第一篇:计算机系统安全复习(2013)
计算机系统安全复习
一、判断题
1.信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 2.计算机场地可以选择在公共区域人流量比较大的地方。× 3.计算机场地在正常情况下温度保持在 18~28 摄氏度。√ 4.机房供电线路和动力、照明用电可以用同一线路。×
5.只要手干净就可以直接触摸或者擦拔电路组件,不必有进一步的措施。× 6.备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件。√
7.屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空气中传播。√
8.屏蔽室的拼接、焊接工艺对电磁防护没有影响。×
9.由于传输的内容不同,电力线可以与网络线同槽铺设。×
10.接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通.√
11.TEMPEST 技术,是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器 件、集成电路、连接线、显示器等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。√
12.机房内的环境对粉尘含量没有要求。×
13.防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄露信息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。√
14.有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√ 15.纸介质资料废弃应用碎纸机粉碎或焚毁。√
16.数据备份按数据类型划分可以分成系统数据备份和用户数据备份。√ 17.容灾就是数据备份。×
18.数据越重要,容灾等级越高。√
19.容灾项目的实施过程是周而复始的。√
20.如果系统在一段时间内没有出现问题,就可以不用再进行容灾了。×
21.廉价磁盘冗余阵列(RAID), 基本思想就是将多只容量较小的、相对廉价的硬盘进行有机组合,使其性能超过一只昂贵的大硬盘。√
22.Windows 系统中,系统中的用户帐号可以由任意系统用户建立。用户帐号中包含着用户的名称与密码、用户所属的组、用户的权利和用户的权限等相关数据。×
23.Windows 系统的用户帐号有两种基本类型 : 全局帐号(Global Accounts)和本地帐号(local Accounts)√
24.本地用户组中的 Guests-(来宾用户)组成员可以登录和运行应用程序,也可以关闭操作系统,但是其功能比 Users 有更多的限制。√
25.域帐号的名称在域中必须是唯一的,而且也不能和本地帐号名称相同,否则会引起混乱。×
26.全局组是由本域的域用户组成的,不能包含任何组,也不能包含其他域的用户,全局组能在域中任何一台机器上创建。×
27.对于注册表的访问许可是将访问权限赋予计算机系统的用户组,如 Administrator、Users、Creator/Owner 组等。√ 28.每个 UNIX/Linux 系统中都只有一个特权用户,就是 root 帐号。×
29.标准的 UNIX/Linux 系统以属主、属组、其他人三个粒度进行控制。特权用户不受这种访问控制的限制。√ 30.UNIX/Linux 系统中,设置文件许可位以使得文件的所有者比其他用户拥有更少的权限是不可能的。×
31.UNIX/Linux 系统和 Windows 系统类似,每一个系统用户都有一个主目录。√
32.数据库系统是一种封闭的系统,其中的数据无法由多个用户共享。× 33.数据库安全只依靠技术即可保障。×
34.数据库的强身份认证与强制访问控制是同一概念。×
35.用户对他自己拥有的数据,不需要有指定的授权动作就拥有全权管理和操作的权限。√
37.数据库加密适宜采用公开密钥密码系统。√
38.数据库加密的时候,可以将关系运算的比较字段加密。× 39.数据库管理员拥有数据库的一切权限。√
40.不需要对数据库应用程序的开发者制定安全策略。× 41.SQL 注入攻击不会威胁到操作系统的安全。× 42.完全备份就是对全部数据库数据进行备份。√
二、单选题
1.网络安全是在分布网络环境中对(D)提供安全保护。
A.信息载体
B.信息的处理、传输
C.信息的存储、访问
D.上面3项都是 2.ISO 7498-2从体系结构观点描述了5种安全服务,以下不属于这5种安全服务的是(B)。
A.身份鉴别
B.数据报过滤
C.授权控制
D.数据完整性 3.ISO 7498-2描述了8种特定的安全机制,以下不属于这8种安全机制的是(A)。
A.安全标记机制
B.加密机制
C.数字签名机制
D.访问控制机制 4.用于实现身份鉴别的安全机制是(A)。
A.加密机制和数字签名机制
B.加密机制和访问控制机制
C.数字签名机制和路由控制机制
D.访问控制机制和路由控制机制
5.在ISO/OSI定义的安全体系结构中,没有规定(E)。
A.对象认证服务
B.数据保密性安全服务
C.访问控制安全服务
D.数据完整性安全服务
E.数据可用性安全服务
6.ISO定义的安全体系结构中包含(B)种安全服务。
A.4
B.5
C.6
D.7 7.(D)不属于ISO/OSI安全体系结构的安全机制。
A.通信业务填充机制
B.访问控制机制
C.数字签名机制
D.审计机制
8.ISO安全体系结构中的对象认证服务,使用(B)完成。
A.加密机制
B.数字签名机制
C.访问控制机制
D.数据完整性机制 9.CA属于ISO安全体系结构中定义的(D)。
A.认证交换机制
B.通信业务填充机制
C.路由控制机制
D.公证机制 10.数据保密性安全服务的基础是(D)。
A.数据完整性机制
B.数字签名机制
C.访问控制机制
D.加密机制 11.可以被数据完整性机制防止的攻击方式是(D)。
A.假冒源地址或用户的地址欺骗攻击
B.抵赖做过信息的递交行为
C.数据中途被攻击者窃听获取
D.数据在途中被攻击者篡改或破坏 12.SSL产生会话密钥的方式是(C)。
A.从密钥管理数据库中请求获得
B.每一台客户机分配一个密钥的方式
