計算機信息系統

環境安全。主要是對計算機信息系統所在環境的區域保護和災難保護。要求計算機場地要有防火、防水、防盜措施和設施，有攔截、屏蔽、均壓分流、接地防雷等設施;有防靜電、防塵設備，温度、濕度和潔淨度在一定的控制範圍等等。

設備安全。主要是對計算機信息系統設備的安全保護，包括設備的防毀、防盜、防止電磁信號輻射泄漏、防止線路截獲;對UPS、存儲器和外部設備的保護等。

媒體安全。主要包括媒體數據的安全及媒體本身的安全。目的是保護媒體數據的安全刪除和媒體的安全銷燬，防止媒體實體被盜、防毀和防黴等。

操作系統安全。是指操作系統對計算機信息系統的硬件和軟件資源進行有效控制，對程序執行期間使用資源的合法性進行檢查，利用對程序和數據的讀、寫管理，防止因蓄意破壞或意外事故對信息造成的威脅，從而達到保護信息的完整性、可用性和保密性。操作系統安全可通過用户認證、隔離、存取控制及完整性等幾種方法來實現。用户認證就是系統有一個對用户識別的方法，通過用户名和口令實現，口令機制有口令字、IC卡控制、指紋鑑別和視網膜鑑別等。隔離技術是在電子數據處理成份的周圍建立屏障，以使該環境中實施存取規則，可通過物理隔離、時間隔離、邏輯隔離和密碼技術隔離來實現。存取控制是對程序執行期間訪問資源的合法性進行檢查，並通過控制對數據和程序的讀、寫、修改、刪除和執行等操作進行保護，防止因事故和有意破壞造成對信息的威脅。系統完整性涉及到程序和數據兩方面，程序完整性要在整個程序設計活動中嚴格控制;數據完整性由錯誤控制進行保護。

數據庫安全。數據庫系統中的數據的安全性包括:完整性——只有授權用户才能修改信息，不允許用户對信息進行非法修改;可用性——當授權用户存取其有權使用的信息時，數據庫系統一定能提供這些信息;保密性——只有授權用户才能存取信息。實現數據庫安全可通過用户認證、身份鑑別、訪問控制和數據庫內外加密等方法來實現。用户認證通過在操作系統用户認證基礎上，要求用户對通行字、日期和時間檢查認證。身份鑑別是數據庫系統具備的獨立的用户身份鑑別機制。訪問機制，運用安全級元素的確定、視圖技術等方法，確保用户僅能訪問已授權的數據，並可保證同一組數據的不同用户被授予不同訪問權限。數據庫外加密是操作系統完成的，如採用文件加密方法等，把數據形成存儲塊送入數據庫;數據庫內加密是對數據庫以數據元素、域或記錄形式加密，常用加密方法有DES加密、子密鑰數據庫加密和秘密同態加密技術等。

訪問控制。是系統安全機制的核心，對處理狀態下的信息進行保護，對所有直接存取活動進行授權;同時，對程序執行期間訪問資源的合法性進行檢查，控制對數據和程序的讀、寫、修改、刪除、執行等操作，防止因事故和有意破壞對信息的威脅，主要包括授權、確定存取權限和實施權限三個內容。通過最小授權、存取權分離、實體權限的時效性和對存取訪問的監督檢查、訪問控制表、訪問控制矩陣和能力表等方法來實現。

