新書推薦:
《
怪谈百物语:不能开的门(“日本文学史上的奇迹”宫部美雪重要代表作!日本妖怪物语集大成之作,系列累销突破200万册!)
》
售價:HK$
65.0
《
罗马政治观念中的自由
》
售價:HK$
50.4
《
中国王朝内争实录:宠位厮杀
》
售價:HK$
61.6
《
凡事发生皆有利于我(这是一本读了之后会让人运气变好的书”治愈无数读者的心理自助经典)
》
售價:HK$
44.6
《
未来特工局
》
售價:HK$
55.8
《
高术莫用(十周年纪念版 逝去的武林续篇 薛颠传世之作 武学尊师李仲轩家世 凸显京津地区一支世家的百年沉浮)
》
售價:HK$
54.9
《
英国简史(刘金源教授作品)
》
售價:HK$
98.6
《
便宜货:廉价商品与美国消费社会的形成
》
售價:HK$
77.3
|
| 編輯推薦: |
基于云计算理念,本书提出一个组织的整体安全框架,从组织的战略、业务出发,结合安全标准和业界最佳实践,形成系统的信息安全建设方法路径。
帮助组织定位安全现状,了解安全需求,实施安全建设,以打赢信息安全保卫战。
|
| 內容簡介: |
本书定位于一个组织信息安全建设理论、技术、策略方法以及实践案例的介绍和论述,描述当今信息化社会环境下,如何打赢信息安全保卫战。全书分为11章,首先综述了信息化社会的信息安全威胁,说明打赢信息安全保卫战的重要意义。其次论述了信息安全发展历程和信息安全标准以及云计算安全发展状况。再次,提出了企业信息安全框架的概念和内容,最后给出了一个组织信息安全框架建设的策略与方法以及实践案例,帮助读者形成信息安全建设的思路和系统的方法路径以及最佳实践。
本书面向组织的管理者、CIO和从事信息化、信息安全建设的IT人;其次是咨询公司的业务和IT咨询人员以及企业信息安全项目实施人员。对于大专院校的师生们进一步系统地认识企业信息安全建设、形成科学系统的信息安全建设思路是一个绝好的参考书。
基于云计算理念,本书提出一个组织的整体安全框架,从组织的战略、业务出发,结合安全标准和业界最佳实践,形成系统的信息安全建设方法路径。
帮助组织定位安全现状,了解安全需求,实施安全建设,以打赢信息安全保卫战。
|
| 關於作者: |
雷万云先生先后从中国电子科技大学、西安交通大学、西北工业大学毕业,分别获得电子信息科学技术专业的学士、硕士和博士学位,并在德国技术物理研究院学习工作二年。
雷博士曾任国家某大型国防科技研究所副所长、国家电子信息技术领域技术专家、国家电子信息技术学报编委会主任、主编,某大型金融证券资讯公司总裁。雷博士有20余年信息化方面的研究开发、实施和管理经验,是管理与信息化方面的专家;国家认证的高级企业信息管理师,尤其对集团企业和医药行业的信息化建设有深刻理解和最佳实践。近年来致力于云计算系统研究,并著有《云计算——企业信息化建设策略与实践》和《云计算——技术、平台与应用案例》两本书,现从事医药行业信息化管理工作。
|
| 目錄:
|
第1章 信息化社会的信息安全威胁
1.1 信息化是世界发展的大趋势
1.1.1 社会信息化的趋势
1.1.2 新IT技术应用带来新风险
1.2 全球一体化的趋势
1.3 企业发展与竞争的趋势
1.4 信息安全威胁综述
1.4.1 信息安全面临的主要威胁
1.4.2 信息安全问题分析
1.4.3 信息安全管理现状分析
1.4.4 信息安全形势和事故分析
1.4.5 信息安全对企业威胁分析
第2章 企业风险与信息安全
2.1 企业合规风险
2.1.1 从企业合规风险看IT管理风险
2.1.2 从SOX合规性看我国IT内控规范
2.1.3 安全合规性管理
2.2 企业数据泄密风险
2.2.1 数据安全评估
2.2.2 数据安全风险分析
2.2.3 数据安全风险治理
2.3 从企业风险分析认识信息安全风险
第3章 信息安全管理内涵
3.1 信息安全概述
3.1.1 传统信息安全的定义
3.1.2 信息安全技术与信息安全管理
3.1.3 当代信息安全的新内容
3.1.4 信息安全框架及其实施内涵
3.2 信息安全建设阶段分析
3.3 信息安全建设目的意义
第4章 信息安全发展与相关标准
4.1 信息安全发展
