大量的电子邮件,窃取商家的商品信息和用户信用等信息。 (4)假冒他人身份 冒充他人身份,如冒充领导发布命令、调阅密件; 冒充他人消费、栽赃; 冒充主机,欺骗合法主机及合法用户; 冒充网络控制程序,套取或修改使用权限、密码、密钥等信息; 接管合法用户
16、,欺骗系统,占用合法用户的资源。 (5)不承认已经做过的交易 发信者事后否认曾经发送过某条消息或内容; 收信者事后否认曾经收到过某条消息或内容; 购买者做了订货单不承认; 商家卖出的商品因价格差而不承认原有的交易。 从以上的分析中可以看出,网络购物危机四伏。因此,如果你要从某个站点购物,在通过网络送出你的信用卡号之前,你要格外小心,确保该站点的服务器使用了像 SSL 或者 S-HTTP 这样的安全协议对数据的传输进行了加密。 12.4 备份 12.4.1 硬件冗余计算机安全受到破坏有些来自于人为有意地破坏,但多数的情况是意外事故。由于突然断电或者计算机的某个部件损坏以及数据丢失等都可能导致计算
17、机拒绝服务,甚至造成严重的后果。如何将偶发事件引起的损失降低到最小,让计算机尽快恢复运行呢?最可靠的方法是使数据和设备都备有两份。关于数据的备份问题,我们将在下一节进行介绍。设备冗余是指把计算过程中关键功能的设备冗余,也称为硬件冗余。硬件冗余主要是通过在系统中维护多个冗余部件如文件服务器、打印机、硬盘、UPS、网线等来保证工作部件失效时可以继续使用冗余部件来提供服务的冗余策略。图 12.13 列出了一些可以提供硬件冗余的设备。 . 12.4.2 备份设备硬件冗余虽然能够使计算机减少损失,但是不能保护由于操作失误、应用失误、病毒和黑客攻击所造成的数据丢失。 与硬件冗余能够将由于硬件的损坏造成的损
18、失降低到最低点一样,数据冗余(备份)能够挽救由于数据丢失所造成的更严重的损失。数据备份是指对文件或者磁盘的内容建立一个拷贝。如果原始文件丢失,你可以通过备份的文件把数据恢复到原来的工作状况。备份可能是为你的数据提供全面与安全保证的最好方法。那么,应该多久做一次备份,应该备份哪些内容,应该如何进行备份呢?为了使备份更合理、有效,你可以针对这些问题制定一个数据备份的计划,你要考虑如下的问题:数据的价值、数据更新的频率、存储在计算机上的数据的数量,以及你所使用的备份设备。用什么来进行数据备份呢? 磁带机长期以来一直是数据备份的首选产品,因为磁带介质不仅能提供高容量、高可靠性以及可管理性,而且价格比光
19、盘、磁盘介质便宜很多。此外,磁带机存在多种数据存储技术,市场细化的程度也比较高。因此,磁带备份是中小型企业最常使用的计算机备份设备。进行磁带备份时,是将硬盘上的数据拷贝到磁带上存储。数据恢复是数据备份的逆过程,即将磁带上的数据拷贝到硬盘上存储,使硬盘重新拥有丢失的数据。磁带备份需要磁带机与磁带。如图 12.14 所示。 图 12.14 磁带机与磁带 能够进行数据备份的设备并不局限于磁带设备,你还可以通过软盘或移动硬盘来备份数据。如图 12.15 所示。 图 12.15 有选择地备份 12.4.3 备份软件如果要备份磁盘或文件,使用备份软件可以帮助你轻松地完成任务。用备份软件备份磁盘或文件是将原
20、文件数据同样地拷贝一份并存储在备份磁盘上。在备份过程中,你必须通过软件来告诉计算机将要拷贝的内容及拷贝的位置。 完成磁盘或文件备份通常有以下三类软件可供选择: (1)备份软件 (2)备份工具 备份工具是专门用来备份一个或者多个文件的工具。如图 12.16 所示。 图 12.16 备份工具备份的过程 (3)磁盘备份工具 磁盘备份工具是专门用来备份整个软盘的工具。12.4.4 备份类型备份固然重要,但是也应该考虑备份的成本,选择合适的备份类型会使数据的备份与恢复更加合理、有效。 不同的备份工具提供的备份类型也不同,在此我们介绍比较常用的 5 种:正常备份、副本备份、增量备份、差异备份与每日备份。大
