×
畅享IT
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918
当前位置:畅享论坛 >  信息化  >  网络|安全 > 正文
发帖
回复
(共 7 条) 上一页 1 下一页
查看: 5901|回复: 9

[建议]企业信息化---信息安全急需解决

[复制链接]

等级:助理
行业:
职能部门:
城市:成都市
金币:2058

企业信息化---信息安全急需解决

【编者按】:目前,企业信息化的业务,依赖于信息系统安全,运行中信息安全重要性日益凸显;互联网、IT技术的普及、信息化工程、信息化服务、信息化管理的全方位推进,使信息资源开发和利用,突破了时间和空间上的障碍,信息的价值在不断提高,人们正向信息化社会高歌猛进,但与此同时,网页篡改、计算机病毒猖獗、病毒非法入侵系统和数据库、数据丢失、数据库泄密、网站欺骗、垃圾邮件、漏洞非法利用、黑客捣乱、流氓软件、信道拥堵、服务瘫痪等天灾人祸,导致信息安全事件不断发生。据公安部公共信息网络安全监察局的调查结果显示,2005年5月至2006年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因,占发生安全事件总数的73%。 由于,信息已经成为企业的重要资源、"无形财富",更是企业竞争力、创造力、生产力、信息力的智力源泉,因此,应引起有关部门、领导、CIO的高度重视;分析当前的信息安全问题,以下典型的信息安全问题急需解决。

