信息资源安全问题分析案例

信息资源管理期末考察报告姓名：朱礼明学号：201306011073班级：信息系统1301信息资源的安全管理案例—计算机网络安全案例：某公司是一家从事太阳能，电力，石油，化工，相关销售等项目等的公司。公司总部设在上海，有200名员工，并在北京拥有1家分公司，员工约100人。公司内部设有行政部、人力资源部、公共关系部、固定资产部、采购部、销售部、市场部、IT总部。由于太多的日常维护工作而忽略了系统策略及安全政策的制订及执行不力，管理员的日常维护工作又没有标准可循，系统及数据备份也是没有考虑到灾难恢复，经常会有一些系统安全问题暴露出来。该公司网站使用Windows2000上的IIS作为对外的WEB服务器，该网站WEB服务器负责公司的信息提供和电子商务。在外网上部署了硬件防火墙，只允许到服务器TCP80端口的访问。但是在X月X日上午，一个客户发邮件通知公司网站管理员，说该公司网站的首页被人修改，同时被发布到国内的某黑客论坛，介绍入侵的时间和内容。管理员立刻查看网站服务器，除了网站首页被更改，而且发现任务列表中存在未知可疑进程，并且不能杀死。同时发现网站数据库服务器有人正在拷贝数据。管理员及时断开数据服务器，利用备份程序及时恢复网站服务器内容，但是没有过了半小时，又出现类似情况，于是紧急通知系统管理人员，告知该情况，并向某安全公司求助。最后在安全公司的帮助下终于解决了问题，但是给公司造成了巨大的经济损失，泄露了大量财务信息和交易信息。针对此次出现的问题，公司召开了紧急会议。首席信息官（CIO）明确提出需要严密的系统和严格的策略来保证业务系统的稳定性和可用性的要求。IT服务中心将面临着更大的技术挑战，提高解决突发事件的应变能力和解决问题的效率，并且在日常工作中加强安全防范，各部门在该问题上密切配合商讨对策，最后决定出台了一些预防措施。公司总裁(CEO)作出决定，一定要找出系统的安全漏洞和隐患，彻查问题的根源，制定解决问题的方案。之后，CIO和安全事件响应小组整理了所有的记录资料，以确定针对此事件完成了哪些任务、每项任务所用的时间，以及是谁执行的任务。此信息发送给财务部门，用以根据“公认会计原则”来计算计算机损失的代价。紧急响应小组负责人Z将确保让公司管理层了解到了该事件的损失，事件发生的原因，以及防止此类事件再次发生的计划。这也是让管理层认识到企业安全策略，以及类似于紧急安全响应小组存在得价值。小组中适当的成员检查总结了全部的记录资料、得到的经验教训，以及遵守和未遵守的策略，作为档案保存。采取的相关法律行动的记录资料和步骤通过了公司法律顾问、安全事件响应小组负责人和公司管理层的审查。（一）对系统安全和网络进行诊断，发现存在以下问题：（1）邮件服务器没有防病毒扫描模块；（2）客户端有W32/Mydoom@MM邮件病毒问题；（3）路由器密码缺省没有修改过，非常容易被人攻击；（4）网站服务器系统没有安装最新微软补丁；（5）没有移除不需要的功能组件；（6）数据库系统SQL2000SA用户缺省没有设置密码；（7）数据库系统SQL2000没有安装任何补丁程序；（8）用户访问没有设置复杂密码验证，利用字典攻击，非常容易猜出用户名和密码，同时分厂员工对于网站访问只使用了简单密码验证，容易被人嗅听到密码。（二）公司目前的事件响应机制存在如下问题：（1）显然缺乏安全响应机制，也没有时间响应团队；（2）在未经授权的情况下向外部人员求助；（3）在未经授权的情况下允许外部人员进行安全扫描；（4）没有在第一时间记录并通报安全事件的发生；（5）没有进行证据保留等。解决方案：（1）公司启动了日志系统。保存操作系统和应用程序的信息记录，其中包括与安全相关的信息。作为检测入侵的重要证据，日志需要进行妥善的管理。