4.1.1 信息安全发展历程
4.1.2 信息安全发展趋势
4.2 信息安全管理标准的提出与发展
4.3 ISOIEC 2700X系列国际标准
4.3.1 信息安全管理体系(ISOIEC 27001: 2005)
4.3.2 信息安全管理实施细则(ISOIEC 27002)
4.4 信息安全管理实施建议与指导类标准
4.5 信息安全测评标准
4.5.1 美国可信计算机安全评估标准(TCSEC)
4.5.2 国际通用准则(CC)
4.6 信息安全国家标准简介
4.7 国家信息安全等级保护体系
4.7.1 国家信息安全保障工作的主要内容
4.7.2 开展等级保护工作依据的政策和标准
4.7.3 等级保护工作的具体内容和要求
4.7.4 中央企业开展等级保护工作要求
第5章 云计算安全
5.1 云计算安全问题分析
5.1.1 云计算的主要安全威胁分析
5.1.2 从云计算服务模式看安全
5.2 云计算安全框架
5.2.1 架构即服务(IaaS)
5.2.2 网络即服务(NaaS)
5.2.3 平台即服务(PaaS)
5.2.4 数据即服务(DaaS)
5.2.5 软件即服务(SaaS)
5.2.6 安全是一个过程
5.3 云计算安全标准化现状
5.3.1 国际和国外标准化组织
5.3.2 国内标准化组织
5.4 云计算安全解决方案概述
5.4.1 亚马逊云计算安全解决方案
5.4.2 IBM虚拟化安全sHype解决方案
5.4.3 IBM基于XEN的可信虚拟域(TVD)
5.4.4 VMware虚拟化安全VMSafe
5.4.5 Cisco云数据中心安全解决方案
5.4.6 华为云安全解决方案
5.5 云计算安全开放命题
第6章 企业信息安全框架
第7章 信息安全管理体系
第8章 信息安全运维体系
第9章 信息安全技术体系
第10章 信息安全体系建设
第11章 信息安全建设案例
参考文献
|
| 內容試閱:
|
第1章
信息化社会的信息安全威胁
信息化社会的发展带来了前所未有的信息安全威胁,信息安全战的硝烟弥漫着整个地球,企业的信息安全保卫战号角已经吹响。本章分四节论述了信息化社会的信息安全威胁。首先从社会信息化的趋势和新IT技术应用带来的新风险给我们说明信息化是世界发展的大趋势,并给我们带来了严重的信息安全威胁;其次论述了信息化与全球一体化发展的交融、互动趋势以及信息安全威胁;接着论述了信息化也是企业发展与竞争的必然趋势,因而使得企业信息安全无法回避;最后从五个层次总结、描述了信息化社会给我们带来的信息安全威胁状况。
1.1 信息化是世界发展的大趋势
纵观社会生产方式经历的三次变革,从农业时代、工业时代到现在的信息时代。在信息时代,主要是多元的协同化生产方式,通过信息化使分散与集中实现协同发展。随着全球经济一体化的步伐加快,代表着信息时代已悄然而至,云计算是工业化后最重要的一次变革,信息化是世界发展的大趋势。然而,在我们享受着信息化带来好处的同时,也感觉到信息安全的威胁。
1.1.1 社会信息化的趋势
社会信息化,已成不可阻挡的历史潮流,成为大趋势,引发可怕的信息安全威胁。信息化是充分利用信息技术,开发利用信息资源,促进信息交流和知识共享,提高经济增长质量,推动经济社会发展转型的历史进程。20世纪90年代以来,信息技术不断创新,信息产业持续发展,信息网络广泛普及,信息化成为全球经济社会发展的显著特征,并逐步向一场全方位的社会变革演进。进入21世纪,计算机与互联网的迅猛发展给人们的生活方式、商业贸易的交易方式以及政府的运作方式、军队的作战方式等都带来了革命性的变化,加快了国家现代化和社会文明的发展。广泛应用、高度渗透的信息技术正孕育着新的重大突破。信息资源日益成为重要生产要素、无形资产和社会财富,信息网络更加普及并日趋融合。信息化与经济全球化相互交织,推动着全球产业分工深化和经济结构调整,重塑着全球经济竞争格局。互联网加剧了各种思想文化的相互激荡,成为信息传播和知识扩散的新载体。电子政务在提高行政效率、改善政府效能、扩大民主参与等方面的作用日益显著。信息化使现代战争形态发生重大变化,是世界新军事变革的核心内容。然而,信息技术在为人们提供便捷、高效服务的同时,也对依赖其运行的国家、企业关键信息系统和基础信息网络设施带来了巨大的风险。由于信息技术本身的特殊性,特别是信息和网络无国界的特点,信息安全问题已成为信息社会发展的一大挑战。传统的信息安全已被彻底改写,信息安全不仅是一个技术问题,而且是一个管理与控制问题,它涉及到国家安全、社会公共安全、企业经营安全以及公民个人安全的方方面面,是一个事关国家根本利益的战略问题。
