企業(yè)信息化管理與創(chuàng)新 課件 第9章 信息系統(tǒng)安全與控制

第9章

信息系統(tǒng)安全與控制1從熱門安全事件談起棱鏡計(jì)劃是一項(xiàng)由美國國家安全局自2007年起開始實(shí)施的絕密電子監(jiān)聽計(jì)劃。憑借棱鏡項(xiàng)目，直接進(jìn)入互聯(lián)網(wǎng)服務(wù)商的服務(wù)器，電子郵件、聊天記錄、電話記錄、視頻、照片、存儲數(shù)據(jù)、文件傳輸、搜索記錄、視頻會議、登錄時(shí)間和網(wǎng)絡(luò)社交等個(gè)人信息。為了破壞伊朗的核項(xiàng)目，美國國家安全局和以色列合作研制了震網(wǎng)蠕蟲病毒，以入侵伊朗核設(shè)施網(wǎng)絡(luò)，改變其數(shù)千臺離心機(jī)的運(yùn)行速度。從熱門安全事件談起機(jī)鋒論壇被曝泄露2300萬用戶信息十大酒店泄露大量房客開房信息?？低暠O(jiān)控設(shè)備存嚴(yán)重漏洞，部門設(shè)備被境外IP控制微信等近350款蘋果APP現(xiàn)Xcode惡意后門蔚來汽車發(fā)布的一份聲明顯示：12月11日，蔚來公司收到外部郵件，聲稱擁有蔚來內(nèi)部數(shù)據(jù)，并以泄露數(shù)據(jù)勒索225萬美元等額比特幣(約合1570.5萬元人民幣)。思考信息為什么會有安全問題？信息面臨哪些安全問題？我們應(yīng)該建立怎樣的安全防護(hù)體系？信息安全防護(hù)體系應(yīng)當(dāng)確立哪些原則？網(wǎng)絡(luò)空間的安全威脅網(wǎng)絡(luò)霸權(quán)網(wǎng)絡(luò)恐怖主義網(wǎng)絡(luò)謠言和網(wǎng)絡(luò)政治動員網(wǎng)絡(luò)欺凌網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)犯罪信息系統(tǒng)中的脆弱點(diǎn)物理脆弱點(diǎn)軟件系統(tǒng)脆弱點(diǎn)網(wǎng)絡(luò)和通信協(xié)議脆弱點(diǎn)人的脆弱點(diǎn)

互聯(lián)網(wǎng)給企業(yè)安全管理帶來的挑戰(zhàn)隨著互聯(lián)網(wǎng)和信息技術(shù)的發(fā)展，企業(yè)所使用的虛擬云和社交平臺、儀器、移動設(shè)備均可供訪問，這就創(chuàng)造了一個(gè)極其復(fù)雜的IT環(huán)境，可能導(dǎo)致的安全因素多，且更加復(fù)雜，難以防范。企業(yè)面臨的安全風(fēng)險(xiǎn)不僅是商業(yè)機(jī)密泄露，還可能面臨企業(yè)內(nèi)部人力資源浪費(fèi)，降低工作效率，網(wǎng)絡(luò)中毒中斷業(yè)務(wù)，甚至導(dǎo)致企業(yè)陷入法律風(fēng)險(xiǎn)。企業(yè)在安全方面削減10%的費(fèi)用所需要付出的努力要遠(yuǎn)遠(yuǎn)超過其他任何領(lǐng)域削減10%。IT支撐下的業(yè)務(wù)模式轉(zhuǎn)變網(wǎng)絡(luò)通信的安全威脅9案例1：據(jù)報(bào)道，寧波某網(wǎng)吧連續(xù)遭到DDoS攻擊，出現(xiàn)網(wǎng)吧帶寬流量被占用、網(wǎng)絡(luò)掉線等現(xiàn)象，導(dǎo)致網(wǎng)吧無法正常營業(yè)。經(jīng)查，尹某利用“135抓雞軟件”在互聯(lián)網(wǎng)上抓取大量“肉雞”組成僵尸網(wǎng)絡(luò)，并遠(yuǎn)程控制租用的服務(wù)器對目標(biāo)進(jìn)行攻擊。案例2：烏云漏洞平臺發(fā)布消息稱，攜程系統(tǒng)存技術(shù)漏洞，可導(dǎo)致用戶個(gè)人信息、銀行卡信息等泄露。漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼等，上述信息有可能被黑客所讀取。案例3：都市白領(lǐng)劉小姐在淘寶某店看中了一款商品，與店家聯(lián)系后對方稱店內(nèi)正舉辦活動，之后店家以修改價(jià)格為由給劉小姐發(fā)了一個(gè)鏈接。接下來令劉小姐沒有想到的是，騙子發(fā)給她的其實(shí)是冒牌的釣魚網(wǎng)站，讓她白白損失了支付寶賬戶中的200元余額。實(shí)際案例信息系統(tǒng)安全管理需求希望存在一條或者多條互聯(lián)網(wǎng)接入線路，并希望能統(tǒng)一監(jiān)控和管理希望能實(shí)現(xiàn)企業(yè)內(nèi)部員工實(shí)名制訪問互聯(lián)網(wǎng)希望避免互聯(lián)網(wǎng)出口擁塞，保障關(guān)鍵業(yè)務(wù)的運(yùn)行希望避免互聯(lián)網(wǎng)惡意代碼及木馬的威脅，保障內(nèi)網(wǎng)安全希望避免內(nèi)部人員通過互聯(lián)網(wǎng)的途徑泄密，保護(hù)企業(yè)機(jī)密信息希望阻止內(nèi)部人員通過互聯(lián)網(wǎng)發(fā)表不良言論，保護(hù)企業(yè)形象希望避免員工因互聯(lián)網(wǎng)娛樂導(dǎo)致工作效率低下希望加快運(yùn)維人員定位故障的速度希望能對互聯(lián)網(wǎng)上產(chǎn)生的風(fēng)險(xiǎn)實(shí)時(shí)預(yù)警，及時(shí)采取措施應(yīng)對希望能對以往的互聯(lián)網(wǎng)行為進(jìn)行追溯，完整審計(jì)信息系統(tǒng)安全運(yùn)營管理物理層環(huán)境事故造成設(shè)備故障或損毀