具体日志管理策略如下：足够大的日志存储空间，以记录足够多的日志信息；不应启用日志覆盖；定期的日志转储，转储的日志需要放置在不能被再次修改的存储介质上，如只能写入一次的光盘，并放置在安全位置，同时按照企业安全策略的要求，保存足够长的时间；除了操作系统日志外，根据需要开启应用系统的日志，如数据库服务器，邮件服务器等访问日志；保证在日志中记录足够的信息，如用户帐户，计算机名，IP地址等；保证计算机之间的时间同步，以准确记录时间发生时间；从软件供应商处获取日志代码含义解读文档；使用日志分析工具协助管理员快速获取有价值的信息。（2）企业内全面部署防病毒系统，构建防病毒机制：建立网关，服务器，工作站立体防病毒体系；及时更新防病毒软件本身和病毒特征码；格外关注使用笔记本电脑的用户的防病毒软件更新情况；通过在防火墙和路由器上设置，及时阻止通过网络扩散的病毒；安装专门针对ExchangeServer的病毒扫描系统，直接从用户的邮箱里发现和清除病毒；培训用户不要为了加快计算机运行速度而禁用防病毒系统，如果有可能，从防病毒软件设置中禁止用户这么做培训用户不要随意打开不明底细的电子邮件附件，不要随意下载和安装应用软件。（3）制定审核策略，记录访问者的行为，以发现异常动作并作为证据保留。具体审核策略包括：对于重要的文件开启删除和修改审核，对敏感文件开启读取审核；在域上开启账户登录事件审核，记录用户登录域的活动；在重要服务器上开启登录事件审核，记录从网络上访问该服务器的活动；在SQLServer中审计登录事件；定期对审核记录进行检查。（4）制定帐户安全策略：不允许为避免自己的帐户被锁定，而额外创建高权限帐户来作为后门；不允许在IT人员之间共享密码；不允许在外部网站上使用单位内部的密码。（5）制定容错管理策略，尽可能减少各种意外事故造成的企业信息损害。具体措施如下：使用不间断电源设备，建立后备供电线路；使用磁盘冗余阵列；使用服务器群集技术，避免服务器失效；对重要的服务器建立后备或辅助服务器，例如建立多台域控制器等；选择多个ISP，建立外部连接冗余；对网络设备（交换机，路由器）和防火墙提供冗余。（6）制定系统备份策略，具体内容包括：设计备份计划，在兼顾性能的同时，尽可能缩短备份周期；定期测试备份设备，备份存储介质的可靠性，检查已备份数据的完整性和可用性；划分需要备份数据的优先级；保留同一数据的多个备份；备份磁带远离数据原始位置，避免灾害发生造成同时损失；备份磁带应存储在安全位置，避免非授权访问；制定备份恢复计划，并进行演练。（7）企业员工进行安全意识培训，抵御社会工程攻击。（8）将企业网络划分为内部网络、需要被外部访问的企业网络（停火区，DMZ）、商业伙伴的网络、远程访问（远程机构或者用户）、Internet。将企业所有计算机在防火墙，路由器上进行访问控制和隔离。使用基于网络和基于主机的入侵监测系统，提供预警机制，并且和防火墙联动。（9）IT工作部必须及时修补操作系统和应用系统的漏洞部，第一时间部署修补程序的方法，从根本上保证安全。案例分析：随着Internet的迅速发展，网络将越来越深刻地影响社会的政治、经济、文化、军事和社会生活的各个方面。网络信息安全也已成为世界关注的焦点。有效地保护重要的信息数据、提高网络系统的安全性，已成为网络应用必须解决的问题。1、不同环境和应用中的网络安全从本质上讲，网络安全就是网络上的信息安全，指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然或恶意原因而遭到破坏、更改和泄漏，系统连续可靠正常地运行，网络服务不中断。不同环境和应用中的网络安全主要包括：①运行系统安全：保证信息处理和传输系统的安全；②网络上信息内容的安全：侧重于保护信息的保密性、真实性和完整性，避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为；③网络上系统信息的安全：包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等；④网络上信息传播的安全：指信息传播后的安全，包括信息过滤等。2、网络发展和信息安全的现状随着因特网的发展，网络安全技术在与网络攻击的对抗中不断发展。