摘 要:针对高校公共机房计算机系统在实际应用的信息安全防护需求,从底层保护技术的角度论述了公共机房信息安全防护应用。首先简单分析了现有计算机安全防护技术的应用,在此基础上重点探讨了底层保护技术的应用,研究了建立面向计算机终端的底层信息审查技术,配合其他底层保护技术的应用,实现了计算机底层信息安全防护,对于进一步提高我国计算机信息安全保护技术应用水平具有一定借鉴意义。
关键词:公共机房;计算机系统;安全防护技术
中图分类号:TP393.08 文献标识码:A 文章编号:1672-7800(2012)002-0127-03
作者简介:蔡林益(1977-),男,广州番禺人,广州番禺职业技术学院现代教育中心助理工程师,研究方向为计算机应用。
0 引言
随着我国高等教育的飞速发展,高校公共机房的规模也随之扩大,从原来的一个机房几十台计算机扩展到现如今的一个机房数百台计算机,因此对于如此庞大的计算机系统,如何实现对计算机系统的管理,保障机房计算机系统的安全性是摆在每一个机房管理人员面向的难题。对于机房计算机系统的安全性管理,主要有硬件技术和软件技术两个角度去实现。本论文主要结合底层保护技术的应用特点,从计算机底层保护角度入手详细探讨高校公共机房计算机系统的安全性管理技术与措施,以期从中能够找到面向高校公共机房的合理有效的计算机系统安全性管理措施与建议,并以此和广大同行分享。
1 现有计算机系统保护技术分析
1.1 现有安全防护技术分析
现有的计算机安全防护管理措施,主要是借助于防火墙技术、路由器加密技术等措施实现对计算机系统的安全防护,但是究其本质而言,这些借助于外在设备而实现的计算机系统防护,只是在信息传输通道上实现了隔离、加密或者其他安全防护措施,并没有从本质上实现对计算机系统的安全防护,因此,从实际的应用来说,目前针对计算机采用的一些安全防护技术手段,主要存在以下几个方面的问题与不足:
(1)安全防护功能有限。这一类的安全防护技术手段,只能根据现有的各种信息安全漏洞有针对性的进行安全防护与管理,无法对未出现的安全漏洞进行预测和管理,总是出现一种信息安全威胁,就需要对系统进行一次补丁,即使是采用硬件技术实现信息隔离加密,也极易遭到别人的窃取,因此,现有的计算机安全防护技术其功能十分有限。
(2)安全防护成本高昂。为了构建全面的计算机安全防护系统,需要从各个不同方面、从信息传输的不同渠道构建,导致整个计算机安全应用管理系统需要配备十分多的仪器设备,有些网络设备成本十分高,进而导致计算机安全防护系统构建成本十分高昂。
1.2 底层防护技术设计应用
(1)底层防护技术概述。计算机的操作系统以及数据库是现代计算机技术中最为底层和核心的软件系统。因此,计算机系统层次的安全问题主要来自于网络内使用的操作系统的安全和数据库的安全。针对操作系统和数据库的安全技术林林总总,也体现在应用的不同层面上。
而底层的硬件方面,也就是物理层面临着对计算机网络与计算机系统的物理装备的威胁,主要表现在自然灾害、电磁辐射与恶劣工作环境等。相应的防范措施也已经很多,包括抗干扰系统、物理隔离、防辐射系统、隐身系统、加固系统、数据备份和恢复等。这些传统的底层保护措施在实际应用中也存在着各种各样的问题,因此,需要采用一些新技术构建有效的面向高校公共机房计算机系统的底层保护技术。
(2)应用建设原则。底层保护系统是一个复杂的系统工程,它与网络规模、结构、通信协议、应用业务程序的功能和实现方式密切相关,一个好的安全设计应该结合现有网络和业务特点并充分考虑发展需求。
根据高校公共机房的使用特点,以及其计算机信息管理的需求,提出安全保密系统设计的原则,需要结合网络和业务规划作好系统整体的安全规划。一方面,总体安全规划可以全面分析系统存在的安全风险,并指导全网安全工程的一次性或分步实施;另一方面,结合安全总体规划,考虑信息系统发展的需求,能使我们的安全投入会顺应系统、网络和业务的发展,避免投资浪费。
①物理隔离原则。在系统设计、开发、运维的不同阶段,都要保证涉密信息系统与互联网及其他公共信息网络实行物理隔离,包括不得直接从互联网升级病毒等。
②分域分级原则。对于不同级别的部门、机构、设备、信息、网络服务和访问权限等,都要采取不同程度的多层次、多单元保护防范或加密手段。如在基础平台的管理和使用权限上设置多层次的多道防线等。
③信息流向控制原则。涉密信息有其一定的知悉范围,应对信息流向进行控制,禁止高密级信息由高等级涉密信息系统或高安全域流向低安全域并确定等级,按照相应等级的保护要求进行防护。
④最小授权与分权管理。在系统方案的具体设计、实施、供货、安装、调试、运行、管理、组织、授权等各个环节,都应遵循责任与风险分散和最小授权这一基本的安全保密原则。
⑤安全与保密第一原则。系统安全与保密标准和规定的要求,有时会同计算机网络性能(如传输效率、灵活性、方便性等)产生矛盾,两者不能兼得。强调了安全保密,网络的性能会受到影响;强调了网络性能,安全性保密性可能削弱。在这种情况下,涉密信息系统应遵守安全与保密第一原则,在设计、实施、运行、管理、维护过程中,始终应将系统安全与保密放在首要地位。
⑥技管并重原则。计算机信息网络的安全保密问题从来不是单纯的技术问题,必须做到技术安全和管理安全并重,两者都不轻视才有可能解决好这一至关重要的问题。其中,技术安全的许多策略要接受管理安全设计的指导,管理安全设计思想还应自始至终地贯彻到安全保密系统设计、实施、运行、管理、维护、创新和发展等各个方面。
2 底层防护技术在高校公共机房计算机系统中的应用与实现
2.1 建立面向计算机终端的底层信息审计机制
针对高校公共机房的信息特征,对其中涉密的关键信息可以在底层传输物理层设立关键字进行信息流的审查机制。在涉密终端上部署北信源的终端安全审计系统,包含终端监控管理系统、移动存储介质管理系统两个模块,终端安全审计主要是对终端的各种操作行为进行记录,防止终端用户主动泄密行为的发生,确定数据的安全。主要包括以下内容:
