《信息系统安全系统防护地重要性.docx》由会员分享,可在线阅读,更多相关《信息系统安全系统防护地重要性.docx(10页珍藏版)》请在金锄头文库上搜索。
1、合用标准信息系统安全建设重要性1. 信息安全建设的必然性随着信息技术日异月新的发展,近些年来,各企业在信息化应用和要求方面也在渐渐提高,信息网络覆盖面也越来越大,网络的利用率稳步提高。利用计算机网络技术与各重要业务系统相结合,能够实现无纸办公。有效地提高了工作效率,如外面门户网站系统、内部网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等。可是信息化技术给我们带来便利的同事,各种网络与信息系统安全问题也主见裸露出来。信息安所有是企业的保障,是企业信息系统运作的重要部分,是信息流和资本流的流动过程,其优势表现在信息资源的充分共享和运作方式的高效率上,其安全的重要性
2、不言而喻,一旦出现安全问题,所有的工作等于零,2. 重要信息系统的主要安全隐患及安全防范的突出问题依照信息安全事件发生后对重要系统的业务数据安全性和系统服务连续性两个方面的不同样结果,重要信息系统频发的信息安全事件按其事件产生的结果可分为以下四类:数据篡改、系统入侵与网络攻击、信息泄露、管理问题。2.1数据篡改致使数据篡改的安全事件主要有一下集中情况:2.1.1管理措施不到位、防范技术措施落后等造成针对静态网页的数据篡改据安全测试人员统计,好多网站的网页是静态页面,其网站的后台管理及页面宣布界面对互联网开放,测试人员使用简单的口令暴力破解程序就破解了后台管理的管理员口令,以管理员身份登录到页面
3、宣布系统,在这里能够进行页面上文档合用标准传、删除等操作。若是该网站的后台管理系统被黑客入侵,整个网站的页面都可以被随意更正,结果十分严重。一般致使静态网页被篡改的几大问题为:1) 后台管理页面对互联网公开可见,没有启用加密措施对其推行隐蔽保护,使其成为信息被入侵的重要入口;2) 后台管理页面没有安全考据体系,使得利用工具对登录页面进行管理员账户口令暴力破解成为可能;3) 后台管理页面登陆口令强度偏弱,使暴力软件在有限的时间内就猜解出了管理员账户口令;4) 没有使用网页防篡改产品,使得网页被篡改后不能够及时发现问题并还原网页。程序漏洞、配置文件不合理等造成针对动向网页、网站数据库的篡改经过安全
4、测试人员的统计,大部分网站存在SQL注入。SQL注入其实不是唯一的网页程序安全漏洞、配置文件不合理问题而致使的。由此,一般致使重要信息系统动向网页、网站数据库篡改的几大问题,分别是:1) 存在SQL注入点,使攻击者能够利用该漏洞得知网站数据库的基本信息;2) 使用第三方开源软件,未进行严格的代码审查,致使软件中存在的漏洞信息能够被攻击者轻易获得;3) 网站数据库配置文件的配置不合理,是攻击者能够遍历到整个网站文件目录,进而找到后台管理页面;4) 后台管理页面使用默认登录名和口令,使攻击者能够轻易上传后门程序,并最后利用后门程序控制整个网站、篡改网站数据。文档合用标准2.1.3安全意识冷淡、管理
5、层措施不到位等造成内部人员篡改数据内部人员篡改数据经常是由于安全意识冷淡、管理层措施不到位等问题造成的。总结出重要信息系统中,致使内部人员篡改数据的几大问题:1) 数据库接见权限设置不合理,没有划分角色,没有依照不同样角色分配不同样权限,致使用户可越权接见数据库;2) 安全审计和监控不到位。内部人员推行犯罪的过程没有被安全审计系统捕捉,到时候无法追查。在犯罪推行过程中也没有很好的监控体系对犯罪行为进行监控,不能够及时阻断进一步的犯罪行为,因此造成了更严重的结果;3) 人员离职后没有及时更正系统口令等相关设置,也没有删除与离职人员相关的账户等。软件代码安全造成软件产品漏洞或后门安全隐患软件产品漏
6、洞或后门安全隐患经常是由于软件代码安全等问题造成的。一般在重要信息系统中致使软件产品漏洞或后门安全隐患的几大问题是:1) 软件设计阶段没有考虑来自互联网的安全威胁;2) 软件开发阶段缺少针对源代码安全质量的监控;3) 软件在交付使用前没有进行源代码安全解析。2.2系统入侵与网络攻击致使系统入侵与网络攻击的安全事件主要有以下几种情况:2.2.1技术手段落后造成针对系统的远程节点的入侵目前任然有重要系统服务器的管理员使用Telnet远程登录协议来保护系统,有的管理员甚至将服务器的Telnet远程登录协议端口照射到外网,以便自己在家中就能保护服务器和网络设备。而针对系统的远程节点入侵的几大问题,分别
7、文档合用标准是:1) 使用明文传输的远程登录软件;2) 没有设置安全的远程登录控制策略。2.2.2保护措施不到位造成针对公共网站的域名挟持由于系统或网站保护措施不到位,致使域名被挟持。特别是政府网站、大型门户网站、搜寻引擎成为了域名挟持的主要对象。针对公共网站的域名挟持经常是由于保护措施不到位等问题造成的。总结出重要信息系统中,针对大型公共网站的域名挟持的几大问题,它们是:1) 域名供应商的程序有漏洞;2) 域名注册信息可见,特别是用于域名更正确实认邮件可见。这也是重要安全问题。一旦这个邮件账户被挟持,就可以冒充合法用户更正网站域名。223抗DOoS攻击的安全措施不到位造成针对公共服务网站被D
