信息系统安全防护的重要性.docx

1、信息系统安全防护的重要性信息系统平安建立重要性1.信息平安建立的必然性随着信息技术日新月异的开展，近些年来，各企业在信息化应用和要求方面也在逐步提高，信息网络覆盖面也越来越大，网络的利用率稳步提高。利用计算机网络技术与各重要业务系统相结合，可以实现无纸办公。有效地提高了工作效率，如外部门户系统、部系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等。然而信息化技术给我们带来便利的同事，各种网络与信息系统平安问题也主见暴露出来。信息平安是企业的保障，是企业信息系统运作的重要局部，是信息流和资金流的流动过程，其优势表达在信息资源的充分共享和运作方式的高效率上，其平安的重要

2、性不言而喻，一旦出现平安问题，所有的工作等于零，2.重要信息系统的主要平安隐患及平安防的突出问题依据信息平安事件发生后对重要系统的业务数据平安性和系统效劳连续性两个方面的不同后果，重要信息系统频发的信息平安事件按其事件产生的结果可分为如下四类：数据篡改、系统入侵与网络攻击、信息泄露、管理问题。2.1数据篡改导致数据篡改的平安事件主要有一下集中情况：2.1.1管理措施不到位、防技术措施落后等造成针对静态网页的数据篡改据平安测试人员统计，许多的网页是静态页面，其的后台管理及页面发布界面对互联网开放，测试人员使用简单的口令暴力破解程序就破解了后台管理的管理员口令，以管理员身份登录到页面发布系统，在这

3、里可以进展页面上传、删除等操作。如果该的后台管理系统被黑客入侵，整个的页面都可以被随意修改，后果十分严重。一般导致静态网页被篡改的几大问题为：1)后台管理页面对互联网公开可见，没有启用加密措施对其实施隐藏保护，使其成为信息被入侵的重要入口；2)后台管理页面没有平安验证机制，使得利用工具对登录页面进展管理员账户口令暴力破解成为可能；3)后台管理页面登陆口令强度偏弱，使暴力软件在有限的时间就猜解出了管理员账户口令；4)没有使用网页防篡改产品，使得网页被篡改后不能及时发现问题并复原网页。2.1.2 程序漏洞、配置文件不合理等造成针对动态网页、数据库的篡改经过平安测试人员的统计，大局部存在SQL 注入

4、。SQL注入并不是唯一的网页程序平安漏洞、配置文件不合理问题而导致的。由此，一般导致重要信息系统动态网页、数据库篡改的几大问题，分别是：1)存在SQL注入点，使攻击者可以利用该漏洞得知数据库的根本信息；2)使用第三方开源软件，未进展严格的代码审查，致使软件中存在的漏洞信息可以被攻击者轻易获得；3)数据库配置文件的配置不合理，是攻击者可以遍历到整个文件目录，进而找到后台管理页面；4)后台管理页面使用默认登录名和口令，使攻击者可以轻易上传后门程序，并最终利用后门程序控制整个、篡改数据。2.1.3平安意识淡薄、管理层措施不到位等造成部人员篡改数据部人员篡改数据往往是由于平安意识淡薄、管理层措施不到位

5、等问题造成的。总结出重要信息系统中，导致部人员篡改数据的几大问题：1)数据库访问权限设置不合理，没有划分角色，没有根据不同角色分配不同权限，导致用户可越权访问数据库；2)平安审计和监控不到位。部人员实施犯罪的过程没有被平安审计系统捕捉，到时候无法追查。在犯罪实施过程中也没有很好的监控机制对犯罪行为进展监控，不能及时阻断进一步的犯罪行为，因此造成了更严重的后果；3)人员离职后没有及时变更系统口令等相关设置，也没有删除与离职人员相关的账户等。2.1.4 软件代码平安造成软件产品漏洞或后门平安隐患软件产品漏洞或后门平安隐患往往是由于软件代码平安等问题造成的。一般在重要信息系统中导致软件产品漏洞或后门

6、平安隐患的几大问题是：1)软件设计阶段没有考虑来自互联网的平安威胁；2)软件开发阶段缺少针对源代码平安质量的监控；3)软件在交付使用前没有进展源代码平安分析。2.2系统入侵与网络攻击导致系统入侵与网络攻击的平安事件主要有以下几种情况：2.2.1技术手段落后造成针对系统的远程节点的入侵目前任然有重要系统效劳器的管理员使用Telnet远程登录协议来维护系统，有的管理员甚至将效劳器的Telnet远程登录协议端口映射到外网，以便自己在家中就能维护效劳器和网络设备。而针对系统的远程节点入侵的几大问题，分别是：1)使用明文传输的远程登录软件；2)没有设置平安的远程登录控制策略。2.2.2保护措施不到位造成