C.随机由客户机产生并加密后通知服务器
D.由服务器产生并分配给客户机 13(C)属于Web中使用的安全协议。
A.PEM、SSL
B.S-HTTP、S/MIME
C.SSL、S-HTTP
D.S/MIME、SSL 15.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是(B)A.身份鉴别是授权控制的基础
B.身份鉴别一般不用提供双向的认证
C.目前一般采用基于对称密钥加密或公开密钥加密的方法 D.数字签名机制是实现身份鉴别的重要机制 16.PKI支持的服务不包括(D)。
A.非对称密钥技术及证书管理
B.目录服务 C.对称密钥的产生和分发
D.访问控制服务 19.会话侦听与劫持技术属于(B)技术
A密码分析还原
B协议漏洞渗透
C应用漏洞分析与渗透
D DOS攻击
20.PKI的主要组成不包括(B)
A CA
B SSL
C RA
D CR 22.社会工程学常被黑客用于(踩点阶段信息收集A)
A 口令获取
B ARP
C TCP
D DDOS 23,windows中强制终止进程的命令是(C)
A Tasklist
B Netsat C Taskkill
D Netshare 24.现代病毒木马融合了(D)新技术
A 进程注入
B注册表隐藏
C漏洞扫描
D都是 25.溢出攻击的核心是(A)
A 修改堆栈记录中进程的返回地址
B利用Shellcode
C 提升用户进程 权限
D 捕捉程序漏洞
26.在被屏蔽的主机体系中,堡垒主机位于(A)中,所有的外部连接都经过滤路由器到它上面去。
A 内部网络
B周边网络 C外部网络
D自由连接 27.外部数据包经过过滤路由只能阻止(D)唯一的IP欺骗
A 内部主机伪装成外部主机IP
B内部主机伪装成内部主机IP C外部主机伪装成外部主机IP
D外部主机伪装成内部主机IP 28.ICMP数据包的过滤主要基于(D)
A目标端口
B 源端口
C消息源代码
D协议prot
31.数字签名要预先使用单向Hash函数进行处理的原因是(C)。
A.多一道加密工序使密文更难破译
B.提高密文的计算速度
C.缩小签名密文的长度,加快数字签名和验证签名的运算速度
D.保证密文能正确还原成明文
34.PKI管理对象不包括(A)。
A.ID和口令
B.证书
C.密钥
D.证书撤消 35.下面不属于PKI组成部分的是(D)。
A.证书主体
B.使用证书的应用和系统
C.证书权威机构
D.AS 37.以下关于等级保护的地位和作用的说法中不正确的是(C)A.是国家信息安全保障工作的基本制度、基本国策。B.是开展信息安全工作的基本方法。C.是提高国家综合竞争力的主要手段。
D.是促进信息化、维护国家信息安全的根本保障。
38.以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A)A.突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行。B.利用信息安全等级保护综合工作平台使等级保护工作常态化。C.管理制度建设和技术措施建设同步或分步实施。
D.加固改造缺什么补什么也可以进行总体安全建设整改规划。39.安全建设整改的目的是(D)
(1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5)B.(3)、(4)、(5)C.(2)、(3)、(4)、(5)D.全部
40.物理安全的管理应做到(D)
A.所有相关人员都必须进行相应的培训,明确个人工作职责
B.制定严格的值班和考勤制度,安排人员定期检查各种设备的运行情况 C.在重要场所的迸出口安装监视器,并对进出情况进行录像 D.以上均正确 41.信息安全的基本属性是(D)。
A.机密性
B.可用性
C.完整性
D.上面3项都是
42.“会话侦听和劫持技术”是属于(B)的技术。
A.密码分析还原
B.协议漏洞渗透
C.应用漏洞分析与渗透
D.DOS攻击 43.对攻击可能性的分析在很大程度上带有(B)。
A.客观性
B.主观性
C.盲目性
D.上面3项都不是
44.从安全属性对各种网络攻击进行分类,阻断攻击是针对(B)的攻击。
A.机密性
B.可用性
C.完整性
D.真实性
45.从安全属性对各种网络攻击进行分类,截获攻击是针对(A)的攻击。
A.机密性
B.可用性
C.完整性
D.真实性 46.从攻击方式区分攻击类型,可分为被动攻击和主动攻击。被动攻击难以(C),然而(C)这些攻击是可行的;主动攻击难以(C),然而(C)这些攻击是可行的。
A.阻止,检测,阻止,检测
B.检测,阻止,检测,阻止
C.检测,阻止,阻止,检测
D.上面3项都不是
47.窃听是一种(A)攻击,攻击者(A)将自己的系统插入到发送站和接收站之间。截获是一种(A)攻击,攻击者(A)将自己的系统插入到发送站和接受站之间。
A.被动,无须,主动,必须
B.主动,必须,被动,无须
C.主动,无须,被动,必须
D.被动,必须,主动,无须
48.攻击者截获并记录了从A到B的数据,然后又从早些时候所截获的数据中提取出信息重新发往B称为(D)。
A.中间人攻击
B.口令猜测器和字典攻击 C.强力攻击
D.回放攻击
49.机密性服务提供信息的保密,机密性服务包括(D)。
A.文件机密性
B.信息传输机密性
C.通信流的机密性
D.以上3项都是 50.最新的研究和统计表明,安全攻击主要来自(B)。
A.接入网
B.企业内部网
C.公用IP网
D.个人网 简答题:
1.Windows 操作系统的安全特点是什么?
在Windows中所有的对象都有一个安全标示符,安全性标识符上列出了允许用户和组在对象上可以执行的动作。安全性标识符可以用来设置和查询一个对象的安全属性,所有的命名对象、进程和线程都有与之关联的安全描述。Windows安全模式的一个最初目标,就是定义一系列标准的安全信息,并把它应用于所有对象的实例。
2.计算机取证的需要遵循的主要原则是什么?
答:计算机取证的主要原则有:尽早搜集证据,并保证其没有受到任何破坏;必须保证“证据连续性”即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化;整个检查、取证过程必须是受到监督的,也就是说,由原告委派的专家所作的所有调查取证工作,都应该受到由其它方委派的专家的监督。
3.什么是网络隔离?其关键点是什么?