8、DoS攻击缺少特地针对DDoS攻击的技术段等现象在所测评的信息系统中宽泛存在。有些系统甚至没有冗余带宽和服务器。其中发现,好多重要信息系统是单链路;20 的重要信息系统服务器没有冗余或集群;即即是在正常接见突发的情况下也会造成系统可用性的下降,更不要说承受来自黑客组织的DDoS攻击了。总结出重要信息系统中,针对公共服务网站被DDoS攻击的几大问题,它们是:1) 缺少特地的针抗衡DDoS攻击的安全措施;2) 网络带宽及服务器冗余不足。2.3信息泄露致使信息泄露的安全事件主要有以下几种情况:文档合用标准2.3.1软件漏洞和安全意识冷淡造成的内部邮件信息泄露内部邮件信息泄露经常是由于软件漏洞和安全意
9、识冷淡等问题造成的。总结出重要信息系统中,致使内部邮件信息泄露的几大问题:1) 没有及时删除测试用户账户,且测试账户的口令强度很弱;2) 使用存在已知安全漏洞的第三方邮件系统;3) 邮件系统没有做安全加固;4) 邮件系统使用者安全意识冷淡,对内部文件信息不加密。2.3.2终端安全问题造成互联网终端用户个人或内部文件信息泄露1) 专机不专用,没有为特地任务配置专用终端;2) 网络划分不合理,重要管理终端所在分区不在专网内。跨网段管理存在巨大安全风险;3) 终端管理技术手段不齐全,使终端操作系统安全风险较高;4) 安全意识冷淡,对内部信息保留不善。2.4管理问题在信息安全领域有句话叫“三分技术,七
10、分管理”,若是没有科学齐全的一整套管理系统支撑,技术也发挥不了它应有的作用。管理问题主要有以下几种情况:1) 管理制度不落实造成工作流程不规范;2) 管理措施不配套造成管理效能未达预期收效;3) 应急方案可操作性差造成安全事件办理不当。综上所述,管理系统的成立健全,是一个系统而弘大的工程。这需要多方配合和努力。一个好的管理系统能够支撑甚至填充技术措施的欠缺。文档合用标准3. 从信息安全等级保护方面加强信息安全3.1信息安全技术层面物理方面物理安全保护的目的主若是使存放计算机、网络设备的机房以及信息系统的设备和存数数据的介质等免受物理环境、自然灾害,以及人为操作失误和恶意操作等各种威胁所产生的攻
11、击。物理安所有是防范信息系统安全的最基层,缺少物理安全,其他任何安全措施都是毫没心义的。依照自然灾害可能因对火、水、电等控制不当或因人为因素而致使的结果,物理安全要求包括了针对人员威胁的控制要求(如物理接见控制、防盗窃和防破坏、电磁防范等),以及针对自然环境威胁的控制要求(如防火、防水、防雷击等)。网络方面网络安全为信息系统在网络环境的安全运行供应支持。一方面,保证网络设备的安全运行,供应有效的网络服务;另一方面,保证在网上传输数据的保密性、完满性和可用性等。由于网络环境是抵挡外面攻击的第一道防线,因此必定进行各方面的防范。对网络安全的保护,主要关注两个方面:共享和安全。开放的网络环境便利了各
12、种资源之间的流动、共享,但同时也打开了“罪恶”的大门。因此,必定在二者之间搜寻合适的平衡点,是的在尽可能安全的情况下实现最大程度的资源共享,这是实现网络安全的理想目标。由于网络拥有开放等特点,对照其他方面的安全要求,网络安全更需要侧重整体性,及要求从全局安全角度关注网络整体结构和网络界线(网络界线包括外部界线和内部界线),也需要从局部角度关注网络设备自己安全等方面。文档合用标准网络安全要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设别、安全设备等的网络管理体系供应的功能来满足。对局域网安全的要求主要经过采用防火墙、入侵检测系统、恶意代码防范系统、界线完满性检查系统及安全管理中心
13、等安全产品供应的安全功能来满足。而结构安所有是不能够够由任何设备供应的,它是对网络安全结构设计的整体要求。主机安全主机是由服务器、终端/工作站等引硬件设备与设备内运行的操作系统、数据库系统及其他系统级软件共同构成。主机安全要求经过操作系统、数据库管理系统及其他安全软件(包括防病毒、防入侵、木马检测等软件)实现了安全功能来满足。信息系统内的服务器按其功能划分,可分为应用服务器、数据库服务器、安全服务器、网络管理服务器、通佩服务器、文件服务器等多种服务器。终端可分为管理终端、业务中断、办公终端等。主机是网络上的单个节点,因此主机安所有是分别在各个主机系统上的,不像网络安全需要考虑安全功能的整体收效。应用安全应用安所有是继网络、主机系统的安全防范此后,信息系统整体防守的最后一道防线。但应用系统安全与网络、主机安全不同样,应用系一致般需要依照业务流程、业务需求由用户定制开发。因此,应