7、针对公共的域名劫持由于系统或保护措施不到位，导致域名被劫持。特别是政府、大型门户、搜索引擎成为了域名劫持的主要对象。针对公共的域名劫持往往是由于保护措施不到位等问题造成的。总结出重要信息系统中，针对大型公共的域名劫持的几大问题，它们是：1)域名提供商的程序有漏洞；2)域名注册信息可见，特别是用于域名更改确实认可见。这也是重大平安问题。一旦这个账户被劫持，就可以冒充合法用户修改域名。223抗DOoS攻击的平安措施不到位造成针对公共效劳被DDoS攻击缺少专门针对DDoS攻击的技术段等现象在所测评的信息系统中普遍存在。有些系统甚至没有冗余带宽和效劳器。其中发现，许多重要信息系统是单链路；20的重要信

8、息系统效劳器没有冗余或集群；即便是在正常访问突发的情况下也会造成系统可用性的下降，更不要说承受来自黑客组织的DDoS攻击了。总结出重要信息系统中，针对公共效劳被DDoS攻击的几大问题，它们是：1)缺少专门的针对抗DDoS攻击的平安措施；2)网络带宽及效劳器冗余缺乏。2.3信息泄漏导致信息泄漏的平安事件主要有以下几种情况：2.3.1软件漏洞和平安意识淡薄造成的部信息泄露部信息泄露往往是由于软件漏洞和平安意识淡薄等问题造成的。总结出重要信息系统中，导致部信息泄露的几大问题：1)没有及时删除测试用户账户，且测试账户的口令强度很弱；2)使用存在平安漏洞的第三方系统；3)系统没有做平安加固；4)系统使用

9、者平安意识淡薄，对部文件信息不加密。2.3.2终端平安问题造成互联网终端用户个人或部文件信息泄露1)专机不专用，没有为专门任务配置专用终端；2)网络划分不合理，重要管理终端所在分区不在专网。跨网段管理存在巨大平安风险；3)终端管理技术手段不完备，使终端操作系统平安风险较高；4)平安意识淡薄，对部信息保管不善。2.4管理问题在信息平安领域有句话叫“三分技术，七分管理，如果没有科学完备的一整套管理体系支撑，技术也发挥不了它应有的作用。管理问题主要有以下几种情况：1)管理制度不落实造成工作流程不规；2)管理措施不配套造成管理效能未达预期效果；3)应急预案可操作性差造成平安事件处置不当。综上所述，管理

10、体系的建立健全，是一个系统而庞大的工程。这需要多方配合和努力。一个好的管理体系可以支撑甚至弥补技术措施的欠缺。3.从信息平安等级保护方面加强信息平安3.1 信息平安技术层面3.1.1物理方面物理平安保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存数数据的介质等免受物理环境、自然灾难，以及人为操作失误和恶意操作等各种威胁所产生的攻击。物理平安是防护信息系统平安的最底层，缺乏物理平安，其他任何平安措施都是毫无意义的。根据自然灾害可能因对火、水、电等控制不当或因人为因素而导致的后果，物理平安要求包括了针对人员威胁的控制要求如物理访问控制、防盗窃和防破坏、电磁防护等，以及针对自然环境

11、威胁的控制要求如防火、防水、防雷击等。3.1.2 网络方面网络平安为信息系统在网络环境的平安运行提供支持。一方面，确保网络设备的平安运行，提供有效的网络效劳；另一方面，确保在网上传输数据的性、完整性和可用性等。由于网络环境是抵御外部攻击的第一道防线，因此必须进展各方面的防护。对网络平安的保护，主要关注两个方面：共享和平安。开放的网络环境便利了各种资源之间的流动、共享，但同时也翻开了“罪恶的大门。因此，必须在二者之间寻找恰当的平衡点，是的在尽可能平安的情况下实现最大程度的资源共享，这是实现网络平安的理想目标。由于网络具有开放等特点，相比其他方面的平安要求，网络平安更需要注重整体性，及要求从全局平

12、安角度关注网络整体构造和网络边界网络边界包括外部边界和部边界，也需要从局部角度关注网络设备自身平安等方面。网络平安要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设别、平安设备等的网络管理机制提供的功能来满足。对局域网平安的要求主要通过采用防火墙、入侵检测系统、恶意代码防系统、边界完整性检查系统及平安管理中心等平安产品提供的平安功能来满足。而构造平安是不能够由任何设备提供的，它是对网络平安构造设计的整体要求。3.1.3主机平安主机是由效劳器、终端/工作站等引硬件设备与设备运行的操作系统、数据库系统及其他系统级软件共同构成。主机平安要求通过操作系统、数据库管理系统及其他平安软件包括

