返回
信息系统安全管理的问题和对策

信息系统安全管理的问题和对策

ID:21498092

大小:29.00 KB

页数:8页

时间:2018-10-22

信息系统安全管理的问题和对策_第1页
信息系统安全管理的问题和对策_第2页
信息系统安全管理的问题和对策_第3页
信息系统安全管理的问题和对策_第4页
信息系统安全管理的问题和对策_第5页
资源描述:

《信息系统安全管理的问题和对策》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、信息系统安全管理的问题和对策  本文主要研究了企业信息系统的现状及防范措施。首先,分析了信息系统普遍存在的安全问题;其次,在此基础上,依据法律法规、行业标准及信息系统安全等级保护要求,对信息系统从技术手段和管理措施等方面提出了一些防范措施;最终对信息安全工作进行了肯定和展望。  【关键词】信息系统身份鉴别漏洞扫描信息安全管理体系(ISMS)  近年来,“Locky勒索软件变种”、““水牢漏洞””、“支付宝实名认证信息漏洞”、“京东12G用户数据泄露”、“700元买他人隐私信息”等信息安全事件层出不穷,引起各国领导的重视和社会关注。为提高网络安全和

2、互联网治理,2014年,我国成立了以习近平主席为最高领导的信息安全管理机构-中央网信办;2016年11月,在中国乌镇举行了《第三届世界互联网大会》。通过一系列的行为,为求现有的网络系统能够提高安全能力,为广大社会群众提供服务的同时,能够保证人民的利益。  信息系统是由硬件、软件、信息、规章制度等组成,主要以处理信息流为主,信息系统的网络安全备受关注。企业在应对外部攻击,安全风险的同时,当务之急是建立一套完整的信息安全管理体系。在统一的体系管控下,分布实施,开展各项安全工作。  目前,大多数企业的信息安全工作比较单一,主要是部署安全防护设备,进行简

3、单的配置。信息安全工作不全面,安全管理相对薄弱,不足以抵抗来自外部的威胁。  1信息安全问题  1.1身份鉴别不严格  考虑到方便记忆和频繁的登录操作,企业普遍存在管理员账号简单或者直接采用系统的默认账号现象,并且基本不设定管理员的权限,默认使用最大权限。一旦攻击者通过猜测或其他手段获得管理员账号,攻击者如入无人之境,可以任意妄为。最终可造成数据泄露,系统瘫痪等不可估量的严重后果。注重信息安全的企业会修改默认管理员账号,设定较为复杂的口令,并定期进行口令更换。但是也仅仅使用一种身份鉴别技术,不足以抵抗外部攻击。  1.2外部攻击,层出不穷  随着

4、计算机技术的发展,信息系统的外部攻?簦?层出不穷。攻击者利用网络系统的漏洞和缺陷,攻击系统软件、硬件和数据,进行非法操作,造成系统瘫痪或者数据丢失。目前主要存在的攻击手段包括扫描技术、邮件  攻击、拒绝服务攻击、口令攻击、恶意程序等等;入侵常用的步骤包括采用漏洞扫描工具进行扫描、选择合适的方式入侵、获取系统的一定权限、提升为系统最高权限、安装系统后门、获取敏感信息或者其他攻击目的。攻击者会根据系统特性和网络结构采取不同的手段对网络进行攻击,如果不采取相应的防御手段,很容易被黑客攻击,造成损失。  1.3员工安全意识薄弱  很多互联网企业的员工缺乏

5、信息安全意识,存在离开办公电脑时不锁屏现象;将重要客户信息、合同等敏感材料放在办公桌上或者不及时取走打印机房内的材料;优盘未经杀毒直接连接公司电脑;随意点击不明邮件的链接;更有员工将系统账号、密码粘贴在办公桌上;在系统建设阶段,大到管理者,小到开发人员、测试人员,均注重技术实现和业务要求,而忽略了系统的安全和管理。由于员工的信息安全意识较为薄弱,很容易造成公司信息泄露,进而导致公司的损失。  1.4内部管理制度不完善  俗话说,“不以规矩,不能成方圆”。未形成全面的信息安全管理制度体系,缺失部分安全策略、管理制度、操作规程,可能导致信息安全管理制

6、度体系存在疏漏,部分管理内容无法有效实施。使相关工作过程缺乏规范依据和质量保障,进而影响到信息系统的安全建设和安全运维。比如在软件开发过程中,开发人员会因为各种原因而忽略安全开发(存在开发人员没有意识到代码安全开发的问题;有些开发人员不愿意使用边界检查,怕影响系统的效率和性能;当然也存在许多遗留代码存在问题的现象,从而导致二次开发同样产生问题),可能导致系统存在后门,被黑客攻击。  2防范措施  企业需依据《信息安全等级保护管理办法(公通字[2007]43号)》、《中华人民共和国网络安全法》》、《ISO/IEC27001》等标准和法律法规进行信息

7、系统安全建设工作。测评机构在网安的要求下,对企业信息系统的安全进行测评,并出具相应测评结果。根据测评结果和整改建议,采用相应的技术手段(安全认证、入侵检测、漏洞扫描、监控管理、数据备份与加密等)和管理措施(安全团队、教育与培训、管理体系等)对信息系统进行整改。如图1所示。  2.1技术手段  2.1.1安全认证  身份鉴别是指在计算机系统中确认执行者身份的过程,以确定该用户是否具有访问某种资源的权限,防止非法用户访问系统资源,保障合法用户访问授权的信息系统。凡登录系统的用户,均需进行身份鉴别和标识,且标识需具有唯一性。用户身份鉴别机制一般分为用户

8、知道的信息、用户持有的信息、用户生物特征信息三种。针对不同鉴别机制,常用的鉴别技术(认证技术)如表1所示。  不同的认证技术,在安全性、

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。