谈计算机安全相关的四个问题
自从ERP的第一个定义出现已经有10年多的历史,随着计算机与通信技术、电子技术等信息技术的发展,使得ERP的功能和管理思想得到了不断的延伸与发展,比如通过信息网络实现了企业整个供应链的整合与统一,由此可见网络与信息的重要性。正如未来学家ALVIN TOFFLEN所说”谁掌握了信息,控制了网络,谁就拥有了整个世界。“但是互联过程中的信息网络必须是安全的,否则就为他人所用。所以网络安全问题已经成为ERP发展的一个重大瓶颈。
针对我国的现实情况以及面对世界科技的迅速发展与信息战的异常激烈,目前我国的计算机安全面临着三大瓶颈:国外CPU芯片、国外的操作系统和数据库、国外的网络管理软件;以及四大公害:计算机恐怖、计算机犯罪、计算机病毒和“黑客”。要想真正解决网络安全的问题,我们应该从计算机安全的法规制定、网络安全、操作系统与数据库安全、计算机病毒和“黑客”等方面来了解它的现状与发展。
法规制定通常说,三分技术,七分管理。各国对计算机的安全管理都十分重视。根据有关资料介绍,80%网络安全事件来自内部,而不是外部攻击;在一些“黑客”的成功入侵中,90%是利用内部人员的麻痹大意。所以防止白领内部人员犯罪是十分重要的。
美国在制定计算机安全法规方面是走在前面的。在1985年美国国防部国家计算机安全中心制定出版了可信计算机安全评估标准,即著名的“桔皮书”(ORANGEBOOK)。给计算机系统安全定义了七个安全级别,从最高级A,最低级D。A级提供核查保护,只适用于军用计算机。B级为一套强制访问控制规则。B级又细分为B1、B2、B3三个等级。B1表示被标签的安全性,B2表示结构化保护,B3表示安全域。C级为酌情保护,C级又细分为C1、C2两个级别。C1是酌情安全保护,C2是访问控制保护。
为了使网络安全的系统和数据库来应用“桔皮书”的标准,美国国防部国家安全计算机中心又制定了三个解释性文件:可信网络解释、计算机安全子系统解释和可信数据库解释。这样便形成了美国计算系统安全评估标准系统―――彩虹系列(RAINBOWSERIES)。美国国会计987年通过《计算机安全保密法案》,于88年实施。以后美国又制定了一系列计算机安全方面的法规。为对抗黑客攻击,美国2000年又出台了一套计算机安全标准和相应的软件,该软件能检测计算机安全漏洞并提供解决方案。
日本、欧盟、俄罗斯、加拿大等国也相继出台了一系列关于计算安全方面的法规。我国政府和有关部门对计算机安全的法规制定一直十分重视。2002年九届人大常委会计9次仁义通过《关于维护互连网安全的决定》,有关部门也制定了《计算机保护条例》等法规文件。
网络安全1、三维网络安全结构要想实现网络的安全我们就应该了解网络的安全体系结构,中国网络之父----胡道元教授倡导的“三维计算机网络信息系统安全体系结构,具有普遍的指导意义。其结构图如下:
2、防火墙安全防火墙是将网络内部可信区域与外部危险区域进行有效隔离,为网络世界提供保护的装置。它扮演的角色就是网络中的“交通警察“,它不但指挥网上信息有序、安全地传输,而且也处理网上”交通事故“。
目前,防火墙主要分为包过滤型、应用网关型、服务代理型和状态检测型等类型,以包过滤最为普遍。现在防火墙发展已到第五代,采用立体防护体系和宽带化是今后防火墙发展方向和趋势。如组合型防火墙技术既防外又防内),灵活配置功能模块相结合(审计、认证、检测、防病毒等)。
另外,由于防火墙系统因有人在内部拨号上网而使门户大开,所以引入了嵌入型防火墙:为每道门都配把锁。现在也有一些国家采取了“黑匣子“技术来弥补防火墙的不足。即向用户询问进入密码,查对核实,对于合法用户才能进入,”不速之客,拒之门外“。
3、网上应用系统的安全随着电子政务、电子商务、电子金融、电子税务的发展,网上应用系统的安全问题内容和范围越来越广,以电子商务为例做一个简要介绍:
电子商务具有便捷、高效的优点。但安全问题则是制约电子商务发展的核心和关键问题。
(1)电子商务的安全要求
电子商务应该具有保密性,防止非法截获;具有匿名性,防止交易过程跟踪,确保隐私;具有完整性,防止信息改变,丢失;具有可靠性,交易者身份的合法性与可靠;具有抗否认性,保证行为不可否认性;具有有效性,对网络故障、计算机病毒等产生的潜在威胁能加以控制,保证交易数据的有效性等安全特性。
(2)电子商务的安全体系
电子商务的安全体系由网络服务层(安全监控、内容识别等)、加密技术层(对称或非对称加密)、认证层(数字签名等)、安全协议层(划分界定消费者等的权利与义务关系)、应用系统层(上面提到的安全要求)
目前客户关系管理中的在线销售问题已经有了数字认证和信息加密等一定的方法。然而整个供应链一体化中的所有交易和信息传输问题还需要不断地完善与提高,同时相应的法律和法规建设也应该被提到日程上。只有这样才能实现ERP系统的内外供应链的完全整合与统一。
操作系统和数据库安全操作系统的安全操作系统是计算机用户和计算机硬件之间的接口程序,是计算机网络信息系统安全的基础。