  1、 网络共享与恶意代码防控
  网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。如果对恶意信息交换不加限制,将导致网络的QoS下降,甚至系统瘫痪不可用。
  2、 信息化建设超速与安全规范不协调
  网络安全建设缺乏规范操作,常常采取"亡羊补牢"之策,导致信息安全共享难度递增,也留下安全隐患。
  3 、信息产品国外引进与安全自主控制
  国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。目前, 国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中,但是这些软件或多或少存在一些安全漏洞,使得恶意攻击者有机可乘。目前,我们国家的大型网络信息系统许多关键信息产品长期依赖于国外,一旦出现特殊情况,后果就不堪设想。
  4 、IT产品单一性和大规模攻击问题
  信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生,例如网络蠕虫、计算机病毒、"零日"攻击等安全事件。
  5 、IT产品类型繁多和安全管理滞后矛盾
  目前,信息系统部署了众多的IT产品,包括操作系统、数据库平台、应用系统。但是不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之间安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。
  6 、IT系统复杂性和漏洞管理
  多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。据SecurityFocus公司的漏洞统计数据表明,绝大部分操作系统存在安全漏洞。由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将可能成为攻击切入点,攻击者可以利用这些漏洞入侵系统,窃取信息。1998年2月份,黑客利用Solar Sunrise漏洞入侵美国国防部网络,受害的计算机数超过500台,而攻击者只是采用了中等复杂工具。当前安全漏洞时刻威胁着网络信息系统的安全。
  为了解决来自漏洞的攻击,一般通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。特别是,大型的信息系统,漏洞修补是一件极为困难的事。因为漏洞既要做到修补,又要能够保证在线系统正常运行。
    7、 网络攻击突发性和防范响应滞后
  网络攻击者常常掌握主动权,而防守者被动应付。攻击者处于暗处,而攻击目标则处于明处。以漏洞的传播及利用为例,攻击者往往先发现系统中存在的漏洞,然后开发出漏洞攻击工具,最后才是防守者提出漏洞安全对策。
  8、 口令安全设置和口令易记性难题
  在一个网络系统中,每个网络服务或系统都要求不同的认证方式,用户需要记忆多个口令,据估算,用户平均至少需要四个口令,特别是系统管理员,需要记住的口令就更多,例如开机口令、系统进入口令、数据库口令、邮件口令、Telnet口令、FTP口令、路由器口令、交换机口令等。按照安全原则,口令设置既要求复杂,而且口令长度要足够长,但是口令复杂则记不住,因此,用户选择口令只好用简单的、重复使用的口令,以便于保管,这样一来攻击者只要猜测到某个用户的口令,就极有可能引发系列口令泄露事件。
  9、 远程移动办公和内网安全
  随着网络普及,移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络,安全程度难以得到保证,如果内部网络直接允许远程访问,则必然带来许多安全问题,而且移动办公人员计算机又存在失窃或被非法使用的可能性。"既要使工作人员能方便地远程访问内部网,又要保证内部网络的安全。"就成了一个许多单位都面临的问题。
10、 内外网络隔离安全和数据交换方便性
  由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统,窃取数据或恶意破坏数据。同时,内部网的用户因为安全意识薄弱,可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全,有的安全专家建议,"内外网及上网计算机实现物理隔离,以求减少来自外网的威胁。"但是,从目前网络应用来说,许多企业或机构都需要从外网采集数据,同时内网的数据也需要发布到外网上。因此,要想完全隔离开内外网并不太现实,网络安全必须既要解决内外网数据交换需求,又要能防止安全事件出现。
  11、 业务快速发展与安全建设滞后
  在信息化建设过程中,由于业务急需要开通,做法常常是"业务优先,安全靠边",使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是"亡羊补牢",出了安全事件后才去做。这种情况,在企业中表现得更为突出,市场环境的动态变化,使得业务需要不断地更新,业务变化超过了现有安全保障能力。
  12、 网络资源健康应用与管理手段提升
  复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在一些企业单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、*****网站,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。但是,传统管理手段难以适应虚拟世界,网络资源管理手段必须改进,要求能做到 "可信、可靠、可视、可控"。
  13、 信息系统用户安全意识差和安全整体提高困难
  目前,普遍存在"重产品、轻服务,重技术、轻管理,重业务、轻安全"的思想,"安全就是安装防火墙,安全就是安装杀毒软件",人员整体信息安全意识不平衡,导致一些安全制度或安全流程流于形式。典型的事例如下:
  ■ 用户选取弱口令,使得攻击者可以从远程直接控制主机;
  ■ 用户开放过多网络服务,例如,网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接"ping"内部网主机,允许建立空连接;
  ■ 用户随意安装有漏洞的软件包;
  ■ 用户直接利用厂家缺省配置;
  ■ 用户泄漏网络安全敏感信息,如DNS服务配置信息。
  14 、安全岗位设置和安全管理策略实施难题
  根据安全原则,一个系统应该设置多个人员来共同负责管理,但是受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是"一肩挑"。这种情况使得安全权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。
  15、数据库安全具有战略价值
  数据库安全,是信息安全的重中之重,因为,数据库是动态系统,每天都在存取信息、数据、知识、情报,最容易受到安全威胁,是信息安全的薄弱环节,是信息化工程和信息化服务的成败的关键环节,因此,高度机密的信息、数据,最好是单机处理信息、建离网的机密数据库。
  16、 信息安全成本投入和经济效益回报可见性
  由于网络攻击手段不断变化,原有的防范机制需要随着网络系统环境和攻击适时而变,因而需要不断地进行信息安全建设资金投入。但是,一些信息安全事件又不同于物理安全事件,信息安全事件所产生的经济效益往往是间接的,不容易让人清楚明白,从而造成企业领导人的误判,进而造成信息安全建设资金投入困难。这样一来,信息安全建设投入往往是"事后"进行,即当安全事件产生影响后,企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划,基本上是"头痛医头,脚痛医脚",信息网络工作人员整天疲于奔命工作,成了"救火队员"。
   
