计算机是信息的终端设备,承担着信息存储、采集、处理的功能,信息处理时的安全问题实际上就是计算机安全问题,目前,计算机最大的安全问题就是病毒非法访问和拒绝服务器攻击。
1 信息处理时的安全问题
1.1 病毒
病毒是一种具有自我复制能力并会对系统造成巨大破坏的恶意代码,它首先隐藏在某个实用的程序中,隐藏过程可以由实用程序设计者完成,或者通过病毒感染该实用程序的过程完成。当某个计算机下载该实用程序并运行它时,将运行隐藏在其中的恶意代码,即病毒,病毒将感染其他文件,尤其是可执行文件,并接管一些系统常驻软件,如鼠标中断处理程序。如果病毒接管了鼠标中断处理程序,当鼠标操作激发该中断处理程序时,将首先激发病毒程序,病毒程序可以再次感染其他文件,并视情况执行破坏操作,如清除所有硬盘中的文件。当感染了病毒的使用程序被其他计算机复制执行时,病毒将蔓延到该计算机。
对于单台计算机,病毒传播主要通过相互复制实用程序完成,对于接入网络的计算机,从服务器下载软件、下载主页、接受电子邮件等操作都有可能感染病毒。接入网络的计算机一旦感染病毒,安全将不复存在,存储在计算机中的信息将随时有可能被破坏,机密信息随意外泄,非授权用户随时有可能通过远程桌面这样的工作对计算机进行非法访问。
1.2 非法访问
非法访问是指非授权用户通过远程登录或远程桌面等工具访问计算机的资源,造成非法访问的原因是有病毒、操作系统和应用程序漏洞等等。特洛伊木马病毒可以将通过网络接收到的命令作为特权用户输入的命令发送给命令解释程序,从而达到访问系统资源的目的。操作系统和应用程序漏洞可以使普通用户获得特权用户的访问权限,从而使非授权用户访问到本不该访问的资源。
1.3 拒绝服务供给
一种类型的拒绝服务攻击利用操作系统或应用程序的漏洞使系统崩溃,从而使系统无法继续提供有效服务,如缓冲器一处就是利用应用程序不对需要处理的数据长度进行检测的漏洞,导致应用程序的缓冲器溢出,因而影响系统的正常运行,甚至崩溃,从而使系统无法继续提供有效服务。
另一种类型的拒绝服务攻击是消耗某个计算机的有效资源,使其没有用于对正常用户提供有效服务所需要的资源。如攻击者向某个计算机发送大量IP分组,以此消耗掉计算机的计入带宽、导致正常用户请求服务的IP分组无法到达该计算机,因而无法获得服务。还有SYN泛洪攻击,通过用大量无效的TCP连接建立请求消耗掉计算机的TCP绘话表资源,从而使计算机没有用于和正常用户建立TCP连接的TCP会话表资源。
1.4 计算机安全问题的应对措施
一部分计算机安全问题由操作系统或应用程序的漏洞引起的,解决这些安全问题的方法是及时为漏洞打上补丁,因此,必须有一套保障所有终端系统都能及时通过补丁软件消除已发现漏洞的机制,最大限度地避免系统遭到攻击。及时发现操作系统和应用程序的漏洞,并通过下载补丁予以修补并不是网络安全的范畴,但目前,由于网络中系统众多,各个系统的管理、应用人员的计算机水平不同,要求所有系统的管理人员都能及时发现系统所安装的操作系统和应用程序的漏洞,并通过下载补丁软件予以修补是比较困难的,因此,需要在网络中安装监控系统,由网络检测系统对所有系统安装的操系统和应用程序进行监控,获取他们的类型和版本号,检测他们是否修不了已发现的漏洞,并对由安全问题的系统进行提醒。安装网络监测系统是一种通过网络安全机制来解决网络中所有系统因为操作系统和应用程序的漏洞而引发的安全问题的方法。
2 信息传输时的安全问题
2.1 非法接入
每个企业都有内部网络,或许这样的内部网络也和Internet相连,但只允许企业内部人员访问企业内部网络的资源。所谓非法接入是指非企业内部人员连接到企业内部网络并获得访问内部网络资源的途径。攻击者实现非法接入的手段很多,如通过笔记本计算机直接进入企业内部网络的某个以太网交换机端口,通过远程拨号接入方法接入企业内部网络,利用无线局域网接入企业内部网络等。
2.2 信息窃取
如果攻击者非法接入企业内部网络,或者信息需要经过公共传输网络进行传输,传输的信息很容易被拦截、窃取、篡改。如攻击者通过修改路由器路由表,将信息发送给攻击者的终端。攻击者通过类似集线器这样的共享式传输设备连接到内部网络的某条主干传输通路上等。这样经过网络传输的信息有可能被攻击者截取,攻击者可以窃取这些信息,设置篡改后继续转发给原始目的终端。
2.3 源地址欺骗
源IP地址是信息发送者的一个重要标识符,接收者常用IP分组的源IP地址来确定信息发送者的身份。为了控制信息流动,夜场对允许交换信息的子网进行限制,因此,IP分组的源和目的IP地址也是确定信息是否允许经过路由器转发的依据。攻击者为了达到非法范文的目的,或是为了躲避责任,常用本不存在的,或是其他合法用户的IP地址,作为自己发送的IP分组的源IP地址。
2.4 传输安全问题的应对措施
防护攻击者非法接入的方式是构建一个能够阻断非法接入途径的内部网络,如以太网的接入认证机制、安全端口机制、无线局域网的安全机制等防止信息窃取。篡改的最好办法是加密和报文摘要技术。防止元地址欺骗的方式是除了源IP地址,还采取数字签名来标识信息发送者,同时,通过测试接收IP分组的端口是否连接通往源IP地址所确定的发送者的路径来判别IP分组源IP地址的真伪。
作者:向上 来源:无线互联科技 2015年1期