摘要:
随着财政信息化建设的不断深入,一些地方的财政工作采用现代计算机网络和通信技术,逐步实现了财政业务管理网络化、现代化。1997年上海市青浦区财政局建立了局域网及数据库,依托局域网支持财政业务管理,提高了财政业务处理的效率。但是在财政计算机网络运行规模不断扩大的情况下,亦增加了财政计算机网络受攻击的可能。为保证财政系统数据的完整性,保证应用系统在网络环境中稳定运行,数据不被非法访问,必须加强网络系统的安全防范。
一、财政计算机网络系统存在的一些安全问题
1、操作系统本身存在漏洞。利用UNIX操作系统提供的守护进程的缺省账户可以进行攻击,通过隐蔽通道进行非法活动,突破防火墙等等。TCP/IP协议由于在实现上力求简单高效,没有考虑安全因素,本身设计上就存在许多安全缺陷。随着INTERNET的发展,现代黑客从以系统攻击为主转变到以网络攻击为主,手法层出不穷。如通过网络监听获取网上用户的账号和密码;监听密钥分配过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格等。
2、安全防范措施差。目前财政计算机网络系统基本上是封闭的内部网络,不易受到系统外的侵犯。但是随着财政系统内部网上多种应用服务的建...
随着财政信息化建设的不断深入,一些地方的财政工作采用现代计算机网络和通信技术,逐步实现了财政业务管理网络化、现代化。1997年上海市青浦区财政局建立了局域网及数据库,依托局域网支持财政业务管理,提高了财政业务处理的效率。但是在财政计算机网络运行规模不断扩大的情况下,亦增加了财政计算机网络受攻击的可能。为保证财政系统数据的完整性,保证应用系统在网络环境中稳定运行,数据不被非法访问,必须加强网络系统的安全防范。
一、财政计算机网络系统存在的一些安全问题
1、操作系统本身存在漏洞。利用UNIX操作系统提供的守护进程的缺省账户可以进行攻击,通过隐蔽通道进行非法活动,突破防火墙等等。TCP/IP协议由于在实现上力求简单高效,没有考虑安全因素,本身设计上就存在许多安全缺陷。随着INTERNET的发展,现代黑客从以系统攻击为主转变到以网络攻击为主,手法层出不穷。如通过网络监听获取网上用户的账号和密码;监听密钥分配过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格等。
2、安全防范措施差。目前财政计算机网络系统基本上是封闭的内部网络,不易受到系统外的侵犯。但是随着财政系统内部网上多种应用服务的建立,如电子邮件服务、WWW服务和FTP服务,系统外侵犯的可能性大大增加。目前财政计算机网络系统尚缺乏先进的网络安全技术、工具、手段和产品,网络安全防范能力差,容易受到侵犯。
3、缺乏网络数据加密技术。数据加密技术是保护数据免遭攻击的一个主要方法,是网络最基本的安全技术。但目前财政系统无论是“通信加密”(即传输过程中的数据加密)还是“文件加密”(即存储数据加密)都未实现安全,真实信息容易被非法窃听并篡改,数据加密安全得不到保障。
4、计算机病毒的防范松懈。计算机病毒虽然不会窃取数据信息,但它会破坏文件系统和系统软件,尤其在网络环境下,计算机病毒的传播速度更快,会导致网络效率急剧下降,系统资源严重破坏,甚至有可能造成整个计算机网络系统的瘫痪。但目前网络系统对病毒的防范比较松懈,思想上重视不够,对病毒的所有可能入口把守不严。
二、财政计算机网络的安全防范策略和措施
针对上述网络系统存在的一些安全漏洞,建议采取以下几项措施与技术,规避网络风险,提高网络安全的可靠性。
1、运用防火墙技术。防火墙是一个特殊的主机,设置在外部网络和内部网络中间。防火墙支持“除了那些特别允许的外,拒绝所有服务”的设计策略,利用过滤技术来允许或禁止到特定主机系统的服务。
2、监控网络安全性。如定期检查日志文件、检查是否有未授权访问及检查系统本身是否有安全漏洞。黑客可以用很多方式侵入网络,所以监控也是困难的。下面提供两种监控方法:一是应用SYSLOG功能。SYSLOG机制可以把错误信息及有关信息记录到系统控制台和日志文件中。LOGIN程序记录了以ROOT用户登录的所有信息,如果用SU进入ROOT就难于跟踪。LOGIN程序记录重复登录而失败的情况,三次登录失败后,LOGIN将拒绝这个用户再试。同时提醒您这也可能是黑客猜想用户口令的行为。当一用户用SU命令成为超级用户或其它用户时,SU程序将记录下这个操作的成功与失败。利用所提供的这些信息可以检查共享同一口令的用户,以及侵入一个用户又试图侵入其它用户的黑客。二是用SHOWMOUNT命令。在NFS文件服务器上可以使用SHOWMOUNT显示从服务器上MOUNT文件的所有主机的名字及MOUNT的所有目录。若发现某些主机MOUNT了非正常目录,应该查出哪个主机MOUNT了此目录及MOUNT的原因。
3、防治计算机病毒。病毒的防御措施包含两重含义,一是建立制度,提高素质,从管理方法上防范;二是着力掌握病毒的识别和检测技术,从技术方法上加以防范。技术方面的防御包括软件预防与硬件预防两种。硬件防御是指通过计算机硬件的方法预防计算机病毒侵入系统,主要采用防病毒卡,防病毒卡作为ROM插件,在系统启动时就可获得控制权,使机器具有了免疫力,只要系统中运行的程序带有病毒,防病毒卡就会发现,给出警告信息,并在内存中将其清除掉。而所谓软件防御是指通过计算机软件的方法预防计算机病毒侵入系统。目前国内常见的查/杀毒软件有KILL、KV300、NAV、瑞星杀毒软件RAV、网络杀毒软件NETKILL、网络病毒克星LANDESKVIRUSPROTECT等等。
4、网络数据加密。上述防火墙技术等是一种被动的防卫技术,难以控制访问,而加密则是一种主动的防卫手段。在网络应用中一般采取两种加密形式:秘密密钥和公开密钥,采用何种加密法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。对于秘密密钥(又叫私钥加密和对称密钥加密),其常见加密标准为DES等。当使用DES时,用户和接受方采用64位密钥对报文加密和解密,当对安全性有特殊要求时,则要采取IDEA和三重DES等。作为传统企业网络广泛应用的加密技术,秘密密钥效率高,它采用KDC来集中管理和分发密钥并以此为基础验证身份,但是并不适合INTERNET环境。对于公开密钥加密,它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由用户自己保存。常用的公钥加密算法是RSA算法,加密强度很高。由于此种方法加密强度高,并且不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合INTERNET网上使用。
5、加强系统物理安全。对于运行任何操作系统的计算机网络,物理安全都是一个要考虑的重要问题,物理安全措施主要包括:计算机机房的防盗、报警系统;网络系统内空置端口加锁或物理断离;数据介质备份的安全保存;接入网络系统的X.25专线、电话线等通讯设施的加密装置等。
6、提高系统管理员的责任心。网络的安全性很大程度上取决于系统管理员的工作,这就要求系统管理员要有很高的网络知识、对网络安全性有足够的认识、并关注网络安全的新动向,只有优良的技术加上高度责任心和严格的管理,才能使财政计算机网络系统安全平稳的运行。