1企業辦公中的信息安全威脅
企業辦公的信息系統是基於公司防火牆、伺服器、訪問web、郵件、公司內部網絡、辦公pc機、資料庫、網際網路技術及相應的輔助硬體設備組成的,是一個綜合管理系統。從安全形勢來看,企業辦公的信息系統存在著嚴重的威脅。信息設備提供了便捷及資源共享,但同時在安全方面又是脆弱和複雜的,對數據安全和保密構成威脅。潛在的安全威脅主要有以下方面:信息泄露:信息被泄露或透露給某個非授權的實體;破壞信息的完整性:數據未經非授權被增刪、修改或破壞而受到損失;拒絕服務:對信息或其他資源的合法訪問被無條件地阻止;非授權訪問:某一資源被某個非授權的人,或以非授權的方式使用;竊聽:用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息;業務流分析:通過對系統進行長期監聽,利用統計分析方法對某些參數進行研究,從中發現有價值的信息和規律;假冒:通過欺騙通信系統(或用戶)達到非法用戶冒充成為合法用戶,或者特權小的用戶冒充成為特權大的用戶的目的。黑客大多是採用假冒攻擊;旁路控制:攻擊者利用系統的安全缺陷或安全性上的脆弱獲得非授權的權利;授權侵犯:被授權以某一目的使用某一系統或資源的某個人,卻將此權限用於其他非授權的目的,也稱作「內部攻擊」;特洛伊木馬:軟體中含有一個覺察不出的有害的程序段,當其被執行時,會破壞用戶的安全;陷阱門:在某個系統或某個部件中設置的「機關」,使得在特定的數據輸入時,允許違反安全策略;抵賴:這是一種來自用戶的攻擊,如否認自己曾經過的某條消息、偽造一份對方來信等;重放:出於非法目的,將所截獲的某次合法的通信數據進行拷貝,而重新發送;計算機病毒:一種在計算機系統運行過程中能夠實現傳染和侵害功能的程序;人員不慎:一個授權的人為了某種利益,或由於粗心,將信息泄露給一個非授權的人;媒體廢棄:信息被從廢棄的磁碟或列印過的存儲介質中獲得;物理侵入:侵入者繞過物理控制而獲得對系統的訪問;竊取:重要的安全物品,如令牌或身份卡被盜;業務欺騙:某一偽系統或系統部件欺騙合法的用戶或系統自願地放棄敏感信息等。
2企業辦公中的信息安全策略
2.1保護網絡安全
網絡安全是為保護企業內部各方網絡端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網絡安全的重要因素。保護網絡安全的主要措施如下:全面規劃網絡平台的安全策略;制訂網絡安全的管理措施;使用防火牆;儘可能記錄網絡上的一切活動;注意對網絡設備的物理保護;檢驗網絡平台系統的脆弱性;建立可靠的鑑別機制。
2.2保護應用安全
保護應用安全,主要是針對特定應用(如Web伺服器、資料庫伺服器、ftp伺服器等)所建立的安全防護措施,這種安全防護措施獨立於網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業務的一種替代或重疊,如Web瀏覽器和Web伺服器在應用層上對網絡支付結算信息包的加密,都通過地址層加密,但是許多應用還有自己的特定安全要求。由於應用層對安全的要求最嚴格、最複雜,因此更傾向於在應用層而不是在網絡層採取各種安全措施。雖然網絡層上的安全仍有其特定地位,但是人們不能完全依靠它來解決企業信息系統的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。
2.3保護系統安全
保護系統安全,是指從整體信息系統的角度進行安全防護,與網絡系統硬體平台、作業系統、各種應用軟體等互相關聯,其安全策略包含下述一些措施:①在安裝的軟體中,檢查和確認未知的安全漏洞;②技術與管理相結合,使系統具有最小穿透風險性。③建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
2.4加強員工的信息安全培訓
企業辦公中,員工在上班時經常進行一些與工作無關的計算機操作,不僅影響網絡速度,更影響系統安全。因此,在整個企業辦公中的信息系統管理中,人為因素最重要,必須加強對計算機使用者的安全培訓。
作者:吳霞 單位:中石油遼河油田分公司特種油公司
