关键字:计算机;风险防范
中图分类号:G623文献标识码: A
计算机安全技术虽然不断的在进步,但是计算机安全性问题一直都得不到解决,因为计算机黑客技术也在随着计算机安全技术的增长而增长,安全技术是一把双刃剑,达到什么样的效果取决于怎样去使用它。任何的计算机安全技术都不能保证计算机百分百的安全,但是可以很大程度上提升计算机的安全系数,所以掌握计算机安全技术还是非常有必要的。
一、从人的角度出发,防范社会工程学
计算机的应用者是人类,人类难免有各种各样的想法与弱点。在计算机安全问题中,有许多本来可以避免的问题,但是由于计算机使用者被欺骗或者误导,导致出现安全事故。社会工程学的概念是由美国著名的黑客Mitnick在他的《欺骗的艺术》一书中提出的,其中讲解了如何通过各种手段对他人进行欺骗。。因此,计算机安全问题中最为重要的防护手段就是增加计算机使用者的警惕性以及计算机安全技术水平。
计算机使用人员的计算机安全技术常识是计算机安全的基础。首先使用者应该懂得哪些操作是危险操作哪些操作是安全操作,避免因缺乏计算机安全知识而造成各种安全问题。其次使用者应该有维护计算机防御系统的能力,至少不能干扰防御系统的运转,不随意的阻碍防御系统的工作。最后,使用者最好具备一定的安全突况处理能力,出现安全问题时能够快速采取措施防止问题扩大化。
除以上防范措施外,还应从社会工程学角度加强防范,否则再强大的防御系统也拦不住从计算机使用者处泄漏出信息。。其次,计算机中各种密码最好随机设定并有使用期限,密码不要由任何人主观设定,因为每一个人的主观设定密码都会与其在现实中的某些信息相关联,会为入侵者提供可能。
二、从网络角度出发,警惕网络安全
计算机网络安全一直是计算机安全领域的重点,网络是计算机沟通的桥梁,是信息传播的媒介,因此把好网络安全关是增强计算机安全性的有效途径。
a)能够访问网络的设备可以设置密码的都要设置密码,并且密码要足够健壮,能够抵挡住攻击,同时现实中也要注意密码权限的问题,知道密码的人越少越安全。
b)路由器是网络中重要的节点,路由器需要设置严格的限制条件,哪些地址可以访问哪些地址不可访问都需要进行设置。现在的路由器已经具备了许多防止网络攻击的功能,都需要开启。如果条件允许的话,还可以使用IP技术,隐藏自身的IP地址,保证安全。
c)除对外网络进行防范外,同时也要注意局域网络的安全防范,任何系统从内部攻破的难度都小于从外攻破的难度,不能因为整个网络中某一台计算机被攻破而导致整个局域网都受到威胁。可以采取的措施是加强局域网访问控制,记录、绑定局域网中的MAC与IP地址,特别情况下可以计算硬件码作为身份标示。
d)开启主动式网络监控系统。现在市场上已经出现了不少主动式网络监控系统,严格地说它们属于防火墙的一种,但是从技术角度上看,却与以往的被动式防火墙有着较大差别,主动式网络监控系统对于未知危险判定能力更高,对网络的防护性更强。
三、从操作系统角度出发,完善安全防御系统
操作系统是一切操作行为的承担平台,也是出问题最多的环节,做好操作系统安全防护是计算机安全防护的重中之重,它的防护措施可以从两个方面考虑,就简单的一个方面是操作系统发行方的支持。。当然,现在的各类安全软件已经能够做到漏洞检测并提醒了,只需要用户授权即可。另一个复杂的方面是附加的操作系统防护,依据主动防御理论,在使用量最多的windows系统中,除却网络防护外还有其他的三个防御重点:
a)文件系统防护。计算机中的数据探其本质都是以文件形式存在于硬盘中的,保障数据安全就需要做好文件系统的防护。不同的程序应该设定不同的文件访问权限,严格限制程序访问文件范围,特别是对未知应用程序,一定要严密监视与控制其对文件系统的访问。
b)应用系统防护。这是计算机系统防护的重点,程序作为代码的执行体必须得到控制,不能让程序随意的获取敏感的权限,例如底层操作磁盘权限、键盘钩子权限、内核HOOK权限、访问其他进程内存空间权限、操作物理内存权限等等,就相当于为应用程序画出一条运行轨道,严禁应用程序非法越轨。
c)注册表防护。注册表是Windows系统有的机制,微软公司虽然并没有公开注册表的所有信息,但是许多敏感的注册表信息还是广泛的被了解。对注册表的修改可以影响系统的大部分工作,例如驱动的加载、开机启动项的加载、系统服务的增删、系统的各项设置等等,同时注册表中还会存有许多重要的信息。所以大量的病毒木马都会利用注册表达到自己的目的,因此注册表防护也是一项重要的安全防护内容。
参考文献
[1]周山.计算机网络风险防范模式研究[J].科技致富向导.2013(12)
[2]孙文文.浅谈计算机安全性分析与[J].信息与电脑(理论版).2013
随着我国经济和社会的发展,网络技术已经取得了巨大的进步,无线网络的成本较低,操作便捷,在多个领域内得到了应用,为人们的生产和生活带来了便利,使得网络技术更上一层楼。经过一段时间的发展和进步,无线网络的弊端也逐渐显露出来,给人们的信息安全带来隐患。因此,在享受无线网络带来的便利的同时,还需要加强对无线网络安全漏洞的研究,采取有效的措施进行安全防范,才能够真正实现无线网络的价值。
1无线网络安全漏洞
1.1未经授权用户接入问题
相比于有线网络来说,无线网络的安全性较低,缺乏比较有效的物理防护,部分无线网络的用户甚至不具备安全防护的意识,导致未经授权的用户很容易搜索到该无线网络,并私自连接。宽带的网络流量是固定的,当无线网络中入侵了非授权用户,就会对宽带网络的流量进行分流,大大降低用户的网络速度。部分未经授权的用户私自接入无线网络后,对网络的登录信息和安全设置进行了修改,或者关闭了安全设置,导致原用户无法登录,给用户造成一定的损失。
