計算機安全基礎知識
計算機硬件安全
計算機硬件是指計算機所用的芯片、板卡及輸入輸出等設備,CPU、內存條、南橋、北橋、BIOS等都屬于芯片。硬件也包括顯卡、網卡、聲卡、控制卡等屬于板卡。鍵盤、顯示器、打印機、掃描儀等,屬于輸入輸出設備。這些芯片和硬件設備也會對系統安全構成威脅。
比如CPU,它是造成電腦性能安全的最大威脅。我們大家都了解,電腦CPU內部集成有運行系統的指令集,像INTEL、AMD的CPU都具有內部指令集如MMX、SSE、3DNOW、SSE2、SSE3、AMD64、EM64T等等。這些指令代碼是都是保密的,我們并不知道它的安全性如何。據有關資料透漏,國外針對中國所用的CPU可能集成有陷阱指令、病毒指令,并設有激活辦法和無線接收指令機構。他們可以利用無線代碼激活CPU內部指令,造成計算機內部信息外泄、計算機系統災難性崩潰。如果這是真的,那我們的計算機系統在戰爭時期有可能全面被攻擊。
還比如顯示器、鍵盤、打印機,它的電磁輻射會把電腦信號擴散到幾百米甚至達到一公里以外的地方,針式打印機的輻射甚至達到GSM手機的輻射量。情報人員可以利用專用接收設備把這些電磁信號接收,然后還原,從而實時監視您在電腦上的所有操作,并竊取相關信息。
在一些板卡里,比如顯卡,甚至聲卡的指令集里,都可以集成有病毒程序,這些程序以一定的方式激活,同樣會造成電腦系統被遙控或系統崩潰。
還有一些其它芯片,比如在使用現代化武器的戰爭中,一個國家可能通過給敵對國提供武器的武器制造商,將帶有自毀程序的芯片植入敵國的武器裝備系統內,也可以將裝有木馬或邏輯炸彈程序預先置入敵方計算機系統中。需要時,只需激活預置的自毀程序或病毒、邏輯炸彈就可使敵方武器實效、自毀或失去攻擊力,或使敵國計算機系統癱瘓。
據英國《新科學報》的報道,在海灣戰爭爆發前,美國情報部門獲悉,敵對國伊拉克從法國購買了一種用于防空系統的新型電腦打印機,正準備通過約旦首都安曼偷偷運到伊拉克首都巴格達。美國在安曼的特工人員立即行動,偷偷把一套帶有病毒的同類芯片換裝到了這種電腦打印機內,從而順利地通過電腦打印機將病毒侵入到了伊拉克軍事指揮中心的主機。據稱,該芯片是美國馬里蘭州米德堡國家安全局設計的,該病毒名為AFgl。當美國領導的多國部隊空襲伊拉克時發動“沙漠風暴時”,美軍就用無線遙控裝置激活了隱藏的病毒,致使伊拉克的防空系統陷入了癱瘓。美國的官員們曾說“我們的努力沒有白費,我們的計算機程序達到了預期目的。
硬件泄密甚至涉及了電源。電源泄密的原理是通過市電電線,把電腦產生的電磁信號沿電線傳出去,特工人員利用特殊設備從電源線上就可以把信號截取下來還原。
硬件泄密也涉及輸入輸出設備,如掃描儀,將得到信息通過電源線泄露出去。
計算機網絡安全內容
(1)未進行操作系統相關安全配置
不論采用什么操作系統,在缺省安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統缺省安裝后,再配上很強的密碼系統就算作安全了。網絡軟件的漏洞和“后門”是進行網絡攻擊的首選目標。
(2)未進行CGI程序代碼審計
如果是通用的CGI問題,防范起來還稍微容易一些,但是對于網站或軟件供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對于電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重后果。
(3)拒絕服務(DoS,DenialofService)/分布式拒絕服務(DDoS,
計算機遭到攻擊
隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網絡癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。今年2月美國“雅虎”、“亞馬遜”受攻擊事件就證明了這一點。
(4)安全產品使用不當
雖然不少網站采用了一些網絡安全設備,但由于安全產品本身的問題或使用問題,這些產品并沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。p副標題e
(5)缺少嚴格的網絡安全管理制度
網絡安全最重要的還是要思想上高度重視,網站或局域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網絡安全制度與策略是真正實現網絡安全的基礎。
計算機商務交易安全的內容包括
(1)竊取信息
由于未采用加密措施,數據信息在網絡上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
(2)篡改信息
當入侵者掌握了信息的格式和規律后,通過各種技術手段和方法,將網絡上傳送的信息數據在中途修改,然后再發向目的地。這種方法并不新鮮,在路由器或網關上都可以做此類工作。
(3)假冒
由于掌握了數據的格式,并可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
(4)惡意破壞
由于攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,其后果是非常嚴重的。
計算機安全措施
計算機網絡安全措施主要包括保護網絡安全、保護應用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火墻、信息安全、Web安全、媒體安全等等。
(一)保護網絡安全。
網絡安全是為保護商務各方網絡端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網絡安全的重要因素。保護網絡安全的主要措施如下:
1.全面規劃網絡平臺的安全策略。
2.制定網絡安全的管理措施。
3.使用防火墻。
4.盡可能記錄網絡上的一切活動。
5.注意對網絡設備的物理保護。
6.檢驗網絡平臺系統的脆弱性。
7.建立可靠的識別和鑒別機制。
(二)保護應用安全。
保護應用安全,主要是針對特定應用(如Web服務器、網絡支付專用軟件系統)所建立的安全防護措施,它獨立于網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業務的一種替代或重疊,如Web瀏覽器和Web服務器在應用層上對網絡支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。
由于電子商務中的應用層對安全的要求最嚴格、最復雜,因此更傾向于在應用層而不是在網絡層采取各種安全措施。
雖然網絡層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。
(三)保護系統安全。
保護系統安全,是指從整體電子商務系統或網絡支付系統的角度進行安全防護,它與網絡系統硬件平臺、操作系統、各種應用軟件等互相關聯。涉及網絡支付結算的系統安全包含下述一些措施:
1.在安裝的軟件中,如瀏覽器軟件、電子錢包軟件、支付網關軟件等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。
3.建立詳細的安全審計日志,以便檢測并跟蹤入侵攻擊等。
看過“計算機安全基礎知識“