网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如TCP/IP网络)的直接连接断开,通过不可路由的协议(如:IPX/SPX、NetBEUI等)和专用隔离硬件进行数据交换而达到隔离目的,保护内部网络的安全和信息不致外泄。
网络隔离的关键点在于任何时刻在保护网络和外部网络之间都不存在直接的物理连接,它是目前能够提供最高安全级别的安全技术。对于需要绝对安全的保密网、专网等网络与互联网连接时,几乎全部采用网络隔离技术 4.访问控制有几种常用的实现方法?它们各有什么特点?
(1)访问控制矩阵: 行表示客体(各种资源),列表示主体(通常为用户),行和列的交叉点表示某个主体对某个客体的访问权限。通常一个文件的Own权限表示可以授予(Authorize)或撤消(Revoke)其他用户对该文件的访问控制权限。(2)访问能力表: 实际的系统中虽然可能有很多的主体与客体,但两者之间的权限关系可能并不多。为了减轻系统的开销与浪费,我们可以从主体(行)出发,表达矩阵某一行的信息,这就是访问能力表(Capabilities)。(3)只有当一个主体对某个客体拥有访问的能力时,它才能访问这个客体。但是要从访问能力表获得对某一特定客体有特定权限的所有主体就比较困难。在一个安全系统中,正是客体本身需要得到可靠的保护,访问控制服务也应该能够控制可访问某一客体的主体集合,于是出现了以客体为出发点的实现方式——ACL。
(3)访问控制表 也可以从客体(列)出发,表达矩阵某一列的信息,这就是访问控制表(Access Control List)。它可以对某一特定资源指定任意一个用户的访问权限,还可以将有相同权限的用户分组,并授予组的访问权。
(4)授权关系表: 授权关系表(Authorization Relations)的每一行表示了主体和客体的一个授权关系。对表按客体进行排序,可以得到访问控制表的优势;对表按主体进行排序,可以得到访问能力表的优势。适合采用关系数据库来实现。5.有哪几种访问控制策略?
三种不同的访问控制策略:自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC),前两种属于传统的访问控制策略,而RBAC是90年代后期出现的,有很大的优势,所以发展很快。
每种策略并非是绝对互斥的,我们可以把几种策略综合起来应用从而获得更好、更安全的系统保护——多重的访问控制策略。6.简述认证机构的严格层次结构模型的性质? 层次结构中的所有实体都信任惟一的根CA。在认证机构的严格层次结构中,每个实体(包括中介CA和终端实体)都必须拥有根CA的公钥,该公钥的安装是在这个模型中为随后进行的所有通信进行证书处理的基础,因此,它必须通过一种安全(带外)的方式来完成。
值得注意的是,在一个多层的严格层次结构中.终端实体直接被其上层的CA认证(也就是颁发证书),但是它们的信任锚是另一个不同的CA(根CA)。
7.可信计算平台的工作原理是什么?
答:可信计算平台的工作原理是将BIOS引导块作为完整性测量的信任的根,可信计算模块TPM作为完整性报告的信任的根,对BIOS、操作系统进行完整性测量,保证计算环境的可信性。信任链通过构建一个信任根,从信任根开始到硬件平台、到操作系统、再到应用,一级测量认证一级,一级信任一级,从而把这种信任扩展到整个计算机系统。其中信任根的可信性由物理安全和管理安全确保。
8.利用智能卡进行的双因素的认证方式的原理是什么?
智能卡具有硬件加密功能,有较高的安全性。每个用户持有一张智能卡,智能卡存储用户个性化的秘密信息,同时在验证服务器中也存放该秘密信息。进行认证时,用户输入PIN(个人身份识别码),智能卡认证PIN,成功后,即可读出智能卡中的秘密信息,进而利用该秘密信息与主机之间进行认证。双因素的认证方式(PIN+智能卡),即使PIN或智能卡被窃取,用户仍不会被冒充。智能卡提供硬件保护措施和加密算法,可以利用这些功能加强安全性能。9.数字证书的原理是什么?
数字证书采用公开密钥体制(例如RSA)。每个用户设定一仅为本人所知的私有密钥,用它进行解密和签名;同时设定一公开密钥,为一组用户所共享,用于加密和验证签名。
采用数字证书,能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认。(2)保证信
四、综述题
1.根据所学知识,试述在以后的工作岗位上,在软件工程的各个阶段应采取哪些安全措施?
