電腦安全
出自 MBA智库百科(https://wiki.mbalib.com/)
電腦安全(Computer Security)
目錄 |
什麼是電腦安全[1]
電腦安全是指為數據處理系統建立和採取的安全保護,它保護電腦硬體、軟體和數據不因偶然和惡意的原因而遭到破壞、更改和泄露。
電腦安全的內容[2]
1、電腦安全層次
一切影響電腦安全的因素和保障電腦安全的措施都是電腦安全研究的內容。電腦安全概念的層次可由4個部分組成。
①實體安全。實體安全指系統設備及相關設施運行正常,系統服務安全有效。
②數據安全。數據安全指系統擁有和產生的數據或信息完整、有效,使用合法,不被破壞或泄露。
③軟體安全。軟體安全是軟體完整無損。
④運行安全。運行安全指資源和信息資源使用合法。
2、電腦安全內容
①電腦安全技術。
②電腦安全產品。
③電腦犯罪與偵查。
④電腦安全監察。
⑤電腦安全管理。
⑥電腦安全法律。
⑦電腦安全理論與政策。
電腦安全的機制[2]
電腦安全有5個機制,組成一個完整的邏輯結構,缺一不可。要實現電腦安全,必須圍繞這5個方面去做工作。
(1)威攝。警告或提醒人們不要做有害於電腦安全之事,否則就會受到法律製裁。
(2)預防。防止並能阻止不法分子利用電腦或對電腦資產的危害。
(3)檢查。能查出系統安全隱患,查明已發生的各種事件的原因,包括犯罪案件的偵破。
(4)恢復。系統發生意外事件或事故從而導致系統中斷或數據受損後,能在較短時間進行恢復。
(5)糾正。能及時堵塞漏洞,落實安全措施。
電腦安全的常見威脅[3]
一、錯誤和遺漏
錯誤和遺漏是數據和系統完整性的重要威脅,這些錯誤不僅由每天處理幾百條交易的數據錄入員造成,創建和編輯數據的任何類型的用戶都可以造成。許多程式,特別是那些被設計用來供個人電腦用戶使用的程式缺乏質量控制手段。但是,即使是最複雜的程式也不可能探測到所有類型的輸入錯誤或遺漏。良好的意識和培訓項目可以幫助機構減少錯誤和遺漏的數量及嚴重程度。
二、欺詐和盜竊
電腦系統會受到欺詐和盜竊的傷害,這種傷害可以是通過“自動化”了的傳統手段進行,也可以是通過新的手段進行。例如,有人可能會使用電腦在大型賬戶中稍微減少一小部分數量的金錢,期望這個微小的差異不會被調查。金融系統不是這種風險的惟一受害者。
控制資源訪問的系統(如時間和考勤系統、存貨系統、學籍系統以及長途電話系統)都可能成為受害者。
三、員工破壞
員工最熟悉其雇主的電腦和應用,包括知道何種行為會導致最大的損害、故障或破壞。
公共和私營機構中人員的不斷縮減造成有一些人對整個機構都很熟悉,這些人可能會保留潛在的系統訪問權(如系統賬戶沒有被及時刪除)。從數量上看,員工破壞事件比盜竊事件要少,但是這種事件造成的損失卻很高。
四、喪失物理和基礎設施的支持
喪失基礎設施的支持包括電力故障(中斷、瞬間高壓和電壓不足)、喪失通信能力、水的中斷和泄漏、下水管道問題、缺乏運輸服務、火災、洪水、國內混亂和罷工。這些損害包括如美國世貿中心爆炸和芝加哥隧道洪水這樣的激烈事件,也包括像水管破裂這樣的普通事件。
基礎設施的喪失通常導致系統停機,有時結果是無法預料的。例如,在暴風雪的天氣下員工無法上班,而電腦系統依然在工作。
五、有害黑客
有害黑客這一術語,有時被稱為黑客,是指未經授權侵入電腦的人。他們可以是外部人也可以是內部人。黑客的威脅應該被認為是過去的或未來潛在的損害。雖然目前由黑客造成的損失遠小於由內部盜竊和破壞造成的損失,但是黑客問題分佈廣泛而且情況嚴重。有害黑客行為的一個例子就是直接對公共電話系統的破壞。
六、工業間諜
工業間諜是指從私營企業或政府收集專有數據以達到協助其他公司的行為。工業間諜行為可能是公司為了提高自身的競爭力或政府為了幫助其國內企業所為。由政府派出的外國工業間諜通常被稱為經濟間諜。因為信息通常在電腦系統中進行處理和存儲,所以電腦安全可以幫助防範這種威脅;但是,這無法減少由於授權的員工出賣信息而造成的威脅。
七、有害代碼
有害代碼是指病毒、蠕蟲、特洛伊木馬、邏輯炸彈和其他“不受歡迎的軟體”。有時人們會錯誤地認為這些只與個人電腦有關,事實上有害代碼可以攻擊其他平臺。
八、外國政府間諜
在有些場合,可能會出現外國政府情報部門造成的威脅。除了可能的經濟間諜之外,外國情報部門可能會為了進一步的情報工作而瞄準非保密系統。有些非保密信息可能對其有價值,如高官的旅行計劃、國內防衛和應急準備情況、製造技術、衛星數據、人事和工資數據以及執法、調查和安全文件。具有管轄權的安全官員可以提供有關處理此類威脅的指導。
九、對個人隱私的威脅
政府、信用局和私人公司積累了大量的關於個人的電子信息,結合電腦監控、處理和聚集大量關於個人信息的能力形成了對個人隱私的威脅。這些信息和技術結合的可能性越來越成為現代信息時代的隱憂。
這通常被稱為“獨裁大哥”。為了防範此類侵害,在過去的很多年中,美國國會頒佈了法律,如1974年隱私法案、1988年電腦匹配和隱私法案,它定義了政府所收集的個人信息的合法使用界限。