1.2数据泄露问题
。此外,不法分子通过监听和分析用户的通讯来获取聊天信息和通讯记录,获取不正当的利益。
1.3篡改无线数据信息
无线网络的配置较为简单,使用步骤较简便,并且无线网络的信号的传播不需要线路的承载,各个信息传播站、移动信号站之间没有实物的连接,其媒介是开放的空间,不法分子会通过非法登录或者是截取用户的信息来攻击和破解用户的网络安全防御系统,进入到用户的系统后,冒充用户的身份,进行不正当的操作,来为自己谋取利益,MAC过滤等手段就能够达到以上的入侵目的。若此问题发生在资金流动性大或者是涉及到大金额的交易,例如银行、大型企业、信贷公司等金融机构,将会造成无法估计的财产损失。
1.4无线网络的主机设备存在的问题
无线网络的主机设备的安全性对无线网络的安全具有重要影响,通常情况下,无线网络中的主机是通过串联的形式连接在一起的,一旦有不法分子利用病毒的方式攻击主机设备,那么这种无线病毒就会在瞬间传入无线网络之中,对网络的使用者的信息和财产安全造成巨大的威胁。就目前而言,我国的市场上已经存在多种专门针对无线网络的病毒,这种病毒不受传播载体的限制,传播的速度很快,造成的影响也较大,在电脑存在漏洞时,会通过电脑主机设备瞬间侵入到众多用户的个人设备中,造成各种损失。产生以上问题的原因主要是无线网络的独特性,无线网络具有较强的开放性,防御的边界不固定,传播的信号具有多方位的特点,黑客能够从无线网络的多个方位进行入侵,导致多个接入点的安全遭到破坏;此外,无线网络终端的移动性较大,无线网络终端能够随时随地接入网络,不受时间和空间的限制,甚至能够跨较大的地域进行漫游,为黑客等入侵者提供了可乘之机;承载数据的电磁波在传导的过程中会穿越多种物体,这些物体都可以对信息进行截取,破解器加密码,非法获取资源。
2无线网络安全防御的具体措施
2.1对无线网络的接入进行限制
无线网络用户可以通过对无线网络的准入条件进行限制来阻碍未经授权用户的私自访问。这种方式对于家庭无线网络来说较为适用,由于家庭的无线网络连接的计算机的数量较少,且网络运行较稳定,无线网络的用户可以对路由器进行设置,改变家庭无线网络的MAC地址,即可达到控制未经授权访问的目的。2.2将无线网络中的SSID广播功能隐藏无线网络用户可以通过关闭广播功能来限制非法分子截取通讯信息。当SSID广播功能关闭之后,通讯信号就很难被发现,有效防止了不法分子通过截取信息来入侵正常用户的系统,同样地,此系统也最适用于家庭网络。
2.3设置较高的安全标准
传统的安全保准对于安全漏洞的检验不到位,WEP标准较低且不完善,不法分子可以通过漏洞对用户的系统展开攻击,从而给用户带来不必要的损失。设置安全标准时,用户可以进行加密处理,一般情况下,不法分子无法破解安全密码,即使能够破解,此措施也在很大程度上加大了无线网络的安全性,降低不法分子入侵的可能性。
2.4定期修改密码
对无线网络进行加密处理是阻挡非法入侵的重要手段,定期修改密码、加大密码的强度都能够提高无线网络的安全程度。首先,很多无线网络用户对于密码设置的程序不了解,密保意识较弱,在获取路由器的初始密码之后,没有进行及时修改,原始密码一般较为简单,破解的难度较小,不法分子很容易入侵到用户的安全界面,对安全设置和登录设置进行修改则会对用户的下一次登录带来不便。只有定期修改密码,并适当增加无线路由器的密码强度才能够保证无线网络的安全。其次,网络密码的级别对于阻挡不法分子的入侵也具有重要影响。用户通过对WPA进行加密来增强网络的安全性,不法分子在破解WPA密码时,通常采用的是暴力破解方式。字典工具的暴力破解只能破解较为低级得密码,对于较为高级的强壮密码,破解难度会大大增加,因此,强壮无线网络的密码对无线网络的安全具有重要的意义。
2.5降低无线AP的功率
无线AP功率的大小与信号发射的范围息息相关,很多无线网络用户本着实用方便的原则,选择功率较大的无线AP,在信号传播范围变大的同时,信息被截取的可能性就越高。因此,为了提高无线网络的安全性,用户应该理性选择无线AP的功率大小,在保证满足网速需求的前提下,尽量减小无线AP的功率,不给不法分子创造可乘之机。
2.6其他的防御措施
。第二,加设网络防火墙。防火墙能够对不法分子的入侵进行抵挡,从而提高无线网络的安全性,保障信息不被窃取。此方法对于计算机运行和无线网络的稳定要求较低,适用于商业、家庭等多种用户。第三,加大安全检测的强度。无线网络用户可以通过登录无线AP来查看接入无线网络中的计算机的详细信息,查找未经授权的无线终端,若法发现陌生的终端对无线网络进行访问,可以通过禁止该终端的访问来避免非法入侵。
3结束语
总之,无线网络技术的发展突破了有线网络的限制,使得网络信息技术得到空前的发展,与此同时,安全漏洞的出现也给人们带来了不便。要想充分发挥无线网络的作用,保障用户的信息安全,就必须明确安全漏洞的类型,采取适当的防范措施来保证使用安全。
单位:盐城市高级职业学校
引用:
[1]如何保护我们的无线网络安全[J].计算机与网络,2012.
[2]实现无线网络安全的途径和方法[J].计算机与网络,2012.
[3]李怀佳.无线网络安全防护技术研究[J].中国信息化,2013.
[4]谢峰,张广文.无线网络安全防护技术研究[J].福建电脑,2012.
[5]张达聪.邹议计算机网络安全漏洞及防范措施[J].硅谷,2011.
