2022年信息系統(tǒng)安全防護的重要性

1、信息系統(tǒng)安全建設重要性1.信息安全建設的必然性隨著信息技術日新月異的發(fā)展， 近些年來，各企業(yè)在信息化應用和要求方面也在逐步提高， 信息網(wǎng)絡覆蓋面也越來越大，網(wǎng)絡的利用率穩(wěn)步提高。 利用計算機網(wǎng)絡技術與各重要業(yè)務系統(tǒng)相結合，可以實現(xiàn)無紙辦公。 有效地提高了工作效率，如外部門戶網(wǎng)站系統(tǒng)、內部網(wǎng)站系統(tǒng)、辦公自動化系統(tǒng)、營銷管理系統(tǒng)、配網(wǎng)管理系統(tǒng)、 財務管理系統(tǒng)、 生產管理系統(tǒng)等。 然而信息化技術給我們帶來便利的同事， 各種網(wǎng)絡與信息系統(tǒng)安全問題也主見暴露出來。信息安全是企業(yè)的保障，是企業(yè)信息系統(tǒng)運作的重要部分，是信息流和資金流的流動過程， 其優(yōu)勢體現(xiàn)在信息資源的充分共享和運作方式的高效率上，其安全的

2、重要性不言而喻， 一旦出現(xiàn)安全問題，所有的工作等于零，2.重要信息系統(tǒng)的主要安全隱患及安全防范的突出問題依據(jù)信息安全事件發(fā)生后對重要系統(tǒng)的業(yè)務數(shù)據(jù)安全性和系統(tǒng)服務連續(xù)性兩個方面的不同后果， 重要信息系統(tǒng)頻發(fā)的信息安全事件按其事件產生的結果可分為如下四類：數(shù)據(jù)篡改、系統(tǒng)入侵與網(wǎng)絡攻擊、信息泄露、管理問題。2.1 數(shù)據(jù)篡改導致數(shù)據(jù)篡改的安全事件主要有一下集中情況：2.1.1 管理措施不到位、 防范技術措施落后等造成針對靜態(tài)網(wǎng)頁的數(shù)據(jù)篡改據(jù)安全測試人員統(tǒng)計， 許多網(wǎng)站的網(wǎng)頁是靜態(tài)頁面， 其網(wǎng)站的后臺管理及頁面發(fā)布界面對互聯(lián)網(wǎng)開放， 測試人員使用簡單的口令暴力破解程序就破解了后臺管理的管理員口令， 以

3、管理員身份登錄到頁面發(fā)布系統(tǒng)，在這里可以進行頁面上傳、刪除等操作。 如果該網(wǎng)站的后臺管理系統(tǒng)被黑客入侵，整個網(wǎng)站的頁面都可以被隨意修改，后果十分嚴重。一般導致靜態(tài)網(wǎng)頁被篡改的幾大問題為：1)后臺管理頁面對互聯(lián)網(wǎng)公開可見，沒有啟用加密措施對其實施隱藏保護，使其成為信息被入侵的重要入口；2)后臺管理頁面沒有安全驗證機制，使得利用工具對登錄頁面進行管理員賬戶精品學習資料 可選擇p d f - - - - - - - - - - - - - - 第 1 頁，共 8 頁 - - - - - - - - -口令暴力破解成為可能；3)后臺管理頁面登陸口令強度偏弱，使暴力軟件在有限的時間內就猜解出了管理員賬戶

4、口令；4)沒有使用網(wǎng)頁防篡改產品，使得網(wǎng)頁被篡改后不能及時發(fā)現(xiàn)問題并還原網(wǎng)頁。2.1.2 程序漏洞、配置文件不合理等造成針對動態(tài)網(wǎng)頁、網(wǎng)站數(shù)據(jù)庫的篡改經過安全測試人員的統(tǒng)計，大部分網(wǎng)站存在sql 注入。sql 注入并不是唯一的網(wǎng)頁程序安全漏洞、 配置文件不合理問題而導致的。由此，一般導致重要信息系統(tǒng)動態(tài)網(wǎng)頁、網(wǎng)站數(shù)據(jù)庫篡改的幾大問題，分別是：1)存在 sql 注入點，使攻擊者可以利用該漏洞得知網(wǎng)站數(shù)據(jù)庫的基本信息；2)使用第三方開源軟件，未進行嚴格的代碼審查，致使軟件中存在的漏洞信息可以被攻擊者輕易獲得；3)網(wǎng)站數(shù)據(jù)庫配置文件的配置不合理，是攻擊者可以遍歷到整個網(wǎng)站文件目錄，進而找到后臺管理頁

