企业信息安全的管理与防护

中图分类号:TP311文献标识码:A文章编号:1671-2064(2017)06-0020-02

随着现代化无纸办公要求的提高,相应的也就要求了现在企业办公离不开网络,便于办公的企业都自行建立了自己的企业内网,企业自身处内网环境中,黑客难以入侵论文网。但实际上,无线网络。众多智能设备(如手机。Pad等)为黑客提供了更多便利,而企业所信任的防火墙在黑客面前形同虚设。“知名企业信息安全顾问。国家企业信息安全最高认证(CISP)金牌讲师张胜生在讲座中对目前国内企业普遍缺乏企业信息安全专业团队,漠视企业信息安全的现状表示担忧。

2013年中央电视台播出的棱镜门“一时闹的沸沸扬扬,棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年小布什时期起开始实施的绝密电子监听计划。美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音频。视频。图片。邮件。文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮。即时消息。视频。照片。存储数据。语音聊天。文件传输。视频会议。登录时间。社交网络资料的细节,其中包括两个秘密监视项目,一是监视。监听民众电话的通话记录,二是监视民众的网络活动。

该类事件也反应了关于企业及个人企业信息安全的问题。

1企业信息安全管理基础

1。1企业信息安全事件分析

统计结果表明,在所有企业信息安全事故中,只有20百分号-30百分号是由于黑客入侵或其他外部原因造成的,70百分号-80百分号是由于内部人员的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术是无法实现从最大威胁“到最可靠防线“转变的。

1。2企业信息安全管理的需求

企业信息安全取决于两个因素:技术和管理。安全技术是企业信息安全的构筑材料,安全管理是真正的粘合剂和催化剂,企业信息安全管理是预防。阻止和减少企业信息安全事件发生的重要保障。

1。3信息安全保障的内涵

信息安全保障要综合技术。管理。工程和人。应融入信息系统生命周期的全过程,目的不仅仅是保障信息系统本身,更应该是通过保障信息系统,从而保障运行于信息系统之上的业务系统。保障组织机构。信息安全保障不仅仅是孤立的自身的问题,更应该是一个社会化的。需要各方参与的工作,信息安全保障是主观和客观的结合。

2企业信息系统安全系统结构组成要素

实现企业信息安全系统结构的安全,要从多方面考虑,通常定义包括安全属性。系统组成。安全策略。安全机制等4个方面。在每一个方面中,还可以继续划分多个层次;对于一个给定的层次,包含着多种安全要素。

2。1安全属性

安全本身是对信息系统一种属性要求,信息系统通过安全服务来实现安全性。基本的安全服务包括标识与鉴别。保密性。完整性。可用性等。安全服务和安全机制的对应关系如下:5大类安全服务:身份鉴别。访问控制。数据保密。数据完整性。不可否认性及提供这些服务的8类安全机制及其相应的OSI安全管理等对应OSI模型的7层协议中的不同层,以实现端系统企业信息安全传送的通信通路。这样从安全性到安全服务机制到具体安全技术手段形成了安全属性的不同层次。

2。2系统组成

系统组成描述信息系统的组成要素。对于信息系统的组成划分,有不同的方法。可以分为硬件和软件,在硬件和软件中又可以进一步地划分。对于分布的信息系统,可以将信息系统资源分为用户单元和网络单元,即将信息系统的组成要素分为本地计算环境和网络,以及计算环境边界。

2。3安全策略

在安全系统结构中,安全策略指用于限定一个系统。实体或对象进行安全相关操作的规则。即要表明在安全范围内什么是允许的,什么是不允许的。直接体现了安全需求,并且也有面向不同层次。视图及原理的安全策略。其描述内容和形式也各不相同。对于抽象型和一般型安全系统结构而言,安全策略主要是对加密。访问控制。多级安全等策略的通用规定,不涉及具体的软硬件实现;而对于具体型安全系统结构,其安全策略则是要对实现系统安全功能的主体和客体特性进行具体的标识和说明,亦即要描述允许或禁止系统和用户何时执行哪些动作,并要能反射到软硬件安全组件的具体配置,如,网络操作系统的账号。用户权限等。

2。4安全机制

安全机制是实现信息系统安全需求及安全策略的各种措施,具体可以表现为所需要的安全标准。安全?f议。安全技术。安全单元等。对于不同层次。不同视图及不同原理的安全系统结构,安全机制的重点也有所不同。例如:OSI安全系统结构中建议采用7种安全机制。而对于特定系统的安全系统结构,则要进一步说明有关安全机制的具体实现技术,如认证机制的实现可以有口令。密码技术及实体特征鉴别等方法。

