《信息安全问题》由会员分享,可在线阅读,更多相关《信息安全问题(14页珍藏版)》请在金锄头文库上搜索。
1、信息安全问题【篇一】当今,信息技术水平飞速发展,并且早已经渗入到各行各业,网络信息安全已经不仅仅只影响网络空间,对物理世界的企业生产、经营、技术等都有很大影响。信息技术可以助力企业升级转型,迅猛发展,同时也带来了新的问题-信息保密问题。尤其对于一些科技型公司,如果核心技术或者代码被泄露甚至可能使得企业陷入生死存亡之境。下面是企业中常见的信息安全问题:1、 公司往往对涉密设备与普通设备、涉密人员与普通人员的区分不够准确:要么采取一刀切,对整个公司或者整个部门都认为其实涉密人员或设备;要么是只着眼于眼前,对涉密人员和设备的变更不关注。2、 技术图纸的管控不到位:存在技术图纸随意复制;发出去的图纸不
2、及时收回的问题;打印的技术文档未及时取走或者没有销毁。3、 笔记本管控问题:公司配发的笔记本电脑存有涉密文档,然后笔记本电脑有交叉互相借用的情况;4、 人员离开电脑,电脑未及时锁屏;5、 系统密码管理问题:有的人将电脑与系统密码写在本子上甚至直接贴在电脑上;有的人密码过于简单、或者长期不更改密码;甚至有人会直接问他人要账号密码的。6、 打印机打印任务管控不严格:很多打印机拥有存储打印任务的功能,存在后面的使用者打印前一任务的问题存在。7、 系统漏洞严重:因为是公司内网,很多电脑更新补丁不方便,更有甚者,因为怕更新补丁引起业务系统不可用而拒绝更新补丁。8、 解密审批不严谨:解密审批做做样子,审批
3、员没有尽到一个审批员的职责。9、 服务器安全管理不规范:系统管理员为了管理方便,随意更改服务器安全补丁或者软件,安装来源不明的软件。公司对信息安全建设不可谓不重视,为了保密信息安全,公司已经采用了统一的域管理,安装了加密软件、网络准入软件,甚至采购了大量的网络安全设备:用网闸隔离内外网、加装多个防火墙防范网络攻击。但是信息安全检查下来,还是存在这么多的问题,甚至不限于这些问题,信息安全建设仍然任重而道远。【篇二】从信息安全问题的产生根源分析,大致可分为以下四点:1.矛盾的发展;矛盾是运动发展的,信息安全的问题产生折射出了信息技术的发展进程。对立统一规律认定:事物的存在体现在不停的运动之中,运动
4、发展即是矛盾的对立统一的问题。从哲学角度看,发展中的矛盾是永远存在的,否则便没有“发展”。人们努力的只能是按发展规律来预测未来事物的发展情况,尽力做些支持发展的事物,即发展较为顺利些而已!信息安全也是如此。2.利益做到知彼,即通过各种手段获取竞争对手的各种信息,这是取得胜利的关键因素。利益的涉及各个方面,国家间、企业间、竞争对手、还有黑产等等。3.技术科技发展不完备或差距导致信息安全问题人对科学技术的掌握是一个可持续的过程,这个过程不会一蹴而就,也不会完结。信息领域的科学问题同样遵循这种过程,因此在某时间区间内,信息技术上必然因不完善而造成技术使用者在安全方面遇到某种或多种问题。科学技术在人类
5、不同群体中掌握的程度不同、知识不对称是客观存在的事实,信息系统种类繁多,涉及很多不同的科技问题。因此对于信息技术来说,知识掌握落后、不完备、事先估计和应对状态、处置设定不充分的群体,这是各种信息安全问题的一个主要根源。4.人的因素工作时各种失误造成信息安全问题创造并使用信息系统,决定了信息系统也不可避免的会出现弱点、面对威胁缺乏信息安全意识,导致大量信息安全问题不同人群因为各种矛盾纠葛而故意破坏、影响对方的信息安全从单一局部分析,可分为以下三点:1.分层思想;各执其位,导致每职位人思想被局限该职位,其整个系统涉及到的所有东西整合起来可能存在安全隐患。其存在木桶原理,例如一个信息系统的安全,应该
