会计电算化环境下企业内部安全防范及内控管理
出处:论文网
时间:2007-04-02
3.人员管理。计算安全的保障是与操作人员的安全素质、安全知识、技术水平密不可分的,重视对人员的管理才能保证计算机的安全。(1)系统管理员的安全培训。系统管理员担负着系统维护和安全监督的责任,因此系统管理员的安全培训工作十分重要,只有系统管理员的安全意识提高,系统管理员的技术水平增强,对系统了然于胸,才能有效地对付各类非法入侵和维护系统的正常运行。(2)操作人员的安全教育。普通的业务操作人员的安全教育也很重要,人人都应重视计算机的安全,严格按照计算机系统的操作规程工作,计算机的安全才有保证。(3)机房实行出入登记制度或IC卡房门管理。机房作为重要的机要场所,放置着许多重要的电脑设备如系统服务器、网络通信设备、局域网接线机柜等,因此要有一套严格的机房管理制度,并实行出入登记制度或IC卡房门管理制度,以保障的机房的安全。
三、常见计算机攻击技术分析
古人云:知己知彼,百战不殆。我们必须了解计算机入侵的攻击技术,才能更好地防范计算机犯罪。有人认为,内部人员技术水平太高了,就有可能发生内部作案事件,其实这是十分片面的。我们看到,大部分的内部作案事件实际上并不是利用很高的技术,而是利用内部管理上的漏洞得逞的,只要加强管理控制(当然包括技术上的如密码的控制),就可大大减少内部作案的情况。而在网络化的当今,外部作案才是防不胜防,只有内部技术人员的水平提高了,才能在防范电脑安全方面走在前面。实际上,大多数的电脑攻击者并非天才,他们大都利用一些别人使用过的并在安全领域广为人知的技术和工具,如STAN、ISS到各类实用短小的网络监听工具。在互联网上,这些工具比比皆是。下面列举分析一些常见的计算机攻击行为。
1.口令攻击。口令攻击是最直接的入侵方式。当用户未设置口令或是十分简单的口令时,就大大增加了攻击的成功率。在企业内部经常使用的UNIX操作系统中,用户的口令以加密的形式存在放在/etc/passwd或者是/etc/shadow文件中,非法用户可能利用匿名ftp或趁操作员离开工作台之机获取密码文件,然后使用一些口令分析程序进行破译。实际上,UNIX系统加密所用的cryptO函数是基于数据加密标准(DES)的,从数学原理上可以保证从加密的密文得到加密前的明文是不可能的或非常困难的。但是,用户常常选择一些容易猜测的口令,从而给入侵者开了方便之门,破译者把常用的单词和数字组合作为一个字典文件,然后对字典文件进行加密并与密文对照,从而获得用户口令,因此一个好的口令是十分重要的。上述两个存放口令的文件是攻击者的首要目标,早期的UNIX版本口令密文就放在/etc/passwd中,而该文件对所有用户都是可读的,危险性较大,新版的UNIX一般把口令密文放在/etc/shadow中,该文件对普通用户是不可读写的,安全性有所提高,但应注意系统管理员的口令安全。
口令破解的另一种方法是网络监听,在下文中将有叙述。
在企业内部,容易发生口令疏忽的地方有:UNIX主机操作员(包括系统管理员)的口令未设或不牢固、路由设备如CISCO路由器未更改初始密码、业务系统的单一密码多人保管制度、对外部参与维护的电脑公司人员所掌握的口令缺乏管理等。对付口令攻击的防范措施:设置好的口令、限制口令文件的读取权限、通讯加密、不定时更换口令,当然最重要的是加强用户的口令管理意识对经常的检查制度。
2.程序攻击。程序攻击就是利用不良的程序或系统程序的错误进行的攻击。下面列举一些常用的程序攻击行为。(1)病毒和蠕虫。我们对病毒都已经并不陌生,从早期的大麻病毒、雨点病毒、黑色星期五病毒到大名鼎鼎的CIH病毒、美丽杀手病毒,各类的病毒层出不穷,给计算机系统造成了极大的破坏。病毒其实是一些程序,它常常修改计算机中的另一些正常程序,并把自己复制到其他程序的代码中,通过修改其他程序的执行流程,以实现自己的隐藏、复制、传播和发作。病毒一般分为引导型病毒、文件型病毒和宏病毒(实际上就是一种特殊的文件型病毒)。现有的病毒绝大多数都是DOS和WINDOWS操作系统下的病毒,这与DOS与WINDOWS对用户权限和系统资源的管理较薄弱有关。对付病毒最有效的办法就是对所有外来程序进行检测、定时查毒、安装防毒程序、加强软件管理等。蠕虫与病毒不同,它是一种可以在网络上不同主机之间传播而不修改目标主机上的其他程序的一类程序,它不一定破坏任何软件和硬件,但其通过在计算机网络之间的不断传播和扩张而严重消耗系统资源和带宽,使系统不胜负荷甚至崩溃。最有名的蠕虫当属1988年由莫里斯释放的Internet蠕虫。(2)特洛伊木马技术。特洛伊木马程序是指那些表面上执行正常指令,而实际上隐藏着一些破坏性的指令,当不小心让这种程序进入系统,就有可能给系统带来危害。特洛伊木马程序常常在用户不知情的情况下拷贝文件或窃取密码。在UNIX系统中,制造一个特洛伊马木程序,即更换常用的一些系统程序和命令,是很容易的事。因此对这类威胁,我们要做好防范工作,首先离开电脑终端时应及时退出注册,系统管理员应定时扫描分析。此外还应了解一些对付特洛伊木马的方法,如数字签名技术、Tripwire工具等。(3)利用处理程序错误的攻击。这种攻击是利用处理程序中存在的错误进行的攻击,由于这类攻击大都可以通过网络发动,给系统安全造成了较大的危害。目前在网上已有一些补丁程序用来对付这类攻击,安装一个PC防火墙也可以有效地防止这类攻击。
3.缓冲区溢出。在许多操作系统和应用软件中,都普遍存在一种非常危险的安全漏洞,这就是缓冲区溢出。对付缓冲区溢出攻击,系统管理员必须经常检查系统的BUG,注意电脑厂商的最新消息,及时安装系统补丁程序,并在编程中对字符串进行操作时注意对字符串长度的检查,以免产生的漏洞。
4.拒绝服务的攻击。拒绝服务的攻击有两种类型:一是试图去破坏或毁坏资源而使无人可以使用该资源,如切断电源或网络线路、删除文件、格式化磁盘等。二是过载一些系统服务或者消耗一些资源,如填满磁盘空间。
5.其他攻击,如电子邮件攻击、IP欺骗等。
参考文献:
1.杨翠环.企业内部网的构建、管理及安全.职业时空,2004(6)
2.邓长红,邓金娥.论会计电算化的安全问题及其管理对策.科技创业月刊,2004(12)
3.刘波.筑起计算机安全保密“防火墙”.武汉金融,2004(12)
4.赵绍光.论当今我国会计电算化应用的问题与对策.中国管理信息化,2004(12)
- 上一篇:对会计电算化信息资源共享的思考
- 下一篇:论会计电算化环境下的会计档案职能
