2011-8
目錄一、資訊系統安全的含義 3
二、資訊系統涉及的內容 4
三、現有資訊系統存在的突出問題 6
1、資訊系統安全管理問題突出 6
2、缺乏資訊化安全意識與對策 6
3、重安全技術,輕安全管理 7
4、系統管理意識淡薄 7
四、資訊系統安全技術及規劃 7
1、網路安全技術及規劃 7
(1)網路加密技術 8
(2)防火牆技術、內外網隔離、網路安全域的隔離 9
(3)網路位址轉換技術 10
(4)作業系統安全核心技術 10
(5)身份驗證技術 11
(6)網路防病毒技術 11
(7)網路安全檢測技術 12
(8)安全審計與監控技術 13
(9)網路備份技術 13
2、資訊保安技術及規劃 14
(1)鑑別技術 14
(2)資料資訊加密技術 15
(3)資料完整性鑑別技術 15
(4)防抵賴技術 15
(5)資料儲存安全技術 16
(6)資料庫安全技術 16
(7)資訊內容審計技術 17
五、資訊系統安全管理 17
1、資訊系統安全管理原則 17
(1)、多人負責原則 17
(2)、任期有限原則 18
(3)、職責分離原則 18
2、資訊系統安全管理的工作內容 19
資訊系統安全包括兩方面的含義,一是資訊保安,二是網路安全,涉及到的試資訊化過程中被保護資訊系統的整體的安全,是資訊系統體系性安全的綜合。具體來說,資訊保安指的是資訊的保密性、完整性和可用性的保持;網路安全主要從通訊網路層面考慮,指的是使資訊的傳輸和網路的執行能夠得到安全的保障,內部和外部的非法攻擊得到有效的防範和遏制。
資訊系統安全概括的講,根據保護目標的要求和環境的狀況,資訊網路和資訊系統的硬體、軟體機器資料需要受到可靠的保護,通訊、訪問等操作要得到有效保障和合理的控制,不受偶然的或者惡意攻擊的原因而遭受到破壞、更改、洩漏,系統連續可靠正常的執行,網路服務不被中斷。資訊化安全的保障涉及網路上資訊的保密性、完整性、可用性、真實性和可控性的相關技術和理論,涉及到安全體系的建設,安全風險的評估、控制、管理、策略指定、制度落實、監督審計、持續改進等方面的工作。
資訊化安全與一般的安全範疇有許多不同的特點,資訊化安全有其特殊性,首先,資訊化安全使不能完全達到但有需要不斷追求的狀態,所謂的安全是相對比較而言的。其次,資訊化安全是乙個過程,是前進的方向,不是靜止不變的。只有將該過程針對保護目標資源不斷的應用於網路和其支撐體系,才可能提高系統的安全性。
第三,在資訊系統安全中,人始終是乙個重要的角色,由於人的動機、素質、品德、責任、心情等因素,在管理、操作、攻擊等方面有不同表現,可能造成資訊系統的安全問題。第四,資訊系統安全是乙個不斷對付攻擊的迴圈過程,攻擊和防禦是迴圈中交替的矛盾性角色。防禦攻擊的技術、策略和管理並不是一勞永逸的,需要更新適應性的發展需求。
第五,資訊系統安全是需要定期進行風險評估的,風險存在和規避風險都是不斷變化的。
資訊系統安全涉及的內容既有技術方面的問題,更重要的是管理方面的問題,兩方面相互補充,缺一不可。技術方面主要側重於防範、記錄、診斷、審計、分析、追溯各種攻擊,管理方面側重於相應於技術實現採取的人員、流程管理和規章制度。因此,從某種意義上講,資訊系統安全不僅是技術難題,而且也是管理問題。
資訊系統安全所涉及到的主要內容包括:
·系統執行的安全:
主要側重於保證資訊處理和通訊傳輸系統的安全。其安全的要求是保證系統正常執行,避免因為系統的崩潰和損壞而對系統儲存、處理和傳輸的資訊造成破壞和損失,避免物理的不安全導致執行的不正常或癱瘓,避免由於電磁洩露而產生資訊洩漏,干擾他人或受他人干擾。
·訪問許可權和系統資訊資源保護:
對網路中的各種軟硬體資源(主機、硬碟、檔案、資料庫、子網等)進行訪問控制,防止未授權的使用者進行非法訪問,訪問許可權控制技術包括口令設定、身份識別、路由設定、埠控制等。系統資訊資源保護包括身份認證、使用者口令鑑別、使用者訪問許可權控制、資料庫訪問許可權控制、安全審計、計算機病毒防治、資料保密、資料備份、災難恢復等。
·資訊內容安全:
側重與保護資訊的保密性、真實性和完整性。避免攻擊者利用系統的漏洞進行竊聽、冒充、詐騙等有損合法使用者的行為。資訊內容安全還包括資訊傳播產生後果的安全、資訊過濾等,防止和控制非法、有害的資訊進行傳播後的後果。
·作業和交易的安全:
網路中的兩個實體之間的資訊交流不被非法竊取、篡改和冒充,保證資訊在通訊過程中的真實性、完整性、保密性和不可否認性。作業和交易安全的技術包括資料加密、身份認證。數字簽名等,其核心是加密技術的應用。
·人員和安全的規章制度保障:
重大的資訊化安全事故通常來自單位阻止的內部,所以對於人員的管理、確定資訊系統安全的基本方針和相應的規章管理制度,是資訊系統安全不可缺少的乙個部分。在人員角色、流程、職責、考察、審計、聘任、解聘、辭職、培訓、責任分散等方面,建立可操作的管理安全防範體系。
·安全體系整體的防範和應急反應功能:
對於資訊系統涉及到的安全問題,建立系統的防範體系,對可能出現的安全威脅和破壞進行預演,對出現的災難、意外的破壞能夠及時的恢復。
資訊系統安全管理包括三個層次的內容:組織建設、制度建設和人員意識。組織建設問題是指有關資訊保安管理機構的設立。
資訊保安的管理包括安全規劃、風險管理、應急反應計畫、安全教育培訓、安全策略制定、安全系統的評估和審計等多方面的內容。安全管理雖然有一些機構成立,但是各個機構的職責並不是很明確,建立的規章制度可落實性差,甚至沒有規章制度。對人的管理,還需要解決多人負責、責任到人、任期有限的問題。
領導對資訊化還不夠重視,沒有形成群防群治的意識。資訊保安的教育和培訓還不夠。
管理層新在對資訊資產所面臨威脅的嚴重性認識不足,或者只限於資訊科技安全方面,沒有形成乙個合理的資訊化安全整體方針來指導和組織資訊化安全管理工作,表現為缺乏完整的資訊保安管理制度,缺乏對員工進行必要的安全法律法規和安全風險防範教育和培訓,現有的安全規章制度組織機構未能嚴格發揮作用。
雖然現在使用計算機、內部辦公區域網來構建資訊系統,但是相應的管理措施不到位,如系統執行、維護、開發等崗位不清,職責部分,存在一人身兼數職現象。資訊化安全大約70%以上的問題是由於管理方面的原因造成的,也就是解決資訊化安全問題,不僅僅從技術方面入手,同時更應該加強安全管理的工作。
現有的安全管理模式仍是傳統的管理方法,出了問題才去想補救的辦法,頭疼醫頭,腳疼醫腳,是一種就事論事,靜態的管理辦法,不是建立唉安全風險評估基礎之上的動態的持續改進管理辦法。
由於網際網路所存在的諸多不安全因素,使得網路使用者必須採取相應的網路安全技術來堵塞漏洞,保證提供通訊服務的安全性。快速發展的網路安全技術能從不同角度逐步保護網路資訊不受侵犯,網路安全的基本技術主要包括網路加密技術、防火牆技術、網路位址轉換技術、作業系統安全核心技術、身份驗證技術、網路防病毒技術、檢測審計技術、備份技術等。
網路資訊加密的目的是保護網內的資料、檔案、口令和控制資訊,保護網上傳輸的資料。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。
鏈路加密的目的是保護網路節點之間的鏈路資訊保安;端點加密是對源端使用者到目的端使用者的資料提供加密保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。
一般常用的加密方法是鏈路加密和端點加密。鏈路加密側重於在通訊鏈路上而不考慮信源和信宿,是對保密資訊通過各鏈路採用不同的加密金鑰提供安全保護。鏈路加密是面向節點的,對於網路高層主體是透明的,它對高層的協議資訊(位址、檢錯、幀頭幀尾)都加密,因此資料在傳輸中是密文的,但在**節點必須解密得到路由資訊。