6、涉及该信息系统的物理环境、网络架构、主机服务器、数据、应用系统、管理运维人员及使用人员等等。2.只最求功能实现;只追求功能的实现,而忽略安全。列如:登陆界面,没有使用验证码效验,可能存在被暴力破解的风险。3.最大的安全威胁是人。【篇三】信息安全的问题随着信息技术的发展而不断的蔓延发展,在整个信息技术领域中对于信息化的依赖性催生信息安全问题的复杂化和日益严峻。可以将信息安全问题划分为狭义和广义两层概念。对于狭义的信息安全而言,它是建立在以IT技术为主的安全范畴,是信息安全应用技术(最常见的是某种形式的汁算机系统),有时也被称为计算机安全。计算机不一定意味着家里的计算机终端。计算机是具有处理器和一
7、些存储器的任何设备,这样的设备可以从简单的无需联网的独立的设备(如计算器)到诸如智能手机、平板计算机等联网移动计算设备。由于数据的性质和价值,很多大型的组织机构都配置有信息安全专家,他们负责保护组织机构内的所有信息技术系统免受恶意网络攻击的威胁,这些攻击通常试图突破系统以获得关键的隐私信息或获得内部系统的控制权。信息保障提供信息的信任行为,使得信息的保密性,完整性和可用性(Conficlentiality、 Intergrity and Availability,CIA)没有被破坏。例如,确保在出现关键问题的时候数据不会丢失。这些问题包括但不限于:自然灾害、计算机服务器故障或物理盗窃等。由于大
8、多数信息存储在现代计算机上,信息保证通常由信息安全专家处理,例如提供信息保证的常见方法是在出现上述问题之一之前对数据进行异地备份。广义的信息安全是一个跨学科领域的安全问题。首先,安全的根本目的是保证组织业务可持续性运行,保证利益相关者生命、财产安全的延续。构成业务可持续性问题的不仅仅是信息技术,还包括与业务相关联的生产、财务、 人力资源、行政以及供应链等一系列的问题。在传统的意识中,不同的环节关注不同的元素,每个控制都只考虑本领域的控制问题,这使得安全本身被划分在不同的领域,如:生产安全、财务安全、人员安全等,但其本质是相同的。安全应该被相互融合以构成立体化的安全保障。其次,信息安全应该建立在
9、整个生命周期中所关联的人、事、物的基础上,综合考虑人、技术、管理和过程控制,使得信息安全不是一个局部而是一个整体。随着信息安全事件的泛滥和扩大,组织越来越意识到信息安全问题不仅仅是在某个阶段的问题,更不是纯粹的技术问题。历史事件表明,单纯地从某个层次考虑安全问题往往会带来致命的损害。第三,安全要考虑成本因素。财务成本是信息安全必须要考虑的问题,正如我们不会用价值数十万的保险箱去保管面值10元的货币一样。安全的成本该如何考核呢?首要的问题应该是作为安全管理人员,必须清晰地了解组织的资产财务成本、价值以及组织利用信息技术带来的收益情况。随着互联网的普及和发展,信息技术已经开始为组织带来直接的经济收
10、益,例如腾讯、百度、阿里等互联网公司,以及更多的依托互联网产业发展的P2P、020、 02B、移动互联网等产业也迅速发展起来。保护的成本必须和保护的资产价值形成有效的比率,这是财务风险中至关重要的一个环节。第四,随着对信息化的依赖,信息系统所维系的不仅仅是业务的支撑和辅助,而是业务的命脉。WEB2.0和互联网+的深入落实,整个业务被紧紧绑在信息系统之上,没有信息安全也就没有业务安全,业务流程本身的缺陷会直接导致信息安全问题的产生,而大量的业务绕行也为未授权的内部人员以及恶意外部人员所利用,因此,信息安全的管理者和操作者在实现安全的控制前提下,必须了解业务及流程,保障其最终所应该实现的业务安全。
