企業(yè)信息安全的管理與防護

企業(yè)信息安全的管理與防護企業(yè)信息平安的管理與防護

中圖分類號：TP311文獻標(biāo)識碼：A文章編號：1671-2064〔2022〕06-0020-02

隨著現(xiàn)代化無紙辦公要求的提高，相應(yīng)的也就要求了現(xiàn)在企業(yè)辦公離不開網(wǎng)絡(luò)，便于辦公的企業(yè)都自行建立了自己的企業(yè)內(nèi)網(wǎng)，“企業(yè)自身處內(nèi)網(wǎng)環(huán)境中，黑客難以入侵。但實際上，無線網(wǎng)絡(luò)、眾多智能設(shè)備〔如手機、Pad等〕為黑客提供了更多便利，而企業(yè)所信任的防火墻在黑客面前形同虛設(shè)。〞出名企業(yè)信息平安參謀、國家企業(yè)信息平安最高認(rèn)證〔CISP〕金牌講師張勝生在講座中對目前國內(nèi)企業(yè)普遍不足企業(yè)信息平安專業(yè)團隊，漠視企業(yè)信息平安的現(xiàn)狀表示擔(dān)心。

2022年中央電視臺播出的“棱鏡門〞一時鬧的沸沸揚揚，棱鏡方案〔PRISM〕是一項由美國國家平安局〔NSA〕自2022年小布什時期起開始實施的絕密電子監(jiān)聽方案。美國情報機構(gòu)一直在九家美國互聯(lián)網(wǎng)公司中進行數(shù)據(jù)挖掘工作，從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個人的聯(lián)系方式與行動。監(jiān)控的類型有10類：信息電郵、即時消息、視頻、照片、存儲數(shù)據(jù)、語音聊天、文件傳輸、視頻會議、登錄時間、社交網(wǎng)絡(luò)資料的細(xì)節(jié)，其中包括兩個秘密監(jiān)視工程，一是監(jiān)視、監(jiān)聽民眾的通話記錄，二是監(jiān)視民眾的網(wǎng)絡(luò)活動。

該類事件也反饋了關(guān)于企業(yè)及個人企業(yè)信息平安的問題。

1企業(yè)信息平安管理根底

1.1企業(yè)信息平安事件分析

統(tǒng)計結(jié)果說明，在所有企業(yè)信息平安事故中，只有20%-30%是由于黑客入侵或其他外部原因造成的，70%-80%是由于內(nèi)部人員的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡(luò)平安的全貌就會發(fā)現(xiàn)平安問題實際上都是人的問題，單憑技術(shù)是無法實現(xiàn)從“最大威脅〞到“最可靠防線〞轉(zhuǎn)變的。

1.2企業(yè)信息平安管理的需求

企業(yè)信息平安取決于兩個因素：技術(shù)和管理。平安技術(shù)是企業(yè)信息平安的構(gòu)筑材料，平安管理是真正的粘合劑和催化劑，企業(yè)信息平安管理是預(yù)防、阻止和減少企業(yè)信息平安事件發(fā)生的重要保障。

1.3信息平安保障的內(nèi)涵

信息平安保障要綜合技術(shù)、管理、項目和人。應(yīng)融入信息系統(tǒng)生命周期的全過程，目的不僅僅是保障信息系統(tǒng)本身，更應(yīng)該是通過保障信息系統(tǒng)，從而保障運行于信息系統(tǒng)之上的業(yè)務(wù)系統(tǒng)、保障組織機構(gòu)。信息平安保障不僅僅是孤立的自身的問題，更應(yīng)該是一個社會化的、需要各方參與的工作，信息平安保障是主觀和客觀的結(jié)合。

2企業(yè)信息系統(tǒng)平安系統(tǒng)結(jié)構(gòu)組成要素

實現(xiàn)企業(yè)信息平安系統(tǒng)結(jié)構(gòu)的平安，要從多方面考慮，通常定義包括平安屬性、系統(tǒng)組成、平安策略、平安機制等4個方面。在每一個方面中，還可以繼續(xù)劃分多個層次；對于一個給定的層次，包含著多種平安要素。

2.1平安屬性

平安本身是對信息系統(tǒng)一種屬性要求，信息系統(tǒng)通過平安效勞來實現(xiàn)平安性。根本的平安效勞包括標(biāo)識與鑒別、保密性、完整性、可用性等。平安效勞和平安機制的對應(yīng)關(guān)系如下：5大類平安效勞：身份鑒別、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整性、不可否定性及提供這些效勞的8類平安機制及其相應(yīng)的OSI平安管理等對應(yīng)OSI模型的7層協(xié)議中的不同層，以實現(xiàn)端系統(tǒng)企業(yè)信息平安傳送的通信通路。這樣從平安性到平安效勞機制到具體平安技術(shù)伎倆形成了平安屬性的不同層次。