关键词:会计信息系统;安全风险;防范措施
中图分类号:F23 文献标识码:A
原标题:论会计信息系统的安全风险和防范措施
收录日期:2014年10月13日
如何提高会计信息系统的安全程度、降低安全风险,是系统设计者p企业管理者和系统用户都关心和考虑的一个重要问题。所以,针对会计信息系统的安全风险,施加必要的防范措施是每个企业所必须做的事,这样才能使企业利益达到最大化。由此可见,会计信息系统在企业经营实践中的经济作用越来越明显。
一、会计信息系统安全风险的表现形式
会计信息系统的安全是指系统保持正常稳定运行状态的能力。会计信息系统的安全风险是指由于人为的或非人为的因素使得会计信息系统保护安全的能力减弱,从而造成系统的信息失真、失窃,企业资金财产损失,系统硬件、软件无法正常运行等结果发生的可能性。
(一)企业资产损失。利用非法手段侵吞企业资财是会计信息系统安全风险的主要形式之一。其手段主要有:未经许可非法侵入他人计算机设施、通过网络散布病毒等有害程序、非法转移电子资金及盗窃银行存款等。随着犯罪技术的日趋多样化、复杂化,信息系统犯罪更加隐蔽,更加难以发现,涉及的金额也从最初的几千元发展到几万元,甚至上亿元,安全风险损失越来越大,后果也随之越来越严重。
(二)企业重要信息泄露。在信息技术高速发展的今天,信息在企业的经营管理中变得越来越重要,成为企业的一项重要资本,甚至决定了企业在激烈的市场竞争中的成败。网络的普及让信息的获取、共享和传播更加方便,同时也增加了重要信息泄密的风险。因此,利用高技术手段窃取企业重要机密成为了当今计算机犯罪的主要目的之一,也是构成系统安全风险的重要形式。比如:窃取企业重要的会计信息并泄露给竞争对手以达到某种非法目的等,常常会对企业造成无法估量的损失。
(三)系统无法正常运行。网络会计主要依靠自动数据处理功能,而这种功能又很集中,自然或人为的微小差错和干扰,都会造成严重后果。。
二、影响会计信息系统安全的因素
。
(一)硬件系统安全因素
1、不正确操作。计算机系统的操作人员对硬件设备的不正确操作可能会引起系统的损坏,从而进一步危害系统的安全。不正确的操作主要是指操作人员不按规定的程序流程使用硬件设备,例如不按顺序开机、关机,有可能烧毁计算机的硬盘,从而造成数据的泄露甚至导致数据的全部丢失。
2、人为因素。人的因素在保障会计信息安全过程中起着主导作用,会计信息系统操作人员出于主观故意篡改数据或不按操作程序操作,均会直接影响会计信息的真实性和可靠性、可用性;有意破坏系统硬件设备者可能是系统内部操作人员,也可能是系统外部人员。破坏者出于某种目的,例如发泄私愤或谋取不法利益,等等,从而破坏计算机硬件,致使系统运行中断或毁灭。这种破坏行为可能是以暴力的方式破坏计算机设备,也可能通过盗窃等手段破坏计算机系统,例如窃走存有数据的磁带或磁盘,或者利用计算机病毒的发作造成硬件损坏等。
3、不可预测的灾难。不可预测的灾难虽然发生的概率非常小,但不意味这不可能发生,一旦发生对信息系统的破坏性极大,所以必须引起足够的重视,例如火灾或某些元件的损坏,可能造成整个系统的崩溃。
(二)软件系统安全因素
1、计算机病毒。计算机病毒实际上是一段小程序,它具有自我复制功能,常驻留于内存、磁盘的引导扇区或磁盘文件,在计算机系统之间传播,常常在某个特定的时刻破坏计算机内的程序、数据甚至硬件。据统计,全世界发现的各种计算机病毒已经超过了24,000种,并且正以每月300~500种的速度疯狂的增长。由于病毒的隐蔽性强、传播范围广、破坏力大等特点,对远程网络会计信息传输的安全构成了非常大的威胁。查杀病毒已成为系统安全保护的一个重要的也是必不可少的内容。
2、网络黑客,也就是指非授权侵入网络的用户或程序。。
(三)会计操作人员的安全因素
1、操作人员篡改程序和数据文件。通过对程序做非法的改动,导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的,例如转移单位资金到指定的个人账户。
2、有权和无权用户的非法操作。主要是操作员或其他人员不按照操作规程或非法操作系统,改变计算机系统的执行路径从而破坏数据的安全。
3、窃取或篡改商业秘密、非法转移电子资金和数据泄密等。对会计数据的泄密主要是针对系统的用户或数据保管人员把本企业会计信息通过磁盘、磁带、光盘或网络等介质透露给竞争对手;窃取或篡改商业秘密是系统非法转移用户利用不正常手段获取企业重要机密的行为。借助高技术设备和系统的通讯设施非法转移资金对会计数据的安全保护构成很大威胁。
除此之外,操作人员通过非法修改、销毁输出信息等损坏计算机系统的方式达到掩盖舞弊行为和获取私人利益的目的,也是构成系统安全风险的一个重要因素。
三、会计信息系统安全风险防范措施
随着会计信息系统在企业经营管理中的广泛应用,一些传统的核对p计算p存储等内部会计控制方式都被会计信息系统逐渐的替代,企业内部会计信息的处理发生了根本的变化,但会计信息系统给企业带来便利的同时也带来了风险,为了保证会计信息系统的正常,有序工作,其安全风险的防范措施显得尤为重要,既然已经对会计信息系统安全风险因素进行了三大方面的分析,那么就分别对每一个方面阐述一下相对应的防范措施。
(一)在硬件功能上施加必要的控制
1、提示功能。增加必要的提示功能如软件执行备份时,存储介质上无存储空间、备份介质未正确插入和安装;执行打印时未连接打印机或未打开打印机电源;用户输入数据时输入了与系统当前数据项不符的数据或未按要求输入等等,此时系统应给予必要的提示,并自动中断程序的执行。
2、保护功能。增加必要的保护功能以防止在突然断电、程序运行中用户的突然干扰等偶发事故造成的系统故障,如软件执行结账时用户干预等发生时,能自动保护好原有的数据文件,防止数据破坏或丢失、同时对重要数据系统可增加退出系统时的强行备份功能,用户再次登录到系统时自动把备份数据与机内数据比较对照,及时发现数据文件的改变。
3、上机操作控制和系统运行记录控制。(1)建立严格的硬件操作规程。安装计算机硬件系统时,必须按照一定的顺序进行;启动计算机时,要按照先开外设再开主机、关机时先关主机再关外设;计算机处于工作(加电)状态时、不得拔插各种外部设备;计算机进行软盘读写操作时,不得强行将软盘取出;网络的布线要避免电磁干扰或人为的损坏,不要随意插拔网络缆线的接头,也不要经常移动计算机等;(2)制定操作员访问系统的标准操作规程、明确规定各个操作员进人系统后执行程序的顺序、各硬件设备的使用要求、数据文件和程序文件的使用要求以及处理系统偶发事故的操作要求,如设备突然断电的处理、设备的重新启动要求等,同时也要制定数据文件的处置标准,对数据文件的名称、保留时间、存放地点、文件重建等事项做出规定,以便统一管理;(3)通过设置软件功能、利用系统提供的功能或人工控制记录等措施对各用户操作系统的所有活动予以相应的记录,并定期由系统主管进行监察和检验以便及时了解非法用户和有权用户越权使用系统的情况。