端到端加密是指資訊由傳送端自動加密,形成tcp/ip資料報,然後作為不可閱讀和不可識別的資料穿過網路,當這些資訊一旦到達目的地,將自動解密、重組,成為可讀資料。端點加密是面向網路高層主體的,它不對下層協議進行資訊加密,協議資訊以明文的形式傳輸,使用者資料在**節點不需解密。
端點加密系統的**比較便宜,並且與鏈路加密和節點加密相比更可靠,更容易設計、實現和維護。端點加密還避免了其他加密系統所固有的同步問題,此外,從使用者的角度出發,端點加密更自然些,在對資料資訊進行加密的同時,不影響網路上其他的使用者。
在內外部網路之間,設定防火牆(包括分組過濾和應用**)實現內外網的隔離與訪問控制是保護內部網路安全的主要措施之一。防火牆可以表示為:防火牆=過濾器+安全策略+閘道器。
防火牆可以監控進出網路的資料資訊,從而完成僅讓安全、核准的資料資訊進入,同時又位址對內部網路構成威脅的資料進入任務。通常,防火牆服務的主要目的是:限制他人進入內部網路、過濾掉不安全服務和非法使用者、限定訪問的特殊站點等等。
防火牆的主要技術型別包括網路級資料報過濾器和應用級**伺服器。由於網路級資料報過濾器和應用級**伺服器兩種型別的防火牆系統各有優缺點,因此在實際中,應將二者結合起來使用。分組過濾器作用在網路層和傳輸層,只有滿足過濾邏輯的資料報才被**到相應的目的地出口端,其餘資料報則被從資料流中丟棄。
應用**,俗稱"閘道器",作用在應用層,特點是完全隔絕了網路通訊流,通過對各種應用服務編制專門的**程式,實現監視和控制應用層通訊流的作用。實際中的應用閘道器通常有專用工作站實現。
對於內部網路不同網路安全域的隔離及訪問控制,防火牆被用來隔離內部網路的乙個網段與另外乙個網段。這樣就能防止影響乙個網段的問題穿過整個網路傳播。針對某些網路,在某些情況下,它的一些區域網的某個網段比另乙個網段更受信任,或者某個網段比另乙個更敏感,這樣,在它們之間設定防火牆就可以限制區域性網路安全問題對全域性網路造成的影響。
網路位址轉換技術也稱為位址共享器或位址對映器,設計的初衷是為了解決網路ip位址不足的問題,現在多用於網路安全。內部主機向外部主機連線時,使用同乙個ip位址,相反的,外部主機要向內部主機連線時,必須通過閘道器對映到內部主機上。它使外部網路看不到內部網路,從而隱藏內部網路,達到保密的目的,使系統的安全性提高,並且節約從isp處得到的外部ip位址。
停車場監控系統整體解決方案
一 專案概述 近年來,隨著城鄉居民的生活水平有了顯著的提高,衣食住行等基本生活條件不斷改善,擁有機動車的居民越來越多,隨之而來的車輛防盜問題也越來越受到重視。然而小區物業管理存在的不完善問題,對車輛形成了一定的安全隱患,使得犯罪分子有了可乘之機,另外當出現車輛刮蹭碰撞的時候,也沒有足夠的證據辨清是非...
精益生產Andon系統整體解決方案
專業現場管理等精益解決方案諮詢 020精益生產andon系統整體解決方案 摘要 安燈系統是是實現精益生產之jit生產的乙個核心工具,利用安燈系統可對生產現場的裝置 人員 品質 物料等問題進行視覺化管理,使員工和主管等相關人員能在第一時間發現問題的根源並解決問題。安燈系統由於其特殊性和實用性,在汽車行...
智慧型校園整體解決方案
中學智慧型校園 整體解決方案 山東有資訊鴻股份 2016 3 山東有鴻資訊股份 的前身濟南有鴻通訊技術 成立於2003年8月,是目前山東最具創新性的資訊化技術服務商之一。成立十多年以來,有鴻一直秉承 做值得信賴的合作者,做秉持本心的服務者 的理念,緊跟世界資訊科技發展的浪潮,始終處於穩健發展的狀態和...