信息系統(tǒng)的安全防范措施

信息系統(tǒng)的安全防范措施（2021版）Enhancetheinitiativeandpredictabilityofworksafety,takeprecautions,

andcomprehensivelysolvetheproblemsofworksafety.（安全管理）單位： 日期： 安全論文|DOCUMENTTEMPLATYK-AQ-0121信息系統(tǒng)的安全防范措施（2021版）導(dǎo)語(yǔ)：根據(jù)時(shí)代發(fā)展的要求，轉(zhuǎn)變觀(guān)念，開(kāi)拓創(chuàng)新，統(tǒng)籌規(guī)劃，增強(qiáng)對(duì)安全生產(chǎn)工TOC\o"1-5"\h\zi !作的主動(dòng)性和預(yù)見(jiàn)性，做到未雨綢繆，綜合解決安全生產(chǎn)問(wèn)題。文檔可用作電子存i !檔或?qū)嶓w印刷，使用時(shí)請(qǐng)?jiān)敿?xì)閱讀條款。L 」摘要：隨著信息產(chǎn)業(yè)的高速發(fā)展，眾多企業(yè)、單位都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng)，以充分利用各類(lèi)信息資源。但是我們?cè)谙硎苄畔a(chǎn)業(yè)發(fā)展帶給我們便利的同時(shí)，也面臨著巨大的風(fēng)險(xiǎn)。我們的系統(tǒng)隨時(shí)可能遭受病毒的感染、黑客的入侵，這都可以給我們?cè)斐删薮蟮膿p失。本文主要介紹了信息系統(tǒng)所面臨的技術(shù)安全隱患，并提出了行之有效的解決方案。關(guān)鍵字：信息系統(tǒng)信息安全目錄目錄2一、 目前信息系統(tǒng)技術(shù)安全的研究3信息安全現(xiàn)狀分析3企業(yè)信息安全防范的任務(wù)3二、 信息系統(tǒng)常見(jiàn)技術(shù)安全漏洞與技術(shù)安全隱患31、權(quán)限攻擊3安全論文|DOCUMENTTEMPLATYK-AQ-01212、 讀取受限文件33、 拒絕服務(wù)44、 口令恢復(fù)45、 服務(wù)器信息泄露4三、 信息系統(tǒng)的安全防范措施4防火墻技術(shù)4入侵檢測(cè)技術(shù)4認(rèn)證中心⑷入）與數(shù)字證書(shū)5身份認(rèn)證5四、 結(jié)束語(yǔ)5五、 參考文獻(xiàn)6一、目前信息系統(tǒng)技術(shù)安全的研究信息安全現(xiàn)狀分析隨著信息化進(jìn)程的深入，信息安全己經(jīng)引起人們的重視，但依然存在不少問(wèn)題。一是安全技術(shù)保障體系尚不完善，許多企業(yè)、單位花了大量的金錢(qián)購(gòu)買(mǎi)了信息安全設(shè)備，但是技術(shù)保障不成體系，達(dá)不到預(yù)想的目標(biāo)；二是應(yīng)急反應(yīng)體系沒(méi)有經(jīng)?；?、制度化；三是企業(yè)、單位信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后。安全論文|DOCUMENTTEMPLATYK-AQ-01212003年5月至2004年5月，在7072家被調(diào)查單位中有4057家單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，占被調(diào)查總數(shù)的58%。其中，發(fā)生過(guò)1次的占總數(shù)的22%,2次的占13%,3次以上的占23%，此外，有7%的調(diào)查對(duì)象不清楚是否發(fā)生過(guò)網(wǎng)絡(luò)安全事件。從發(fā)生安全事件的類(lèi)型分析，遭受計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序破壞的情況最為突出，占安全事件總數(shù)的79%，其次是垃圾郵件，占36%，拒絕服務(wù)、端口掃描和篡改網(wǎng)頁(yè)等網(wǎng)絡(luò)攻擊情況也比較突出，共占到總數(shù)的43%。調(diào)查結(jié)果表明，造成網(wǎng)絡(luò)安全事件發(fā)生的主要原因是安全管理制度不落實(shí)和安全防范意識(shí)薄弱。其中，由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的25%，登錄密碼過(guò)于簡(jiǎn)單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%。