為什么計算機安全定義有三種?
1、實體安全
計算機系統實體是指計算機系統的硬件部分,應包括計算機本身的硬件和各種接口、各種相應的外部設備、計算機網絡的通訊設備、線路和信道等。
而計算機實體安全是指為了保證計算機信息系統安全可靠運行,確保在對信息進行采集、處理、傳輸和存儲過程中,不致受到人為或自然因素的危害,而使信息丟失、泄密或破壞,對計算機設備、設施(包括機房建筑、供電、空調等)、環境、人員等采取適當的安全措施。
是防止對信息威脅和攻擊的第一步,也是防止對信息威脅和攻擊的天然屏障,是基礎。主要包括以下內容:
環境安全。主要是對計算機信息系統所在環境的區域保護和災難保護。要求計算機場地要有防火、防水、防盜措施和設施,有攔截、屏蔽、均壓分流、接地防雷等設施;有防靜電、防塵設備,溫度、濕度和潔凈度在一定的控制范圍等等。
設備安全。主要是對計算機信息系統設備的安全保護,包括設備的防毀、防盜、防止電磁信號輻射泄漏、防止線路截獲;對UPS、存儲器和外部設備的保護等。
媒體安全。主要包括媒體數據的安全及媒體本身的安全。目的是保護媒體數據的安全刪除和媒體的安全銷毀,防止媒體實體被盜、防毀和防霉等。
2、運行安全
系統的運行安全是計算機信息系統安全的重要環節,因為只有計算機信息系統的運行過程中的安全得到保證,才能完成對信息的正確處理,達到發揮系統各項功能的目的。包括系統風險管理、審計跟蹤、備份與恢復、應急處理四個方面內容。
風險分析是指用于威脅發生的可能性以及系統易于受到攻擊的脆弱性而引起的潛在損失步驟,是風險管理程序的基礎,其最終目的是幫助選擇安全防護并將風險降低到可接受的程度。
計算機信息系統在設計前和運行前需要進行靜態分析,旨在發現系統的潛在安全隱患;其次對系統進行動態分析,即在系統運行過程中測試,跟蹤并記錄其活動,旨在發現系統運行期的安全漏洞;最后是系統運行后的分析,并提供相應的系統脆弱性分析報告。
常見的風險有后門/陷阱門、犯大錯誤、拒絕使用、無法使用、偽造、故意對程序或數據破壞、邏輯炸彈、錯誤傳遞、計算機病毒和超級處理等。常見分析工具有自動風險評估系統ARESH、Bayesian判決輔助系統、Livermore風險分析法等。
審計跟蹤是利用對計算機信息系統審計的方法,對計算機信息系統工作過程進行詳盡的審計跟蹤,記錄和跟蹤各種系統狀態的變化,如用戶使用系統的時間和日期及操作,對程序和文件的使用監控等,以保存、維護和管理審計日志,實現對各種安全事故的定位。
也是一種保證計算機信息系統運行安全的常用且有效的技術手段。
備份與恢復是對重要的系統文件、數據進行備份,且備份放在異處,甚至對重要設備也有備份,以確保在系統崩潰或數據丟失后能及時準確進行恢復,保障信息處理操作仍能進行。可采取磁盤鏡像、磁盤冗余陣列等技術。
應急處理主要是在計算機信息系統受到損害、系統崩潰或發生災難事件時,應有完善可行的應急計劃和快速恢復實施應急措施,基本做到反應緊急、備份完備和恢復及時,使系統能正常運行,以盡可能減少由此而產生的損失。
3、信息安全
計算機信息系統的信息安全是核心,是指防止信息財產被故意或偶然的泄漏、更改、破壞或使信息被非法系統辨識、控制,確保信息的保密性、完整性、可用性和可控性。針對計算機信息系統中的信息存在形式和運行特點,信息安全可分為操作系統安全、數據庫安全、網絡安全、病毒防護、訪問控制和加密。
操作系統安全。是指操作系統對計算機信息系統的硬件和軟件資源進行有效控制,對程序執行期間使用資源的合法性進行檢查,利用對程序和數據的讀、寫管理,防止因蓄意破壞或意外事故對信息造成的威脅,從而達到保護信息的完整性、可用性和保密性。