    链接:信息安全建设8步骤
  信息安全建设是一个循序渐进、逐步完善提升的过程,信息安全建设大致来说要经历三个阶段:基本阶段、规范阶段、改进完善阶段。每个阶段在信息安全组织、信息安全管理、信息安全措施上都有所侧重,主要在安全组织健全程度、安全管理规范性、安全技术措施严密性等方面表现出来。
  信息安全建设是一个复杂的系统工程 ,一般来说,信息安全工程包含八个基本环节和步骤。
  第一步,分析信息网络系统所承载的业务和基本安全目标。
  第二步,在所管辖的信息网络范围内,进行信息网络安全风险评估,建立信息网络资产清单,识别信息网络资产的威胁和脆弱性,确定信息网络资产的风险类型和保护等级。
  第三步,根据信息网络资产的风险类型和保护等级,制定合适的安全策略和安全防护体系。
  第四步,根据信息网络的安全策略,设计安全防范机制,选择风险控制的目标,实现风险控制管理。
  第五步,将信息安全建设工作分解为若干个信息安全工程项目。典型项目有漏洞扫描和安全风险评估项目、用户统一认证和授权管理项目、网络防病毒项目、桌面机集中安全管理项目、服务器安全增强项目、网络安全监控项目、网络边界防护项目、远程安全通信项目、网络内容管理项目、补丁管理项目、系统和数据容灾备份项目。
  第六步,根据信息安全工程项目要求,制定实施计划,调整信息网络结构和重新安全配置,部署选购合适的安全产品;制定相应信息网络安全管理制度、操作规程以及法律声明。
  第七步,对信息安全工程项目进行验收,检查信息网络的安全风险是否已经得到有效控制; 检查信息网络的安全保障能力是否达到业务安全要求。
  第八步,验收后,工程项目建设成果正式交付运行; 并根据安全控制系统的实际运行情况,及时调整安全策略,改进安全控制措施。
 

 

类别: 评论、建议 |  评论(0) |  浏览(129) |  收藏


畅享论坛提示:看帖后顺手回帖,是对辛苦发帖者的鼓励,是美德。

查阅更多相关主题的帖子: 信息安全 企业信息化 信息系统 信息价值 信息化工程 信息化服务

等级:助理
行业:计算机软件
职能部门:销售管理
城市:北京
金币:483
top第1楼
沙发,学习了
求知若饥,虚心若愚!

等级:助理
行业:计算机软件
职能部门:战略与业务发展
城市:成都市
金币:2058
top第2楼
欢迎常来【信息化之声】作客,祝你快乐!

等级:试用期
行业:化工
职能部门:信息化建设
城市:北京
金币:19
 发表于 2009/9/1 14:18:51 | 圈子 | 发送站内信 | 加为好友 | 邀请加入圈子
top第3楼
有没有信息化安全管理制度可以借鉴?谢谢!

等级:高级经理
行业:建筑
职能部门:主任
城市:
金币:7651
 发表于 2009/11/19 16:25:37 | 圈子 | 发送站内信 | 加为好友 | 邀请加入圈子
top第4楼
東典

等级:助理
行业:房地产
职能部门:计算机软件
城市:广州市
金币:40
 发表于 2009/11/23 14:43:48 | 圈子 | 发送站内信 | 加为好友 | 邀请加入圈子
top第5楼

好.


等级:试用期
行业:计算机软件
职能部门:市场管理
城市:广州市
金币:4
 发表于 2012/5/11 11:19:25 | 博客 | 圈子 | 发送站内信 | 加为好友 | 邀请加入圈子
top第6楼
引用 xlq 发表于 2009-9-1 14:18:51 的话:
有没有信息化安全管理制度可以借鉴?谢谢!


 

信息安全管理体系iso27001,可以参考!


等级:试用期
行业:计算机软件
职能部门:计算机软件
城市:杭州市
金币:27
 发表于 2015/1/13 12:41:27 | 博客 | 圈子 | 发送站内信 | 加为好友 | 邀请加入圈子
top第7楼

想要安全地管理数据中心的UNIX/Linux系统, 请看下面这篇介绍:
http://blog.sina.com.cn/s/blog_93b81b210102v7ce.html

(共 7 条) 上一页 1 下一页
您还未登录,不能对文章发表评论!请先登录
2018-07-22 11:56:22 447/2018-07-22 11:56:22 462/2018-07-22 11:56:22 478