《信息安全战-企业信息安全建设之道》由会员分享,可在线阅读,更多相关《信息安全战-企业信息安全建设之道(50页珍藏版)》请在金锄头文库上搜索。
1、 信息安全战企业信息安全建设之道提纲信息安全的涵义和事实当前安全现状分析信息系统的安全风险常见黑客攻击方法信息安全的涵义和事实信息系统的广泛应用社会发展的必然业务的发展和扩张网络信息的共享Internet上网生产、销售、管理、办公自动化可信网络系统的基本要求业务、应用功能的实现安全、可靠、稳定信息安全三要素Confidentiality:阻止未经授权的用户读取数据Integrity:阻止未经授权的用户修改或删除数据Availability:保证授权实体在需要时可以正常地使用系统员工和客户访问资源可用性客户和业务信息的保护机密性客户和业务信息的可信赖性完整性信息安全定义经典定义Confident
2、iality保密性:阻止未经授权的用户读取数据Integrity完整性:阻止未经授权的用户修改或删除数据Availability可用性:保证授权实体在需要时可以正常地访问 和使用系统多样化定义Accountability负责性:确保一个实体的访问动作可以被惟一 的区别、跟踪和记录Authenticity确实性:确认和识别一个实体就是其所声称的, 被认证的可以是用户、进程、系统和信息等Reliability可靠性:保证预期的行为和结果的一致性信息安全实际上是保护信息资产,防止不被窃取和破坏资产物理资产软件资产数据资产信息安全的基本特征相对性 只有相对的安全,没有绝对的安全系统时效性 新的漏洞与攻
3、击方法不断发现(NT4.0已 从SP1发展到SP6)配置相关性 日常管理中的不同配置会引入新的问题 (安全测评只证明特定环境与特定配置下 的安全) 新的系统组件会引入新的问题信息安全的基本特征攻击的不确定性 攻击发起的时间、攻击者、攻击目标和攻击发起 的地点都具有不确定性 复杂性信息安全是一项系统工程,需要技术的和非技术 的手段,涉及到安全管理、教育、培训、立法、 国际合作与互不侵犯协定、应急恢复等威胁永远不会消失国家间的竞争永远不会消失敌对势力永远不会消失企业间谍、恶意攻击者、纯 粹的偷窃者永远不会消失内部系统的误用、滥用问题 长期存在新的威胁不断出现使原有防 护措施失效产生新的威胁搜索引擎
4、Google查找“黑 客工具”有3,260,000 条 记录漏洞/薄弱点客观存在不可避免的因素技术发展的局限,系统在设计之初不能认识到所有问题Tcp/ip协议在开发过程中并未主要考虑安全问题人类的能力有限,失误和考虑不周在所难免操作系统和应用程序在编码过程中难免引入Bug没有避免的因素系统实施过程中采用了默认配置而未针对实际情况进行定制 和安全优化新的漏洞补丁跟踪、使用不及时拥有者的组织结构,管理和技术体系不够完善技术发展和环境变化使网络安全处于动态之中资产面临风险成为必然资产是有价的资产被薄弱点暴露给威 胁威胁针对薄弱点给资产 带来影响威胁和薄弱点的增加导 致资产安全风险的增加信息系统的风险
5、管理RISKRISKRISKRISKRISKRisk风险的构成风险的降低资产资产威胁威胁脆弱性资产资产威胁威胁脆弱性脆弱性信息安全管理由于许多信息系统并非在设计时就考虑了 安全,依靠技术手段实现安全很有限,则 应该由适当的管理来支持。信息安全管理是通过保证维护信息的机密 性、完整性和可用性来管理和保护组织的 所有信息资产的一项体制。保护和管理的对象人内部员工、外部客户、服务供应商、产品供 应商等。物网络设备、系统主机、工作站、PC机等;业务系统、应用系统等;商业涉密数据、个人隐私数据、文档数据 等。信息安全的事实安全是一个广泛的主题,它涉及到许多不同的区 域(物理设备、网络、系统平台、应用程序