答:(1)需求分析阶段:详细说明安全与保密要求;把安全保密分配到处理流程中;确定用户数据的敏感等级;确定安全计划,建立安全模型。
(2)设计与验证阶段:验证安全模型的正确性;设计整体安全机制和安全方案;把安全要求分解到相关模块中;把对数据的安全要求体现在安全数据库的设计中。(3)编程控制阶段:按要求实现各模块的安全功能;组织独立人员审查模块代码;(仔细阅读源程序)保护源代码不与无关人员接触。(4)测试控制阶段:测试各模块安全功能,最好通过第三方独立测试;根据安全要求综合测试程序与运行环境;组织安全专业人员进行攻击性测试。(5)运行维护管理阶段:成立软件配置管理机构对提交运行的软件,对其任何修改必须得到批准;对修改后的源程序需要再审查;
由配置管理机构自己对源代码编译生成目标代码,防止引入不安全功能。(6)行政管理控制阶段:首先指定程序开发标准,包括 设计标准、文件、语言和编码风格的标准、编程标准、测试标准、配置管理标准等,然后实施程序开发标准,遵循程序开发标准有利于项目的持续进行,即使项目中途换人,也不影响项目按标准完成。对开发安全软件的公司需要进行安全审计。由一个独立的安全评价小组以不声张的方式检查每一个项目。注意要责任分开:模块化编程和设计迫使程序员取得非法的程序结果必须合谋,由独立测试小组而不是由编写这段程序的程序员对模块进行测试,这些分离措施可以使程序具有更高的安全性。对职员的管理:招收雇员时需要调查其背景,在公司对他取得信任之前,应限制其访问权限。为了安全上的原因公司还应该要求其遵守一般的行为准则。
2.可信计算平台的可信机制通过哪三个方面来体现?简述这三方面的作用?(1)用户的身份认证,这是对使用者的信任。传统的方法是依赖操作系统提供的用户登录,这种方法具有两个致命的弱点,一是用户名称和密码容易仿冒,二是无法控制操作系统启动之前的软件装载操作,所以被认为是不够安全的。而可信计算平台对用户的鉴别则是与硬件中的BIOS相结合,通过BIOS提取用户的身份信息,如IC卡或USB KEY中的认证信息进行验证,从而让用户身份认证不再依赖操作系统,并且用户身份信息的假冒更加困难。
(2)可信计算平台内部各元素之间的互相认证,这体现了使用者对平台运行环境的信任。系统的启动从一个可信任源(通常是BIOS的部分或全部)开始,依次将验证BIOS、操作系统装载模块、操作系统等,从而保证可信计算平台启动链中的软件未被篡改。
(3)平台之间的可验证性,指网络环境下平台之间的相互信任。可信计算平台具备在网络上的唯一的身份标识。现有的计算机在网络上是依靠不固定的也不唯一的IP 地址进行活动,导致网络黑客泛滥和用户信用不足。而具备由权威机构颁发的唯一的身份证书的可信计算平台则可以准确地提供自己的身份证明,从而为电子商务之类的系统应用奠定信用基础。
第二篇:计算机系统安全防范
计算机系统安全防范
一、计算机安全概述
计算机系统自身存在缺陷且有一定的脆弱性,已被各种人为因素和自然因素破坏,例如:温湿度、水灾、火灾、雷击和空气污染等。
1.1计算机信息系统的物理安全计算机信息系统的物理安全是指计算机自身与其相关、配套的设备的安全,这是实体安全。硬件设备是信息载体,它的安全是信息系统安全的前提条件。若想保证网络系统的物理安全,保证机房安全是关键。依照国家规定和标准建设机房,通常建设在建筑的避光处,有时候可以利用窗帘避免阳光照射,同时,机房中还应配备防火、救火设备。设置满足路由器等设备总功率的电源设备,且能够提供UPS不间断的稳定电压电源。配备空调,以此来保证机房的温湿度。机房重地禁止不相关人员的进入,对于服务器和交换器等重要设备,应该定期进行双机备份。
1.2软件安全软件安全是信息系统功能正常发挥的必要条件。操作系统是计算机的支撑软件之一,应该保证程序或者其它系统在计算中的正常运行。操作系统主要管理硬件资源和软件资源这两个方面。一旦操作系统开发设计时存在缺陷,自身不安全,也会给整个网络带来安全隐患。操作系统管理系统内存CPU和外部设备,各个管理对象和模块或者程序密切相关,任何一个模块或者程序出现问题都会给计算机系统带来损失。
1.3网络传输安全困扰计算机系统安全的相关因素及防范对策目前,主要有局域网和广域网这两种网络形式,且计算机网络构成形式多样,因此,网络覆盖跨度存在差异,这种覆盖跨度差异在传送方面遗留了安全链接隐患。
1.4信息安全信息系统的保护内容包括:保护信息有效性、完整性和保密性,避免删除、修改、泄露和盗窃信息。计算机信息涉及国计民生、科学技术、经济财政和军事外交等重要领域,如果没有科学、系统的保障系统,将会危及国家、社会的发展。
二、计算机系统问题组成
2.1无法保证系统硬件的安全来自系统硬件的电磁干扰。例如:电源变化、漏电、静电等会对系统安全中造成一定的威胁,另外,设备老化等各种不安全因素也可能危及计算机硬件系统,使其处于不安全状态。这类威胁影响计算机本身和周围环境,进而阻碍计算机的正常运行。
2.2计算机系统的软件数据易被主观破坏和利用不合理管理人员的不合理利用可能引起计算机系统的运行故障,主观随意修改、删除、复制和调整计算机数据,导致软件系统在运行过程中可能存在设计、程序编制和使用的错误。目前,网络黑客攻击是计算机系统最大的威胁,容易引起系统瘫痪。
2.3计算机自身硬件故障计算机系统的核心内容是数据处理,计算机系统是一个复杂的人机系统,具有一定的脆弱性,各个设备的故障都会直接影响数据的安全性,一旦发生计算机硬件故障将会造成严重的损失。
2.4计算机系统较为复杂,不确定因素较多计算机研发系统初期,系统不够成熟,存在一定的缺陷,开发人员的疏忽可能会引发各种漏洞,计算机系统管理员对系统的操作不合理会极大降低系统的安全性,系统操作人员没有严格遵循相关规定进行操作,会使提前制定的保护措施失去预期效果。
2.5计算机病毒的威胁随着互联网的不断发展,计算机病毒的传播速度逐渐增加。计算机病毒会对系统软件或者数据造成损坏,有些还会损坏计算机硬件,进而威胁计算机系统安全。
