欢迎来到天天文库
浏览记录
ID:58489750
大小:82.00 KB
页数:8页
时间:2020-05-17
《企业信息安全威胁与层次性解决方案.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、企业信息安全威胁与层次性解决方案1企业信息安全需求的多层次性 信息技术快速的发展和广泛的应用,信息化已成为全球经济社会发展的显著特征,并逐步向全方位的社会变革演进。当前,信息技术已深入到各行各业,甚至影响并改变着普通百姓的生活方式,信息资源也日益成为重要生产要素、无形资产和社会财富。 那么究竟什么是信息安全呢?关于信息安全的定义有很多不同的说法,但其含义都是相似的。信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行
2、,信息服务不中断。 信息安全的保障往往遵循一个原理即木桶原理,其核心内容为:一只水桶盛水的多少,并不取决于桶壁上最高的那块木块,而恰恰取决于桶壁上最短的那块。根据这一核心内容,“水桶理论”还有两个推论: (1)只有桶壁上的所有木板都足够高,那水桶才能盛满水。 (2)只要这个水桶里有一块不够高度,水桶里的水就不可能是满的。信息安全划分为数据安全层、应用安全层、用户安全层、系统安全层、网络安全层和物理安全层。他们之间是相互关联相互影响的,任何一个层次出现问题都可能导致信息安全大厦的倒塌,因此
3、针对不同的安全层我们应用不同的机制保证其安全性。 保障信息安全不仅仅是一个静态的过程,而是如P2DR模型所示的动态过程。P2DR是在整体的安全策略的控制和指导下。在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。各部分的解释。 (1)策略:策略是模型的核心,所有的防护、检
4、测和响应都是依据安全策略实施的。网络安全策略一般包括总体安全策略和具体安全策略2个部分组成。 (2)防护:防护是根据系统可能出现的安全问题而采取的预防措施,这些措施通过传统的静态安全技术实现。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。 (3)检测:当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。检测是动态响应的依据。 (4)响应:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和
5、恢复处理,恢复处理又包括系统恢复和信息恢复。 图1P2DR模型示意图2信息化过程中企业面临的安全威胁及需要的安全服务 2.1信息化过程中企业面临的安全威胁 计算机网络所面临的威胁主要有对网络中信息的威胁和对网络中设备的威胁两种。影响计算机网络的因素有很多,其所面临的威胁也就来自多个方面,主要有: (1)人为的失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享都会对网络安全带来威胁; (2)信息截取:通过信道进行信
6、息的截取,获取机密信息,或通过信息的流量分析,通信频度、长度分析,推出有用信息,这种方式不破坏信息的内容,不易被发现; (3)内部窃密和破坏:是指内部或本系统的人员通过网络窃取机密、泄漏或更改信息以及破坏信息系统。据美国联邦调查局1997年9月进行的一项调查显示,70%的攻击是从内部发动的,只有30%是从外部攻进来的; (4)黑客攻击:黑客已经成为网络安全的克星。近年来,特别是2000年2月7—9日,美国著名的雅虎、亚马逊等8大顶级网站接连遭受来历不明的电子攻击,导致服务系统中断,整个因特网
7、使用率2d时间内下降20%,这次攻击给这些网站的直接损失达12亿美元,间接经济损失达10亿美元; (5)技术缺陷:由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,由此可造成网络的安全隐患; (6)病毒:从1988年报道的第一例病毒(蠕虫病毒)侵入美国军方互联网,导致8500台计算机染毒和6500台停机,造成直接经济损失近1亿美元,此后这类事情此起彼伏,从2001年红色代码到今年的冲击波和震荡波等病毒发作的情况看,计算机病毒感染方式已从单机的被动传播变成了利用网络的主
8、动传播,不仅带来网络的破坏,而且造成网上信息的泄漏,特别是在专用网络上,病毒感染已成为网络安全的严重威胁。另外,对网络安全的威胁还包括自然灾害等不可抗力因素。2.2信息化过程中企业需要的安全服务 (1)真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别。 (2)保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。 (3)完整性:保证数据的一致性,防止数据被非法用户篡改。 (4)可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。
此文档下载收益归作者所有