2.2系統(tǒng)組成

系統(tǒng)組成描述信息系統(tǒng)的組成要素。對于信息系統(tǒng)的組成劃分，有不同的辦法。可以分為硬件和軟件，在硬件和軟件中又可以進一步地劃分。對于分布的信息系統(tǒng)，可以將信息系統(tǒng)資源分為用戶單元和網(wǎng)絡(luò)單元，即將信息系統(tǒng)的組成要素分為本地計算環(huán)境和網(wǎng)絡(luò)，以及計算環(huán)境邊界。

2.3平安策略

在平安系統(tǒng)結(jié)構(gòu)中，平安策略指用于限定一個系統(tǒng)、實體或?qū)ο筮M行平安相關(guān)操作的規(guī)那么。即要說明在平安范圍內(nèi)什么是允許的，什么是不允許的。直接體現(xiàn)了平安需求，并且也有面向不同層次、視圖及原理的平安策略。其描述內(nèi)容和形式也各不相同。對于抽象型和一般型平安系統(tǒng)結(jié)構(gòu)而言，平安策略主要是對加密、訪問控制、多級平安等策略的通用規(guī)定，不波及具體的軟硬件實現(xiàn)；而對于具體型平安系統(tǒng)結(jié)構(gòu)，其平安策略那么是要對實現(xiàn)系統(tǒng)平安功能的主體和客體特性進行具體的標(biāo)識和表明，亦即要描述允許或禁止系統(tǒng)和用戶何時執(zhí)行哪些動作，并要能反射到軟硬件平安組件的具體配置，如，網(wǎng)絡(luò)操作系統(tǒng)的賬號、用戶權(quán)限等。

2.4平安機制

平安機制是實現(xiàn)信息系統(tǒng)平安需求及平安策略的各種措施，具體可以表現(xiàn)為所需要的平安規(guī)范、平安《f議、平安技術(shù)、平安單元等。對于不同層次、不同視圖及不同原理的平安系統(tǒng)結(jié)構(gòu)，平安機制的重點也有所不同。示例：OSI平安系統(tǒng)結(jié)構(gòu)中倡議采用7種平安機制。而對于特定系統(tǒng)的平安系統(tǒng)結(jié)構(gòu)，那么要進一步表明有關(guān)平安機制的具體實現(xiàn)技術(shù)，如認(rèn)證機制的實現(xiàn)可以有口令、密碼技術(shù)及實體特征鑒別等辦法。

3企業(yè)信息平安攻防技術(shù)

3.1歹意代碼及網(wǎng)絡(luò)平安攻防

3.1.1歹意代碼定義

歹意代碼〔UnwantedCode，MaliciousSoftware，Malware，Malicouscode〕是指沒有作用卻會帶來危險的代碼。

歹意代碼類型：二進制代碼、二進制文件、腳本語言、宏語言。3.1.2歹意代碼傳播方式

移動存儲、文件傳播、網(wǎng)絡(luò)傳播、網(wǎng)頁、電子郵件、漏洞、共享、即時通訊、軟件捆綁。

3.2歹意代碼的防治

增強平安策略與意識：減少漏洞、補丁管理、主機加固、減輕威脅、防病毒軟件、間諜軟件檢測和刪除工具、入侵檢測/入侵防御系統(tǒng)、防火墻、路由器、應(yīng)用平安設(shè)置等。

3.3歹意代碼檢測技術(shù)

3.3.1特征碼掃描

工作機制：特征匹配、病毒庫〔歹意代碼特征庫〕、掃描〔特征匹配過程〕、優(yōu)勢、準(zhǔn)確〔誤報率低〕、易于管理缺乏、效率問題〔特征庫不斷龐大、依賴廠商〕、滯后〔先有病毒后有特征庫，需要更新特征庫〕。

3.3.2歹意代碼檢測技術(shù)-沙箱技術(shù)

工作機制：將歹意代碼放入虛擬機中執(zhí)行，其執(zhí)行的所有操作都被虛擬化重定向，不改變實際操作系統(tǒng)優(yōu)勢。

優(yōu)點：能較好的解決變形代碼的檢測。

3.3.3歹意代碼檢測技術(shù)-行為檢測

工作機制：基于統(tǒng)計數(shù)據(jù)、歹意代碼行為有哪些、行為合乎度。

優(yōu)勢：能檢測到未知病毒。

缺乏：誤報率高。

難點：病毒不可判定原那么。

3.3.4歹意代碼去除技術(shù)