三、计算机系统安全的重要性
3.1计算机中涉及国家政治、经济和军事等内容计算机存储的安全性直接影响相应的保密性,尤其应该加强对一些重大信息的保密,但是由于计算机系统自身脆弱性,导致计算机容易被破坏或者不正当利用。
3.2随着社会的不断发展和信息技术的不断进步计算机系统的功能越来越强大,规模也越来越大,同时,人们对于计算机系统的需求不断增加,这是社会和科技进步的必然需求,计算机也被广泛的应用到社会生活的各个方面。
3.3计算机系统安全问题涵盖面比较广,涉及到很多学科知识它是一个相当复杂的综合问题,同时,计算机技术、方法和防护、控制措施应该随着计算机系统应用环境的变化而变化,及时更新、改进。另外,随着计算机学科的不断发展,与之相对应的计算机系统安全也会不断升级更新。
四、困扰计算机系统安全的相关因素
计算机安全是保证计算机系统资源和信息资源不因自然和人为因素的影响而损坏,保证信息安全可靠,保证计算机系统的安全、高效运行。
4.1自然因素
很难预料和预防的火灾、水灾、雷击、地震等的作用引起计算机设备的损坏,计算机运行环境无法满足安全运行环境标准,例如线路设置不合理、供电系统不稳定、连接不严等引起计算机设备故障、数据信息损坏或者被破坏。
4.2人为因素
人既是计算机系统的设计、使用和维护者,又是损坏和破坏者。计算机系统是一个复杂的人机系统,人与计算机关系微妙且密切。
4.2.1在具体的应用过程中,操作人员不严格按照规范操作,无意中泄露了口令或者密码,导致犯罪分子或者敌对势力非法进入计算机系统,对系统安全构成威胁。
4.2.2窃取、破坏计算机设备,窃取相应的计算机系统信息;管理人员和操作人员没有定期维护、保养设备,导致计算机系统因长期运行出现故障、信息丢失或者损坏。
4.2.3计算机网络黑客利用各种手段,例如:监听密保钥匙的分配过程、网络侦听获得网络用户密码或者口令,非法攻击密保钥匙管理服务器,通过隐蔽渠道进行非法活动,突破防火墙,利用系统漏洞非法登录网络系统,修改、破坏重要数据信息,造成严重的损失。
4.2.4计算机系统中没有制定或者设计病毒防范程序,导致计算机病毒入侵,破坏数据文件,有些严重导致计算机系统和网络系统瘫痪。
4.3安全管理制度因素
安全管理制度能够有效保证计算机系统的安全,但现阶段的安全管理制度规范不完善、内控能力不足和落实不到位。
4.3.1计算机安全管理规范不完善
随着社会的不断发展,计算机安全管理规范已经不能完全适用,需要不断的完善、改进。特别是计算机技术的迅猛发展,新问题的涌现,而相应的安全管理规范滞后于科学技术的发展,这为不法分子提供了机会。
4.3.2落实不到位
人们对计算机技术的认识深度不够,给相应的管理、检查、监督工作带来较大的困难。另外,计算机系统运行管理制度科学性不足,不够严格,例如:对计算机技术人员资格审查不严、缺少相应的思想教育;过于注重使用,忽略管理,缺少相应的监控;没有指派专人保管计算机设备;没有详细的计算机维护记录。
五、计算机系统的安全防护措施
5.1完善计算机安全管理制度
制度是计算机系统安全运的前提条件,制定标准化的管理流程,杜绝凭借个人才能和影响力来管理;综合考虑各方面影响因素,制定长远的、系统的信息化建设计划,计算机是一个复杂、综合的电子系统,各个部门之间的团结协作影响着计算机系统的安全,能够科学的规划计算机系统的采购、管理、维护等,以较少的努力换取较高的经济收益;树立计算机系统安全意识,加强网络安全教育。
5.2加大网络安全建设
对网络整体进行系统建设,从最低层到最高层,从硬件到软件。
5.2.1采取加密和加权措施
加密是指采用数字方法重新组合数据,使得除合法介绍介绍者外,任何人都很难恢复原始数据,常用的数字加密技术有:对成性、不对称性和不可逆加密技术。加权措施是指对计算机进行权利管理和存储控制,依照规范的认证,赋予用户相应的操作权限,保证用户行使有效范围内的权利,不得越权操作。
5.2.2不断更新系统
Windows系统是目前较为常用的计算机操作系统,由于Windows系统规模较大,不可避免的会存在一些容易忽视的漏洞。如果不法分子发现这些漏洞,就会研制针对该漏洞的病毒或者攻击手段。因此,需要在客户机上安装最新的补丁程序,禁止已知系统漏洞,且实践效果较好。
5.2.3建立防火墙
建立网络防火墙,抑制外部用户利用非法手段由外部网络进入内部网路,访问内部资源,是一种保护内部资源操作环境的网络互联网设备。防火墙无法防范通过自身以外的途径的攻击,也不能完全阻止已经感染病毒的软件或者文件的传输。
5.2.4充分利用防病毒技术
有效的防病毒技术能够增加计算机系统的安全性,例如多层防病毒技术较为常见,防病毒不是某个人的责任,是所有用户的共同责任。
六、结语
随之互联网技术的不断发展,人们更加关注网络安全问题,尤其是当用户计算机系统中存在安全漏洞时,給黑客提供了可乘之机。因此,全社会应该深刻认识计算机系统安全的重要性,共同努力、积极参与,树立计算机安全意识,保证计算机系统的安全、可靠、有效运行。
第三篇:计算机信息系统安全管理制度
计算机信息系统安全管理制度
总 则
第一条 为加强公司网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合本公司实际,特制订本制度。
第二条 计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条信息中心的职责为专门负责本公司范围内的计算机信息系统安全管理工作。
第一章 网络管理
第四条 遵守公司的规章制度,严格执行安全保密制度,不得利用网络从事危害公司安全、泄露公司秘密等活动,不得制作、浏览、复制、传播反动及淫秽信息,不得在网络上发布公司相关的非法和虚假消息,不得在网上泄露公司的任何隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。