6、等) ,每个区域都有其相关的风险、威胁及解决方 法。对于连网的企业组织来说风险与威胁是没有终止 的。信息安全是一个动态发展的过程,不仅仅是 纯粹的技术,仅仅依赖于安全产品的堆积来应对 迅速发展变化的各种攻击手段是不能持续有效 的。信息安全建设是一项复杂的系统工程,要从 观念上进行转变,规划、管理、技术等多种因素 相结合使之成为一个可持续的动态发展的过程。信息安全的事实安全是一个广泛的主题,它涉及到许多不同的区 域(物理设备、网络、系统平台、应用程序等) ,每个区域都有其相关的风险、威胁及解决方 法。对于连网的企业组织来说风险与威胁是没有终止 的。信息安全是一个动态发展的过程,不仅仅是 纯粹的技
7、术,仅仅依赖于安全产品的堆积来应对 迅速发展变化的各种攻击手段是不能持续有效 的。信息安全建设是一项复杂的系统工程,要从 观念上进行转变,规划、管理、技术等多种因素 相结合使之成为一个可持续的动态发展的过程。信息安全的事实绝对的信息安全是不存在的,每个网络环境都 有一定程度的漏洞和风险。这种程度是可以接 受的。信息安全问题的解决只能通过一系列的 规划和措施,把风险降低到可被接受的程度, 同时采取适当的机制使风险保持在此程度之 内。当信息系统发生变化时应当重新规划和实 施来适应新的安全需求。信息系统的安全往往取决于系统中最薄弱的环 节-人。人是信息安全中最关键的因素,同时也 应该清醒的认识到人也
8、是信息安全中最薄弱的 环节。当前安全现状分析安全现状随着金融电子化和网络化的巨大发展,传统的 封闭性的业务网络将逐渐与公开网络相融合或 连接,在这种情况下,如何保障业务网络的安 全性成为信息安全的重要问题。计算机产业的发展,网络知识的普及特别是 Internet的广泛应用,为计算机网络和金融犯罪 创造了更先进的技术条件,因此原有的安全设 计已不能完全满足现有的安全需求,信息安全 的风险增高了。安全现状针对互联网的应用目前还缺乏有效的安全措施 和手段,影响了信息系统通过互联网对外提供 服务的范围和种类。只重视单一或几个安全产品的部署,而忽视 整体安全系统建设;部分企业信息系统的安全防范只能防范外
9、部 的非法入侵者,不能监控内部的破坏者;只能消极地发现黑客攻击的后果,而不能主 动、智能地对黑客进行反攻击;只能采用分散的、不可集中管理的安全产品 ,而不能采用全面的、集中的安全管理平 台。 安全现状管理部门众多,没有统一的标准,人才不够等 情况也是整个信息安全产业健康发展的制约因 素。建立完善的信息安全体系,既要有适应社 会信息化安全管理的配套政策、法律、法规和 技术标准,又要有先进实用的技术手段,还要 有大量的专门人才。安全现状兼职的安全管理员物理安全保护基本的安全产品简单的系统升级机房安全管理制度资产管理制度 安全现状空口令、简单口令、默认口令设置、长期不 更换;点击进入危险的网站或链接
10、;接收查看危险的电子邮件附件;系统默认安装,从不进行补丁升级;拨号上网,给个人以及整个公司建立了后门 ;启动了众多的不用的服务;个人重要数据没有备份; 安全现状总结(1)没有有效、独立的安全管理组织,安全管理人 员不足,岗位权责不明确,不能有效实施和执 行某些安全措施。总部信息技术中心虽专设负 责公司的信息安全工作的岗位,但由于公司组 织结构和信息网络的庞大性特点,使得安全管 理员不能全权、有效地形成对整个组织自上到 下的全面安全管理。 安全现状总结(2)缺乏一套完善、统一的安全策略和安全管理制度 ,更缺乏对安全制度执行情况的严格管理。公司 总部虽然有了一套管理制度,但涉及全部内部员 工的条款
11、很少,更不能形成对下级组织的有力约 束,安全管理的内容也很少,大部分员工甚至不 知道具体内容是什么,也没有对其遵守和执行的 情况进行监督的任何措施,因此公司在制度约束 方面是安全管理中欠缺比较严重的部分。 安全现状总结(3)员工缺乏基本的安全意识,特别是下级组织的员 工等,没有进行统一的、系统的安全培训和学习 的机会。由于员工对发生安全问题后造成的后果 不负任何责任,从而也就不能有效的督促员工提 高自己的安全意识,最终形成恶性循环,导致员 工不能严格遵循公司的安全管理制度,个人电脑 的密码设置非常脆弱甚至是空口令,经常上一些 危险的网站,接收危险的电子邮件,不能定期升 级系统安全补丁,更缺乏一