4、建立健全硬件管理制度和损害补救措施。建立健全设备管理制度,确保硬件设备的运行环境、电源、温度、湿度、静电、尘土、电磁干扰、辐射等,例如计算机系统要求配置稳压电源,不间断电源(UPS),有时还需要配置备份电源,以便在长时间断电的情况下启用备份电源来保证设备的正常运行;另一方面,各系统操作人员应分清责任,各自管理和使用自己职责范围内的硬件设备,不得越权使用,禁止非计算机操作人员擅自的使用计算机系统进行操作,以免不当的操作损坏硬件设备。如果有多个用户使用同一台设备的情况,要进行严格的登记,并记录运行的情况。
(二)在软件功能上施加必要的控制措施
1、必要的检验功能。设计适应电算化账务处理的核算组织程序。任何由原始凭证人工编制的记账凭证都应进行严格的审核以及复核。在网络环境系统中,输入的工作量由多人共同来分担,凭证数据的输入可以采用一组人员输入,换人复核;或者采用两组人员分别进行两次的输入,输入的数据分别存放在两个暂存文件中,然后由计算机对两个数据文件中的记录来逐条进行比较。对于存在差异的记录进行对照显示或打印,以便于找出错误,进行修改。只有完全相同的情况下,系统才把录入的数据作为正式的凭证数据存储。未经校验的数据系统应作上标记,不允许进入记账凭证文件。
2、加强输入数据检验。对输入系统的数据、代码等都要进行检验。如:输入记账凭证时、每张凭证都要经过日期合法性、会计科目合法性、凭证类合法性、对应科目的合法性、金额借、贷平等校验。对于那些不符合要求的数据系统不予通过。根据会计核算的要求和网络系统的特点、系统对输入的同类记账凭证、原始凭证自动按日或月分类顺序编号,并且对多个用户同时访问同一个数据文件时各用户操作的记录进行锁定,拒绝其他用户的访问。这样可以尽量避免多个用户同时操作易引起的凭证断号、重号和串号,而且使于分清责任,达到会计控制的目的。
3、建立严格的档案管理制度。(1)系统投入使用之后,原系统的所有程序文件、软、硬件技术资料应作为档案进行妥善的保管,并应由专人负责,同时严格限制无权用户、有权用户在非正常时间等对程序的不正常接触;在档案调用时也必须经系统主管和程序保管共同的批准,并对使用人、程序名称、调出时间、使用原因和目的以及归还时间等进行详细的登记和记录,以便日后核查。(2)所有会计数据文件应做档案保管并严格限制无权用户、有权用户非正常时间等的不正常接触;建立必要的应急措施,如数据文件的定期备份、备份数据的存放地点、存放条件要求、系统数据文件损坏后的再生规则等,从管理上严格把关,以降低软件系统因素的风险。
(三)在会计操作人员上施加必要的控制措施
1、增加必要的限制功能。修改限制,修改功能可以方便用户,提高系统的实用性,但同时也增加了系统的不安全因素。。
2、处理数据的一次性限制。在账务处理中、期末结账,一旦执行,系统应予以标识,如果系统的某些设置(比如会计期间)未改变,则不能再执行第二次。
3、实行用户权限分级授权管理。实行用户权限分级授权管理,建立起网络化环境下会计信息系统的岗位责任制。按照网络化会计系统业务的需求设定各会计上机操作岗位,明确岗位职责和权限,并通过为每个用户进行系统功能的授权落实其责任和权限。结合密码管理措施,使各个用户进入系统时必须输入自己的用户号和口令,进入系统之后也只能执行自己权限范围内的功能,防止非法操作。
4、建立预防病毒的安全措施。坚持使用正版的软件,不要使用盗版或者来历不明的软件;经常性的备份磁盘的数据和软件;在不能确定计算机是否带有病毒的情况下,要读取软盘的数据必须使软盘处于写保护状态;不要打开和阅读来历不明的电子邮件;经常对计算机硬盘和软盘进行病毒检测。
5、建立对黑客的防护措施。(1)设置防火墙,使用入侵检测软件。入侵检测软件可以检测出非法入侵的黑客,并将它拒之内部网络之外;(2)抓好网内主机的管理。用户名和密码管理永远是系统安全管理中最重要的环节之一,对网络的任何攻击,都不可能没有合法的用户名和密码组合(后台网络应用程序开后门例外)。但目前绝大部分系统管理员只注重对特权用户的管理,而往往忽视了对普通用户的管理。主要表现在设置用户时图省事方便,胡乱设置用户的权限、组别和文件权限,为非法用户窃取信息和破坏系统留下了空隙;(3)设置好的网络环境。网上访问的常用工具有网络操作命令,对它们的使用必须加以限制。但这样做会使网外的一切访问都被拒绝,即使是合法访问也不例外。这种闭关自守的做法不太值得提倡,因为这样会使本网和网外完全的隔绝开,也会给自己带来诸多的不便与麻烦。应该尽量做到有条件的限制,允许有效的、必要的网上访问;(4)加强对重要资料的保密。重要资料主要包括路由器、连接调制解调器的电脑号码以及所用的通信软件的种类、网内的用户名等,这些资料都应采取一些必要的保密措施,防止资料随意的扩散。。由于公共的或普通邮电交换设备的介入,信息通过它们后可能被篡改或泄露;(5)加强对重要网络设备的管理。路由器在网络安全计划中是很重要的一环、现在大多数路由器已具备防火墙的一些功能,如禁止Internet的访问、禁止非法的网段访问等。通过网络路由器进行正确的存取过滤是限制外部访问简单而有效的手段。有条件的地方还可以设置网关机,将本网和其他网隔离,网关机上不存放任何业务数据,删除除系统正常运行所必需的用户外所有的无关用户,也能起到增强网络的安全性的作用。
四、结论
总之,会计信息系统的安全风险一直以来都是企业管理者、系统设计者以及系统用户所必须面临的问题。无论防范措施做得多么完善,也不可能做到没有漏洞,更何况随着信息技术的飞速发展,还会应运而生更多的安全问题,想做到万无一失是不可能的,总会有百密一疏的时候。但是,企业相关人员能做到的是要将会计信息系统的安全风险降到最低,尽量使可能出现的损失最小化,使企业的利益最大化。这样,只有科学p合理的运用会计信息系统,才能使企业取得长远的发展。
主要参考文献:
[1]赵静.电算化会计信息系统的风险防范问题.财经界(学术版),2013.6.