操作系統安全可通過用戶認證、隔離、存取控制及完整性等幾種方法來實現。用戶認證就是系統有一個對用戶識別的方法,通過用戶名和口令實現,口令機制有口令字、IC卡控制、指紋鑒別和視網膜鑒別等。
隔離技術是在電子數據處理成份的周圍建立屏障,以使該環境中實施存取規則,可通過物理隔離、時間隔離、邏輯隔離和密碼技術隔離來實現。
存取控制是對程序執行期間訪問資源的合法性進行檢查,并通過控制對數據和程序的讀、寫、修改、刪除和執行等操作進行保護,防止因事故和有意破壞造成對信息的威脅。系統完整性涉及到程序和數據兩方面,程序完整性要在整個程序設計活動中嚴格控制;數據完整性由錯誤控制進行保護。
數據庫安全。數據庫系統中的數據的安全性包括:完整性——只有授權用戶才能修改信息,不允許用戶對信息進行非法修改;可用性——當授權用戶存取其有權使用的信息時,數據庫系統一定能提供這些信息;保密性——只有授權用戶才能存取信息。
實現數據庫安全可通過用戶認證、身份鑒別、訪問控制和數據庫內外加密等方法來實現。用戶認證通過在操作系統用戶認證基礎上,要求用戶對通行字、日期和時間檢查認證。身份鑒別是數據庫系統具備的獨立的用戶身份鑒別機制。
訪問機制,運用安全級元素的確定、視圖技術等方法,確保用戶僅能訪問已授權的數據,并可保證同一組數據的不同用戶被授予不同訪問權限。
數據庫外加密是操作系統完成的,如采用文件加密方法等,把數據形成存儲塊送入數據庫;數據庫內加密是對數據庫以數據元素、域或記錄形式加密,常用加密方法有DES加密、子密鑰數據庫加密和秘密同態加密技術等。
訪問控制。是系統安全機制的核心,對處理狀態下的信息進行保護,對所有直接存取活動進行授權;同時,對程序執行期間訪問資源的合法性進行檢查,控制對數據和程序的讀、寫、修改、刪除、執行等操作,防止因事故和有意破壞對信息的威脅,主要包括授權、確定存取權限和實施權限三個內容。
通過最小授權、存取權分離、實體權限的時效性和對存取訪問的監督檢查、訪問控制表、訪問控制矩陣和能力表等方法來實現。
密碼技術。計算機數據信息的加密基本上屬于通信加密的類型,但又不同于一般的通信保密技術,被加密的明文往往是程序或其他處理的原始數據或是運行結果,而形成的密文是靜態的,一般不是執行中的程序,僅用以存儲或作為通信輸出。
一般密碼系統包括明文、密文、加密、解密和密鑰五部分,常見密碼加密有換位加密、矩陣移位加密、定長置換加密、替代密碼和DES加密、RAS加密、PKI和MD5等算法。
計算機網絡安全。在計算機網絡中傳遞的信息普遍面臨著主動攻擊的危害,主動攻擊中最主要的方法就是對信息進行修改,比如對信息的內容進行更改、刪除、添加;改變信息的源或目的地;改變報文分組的順序或將同一報文反復;篡改回執等。
而在計算機網絡信息系統中,信息的交換是其存在的基礎。而從安全角度上考慮,就必須保證這些交換過程的安全和內容的有效性及合法性。對于網絡安全的實用技術有:身份驗證;報文驗證;數字簽名;防火墻。
計算機病毒。計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,并能自我復制的一組計算機指令或程序代碼。其本質是一種具有自我復制能力的程序,具有復制性、傳播性和破壞性。
計算機病毒不同于生物醫學上的“病毒”,計算機病毒不是天然存在的,是人故意編制的一種特殊的計算機程序。計算機病毒對信息系統有極大的危害性,輕者可以增加系統開銷,降低系統工作效率;重者可使程序、數據丟失,甚至系統崩潰,無法工作,更甚者造成計算機主板毀壞,如CIH病毒等。
