智能化系统的信息安全评估分析论文
“史上最帅的小丑”通过精心收集,向本站投稿了10篇智能化系统的信息安全评估分析论文,以下是小编为大家整理后的智能化系统的信息安全评估分析论文,希望对您有所帮助。
篇1:智能化系统的信息安全评估分析论文
引言
建筑智能化系统是智能建筑的重要组成部分,为人民生活提供舒适和便利。随着信息通讯、计算机网络、楼宇控制技术的发展,大量网络化的设备和系统进入建筑领域,建筑智能化系统逐渐形成以工业控制网络和计算机网络深度交融,楼宇控制、安全防范、办公自动化等系统集中配置和管理的大规模集成系统[1]。建筑智能化系统,一方面增加了建筑的舒适度,另一方面也保障了建筑及周边的安全,便于在紧急情况下迅速响应突发事件。涉及国家安全建设项目是社会的重要基础设施,例如车站、五星级酒店、省级重点实验室等。处于这些建筑中的智能化系统的质量好坏不但关系到建筑的功能和可用性,有的甚至关系到人们的生命、财产和国家安全。因此做好建智能建筑的智能化系统检验是确保工程质量、保障信息安全的重要基石。
1建筑智能化系统构成及检验现状
1.1建筑智能化系统构成
世界上第一幢智能大厦建于1984年1月,是美国康涅狄格州哈特福德市的“城市广场”。它是由一幢旧式大楼采用计算机技术进行了一定程度的改造而成。改造后大楼内的空调、电梯、照明等设备具备了监控和控制,并提供语音通信、电子邮件和情报资料等方面的信息化服务。此后,智能建筑以一种崭新的面貌和技术迅速在世界各地展开。“建筑智能化系统”在国内工程界也称为“弱电系统”,主要由智能家居系统、停车场管理系统、楼宇对讲系统、门禁系统、办公自动化系统、公共广播系统、综合布线系统、机房管理系统、酒店管理系统、有线电视系统、宽带接入系统、电子巡更系统、入侵报警系统、视频监控系统等构成。建设项目涉及国家安全的智能化系统与“弱电系统”的系统近似,按功能分为3大部分,分别是安防系统、楼宇集成控制系统和信息网络系统,见图1。
1.2标准及检验现状
建筑智能化系统主要依据现行国标进行检验和验收,部分没有标准的系统依据合同中的技术指标进行验收。系统检验一般在系统调试完成并试运行1个月后进行,检验内容主要是系统的功能和性能[2]。目前建筑智能化系统检验的国标主要有GB50339—20xx《智能建筑工程质量验收规范》[3],该标准在宏观上对智能建筑工程质量验收提出了要求,但在实际验收中必须加以细化才能提高可操作性。GB50348—20xx《安全防范工程技术规范》[4]是我国安防领域的第一部内容完整、格式规范的国标。该标准总结了我国安防工程领域施工的检验,对工程的设计使用等各个方面提出质量要求,但由于制定时间较早该标准中部分条款已不适用。此外,这些标准适用范围是通用建筑和一般建设项目,其检测项目较少,检测要求较低,因此不能用于建设项目涉及国家安全的智能化系统的检测中。
1.3存在的问题
现行建筑智能化系统在检验时主要存在2个问题:(1)缺乏信息安全评估。目前建筑智能化系统的标准和检验实施主要针对系统的功能和性能,没有专门针对信息安全技术要求和评估方法。这导致系统在设计、施工和使用过程中缺乏信息安全技术保护手段和管理意识,存在信息安全风险[5]。随着系统集成度的提高和互联网技术的应用,建筑智能化系统已由传统的信息网络孤岛,转变为具备广泛互联互通和信息共享的大数据集成系统。系统中的各种设备、终端、数据库等可以通过互联网远程访问和控制,使得系统的信息安全问题直接暴露在互联网中,给公共安全、公司机密、个人隐私带来严重威胁。涉及国家安全的建设项目一般是社会重要基础设施或向社会提供基本公共服务,如果其建筑智能化系统被攻击和控制,将造成重大事件。例如20xx年7月的斯坦福大学附属医院2500名患者数据信息泄密事件,2月的海康威视监控设备事件等等,都造成了极大的社会影响。(2)缺少针对建筑智能化系统信息安全的评估标准。建筑智能化系统中的通信网络主要由计算机网络和楼宇集成控制系统网络构成。计算机系统主要涉及内部办公、信息发布、业务办理等,与普通计算机网络基本相同,其信息安全评估可以参考现有国家标准和地方标准进行。楼宇集成控制系统涉及给排水、智能照明、电梯控制系统、空调系统等,属于工业控制系统范畴。工业控制系统与传统计算机系统在信息安全上的主要区别是:传统计算机系统认为保密性的优先级最高,完整性次之,可用性最低;而工业控制系统优先保证系统的可用性,完整性次之,保密性的要求最低。由于工业控制系统与普通计算机系统存在以上差异,因此不能采用计算机系统的信息安全评估标准对工业控制系统进行评估。现行工业控制系统信息安全国家标准有GB/T30976.1—20xx《工业控制系统信息安全第1部分:评估规范》和GB/T30976.2—20xx《工业控制系统信息安全第2部分:验收规范》,其适用范围主要是工业生产过程控制系统[6],与建筑智能化系统存在一定的差别,仅具有借鉴意义。
篇2:智能化系统的信息安全评估分析论文
为了探索建筑智能化系统信息安全评估方法,为智能建筑的智能化系统信息安全评估提供参考数据,掌握项目中存在的实际具体问题,在政府相关职能部门的授权下,湖南省产商品质量监督检验研究院联合上海三零卫士信息安全有限公司,开展了对1个5星级酒店的智能化系统进行信息安全测评。由于该酒店已经进入运营,因此测评主要采用网络安全结构分析、攻击路径分析、安全漏洞扫描、系统完整性检查手段进行现场信息安全评估。被评估酒店的智能化系统的整体网络结构如图所示图2酒店智能化系统网络结构本次建筑智能化系统信息安全评估工作的范围是西门子的楼宇控制系统、客房控制系统网络、以及与之关联的信息网络。由于楼宇控制系统和客房控制系统中业务种类相对较多、网络和业务结构较为复杂,且酒店已经开始运营,因此评估主要是在不影响酒店方正常运营的条件下进行,包括但不限于:工业控制系统网络、基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况的评估。由于建筑智能化系统的信息安全评估没有对应的标准,因此我们参考GB/T30976.1—20xx《工业控制系统信息安全第1部分:评估规范》、GB/T30976.2—20xx《工业控制系统信息安全第2部分:验收规范》、DB43/244.2—20xx《建设项目涉及国家安全的系统规范第2部分计算机网络系统规范》和DB43/244.7—20xx《建设项目涉及国家安全的系统规范第7部分建筑设备管理系统规范》,开展评估工作。通过评估和渗透测试,我们发现建筑智能化系统主要存在以下信息安全问题:
(1)嵌入式设备存在严重信息安全隐患。首先该酒店楼宇控制系统采用的是西门子的DDC,该型号的版本由于没有进行操作系统升级,存在编号为CVE-20xx-0207的漏洞,远程攻击者可利用该漏洞,借助IGMP数据包导致拒绝服务。其次,该DDC存在23号端口为默认开启,telent的默认登录为弱口令。
(2)智能化系统网络信息安全管理措施薄弱。
第一,客房控制系统主机IP所在的网段可以连接互联网,存在被远程攻击的危险。第二,该主机的3389端口没有关闭,由于其密码简单,存在被爆破的风险。第三,通过该主机的IP地址接入后,扫描到了相邻IP的主机中的2个MYSQL数据库。第四,通过爆破的方式破解了这两个数据库的密码,密码为弱口令,并成功登录数据库。第五,该网段还存在考勤管理系统,具备门禁权限管理功能,系统仍然使用出厂用户名密码。第六,该网段还扫描到诸多打印机,在端口扫描中发现开启了515/printer端口,21/ftp端口,通过简单爆破得到了其出厂的ftp服务密码。第七,Insight软件登录账户/权限与操作系统登录用户名、密码保持一致,且均为弱密码,第八,系统操作员站与工程师站没有分离,操作员可使用工程师权限。
(3)智能化系统网络信息安全防护技术措施薄弱。第一,楼宇控制系统采用的是西门子的DDC和APOGEEInsight软件,组态软件和DDC间的通讯采用的是明文(见图3),且网络边界没有防护设施,很容易实施中间人攻击。第二,系统中40%的管理主机没有安装基本的防病毒软件,部分管理主机已经受到病毒感染。图3DDC的通讯数据包。
(4)楼宇集成控制系统部分集成软件存在软件漏洞。该酒店采用的是西门子的APOGEEInsight软件,存在DLL劫持漏洞,目前该漏洞已经被西门子证实,由CVE收录(编号为CVE-CVE-20xx-3155)。虽然本次评估中发现的信息安全风险为个案,但通过与系统维护人员及管理人员的交流,我们得知该酒店的智能化系统与他们工作过的酒店相比差不多,管理措施基本一致。由此可以推断,涉及国家安全智能化系统的信息安全问题是普遍存在的。由于此类风险在现阶段没有引起过较大的社会性事故,因此没有被重视。针对发现的问题,我们提出以下建议:
(1)嵌入式设备应及时更新软件版本,并将敏感端口设置为默认关闭状态。
(2)合理划分Vlan和强化核心路由规则。
(3)网络中额设备严禁使用默认密码或弱口令。
(4)控制系统软件应该将系统操作员站和工程师站进行分离,并用分配不同的权限进行管理。(5)组态软件应及时更新,同时对应的电脑应安装基本的防病毒软件。
4结语
随着信息技术和控制技术的融合加速,建筑智能化系统网络信息安全问题正逐步凸显,其风险和脆弱性在实际评估工作中被识别。为了提升建筑智能化系统的信息安全防护能力,降低风险,本文提出以下建议:
(1)制定针对建筑智能化系统的信息安全评估标准。本次评估中借鉴了现有国家工业控制系统信息安全标准和计算机网络地方标准。虽然这些标准具备一定的借鉴意义,但在实际操作中不能完全适用,需要依据实际情况灵活处理。建议从系统架构、构成系统的产品、系统集成、运营管理等方面提出要求和规范,制定一部适用于智能建筑的信息安全评估标准有利于检验工作的开展。
(2)将信息安全评估纳入建筑智能化系统的必检项目。现有建筑智能化系统的检测主要集中在功能和性能方面,缺乏对系统的信息安全评估。在日益严峻的网络信息安全威胁的情况下,涉及国家安全智能建筑中的智能化系统可能随时受到攻击,导致严重的后果。因此将网络信息安全评估纳入智能化系统的必检项目有助于防止危险发生,保护人民生命财产安全。
(3)加强信息安全管理措施。网络信息安全主要由系统技术措施和管理措施构成,两者相辅相成,缺一不可。但在实际的应用中,系统虽然有较好的技术防范条件,但缺乏安全管理措施,导致安全等级较低,容易受到攻击。因此,在智能化系统中加强信息安全管理措施能有效提升信息安全等级,阻止危险的发生。
篇3:智能化系统的信息安全评估分析论文
随着科技的进步,智能化系统中的设备和网络结构发生了很大变化,主要涉及以下3个方面:
(1)嵌入式系统的.广泛应用提升了系统的智能化水平。随着嵌入式系统开发环境的优化和技术难度的不断降低,嵌入式系统在电子产品的设计和开发中已经广泛应用,使得设备和系统的开发流程简化,周期缩短,成本大幅下降。嵌入式系统的应用提高了设备的智能化水平,简化了设备互联的复杂度,降低了系统集成的成本。例如,建筑智能化系统的重要子系统,安全防范系统,使用的监控摄像机在前主要是模拟摄像机,只有图像和声音的记录和传输功能,信号通过同轴电缆传输。目前嵌入式监控摄像机已经成为主流产品,不但具有模拟机的全部功能,还增加了与手机互动监控、网络存储图像、多协议支持等功能。在组网方面,嵌入式系统的监控摄像机一般都支持基于TCP/IP的以太网连接,简化了网络结构。
(2)网络技术的进步扩大了系统集成的规模。智能建筑的核心是系统集成,网络是系统集成的基础。目前智能建筑中除了用于电话、电视、消防的网络外,还大幅增加了各种计算机网络、综合服务数字网、楼宇控制系统网络等[7-9]。这些网络实现了建筑内各个系统的互联互通,还承担了智能建筑中部分系统接入互联网的功能。此外与通讯网络相关的设备数量和种类也逐渐增加。例如楼宇控制系统采用以太网连接和OPC技术将其房门控制系统、空调控制系统、智能照明系统等信息集成到统一平台进行管理。该平台通过核心交换机与办公系统和其他管理系统进行数据交互,部分办公和业务系统通过核心交换机连接到互联网。