关键词:计算机;网络;木马;泄密
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 11-0000-01
Discussion on Computer Network Security
Li Lunming
(Shenyang HEVOL JiaRui Real Estate Development Co.,Ltd.,Shenyang110013,China)
Abstract:With the rapid development of computer networks,computer security has become increasingly serious leaks,the article discusses the types of computer networks,the main form of disclosure,and to put forward some of its characteristics of preventive measures.
Keywords:Computer;Network;Trojans;Leak
计算机和网络已经深入到人们的生活中,网络在人们生活中已经无孔不入,这就使得网络环境的泄密问题出现了极大的漏洞。
一、网络泄密的主要方式
(一)网络窃听。窃密者只要在网络的某条分支信道或者某台终端进行侦听,就可以截取网络中输送的数据包,随后可以采用分析与还原的方法,就可以对重要的数据与信息急性窃取,这种被动的窃听是很难被发现的。
(二)网络窃取。网络技术和网络规模的广泛应用和迅速的扩展,使得网络攻击手段也向着智能化和自动化方向发展,黑客们也通过网络来进行窃密,而且窃密的手段也逐渐的更新换代,一般来讲网络窃密的方法有4种:
(1)暴力破解。。(2)木马技术。木马的特点是隐蔽性强,并且具有多样性的特征,这就是目前比较大众的窃密手段,这就是为何目前木马病毒泛滥成灾的原因。木马窃取技术主要经历了4个阶段:
一是击键记录。。典型的例子有“密码大盗”木马、“网银大盗”木马,专门窃取网上银行的密码。二是屏幕快照。。三是远程控制。以上两种方法只是对信息进行了反馈,但是黑客仍然通过木马来对感染的电脑进行远程控制,这样就可以进行随意的操作,并获取文件资料。四是摆渡技术。上述3中窃取手段,只是窃取了上网电脑上已存的资料,一些不上网的电脑资料,黑客们有新的手段,那就是摆渡技术。当你的U盘和移动硬盘等在一些可以上网的并且已经被感染的电脑上使用时,你的U盘或移动硬盘也别感染上了木马。
(3)网络钓鱼。。
。。二是欺骗性的电子邮件。电子邮件诈骗比较常见,一些邮件声称自己是系统管理员,要求跟客户确认账号和口令,或者要求验证等手段,来获得客户的信息与资料,进而进行诈骗。
(4)网络攻击。黑客利用当前操作系统、网络协议、数据库及软件等自身存在的设计缺陷、以及人为因素产生的安全漏洞,然后攻击电脑,并且重新设置访问权限,这样便会进一步监听、收集和窃取文件资料等重要信息。
二、网络泄密的防范对策
。
(一)强化保密观念。保密观念是安全的前提,必须坚持强化意识、自觉防范、主动作为的原则。通过保密宣传和警示教育,并且加强文件和设备的使用管理,确保凡是的就不要触网:电脑不要上网,介质不要触网,上网电脑不要处理信息,以及信息要把好关。
(二)系统安全配置。安全配置是安全的基石,在默认情况下操作系统开放了很多不必要的服务和端口,共享信息也没有合理配置与审核,所以需要进行安全优化配置。建议:(1)删掉不必要的NetBIOS协议;禁止建立空连接;禁用Guest账号;关闭Remote Register服务、Messenger服务以及远程桌面服务等一些不必要的服务。(2)取消Windows系统默认开启的隐藏共享IPC$,并且尽量不要共享文件夹,如有需要时务必设置共享密码。(3)管理好用户账号,设置强口令:密码最好8位以上,数字、字母混合使用,不要使用纯数字,不要使用和自己有关的姓名、出生日期、家庭成员等信息,或者以某种形式使用用户名。
(三)安装必备的防护软件。技术手段是安全的保证,杀毒软件和防火墙软件都要安装,一个也不能少,必要时还要安装防间谍软件。这里往往存在一个明显的安全误区是:只安装杀毒软件,觉得用得也很安全,没有必要安装防火墙软件。杀毒软件之所以能查毒,纯粹是根据病毒样本的代码特征来识别的,然而现在的病毒更新很快、变种很多,它们的特征如果没有被杀毒软件掌握到,那么也就无法报警和剿杀。
(四)做到及时升级。及时升级是安全的关键,由于漏洞不断被发现、病毒与攻击不断更新,这就需要对操作系统、应用软件和病毒库及时升级维护。通常存在的一个安全误区是:将“Windows自动更新”关闭。这样将无法及时安装补丁,使得漏洞暴露在网络上,即使有防火墙和杀毒软件的保护,一旦有利用相应漏洞的攻击或病毒出现,机器仍然很容易中招。
(五)重要信息加密处理。信息加密是安全的盾牌,采用加密技术对文件、资料、数据进行加密存储和密文传输,在出现网络窃听、网络窃取以及载体流失等安全问题时,可以坚守住最后一道防线,确保信息内容的安全。
是一项系统工程,涉及硬件、软件、防火墙、网络监控、身份认证、通信加密、灾难恢复、安全扫描等多个安全要素。而网络金融安全问题关乎我国的经济安全甚至国家安全。因此,必须站在更高的层面审视网络金融安全问题。
一、网络金融概念特点
(一)概念
网络金融,又称电子金融(e-finance),是一种通过个人电脑、通信终端或其他智能设备,借助国际互联网和通信技术无境域限制的联结客户与金融机构,以实现及时获取经济金融信息、享受网上金融服务、开展网上金融交易的金融活动。网络金融包括在线银行、网上保险、网上证券、网上期货、网上支付、网上结算等金融业务。
