前言：本站為你精心整理了淺談計算機系統的安全防范范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

淺談計算機系統的安全防范

隨著計算機及網絡技術與應用的不斷發(fā)展，伴隨而來的計算機系統安全問題越來越引起人們的關注。計算機系統一旦遭受破壞，將給使用單位造成重大經濟損失，并嚴重影響正常工作的順利開展。加強計算機系統安全工作，是信息化建設工作的重要工作內容之一。

一、計算機系統面臨的安全問題

目前，廣域網應用已遍全省各級地稅系統。廣域網覆蓋地域廣、用戶多、資源共享程度高，所面臨的威脅和攻擊是錯綜復雜的，歸結起來主要有物理安全問題、操作系統的安全問題、應用程序安全問題、網絡協議的安全問題。

（一）物理安全問題

網絡安全首先要保障網絡上信息的物理安全。物理安全是指在物理介質層次上對存貯和傳輸的信息安全保護。目前常見的不安全因素（安全威脅或安全風險）包括三大類：

1.自然災害（如雷電、地震、火災、水災等），物理損壞（如硬盤損壞、設備使用壽命到期、外力破損等），設備故障（如停電斷電、電磁干擾等），意外事故。

2.電磁泄漏（如偵聽微機操作過程）。

3.操作失誤（如刪除文件，格式化硬盤，線路拆除等），意外疏漏（如系統掉電、"死機"等系統崩潰）

4.計算機系統機房環(huán)境的安全。

（二）操作系統及應用服務的安全問題

現在地稅系統主流的操作系統為Windows操作系統，該系統存在很多安全隱患。操作系統不安全，也是計算機不安全的重要原因。

（三）黑客的攻擊

人們幾乎每天都可能聽到眾多的黑客事件：一位年僅15歲的黑客通過計算機網絡闖入美國五角大樓；黑客將美國司法部主頁上的"美國司法部"的字樣改成了"美國不公正部"；黑客們聯手襲擊世界上最大的幾個熱門網站如yahoo、amazon、美國在線，使得他們的服務器不能提供正常的服務；黑客襲擊中國的人權網站，將人權網站的主頁改成反政府的言論；貴州多媒體通信網169網遭到"黑客"入侵；黑客攻擊上海信息港的服務器，竊取數百個用戶的賬號。這些黑客事件一再提醒人們，必須高度重視計算機網絡安全問題。黑客攻擊的主要方法有：口令攻擊、網絡監(jiān)聽、緩沖區(qū)溢出、電子郵件攻擊和其它攻擊方法。

（四）面臨名目繁多的計算機病毒威脅

計算機病毒將導致計算機系統癱瘓，程序和數據嚴重破壞，使網絡的效率和作用大大降低，使許多功能無法使用或不敢使用。雖然，至今尚未出現災難性的后果，但層出不窮的各種各樣的計算機病毒活躍在各個角落，令人堪憂。去年的“沖擊波”病毒、今年的“震蕩波”病毒，給我們的正常工作已經造成過嚴重威脅。

二、計算機系統的安全防范工作

計算機系統的安全防范工作是一個極為復雜的系統工程，是人防和技防相結合的綜合性工程。首先是各級領導的重視，加強工作責任心和防范意識，自覺執(zhí)行各項安全制度。在此基礎上，再采用一些先進的技術和產品，構造全方位的防御機制，使系統在理想的狀態(tài)下運行。

（一）加強安全制度的建立和落實

制度建設是安全前提。通過推行標準化管理，克服傳統管理中憑借個人的主觀意志驅動管理模式。標準化管理最大的好處是它推行的法治而不是人治，不會因為人員的去留而改變，先進的管理方法和經驗可以得到很好的繼承。各單位要根據本單位的實際情況和所采用的技術條件，參照有關的法規(guī)、條例和其他單位的版本，制定出切實可行又比較全面的各類安全管理制度。主要有：操作安全管理制度、場地與實施安全管理制度、設備安全管理制度、操作系統和數據庫安全管理制度、計算機網絡安全管理制度、軟件安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。并制定以下規(guī)范：

