计算机安全的重要性.doc

计算机安全的重要性
一、计算机安全的概念
对于计算机安全,国际标准化委员会的定义是"为数据处理系统和采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。我国公安部计算机管理监察司的定义是是指计算机资产安全,即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。
二、我们在日常生活和工作中遇到的计算机安全威胁
计算机容易受到许多威胁从而造成各种各样损害导致严重损失。这些损害从由于错误而破坏数据库的安全性到火灾摧毁整个计算机中心。损害的原因是多种多样的,例如,看上去可信的员工欺骗系统的行为、外部黑客或粗心的数据录入员。由于很多损害永远也无法被发现,有些机构为了避免公众形象受损所以对损害情况加以掩盖,所以准确的评估计算机安全相关的损害是不可能的。不同的威胁其后果也有所不同:一些是影响数据的机密性或完整性而另一些则影响系统的可用性。这些威胁包括:
 
2 .欺诈和盗窃
3. 员工破坏




    这里描述了如今系统运行环境中风险的基本情况。所提到的威胁和相关损害是基于其在当今计算环境中的普遍程度和严重程度以及其预期扩展形势而提出的。本清单并不详尽,有些威胁可以是不同领域的组合产物。这里描述的当前常见威胁概况可以为机构研究其自身的威胁环境提供帮助;但是由于这一话题涉及面比较广阔,所以特定系统所遭遇的威胁可能与这里讨论的有所不同。
    为了控制运行信息系统的风险,管理人和用户需要了解系统的缺陷和可能利用缺陷的威胁。对威胁环境的了解使系统管理人得以实施最具成本效益的安全措施。在有些情况下,管理人发现简单容忍预期损害更具有成本效益。这一决策应该基于风险分析的结果。
1、错误和遗漏
    错误和遗漏是数据和系统完整性的重要威胁。这些错误不仅由每天处理几百条交易的数据录入员造成,创建和编辑数据的任何类型的用户都可以造成。许多程序,特别是那些被设计用来供个人计算机用户使用的程序缺乏质量控制手段。但是,即使是最复杂的程序也不可能探测到所有类型的输入错误或遗漏。良好的意识和培训项目可以帮助机构减少错误和遗漏的数量和严重程度。用户、数据录入员、系统操作员和程序员的工作中经常会出现直接或间接影响安全的错误。在有些情况下,错误是一种威胁,例如数据录入错误或编程错误会使系统崩溃。在另一些情况下,错误导致了缺陷。错误可以在系统生命周期的任何阶段发生。一项由计算机安全顾问、计算机系统安全和隐私咨询委员会的前成员Robert Courtney进行的关于计算机的经济损失的长期调查显示,机构百分之六十五的损失是错误和遗漏造成的。在私营和公共机构中,这种情况基本是一样的。编程和开发的错误通常被称为“臭虫”,其严重程度从温和到灾难性不等。在1989年美国众议院科学、空间和技术委员会的研究报告《程序中的缺陷》中,调查和监督小组委员会成员对政府系统中此类问题的严重性作出了以下总结: 随着费用的不断增加,对于越来越大、越来越复杂的软件系统的稳定性、成本和准确性的关注也越来越多。随着计算机执行越来越关键的任务,其错误会导致经济混乱、事故,在极端的情况下会导致死亡,所以对此的
关注也不断升温。
    自从这份研究报告发表以来,软件工业发生了相当大的变化,软件质量有了可观的改善。但是关于软件的“恐怖故事“依然大量流传,报告中分析发现的基本根源和问题依然存在。虽然程序的质量有了很大的改善,减少了每1000行代码中包含的错误量,但是程序的规模同时也在扩大,这在很大程度上抵消了程序质量改进的好处。
    安装和维护的错误是安全问题的另一个根源。例如,由美国正直和效率总统委员会(PCIE)在1988年进行的审计中发现,被调查的每十个大型计算机站点中就有一个存在会导致严重安全缺陷的安装和维护错误。
2、欺诈和盗窃
    计算机系统会受到欺诈和盗窃的伤害,这种伤害可以是通过“自动化“了的传统手段进行也可以是通过新的手段进行。例如,有人可能会使用计算机在大型帐户中稍微减少一小部分数量的金钱,期望这个微小的差异不会被调查。金融系统不是这种风险的唯一受害者。控制资源访问的系统(如时间和考勤系统、存货系统、学籍系统以及长途电话系统)都可能成为受害者。计算机欺诈和盗窃可以是内部人所为也可以是外部人所为。欺诈主要是内部人(如系统的受权用户)所为。1993年《信息周刊》/Ernst&Young公司研究发现百分之九十的首席信息官将“知道过多”信息的员工视为一种威胁。美国司法部计算机犯罪调查部门指出“内部人构成了计算机系统的最大威胁”。因为内部人既可以访问受害的计算机系统(包括其控制和流动的资源)又