网络金融安全,是指金融网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务畅通快捷。网络金融安全包括系统安全和信息安全两个部分,系统安全主要指网络设备的硬件、操作系统以及应用软件的安全,信息安全主要指各种信息的存储、传输和访问的安全。
(二)特点
世界第一家网络银行——美国安全第一网络银行(SFNB)自1995年10月18日开业以来,国际金融界掀起了一股网络银行浪潮。这一金融创新正彻底颠覆了金融业和金融市场的业态,银行由实体化向虚拟化发展,金融服务的时空界限不再明显。
1、虚拟化。网络金融市场是一个信息市场,同时也是一个虚拟化的市场。网络金融虚拟化主要表现在金融实务虚拟化、服务机构虚拟化、交易过程虚拟化和交易货币虚拟化。
2、无界性。网络金融的无界性主要是指金融活动无时空局限,打破传统的金融服务时间、境域、空间、方式等限制。网络经营企业只要开通网络金融业务,世界各地的上网用户皆可能在任一时间、任一地点、以任一方式成为其客户,并以商家愿意接受的任一电子货币支付,交易地域模糊性给计量造成困难。
3、低成本。虚拟形态的网络银行交易成本远小于物理形态的金融机构经营成本,而且服务效率得到提高、服务质量没有降低。这是网络金融得以出现并迅速发展的最主要原因。
4、加密性。传统金融下交易过程依赖于物理设置和现场办公,而网络金融下交易过程采取技术上加密算法或认证系统的变更或认证来实现。
5、信用性。。无疑,人的信用价值以及游戏规则的固化是网络金融快速发展基石。
二、网络金融安全现状
网络金融安全伴随着网上交易的整个过程。主要有两个方面:一是来自金融机构内部,网络系统自身的安全以及自身的管理水平和内控能力。如由于软硬件配置不匹配、系统设计不合理、运行不稳定等形成的安全隐患;二是来自于金融机构外部,取决于选择的开发商、供应商、咨询或评估公司的水平,以及其他各种外来因素如黑客攻击、自然灾害侵袭等所造成的安全问题。
。安全问题已日益成为困扰网上金融交易的最大问题,影响我国网上金融业务的健康发展。网络金融活动中的安全隐患,主要表现在:
1、金融装备落后。我国金融电子设备的核心技术大部分都是从国外进口的,国产化率低、创新自主知识产权少,在金融电子化过程中,整个金融系统内的操作平台,以及电子支付系统等核心技术,都对国外技术的依赖性越来越大,由于平台软件源代码末公开,导致我国金融安全的基础相当薄弱。因计算机硬件故障造成系统停机、磁盘列阵破坏等事件,成为网络金融业务的安全隐患。
2、网络系统漏洞。互联网本身固有的技术体制存在缺陷。基于远程通信的便利,互联网并未考虑安全性问题,因而基于信任主机之间的通信而设计的TCP/IP协议缺乏安全机制,建立在互联网络为基础的金融网络系统存在安全漏洞,防毒软件功能不强,造成网络运行不稳定,被病毒入侵、被黑客攻击,轻者数据毁坏丢失,重者烧毁硬件。目前全球的黑 客攻击事件,40%是针对金融系统的,我国则高达60%以上。 3、交易系统缺陷。按照我国有关规定,金融机构的网上业务要达到三级安全标准,但目前大多数金融机构的安全状况都未达到这一要求,其自行开发、应用的网上交易系统大多未经过权威部门的检测认证,存在安全控制技术落后、安全防范措施不到位、抗攻击能力不强、响应滞后、访
。出现系统虚假信息泛滥;账户密码被黑客破译,数据资料、交易指令被篡改,资金被盗取,股票、债券、基金等金融资产被盗卖;信息传递的私密性、真实性、完整性、不可否认性缺乏保障等等现象。
4、交易监管滞后。由于网络金融交易的不透明、虚拟性、开放性,增大了交易者之间身份确认、交易真实性验证、信用评价方面的信息不对称,决定了网上支付和结算系统全球化,提高了信用风险程度。目前,我国网络金融运作监管经验不足、手段不全、技术落后、分业网上监管职责界定不清、内控制度不健全、网上业务定期内部审计流于形式,出现了网上业务运作中密码控制不严、软件控制功能薄弱、授权机制执行不力等问题。
5、协同机制缺乏。各银行网络系统各自为政,各行间信息隔绝,缺乏沟通协作。有的商业银行将其银行网络系统拓扑结构、建设实施方案等作为绝密材料被保存,行业间数据资源共享是一道屏障,造成资源资金浪费,延误了整个金融业的发展。 6、应急预案缺失。除上述种种因素外,金融机构未对停电、暴力犯罪等人为因素以及地震等自然灾害等突发性不确定事件的发生制定切实可行的应急预案,在一定程度上影响着网络金融的运行安全。
三、网络金融安全对策
1、加快立法进程。我国网络金融立法滞后,网络金融安全立法更是一片空白。由于网络金融安全关乎我国的经济安全甚至国家安全,因此,网络金融安全立法进程刻不容缓,国家应高度重视,拟成立网络金融安全管理机构,研究制定金融安全政策和标准,规范、指导和约束网络金融的安全发展,应充分借鉴英美的成功经验,参照英美颁布实施的《电子通信法案》、《数字签名法》等法律,在制定出适合我国国情的电子签名法后,加快电子证书法、加密法等网络金融安全法律法规的出台,打造网络金融规范化、法制化环境,明确商家、消费者、第三方支付系统的权利、义务,规范市场参与者的资格、行为、责任,打击网络金融犯罪,保护金融机构及交易当事人的合法权益,保障网络金融业健康、规范、有序地发展。
2、强化技术防范。网络金融安全防范中,技术防范是关键。金融企业应制定全面周密的软硬件装备升级换代方案,即时引进和应用符合国家安全标准具有较高安全系数的金融电子化软件平台和金融电子设备核心技术,保证计算机应用软件的不断升级,维护网络系统健康运行。要配备性能良好的内外网络防火墙、病毒防御与杀毒软件,定期升级,严格网络登录口(下转第235页)(上接第233页)令管理等。要采用数字证书等较高级别的网络加密技术,设置交易中的客户身份认证和交易密码。此外,要进一步加大投入,网络信息安全产品,研发网络安全系统、语音鉴别系统、电子转账系统、智能卡识别系统、管理信息系统等,提高金融装备国产化水平,夯实金融安全基础。