(3)无线接入技术改变了系统连接方式。近年来,无线局域网技术和产品逐渐走向成熟,无线局域网能够通过与广域网相结合提供移动互联网的接入服务。此外,采用无线局域网还可以节省线缆铺设成本,降低了线缆端接不可靠问题,满足接入设备在一定区域内任意更换地理位置的需要。这使得无线局域网在智能建筑中的应用日益广泛。例如在智能建筑中办公场所、公共区域等地方都提供无线接入服务,部分无线不需要认证可直接登录使用。新技术和产品的使用一方面促进了建筑智能化系统的功能和性能的提高,另一方面也增加了系统的脆弱点:(1)嵌入式设备和网络集成给建筑智能化系统的信息安全带来巨大挑战。在传统的建筑智能化系统中,网络是相对封闭的,承载的数据相对隔离,设备一般由单片机控制,程序和功能相对简单。例如楼宇的给排水系统一般由单片机控制,楼宇的监控系统采用的是模拟监控摄像机。这两种系统的网络独立相互,使用不同的现场总线进行信息传输。设备中没有嵌入式系统,病毒和恶意攻击难以改变设备的功能,对系统造成破坏。在这种情况下,即便某个系统中的设备故障了,基本不会对本系统中其他设备造成干扰,更不会影响其他系统和设备。现在,随着技术的进步,控制系统采用高级PLC,监控摄像机使用嵌入式系统,控制系统和监控系统通过以太网集成管理后,信息安全风险将可能引起智能化系统的整体故障。其一,病毒可以通过集成管理服务器或办公电脑传播;其二,嵌入式系统中的漏洞和应用程序中的bug可被攻击者利用;其三,被攻陷后的嵌入式设备可能成为僵尸设备,对网络其他设备发动二次攻击;其四,攻击者可以通过网络进行远程攻击,攻击更加隐蔽。(2)无线网络的使用增加了建筑智能化系统受到攻击的隐蔽性。无线网的信号是在开放空间中传送的,所以只要有合适的无线客户端设备,在合适的信号覆盖范围之内就可以接收无线网的信号。目前在智能化系统中,无线网络主要设置在普通办公室,员工休息房间,餐厅等区域,且部分无线网络与管理或办公内网相连,仅采用简单技术方法进行隔离。而管理或办公内网与楼宇集成控制网络存在必要的数据交换,这导致通过部分无线网络可以进入楼宇集成控制系统网络。此外,由于无线接入的便利性,部分楼宇集成控制系统网络中的设备也采用无线接入的方式,虽然这些设备在进行无线传输时采用了一定的加密措施防止信息泄露,但无线接入点及其设备却成为网络信息安全的薄弱环节。入侵者可在较隐蔽的地方通过这类无线接入设备进入网络,然后利用技术手段发现网络薄弱点,最后实施攻击或敏感信息的窃取,造成设备失效或信息泄密。
2.2建筑智能化系统管理上的信息安全脆弱性
虽然智能化系统随科技的发展引入了许多新的技术和功能,但对智能化系统的管理措施和制度却没有跟上技术的步伐,仍然停留在10年前的水平,总体上主要存在以下3个方面的问题:其一,信息安全管理环节存在缺失。目前,智能化系统的信息安全措施主要集中在办公和业务网络,楼宇集成控制系统网络几乎没有信息安全管理措施,存在部分网络信息安全管理环节的缺失。这使得入侵者很容易通过楼宇集成系统网络入侵整个智能化系统。其二,缺乏嵌入式设备的信息安全管理措施。嵌入式设备由于使用了操作系统,部分设备可以看作是小型的个人电脑,但由于其安装位置和在系统中的功能定位,使得管理者往往忽视了对嵌入式设备的信息安全措施,这导致信息安全管理的盲区。其三,无线局域网接入管理环节信息安全措施薄弱。为了工作方便,智能建筑中临时搭建无线网络的情况时有发生。设备通过无线接入网络仅使用简单密码即可,其信息安全措施不足以抵御基本的入侵。由于这种临时网络的连接隐蔽性和接入的随意性,不但难以管理,还给智能化系统网络带来巨大的潜在威胁。管理的薄弱环节不但进一步加剧了系统的脆弱程度,还使得当出现信息安全事件时相关部门难以快速响应,事后难以进行溯源调查和改进。
篇4:网络信息安全管理系统设计分析论文
摘要:近几年,互联网使用人数已到达5亿,网站数量持续增加。目前,网络信息的安全管理至关重要。云计算的应用能够为网络信息安全管理提供一个全新的技术平台。探究基于云计算的网络信息安全管理系统模型,包括软件设计与硬件设计,并与传统信息安全管理系统进行比较。实验结果表明,基于云计算的网络安全管理系统有效提高了网络环境的安全性,可保护信息资源的安全。
关键词:云计算;网络信息;安全管理
1引言
随着云计算技术的飞速发展,市场上已经出现了很多成功的产品与应用方式[1]。研究设计一种基于云计算技术的网络信息安全管理系统,构建智能化网络平台,将重要的信息或操作系统制作成镜像文件,并放在云计算管理平台中稳定运行,对外将利用Web提供云计算服务,客户端不再需要安装额外的软件,能够大幅度提高网络信息的安全性、可靠性和工作效率。
篇5:网络信息安全管理系统设计分析论文
2.1设计标准
基于云计算的网络信息安全管理设计应具有一定的实时性,能够直接获取网络运行过程中出现的问题,并根据实际情况进行处理,优化网络、保证信息安全[2]。虽然基于云计算的网络信息安全系统已经比较先进,智能化程度很高,但是仍需要管理人员对其控制。用户在使用计算机网络时,可以根据自身的权限搜索、上传资源。网络信息安全系统的'管理人员需要分配系统资源并维护系统,间接管理网络用户。系统中的管理人员分为不同的等级,最高级的管理人员拥有的权限最广,可以整体把控网络信息安全系统,按照相应的设计标准调整系统。
2.2硬件设计
网络信息安全管理系统的硬件设计包含五个主要组件,分别是网络信息资源核心运行平台设备、存储服务器接入点、集群控制器节点、存储控制器节点以及虚拟机管理节点。它们能够相互协作、共同提供信息管理服务,并利用虚拟平台传递消息,构成安全通信。基于云计算的网络信息安全管理系统结构示意图如图1所示。云计算环境中,系统平台包括共享数据库资源、多站点集中监控以及独立管理运行的网页服务软件,其构成了完整的信息安全管理系统。网络信息资源可随云计算技术的需求扩充,并且可以管理资源,提高云计算管理效率。拟化模块帮助服务器实现多个工作负载同时运行,减少信息管理建设对物理服务器的依赖,提升信息资源的利用率,控制服务器数量激增现象的发生,有效解决信息资源管理复杂的问题。
2.3软件设计