12、些基本的安全防护意 识和发现解决某些常见安全问题的能力。 安全现状总结(4)缺乏一套有效的安全预警体系。虽然公司在信息 系统内安装了防火墙、防病毒系统等安全产品, 用于监控和防护内部和外部的不安全活动,但由 于最新漏洞被利用的快速性、安全问题出现的偶 然性、安全事件处理的复杂性以及产品规则库升 级的滞后性,使得安全管理员不可能及时的发现 网络系统存在的最新漏洞,也就不可能有效的实 现全网的安全预防工作,相反只能事事被动,等 问题发生了再去找解决问题的方法,从而给公司 带来很多不必要的损失。 安全现状总结(5)缺乏一套完善的监控体系。网络系统与Internet相 连处虽然部署了防火墙等访问控制产
13、品,但对于 透过防火墙渗透进来的入侵行为,或者公司内部 的恶意入侵行为并没有很好的监控手段,从而使 得当有安全事件发生时,不能及时的进行防护。安全现状总结(6)缺乏一套充分、完善的应急体系和快速的响应流 程。公司并没有建立自己的应急体系,对于各种 可能发生的安全事故,没有定义负责处理的人 员、相应的最佳解决处理方案、可能造成的风险 等。另外,公司也缺乏一套有效、快速地安全问 题响应流程,特别是对于托管机房、下级组织业 务系统等远程网络的故障,总部不能快速进行本 地支持,更缺乏有一个有效的安全事件上报、传 递、沟通、响应的通道。历来的各种安全事件发 生后,公司都由于缺乏处理某些经常发生事件的 能
14、力事事被动,从而延误了事件处理的时间,造 成很多不必要的损失。安全现状总结(7)缺乏安全产品的集中统一管理。由于网络系统的 扩大化,对安全产品的需求也越来越多,但是安 全管理岗位数量的有限性,必然导致放松对安全 产品的管理,安全管理员不可能实时登录查看各 种安全产品的应用状况和报警信息,某些安全产 品由于不能与互联网通信、甚至使用周期太长导 致不能定期在线更新,使其不能监控和查找最新 的安全问题,实现其最佳的安全功效。 统计数据在信息业高达发达的美国,在最近一次对600名 CIO的调查表明: 将近三分之二(66%)没有完整的安全政策 ;只有不到三分之一(32%)要求员工熟悉安 全政策与指南;只
15、有23%公司的员工得到过信息安全的培 训。在国内,50%企业对信息安全的理解还只停留 在技术层面上,以为企业外部网建立了防火墙 能防黑客,内部网能杀病毒就达到安全要求 了。统计数据57%疏忽造成的事故24%外部的恶意攻击11%设备故障3% 软件错误5% 其他不容争辩的事实超过70%的信息安全事件,如果事先加强 管理,都可以得到避免;“三分技术,七分管理”。信息系统的安全风险面临的威胁合法用户的威胁:是指拥有合法授权的用户因在系 统管理方面的错误或疏忽造成系统破坏的可能性。滥用授权错误操作操作行为抵赖面临的威胁非法用户的威胁:是指非授权用户或低权限用户越 权对系统造成破坏的可能性。内部员工的越权
16、访问外部攻击者的恶意入侵数据的窃听和破坏恶意代码的破坏物理破坏面临的威胁系统组件的威胁:是指信息系统的硬件或软件发生 意外故障的可能性。系统设备意外故障通讯中断软件意外失效物理环境的威胁:是指由于环境因素造成系统破坏 的可能性。电源中断灾难安全事件一:数据资产的窃取2001年12月,烟台市人民检察院依法对涉嫌伪造有价票 证的犯罪嫌疑人乔XX批准逮捕,乔XX利用到某电信公司 维护通信设施之机,通过修改数据库伪造200电话卡 10000张,给电信公司造成20余万元的经济损失。2002年,中国公安部曾经破获一起不法分子利用黑客手 段在银行的网银服务器中植入“木马”程序,窃取了多 家银行和证券客户的账号、密码信息进行诈骗的案件, 涉案金额达80多万元。2003年2月,美国一名电脑黑客攻破了一家负责代表商 家处理Vis