對(duì)于網(wǎng)絡(luò)安全管理情況的調(diào)查表明，近年來(lái)，使用單位對(duì)信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高，80%的被調(diào)查單位有專(zhuān)職或兼職的安全管理人員，12%的單位建立了安全組織，有2%的單位請(qǐng)信息安全服務(wù)企業(yè)提供專(zhuān)業(yè)化的安全服務(wù)。調(diào)查表明，認(rèn)為單位信息網(wǎng)絡(luò)安全防護(hù)能力“較高”和“一般”的比較多，分別占44%。但是，被調(diào)查單位也普遍反映用戶(hù)安全觀(guān)念薄弱、安全管理員缺乏培訓(xùn)、安全經(jīng)費(fèi)投入不足和安全產(chǎn)品不能滿(mǎn)足要求等問(wèn)題，也說(shuō)明目前安全管理水平和安全論文|DOCUMENTTEMPLATYK-AQ-0121社會(huì)化服務(wù)的程度還比較低。企業(yè)信息安全防范的任務(wù)信息安全的任務(wù)是多方面的，根據(jù)當(dāng)前信息安全的現(xiàn)狀，制定信息安全防范的任務(wù)主要是：從安全技術(shù)上，進(jìn)行全面的安全漏洞檢測(cè)和分析，針對(duì)檢測(cè)和分析的結(jié)果制定防范措施和完整的解決方案；正確配置防火墻、網(wǎng)絡(luò)防病毒軟件、入侵檢測(cè)系統(tǒng)、建立安全認(rèn)證系統(tǒng)等安全系統(tǒng)。從安全管理上，建立和完善安全管理規(guī)范和機(jī)制，切實(shí)加強(qiáng)和落實(shí)安全管理制度，增強(qiáng)安全防范意識(shí)。信息安全防范要確保以下幾方面的安全：網(wǎng)絡(luò)安全：保障各種網(wǎng)絡(luò)資源(資源、實(shí)體、載體)穩(wěn)定可靠地運(yùn)行、受控合法地使用。信息安全:保障存儲(chǔ)、傳輸、應(yīng)用的機(jī)密性(Confidentiality)、完整性(Integrity)、抗否認(rèn)性(non-Repudiation),可用性(Availability)o其他安全：病毒防治、預(yù)防內(nèi)部犯罪。二、信息系統(tǒng)常見(jiàn)技術(shù)安全漏洞與技術(shù)安全隱患每個(gè)系統(tǒng)都有漏洞，不論你在系統(tǒng)安全性上投入多少財(cái)力，攻擊者仍然可以發(fā)現(xiàn)一些可利用的特征和配置缺陷。發(fā)現(xiàn)一個(gè)已知的漏洞，遠(yuǎn)比發(fā)現(xiàn)一個(gè)未知漏洞要容易的多，這就意味著多數(shù)攻擊者所利用的安全論文|DOCUMENTTEMPLATYK-AQ-0121都是常見(jiàn)的漏洞。這樣的話(huà)，采用適當(dāng)?shù)墓ぞ?，就能在黑客利用這些常見(jiàn)漏洞之前，查出網(wǎng)絡(luò)的薄弱之處。漏洞大體上分為以下幾大類(lèi)：1、 權(quán)限攻擊攻擊者無(wú)須一個(gè)賬號(hào)登錄到本地直接獲得遠(yuǎn)程系統(tǒng)的管理員權(quán)限，通常通過(guò)攻擊以root身份執(zhí)行的有缺陷的系統(tǒng)守護(hù)進(jìn)程來(lái)完成。漏洞的絕大部分來(lái)源于緩沖區(qū)溢出，少部分來(lái)自守護(hù)進(jìn)程本身的邏輯缺陷。2、 讀取受限文件攻擊者通過(guò)利用某些漏洞，讀取系統(tǒng)中他應(yīng)該沒(méi)有權(quán)限的文件，這些文件通常是安全相關(guān)的。這些漏洞的存在可能是文件設(shè)置權(quán)限不正確，或者是特權(quán)進(jìn)程對(duì)文件的不正確處理和意外dumpcore使受限文件的一部份dump到了core文件中.3、 拒絕服務(wù)攻擊者利用這類(lèi)漏洞，無(wú)須登錄即可對(duì)系統(tǒng)發(fā)起拒絕服務(wù)攻擊，使系統(tǒng)或相關(guān)的應(yīng)用程序崩潰或失去響應(yīng)能力。這類(lèi)漏洞通常是系統(tǒng)本身或其守護(hù)進(jìn)程有缺陷或設(shè)置不正確造成的。4、 口令恢復(fù)因?yàn)椴捎昧撕苋醯目诹罴用芊绞?，使攻擊者可以很容易的分析出安全論文|DOCUMENTTEMPLATYK-AQ-0121口令的加密方法，從而使攻擊者通過(guò)某種方法得到密碼后還原出明文來(lái)。