信息安全的重要性与日俱增,成为各国面临的共同挑战。全球数字鸿沟呈现扩大趋势,发展失衡现象日趋严重。发达国家信息化发展目标更加清晰,正在出现向信息社会转型的趋向;越来越多的发展中国家主动迎接信息化发展带来的新机遇,力争跟上时代潮流。全球信息化正在引发当今世界的深刻变革,重塑世界政治、经济、社会、文化和军事发展的新格局。持续、稳健、深入地推动信息安全建设,已经成为世界各国的共同选择。
1.1.2 新IT技术应用带来新风险
从信息技术的长期演进趋势来看,中国目前仍然处于蓬勃发展的阶段,下一代互联网、无线宽带技术、传感网、新型显示和云计算技术等信息技术和应用表现出新的发展趋势和动向,通过与当前经济和社会发展的各项工作相结合,将进一步提升社会生产效率,提升传统产业发展的竞争力,产生一批新兴产业,促进社会生产和生活方式等方方面面的变革,为经济结构调整起到重要作用,并将成为今后一个阶段经济结构调整的重要方向。
然而,在互联网为我们带来了更平、更小、更智慧的地球,使我们的联系和信息传递更加紧密,互联互通程度更高的同时,也给我们带来前所未有的信息安全威胁。这是由于新的技术带来了数十亿计的移动设备、实时的信息交流以及更加紧密、更加多样化的协作方式,这些新技术的大规模应用一方面提供了智慧的能力,另一方面也带来了新的风险。
云计算作为下一代信息技术的主要代表,是通过10年互联网技术和应用演进而产生的,这一大规模的计算能力通常是由分布式的大规模集群和服务器虚拟化软件搭建而成的。云计算为用户提供了一个颠覆性的服务交付模式,是全球经济一体化的解决方案。云计算提供了无限的规模和差异化的服务,简化了服务的交付。特别是在智慧城市、物联网这样的大背景下,许多组织、企业希望也需要通过云计算培养快速创新和应变能力,引领企业的转型升级,以便可以在当今高度竞争的环境中快速地作出应对,同时还通过云计算降低企业运营成本。此外,云计算还提供了一个可伸缩的环境,以便轻松有效地满足客户的需要。
在云计算带来创新能力、创造众多市场机会的同时,信息专家们还没有忘记提醒用户“云计算有风险、入云需谨慎”。研究机构Gartner曾发布了一份名为《云计算安全风险评估》的报告。报告中指出,云计算需要进行安全风险评估的领域包括数据完整性、数据恢复及隐私等。此外,还需对电子检索、可监管性及审计问题进行法律方面的评价。报告同时列出了云计算技术面临的七大风险,包括特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持、长期生存性。
在云计算面前,信息安全产业似乎正陷入一个矛盾的境地:一方面,企业因为安全问题而对云计算应用敬而远之;另一方面,由于缺少用户,云安全产业暂时无法迎来行业契机。特别是在关键数据和隐私方面,希望实现“云”可管可控,“如果安全问题没有解决,那么‘云’将无法在现实中落地。”
可以看到,随着新一代信息技术的飞速发展和应用,给我们带来好处的同时,也相应地给我们带了前所未有的信息安全威胁。信息安全逐渐告别传统的病毒感染、网站被黑及资源滥用等时代,迈进了一个复杂多元、综合交互的新时期。如何在有效利用信息技术的同时,积极应对、及时识别和规避这些风险,形成新的信息安全建设策略与实践,打好信息安全保卫战,是我们大家必须面对的主题,也是本书讨论和论述的话题。
1.2 全球一体化的趋势
社会信息化大大缩小了世界的时间和空间范围,使地球世界变成了“地球村”,为经济全球化提供了有效的经济信息平台和经济活动空间。社会信息化、交通现代化、人员知识化、生产自动化、产品标准化、工作程序化、地域一体化、生活服务化,造就了经济全球化的良好环境,大民生、大需求、大贸易、大智慧、大服务、高技术、大合作、大发展,成为经济全球化发展的最大推
动力!