(1)文件保护及审计。系统提供对终端的系统、软件和共享等目录中的文件的保护功能,设定访问、删除、修改权限;支持对设定目录文件的操作审计,包括文件创建、打印、读写、复制、改名、删除、移动等的记录,同时将信息上报管理信息库供查询。
(2)网络文件输出审计。对网络终端的所有文件输出行为进行控制和审计,可根据情况禁止或审计使用打印输出、邮件输出、网络文件拷贝、移动存储拷贝等文件输出行为。可根据需要禁止指定用户(组)的上述行为,或对指定用户(组)的上述行为进行审计。
(3)涉密内容审计。系统可检查终端是否存在违规文件(如涉密、反动文件等),并检查某一文件夹或某一类型文件内是否有违规的信息。检查可针对指定路径或指定文件进行。
(4)软件安装审计。审计终端是否安装了违规软件(如黑客软件等),是否安装了必装软件(如防病毒软件),发现违规行为可以采取报警提示、阻断网络等多种方式处理,管理员可自定义黑白软件列表。
(5)终端用户权限审计。网络终端的权限一般不会被用户检查,正常的客户端用户权限极少改变,但是很多病毒和黑客的攻击很多是利用计算机上权限的变化实现的,计算机上权限的变化造成的危害往往是致命的,因此十分有必要对终端权限的变化进行监控,以告知终端用户和管理员。
(6)移动介质管理审计。移动存储介质管理系统以数据为中心,用户作为数据的使用者,主机作为数据的存储者,移动存储介质作为数据的迁移者,在系统范围内均赋予唯一的标识,三者进行相互认证。只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法存储介质上的数据,并形成详尽的日志供审计
2.2 其他底层信息防护措施的应用
(1)物理隔离。按照BMB17-2006标准,涉密系统不得直接或间接连入互联网,应实现物理隔离。南京涌新电子涉密信息系统为独立网络,与互联网物理隔离。在对涉密单机上部署主机监控与审计系统,禁止使用非授权的外设端口。
(2)访问控制。南京涌新电子内部涉密区域内均为涉密单机,所以访问控制主要集中在系统层的访问控制,即使用带USB-Key身份认证系统实现本地的访问控制;通过审计系统与安全策略关闭端口、服务;所有用户终端和服务器系统禁止远程访问控制。
(3)电磁泄漏防护。涉密办公室、重要保密部位等地点的最小不可控距离都较短,存在较大的电磁泄露的风险。因此,通过部署视频干扰器、红黑隔离插座,来屏蔽电磁泄漏发射的发生。
3 结束语
高校公共机房是面向高校学生开放的计算机机房,受众范围广,使用人数较多,同时不可避免的存在着一定的信息安全漏洞,因此需要对公共机房的计算机安全实施一定的信息安全措施。本论文针对现有的传统的计算机系统信息安全防护技术与措施,详细分析了传统技术方案在实际应用中所暴露出来的诸多不足,在此基础上重点探究了计算机底层保护技术,通过应用底层保护的新技术实现公共机房的计算机系统信息安全,对于将底层保护技术应用于其他涉密保密的场所,以及进一步提高我国计算机系统信息安全防护技术应用水平具有较好的指导和借鉴意义。
参考文献:
[1] 中华人民共和国建设部.GB50343一004.电子信息系统防雷设计规范[G].北京:中国建筑工业出版社,2004.
[2] 李景禄.现代防雷技术[M].北京:中国水利水电出版社,2009.
[3] 黄小华.智能化入侵检测与防御系统的设计实现[D].成都:电子科技大学,2005.
[4] 曾森灵.浅谈计算机病毒的查杀与防御[J].中小学电教报,2008(1).
[5] 李胜先,王全德.Windows下基于主机的访问控制研究与实现[J].微计算机信息,2005(27).
(责任编辑:杜能钢)
Research on Security Technology of Computer
System of Colleges Public Enginee Room
Abstract:Aiming at the information security requirements of the computer systems in the public enginee rooms of public colleges and universities, this paper discussed the applications of information security in the viewpoint of underlying protection technology. Firstly the existing computer information security technology were analyzed, of which o the basis, the underlying protection technology was analyzed in detail, and the information review mechanisim for computer terminal was established, which combined with some other underlying protection technologies, and the information security of computer low-level was realized. All this work is significative for enhancing the application level of information security and protection technology.
Key Words: Public Enginee Room; Computer System; Security Technology
相关热词搜索: 技术研究 计算机系统 机房 安全防护 高校