5、服務(wù)器信息泄露利用這類(lèi)漏洞，攻擊者可以收集到對(duì)于進(jìn)一步攻擊系統(tǒng)有用的信息。這類(lèi)漏洞的產(chǎn)生主要是因?yàn)橄到y(tǒng)程序有缺陷，一般是對(duì)錯(cuò)誤的不正確處理。漏洞的存在是個(gè)客觀(guān)事實(shí)，但漏洞只能以一定的方式被利用，每個(gè)漏洞都要求攻擊處于網(wǎng)絡(luò)空間一個(gè)特定的位置，因此按攻擊的位置劃分，可能的攻擊方式分為物理接觸、主機(jī)模式、客戶(hù)機(jī)模式、中間人方式等四種。三、信息系統(tǒng)的安全防范措施1.防火墻技術(shù)防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來(lái)越多地應(yīng)用于專(zhuān)用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為甚。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提安全論文|DOCUMENTTEMPLATYK-AQ-0121供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。首先，防火墻是網(wǎng)絡(luò)安全的屏障，一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。對(duì)網(wǎng)絡(luò)存取和訪(fǎng)問(wèn)進(jìn)行監(jiān)控審計(jì):如果所有的訪(fǎng)問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪(fǎng)問(wèn)并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。其次，防火墻可以防止內(nèi)部信息的外泄。通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。另外，除了安全作用，有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過(guò)VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專(zhuān)用通信線(xiàn)路，而且為信息共享提供了技術(shù)保障。2.入侵檢測(cè)技術(shù)安全論文|DOCUMENTTEMPLATYK-AQ-0121IETF將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件：事件產(chǎn)生器(EventGenerators)；事件分析器(EventAnalyzers)；響應(yīng)單元(ResponseUnits)和事件數(shù)據(jù)庫(kù)(EventDataBases)。事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱(chēng)，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。根據(jù)檢測(cè)對(duì)象的不同，入侵檢測(cè)系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型?；谥鳈C(jī)的監(jiān)測(cè)。主機(jī)型入侵檢測(cè)系統(tǒng)就是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過(guò)其他手段(如監(jiān)督系統(tǒng)調(diào)用)從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。這種系統(tǒng)經(jīng)常運(yùn)行在被監(jiān)測(cè)的系統(tǒng)之上，用以監(jiān)測(cè)系統(tǒng)上正在運(yùn)行的進(jìn)程是否合法。最近出現(xiàn)的一種ID(IntrusionDetection):位于操作系統(tǒng)的內(nèi)核之中并監(jiān)測(cè)系統(tǒng)的最底層行為。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺(tái)。網(wǎng)絡(luò)型入侵檢測(cè)。