经济全球化趋势,日益明显、势不可挡。经济全球化形成和促进了汹涌澎湃的商品流、资金流、资源流、技术流、信息流、人流、物流的全球流量;经济是基础,全球经济信息流量,对世界各国形成巨大的冲击力,不断冲击各国社会政治、文化、科技、军事、工业、农业、旅游业、服务业的发展,使世界各行业在发展中融合,在融合中,超越国界,弱化国界,模糊国界,特别是以人为本的“民生经济”受各国青睐,人们期盼的是民生、和谐、幸福!
面对经济全球化、社会信息化的趋势,我国信息化发展的对策是:贯彻落实科学发展观,坚持以信息化带动工业化、以工业化促进信息化,坚持以改革开放和科技创新为动力,大力推进信息化,充分发挥信息化在促进经济、政治、文化、社会和军事等领域发展的重要作用,不断提高国家信息化水平,走中国特色的信息化道路,促进我国经济社会又快又好地发展。
面对汹涌袭来的信息安全威胁,国家也提出了全面加强国家信息安全保障体系建设的举措。坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,实现信息化与信息安全协调发展。坚持立足国情,综合平衡安全成本和风险,确保重点,优化信息安全资源配置。建立和完善信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。加强密码技术的开发利用,建设网络信任体系。加强信息安全风险评估工作,建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,防止有害信息传播。高度重视信息安全应急处置工作,健全完善信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案。从实际出发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。
大力增强国家信息安全保障能力。积极跟踪、研究和掌握国际信息安全领域的先进理论、前沿技术和发展动态,抓紧开展对信息技术产品漏洞、后门的发现研究,掌握核心安全技术,提高关键设备装备能力,促进我国信息安全技术和产业的自主发展。加快信息安全人才培养,增强国民信息安全意识。不断提高信息安全的法律保障能力、基础支撑能力、网络舆论宣传的驾驭能力和我国在国际信息安全领域的影响力,建立和完善维护国家信息安全的长效机制。
1.3 企业发展与竞争的趋势
面对这个精彩世界,全球经济一体化进程浪潮以及互联网技术的成熟和迅猛发展,使企业所处的竞争环境和发展空间发生了许多变化。根据2011年Gartner公司的分析报告显示,企业在新环境下,最关注的业务问题包括加快企业增长、降低成本、优化业务流程、升级业务应用、改善技术架构、提高企业效率等;最关注的技术问题包括云计算、移动技术、商务智能、协同等;而对企业架构影响最大的则是虚拟化。快速发展与新技术使用的情况说明,企业为适应快速变化的环境,需要利用IT改变过去传统的很多看法,需要利用最新的技术(如虚拟化等技术趋势),向构建一个可以不断更新的战略规划方向和企业构架努力。
从企业角度来看,由于在新的经济环境下企业需要在战略与发展方面参与全球化和国内跨区域的各种竞争,促使企业在管理与运作方面不断推出和适应新的模式和理念:企业从“做大做强”转向“做强做优”。企业的眼界与实践也快速向全球化、精益化、协同化、服务化和智能化五大发展趋势顺应发展,集团企业的管控工作也逐步从财务管控转向精细化的运营管控和全球化的战略管控发展,总部职能更加强调向协同、共享、服务等转变。面对复杂多变的内外部环境带来的挑战,企业必须具备快速决策、协同运营、控制风险及高效发展的能力,需要企业对信息化建设工作的方向和目标不断提出新的全方位的要求,才能推动更深入的应用。因此,强调信息化与新的商业运作模式融合,迅速顺应信息技术发展,通过以网络服务及流程管理技术在企业的应用为先导,推动企业的管理变革和信息化建设工作,是新环境下企业面对内外部变化而必须采用的对策。互联化、物联化、虚拟化、智能化已经成为企业必须跟进的新一代信息技术创新应用趋势。
面对经济全球一体化和激烈的市场竞争环境,企业信息化发展也趋于信息一体化、网络化、互联化以及向云演进的趋势,同时也面临着更加恶劣的信息安全威胁和风险。因此,打好企业信息安全保卫战,做好企业信息安全建设是企业运作发展的基本保障。
1.4 信息安全威胁综述
作为20世纪最伟大的科学技术创造之一,互联网已经成为世界各国人民沟通的重要工具。进入21世纪,以互联网为代表的信息化浪潮席卷世界每个角落,渗透到经济、政治、文化和国防等各个领域,对人们的生产、工作、学习、生活等产生了全面而深刻的影响,也使世界经济和人类文明跨入了新的历史阶段。然而,伴随着互联网的飞速发展,网络信息安全问题日益突出,越来越受到社会各界的高度关注。如何在推动社会信息化进程中加强网络与信息安全管理,维护互联网各方的根本利益和社会和谐稳定,促进经济社会的持续健康发展,成为我们在信息化时代必须认真解决的一个重大问题。