歹意代碼去除技術(shù)有：

〔1〕感染引導(dǎo)區(qū)型、修復(fù)/重建引導(dǎo)區(qū)?！?〕文件感染型、附著型：病毒行為逆向復(fù)原、替換型：備份復(fù)原?！?〕獨立型：獨立可執(zhí)行程序：終止進程、刪除。〔4〕獨立依附型：內(nèi)存退出、刪除?！?〕嵌入型?！?〕更新軟件或系統(tǒng)?！?〕重置系統(tǒng)。

4企業(yè)信息平安攻防技術(shù)常見的伎倆和工具

4.1攻擊的過程

4.1.1攻擊的過程

信息平安《《中攻擊方式有：信息收集、目標(biāo)分析、實施攻擊，留后門方便再次進入、清掃戰(zhàn)場，清理入侵記錄。

針對以上提到的行為了解其原理并考慮應(yīng)對措施網(wǎng)絡(luò)攻擊的方式：〔1〕主動攻擊：掃描、滲透、拒絕效勞等。〔2〕被動攻擊：嗅探、釣魚等。

攻擊過程的一些術(shù)語：后門、0-day、提權(quán)。

4.1.2信息收集攻擊的第一步

信息收集-攻擊的第一步：獲取攻擊目標(biāo)資料，網(wǎng)絡(luò)信息，主機信息，應(yīng)用部署信息，漏洞信息，其他任何有價值的信息，分析目標(biāo)信息、尋找攻擊途徑，排除迷惑信息，可被利用的漏洞，利用工具。

4.2收集哪些信息

目標(biāo)系統(tǒng)的信息系統(tǒng)相關(guān)資料：域名、網(wǎng)絡(luò)拓?fù)?、操作系統(tǒng)、應(yīng)用軟件、相關(guān)脆弱性、目標(biāo)系統(tǒng)的組織相關(guān)資料、組織架構(gòu)及關(guān)聯(lián)組織、地理位置細(xì)節(jié)、號碼、郵件等聯(lián)系方式、近期重大事件、員工簡歷、其他可能令攻擊者感興趣的任何信息。

4.2.1信息收集的技術(shù)

〔1〕公開信息收集〔媒體、搜索引擎、廣告等〕。〔2〕域名及IP信息收集〔whois、nslookup等〕?！?〕網(wǎng)絡(luò)結(jié)構(gòu)探測〔Ping、tracert等〕。〔4〕系統(tǒng)及應(yīng)用信息收集〔端口掃描、旗標(biāo)、協(xié)議指紋等〕。〔5〕脆弱性信息收集〔nessus、sss等〕。

4.2.2域名信息收集

在維護企業(yè)信息平安的過程中需要搜集域名信息：〔1〕NSlookup域名解析查詢。〔2〕Whois是一個規(guī)范效勞，可以用來查詢域名是否被注冊以及注冊的詳細(xì)資料Whois可以查詢到的信息?！?〕域名所有者?！?〕域名及IP地址對應(yīng)信息?！?〕聯(lián)系方式?！?〕域名注冊日期?！?〕域名到期日期?！?〕域名所使用的DNSServers。

4.3工具介紹

4.3.1檢索工具

根底檢索工具：〔1〕TFN2K?！?〕Trinoo。

4.3.2電子欺騙的類型

〔1〕IP欺騙〔IPSpoof〕。〔2〕TCP會話劫持〔TCPHijack〕。〔3〕ARP欺騙〔ARPSpoof〕。〔4〕DNS欺騙〔DNSspoof〕。〔5〕路由欺騙〔ICMP重定向報文欺騙、RIP路由欺騙、源徑路由欺騙〕。

4.3.3利用應(yīng)用腳本開發(fā)的缺陷-SQL注入

SQL注入原理：SQL注入〔SQLInjection〕：程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應(yīng)用程序存在平安隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)或進行數(shù)據(jù)庫操作。

4.3.4SQL注入防御

防御的對象：所有外部傳入數(shù)據(jù)、用戶的輸入、提交的URL請求中、參數(shù)局部、從cookie中得到的數(shù)據(jù)、其他系統(tǒng)傳入的數(shù)據(jù)。

防御的辦法：

白名單：限制傳遞數(shù)據(jù)的格式。

黑名單：過濾特殊字串：upda