它的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺(tái)機(jī)子的網(wǎng)卡設(shè)于混雜模式(PromiseMode)，對(duì)所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行信息收集，并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測(cè)安全論文|DOCUMENTTEMPLATYK-AQ-0121系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)。對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。從技術(shù)上，入侵檢測(cè)分為兩類(lèi)：一種基于標(biāo)志(CSignature-Based)，另一種基于異常情況(Abnormally-Based)。認(rèn)證中心⑷入)與數(shù)字證書(shū)互聯(lián)網(wǎng)的發(fā)展和信息技術(shù)的普及給人們的工作和生活帶來(lái)了前所未有的便利。然而，由于互聯(lián)網(wǎng)所具有的廣泛性和開(kāi)放性，決定了互聯(lián)網(wǎng)不可避免地存在著信息安全隱患。為了防范信息安全風(fēng)險(xiǎn)，許多新的安全技術(shù)和規(guī)范不斷涌現(xiàn)，PKI(PublicKeyInfrastructure，公開(kāi)密鑰基礎(chǔ)設(shè)施)即是其中一員。PKI是在公開(kāi)密鑰理論和技術(shù)基礎(chǔ)上發(fā)展起來(lái)的一種綜合安全平臺(tái)，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書(shū)管理，從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴(lài)的目的。利用PKI可以方便地建立和維護(hù)一個(gè)可信的網(wǎng)絡(luò)計(jì)算環(huán)境，從而使得人們?cè)谶@個(gè)無(wú)法直接相互面對(duì)的環(huán)境里，能夠確認(rèn)彼此的身份和所交換的信息，能夠安全地從事商務(wù)活動(dòng)。目前，PKI技術(shù)己趨于成熟，其應(yīng)用已覆蓋了從安全電子郵件、虛擬專(zhuān)用網(wǎng)絡(luò)(VPN),Web交互安全到電子商務(wù)、電子政務(wù)、電子事務(wù)安全的眾多領(lǐng)域，安全論文|DOCUMENTTEMPLATYK-AQ-0121許多企業(yè)和個(gè)人已經(jīng)從PKI技術(shù)的使用中獲得了巨大的收益。在PKI體系中，CA（CertificateAuthority，認(rèn)證中心）和數(shù)字證書(shū)是密不可分的兩個(gè)部分。認(rèn)證中心又叫CA中心，它是負(fù)責(zé)產(chǎn)生、分配并管理數(shù)字證書(shū)的可信賴(lài)的第三方權(quán)威機(jī)構(gòu)。認(rèn)證中心是PKI安全體系的核心環(huán)節(jié)，因此又稱(chēng)作PKI/CA。認(rèn)證中心通常采用多層次的分級(jí)結(jié)構(gòu)，上級(jí)認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級(jí)認(rèn)證中心的證書(shū)，最下一級(jí)的認(rèn)證中心直接面向最終用戶(hù)。數(shù)字證書(shū)，又叫“數(shù)字身份證”、“數(shù)字ID”，是由認(rèn)證中心發(fā)放并經(jīng)認(rèn)證中心數(shù)字簽名的，包含公開(kāi)密鑰擁有者以及公開(kāi)密鑰相關(guān)信息的一種電子文件，可以用來(lái)證明數(shù)字證書(shū)持有者的真實(shí)身份。身份認(rèn)證身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程。與防火墻、入侵檢測(cè)、VPN、安全網(wǎng)關(guān)、安全目錄相區(qū)別的是：身份認(rèn)證解決了用戶(hù)的物理身份和數(shù)字身份相對(duì)應(yīng)的問(wèn)題，給他們提供了權(quán)限管理的依據(jù)。目前常見(jiàn)的身份認(rèn)證方式主要有三種，第一種是使用用戶(hù)名加口令的方式，這時(shí)是最常見(jiàn)的，但這也是最原始、最不安全的身份確認(rèn)方式，非常容易由于外部泄漏等原因或通過(guò)口令猜測(cè)、線(xiàn)路竊聽(tīng)、重安全