第五条 各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。
第六条 禁止未授权用户接入公司计算机网络及访问网络中的资源,禁止未授权用户使用BT、电驴等占用大量带宽的下载工具。
第七条 任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据。
第八条 公司员工禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作的行为。
第九条 计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。
第十条 IP地址为计算机网络的重要资源,计算机各终端用户应在信息中心的规划下使用这些资源,不得擅自更改。另外,某些系统服务对网络产生影响,计算机各终端用户应在信息中心的指导下使用,禁止随意开启计算机中的系统服务,保证计算机网络畅通运行。
第二章 设备管理
第十一条 公司员工因工作需要,确需购买IT设备或配件的,可向信息中心提出申请,若有符合需求的可调配设备;若无可调配或有但不符合工作需要的设备,由申请人填写《信息设备申请表》。若因工作需要对设备配置有特殊要求的,需在申请表中说明。
第十二条 凡登记在案的IT设备,由信息中心统一管理并张贴IT设备卡。IT设备卡作为相应设备的标识,各终端用户有义务保证贴牌的整洁与完整,不得遮盖、撕毁、涂画等。
第十三条 IT设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到部门)。凡子公司或合作单位自行购买的设备,原则上由分公司或合作单位自行负责,但若有需要,信息中心可协助处理。
第十四条 严禁使用假冒伪劣产品;严禁擅自外接电源开关和插座;严禁擅自移动和装拆各类设备及其他辅助设备;严禁擅自请人维修;严禁擅自调整部门内部计算机信息系统的安排。
第十五条 设备硬件或重装操作系统等问题由信息中心进行处理。第十六条 原购IT设备原则上在规定使用年限内不再重复购买,达到规定使用年限后,由信息中心会同相关部门对其审核后处理。在规定使用年限期间,计算机终端用户因工作需要发生调动或离职,需要继续使用该计算机的应在信息中心作变更备案;不继续使用该计算机的,部门领导需监督责任人将计算机及相关设备及时退回信息中心,由信息中心再行支配。
第十七条 设备出现故障无法维修或维修成本过高,且符合报废条件的,由IT设备终端用户提出申请,并填写《IT设备报废申请表》,由相应部门经理签字后报信息中心。经信息中心对设备使用年限、维修情况等进行鉴定,将报废设备交有关部门处理,如报废设备能出售,将收回的资金交公司财务入账。同时,由信息中心对报废设备登记备案、存档。
第三章 数据管理
第十八条 计算机终端用户计算机内的资料涉及公司秘密的,应该为计算机设定开机密码或将文件加密;凡涉及公司机密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。离开原工作岗位的员工由所在部门经理负责将其所有工作资料收回并保存。
第十九条 工作范围内的重要数据(重要程度由各部门经理核定)由计算机终端用户定期更新、备份,并提交给所在部门部长,由部门部长负责保存。各部门经理在一个季度开始后10天之内将本部门上一季度的工作数据交行政人事部汇集后统一采用磁性介质或光盘保存。
第二十条 计算机终端用户务必将有价值的数据存放在除系统盘(操作系统所在的硬盘分区,一般是C盘)外的盘上。计算机信息系统发生故障,应及时与信息中心联系并采取保护数据安全的措施。
第二十一条 对重要的数据应准备双份,存放在不同的地点;对采用磁性介质或光盘保存的数据,要定期进行检查,定期进行复制,防止由于磁性介质损坏,而使数据丢失;做好防磁、防火、防潮和防尘工作。
第四章 操作管理
第二十二条 凡涉及业务的专业软件由使用人员自行负责。严禁利用计算机干与工作无关的事情;严禁除维修人员以外的外部人员操作各类设备;严禁非信息中心人员随意更改设备配置。
第二十三条 信息中心将有针对性地对员工的计算机应用技能进行定期或不定期的培训,培训成绩将记入员工绩效考核;由信息中心收集计算机信息系统常见故障及排除方法并整理成册,供公司员工学习参考。
第二十四条 计算机终端用户在工作中遇到计算机信息系统问题,首先要学会自行处理或参照手册处理;若遇到手册中没有此问题,或培训未曾讲过的问题,再与信息中心或软件开发单位、硬件供应商联系,尽快解决问题。
第五章 网站管理
第二十五条 公司网站由信息中心提供技术支持和后台管理,由公司相关部门提供经审核后的书面和电子版网站建设资料。
(一)网站、网页出现非法言论时的紧急处置措施
1、网站、网页由信息中心人员随时密切监视信息内容。
2、发现网上出现非法信息时,负责人员应立即向部门领导通报情况,情况紧急的应先采取删除等处理措施,再按流程办理。
3、网站负责人员在接到通知后立即清理非法信息,强化安全防范措施,并将网站网页重新投入使用。
4、网站负责人员应妥善保存有关记录及日志或检查记录。
(二)黑客攻击时的紧急处置措施
1、当有网页内容被篡改,或通过公司网络防火墙发现有黑客正在进行攻击时, 首先应将被攻击的服务器等设备断开网络,同时向上级领导汇报情况。
2、网站负责人员立即进行将被破坏系统进行恢复和重建。
(三)病毒安全紧急处置措施
1、当发现计算机感染病毒后,应立即将该机从网络上隔离出来。
2、对存放数据的计算机的硬盘进行数据备份。
3、启用反病毒软件对该机进行杀毒,同时用杀毒软件对其他联网机器进行病毒扫描和清除。
4、如发现杀毒软件无法清除该病毒,应立即向上级领导报告。
5、经网站负责人员确认确实无法查杀该病毒后,应作好相关记录,同时立即联系相关技术人员迅速研究并解决问题。
6、如果感染病毒的设备是服务器或者主机系统,经上级领导同意,应立即切断服务器并告知客户端人员进行客户端机器的杀毒工作。