密碼技術。計算機數據信息的加密基本上屬於通信加密的類型，但又不同於一般的通信保密技術，被加密的明文往往是程序或其他處理的原始數據或是運行結果，而形成的密文是靜態的，一般不是執行中的程序，僅用以存儲或作為通信輸出。一般密碼系統包括明文、密文、加密、解密和密鑰五部分，見圖1:常見密碼加密有換位加密、矩陣移位加密、定長置換加密、替代密碼和DES加密、RAS加密、PKI和MD5等算法。換位加密——就是依照某種算法，使明文中的各個字符“變位不變形”，即不修改明文中每個字符本身的形式，僅改變它在明文中的位置，把重新排列後的信息作為密文。有柵欄移位法、矩陣移位法和定長移位法。替代密碼——也叫換字密碼，指用替換字符或字符塊來取代明文字符形成密文。明文中各字符與密文中各對應字符的相對位置保持不變，即明文中的各字符“變形不變位”，有單表替代、多名替代、多表替代和區組替代。DES加密——是一個分組加密算法，它以64位為分組對數據加密，其基礎是換位密碼和替代密碼技術交替使用，引入混亂和擴散兩個概念，它基於密鑰作用於明文。其變型算法有多重DES、使用獨立子密鑰的DES、DESX、CRYPT(3)、GDES和更換S-盒的DES和RDES等。RAS加密——是公開密鑰密碼體制的典型代表，它利用了分解大整數因子的困難度來提高保密性。其設計密鑰算法:選兩個互異的大素數p和q，令:r=(p-1)*(q-1)，尋求兩個正整數d和e，使其滿足:gcd(d，z)=1，e*d≡1(modz)，則(r，e)就是公開的加密密鑰，而(p，q，d)則為秘密的解密密鑰。加密算法:C≡Pe(modr)。解密算法:P≡C(modr)。

計算機網絡安全。在計算機網絡中傳遞的信息普遍面臨着主動攻擊的危害，主動攻擊中最主要的方法就是對信息進行修改，比如對信息的內容進行更改、刪除、添加;改變信息的源或目的地;改變報文分組的順序或將同一報文反覆;篡改回執等。而在計算機網絡信息系統中，信息的交換是其存在的基礎。而從安全角度上考慮，就必須保證這些交換過程的安全和內容的有效性及合法性。對於網絡安全的實用技術有:身份驗證:系統的安全性常常依賴於對終端用户身份的正確識別與檢驗，以防止用户的欺詐行為。報文驗證:在兩個通信實體之間建立了通信聯繫之後，對每個通信實體收到的信息進行驗證以保證所收到的信息是真實的。數字簽名:簽名者不能否認自己的簽名，而任何人又不能偽造簽名，也不能對傳送的信息進行偽造、冒充和篡改;一旦通信雙方對簽名的真偽發生爭議時，可通過第三者仲裁機構確定簽名的真偽。防火牆:是位於兩個網絡之間執行控制策略的系統(可能是軟件或硬件或兩者並用)，用來限制外部非法(未經許可)用户訪問內部網絡資源和內部非法向外部傳遞信息，僅允許那些授權的數據通過，相當於內部網和外部網(INTERNET)之間的海關檢查站。

計算機病毒。計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，並能自我複製的一組計算機指令或程序代碼。其本質是一種具有自我複製能力的程序，具有複製性、傳播性和破壞性。計算機病毒不同於生物醫學上的“病毒”，計算機病毒不是天然存在的，是人故意編制的一種特殊的計算機程序。計算機病毒對信息系統有極大的危害性，輕者可以增加系統開銷，降低系統工作效率;重者可使程序、數據丟失，甚至系統崩潰，無法工作，更甚者造成計算機主板毀壞，如CIH病毒等。

提高安全意識，有效保障信息系統安全。由於信息系統安全是一個綜合性的概念，是一項系統工程，綜合性強、涉及面廣，需各部門密切合作與配合;而在實際中，電子化業務已滲透到各部門，因此，不能一談到計算機信息系統安全就認為是技術部門的事，而應從全局着手，提高全員計算機安全意識，增長計算機安全知識，自覺遵守安全管理制度，規範化操作，從整體上提高信息安全的防範能力。

提高技術水平，增強信息系統的技術防範能力。由於信息系統安全是動態的，沒有一勞永逸的安全防範措施。因此要及時更新安全技術，提高技術水平，不斷調整安全策略和選用安全性較強的操作系統、數據庫系統，制定統一的安全標準、算法和協議等，不要只注重效率而忽視了安全。

建立和健全安全管理和防範規章制度，切實發揮安全管理的重要作用。安全和管理是分不開的，即使有好的安全設備和系統，沒有一套好的安全管理方法，並貫徹實施，安全是空談。在信息系統安全中，人是安全管理的關鍵因素，要培養高素質的安全技術人才，在管理體制上要制定相應安全管理和防範規章制度，嚴格執行，自覺遵守。