1.制定計算機系統硬件采購規(guī)范。系統使用的關鍵設備服務器、路由器、交換機、防火墻、ups、關鍵工作站，都應統一選型和采購，對新產品、新型號必須經過嚴格測試才能上線，保證各項技術方案的有效貫徹。

2.制定操作系統安裝規(guī)范。包括硬盤分區(qū)、網段名，服務器名命名規(guī)則、操作系統用戶的命名和權限、系統參數配置，力求杜絕安全參數配置不合理而引發(fā)的技術風險。

3.制定路由器訪問控制列表參數配置規(guī)范；規(guī)范組網方式，定期對關鍵端口進行漏洞掃描，對重要端口進行實時入侵檢測。

4.制定應用系統安裝、用戶命名、業(yè)務權限設置規(guī)范。有效防止因業(yè)務操作權限授權沒有實現崗位間的相互制約、相互監(jiān)督所造成的風險。

5.制訂數據備份管理規(guī)范，包括備份類型、備份策略、備份保管、備份檢查，保證了數據備份工作真正落到實處。

制度落實是安全保證。制度建設重要的是落實和監(jiān)督。尤其是在一些細小的環(huán)節(jié)上更要注意，如系統管理員應定期及時審查系統日志和記錄。重要崗位人員調離時，應及時注銷用戶，并更換業(yè)務系統的口令和密鑰，移交全部技術資料。應成立由主管領導為組長的計算機安全運行領導小組，凡是涉及到安全問題，大事小事有人抓、有人管、有專人落實。使問題得到及時發(fā)現、及時處理、及時上報，隱患能及時預防和消除，有效保證系統的安全穩(wěn)定運行。

（二）對信息化建設進行綜合性的長遠規(guī)劃

計算機發(fā)展到今天，已經是一個門類繁多復雜的電子系統，各部分設備能否正常運行直接關系到計算機系統的安全。從設備的選型開始就應考慮到它們的高可靠性、容錯性、備份轉換的即時性和故障后的恢復功能。同時，針對計算機系統網絡化、復雜化，計算機系統故障的影響范圍大的現實，對主機、磁盤機、通信控制、磁帶機、磁帶庫、不間斷電源、機房空調、機房消防滅火系統等重要設備采取雙備份制或其他容錯技術措施，以降低故障影響，迅速恢復生產系統的正常運行。

（三）強化全體稅務干部計算機系統安全意識

提高安全意識是安全關鍵。計算機系統的安全工作是一項經常性、長期性的工作，而事故和案件卻不是經常發(fā)生的，尤其是當處于一些業(yè)務緊張或遇到較難處理的大問題時，容易忽略或“破例”對待安全問題，給計算機系統帶來隱患。要強化工作人員的安全教育和法制教育，真正認識到計算機系統安全的重要性和解決這一問題的長期性、艱巨性及復雜性。決不能有依賴于先進技術和先進產品的思想。技術的先進永遠是相對的。俗話說：“道高一尺，魔高一丈”，今天有矛，明天就有盾。安全工作始終在此消彼長的動態(tài)過程中進行。只有依靠人的安全意識和主觀能動性，才能不斷地發(fā)現新的問題，不斷地找出解決問題的對策。要將計算機系統安全工作融入正常的信息化建設工作中去，在規(guī)劃、設計、開發(fā)、使用每一個過程中都能得到具體的體現和貫徹，以確保計算機系統的安全運行。

（四）構造全方位的防御機制

全方位的防御機制是安全的技術保障。網絡安全是一項動態(tài)的、整體的系統工程，從技術上來說，網絡安全由安全的操作系統、應用系統、防病毒、防火墻、入侵檢測、網絡監(jiān)控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件是無法確保您信息網絡的安全性。

1.利用防病毒技術，阻止病毒的傳播與發(fā)作

2001年，紅色代碼病毒、尼姆達病毒、求職病毒觸動了信息網絡脆弱的安全神經，更使部分信息網絡用戶一度陷入通訊癱瘓的尷尬局面；2003年、2004年，“沖擊波”病毒、“震蕩波”病毒更是給計算機用戶留下了深刻的印象。為了免受病毒所造成的損失，應采用多層的病毒防衛(wèi)體系。所謂的多層病毒防衛(wèi)體系，是指在每臺PC機上安裝單機版反病毒軟件，在服務器上安裝基于服務器的反病毒軟件，在網關上安裝基于網關的反病毒軟件。因為防止病毒的攻擊是每個員工的責任，人人都要做到自己使用的臺式機上不受病毒的感染，從而保證整個網絡不受病毒的感染。