(四)软件系统遭受破坏性攻击的紧急处置措施
1、OA等重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于不同的机器上。
2、如发现软件遭到破坏或运行不正常,应立即向信息中心人员报告。
3、信息中心人员立即进行软件系统和数据的恢复。
(五)数据库安全紧急处置措施
1、各数据库系统要至少准备两个以上数据库备份。
2、一旦数据库崩溃,应立即上级领导报告,同时通知各部门使用人员暂缓上传上报数据。
3、信息中心人员应对主机系统进行维护,如遇无法解决的问题,立即向上级领导汇报并及时通知专业技术人员进行处理。
4、系统修复完毕后,按照要求恢复数据。
5、如果备份数据也出现问题,及时汇报领导并且联系软件开发商解决。
(六)设备安全紧急处置措施
1、计算机、服务器等关键设备损坏后,应立即通知信息中心人员。
2、信息中心人员应立即查明原因。
3、如果能够自行恢复,应立即用备件替换受损部件。
4、如果不能自行恢复的,立即与设备提供商联系,请求派专业维修人员进行维修。
5、如果设备一时不能修复,应向上级领导汇报。
(七)关键人员不在岗的紧急处置措施
1、对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。
2、一旦发生关键人员不在岗的情况,首先应向上级领导汇报。
3、经上级领导批准后由信息中心其他人员进行操作。
第六章 处罚措施
第二十六条 计算机终端用户擅自下载、安装或存放与工作无关的文件,经查实后,根据文件大小第一次按10元/100M(四舍五入到百兆)进行罚款,以后每次按倍数原则(第二次20元/100M,第三40元/100M,第四次80元/100M,以此类推)处罚。凡某一使用责任人此种情况出现三次以上(包括三次),将给予行政处罚。
第二十七条 有以下情况之一者,视情节严重程度处以50元以上500元以下罚款。
(一)制造或者故意输入、传播计算机病毒以及其他有害数据的;
(二)非法复制、截收、篡改计算机信息系统中的数据危害计算机信息系统安全的;
(三)对网络和服务器进行恶意攻击,侵入他人网络和服务器系统,利用计算机和网络干扰他人正常工作;
(四)访问未经授权的文件、系统或更改设备设置;
(五)申请人在设备领用或报废一周之内未将第二章所涉及到的表单交会信息中心;
(六)擅自与他人更换使用计算机或相关设备;
(七)擅自调整部门内部计算机的安排且未向信息中心备案;
(八)日常抽查、岗位调动、离职时检查到计算机配置与该计算机档案不符、IT设备卡被撕毁、涂画或遮盖等。
(九)工作时间外使用公司计算机做与工作无关的事务;
(十)相同故障多次出现且经判断故障原因为个人原因所导致的;
(十一)因工作需要长时间(五个小时以上)离开办公位置或下班后无故未将计算机关闭;
第二十八条 计算机终端用户因主观操作不当对设备造成破坏两次以上或蓄意对设备造成破坏的,视情节严重,按所破坏设备市场价值的20%~80%赔偿,并给予行政处罚。
第七章 附 则
第二十九条 本制度下列用语的含义:
设备:指为完成工作而购买的笔记本电脑、台式电脑、打印机、复印机、传真机、扫描仪等IT设备。
有害数据:指与计算机信息系统相关的,含有危害计算机信息系统安全运行的程序,或者对国家和社会公共安全构成危害或潜在威胁的数据。
合法用户:经信息中心授权使用本公司网络资源的本公司员工,其余均为非法用户。
第三十条 计算机终端用户应积极配合信息中心共同做好计算机信息系统安全管理工作。
第三十一条 本制度适用于全公司范围,由总裁办信息中心负责解释、修订。
第三十二条 本制度自发布之日起实施,凡原制度与本制度不相符的,照本制度执行。
第四篇:计算机信息系统安全保密制度
计算机信息系统安全保密制度
为了切实加强我局计算机网络信息系统安全保密管理工作,根据国家保密局《计算机信息系统保密管理暂行规定》的要求,结合本局实际,制订本制度。
一、我局计算机信息网络系统的保密管理由局保密领导小组负责。具体工作由办公室专人承办。
二、涉密信息不得在与互联网络联网的计算机信息系统中存储、处理、传递。
三、计算机信息系统打印输出的涉密文件,应当按相应密级的文件进行管理。
四、存储过涉密信息的计算机媒体的维修应原地维修,保证其所存储的国家秘密不被泄露。
五、存储涉密信息的计算机媒体,应按所存储信息的密级标明密级,并按相应密级的文件进行管理。
六、存储涉密信息的计算机安装的操作系统软件和重要的应用软件必须具有合法的使用权,严禁把非法版权软件安装在装有重要数据的计算机上。
七、计算机信息网络的访问采取严格的权限控制和数据保护措施。计算机信息网络系统的用户定期更换口令,严禁将口令告诉无关人员。
八、涉密信息的计算机应定期进行保密技术检查。
第五篇:计算机信息系统安全管理制度
计算机信息系统安全管理制度
第一章 总 则
第一条 为了保护计算机信息系统的安全,促进信息化建设的健康发展,根据国家和辽宁省相关规定,结合本院实际,制定本规定。
第二条 本院信息系统内所有计算机的安全保护,适用本规定。
第三条 工作职责
(一)每一个计算机信息系统使用人都是计算机安全员,计算机安全员负责本人在用计算机信息系统的正确使用、日常使用维护,发现故障、异常时及时向计算机信息系统管理员报告;
(二)计算机信息系统管理员负责院内:
1、计算机信息系统使用制度、安全制度的建立、健全;
2、计算机信息系统档案的建立、健全,计算机信息系统使用情况的检查;
3、计算机信息系统的日常维护(包括信息资料备份,病毒防护、系统安装、升级、故障维修、安全事故处理或上报等);
4、计算机信息系统与外部单位的沟通、协调(包括计算机信息系统相关产品的采购、安装、验收及信息交换等);
5、计算机信息系统使用人员的技术培训和指导。
(三)计算机信息系统信息审查小组负责局机关计算机信息系统对内、对外发布信息审查工作。
