信息系統(tǒng)面臨的主要安全風(fēng)險及規(guī)避措施_第1頁
信息系統(tǒng)面臨的主要安全風(fēng)險及規(guī)避措施_第2頁
信息系統(tǒng)面臨的主要安全風(fēng)險及規(guī)避措施_第3頁
信息系統(tǒng)面臨的主要安全風(fēng)險及規(guī)避措施_第4頁
信息系統(tǒng)面臨的主要安全風(fēng)險及規(guī)避措施_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、信息系統(tǒng)面臨的主要安全風(fēng)險及規(guī)避措施隨著企業(yè)規(guī)模的擴大,信息傳遞越來越依賴于現(xiàn)代化的信 息系統(tǒng),信息系統(tǒng)所承載的信息量隨著系統(tǒng)運行時間的增長而 逐級遞增,伴隨而來的是各種各樣的安全風(fēng)險。如果存有僥幸 心理,掉以輕心、置之不理,安全風(fēng)險很可能會誘發(fā)安全事件, 進而給企業(yè)帶來難以估量的損失。因此,根據(jù)企業(yè)實際情況進 行風(fēng)險評估,按照安全風(fēng)險的嚴(yán)重程度及時進行修復(fù)成為信息 系統(tǒng)管理人員面臨的一項重要課題。從某種意義上講,信息也是一種資產(chǎn),而且信息這種資 產(chǎn)的價值也會隨著信息重要程度的提升而升高,因此,在信息 系統(tǒng)中,資產(chǎn)所有者需要對信息資產(chǎn)進行保護,通過分析信息 資產(chǎn)的脆弱性來確定威脅可能利用哪些弱

2、點來破壞其安全性, 這一過程就是風(fēng)險評估。對于風(fēng)險評估來說,需要識別資產(chǎn)相關(guān)要素的關(guān)系, 從而判斷資產(chǎn)面臨的安全風(fēng)險的大小。安全風(fēng)險的等級可以 分為很高、高、中等、低、很低五個級別,級別越高,表明 由此誘發(fā)安全事件后所造成的損失越大。如果再對同一級別 的安全風(fēng)險進行賦值,則安全風(fēng)險的重要程度就變得一目了 然。如何識別安全風(fēng)險十分關(guān)鍵,一般來說,可以參考實際 運行過程中已經(jīng)發(fā)生的安全事件以及系統(tǒng)運行報告,或者根據(jù) 各類檢查所獲得的第一手資料以及已知的問題或漏洞進行分 析,找到可能誘發(fā)安全事件的脆弱環(huán)節(jié)。有了識別安全風(fēng)險等級的方法,還需要對資產(chǎn)的價值進 行詳細(xì)地分析,判斷什么樣的資產(chǎn)價值較高,什么

3、樣的資產(chǎn)價 值較低。同樣地,資產(chǎn)價值也可以分為很高、高、中等、低、 很低五個級別,也可以通過賦值進行量化。這樣,將資產(chǎn)價值和安全風(fēng)險通過某種方法(如相乘法 和矩陣法)進行計算,就可以得出各資產(chǎn)的風(fēng)險值。識別了安 全風(fēng)險,還需要針對其進行修復(fù),使得殘余安全風(fēng)險在可接受 的范圍內(nèi)。限于篇幅,接下來僅簡單列舉系統(tǒng)內(nèi)常見的高價值資產(chǎn) 與高級別安全風(fēng)險以及修復(fù)或者規(guī)避措施。數(shù)據(jù)是無價的,對于這一點,信息系統(tǒng)管理人員應(yīng)該深 有體會,所有的安全防護措施都應(yīng)參照數(shù)據(jù)安全最優(yōu)先的原則。隨著企業(yè)信息化程度的加深,數(shù)據(jù)的集中存儲、集中備 份已經(jīng)成為了一種趨勢,數(shù)據(jù)安全也因此變得越發(fā)重要。雖然 是一種無形資產(chǎn),但是因