3、加紧人才培养。网络金融机构要培养一批既掌握计算机枝术、网络技术、通信技术,又掌握金融实务和管理知识的复合型高级技术人才和管理人才。从国家层面讲,要积极培养政治过硬、技术全面、业务精湛、作风扎实的金融执法队伍,提高金融执法人员素质,严厉惩治金融犯罪和违法、违规活动。从企业层面讲,要通过不间断的全员培训培养教育,让全体从业人员全面了解网络技术安全缺陷,充分认识潜在的网络安全隐患危害性,掌握必要的软件系统安全技术、数据信息安全技术、病毒防治技术等。要通过改善硬件设施和办公条件,提高从业人员素质,提高员工业务水平,尽可能减少操作失误带来的麻烦,保证网络金融企业的经济稳定运行和持续发展。
4、加强内部控制。网络金融机构要参照相关的法规条例,制定各项安全管理制度,包括业务操作规程、计算机网络、数据库、病毒防治、密钥等安全管理制度。要加强人员变动管理,及时注销、移交和变更原有的密钥等信息资料。要建立数据备份中心,实现数据可追溯性。
5、加强预警监控。掌控网络金融风险重在预警评估与防范。网络金融机构,要建立网络金融风险预警机制,专人监控业务运行,加工处理数据,研究数据指标,制定网络金融风险应急处理预案,发现指标逼近预警线,果断采取风险防范措施以应对。
6、加强监管合作。面对网络金融市场高度国际化,大部分金融交易依赖于电子网络,网络银行资金日趋庞大和资金流动速度加快,但由于网络技术发展存在先天性缺陷——技术漏洞,使得网络安全成为制约网络金融发展的最大障碍。我国金融管理机构有必要适时同外国金融监管当局开展广泛的国际合作,沟通信息,打击犯罪,规范业务合作的程序,交换网络监管措施,创造网络金融活动的准则。
参考文献
[1]赵艳.网络金融监管的难点及对策探究[J].学理论,2011(1).
论文摘要:无线网络相对于有线网络更容易遭到攻击,因为无线网络通过无线电在特定频率的范围内传送信号,所有具有接收设备的人都能获得该信号。提高无线网络安全性能已成为不可忽视的问题。总结目前无线局域网遇到的主要威胁,及应对网络威胁的安全技术和基本的防范措施。
0 引言
在信息时代的今天,无线网络技术的发展可谓日新月异。从早期利用AX.25传输网络资料,到如今的802.11、802.15、802.16/20等无线标准,无线技术总是不断地给人们带来惊喜。大则跨广阔的地理区域,小则仅限个人空间,无线网络已经渗透到了人们生活中的方方面面。然而,伴随着无线局域网技术的快速发展,应用的日益广泛。无线网络的安全也成为计算机通信技术领域中一个极为重要的课题。对于有线网络,数据通过电缆传输到特定的目的地,通常在物理链路遭到破坏的情况下,数据才有可能泄露;而无线局域网中,数据是在空中传播,只要在无线接入点(AP)覆盖的范围内,终端都可以接收到无线信号,因此无线局域网的安全问题显得尤为突出。
1 无线局域网存在的常见安全问题
无线局域网的传输介质的特殊性,使得信息在传输过程中具有更多的不确定性,更容易受到攻击,面临的主要安全问题如下:
(1)WEP存在的漏洞
IEEE为了防止无线网络用户偶然窃听和提供与有线网络中功能等效的安全措施。引入了WEP(WiredEquivalent Privacv)算法。然而WEP被人们发现了不少漏洞:
①整体设计:无线网络不用保密措施会存在危险。WEP只是一个可选项:
②加密算法:WEP中的IvfInitialization Vector,初始化向量)由于位数太短和初始化复位设计,容易出现重用现象,而被人破解密钥。而RC4算法,头256个字节数据中的密钥存在弱点。另外CRC fCyclic Redun-daⅡcv Check,循环冗余校验)只保证数据正确传输。并不保证其数据未被修改:
③密钥管理:大多数都使用缺省的WEP密钥,从而容易被破解入侵。WEP的密钥通过外部控制可以减少IV冲突,但是过程非常复杂而且需要手工操作,而另外一些高级解决方案需要额外资源造成费昂贵:
④用户操作:大多数用户不会设置缺省选项,令黑客容易猜出密钥。
(2)执行搜索
通过软件搜索出无线网络,然而大多数无线网络不加密,容易被人获得AP广播信息。从而推断WEP的密钥信息。
(3)窃听、截取和监听
以被动方式入侵无线网络设备,一旦获取明文信息就可以进行入侵。也可通过软件监听和分析通信量。劫持和监视通过无线网络的网络通信,通过分析无线数据包来获取用户名和口令,从而冒充合法用户,劫持用户会话和执行非授权命令。还有广播包监视,监视于集线器。
(4)窃取网络资源
部分用户从访问邻近无线网络上网,造成占用大量网络带宽,影响网络正常使用。
(5)欺诈性接人点
在未经许可的情况下设置接人点。
(6)双面恶魔攻击
也被称作“无线钓鱼”。以邻近网络名隐藏的欺诈接人点,用户一旦进入错误接入点,然后窃取数据或攻击计算机。
(7)服务和性能的限制
无线局域网的传输带宽有限。如果攻击者快速用以太网发送大量的ping流量,吞噬AP的带宽。如果发送广播流量,就会同时阻塞多个AP。
(8)欺骗和非授权访问
当连接网络时只需把另一节点重新向AP进行身份验证就能欺骗无线网身份验证。由于TPC/IP(Tralls-mission Control Protocolffntemet Protoc01.传输控制协议/网际协议1设计缺陷,只有通过静态定义的MAC地址才能有效防止MAC/IP欺骗。但由于负担过重,一般通过智能事件记录和监控对方已出现过的欺骗。(9)网络接管与篡改
由于TCP/IP设计缺陷,如果入侵者接管了AP,那么所有信息都会通过无线网上传到入侵者的计算机上。其中包括使用密码和个人信息等。
(10)窃取网络资源
因为任何人都可以购买AP.不经过授权而连入网络。部分用户从访问邻近无线网络上网。
(11)插入攻击
插入攻击以部署非授权的设备或创建新的无线网络为基础,由于往往没有经过安全过程或安全检查。如果客户端接入时没有口令,入侵者就可以通过启用一个无线客户端与接人点通信,就能连接到内部网络。
(12)拒绝服务攻击DoSlfDenial of Service,拒绝服务)