1.4.1 信息安全面临的主要威胁
飞速发展的互联网业在给社会和公众创造效益、带来方便的同时,其系统的漏洞和网络的开放性也给国家的经济建设和企业发展以及人们的社会生活带来了负面影响,病毒侵袭、网络欺诈、信息污染、黑客攻击等问题更是给我们带来困扰和危害。
计算机网络所面临的威胁主要有对网络中信息的威胁和对网络中设备的威胁两种。影响计算机网络的因素有很多,其所面临的威胁也就来自多个方面,主要威胁如图1-1所示。
(1)人为的失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享都会对网络安全带来威胁。
(2)信息截取:通过信道进行信息的截取,获取机密信息,或通过信息的流量分析,通信频度、长度分析,推出有用信息,这种方式不破坏信息的内容,不易被发现。这种方式是在过去军事对抗、政治对抗和当今经济对抗中最常用的,也是最有效的方式。
(3)内部窃密和破坏:内部或本系统的人员通过网络窃取机密、泄露或更改信息以及破坏信息系统。据美国联邦调查局的一项调查显示,70%的攻击是从内部发动的,只有30%是从外部攻进来的。
(4)黑客攻击:黑客已经成为网络安全的最大隐患。近年来,特别是2000年2月7~9日,美国著名的雅虎、亚马逊等八大顶级网站接连遭受来历不明的电子攻击,导致服务系统中断,这次攻击给这些网站造成的直接损失达12亿美元,间接经济损失高达10亿美元。
(5)技术缺陷:由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,由此可造成网络的安全隐患。其次,网络硬件、软件产品多数依靠进口,如全球90%的微机都装微软的Windows操作系统,许多网络黑客就是通过微软操作系统的漏洞和后门而进入网络的,这方面的报道经常见诸于报端。
(6)病毒:从1988年报道的第一例病毒(蠕虫病毒)侵入美国军方互联网,导致8500台计算机染毒和6500台停机,造成直接经济损失近1亿美元,此后这类事情此起彼伏,从2001年红色代码到2012年的冲击波和震荡波等病毒发作的情况看,计算机病毒感染方式已从单机的被动传播变成了利用网络的主动传播,不仅带来网络的破坏,而且造成网上信息的泄露,特别是在专用网络上,病毒感染已成为网络安全的严重威胁。另外,对网络安全的威胁还包括自然灾害等不可抗力因素。
对以上计算机网络的安全威胁归纳起来常表现为以下特征:
(1)窃听:攻击者通过监视网络数据获得敏感信息;
(2)重传:攻击者先获得部分或全部信息,而以后将此信息发送给接受者;
(3)伪造:攻击者将伪造的信息发送给接受者;
(4)篡改:攻击者对合法用户之间的通信信息进行修改、删除、插入,再发送给接受者;
(5)拒绝服务攻击:供给者通过某种方法使系统响应减慢甚至瘫痪,阻碍合法用户获得服务;
(6)行为否认:通信实体否认已经发生的行为;
(7)非授权访问:没有预先经过同意,就使用网络或计算机资源;
(8)传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
1.4.2 信息安全问题分析
目前政府部门、金融部门、企事业单位的业务依赖于信息系统安全运行,信息安全重要性日益凸显。企业信息资源已经成为企业的重要财富和资源,企业如何保护信息安全和网络安全,最大限度地减少或避免因信息泄密、破坏等安全问题所造成的经济损失及对企业形象的影响,是摆在我们面前亟需妥善解决的一项具有重大战略意义的课题。目前有15个典型的信息安全问题急需解决。
1.网络共享与恶意代码防控
网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。如果对恶意信息交换不加限制,将导致网络的服务质量(QoS)下降,甚至系统瘫痪不可用。
2.信息化建设超速与安全规范不协调
网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,也留下安全隐患。
3.信息产品国外引进与安全自主控制
国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。目前,国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中,但是这些软件或多或少存在一些安全漏洞,使得恶意攻击者有机可乘。目前,我们国家的大型网络信息系统许多关键信息产品长期依赖于国外,一旦出现特殊情况,后果就不堪设想了。
4.IT产品单一性和大规模攻击问题
信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生,如网络蠕虫、计算机病毒、“零日”攻击等安全事件。
5.IT产品类型繁多和安全管理滞后矛盾