4、關(guān)鍵數(shù)據(jù)丟失而造成企業(yè)損失的事件 卻屢見不鮮,必須加以重視。一、數(shù)據(jù)庫系統(tǒng)運行方面的安全風(fēng)險當(dāng)信息系統(tǒng)發(fā)展到一定程度之后,業(yè)務(wù)方面的需要會驅(qū) 動企業(yè)建立應(yīng)用系統(tǒng),而應(yīng)用系統(tǒng)一般都需要數(shù)據(jù)庫系統(tǒng) 提供高效的數(shù)據(jù)管理功能,因而,數(shù)據(jù)庫系統(tǒng)的安全直接關(guān)系到數(shù)據(jù)資產(chǎn)的安全,必須高度關(guān)注。常見的安全風(fēng)險有:1.1未采用集群方式運行帶來的安全風(fēng)險對于大型數(shù)據(jù)庫系統(tǒng)來說,如果只采取單節(jié)點方式運行, 一旦該節(jié)點宕機,將會導(dǎo)致應(yīng)用系統(tǒng)不可訪問,直接影響主營 業(yè)務(wù)。規(guī)避措施為,以集群方式運行數(shù)據(jù)庫系統(tǒng),這樣,即使 出現(xiàn)一個節(jié)點宕機的情況,實例也可以迅速自動漂移至另一節(jié) 點上,從而保證應(yīng)用系統(tǒng)不受影響,提高系統(tǒng)運

5、行的安全性。1.2缺少測試環(huán)境帶來的安全風(fēng)險應(yīng)用系統(tǒng)的開發(fā)上線需要高頻率的代碼更新,一般更新 前都需要進行詳細(xì)的測試,但是,根據(jù)實際運行經(jīng)驗來看,再 詳盡的測試也難以避免影響數(shù)據(jù)安全性的問題出現(xiàn),特別是在 上線后的功能調(diào)整過程中,一旦數(shù)據(jù)一致性出現(xiàn)問題,后果會 很嚴(yán)重。為了將應(yīng)用系統(tǒng)開發(fā)帶來的安全風(fēng)險降至最低,一般需 要搭建一套與生產(chǎn)環(huán)境相似的測試環(huán)境,在其上進行代碼測試, 尤其是涉及到改動較大的版本更新,更需要認(rèn)真對待,關(guān)注更 新前后相關(guān)數(shù)據(jù)的變化,確實沒有數(shù)據(jù)安全問題,才能在生產(chǎn) 環(huán)境上進行更新。1.3缺少數(shù)據(jù)庫例行巡檢帶來的安全風(fēng)險大型數(shù)據(jù)庫系統(tǒng)都有專門的告警機制,其上記錄了數(shù)據(jù)庫系統(tǒng)運

6、行以來產(chǎn)生的告警日志信息,從中可以分析出 數(shù)據(jù)庫系統(tǒng)的運行狀態(tài),已經(jīng)出現(xiàn)的問題等信息。根據(jù) 實際運行經(jīng)驗來看,一些小問題完全可以在發(fā)現(xiàn)后及時 解決,但如果置之不理,小問題積少成多,演變成嚴(yán)重 問題之后,解決的難度與所花費的時間將會成倍增加。 及時發(fā)現(xiàn)告警信息需要行之有效的數(shù)據(jù)庫巡檢制度來 支撐,由經(jīng)驗豐富的數(shù)據(jù)庫管理人員定期進行數(shù)據(jù)庫巡檢,以 便降低由此誘發(fā)安全事件的可能性。二、數(shù)據(jù)備份與恢復(fù)方面的安全風(fēng)險當(dāng)信息系統(tǒng)穩(wěn)定運行了一段時間之后,隨著主營業(yè)務(wù)與 應(yīng)用系統(tǒng)的結(jié)合越來越緊密,數(shù)據(jù)量會呈梯度爆炸式增長,對 于信息系統(tǒng)管理人員來說,如何高效地進行備份以保證數(shù)據(jù)安 全以及如何確保備份介質(zhì)的可用

7、性成為擺在其面 前的一道課 題。2. 1無備份策略或備份策略不合理帶來的安全風(fēng)險信息系統(tǒng)的數(shù)據(jù)備份需要按照一定的備份策略來實施, 換言之,就是備份哪些內(nèi)容以及備份所遵循的原則是什么。例 如,某企業(yè)數(shù)據(jù)庫系統(tǒng)的備份內(nèi)容包括數(shù)據(jù)文件、控制文件、 歸檔日志文件、閃回區(qū)文件等,備份方式是每周日對需要備份 的內(nèi)容進行完整備份,每周一至周六進行增量備份。通過這些 信息,數(shù)據(jù)庫備份的情況就一目了然了,這些信息就是該企業(yè) 數(shù)據(jù)庫系統(tǒng)的備份策略。備份的內(nèi)容不僅包括數(shù)據(jù)庫系統(tǒng),還 應(yīng)包括重要的文件系統(tǒng),防止因重要文件在計算機終端零散存 儲發(fā)生意外情況而造成數(shù)據(jù)丟失等情況出現(xiàn)。對于信息系統(tǒng)來說,沒有進行數(shù)據(jù)備份絕對