第二章 计算机信息系统使用人员要求 第四条 计算机信息系统管理员、计算机信息系统信息审查员必须取得省计算机安全培训考试办公室颁发的计算机安全培训合格证书,并由局领导任命,在计算机信息系统安全管理方面接受局领导的直接领导。
第五条 计算机安全员必须经安全知识培训,经考核合格后,方可上机操作。
第六条 由计算机信息管理员根据环境、条件的变化,定期组织计算机安全员开展必要的培训,以适应计算机安全防护和操作系统升级的需要。
第三章 计算机信息系统的安全管理 第七条 计算机机房安全管理制度
(一)计算机机房由计算机信息管理员专人管理,未经计算机信息系统管理员许可,其他人员不得进入计算机房。
(二)计算机房服务器除停电外一般情况下全天候开机;在紧急情况下,可采取暂停联网、暂时停机等安全应急措施。如果是电力停电,首先联系医院后勤部门,问清停电的原因、何时来电。然后检查UPS电池容量,看能否持续供电到院内开始发电。
(三)计算机房服务器开机时,室内温度应控制在17度,避免温度过高影响服务器性能。
(四)计算机房应保证全封闭,确保蚊虫、老鼠、蟑螂等不能进入机房,如在机房发现蚊虫、老鼠、蟑螂等,应及时杀灭,以防设备、线路被破坏。
(五)计算机房应具备基本的防盗设施,防止失窃和人为破坏。
第八条 计算机信息系统网络安全漏洞检测和系统升级管理制度
(一)计算机信息系统管理员应使用国家公安部指定的系统软件、安全软件,并及时对系统软件、安全软件进行升级,对系统漏洞进行扫描,采取相应措施,确保系统安全。
(二)在进行系统升级、安全软件升级前,应进行文件备份,以防信息丢失。
第九条 操作权限管理制度
(一)局机关内的计算机必须设置开机密码、管理员密码,开机密码由计算机安全员设置,管理员密码由计算机信息系统管理员设置,密码不得少于六位,并定期进行变更,密码不得告诉他人,不得窃取或擅自使用他人的密码查阅相关的信息。
(二)每台计算机应设置屏幕保护密码,并定期变更,以防暂时离开时,计算机被他人操作。
(三)在内部网中的共享文件,应由责任人将文件的属性设置为“只读”,以避免被别人更改。
(四)办公软件中的权限、密码由计算机信息系统管理员根据软件的使用及管理需要设置,以确保各计算机使用人能正常使用。
第十条 用户登记制度
(一)由计算机信息系统管理员在内部局域网中为每个计算机用户设置用户名,各计算机使用人凭用户名和本人的密码登录内部局域网。
(二)计算机信息系统管理员应启动系统使用日志,对用户登录及使用情况进行跟踪记录,使用日志由计算机信息系统管理员管理,保存时间不少于90天。
第十一条 信息发布审查、登记、保存、清除和备份制度,信息群发服务管理制度
(一)凡向公共信息网站提供或发布信息,必须先经局机关信息审查小组审查批准,统一交办公室登记发外,在发外的同时,应对信息进行备份,并与公共信息网所发布的信息进行核对,发现不一致时应及时与公共信息网协调处理。
(二)向公共信息网提供的信息的备份按《档案管理制度》保存。
(三)由办公室跟踪对外提供信息的及时更新、清除工作,确保网络信息时效性和准确性。
(四)由计算机信息系统管理员定期对局域服务器信息进行备份,备份件保存期为三个月,以确保信息安全。
(五)在局域网内登录办公自动化软件(OA)时,可以使用信息群发功能;登录互联网时,严禁使用信息群发功能。
第十二条 任何单位和个人不得用计算机信息系统从事下列行为:
(一)查阅、复制、制作、传播有害信息;
(二)侵犯他人隐私,窃取他人帐号,假冒他人名义发送信息,或者向他人发送垃圾信息;
(三)以盈利或者非正常使用为目的,未经允许向第三方公开他人电子邮箱地址;
(四)未经允许修改、删除、增加、破坏计算机信息系统的功能、程序及数据;
(五)擅自修改计算机和网络上的配置参数、程序和信息资源;
(六)安装盗版软件;
(七)输入有害程序和信息;
(八)窃取他人密码或冒用他人名义处理业务;
(九)使用“黑客”手段,故意越权访问他人信息资源和其他保密信息资源或窃取、破坏储存在服务器中的业务数据和其他业务信息;
(十)未经防病毒检查,随意拷入或在互联网上下载程序或软件;
(十一)在计算机上拷入各种与工作无关的应用程序,占用硬盘空间,影响业务处理的速度;
(十二)将游戏软件拷贝到办公用计算机或在上班时间运行游戏软件;
(十三)其他危害计算机信息系统安全的行为。
第四章 计算机信息系统保密规定
第十三条 登录互联网的计算机严禁录入、储存涉密信息。
第十四条 涉密计算机必须与互联网及局域网物理隔离。第十五条 凡秘密级以上内容的文件和资料,严禁在非保密传输信道上传输。
第五章 软件安全管理
第十六条 办公自动化软件和由局统一开发或应用的业务软件,由计算机信息系统管理员负责管理和维护。
第十七条 计算机信息系统管理员对统一维护的软件应严格管理,不断完善,发现问题要及时诊断和排除,保障软件的长期稳定运行。
第十八条 各科室在本制度实施前已使用的各种应用软件,由开发该软件的公司负责维护,每次维护的情况各科室应书面报告计算机信息系统管理员备案。
第十九条 各科室开发或应用新的软件,应先向计算机信息系统管理员申报,经批准才能应用。如属上级或政府职能部门指定统一使用的,在使用前应向办公室申报备案。如应用新的软件对原有软件的运行造成不良影响的,由办公室协调解决。
第六章 计算机使用及故障维修
第二十条 计算机使用人应严格按照操作规程正确开启和关闭电源,启动和关闭系统,正确使用移动存储媒介、打印机等设备;不得频繁开启和关闭电源,违反操作步骤强行关闭系统或带电拔插硬件和接口电缆;不得随意安装与工作无关的软硬件。
第二十一条 为确保计算机的正常运作,任何人不得使用来历不明或未经检查、杀毒的软盘、光盘、U盘等储存介质,以防感染、扩散病毒。第二十二条 局机关计算机实行专人专机,谁使用谁保养,谁使用谁维护;出现故障时,先找有经验的人员协同诊断、处理,确需委托专业人员维修时,应由该计算机使用人按照《固定资产管理制度》有关规定报修。
第二十三条 本制度自印发之日起执行。