目前,信息系统部署了众多的IT产品,包括操作系统、数据库平台、应用系统。但是不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之间安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。
6.IT系统复杂性和漏洞管理
多协议、多系统、多应用、多用户组成的网络环境复杂性高,存在难以避免的安全漏洞。据Security
Focus公司的漏洞统计数据表明,绝大部分操作系统存在安全漏洞。由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将可能成为攻击切入点,攻击者可以利用这些漏洞入侵系统,窃取信息。1998年2月,黑客利用Solar
Sunrise漏洞入侵美国国防部网络,受害的计算机数超过500台,而攻击者只是采用了中等复杂工具。当前安全漏洞时刻威胁着网络信息系统的安全。
为了解决来自漏洞的攻击,一般通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。特别是,大型的信息系统,漏洞修补是一件极为困难的事。因为漏洞既要做到修补,又要能够保证在线系统正常运行。
7.网络攻击突发性和防范响应滞后
网络攻击者常常掌握主动权,而防守者则被动应付。攻击者处于暗处,而攻击目标则处于明处。以漏洞的传播及利用为例,攻击者往往先发现系统中存在的漏洞,然后开发出漏洞攻击工具,最后才是防守者提出漏洞安全对策。
8.口令安全设置和口令易记性难题
在一个网络系统中,每个网络服务或系统都要求不同的认证方式,用户需要记忆多个口令,据估算,用户平均至少需要4个口令,特别是系统管理员,需要记住的口令就更多了,如开机口令、系统进入口令、数据库口令、邮件口令、Telnet口令、FTP口令、路由器口令、交换机口令等。按照安全原则,口令设置既要求复杂,而且口令长度要足够长,但是口令复杂则记不住,因此,用户选择口令只好用简单的、重复使用的口令,以便于保管,这样一来攻击者只要猜测到某个用户的口令,就极有可能引发系列口令泄露事件。
9.远程移动办公和内网安全
随着网络普及,移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络,安全程度难以得到保证,如果内部网络直接允许远程访问,则必然带来许多安全问题,而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网,又要保证内部网络的安全。”就成了一个许多单位都面临的问题。
10.内外网络隔离安全和数据交换方便性
由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以渗透到内部网络系统,窃取数据或恶意破坏数据。同时,内部网的用户因为安全意识薄弱,可能有意或无意地将敏感数据泄露出去。为了实现更高级别的网络安全,有的安全专家建议,“内外网及上网计算机实现物理隔离,以求减少来自外网的威胁。”但是,从目前网络应用来说,许多企业或机构都需要从外网采集数据,同时内网的数据也需要发布到外网上。因此,要想完全隔离开内外网并不太现实,网络安全必须既要解决内外网数据交换需求,又要能防止安全事件出现。
11.业务快速发展与安全建设滞后
在信息化建设过程中,由于业务急需要开通,做法常常是“业务优先,安全靠边”,使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是“亡羊补牢”,出了安全事件后才去做。这种情况,在企业中表现得更为突出,市场环境的动态变化,使得业务需要不断地更新,业务变化超过了现有安全保障能力。
12.网络资源健康应用与管理手段提升
复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在一些企业单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、色情网站,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。但是,传统管理手段难以适应虚拟世界,网络资源管理手段必须改进,要求能做到“可信、可靠、可视、可控”。
13.信息系统用户安全意识差和安全整体提高困难
目前,普遍存在“重产品、轻服务,重技术、轻管理,重业务、轻安全”的思想,“安全就是安装防火墙,安全就是安装杀毒软件”,人员整体信息安全意识不平衡,导致一些安全制度或安全流程流于形式。典型的事例如下:
用户选取弱口令,使得攻击者可以从远程直接控制主机;
用户开放过多网络服务,例如,网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接“ping”内部网主机,允许建立空连接;