8、是管理人 員的噩夢,在出現(xiàn)數(shù)據(jù)誤刪除或數(shù)據(jù)庫崩潰等極端情況時, 管理人員將失去最后的、但往往卻是最有效的手段。規(guī)避此項安全風(fēng)險的辦法就是制定合理有效的備份策 略,同時,制定保證該策略能夠被有效執(zhí)行的制度,充分保 護數(shù)據(jù)安全。此外,管理人員還應(yīng)定期檢查備份作業(yè)完成的 情況,確保備份作業(yè)成功完成。2. 2未進行系統(tǒng)恢復(fù)演練帶來的安全風(fēng)險很多系統(tǒng)管理人員認(rèn)為數(shù)據(jù)備份工作做好就萬事大吉 了,很容易忽視系統(tǒng)恢復(fù)演練的重要性,殊不知,一旦遭遇突 發(fā)事件,沒有經(jīng)過系統(tǒng)恢復(fù)演練的洗禮,常會出現(xiàn)各種意料之 外的狀況,甚至出現(xiàn)空有備份介質(zhì)卻無法快速恢復(fù)系統(tǒng)的情況, 給企業(yè)帶來難以估量的損失。規(guī)避該安全風(fēng)險的方法就

9、是定期進行系統(tǒng)恢復(fù)演練, 形成操作規(guī)程,同時,將遇到的問題匯總,形成解決方案, 為真正遇到恢復(fù)需求時積累足夠的經(jīng)驗。為了降低安全風(fēng) 險,可以設(shè)置系統(tǒng)恢復(fù)演練專用服務(wù)器,將需要恢復(fù)的數(shù)據(jù) 恢復(fù)至該服務(wù)器上,然后通過應(yīng)用系統(tǒng)測試數(shù)據(jù)恢復(fù)情況。三、系統(tǒng)權(quán)限方面的安全風(fēng)險由于屬于軟件范疇,應(yīng)用系統(tǒng)一般都存在漏洞,而最容 易誘發(fā)安全事件的就是權(quán)限方面的漏洞。如果有人超越自身的 權(quán)限訪問了本來無權(quán)訪問的重要資源,甚至惡意地做出破壞性 操作,后果會十分嚴(yán)重。解決方法是建立相互獨立、制約的權(quán)限分配制度,使得 管理員的權(quán)限分散開來,所有權(quán)限按需開放,滿足最小化原則。 同時,嚴(yán)格做好系統(tǒng)測試工作,防止出現(xiàn)越權(quán)訪問

10、或者權(quán)限濫 用的情況,并做好日志審計工作。四、計算機端口方面的安全風(fēng)險如果計算機終端的端口處于不受控制的狀態(tài),操作系統(tǒng) 難免會被病毒與木馬程序攻擊,管理員將疲于應(yīng)付操作系統(tǒng)方 面的各種問題。更重要的是,系統(tǒng)內(nèi)的重要信息將處于不受控 的狀態(tài)。解決辦法是實施端口控制的安全策略,只保留部分計 算機的輸入輸出端口作為信息的出入口,將信息傳遞交由應(yīng)用 系統(tǒng)來完成,確保信息流向留有痕跡。信息系統(tǒng)風(fēng)險評估是一項重要的系統(tǒng)工程,可以由企業(yè) 根據(jù)自身的實際運行情況,成立專門的工作小組來進行,也可 以通過第三方來進行。實際實施時,還可以將安全風(fēng)險出現(xiàn)的 頻率因素一并考慮進去,以便增加風(fēng)險評估的準(zhǔn)確性。風(fēng)險評估還需要上層建筑的大力支持,需要相關(guān)部門的 通力配合,也需要信息系統(tǒng)管

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論