企業辦公的信息系統是基於公司防火牆、伺服器、訪問web、郵件、公司內部網絡、辦公pc機、資料庫、網際網路技術及相應的輔助硬體設備組成的,是一個綜合管理系統。從安全形勢來看,企業辦公的信息系統存在著嚴重的威脅。信息設備提供了便捷及資源共享,但同時在安全方面又是脆弱和複雜的,對數據安全和保密構成威脅。潛在的安全威脅主要有以下方面:信息泄露:信息被泄露或透露給某個非授權的實體;破壞信息的完整性:數據未經非授權被增刪、修改或破壞而受到損失;拒絕服務:對信息或其他資源的合法訪問被無條件地阻止;非授權訪問:某一資源被某個非授權的人,或以非授權的方式使用;竊聽:用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息;業務流分析:通過對系統進行長期監聽,利用統計分析方法對某些參數進行研究,從中發現有價值的信息和規律;假冒:通過欺騙通信系統(或用戶)達到非法用戶冒充成為合法用戶,或者特權小的用戶冒充成為特權大的用戶的目的。黑客大多是採用假冒攻擊;旁路控制:攻擊者利用系統的安全缺陷或安全性上的脆弱獲得非授權的權利;授權侵犯:被授權以某一目的使用某一系統或資源的某個人,卻將此權限用於其他非授權的目的,也稱作「內部攻擊」;特洛伊木馬:軟體中含有一個覺察不出的有害的程序段,當其被執行時,會破壞用戶的安全;陷阱門:在某個系統或某個部件中設置的「機關」,使得在特定的數據輸入時,允許違反安全策略;抵賴:這是一種來自用戶的攻擊,如否認自己曾經過的某條消息、偽造一份對方來信等;重放:出於非法目的,將所截獲的某次合法的通信數據進行拷貝,而重新發送;計算機病毒:一種在計算機系統運行過程中能夠實現傳染和侵害功能的程序;人員不慎:一個授權的人為了某種利益,或由於粗心,將信息泄露給一個非授權的人;媒體廢棄:信息被從廢棄的磁碟或列印過的存儲介質中獲得;物理侵入:侵入者繞過物理控制而獲得對系統的訪問;竊取:重要的安全物品,如令牌或身份卡被盜;業務欺騙:某一偽系統或系統部件欺騙合法的用戶或系統自願地放棄敏感信息等。
2企業辦公中的信息安全策略
2.1保護網絡安全
網絡安全是為保護企業內部各方網絡端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網絡安全的重要因素。保護網絡安全的主要措施如下:全面規劃網絡平台的安全策略;制訂網絡安全的管理措施;使用防火牆;儘可能記錄網絡上的一切活動;注意對網絡設備的物理保護;檢驗網絡平台系統的脆弱性;建立可靠的鑑別機制。
2.2保護應用安全
保護應用安全,主要是針對特定應用(如Web伺服器、資料庫伺服器、ftp伺服器等)所建立的安全防護措施,這種安全防護措施獨立於網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業務的一種替代或重疊,如Web瀏覽器和Web伺服器在應用層上對網絡支付結算信息包的加密,都通過地址層加密,但是許多應用還有自己的特定安全要求。由於應用層對安全的要求最嚴格、最複雜,因此更傾向於在應用層而不是在網絡層採取各種安全措施。雖然網絡層上的安全仍有其特定地位,但是人們不能完全依靠它來解決企業信息系統的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。
2.3保護系統安全
保護系統安全,是指從整體信息系統的角度進行安全防護,與網絡系統硬體平台、作業系統、各種應用軟體等互相關聯,其安全策略包含下述一些措施:①在安裝的軟體中,檢查和確認未知的安全漏洞;②技術與管理相結合,使系統具有最小穿透風險性。③建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
2.4加強員工的信息安全培訓
企業辦公中,員工在上班時經常進行一些與工作無關的計算機操作,不僅影響網絡速度,更影響系統安全。因此,在整個企業辦公中的信息系統管理中,人為因素最重要,必須加強對計算機使用者的安全培訓。
作者:吳霞 單位:中石油遼河油田分公司特種油公司
收藏