用户随意安装有漏洞的软件包;
用户直接利用厂家默认配置;
用户泄露网络安全敏感信息,如DNS服务配置信息。
14.安全岗位设置和安全管理策略实施难题
根据安全原则,一个系统应该设置多个人员来共同负责管理,但是受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。
15.信息安全成本投入和经济效益回报可见性
由于网络攻击手段不断变化,原有的防范机制需要随着网络系统环境和攻击适时而变,因而需要不断地进行信息安全建设资金投入。但是,一些信息安全事件又不同于物理安全事件,信息安全事件所产生的经济效益往往是间接的,不容易让人清楚明白,从而造成企业领导人的误判,进而造成信息安全建设资金投入困难。这样一来,信息安全建设投入往往是“事后”进行,即当安全事件产生影响后,企业领导人才会意识到安全的重要性。这种做法造成信息安全建设缺乏总体规划,基本上是“头痛医头,脚痛医脚”,信息网络工作人员整天疲于奔命工作,成了“救火队员”。
信息安全问题再次被整个行业提到了前所未有的高度,安全问题是整个信息技术行业的重中之重。
1.4.3 信息安全管理现状分析
(1)目前我国信息安全管理现状仍还比较混乱,对于国家、行业和企业都普遍缺乏一个战略层面的体系。实际管理力度不够,政策的执行和监督力度不够。部分规定过分强调部门的自身特点,而忽略了在国际政治经济的大环境下体现中国的特色。部分规定没有准确地区分技术、管理和法制之间的关系,以管代法,用行政管技术的做法仍较普遍,造成制度的可操作性较差。
(2)具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程、程序以及相关资源等要素的信息安全管理体系还未建立起来。
(3)具有我国特点的信息安全风险评估标准体系还有待完善,信息安全的需求难以确定,要保护的对象和边界难以确定,缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。
(4)信息安全意识缺乏,普遍存在重产品、轻服务,重技术、轻管理的思想。
(5)专项经费投入不足,管理人才极度缺乏,基础理论研究和关键技术薄弱,严重依赖国外,对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。
(6)技术创新不够,信息安全管理产品水平和质量不高,尤其是以集中配置、集中管理、状态报告和策略互动为主要任务的安全管理平台产品的研究与开发还很落后。
(7)缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构,致使我国现有的一些信息安全管理方面的法律法规层次不高,真正的法律少,行政规章多,结构不合理,不成体系;执法主体不明确,多头管理,政出多门、各行其是,规则冲突,缺乏可操作性,执行难度较大,有法难依;数量上不够,内容上不完善,制定周期太长,时间上滞后,往往无法可依;监督力度不够,有法不依、执法不严;缺乏专门的信息安全基本大法,如信息安全法和电子商务法等;缺乏民事法方面的立法,如互联网隐私法、互联网名誉权、网络版权保护法等;公民的法律意识较差,执法队伍薄弱,人才匮乏。
(8)我国自己制定的信息安全管理标准太少,大多沿用国际标准。在标准的实施过程中,缺乏必要的国家监督管理机制和法律保护,致使有些标准企业或用户可以不执行,而执行过程中出现的问题得不到及时、妥善解决。
1.4.4 信息安全形势和事故分析
随着互联网的高速发展,互联网的相关应用已经渗透到千家万户,而互联网安全问题也进入了集中爆发时期。中国互联网络信息中心此前发布的报告显示,2012年上半年,遭遇过病毒或木马攻击的网民为2.17亿,占网民总数的44.7%;有过账号或密码被盗经历的网民达1.21亿;另有8%的网民最近半年内在网上遇到过消费欺诈。在众多的互联网安全问题中,用户信息安全是最为敏感的问题,因为它直接关系到用户的隐私。
1.我国网络信息大规模泄露,受害网民过亿
一般来说,用户密码等信息被泄露主要有两个渠道,一是黑客盗取,二是网站主动销售获取利益。近期,据相关报道称,CSDN网站被曝600多万用户的数据库信息被黑客公开,而随后天涯、开心网、人人网、新浪微博等网站也都相继被曝密码泄露,至此,密码被盗事件集中暴发,“今天你改密码了吗?”成为了当下最为流行的问候语。此次密码泄露事件是何种情况,目前并没有定论,但此次事件的暴发足以给整个互联网行业重重地敲响了警钟。
“泄密门”将网企漠视用户信息安全的短板彻底暴露出来,CSDN像倒下的第一张多米诺骨牌,大量知名网站相继“沦陷”,拉开了我国互联网史上最大规模的用户信息泄露序幕,受害网民超过1亿,很多网友表示“改密码改到手软”。原以为自己在网上包得很密实,孰料在黑客眼中却是在“裸奔”。今天是网站信息,明天是银行信息,如何了得?