美国国防部“桔皮书”将达到B级标准的操作系统称为安全操作系统。我国2001年1月1日起实施的《计算机信息系统安全保护等级划分准则》中把安全等级分为五级(取消美国的最高、最低两级):用户自主保护级、系统审计保护级、安全标准保护级、结构化保护级、访问验证保护级。通过此准则等级的划分能够使我国的安全操作系统具有自主版权,必须通过国家的权威机构的测评和认证。
而WINDOWS95/98是为家庭和个人用户设计的,几乎没有安全机制;WINDOWS NT具有权限控制、身份认证、审计等功能,因而有一定的安全性;WINDOWS2000具有数据、通信安全、安全登录以及易用和良好扩展性的安全管理,所以在WINDOWS NT基础上安全性又有了提高;而WINDOWS XP在稳定性、灵活与安全方面有比WINDOWS2000有所提高,是目前为止运行速度最快、兼容性最好、安全功能较全的WINDOWS操作系统。然而对我国来说却没有自主的操作系统,这就给我国的信息化发展带来了致命的隐患。因此我们在产品选型时,由于安全性与实用性的互相制约,要根据不同的安全需求选择不同的安全操作系统。
数据库系统的安全
(1)安全性要求因为数据库中的数据是为企业的管理活动服务的,我们必须对数据库的完整性、可靠性、有效性、保密性、可审计性、存取控制与用户身份鉴别等方面提出安全性要求。
同时因数据库中存储的信息长短、时间不一,特别是数据仓库与数据挖掘技术的运用,要想满足数据的安全性要求,我们的密钥保存时间也应该视信息的生命周期而定,因此数据库系统中的密钥也要分多级进行管理:用户级密钥、数据库级密钥、记录(域)级密钥等。因此数据库系统密钥的产生、更换与管理由为复杂。
(2)数据库安全策略对数据库中数据的不同用处和存取权限,我们采用不同的安全策略。
A、最小特权策略:将信息局限在确定的需要的人群范围内,即将可能产生的信息泄露限制在最小范围内。
B、最大共享策略:在保密前提下,最大限度地利用数据库信息,实现系统与系统的信息完全互联与交换。
C、开放与封闭策略:通过开放来进行非禁止下数据的访问;通过封闭来实现只有授权的用户才能访问的方法。
D、访问控制策略:明确用户可访问的数据库实体,在数据一定范围内共享的基础上,实现数据的安全控制。E、 信息等级策略:信息除了按使用类别分类外,还要分为不同的等级:普通秘密、机密、绝密。等级高的含有等级低的数据,低级别不能访问高级别;写入时,等级高的信息不能写入等级低的用户数据。
四、黑客与计算机病毒俗话说:“道高一尺,魔高一丈”,我们即使考虑以上所有的安全问题,但是也不能完全防范一些“不法分子”的侵入和破坏。最为典型的是黑客与计算机病毒问题。
1、(黑客HACKEN)
“HACKEN”一词是开始电脑迷的意思,现在则泛指计算网络信息系统进行非授权访问的人员。
随着国际互连网的广泛应用,现代黑客一般分为三类:一是初级黑客,出于好奇,追逐刺激,试探性地对网络进行攻击;二是高水平黑客,出于利益驱动,有针对性地攻击网络;三是职业黑客,有的就是恐怖分子或是政治、军事、经济情报间谍,攻击具有很大的破坏性、隐藏性。
现在黑客事件层出不穷,黑客网站、黑客教程、黑客软件到处可见。黑客的攻击能力从开始的猜测口令、破坏口令发展到拥有自动扫描和匹配口令,隐形诊断,使用信息包进行电子欺骗和图形界面分析工作。
面对黑客威胁,很多也采取了一些应对措施。例如,对黑客攻击的方法建立系统入侵检测系统和访问控制系统;研究网络攻击的实时响应模型和攻击源的反向追踪问题;研究系统快速恢复技术、残余信息恢复技术和备份恢复技术;建立衫的灾难实时恢复机制等。
2、计算机病毒计算机病毒是依附在计算机程序中,破坏计算正常运行并能自我繁衍的一种有害程序。
自从1984年,科学家佛瑞德、科亨第一次提出计算机病毒这一概念到如今历史并不长,但计算机病毒对人类构成的危害却越来越大。由于病毒程序的编制相对比较容易,所以现在全球平均每年有300多种病毒出现,并且以前电脑病毒通过软盘传播,良性病毒多,而现在是以通过电子邮件、浏览网站、下载文件来传播病毒,不但快和广,且恶性多。
同时,黑客和病毒“结盟”的发展趋势也越来越明显。即通过黑客程序植入病毒,通过病毒程序满足欲望是它们“结盟”的动因。
随着病毒技术的发展,那么反病毒技术也出现了一些新发展,比如:研究病毒植入与反植入技术来产生病毒“免疫“技术和通过反病毒软件的监控和防范技术等。但是由于有的病毒是不需要文件载体的,传统的反病毒软件无法进行监控和防范。于是为病毒防范带来了新的课题。同时移动平台和在线信息处理的不断扩大,出现了移动政务、移动商务等移动式应用软件。这些都将使我们不得不关注移动平台和在线管理的安全问题。
综上所述,我们在考虑ERP系统的设计与实施的过程中,我们不能仅仅从管理理念上和功能讨论ERP的发展。我想我们更应该对ERP的信息传送过程中的安全性问题产生高度重视,只有信息安全条件下的供应链一体化的ERP系统才是相对完善的ERP系统。
本文由小小站长http://www.sh-banzheng.cn/转载。请保留链接。谢谢。