软件设计中实现数据信息交互的组成部分包括网络控制器、用户、底层云物理资源以及云控制器,其中:用户提出需求、选择方式,信息交互方为云控制器。用于交互的信息包括和云控制器的相互沟通信息和既定的策略语音转移信息[3]。网络信息安全系统软件设计具体可分为三个层次,即基础层、中间层与操作层。基础层指系统中的一些基础设备,是系统运行的最基本要素。操作层是将计算机硬件与软件结合在一起的过程,为用户提供帮助。中间层用于分类、整合网络资源。只有这三个层面协调作业,才能实现网络信息安全系统的正常运行。系统中的软件设计也有一定要求,即需要具有较强的兼容性与实用性,能够适用于多种复杂的网络环境,可以实现网络监控的目的,保证用户信息的安全。基于云计算的网络管理系统软件设计的基本运作流程如图2所示。首先,云客户通过指定语言要求网络服务与网络配置。用户虚拟网络部署策略到达云控制器后,通过云控制器并从高层次的结构开始,依次被翻译成所需的网络通信模式和网络服务标准,这一标准代表了用户逻辑上的网络资源需求;其次,云控制器通过网络控制器咨询优化配置,网络控制器接收云控制器发出的请求,并获取系统的当前状态,从而判断底层云网络是否有足够的资源满足当前用户的具体需求。若满足需求,网络控制器将调用虚拟网络使用优化算法,设计相应的优化策略,并交给云控制器处理;最后,云控制器将用户要求落实到底层云网络中。在资源不充足的情况下,请求将会被拒绝,判断其是否达到重新请求的次数上限,若不超过上限,可等待下次重新请求;若超过,则放弃该用户要求,并将失败信息反馈给用户。
3实验结果与分析
为证明云计算网络信息安全管理系统的有效性,完善系统设计模型,进行了实验验证。实验采用对照的方法,将传统网络信息安全管理系统与本文设计的系统进行安全性比较,使用多种方法采集数据,对比结果如图3所示。根据图中的多次测试结果可知,本文设计的网络信息安全管理系统比传统管理系统在信息安全性方面更具优势,能够保障网络环境的安全,有效、准确筛选不良信息,减轻负载,提高网络管理员的工作效率与网络信息安全。
4结语
云计算管理平台有利于网络信息安全管理系统运行的整体性和多元化,扩大了网络环境的管理范围,维持网络的良性发展。系统构建成功后,各个子站群可以利用网站群管理和应用软件的相互协作,完成网站信息内容的记载,并按照属性监控各个子站点的运行情况,将不良信息内容及时反映给站点管理者,有效管理网站安全性。云计算技术由于私有云和公有云的共同协作,因此稳定性高于传统网络环境。
参考文献
[1]黄维.基于B/S架构的网络信息安全管理系统的设计与实现[J].电子设计工程,,26(10):53-57.
[2]李玉琛,杨虔.电力自动化控制系统网络信息安全管理的研究与设计[J].电气应用,,19(16):84-87.
[3]叶卫华,王凤.基于网络碎片化的高校科研管理信息系统安全设计[J].电子技术与软件工程,2017,21(8):233.
篇6:信息安全风险评估方法论文
【摘要】随着信息化的逐步深化、扩展,信息系统的安全性和可用性显得愈来愈重要。本文基于电网企业开展的信息安全风险评估工作,对信息安全风险评估的评估实施流程、评估实施方法及其在信息系统生命周期不同阶段的实施要点进行浅要分析。
【关键词】信息系统;信息安全;风险评估;评估方法
一、信息安全风险评估的评估实施流程
信息安全风险评估包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议,在风险评估之后就是要进行安全整改。
网省公司信息系统风险评估的主要内容包括:资产评估、威胁评估、脆弱性评估和现有安全措施评估,一般采用全面风险评估的方法,以安全顾问访谈、管理问卷调查、安全文档分析等方式,并结合了漏洞扫描、人工安全检查等手段,对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估,经过充分的分析后,得到了信息系统的安全现状。
二、信息安全风险评估实施方法
2.1 资产评估
网省公司资产识别主要针对提供特定业务服务能力的应用系统展开,通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。
综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。
2.2 威胁评估
威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中,根据各单位业务系统的具体系统情况,结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查,下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述:
2.3 脆弱性评估
脆弱性评估内容包括管理、运维和技术三方面的内容,具体实施可参照公司相应的技术或管理标准以及评估发起方的要求,根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考:
管理脆弱性:安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。
运维脆弱性:信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。
技术脆弱性:网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。
管理、运维、技术三方面脆弱性是相互关联的,管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生,运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行,运维和管理的.脆弱性主要通过访谈和调查问卷来发现。此外,对以往的安全事件的统计和分析也是确定脆弱性的主要方法。
三、现有安全措施评估
通过现有安全措施指评估安全措施的部署、使用和管理情况,确定这些措施所保护的资产范围,以及对系统面临风险的消除程度。
3.1 安全技术措施评估