13、防病毒、防入侵、木马检测等软件实现了平安功能来满足。信息系统的效劳器按其功能划分，可分为应用效劳器、数据库效劳器、平安效劳器、网络管理效劳器、通信效劳器、文件效劳器等多种效劳器。终端可分为管理终端、业务中断、办公终端等。主机是网络上的单个节点，因此主机平安是分散在各个主机系统上的，不像网络平安需要考虑平安功能的整体效果。3.1.4 应用平安应用平安是继网络、主机系统的平安防护之后，信息系统整体防御的最后一道防线。但应用系统平安与网络、主机平安不同，应用系统一般需要根据业务流程、业务需求由用户定制开发。因此，应用系统平安的实现机制更具灵活性和复杂性。应用系统是直接面向最终的用户，为用户提供所需的

14、数据和处理相关信息、因此应用系统可以提供更多与信息保护相关的平安功能。应用平安要求通过应用系统、应用平台系统等实现的平安功能来满足。如果应用系统是多层构造的，一般不同层的应用都需要实现同样强度的身份鉴别，访问控制、平安审计、剩余信息保护及资源控制等，但通信性、完整性一般在同一个层面实现。3.1.5数据平安及备份恢复信息系统处理的各种数据用户数据、系统数据、业务数据等在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏泄露、修改、毁坏，都会在不同程度上造成影响，从而危害到系统的正常运行。由于信息系统的各个层面网络、主机系统、应用等都对各类数据进展传输、存储和处理，因此对数据的保护需要物理环境

15、、网络、数据库和操作系统、应用程序等提供支持。3.2信息平安管理方方面3.2.1平安管理制度在信息平安中，最活泼的因素是人，对人的管理包括法律、法规与政策的约束、平安指南的帮助、平安意识的提高、平安技能的培训、人力资源管理措施以及企业文化的熏，这些功能的实现都是以完备的平安管理政策和制度为前提。这里所说的平安管理制度包括信息平安工作的总体方针、政策和规，各种平安管理活动的管理制度，以及管理人员或操作人员日常的操作规程。平安管理制度的制定与正确实施西信息系统平安管理起着非常重要的作用，不仅促使全体员工参与到保证信息平安的行动中来，而且能有效降低由于管理实务所造成的对系统平安的损害。通过制定平安管

16、理制度，能够使责权明确，保证工作的规性和可操作性。3.2.2平安管理机构平安管理的重要事实条件就是要建立一个统一指挥、协调有序、组织有力的平安管理机构，这是信息平安管理得以实施、推广的根底。通过构建从单位信息平安决策层、到管理层及执行层或具体业务运营层的组织体系，明确各个岗位的平安职责，为平安管理提供组织上的保证。3.2.3人员平安管理人员是信息平安中最关键的因素，同时也是信息平安中最薄弱的环节。很多重要的信息系统平安问题都涉及用户、涉及人员、实施人员，以及管理人员。如果这些人员有关的平安问题没有得到很好的解决，任何一个信息系统都不可能到达真正的平安。只有对人员进展了正确、完善的管理，才有可能

17、降低人为错误、盗窃、诈骗和误用设备而引发的风险，从而减小信息系统因人员错误而造成损失的概率。3.2.4系统建立管理信息系统的平安管理贯穿系统的整个生命周期，系统建立管理主要关注的是生命周期中的前三个阶段即初始、采购、实施中的各项平安管理活动。系统建立有其自身的规律性，需要经历信息系统工程的必要过程，?根本要求?对系统建立管理的要求就是以这些工程过程为主线，增加了按等级保护管理引入的系统定级、定级备案和等级测评等属于国家管理要求的环节，其他环节服从系统工程的一般规律。信息系统在建立过程中，要经过系统定级、方案设计、产品采购、软件开发、工程实施、测试验收、系统交付等假设干阶段，每个阶段都涉及很多活动，只有对这些活动实施科学和规的管理，才能保证系统建立的进度和质量。3.2.5系统运维管理当信息系统建立完成且投入运行之后，接下来的工作就是如何维护和管理信息系统了。系统运行设计很多管理方面，主要包括系统的环境和相关资源的管理、系统运行过程中个组件的维护和监控管理、网络和系统的平安管理、密码管理、系统变更的管理、恶意代码防护管理、平安世家处置以及应急响应管理等。同时，还要监控系统由于一些原因发生的重大变化，平安措施也要进展相应的修改，以维护系统始终处于相应平安保护等级的平安状态中。对系统实施有效、完善的维护管理是保证系统运行阶段平安的根底。