也许是不那么“显而易见”的缘故,人们往往十分在意交通安全、财产安全、人身安全,对信息安全的敏感度却要低得多。而事实是,信息安全同样十分重要。君不见,不仅有傻乎乎的局长拿微博当QQ,公开约情人去酒店开房;更有那么多名人乐于当自己的“狗仔队”,走到哪里都将自己的行踪现场直播;还有人将日记写在网上,事无巨细,无所不包。至于密码,就更是怎么方便怎么设,123456、111111、888888……易如反掌的破译,令心怀不轨的人想不动心都难。
针对多家网站发生的密码泄露事件,有专家提醒网民,尽量修改自己在网络上使用的密码,在上网的时候尽量不要提交敏感信息,以保证自己的信息
安全。
用户信息频频泄露,对一个网民数量超过4亿、电子商务规模2012年有望超过6万亿元、网络实名制渐行渐近的国家来说,意味着什么?公众饱受垃圾短信、违法违规信息骚扰只是最低等级的危害,利用他人信息进行金融诈骗、洗黑钱以及盗取他人资金,则直接构成金融犯罪,扰乱金融秩序;而公众心理恐慌的生成,对电子商务、网络实名制、互联网的发展的损害更加深远。对此,管理层应有清醒的认识和警惕,思忖互联网安全的应对之策,防止用户信息泄露出现“破窗效应”,而不能止于“强烈谴责”与督促网站修补漏洞。
必须看到,公民个人信息的安全问题并非互联网的专利,回返到现实生活中的人们,亦从未跳脱信息泄露的阴霾。互联网与现实生活,已然不可分割。2008年,深圳市曾有4万名孕产妇信息被公开兜售,一度引来满城议论。几乎没有消停过的还包括,银行、医院、政府办事机构在内的诸多方面,都俨然成为公民个人信息无端被泄露的一个个丝毫不受控制的出口。
安全问题渗透于国民生活的几乎每一个层面,吃到嘴里的不求有益但奢无毒,行在路上只得寄望于上天庇佑,包括那些寄存于虚拟世界的个人信息,现在看来亦是岌岌可危。此番“泄密门”的漩涡不断扩大,只是再一次让人们打量和考问互联网信息安全的严峻性。
“道高一尺,魔高一丈。”任何信息安全技术都不可能永保无虞。与技术升级相比更关键的,是在法律上形成对网络犯罪的强力震慑。从目前我国的信息网络安全立法来看,开放性不高、兼容性不够、操作性不强等问题不同程度存在,“不得危害计算机信息系统的安全”等大而化之的内容较多,一些法规之间还存在交叉和冲突,与网络应用迅猛发展的形势不相适应。
我们只有把普及安全知识、树立安全观念、强化安全责任、提升安全技术、完善安全立法等措施结合起来,才能扎紧网络空间的篱笆,化解网络时代的“密码危机”,为下一步更大规模的电子商务、网络支付、网络实名制等奠定安全基础,让每个手握“网络存折”的人睡得安生。
2.网络攻击日益趋利化
传统的黑客攻击网站、窃取信息通常只是为了炫耀技术、恶作剧或者仇视破坏,但随着互联网经济的发展,网络攻击的目的已转变为追求“经济利益”,并正在形成黑色产业链。根据国家计算机网络应急技术处理协调中心(CNCERT)近年来的监测表明,网络攻击者的攻击目标日益明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化表现明显:对政府类和管理相关类网站主要采用篡改网页的攻击形式,以达到泄愤和炫耀的目的;对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击等手段进行勒索;对于个人用户,攻击者更多的是通过窃取用户身份等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产,如利用网络钓鱼或域名劫持等手段对金融机构、网上交易、网络游戏等站点进行网络仿冒,在线盗用用户身份、密码或虚拟财产。2008年上半年,我国大陆被植入木马的主机数量和被挂马网页数量双双大幅攀升,这是国内网络泄密、网银账号被窃事件频发的重要原因。
3.病毒传播途径多样化
一是新计算机病毒的种类和数量呈几何级数增长,根据有关防毒机构监测,2008年所收集到的新病毒样本几乎是2007年的10倍。二是病毒传播渠道发生了变化,2008年所收集到的新病毒样本基本上是木马类的病毒,尤其网页挂马的方式占了90%以上。这说明了现在病毒的制造和编写目的发生了根本性的改变,已经转向窃取一些重要的数据和信息,从而获取经济利益。三是U盘传播,现在网页挂马和U盘传播的病毒占了绝大部分,蠕虫类的病毒现在并不多见。
从病毒的发展趋势来看,病毒的制造技术在这几年没有发生根本性的改变,只是破坏的方式和目的有一些改变。病毒制造已经形成了流水线作业,实现了模块化,有更多的人参与到这个流水线中,所以病毒制造和传播的速度更快。还有一个趋势就是零日攻击,现在病毒制造和传播的主流方法就是利用漏洞,以前只有蠕虫是利用系统自身的漏洞来进行攻击的,但现在超过60%的病毒是利用操作系统或应用软件的漏洞来进行传播的。病毒产业链的第一个环节就是漏洞,现在有人专门去搜集漏洞,某个软件的漏洞刚出来,就有人发现这个漏洞并转给另一批人对这个漏洞进行分析,制造相应的病毒和木马。这样,漏洞出来不到一天,攻击和威胁马上就出来了,所形成的零日攻击,对用户的威胁非常大。
……
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