通过对各单位安全设备、防病毒系统的部署、使用和管理情况,对特征库的更新方式、以及最近更新时间,设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析,并确定级别。
3.2 安全管理措施评估
访谈被评估单位是否成立了信息安全领导小组,并以文件的形式明确了信息安全领导小组成员和相关职责,是否结合实际提出符合自身发展的信息化建设策略,其中包括是否制定了信息安全工作的总体方针和安全策略,建立健全了各类安全管理制度,对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等。
3.3 物理与环境安全
查看被访谈单位信息机房是否有完善的物理环境保障措施,是否有健全的漏水监测系统,灭火系统是否安全可用,有无温湿度监测及越限报警功能,是否配备精密空调严格调节控制机房内温度及湿度,保障机房设备的良好运行环境。
3.4 应急响应与恢复管理
为正确、有效和快速处理网络信息系统突发事件,最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影响,需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制,应对网络信息系统突发事件的组织指挥能力和应急处置能力,是否及时修订本单位的网络信息系统突发事件应急预案,并进行严格的评审、发布。
3.5 安全整改
被评估单位根据信息安全风险评估结果,对本单位存在的安全风险进行整改消除,从安全技术及安全管理两方面,落实信息安全风险控制及管理,确保信息系统安全稳定运行。
四、结语
公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施,各单位结合风险评估实践情况,以技术促安全、以管理保安全,确保公司信息系统稳定运行,为公司发展提供有力信息支撑。
参考文献
[1]中国国家标准化管理委员会,信息安全技术一信息安全风险评估规范,
[2]国务院信息办信息安全风险评估课题组[R],信息安全风险评估研究报告,
篇7:信息安全风险评估方法论文
【摘 要】本文介绍了信息安全风险评估的基本概述,信息安全风险评估基本要素及通用的信息安全风险评估过程。提出在实际工作中结合实际情况进行剪裁,完成自己的风险评估实践。
【关键词】信息安全;风险评估
1 企业信息安全风险评估概述
信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。是针对威胁、脆弱点以及它可能导致的风险大小而评估的。
对信息安全进行风险分析和评估的目的就是:企业能知道信息系统中是否有安全隐患的存在,并估测这些风险将会造成的安全威胁与可能造成的损失,经过这些判断来决定修复或者对于安全信息系统的建立。
信息系统风险分析和评估能够有效的保护企业信息,但同时它也是一个较为复杂的过程,建立一个完善的信息安全风险评估需要具备相应的标准体系、技术体系、组织架构、业务体系同时也要遵循相关的法律法规。
2 企业信息安全风险评估的作用
信息安全风险评估是信息安全工作的基本保障措施之一。风险评估工作是预防为主方针的充分体现,它能够把信息化工作的安全控制关口前移,超前防范。
针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的信息安全风险评估,这样能够在第一时间发现各种所存在的安全隐患,然后再运用科学的方法对风险进行分析,从而解决信息化过程中不同层次和阶段的安全问题。
在信息系统的规划设计阶段,信息安全风险评估工作的实行,可以使企业在充分考虑经营管理目标的条件下,对信息系统的各个结构进行完善从而满足企业业务发展和系统发展的安全需求,有效的避免事后的安全事故。
这种信息安全风险评估是必不可少的,它很好地体现了“预防为主”方针的具体体现,可以有效降低整个信息系统的总体拥有成本。信息安全风险评估作为整个信息安全保障体系建设的基础、它确保了信息系统安全、业务安全、数据安全的基础性、预防性工作。因此企业信息安全风险评估工作需要落到实处,从而促进其进一步又好又快发展。
3 信息安全风险评估的基本要素
篇8:信息安全风险评估探究的论文
信息安全风险评估探究的论文
1.风险评估内涵
风险评估是一项周期性工作,是进行风险管理。由于风险评估的结果将直接影响到信息系统防护措施的选择,从而在一定程度上决定了风险管理的成效。风险评估可以概括为:
①风险评估是一个技术与管理的过程。②风险评估是根据威胁、脆弱性判断系统风险的过程。
③风险评估贯穿于系统建设生命周期的各阶段。
2.信息安全风险评估方法
(1)安全风险评估。为确定这种可能性,需分析系统的威胁以及由此表现出的脆弱性。影响是按照系统在单位任务实施中的重要程度来确定的。风险评估以现实系统安全为目的,按照科学的程序和方法,对系统中的危险要素进行充分的定性、定量分析,并作出综合评价,以便针对存在的问题,根据当前科学技术和经济条件,提出有效的安全措施,消除危险或将危险降到最低程度。即:风险评估是对系统存在的固有和潜在危险及风险性进行定性和定量分析,得出系统发送危险的可能性和程度评价,以寻求最低的事故率、最少的损失和最优的安全投资效益。
(2)风险评估的主要内容。
①技术层面。评估和分析网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、操作系统、数据库、应用系统等软、硬件设备。
②管理层面。从本单位的工作性质、人员组成、组织结构、管理制度、网络系统运行保障措施及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。
(3)风险评估方法。
①技术评估和整体评估。技术评估是指对组织的技术基础结构和程序系统、及时地检查,包括对组织内部计算环境的安全性及对内外攻击脆弱性的完整性攻击。整体风险评估扩展了上述技术评估的范围,着眼于分析组织内部与安全相关的风险,包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。