設(shè)備地震溫度濕度地磁干擾灰塵設(shè)備缺乏安全防范硬件中的惡意代碼旁路攻擊設(shè)備在線面臨的威脅環(huán)境安全電磁安全設(shè)備防盜安全芯片防火墻訪問控制技術(shù)層過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)出訪問網(wǎng)絡(luò)的行為封堵某些禁止業(yè)務(wù)記錄通過防火墻信息內(nèi)容和活動對網(wǎng)絡(luò)攻擊檢測和告警隱藏攻擊源信息搜集掌握系統(tǒng)控制權(quán)實(shí)施攻擊安裝后門清除攻擊痕跡數(shù)據(jù)層加密密鑰和解密密鑰是同一個(gè)密鑰，這種加密技術(shù)稱為“對稱加密”。如果兩個(gè)密鑰不同，這種加密技術(shù)稱為“非對稱加密”。流程層人員層企業(yè)內(nèi)部對URL進(jìn)行分類，建立黑白名單，明確哪些網(wǎng)站可以訪問，哪些不能訪問，然后進(jìn)行策略設(shè)置。通過技術(shù)手段實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用功能的訪問限制，網(wǎng)絡(luò)上的應(yīng)用程序很多，為了提高員工的工作效率，在工作時(shí)間段內(nèi)，可以限制游戲、音視頻等軟件程序的使用。為了防止企業(yè)內(nèi)部資料泄密，對員工的上網(wǎng)內(nèi)容進(jìn)行審計(jì)，審計(jì)范圍包括使用聊天軟件傳遞的信息，郵件發(fā)送的信息，社交網(wǎng)站發(fā)布的信息等。企業(yè)網(wǎng)絡(luò)內(nèi)的終端類型紛繁多樣，終端使用者的角色也錯(cuò)綜復(fù)雜，包括對PC、服務(wù)器、啞終端以及移動智能終端的終端準(zhǔn)入控制。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測以保護(hù)公司資料，如禁止U盤拷貝、備份郵件和打印輸出資料等等，記錄上班炒股、看視頻、網(wǎng)購、炒私單等等不良行為，精準(zhǔn)控制個(gè)人網(wǎng)絡(luò)帶寬，控制搶占帶寬資源，記錄常用的聊天內(nèi)容、QQ文件傳輸?shù)?。從制度上加以保障，建立企業(yè)信息系統(tǒng)安全管理?xiàng)l例、員工上網(wǎng)審核及申報(bào)制度以及員工上網(wǎng)行為績效考核制度等，將員工的上網(wǎng)行為和切身利益掛鉤，從而建立長效持續(xù)的員工上網(wǎng)行為安全管理機(jī)制。戰(zhàn)略層信息系統(tǒng)中的責(zé)任與道德西安電子科技大學(xué)21歲的大學(xué)生魏則西因滑膜肉瘤病逝，他去世前在知乎網(wǎng)站撰寫治療經(jīng)過時(shí)稱，在百度上搜索出武警某醫(yī)院的生物免疫療法，隨后在該醫(yī)院治療后致病情耽誤，此后又通過在美同學(xué)了解到，該技術(shù)在美國已被淘汰。此事件在“五一”期間持續(xù)發(fā)酵，迅速登上微博熱搜，引來各界關(guān)注。作為互聯(lián)網(wǎng)的知名品牌，百度以搜索競價(jià)排名為自己的核心業(yè)務(wù)。百度和其它互聯(lián)網(wǎng)企業(yè)一樣，本質(zhì)上是一個(gè)中介，對接了下游的需求和上游的供應(yīng)，但在這虛擬化的背后，也存在著很大的管理問題，很多平臺運(yùn)營商往往受利益的驅(qū)使，在社會責(zé)任和道德之間徘徊。信息系統(tǒng)中的責(zé)任與道德該事件發(fā)生后，百度發(fā)表了內(nèi)部聲明“今天我們作為一家優(yōu)秀的企業(yè)，需要去背負(fù)國家、行業(yè)本該履行的監(jiān)管責(zé)任，這是社會對我們的期待，因?yàn)槟芰υ酱?，?zé)任越大。”所有的企業(yè)更應(yīng)該把之落實(shí)到行動中，從每一個(gè)員工教育開始，深入骨髓。思考：這些案例說明什么問題？據(jù)新聞報(bào)道，張家港的一個(gè)制藥企業(yè)花了2年時(shí)間組織了20多個(gè)人的博士團(tuán)隊(duì)，研制了一種新藥，但在新藥上市短短2個(gè)月不到的時(shí)間里，競爭對手竟然推出了同樣類型的產(chǎn)品，最后經(jīng)公安機(jī)關(guān)調(diào)查發(fā)現(xiàn)，是企業(yè)內(nèi)部員工在不經(jīng)意間把研制的配方和圖紙泄露。據(jù)英國《金融時(shí)報(bào)》報(bào)道，花旗集團(tuán)（Citigro