从总体上看，经历了从静态到动态、从被动防范到主动防范的发展过程。但目前，我国网络安全存在的问题包括：①信息和网络的安全防护能力差；②基础信息产业严重依靠国外；③信息安全管理机构权威性不够；④全社会的信息安全意识淡薄。3、网络信息安全的特征Internet是一个开放的全球网络，其网络结构错综复杂，威胁主要来自病毒的侵袭、黑客的入侵、拒绝服务、密码破解、网络窃听、数据篡改、垃圾邮件、恶意扫描等，因此安全防护方式截然不同。Internet的安全技术涉及传统的网络安全技术和分布式网络安全技术，主要用来解决如何利用Internet进行安全通信，同时保护内部网络免受外部攻击。网络信息安全具有以下5个特征：（1）机密性：保护数据不受非法截获和未经授权浏览。对于敏感数据的传输尤为重要，同时也是通信网络中处理用户的私人信息所必须的。（2）完整性：能保障被传输、接收或存储的数据是完整的和未被篡改的特性。对于保证重要数据的精确性尤为关键。（3）可控性：保证信息和信息系统的授权认证和监控管理。可确保某个实体（人或系统）的身份的真实性，也可确保执政者对社会的执法管理行为。（4）可用性：尽管存在可能的突发事件如供电中断、自然灾害、事故或攻击等，但用户依然可得到或使用数据，服务也处于正常运转状态。（5）非否认性：能够保证信息行为人不能否认其信息行为。可防止参与某次通信交换的一方事后否认本次交换曾经发生过。4、网络信息安全保护4.1网络隔离技术防火墙是网络安全的第1道防线，是一种中间隔离系统，可插在内部网与互联网之间，提供访问控制和审计功能。在逻辑上，防火墙可充当分离器、限制器和分析器。通过检测、限制、更改跨越防火墙的数据流，尽可能地实现对网络的安全保护。如果没有安装防火墙，许多攻击可能在管理员不知道的情况下发生。有些攻击可能会直接导致内部网络系统不能正常工作或者信息泄露。防火墙按照系统管理员预先定义好的安全策略和规则控制2个网络之间数据包的进出。大部分防火墙的工作方式主要有：①使用1个过滤器来检查数据包的来源和目的地址，按照规则接收或拒绝数据包；②扫描数据包，查找与应用相关的数据；③在网络层对数据包进行模式检查，看其是否符合已知数据包的位模式。4.2身份认证身份认证的作用是阻止非法实体的不良访问。有多种方法可以认证一个实体的合法性，密码技术是最常用的，但由于在实际系统中有许多用户采用很容易被猜测的单词或短语作为密码，使得该方法经常失效。其他认证方法包括对人体生理特征（如指纹、眼睛视网膜底纹、人面特征等）的识别、智能卡（使用读卡机自动完成口令输入、身份认证和发送应答的过程）认证等。随着模式识别技术的发展，身份识别技术与数字签名等技术结合，使得对于用户身份的认证和识别更趋完善。4.3数据加密加密是通过对信息的重新组合，使得只有通信双方才能解码还原信息的一种方法。密码体制有2类：①对称密码体制，有时称作私钥密码体制；②公钥或非对称密码体制。2类体制具有不同的特性并且以不同的方法提供安全服务。(1)对称密码体制对称加密体制的特征是用于加密和解密的密钥相同或相互容易推出，为提供机密性，1个对称密码体制的工作流程如下：假定A和B是2个系统，决定进行秘密通信。A或B通过使用1密钥加密发送给对方的消息以实现机密性，只有对方可以解密消息。通过这种方式获得1个共享的秘密密钥，该密钥只有A和B知道。其典型的加密算法有数据加密标准DES。(2)公钥密码体制公钥密码体制与对称密码体制相比，有2个不同的密钥，可将加密功能和解密功能分开。私钥被秘密保存，而公钥不需要保密。其特征是给定公钥，要确定出私钥是计算上不可行的。公钥密码体制有2种基本的模型，一种是加密模型；另一种是认证模型。目前，随着技术的进步，数据加密正逐步被集成到系统和网络中。通过密码技术对各类数据进行加密处理，能有效防止信息泄露，提高信息系统及资料的安全性和保密性，防止秘密资料被外部破解。4.4安全监控网络安全的关键因素之一就是安全监控。通过监控可及时发现病毒的存在