②定性评估和定量评估。定性分析方法是使用最广泛的风险分析方法。根据组织本身历史事件的统计记录等方法确定资产的价值权重,威胁发生的可能性以及如将其赋值为“极低、低、中、高、极高”。
③基于知识的评估和基于模型的评估。基于知识的风险评估方法主要依靠经验进行。经验从安全专家处获取并凭此来解决相似场景的风险评估问题。该方法的优越性在于能直接提供推荐的保护措施、结构框架和实施计划。
(4)信息安全风险的计算。
①计算安全事件发生的可能性。根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导致安全事件发生的可能性。具体评估中,应综合攻击者技术能力、脆弱性被利用的难易程度、资产吸引力等因素判断安全事件发生的可能性。
②计算安全事件发生后的损失。根据资产价值及脆弱性的严重程度,计算安全事件一旦发生后的'损失。部分安全事件损失的发生不仅针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也不一样。③计算风险值。根据计算出的安全事件发生的可能性以及安全事件的损失计算风险值。
3.风险评估模型选择
参考多个国际风险评估标准,建立了由安全风险管理流程模型、安全风险关系模型和安全风险计算模型共同组成的安全风险模型(见图1)。
(1)安全风险管理过程模型。
①风险评估过程。信息安全评估包括技术评估和管理评估。
②安全风险报告。提交安全风险报告,获知安全风险状况是安全评估的主要目标。
③风险评估管理系统。根据单位安全风险分析与风险评估的结果,建立本单位的风险管理系统,将风险评估结果入库保存,为安全管理和问题追踪提供数据基础。
④安全需求分析。根据本单位安全风险评估报告,确定有效安全需求。
⑤安全建议。依据风险评估结果,提出相关建议,协助构建本单位安全体系结构,结合组织本地、远程网络架构,为制定完整动态的安全解决方案提供参考。
⑥风险控制。根据安全风险报告,结合单位特点,针对面对的安全风险,分析将面对的安全影响,提供相应的风险控制建议。
⑦监控审核。风险管理过程中每一个步骤都需要进行监控和审核程序,保证整个评估过程规范、安全、可信。
⑧沟通、咨询与文档管理。整个风险管理过程的沟通、咨询是保证风险评估项目成功实施的关键因素。
(2)安全风险关系模型。安全风险关系模型以风险为中心,形象地描述了面临的风险、弱点、威胁及其相应的资产价值、防护需求、保护措施等动态循环的复杂关系。
(3)安全风险计算模型。安全风险计算模型中详细、具体地提供了风险计算的方法,通过威胁级别、威胁发生的概率及风险评估矩阵得出安全风险。
4.结语
本文在综合风险和比较多种评估标准和方法的基础上,针对现行网络的安全现状和安全需求,提出了网络风险评估的模型和风险计算方法,以及时发现、弥补和减少信息安全漏洞,为提高涉密信息系统的安全性,降低网络失泄密风险提供一定的帮助。
篇9:高校安全信息管理机制分析论文
高校安全信息管理机制分析论文
随着高校信息化建设的不断发展,教师与学生的工作与生活也发生了一系列的变化,高校的安全信息管理一方面为信息化建设奠定坚实的基础,另一方面保障了高校的长期稳定发展,因此,加强对高校安全信息管理机制研究,对高校新时期的发展有着重要的实践意义。
一、高校安全信息概述
安全信息指的是在生产过程中与安全直接相关的各种信息的总和,其包括警示信息、上级命令等多个方面。近年来,我国计算机信息技术得到了极大提升,在人们的日常生活与工作中发挥着不可替代的作用。与此同时,安全信息管理工作也面临着新的挑战。高校作为人才培养的重要基地,同时也是科研成果的集中地。高校学生与教师整体素质较高,且思维活跃、有深度,因此加强对高校安全信息管理显得尤为重要,这不仅是构建和谐校园的需要,更是保障社会稳定的需要。近年来,校园安全事故频发,校园火灾、学生跳楼、学生自杀等事件引起了全社会的广泛关注,不仅为涉事学校与学生带来了严重的伤害与损失,而且造成了不良的社会影响。目前高校师生的安全问题已经成为高校亟待解决的重要问题,加强对高校安全信息的管理已刻不容缓。
二、高校安全信息的基本类型
高校安全信息的管理主要指安全信息管理部门采用多种途径对高校中涉及的政治、文化等方面的信息进行搜集、分析,其主要包括决策指令型、状态型、棘手型、反馈型四种类型。
(一)决策指令型
决策指令型安全信息是高校安全信息管理的重要组成部分,其主要来源于学校行政管理部门以及主管部门,涉及到与高校安全工作相关的各项法律、规范以及会议精神等。此类信息由政府部门或高校主管部门负责传递,对高校安全信息管理具有重要指导性作用,且具有强制性,要求高校必须严格按照上级的指导要求落实工作,并接受政府与上级主管部门的核查。高校领导以及安全部门工作人员要对接收的信息进行准确理解与把握,并落实到安全信息管理工作的方方面面。
(二)状态型
状态型安全信息是指发生于高校内部或社会中涉及政治、文化、教育等方面的比较敏感的话题,它是未经过滤的原始信息,能直接体现最初状态。它对时效性要求较高,这类安全信息一旦超过了一定的时效,将很有可能成为无用信息。状态型安全信息能够对高校的发展现状进行鲜明的呈现,并对高校的未来发展做出有效的评估,能够及时发现学校在发展过程中可能存在的潜在威胁,对高校的安全及稳定发展有着重要的意义。因此,高校安全信息管理部门要对状态型安全信息给予高度关注,充分利用状态型安全信息,将其及时反映到上级管理部门,为上级领导的决策提供必要的参考依据。
(三)棘手型
棘手型安全信息多是在高校安全管理的具体工作中产生的,主要包括教职工与学生在学校生活中遇到的各方面的难题,不仅涉及到教学中遇到的矛盾与困难,而且包括了教职工与学生在日常生活中遭遇的困难,如学校的食堂安全问题、学生的住宿问题以及各项活动安排等,这些问题与师生的正常工作与生活密切相关,是每天都必须面临的问题,因此必须认真处理好棘手型安全信息问题,确保学校教学工作的有序开展,保障师生的人身安全。
(四)反馈型