3企业信息安全攻防技术

3。1恶意代码及网络安全攻防

3。1。1恶意代码定义

恶意代码(UnwantedCode,MaliciousSoftware,Malware,Malicouscode)是指没有作用却会带来危险的代码。

恶意代码类型:二进制代码。二进制文件。脚本语言。宏语言。3。1。2恶意代码传播方式

移动存储。文件传播。网络传播。网页。电子邮件。漏洞。共享。即时通讯。软件捆绑。

3。2恶意代码的防治

增强安全策略与意识:减少漏洞。补丁管理。主机加固。减轻威胁。防病毒软件。间谍软件检测和删除工具。入侵检测/入侵防御系统。防火墙。路由器。应用安全设置等。

3。3恶意代码检测技术

3。3。1特征码扫描

工作机制:特征匹配。病毒库(恶意代码特征库)。扫描(特征匹配过程)。优势。准确(误报率低)。易于管理不足。效率问题(特征库不断庞大。依赖厂商)。滞后(先有病毒后有特征库,需要更新特征库)。

3。3。2恶意代码检测技术-沙箱技术

工作机制:将恶意代码放入虚拟机中执行,其执行的所有操作都被虚拟化重定向,不改变实际操作系统优势。

优点:能较好的解决变形代码的检测。

3。3。3恶意代码检测技术-行为检测

工作机制:统计数据。恶意代码行为有哪些。行为符合度。

优势:能检测到未知病毒。

不足:误报率高。

难点:病毒不可判定原则。

3。3。4恶意代码清除技术

恶意代码清除技术有:

(1)感染引导区型。修复/重建引导区。(2)文件感染型。附着型:病毒行为逆向还原。替换型:备份还原。(3)独立型:独立可执行程序:终止进程。删除。(4)独立依附型:内存退出。删除。(5)嵌入型。(6)更新软件或系统。(7)重置系统。

4企业信息安全攻防技术常见的手段和工具

4。1攻击的过程

4。1。1攻击的过程

信息安全??中攻击方式有:信息收集。目标分析。实施攻击,留后门方便再次进入。打扫战场,清理入侵记录。

针对以上提到的行为了解其原理并考虑应对措施网络攻击的方式:(1)主动攻击:扫描。渗透。拒绝服务等。(2)被动攻击:嗅探。钓鱼等。

攻击过程的一些术语:后门。0-day。提权。

4。1。2信息收集攻击的第一步

信息收集-攻击的第一步:获取攻击目标资料,网络信息,主机信息,应用部署信息,漏洞信息,其他任何有价值的信息,分析目标信息。寻找攻击途径,排除迷惑信息,可被利用的漏洞,利用工具。

4。2收集哪些信息

目标系统的信息系统相关资料:域名。网络拓扑。操作系统。应用软件。相关脆弱性。目标系统的组织相关资料。组织架构及关联组织。地理位置细节。电话号码。邮件等联系方式。近期重大事件。员工简历。其他可能令攻击者感兴趣的任何信息。

4。2。1信息收集的技术

(1)公开信息收集(媒体。搜索引擎。广告等)。(2)域名及IP信息收集(whois。nslookup等)。(3)网络结构探测(Ping。tracert等)。(4)系统及应用信息收集(端口扫描。旗标。协议指纹等)。(5)脆弱性信息收集(nessus。sss等)。

4。2。2域名信息收集

在维护企业信息安全的过程中需要搜集域名信息:(1)NSlookup域名解析查询。(2)Whois是一个标准服务,可以用来查询域名是否被注册以及注册的详细资料Whois可以查询到的信息。(3)域名所有者。(4)域名及IP地址对应信息。(5)联系方式。(6)域名注册日期。(7)域名到期日期。(8)域名所使用的DNSServers。

4。3工具介绍

4。3。1检索工具

基础检索工具:(1)TFN2K。(2)Trinoo。

4。3。2电子欺骗的类型

(1)IP欺骗(IPSpoof)。(2)TCP会话劫持(TCPHijack)。(3)ARP欺骗(ARPSpoof)。(4)DNS欺骗(DNSspoof)。(5)路由欺骗(ICMP重定向报文欺骗。RIP路由欺骗。源径路由欺骗)。

4。3。3利用应用脚本开发的缺陷-SQL注入

SQL注入原理:SQL注入(SQLInjection):程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据或进行数据库操作。

4。3。4SQL注入防御

防御的对象:所有外部传入数据。用户的输入。提交的URL请求中。参数部分。从cookie中得到的数据。其他系统传入的数据。

防御的方法:

白名单:限制传递数据的格式。

黑名单:过滤特殊字串:update。insert。delete等。

开发时过滤特殊字符:单引号。双引号。斜杠。反斜杠。冒号。空字符等的字符。部署防SQL注入系统或脚本。

5结语

在了解信息安全和风险管理基础上,结合企业安全需求和信息安全风险管理实践,提出企业信息安全风险管理的框架,用以指导企业信息安全的实践。结合实际的网络构架。通常遇到的网络攻击,给出了企业通过具体安全项目实施信息安全风险管理的方法,以引导企业安全系统的建立。

企业信息安全的管理与防护