11、3.信息安全问题的根源造成信息安全问题的因素很多,技术故障、骇客攻击、病毒、漏洞等因素都可以造成信息系统安全问题。从根源来说,信息安全问题可以归因于内因和外因。1)信息安全问题的内因内因方面主要是信息系统复杂性导致漏洞的存在不可避免,换句话说,漏洞是一种客观存在。这些复杂性包括过程复杂性,结构复杂和应用复杂等方面。2)信息安全问题的外因外因主要包括环境因素和人为因素。从自然环境的角度看,雷击、地震、火灾、洪水等自然灾害和极端天气也容易引发信息安全问题;从人为因素来看,有骇客、犯罪团伙、恐怖分子等多种,我们可以分为个人层面威胁、组织层面威胁和国家层面威胁三个层面,从所掌握的资源来看和具备的能力,
12、这三个层面依次递增。4.信息安全问题的特征1)系统的安全信息安全问题是复杂的。信息化发展以巨大的力量推动着人类社会生存方式的重大变革,这一变革使我们面对前所未有的复杂环境:一个无所不在、全球互联互通的国际化网络空间;无数广域覆盖的、大规模复杂专用网络信息系统;品种多样的海量计算设备与信息处理终端。在这个“人一机”、 “人一网”紧密结合的复杂系统中,某一分支或某一要害受到损害,均可能引发全局性的系统危机,从这个角度而言,我们不能孤立的从单一维度或者单个安全因素来看待信息安全,将之视为单纯的技术问题,或者管理问题,而是要系统地从技术、管理、工程和标准法规等各层面综合保障安全。2)动态的安全信息安全
13、问题具有动态性。首先,信息系统始于需求分析终止于废弃或者退役,具有“生命周期”的概念,在这整个生命周期中,信息安全需求、所面临的问题都是不一样的,因此,不能用固化的视角看待。其次,风险是动态变化的。新的漏洞被发现,新的攻击手段出现,都对系统的安全状况产生影响。另外,新的信息技术不断出现,例如云计算、物联网、三网融合等。这些新技术和新应用在带给人们便利的同时,也产生了各种新的安全风险和威胁。这都反映信息安全不能抱有一劳永逸的思想,而是以风险管理的思想,根据风险的变化,在信息系统的整个生命周期中采取相应的安全措施来控制风险。信息安全的动态特性决定了信息安全问题与实践密切相关。信息安全已经从病毒传播
14、、 骇客入侵、技术故障等局部性、个别性和偶发性的问题,逐步转变为网络犯罪,网络恐怖主义、网络战等,成为攻守双方在高新技术领域内展开的一场激烈较量。安全的动态性还需要关注组织业务的动态,组织的业务是在动态中发展,而由此产生的安全问题亦在改变。同时人的动态性也加剧了安全的复杂性,内部威胁带来的危害往往甚于外部的攻击。 “斯诺登事件”、 “维基解密”等都充分的暴露了组织内部威胁的重要影响。3)无边界的安全互联网是一个全球互联互通的国际化网络空间;信息化的重要特点是开放性和互通性,息关键基础设施都是广域覆盖的、大规模复杂的信息系统,往往与互联网通过各种方式连接,例如金融、税务、电子政务系统等。同时,各系统之间也日益互联互通;这使得来自信息安全威胁超越了现实地域的限制。互联网具有传播速度快、覆盖面广、隐蔽性强和无国界等特点,违法犯罪活动逐步向互联网渗透,利用网络进行各种破坏活动,造成信息安全问题的跨边界特点,这对安全保障提出了更高的要求。4)非传统的安全信息技术是上世纪最为重要的技术变革。与军事安全、政治安全等传统安全相比,有显著不同。国家没有受到武力进攻,国家领土和主权是完整的,但人们却感受到不安全;没有明确的敌对国家,人们却感受到威胁的存在。传统的维护安全的军事和治安手段,无法应对信息安全这种新事物,必须采用新的信息安全保障手段来治理互联网安全。
