微机网络的安全管理 戴理龙 2000年 第35期   谈及微机网络安全,人们首先想到的是电脑黑客、网络病毒、防火墙等等,似乎互联网(INTERNET)时代,企业网络安全就是要解决以上的有关问题,实际上这是远远不够的。   随着科技手段的进步及业务的发展与需求,越来越多的企业用上了微机,并连上了互联网。企业微机网络的规模逐渐扩大,数据共享的程度越来越高,大家在改变旧的手工工作方式的同时也愈来愈依赖于计算机。企业网络的一些重要信息,涉及广泛,一旦出错影响将是巨大的。可以说,网络的安危某种程度上就是企业的安危,因此要求网络具有较高的安全性。如果说,以上关注的是企业微机网络的外部安全,那么对企业内部微机网络的安全管理更要给予足够的重视,绝对不能掉以轻心。   在微机网络中,计算机系统本身存在着一些固有的脆弱性,如存贮数据的密度高,存储介质易受意外损坏,也易被带出;存储介质中的信息有时不能擦净,在平常使用计算机过程中,删除文件仅删除了文件名,释放了相应的存储空间而文件内容仍保留在介质上,这样会造成大量的信息丢失或被人偷取;信息很容易被复制下来而不留任何痕迹;在知道访问代码(通过问工作人员或观察工作人员的联机操作等)和得到有效的口令(通过与工作人员谈话或通过逐次逼近法等)后,非法者可以进入系统,并可按他的要求将信息复制,删改或破坏;易受到病毒的攻击等。这些脆弱性若被利用就可构成安全威胁。   按安全威胁造成的原因,可将其分成如下四类:①偶然无意构成的威胁,如硬设备故障、突然断电或电源波动太大等;②自然灾害构成的威胁,如水、火等的灾害以及环境(温度、湿度、污染等)的影响;③人为攻击的威胁,如内部工作人员的非法访问、用户的人为破坏等;④病毒的攻击。加强微机网络网络的安全管理,降低不安全因素的影响,就是要建立一整套完整的安全保障体系,消除以上所述之安全威胁。 #1 场地安全管理   计算机使用场地应符合中华人民共和国国家标准GB9361-88《计算机场地安全要求》,如因实际条件达不到的,也应努力做好防尘、防磁、防潮湿、防火、防鼠害等措施,给计算机设备提供一个良好的工作环境,减少安全隐患,降低设备的平均故障率。 #1 计算机设备安全管理   加强设备管理,是为了减少第1类安全威胁,必须制订严格的制度,如未经系统管理员同意,任何人不得打开机箱,随意拆卸、更换集成电路板(卡);计算机及网络设备的搬迁或改变有关硬件配置,必须由系统管理员负责处理,不得私自进行;计算机出现硬件故障时,应及时向系统管理员报告,由系统管理员处理;计算机及外围设备要定期进行维护;新的计算机接入系统前,应对一些重要的信息予以备份,如此等等。可以这样说,做好设备管理,保证设备不带故障运行,就为网络安全稳定运行提供了一个较优良的硬件支撑环境。同时,为了防止突然断电对微机系统的冲击,每一部微机都必须连UPS,特别是服务器,更要安装大容量的UPS。 #1 软件安全管理   一、系统应用软件必须具备可靠的安全性:   1.保证数据的完整性和可靠性,它满足①查询、检索的数据正确;②合法用户才能查询、检索数据;③用户权限正确才能查询、检索数据;④用户权限之内的数据及其相符的密级才能被用户查询、检索到,否则应拒绝用户查询、检索请求;⑤发现、阻止用户破坏数据。   2.具备较完善的识别与确认功能。系统要识别进入者的身份并确认是否为合法用户的身份,只有识别与确认都正确,才允许此用户进入系统,访问资源。目前,在电力企业微机网络中采用的一般是口令系统,它将用户提供的口令和存放在系统中的口令表进行比较来鉴别用户身份。这种方法主要关注的是口令的生成与管理。口令要以密文的形式存放;要求加密算法是单向的;口令正确传送到合法的用户;为了防止口令被窃取,可以采用可变口令。   3.具备较完善的审计功能。对使用系统资源,涉及信息安全的有关操作,应有一个完整的记录,以便分析原因,分清责任。记录内容一般应包括①合法用户进行了哪些非法操作;②使用了什么系统资源,进行了何种访问类型的操作;③有关操作处理的时刻与顺序;④数据修改前后的状态与信息。审计的内容应选择最主要的,不应太多。   这些安全要求,企业在进行系统程序开发时,必须要求开发方加以重点考虑,它是保障网络信息正确的根基。   二、病毒的防治。这是网络安全管理一个极其重要的环节。一般来说,可以采取如下安全性的预防措施:①重要的系统软件或应用软件应用软盘作出备份,并加上写保护;②坚持用硬盘启动计算机,如有必要用软盘启动,对该软盘必须作仔细的检查,确认无病毒;③若使用外来软件,必须事先检查,确认其未感染病毒;④对来历不明或外来的软盘,应确认无病毒后方可使用;⑤经常用计算机病毒检测软件进行检查,以便及时发现已知病毒的侵入情况,一有病毒,即采取相应措施;⑥对于重要的计算机硬盘信息做好备份,以便在病毒侵入受破坏后,恢复重要信息。   三、网络系统管理员应对企业的一些重要数据定期进行备份,最好作双份备份,一份保存于服务器,一份保存于本地工作站,并妥善管理,以防丢失或泄露。一旦服务器有故障,可以用工作站上的数据进行恢复,尽量减少损失。同时对一些无用的或过期的数据要彻底删除。 #1 人员安全管理   一、密码(口令)管理。每一位操作人员应妥善保管口令,不应轻易泄露,以防未经受权的人员使用;同时应不间断的改变口令,降低口令被窃取的可能性。   二、人事管理。对企业的组织机构,应根据其工作性质、级别划分相应的安全等级,从而确定安全措施的策略和原则;安全管理机构的人员应包括领导和专业人员,按不同的任务进行分工以确立各自的责任;安全管理要基于职责分离的原则,如计算机编程与操作,机密资料传送与接收,操作与存贮介质保密等工作职责应由不同的人员负责;应加强思想教育和安全业务培训,不断提高人员的思想素质、业务素质和职业道德,把安全建立在牢固的基础上。