21、量数据的全部备份,无论对于企业还是个人都是十分痛苦的,因为进行备份时,别的计算机任务可能就得处于等待状态。那么,有没有一个两全其美的方法呢?即不占用大量的时间,又能够及时地备份数据。 答案是有的,我们将具体介绍怎样根据你的需要选择合适的备份类型。 (1)正常备份(Normal Backup) 如果数据量不是很大,你可以采用完全备份(Full Backup)的方式。第一次创建备份集时,通常执行正常备份。 备份磁盘上所有的文件,也是最安全的数据冗余方式。虽然完全备份往往需要很长的时间,但是备份程序大多可以自动完成备份数据的过程,所以,你可以把完全备份的时间制定在不使用计算机执行其他任务的时候进行,
22、这样就避免了冲突。而且,由于完全备份的数据可能包含大量的字节,因此在备份前还需要确认你的备份盘能够有足够的空间容纳所有的数据。完全备份与恢复的示意图如图 12.17 所示。 图 12.17 完全备份 (2)副本备份(Duplicate Backup) 副本备份复制所有选中的文件,但不将这些文件标记为已经备份。如果你想在正常备份和增量备份类型之间备份文件,复制比较有用,因为复制不影响其他备份操作。 (3)增量备份(Incremental Backup) 如果你不想经常对所有的数据都进行备份,可以考虑这样的备份方案:定期做一次完全备份,平时只备份上次备份后所修改或新增的文件,即增量备份。增量备份的
23、时间成本最少,并且比其他的备份方法提供了比较好的病毒防护,这是因为备份文件包含了文件的一系列拷贝。但是,增量备份是最复杂的备份类型,需要很好地记录。你必须对每个增量备份做好精确的标签记录。否则,可能导致不能按照正确的顺序恢复数据。图 12.18 表示了采用增量备份类型进行数据备份与数据恢复的示意图。 图 12.18 增量备份的备份与恢复示意图 (4)差异备份(Differential Backup) 差异备份与增量备份有相似之处,但是又不完全相同。相似的是差异备份也要与完全备份相结合,只对上次完全备份后又改变的文件进行备份,无论在此期间曾经进行过多少次差异备份,也就是说凡是在上一次完全备份后有
24、所更改或新增的数据都会备份。不同的是增量备份的每一次备份都与前一次增量备份有关,不存在重复的数据备份,增量备份的结果是一个完全备份数据与一系列增量备份数据,恢复数据的时候是首先恢复完全数据,然后按序恢复每一个增量备份数据。由于差异备份只是对上次完全备份后改变的文件进行备份,所以进行差异备份比进行完全备份所需要的时间要少。但是,从差异备份恢复数据要比完全备份复杂一些,你首先要从上一次的完全备份进行数据恢复,再从差异备份恢复。如图 12.19 所示。 图 12.19 差异备份的备份与恢复(5)每日备份(Everyday Backup) 顾名思义,每日备份是指只备份当天的数据。对于采用每日备份进行备
25、份的文件,在备份后不做标记(换言之,不清除存档属性)。12.4.5 备份安排为了防备数据的意外丢失,我们采用了备份来实现数据冗余;为了长期地保证数据安全,需要坚持不懈地对数据进行备份;为了绝对地确保数据安全,应该在每次修改文件的内容后都进行数据备份,但是这样做又会严重地降低你一天所能做的工作量。正如做任何事情我们都要考虑到成本一样,降低在数据备份过程中所耗费的时间成本是一个比较棘手的问题。备份不得不做,那么,多久做一次备份?怎样合理地安排备份时间呢? 你可以制定一个数据备份计划,定期地对数据进行备份。当然,这个周期要取决于数据的重要性,对重要数据备份的间隔时间要小。 一般的操作系统都提供了备份计划的程序,你可以根据需要进行选择,如图 12.20 所示。 图 12.20 备份计划