5、面；4)后臺管理頁面使用默認登錄名和口令，使攻擊者可以輕易上傳后門程序，并最終利用后門程序控制整個網(wǎng)站、篡改網(wǎng)站數(shù)據(jù)。2.1.3 安全意識淡薄、管理層措施不到位等造成內部人員篡改數(shù)據(jù)內部人員篡改數(shù)據(jù)往往是由于安全意識淡薄、管理層措施不到位等問題造成的?？偨Y出重要信息系統(tǒng)中，導致內部人員篡改數(shù)據(jù)的幾大問題：1)數(shù)據(jù)庫訪問權限設置不合理，沒有劃分角色，沒有根據(jù)不同角色分配不同權限，導致用戶可越權訪問數(shù)據(jù)庫；2)安全審計和監(jiān)控不到位。內部人員實施犯罪的過程沒有被安全審計系統(tǒng)捕捉，到時候無法追查。在犯罪實施過程中也沒有很好的監(jiān)控機制對犯罪行為進行監(jiān)控，不能及時阻斷進一步的犯罪行為，因此造成了更嚴重的后

6、果；3)人員離職后沒有及時變更系統(tǒng)口令等相關設置，也沒有刪除與離職人員相關的賬戶等。2.1.4 軟件代碼安全造成軟件產品漏洞或后門安全隱患精品學習資料 可選擇p d f - - - - - - - - - - - - - - 第 2 頁，共 8 頁 - - - - - - - - -軟件產品漏洞或后門安全隱患往往是由于軟件代碼安全等問題造成的。一般在重要信息系統(tǒng)中導致軟件產品漏洞或后門安全隱患的幾大問題是：1)軟件設計階段沒有考慮來自互聯(lián)網(wǎng)的安全威脅；2)軟件開發(fā)階段缺少針對源代碼安全質量的監(jiān)控；3)軟件在交付使用前沒有進行源代碼安全分析。2.2 系統(tǒng)入侵與網(wǎng)絡攻擊導致系統(tǒng)入侵與網(wǎng)絡攻擊的安全

7、事件主要有以下幾種情況：2.2.1 技術手段落后造成針對系統(tǒng)的遠程節(jié)點的入侵目前任然有重要系統(tǒng)服務器的管理員使用telnet遠程登錄協(xié)議來維護系統(tǒng)，有的管理員甚至將服務器的telnet遠程登錄協(xié)議端口映射到外網(wǎng)， 以便自己在家中就能維護服務器和網(wǎng)絡設備。 而針對系統(tǒng)的遠程節(jié)點入侵的幾大問題，分別是：1)使用明文傳輸?shù)倪h程登錄軟件；2)沒有設置安全的遠程登錄控制策略。2.2.2 保護措施不到位造成針對公共網(wǎng)站的域名劫持由于系統(tǒng)或網(wǎng)站保護措施不到位，導致域名被劫持。 特別是政府網(wǎng)站、 大型門戶網(wǎng)站、搜索引擎成為了域名劫持的主要對象。針對公共網(wǎng)站的域名劫持往往是由于保護措施不到位等問題造成的。總結出

8、重要信息系統(tǒng)中， 針對大型公共網(wǎng)站的域名劫持的幾大問題，它們是：1)域名提供商的程序有漏洞；2)域名注冊信息可見，特別是用于域名更改的確認郵件可見。這也是重大安全問題。一旦這個郵件賬戶被劫持，就可以冒充合法用戶修改網(wǎng)站域名。2 2 3 抗 doos 攻擊的安全措施不到位造成針對公共服務網(wǎng)站被ddos攻擊缺少專門針對 ddos 攻擊的技術段等現(xiàn)象在所測評的信息系統(tǒng)中普遍存在。有些系統(tǒng)甚至沒有冗余帶寬和服務器。其中發(fā)現(xiàn)，許多重要信息系統(tǒng)是單鏈路；20的重要信息系統(tǒng)服務器沒有冗余或集群；即便是在正常訪問突發(fā)的情況下也會造成系統(tǒng)可用性的下降， 更不要說承受來自黑客組織的ddos 攻擊了。總結出重要信息

9、系統(tǒng)中，針對公共服務網(wǎng)站被ddos 攻擊的幾大問題，它們是：精品學習資料 可選擇p d f - - - - - - - - - - - - - - 第 3 頁，共 8 頁 - - - - - - - - -1)缺少專門的針對抗ddos 攻擊的安全措施；2)網(wǎng)絡帶寬及服務器冗余不足。2.3 信息泄漏導致信息泄漏的安全事件主要有以下幾種情況：2.3.1 軟件漏洞和安全意識淡薄造成的內部郵件信息泄露內部郵件信息泄露往往是由于軟件漏洞和安全意識淡薄等問題造成的?？偨Y出重要信息系統(tǒng)中，導致內部郵件信息泄露的幾大問題：1)沒有及時刪除測試用戶賬戶，且測試賬戶的口令強度很弱；2)使用存在已知安全漏洞的第三方

