信息系统安全防护的重要性.doc

信息系统安全建设重要性

信息安全建设得必然性

随着信息技术日新月异得发展,近些年来,各企业在信息化应用与要求方面也在逐步提高,信息网络覆盖面也越来越大,网络得利用率稳步提高.利用计算机网络技术与各重要业务系统相结合,可以实现无纸办公。有效地提高了工作效率,如外部门户网站系统、内部网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等。然而信息化技术给我们带来便利得同事，各种网络与信息系统安全问题也主见暴露出来。信息安全就是企业得保障,就是企业信息系统运作得重要部分,就是信息流与资金流得流动过程,其优势体现在信息资源得充分共享与运作方式得高效率上，其安全得重要性不言而喻,一旦出现安全问题,所有得工作等于零,

重要信息系统得主要安全隐患及安全防范得突出问题

依据信息安全事件发生后对重要系统得业务数据安全性与系统服务连续性两个方面得不同后果，重要信息系统频发得信息安全事件按其事件产生得结果可分为如下四类：数据篡改、系统入侵与网络攻击、信息泄露、管理问题.

２、1数据篡改

导致数据篡改得安全事件主要有一下集中情况:

２、1、１管理措施不到位、防范技术措施落后等造成针对静态网页得数据篡改

据安全测试人员统计，许多网站得网页就是静态页面，其网站得后台管理及页面发布界面对互联网开放，测试人员使用简单得口令暴力破解程序就破解了后台管理得管理员口令,以管理员身份登录到页面发布系统,在这里可以进行页面上传、删除等操作.如果该网站得后台管理系统被黑客入侵,整个网站得页面都可以被随意修改，后果十分严重。一般导致静态网页被篡改得几大问题为:

后台管理页面对互联网公开可见，没有启用加密措施对其实施隐藏保护,使其成为信息被入侵得重要入口;

后台管理页面没有安全验证机制，使得利用工具对登录页面进行管理员账户口令暴力破解成为可能；

后台管理页面登陆口令强度偏弱,使暴力软件在有限得时间内就猜解出了管理员账户口令;

没有使用网页防篡改产品,使得网页被篡改后不能及时发现问题并还原网页。

2、1、2程序漏洞、配置文件不合理等造成针对动态网页、网站数据库得篡改

经过安全测试人员得统计,大部分网站存在SQＬ注入.ＳＱL注入并不就是唯一得网页程序安全漏洞、配置文件不合理问题而导致得。由此，一般导致重要信息系统动态网页、网站数据库篡改得几大问题,分别就是：

存在ＳQL注入点,使攻击者可以利用该漏洞得知网站数据库得基本信息；

使用第三方开源软件,未进行严格得代码审查，致使软件中存在得漏洞信息可以被攻击者轻易获得；

网站数据库配置文件得配置不合理,就是攻击者可以遍历到整个网站文件目录,进而找到后台管理页面；

后台管理页面使用默认登录名与口令，使攻击者可以轻易上传后门程序，并最终利用后门程序控制整个网站、篡改网站数据。

2、1、３安全意识淡薄、管理层措施不到位等造成内部人员篡改数据

内部人员篡改数据往往就是由于安全意识淡薄、管理层措施不到位等问题造成得。总结出重要信息系统中,导致内部人员篡改数据得几大问题:

数据库访问权限设置不合理，没有划分角色,没有根据不同角色分配不同权限,导致用户可越权访问数据库;

安全审计与监控不到位。内部人员实施犯罪得过程没有被安全审计系统捕捉，到时候无法追查.在犯罪实施过程中也没有很好得监控机制对犯罪行为进行监控,不能及时阻断进一步得犯罪行为,因此造成了更严重得后果;

人员离职后没有及时变更系统口令等相关设置,也没有删除与离职人员相关得账户等。

2、１、４软件代码安全造成软件产品漏洞或后门安全隐患

软件产品漏洞或后门安全隐患往往就是由于软件代码安全等问题造成得。一般在重要信息系统中导致软件产品漏洞或后门安全隐患得几大问题就是:

软件设计阶段没有考虑来自互联网得安全威胁;

软件开发阶段缺少针对源代码安全质量得监控;

软件在交付使用前没有进行源代码安全分析。

2、2系统入侵与网络攻击

导致系统入侵与网络攻击得安全事件主要有以下几种情况:

2、2、1技术手段落后造成针对系统得远程节点得入侵

目前任然有重要系统服务器得管理员使用Tｅlnet远程登录协议来维护系统,有得管理员甚至将服务器得Teｌnｅｔ远程登录协议端口映射到外网,以便自己在家中就能维护服务器与网络设备.而针对系统得远程节点入侵得几大问题,分别就是:

使用明文传输得远程登录软件;

没有设置安全得远程登录控制策略。

2、2、2保护措施不到位造成针对公共网站得域名劫持

由于系统或网站保护措施不到位,导致域名被劫持。特别就是政府网站、大型门户网站、搜索引擎成为了域名劫持得主要对象。针对公共网站得域名劫持往往就是由于保护措施不到位等问题造成得.总结出重要信息系统中,针对大型公共网站得域名劫持得几大问题,它们就是：

域名提供商得程序有漏洞；

域名注册信息可见,特别就是用于域名更