拒绝服务攻击指入侵者恶意占用主机或网络几乎所有的资源,使得合法用户无法获得这些资源。这都是由于传输特性和扩频技术造成。
(13)恶意软件
攻击者通过特定的应用程序可以直接到终端用户上查找访问信息。以便获取WEP密钥并把它发送回到攻击者的机器上。
(14)偷窃用户设备
由于MAC地址是唯一的,若攻击者获得无线网网卡就拥有合法MAC地址。
2 无线局域网安全问题的解决方法
无线网络存在许多安全隐患。多数情况下是用户使用不当而造成安全隐患,除了用有效手段来防止攻击外,也要加强用户的防范意识和强化安全技术手段,而且养成良好的使用习惯,使入侵者无机可乘。。
(1)关闭非授权接入
(2)禁用动态主机配置协议
手动设置IP地址、子网掩码以及TCP/IP参数等。
(3)定期更换密钥
(4)同时采用不同的加密方式
不同类型的加密可以在系统层面上提高安全的可靠性。
(5)不使用情况下关闭无线网络与网络接口,关闭无线网络接口使用户不会成为恶意攻击的目标。
(6)提高用户防范意识
了解被入侵后的迹象,及时处理。养成良好的上网习惯,安装必要的杀毒软件与防火墙,并及时更新,定期查杀。
(7)禁用或修改SNMP设置
SNMP(simple Network Management ProtoeolI简单网络管理协议).网络上一些设备行SNMP协议,但是许多是不必要的,而由于SNMP都采用了默认的通信字符串,安全机制比较脆弱,通信不加密,容易被入侵者获取信息。
(8)MAC地址过滤
在AP内部建立一张MAC地址控制表(ACaeSS Contr01),将无线网卡的MAC地址输入AP中,只有在表中列出的MAC才是合法可以连接的无线网卡,否则将会被拒绝连接。通过MAC地址限制可以确保只有经过注册的终端设备才可以接入无线网络,使用网络资源。以实现物理地址的访问过滤。
(9)SSID匹配
只有SSID与AP的SSID相匹配时才能连接。
(10)隐藏SSID
服务集标识符SSID(Service Set Identifier)是无线客户端对不同网络的识别,用它来建立与接入点之间的连接。参数是被AP广播出去,无线客户端只有收到参数或者手动设定与AP相同的SSID才能连接到无线网络。而把广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络。隐藏SSID能大大降低威胁。
(11)WEP加密
在每个使用的移动设备和AP上配置密码使用静态非交换式密钥,能有效防止一般数据获取攻击。当加密机制功能启用时,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。尽量设置一个高强度的WEP密钥,使得暴力破解成为不可能情况。
(12)AP隔离
类似于VLAN。将所有的无线客户端设备完全隔离,只能访问AP连接的固定网络。
(13)802.1x协议
802.1x协议基于Client/Server的访问控制和认证,被称为端口级的访问控制,可限制未授权用户/设备通过接入端口访问LAN/WLAN。协议对设备整体要求不高降低组网成本,使用扩展认证协议EAP。802.1x的客户端认证请求也通过Radius服务器进行认证,但费用高。
(14)WPA
WPA(Wi-Fi Protected Access)使用802.11i中的加密技术TKIPfremporal Key Integrity Protocoll暂时密钥完整性协议,是IEEE 802,11i的一个子集,其核心就是IEEE 802.1x和TKIP。与WEP不同之处是TKip修改常用的密钥,使用密钥与网络上其他MAC地址以及一个更大的初始化向量合并,每节点都用不同的密钥对数据进行加密。TKIP可以大量解决WEP存在的安全问题。WPA拥有完整性检查功能,并加强了用户认证功能,而且对802.1x和EAP(扩展认证协议)支持。和802.1x协议一样WPA可以通过外部Radius服务器对无线用户进行认证,也使用Radius协议自动更改和分配密钥。但并不是所有的设备都支持WAP,而且使用时只要对设备进行升级以支持WPA。另外WPA兼容IEEE 802.1。
(15)802.11i
正在开发的新一代的无线协议,致力于彻底解决无线网络的安全问题,包含加密技术AESfAdvaneedEncryption Standard)与TKIP,以及认证协议IEEE 802.1x。IEEE 802.11i将为无线局域网的安全提供可信的标准支持。
(16)VPN
VPN虚拟专用网(Virtual Private Network)核心是在利用公共网络建立虚拟私有网。当用户使用一个VPN隧道时,数据通信保持加密状态直到它到达VPN网关,此网关为AP,整个传输过程都是加密的。VPN连接可以借助于多种凭证进行管理,例如口令、证书、智能卡等。
(17)无线安全路由器
无线路由器是基于硬件的安全解决方案,直接安插有线网络的高速链路中,并且访问点完成数据包转换。这种路由器的目标是在大型的分布式网络上对访问点的安全性和管理进行集中化。
3 结语
经过10多年的发展,无线局域网在技术上已经日渐成熟,无线局域网将从小范围应用进人主流应用。无线局域网安全技术对日后无线网络是否能够发展及其发展状况产生极大的影响。因此必须继续研究无线局域网安全技术,就是对本论题继续进行深入的研究,为无线网络提供技术支撑,确保无线网络的安全性,为社会更加繁荣、先进和进步提供最基本的条件,具有极其深远的意义。
参考文献
[1]赖庆,无线网络安全对策和技术[J].科技资讯,2006(19)
[2]赵琴。浅谈无线网络的安全性研究[J].机械管理开发,2008(01)
[3]陈鹤,曹科,无线局域网技术研究与安全管理[J].现代机械,2006(04)
[4]王秋华,章坚武,浅析无线网络实施的安全措施[J].中国科技信息。2005(17)
因篇幅问题不能全部显示,请点此查看更多更全内容