10、郵件系統(tǒng)；3)郵件系統(tǒng)沒有做安全加固；4)郵件系統(tǒng)使用者安全意識淡薄，對內部文件信息不加密。2.3.2 終端安全問題造成互聯(lián)網(wǎng)終端用戶個人或內部文件信息泄露1)專機不專用，沒有為專門任務配置專用終端；2)網(wǎng)絡劃分不合理，重要管理終端所在分區(qū)不在專網(wǎng)內。跨網(wǎng)段管理存在巨大安全風險；3)終端管理技術手段不完備，使終端操作系統(tǒng)安全風險較高；4)安全意識淡薄，對內部信息保管不善。2.4 管理問題在信息安全領域有句話叫“三分技術，七分管理”，如果沒有科學完備的一整套管理體系支撐， 技術也發(fā)揮不了它應有的作用。 管理問題主要有以下幾種情況：1)管理制度不落實造成工作流程不規(guī)范；2)管理措施不配套造成管理效

11、能未達預期效果；3)應急預案可操作性差造成安全事件處置不當。綜上所述，管理體系的建立健全， 是一個系統(tǒng)而龐大的工程。 這需要多方配合和努力。一個好的管理體系可以支撐甚至彌補技術措施的欠缺。3.從信息安全等級保護方面加強信息安全3.1 信息安全技術層面精品學習資料 可選擇p d f - - - - - - - - - - - - - - 第 4 頁，共 8 頁 - - - - - - - - -3.1.1 物理方面物理安全保護的目的主要是使存放計算機、網(wǎng)絡設備的機房以及信息系統(tǒng)的設備和存數(shù)數(shù)據(jù)的介質等免受物理環(huán)境、自然災難，以及人為操作失誤和惡意操作等各種威脅所產生的攻擊。 物理安全是防護信息系

12、統(tǒng)安全的最底層，缺乏物理安全，其他任何安全措施都是毫無意義的。根據(jù)自然災害可能因對火、水、電等控制不當或因人為因素而導致的后果，物理安全要求包括了針對人員威脅的控制要求（如物理訪問控制、 防盜竊和防破壞、電磁防護等），以及針對自然環(huán)境威脅的控制要求（如防火、防水、防雷擊等） 。3.1.2 網(wǎng)絡方面網(wǎng)絡安全為信息系統(tǒng)在網(wǎng)絡環(huán)境的安全運行提供支持。一方面，確保網(wǎng)絡設備的安全運行，提供有效的網(wǎng)絡服務； 另一方面，確保在網(wǎng)上傳輸數(shù)據(jù)的保密性、完整性和可用性等。 由于網(wǎng)絡環(huán)境是抵御外部攻擊的第一道防線，因此必須進行各方面的防護。對網(wǎng)絡安全的保護，主要關注兩個方面：共享和安全。開放的網(wǎng)絡環(huán)境便利了各種資源

13、之間的流動、共享，但同時也打開了“罪惡”的大門。因此，必須在二者之間尋找恰當?shù)钠胶恻c，是的在盡可能安全的情況下實現(xiàn)最大程度的資源共享，這是實現(xiàn)網(wǎng)絡安全的理想目標。由于網(wǎng)絡具有開放等特點， 相比其他方面的安全要求， 網(wǎng)絡安全更需要注重整體性，及要求從全局安全角度關注網(wǎng)絡整體結構和網(wǎng)絡邊界（網(wǎng)絡邊界包括外部邊界和內部邊界），也需要從局部角度關注網(wǎng)絡設備自身安全等方面。網(wǎng)絡安全要求中對廣域網(wǎng)絡、 城域網(wǎng)絡等通信網(wǎng)絡的要求由構成通信網(wǎng)絡的網(wǎng)絡設別、安全設備等的網(wǎng)絡管理機制提供的功能來滿足。對局域網(wǎng)安全的要求主要通過采用防火墻、 入侵檢測系統(tǒng)、 惡意代碼防范系統(tǒng)、 邊界完整性檢查系統(tǒng)及安全管理中心等安全

14、產品提供的安全功能來滿足。而結構安全是不能夠由任何設備提供的，它是對網(wǎng)絡安全結構設計的整體要求。3.1.3 主機安全主機是由服務器、終端 /工作站等引硬件設備與設備內運行的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)及其他系統(tǒng)級軟件共同構成。主機安全要求通過操作系統(tǒng)、 數(shù)據(jù)庫管理精品學習資料 可選擇p d f - - - - - - - - - - - - - - 第 5 頁，共 8 頁 - - - - - - - - -系統(tǒng)及其他安全軟件（包括防病毒、防入侵、木馬檢測等軟件）實現(xiàn)了安全功能來滿足。信息系統(tǒng)內的服務器按其功能劃分，可分為應用服務器、 數(shù)據(jù)庫服務器、安全服務器、網(wǎng)絡管理服務器、通信服務器、文件服務器等多

