計算機是信息的終端設備,承擔着信息存儲、採集、處理的功能,信息處理時的安全問題實際上就是計算機安全問題,目前,計算機最大的安全問題就是病毒非法訪問和拒絕服務器攻擊。
1 信息處理時的安全問題
1.1 病毒
病毒是一種具有自我複製能力並會對系統造成巨大破壞的惡意代碼,它首先隱藏在某個實用的程序中,隱藏過程可以由實用程序設計者完成,或者通過病毒感染該實用程序的過程完成。當某個計算機下載該實用程序並運行它時,將運行隱藏在其中的惡意代碼,即病毒,病毒將感染其他文件,尤其是可執行文件,並接管一些系統常駐軟件,如鼠標中斷處理程序。如果病毒接管了鼠標中斷處理程序,當鼠標操作激發該中斷處理程序時,將首先激發病毒程序,病毒程序可以再次感染其他文件,並視情況執行破壞操作,如清除所有硬盤中的文件。當感染了病毒的使用程序被其他計算機複製執行時,病毒將蔓延到該計算機。
對於單臺計算機,病毒傳播主要通過相互複製實用程序完成,對於接入網絡的計算機,從服務器下載軟件、下載主頁、接受電子郵件等操作都有可能感染病毒。接入網絡的計算機一旦感染病毒,安全將不復存在,存儲在計算機中的信息將隨時有可能被破壞,機密信息隨意外泄,非授權用戶隨時有可能通過遠程桌面這樣的工作對計算機進行非法訪問。
1.2 非法訪問
非法訪問是指非授權用戶通過遠程登錄或遠程桌面等工具訪問計算機的資源,造成非法訪問的原因是有病毒、操作系統和應用程序漏洞等等。特洛伊木馬病毒可以將通過網絡接收到的命令作爲特權用戶輸入的命令發送給命令解釋程序,從而達到訪問系統資源的目的。操作系統和應用程序漏洞可以使普通用戶獲得特權用戶的訪問權限,從而使非授權用戶訪問到本不該訪問的資源。
1.3 拒絕服務供給
一種類型的拒絕服務攻擊利用操作系統或應用程序的漏洞使系統崩潰,從而使系統無法繼續提供有效服務,如緩衝器一處就是利用應用程序不對需要處理的數據長度進行檢測的漏洞,導致應用程序的緩衝器溢出,因而影響系統的正常運行,甚至崩潰,從而使系統無法繼續提供有效服務。
另一種類型的拒絕服務攻擊是消耗某個計算機的有效資源,使其沒有用於對正常用戶提供有效服務所需要的資源。如攻擊者向某個計算機發送大量IP分組,以此消耗掉計算機的計入帶寬、導致正常用戶請求服務的IP分組無法到達該計算機,因而無法獲得服務。還有SYN泛洪攻擊,通過用大量無效的TCP連接建立請求消耗掉計算機的TCP繪話表資源,從而使計算機沒有用於和正常用戶建立TCP連接的TCP會話表資源。
1.4 計算機安全問題的應對措施
一部分計算機安全問題由操作系統或應用程序的漏洞引起的,解決這些安全問題的方法是及時爲漏洞打上補丁,因此,必須有一套保障所有終端系統都能及時通過補丁軟件消除已發現漏洞的機制,最大限度地避免系統遭到攻擊。及時發現操作系統和應用程序的漏洞,並通過下載補丁予以修補並不是網絡安全的範疇,但目前,由於網絡中系統衆多,各個系統的管理、應用人員的計算機水平不同,要求所有系統的管理人員都能及時發現系統所安裝的操作系統和應用程序的漏洞,並通過下載補丁軟件予以修補是比較困難的,因此,需要在網絡中安裝監控系統,由網絡檢測系統對所有系統安裝的操系統和應用程序進行監控,獲取他們的類型和版本號,檢測他們是否修不了已發現的漏洞,並對由安全問題的系統進行提醒。安裝網絡監測系統是一種通過網絡安全機制來解決網絡中所有系統因爲操作系統和應用程序的漏洞而引發的.安全問題的方法。
2 信息傳輸時的安全問題
2.1 非法接入
每個企業都有內部網絡,或許這樣的內部網絡也和Internet相連,但只允許企業內部人員訪問企業內部網絡的資源。所謂非法接入是指非企業內部人員連接到企業內部網絡並獲得訪問內部網絡資源的途徑。攻擊者實現非法接入的手段很多,如通過筆記本計算機直接進入企業內部網絡的某個以太網交換機端口,通過遠程撥號接入方法接入企業內部網絡,利用無線局域網接入企業內部網絡等。
2.2 信息竊取
如果攻擊者非法接入企業內部網絡,或者信息需要經過公共傳輸網絡進行傳輸,傳輸的信息很容易被攔截、竊取、篡改。如攻擊者通過修改路由器路由表,將信息發送給攻擊者的終端。攻擊者通過類似集線器這樣的共享式傳輸設備連接到內部網絡的某條主幹傳輸通路上等。這樣經過網絡傳輸的信息有可能被攻擊者截取,攻擊者可以竊取這些信息,設置篡改後繼續轉發給原始目的終端。
2.3 源地址欺騙
源IP地址是信息發送者的一個重要標識符,接收者常用IP分組的源IP地址來確定信息發送者的身份。爲了控制信息流動,夜場對允許交換信息的子網進行限制,因此,IP分組的源和目的IP地址也是確定信息是否允許經過路由器轉發的依據。攻擊者爲了達到非法範文的目的,或是爲了躲避責任,常用本不存在的,或是其他合法用戶的IP地址,作爲自己發送的IP分組的源IP地址。
2.4 傳輸安全問題的應對措施
防護攻擊者非法接入的方式是構建一個能夠阻斷非法接入途徑的內部網絡,如以太網的接入認證機制、安全端口機制、無線局域網的安全機制等防止信息竊取。篡改的最好辦法是加密和報文摘要技術。防止元地址欺騙的方式是除了源IP地址,還採取數字簽名來標識信息發送者,同時,通過測試接收IP分組的端口是否連接通往源IP地址所確定的發送者的路徑來判別IP分組源IP地址的真僞。