反馈型安全信息主要指高校安全管理部门对学校内部或社会中过于敏感话题的态度与看法,这些信息关系着学校的声誉与长期发展,同时也关系着学校师生的安全,因此,高校的信息管理部门要对反馈型信息给予高度关注,通过多种途径搜集信息,获取有效的安全信息资源,并对这些信息进行综合分析,做出总结,为学校安全信息管理工作的科学决策提供保障,使安全管理落实到学校管理的各个环节。
三、高校安全信息管理存在的问题
(一)高校安全信息管理滞后
当前,我国高校正致力于信息化建设,在现代互联网信息技术的支持下,高校的信息化建设不断加快,信息平台逐步趋于完善,相应的技术层面问题也得到了有效的解决。然而从当前的高校安全信息管理来看,我国高校安全信息资源流程还缺乏一定的规范性,从信息的获取到存储再到信息的有效利用,都不够完善,这在一定程度上限制了高校安全信息管理的有效性。因此,学校要充分把握安全信息管理的各个环节,避免主观臆断,以客观、公正的态度对安全信息进行分析,确保信息的真实性与实效性。
(二)高校校园安全预警机制缺乏
作为高校安全管理工作极为重要的组成部分,预警机制的建立对学校的健康稳定发展以及师生的安全都有着极其重要的意义,它贯穿着信息收集与整理、计划制定、决策实施等安全信息管理的全程。而我国大部分高校的安全预警机制并不完善,例如信息渠道不够畅通,在对安全信息进行分析与判断的过程中往往带有一定的片面性与主观性,甚至导致整个决策方案出现失误。部分高校尽管建立了校园安全预警机制,然而对安全信息的分析能力有所欠缺,降低了安全信息管理的有效性。
(三)高校安全管理部门信息交流不畅
高校安全信息的收集、整理、分析以及利用需要完善的系统化流程作为支撑,这是高校安全信息实现有效管理的基础。然而大部分高校的安全管理部门并未建立信息交流与共享机制,各个部门各自为政,很难实现各类安全信息的有机整合与处理,这就使信息的价值大大降低,其在安全管理决策中的作用也难以发挥。
四、高校安全信息管理机制
高校的安全信息管理由多个环节组成,每个环节都是安全信息管理中不可或缺的重要组成部分,具体包括安全信息获取途径、安全信息存储条件、安全信息沟通反馈、安全信息有效利用等。
(一)安全信息的有效获取
作为高校安全信息管理机制的首要环节,安全信息的获取不仅是安全信息管理的`必要基础,而且是信息管理与决策的重要依据,因此,必须通过多种途径实现对安全信息的有效获取。首先,学校安全部门要针对安全信息管理制定出相应的管理制度,并选出合适的信息收集人员,收集安全信息主要涉及到学校后勤部门、学生部门以及教学部门等,并将信息及时反馈到安全管理部门,为高校的安全管理工作提供有效的参考。另外,在现代互联网信息技术的支持下,学校可以为教师与学生建立一个完善的安全问题交流平台,并设定专门的信息管理人员对这些安全信息以及师生感兴趣的话题进行收集,对这些信息做出科学分析,认真解决与师生利益相关的各类安全问题。
(二)安全信息的存储机制
高校安全信息管理工作的有效实施与安全信息存储联系尤为密切,只有将安全信息进行有效的存储,才能够为安全信息管理工作打下坚实基础。首先,高校要建立完善的安全信息管理系统,这其中不仅包括对安全信息的收集,而且要强调对信息的存储与科学利用,在安全信息系统的支持下,高校安全管理机构能够实现对安全信息的有效管理与控制,充分发挥其在高校安全管理中的作用。另外,要建立安全信息数据库。通常情况下,在收集安全信息的过程中采用了多种渠道,这些安全信息相对零散,必须对这些信息进行汇总,通过安全信息管理人员的筛选与整理,将有价值的安全信息进行汇集,建立数据库,对这些信息进行储存,以便为高校的安全管理提供参考。
(三)安全信息的沟通机制
获取安全信息后,需要针对这些信息建立有效的交流与沟通机制,确保安全信息管理的科学性。学校安全管理部门可以创建一个网络平台,通过该平台实现对安全信息的发布与反馈,需要注意的是要确保信息的真实性与透明度,这不仅是对大学生权利的尊重,同时也是学校可持续发展的内在要求。如果缺乏有效的信息沟通、交流机制,高校将很难掌握其运行过程存在的安全问题,进而引发一系列安全事件的发生。因此,要充分利用网络平台,准确把握师生在日常工作、学习与生活的安全诉求,进而给予良好的解决,同时将与学校相关的各种安全信息通过网络传递到师生,确保高校正常教学工作的有序进行。另外,近年来微博、博客作为一种新型的交流、沟通工具,在高校师生的沟通交流中发挥着巨大的作用,学校安全管理机构可开通微博,通过微博系统发布师生关注的各类安全信息,这一方面有利于信息的传播,使更多人能够了解安全信息,另一方面能够使广大师生提高警惕,树立安全意识,为高校的安全信息管理工作降低难度。
(四)安全信息的科学利用
安全信息的收集、存储与沟通,最终目的还是为了实现对安全信息的有效利用,其作为安全信息管理机制的最后环节,直接影响着高校安全管理的有效实施。首先,为了保障教师与学生能够在最短时间内获得安全信息,可利用短信或微信将与师生利益或与师生的生活密切相关的安全信息进行群发,并附带基本的安全防护知识,使学生及教师在掌握最新安全信息的基础上,能够掌握安全防护要领,达到安全管理的目的。另外,随着数字校园网的普及,高校的信息宣传工作更加快捷、有效,高校安全管理机构可利用校园网将广大师生普遍关注的餐饮与住宿问题进行及时宣传与反馈,化解学生在食宿问题中产生的各类矛盾,将安全问题扼杀在摇篮中。安全管理机构要充分发挥校园网的优越性,在掌握各类安全信息的基础上,制定出有效的解决策略,确保高校教学工作以及师生日常生活的顺利进行,进而提升高校的安全管理水平。当前,我国高校的安全信息管理水平还普遍偏低,一方面安全信息的利用率不高,部分安全信息未能得到有效的利用,使其丧失了在高校安全管理工作中的有效性,另一方面信息管理模式单一,对安全信息的控制效果不佳。因此,必须充分认识到现阶段我国高校安全信息管理工作中存在的问题,建立有效的安全信息管理机制,将安全管理落实到校园生活的方方面面,提升安全管理能力,确保高校的稳定健康发展。
篇10:中小企业局域网信息安全分析论文
中小企业局域网信息安全分析论文