15、種服務器。終端可分為管理終端、業(yè)務中斷、辦公終端等。主機是網(wǎng)絡上的單個節(jié)點， 因此主機安全是分散在各個主機系統(tǒng)上的，不像網(wǎng)絡安全需要考慮安全功能的整體效果。3.1.4 應用安全應用安全是繼網(wǎng)絡、 主機系統(tǒng)的安全防護之后， 信息系統(tǒng)整體防御的最后一道防線。但應用系統(tǒng)安全與網(wǎng)絡、 主機安全不同， 應用系統(tǒng)一般需要根據(jù)業(yè)務流程、業(yè)務需求由用戶定制開發(fā)。 因此，應用系統(tǒng)安全的實現(xiàn)機制更具靈活性和復雜性。應用系統(tǒng)是直接面向最終的用戶，為用戶提供所需的數(shù)據(jù)和處理相關信息、因此應用系統(tǒng)可以提供更多與信息保護相關的安全功能。應用安全要求通過應用系統(tǒng)、 應用平臺系統(tǒng)等實現(xiàn)的安全功能來滿足。如果應用系統(tǒng)是多層結構

16、的， 一般不同層的應用都需要實現(xiàn)同樣強度的身份鑒別，訪問控制、安全審計、剩余信息保護及資源控制等，但通信保密性、完整性一般在同一個層面實現(xiàn)。3.1.5 數(shù)據(jù)安全及備份恢復信息系統(tǒng)處理的各種數(shù)據(jù)（用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務數(shù)據(jù)等）在維持系統(tǒng)正常運行上起著至關重要的作用。一旦數(shù)據(jù)遭到破壞（泄露、修改、毀壞），都會在不同程度上造成影響， 從而危害到系統(tǒng)的正常運行。 由于信息系統(tǒng)的各個層面（網(wǎng)絡、主機系統(tǒng)、應用等）都對各類數(shù)據(jù)進行傳輸、存儲和處理，因此對數(shù)據(jù)的保護需要物理環(huán)境、網(wǎng)絡、數(shù)據(jù)庫和操作系統(tǒng)、應用程序等提供支持。3.2 信息安全管理方方面3.2.1 安全管理制度在信息安全中， 最活躍的因素是人，

17、 對人的管理包括法律、 法規(guī)與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓、人力資源管理措施以及企業(yè)文化的熏陶，這些功能的實現(xiàn)都是以完備的安全管理政策和制度為前提。精品學習資料 可選擇p d f - - - - - - - - - - - - - - 第 6 頁，共 8 頁 - - - - - - - - -這里所說的安全管理制度包括信息安全工作的總體方針、政策和規(guī)范，各種安全管理活動的管理制度，以及管理人員或操作人員日常的操作規(guī)程。安全管理制度的制定與正確實施西信息系統(tǒng)安全管理起著非常重要的作用，不僅促使全體員工參與到保證信息安全的行動中來，而且能有效降低由于管理實務所造成的對

18、系統(tǒng)安全的損害。通過制定安全管理制度， 能夠使責權明確， 保證工作的規(guī)范性和可操作性。3.2.2 安全管理機構安全管理的重要事實條件就是要建立一個統(tǒng)一指揮、協(xié)調有序、組織有力的安全管理機構， 這是信息安全管理得以實施、推廣的基礎。 通過構建從單位信息安全決策層、 到管理層及執(zhí)行層或具體業(yè)務運營層的組織體系，明確各個崗位的安全職責，為安全管理提供組織上的保證。3.2.3 人員安全管理人員是信息安全中最關鍵的因素，同時也是信息安全中最薄弱的環(huán)節(jié)。很多重要的信息系統(tǒng)安全問題都涉及用戶、涉及人員、實施人員，以及管理人員。如果這些人員有關的安全問題沒有得到很好的解決，任何一個信息系統(tǒng)都不可能達到真正的安全。只有對人員進行了正確、完善的管理，才有可能降低人為錯誤、盜竊、詐騙和誤用設備而引發(fā)的風險， 從而減小信息系統(tǒng)因人員錯誤而造成損失的概率。3.2.4 系統(tǒng)建設管理信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個生命周期，系統(tǒng)建設管理主要關注的是生命周期中的前三個階段（即初始、采購、實施）中的