2.應用防火墻技術，控制訪問權限

防火墻技術是近年發(fā)展起來的重要網絡安全技術，其主要作用是在網絡入口處檢查網絡通訊，根據客戶設定的安全規(guī)則，在保護內部網絡安全的前提下，保障內外網絡通訊。在網絡出口處安裝防火墻后，內部網絡與外部網絡進行了有效的隔離，所有來自外部網絡的訪問請求都要通過防火墻的檢查，內部網絡的安全有了很大的提高。防火墻可以完成以下具體任務：

－通過源地址過濾，拒絕外部非法IP地址，有效避免外部網絡上與業(yè)務無關的主機的越權訪問；

－防火墻可以只保留有用的服務，將其他不需要的服務關閉，這樣做可以將系統受攻擊的可能性降低到最小限度，使黑客無機可乘；

－同樣，防火墻可以制定訪問策略，只有被授權的外部主機可以訪問內部網絡的有限IP地址，保證外部網絡只能訪問內部網絡中的必要資源，與業(yè)務無關的操作將被拒絕；

－由于外部網絡對內部網絡的所有訪問都要經過防火墻，所以防火墻可以全面監(jiān)視外部網絡對內部網絡的訪問活動，并進行詳細的記錄，通過分析可以得出可疑的攻擊行為；

－另外，由于安裝了防火墻后，網絡的安全策略由防火墻集中管理，因此，黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權限的目的，而直接攻擊防火墻幾乎是不可能的。

－防火墻可以進行地址轉換工作，使外部網絡用戶不能看到內部網絡的結構，使黑客攻擊失去目標。

3.應用入侵檢測技術及時發(fā)現攻擊苗頭

應用防火墻技術，經過細致的系統配置，通常能夠在內外網之間提供安全的網絡保護，降低網絡的安全風險。但是，僅僅使用防火墻、網絡安全還遠遠不夠。因為：

（1）入侵者可能尋找到防火墻背后敞開的后門；

（2）入侵者可能就在防火墻內；

（3）由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。

入侵檢測系統是近年出現的新型網絡安全技術，目的是提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要是因為它能夠對付來自內外網絡的攻擊，其次是因為它能夠縮短發(fā)現黑客入侵的時間。

4.應用安全掃描技術主動探測網絡安全漏洞，進行網絡安全評估與安全加固

安全掃描技術是又一類重要的網絡安全技術。安全掃描技術與防火墻、入侵檢測系統互相配合，能夠有效提高網絡的安全性。通過對網絡的掃描，網絡管理員可以了解網絡的安全配置和運行的應用服務，及時發(fā)現安全漏洞，客觀評估網絡風險等級。網絡管理員可以根據掃描的結果及時消除網絡安全漏洞和更正系統中的錯誤配置，在黑客攻擊前進行防范。如果說防火墻和網絡監(jiān)控系統是被動的防御手段，那么安全掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。

5.應用網絡安全緊急響應體系，防范安全突發(fā)事件

網絡安全作為一項動態(tài)工程，意味著它的安全程度會隨著時間的變化而發(fā)生改變。在信息技術日新月異的今天，昔日固若金湯的網絡安全策略，總難免會隨著時間的推進和環(huán)境的變化，而變得不堪一擊。因此，我們需要隨著時間和網絡環(huán)境的變化或技術的發(fā)展而不斷調整自身的安全策略，并及時組建網絡安全緊急響應體系，專人負責，防范安全突發(fā)事件。

總之，計算機網絡系統的安全工作不是一朝一夕的工作，而是一項長期的任務，需要全體稅務干部的參與和努力，同時要加大投入引進先進技術，建立嚴密的安全防范體系，并在制度上確保該體系功能的實現。