信息化的社会已经到来了,信息技术的广泛应用无处不在地改变了人们的生活,信息资源被高度共享,为了更好利用信息资源,提高效率,降低运营管理成本,我们的中小企业不可避免要建设自己的局域网。随着科技的进步,我们的计算机网络变得更开放、更高性能、更高集成、更人性化,计算机网络的应用在各行各业中发挥着越来越重要的作用,但是网络上存在着许多威胁中小企业局域网信息安全的因素,如骇客、病毒、内部人员的泄密等,所以建设一个安全的局域网来保障企业信息安全是非常重要的。
一、局域网的概念
局域网就是在一个地理上较小的区域内的多台计算机和其他设备组成的,应用网络软件使各种资源能够共享的网络系统。它是指一个相距不远地理范围内,将各种计算机、存储设备和数据库、信息处理设备等互相联接起来组成的计算机通信网。相对于广域网,局域网特点是有较高的数据传输速率和低误码率,比较容易维护和扩展。它可以通过数据通信网或专用数据电路,与远方的局域网相连接,构成一个范围较大的局域网。通过局域网可以实现内部数据文件共享、应用软件共享、打印机、复印机等设备共享、局域网还可以共享宽带资源实现电子邮件、在线聊天、传真通信等等功能。一些软件系统如财务管理软件、进销存系统、ERP(企业资源计划系统)等也要依托建立在单位内部网络的基础上。一个企业的内部网络可以包括局域网,也可以包括一部分广域网,而对于多数中小企业来说,没有设置外地的分支机构,在本地一个小区域内组建一个局域网也就可以满足需要了。总的来说局域网能使企业充分利用共享资源,即节省了经费又提高了效率。
局域网如果按传输介质分类可以分为两种,一种是有线局域网,另外的一种就是无线局域网,如果传输介质采用同轴电缆、双绞线、光缆等介质的称为有线局域网,若采用无线电波,微波,则称为无线局域网。有线局域网的优点是信号传输稳定质量高,信号基本不会受阻挡物、气候、电磁干扰影响。有线局域网的缺点是在一些特殊的场合下布线的工程量大且困难,如果要改线的时候也工程量也相当大;线路容易损坏,维护困难、成本高; 网络中的节点不可移动,布线灵活性差。无线局域网络的优点则有:1、安装布线灵活、易于规划和调整2、可移动和可无缝漫游。2、建设成本较低、容易维护。无线局域网缺点也有很多:传输速率较低、信号容易受阻档物、电磁波等干扰,稳定性较差、安全性较差等。选择无线局域网还是有线局域网要根据行业、地理环境、安全要求、传输速率、传输质量等情况来选择,或者是两者相结合来组成局域网。此外局域网还可以按传输速率、操作系统、服务对象等不同来分类。
二、中小型企业的局域网系统的概况
(一)中小型企业的局域网结构分析
改革开放后中小型企业的迅速成长起来,局域网的建设能够给许多的中小心企业带来便利,但是由于行业不同、地理环境不同,网络的拓扑结构也就不同。对于不同的中小型企业所建造的局域网,主要可以分为三种结构:集中型、分散型、综合型。
(二)中小型企业的局域网特点
现在的中小型的局域网一般都与互联网相连接,所以中小型企业一般都容易受互联网中不安全因素的影响,如病毒、骇客和恶意软件等。一般的中小企业在信息安全方面资金预算、人员投入有限,专业技术人员不足,甚至没有配备专职的信息技术人员。一些中小企业在网络管理方面缺乏有效的技术手段,管理松懈,不能形成完善的管理机制。总地来说中小企业的局域网长期处于被动管理的局面,安全性低,随时面对着信息被恶意破坏和外泄。
三、现代中小型企业局域网的安全现状
(一)来自互联网中的威胁
网络体系结构的安全缺陷使得互联网存在许多不安全因素,中小型企业的局域网与互联网相连的时候,容易遭受骇客,病毒,恶意软件等的入侵,而中小型企业的局域网本身安全性不高,受到入侵和攻击的可能性更大,最终可能发生的是计算机系统被破坏、秘密资料和帐户密码等被窃取、企业的软件系统瘫痪无法正常工作等,从而造成重大的经济损失。
(二)来自局域网内部的安全威胁
中小型企业局域网中的信息安全威胁并不仅仅存在于局域网外部,反而更多的时候是由于局域网内部的威胁。许多的把中小型企业的重要信息泄露出去的就是企业内部人员。另外企业内部人员缺乏培训,因操作不当所造成病毒感染、数据丢失等情况也比比皆是。中小型企业存在许多的安全管理的问题,安全管理制度的不健全、缺乏专业型的人才,企业内部员工缺乏安全管理意识,责任不明确。一些非本企业的人员可以轻易地进入局域网系统,系统中的文档可以被随意复制、删除、打印、修改,重要的数据、资料可以被员工随意拷贝拿走,一些企业内部人员没有保护企业信息的意识,企业的机密信息被有意无意的泄露,信息被泄露之后也没有相应的惩罚措施。企业内部的安全管理部门在管理上没有相应的制度,也没有采取足够的安全防范措施,当局域网系统的操作人员操作不当的时候无法进行监控和及时改正,往往只有在发生严重后果之后才知道。正当局域网受到攻击的时候无法追踪和预警,即使受到攻击后也无法追踪攻击的来源,这样所遭到的损失将是无法挽回的。
(三)局域网病毒
由于中小型企业在局域网方面中缺乏技术力量和管理,所以有可能因为人员的操作不当而使局域网受到病毒的侵害。局域网受到病毒侵害的方式有多种多样,比如:由于人员的疏忽,没有在对服务器拷贝之前进行病毒的查杀,使病毒进入局域网中传播。局域网病毒非常的复杂,它不仅仅只具有一般计算机病毒的共性:可传播、可执行和可破坏,同时它比计算机病毒更加可怕的.是它传播速度是非常快的,据以往的测定,在局域网内只要有一台计算机中感染此病毒,那么在短短的几十分钟内局域网中所有的计算机都会感染病毒。局域网病毒具有可扩散性且扩散面非常的广,不仅仅是感染局域网内部的计算机,局域网外部的计算机也同样传播。局域网病毒多种多样难以发现。一般被普通的计算机病毒感染的时候只需要将中病毒的文件删除就行了,但局域网病毒非常难以被清除和查杀,只要在局域网中的计算机内有一台计算机的病毒没有查杀干净那么就很有可能使整个的局域网重新被病毒侵入。局域网病毒的破坏性非常大,在一定程度上会使整个局域网崩溃无法使用。而且局域网病毒具有潜在性的特点,即使及时将局域网中的病毒查杀了,但是还有85%的可能性在一个月内被再次入侵。例如一种叫尼姆达的病毒,只要局域网中的计算机被此病毒入侵,那么他就会搜索网络文件并在文件中安装在一个隐藏的文件,当你给别人发送带此病毒的邮件时并不需要你把隐藏文件打开,只要阅读看该邮件那么就会中此病毒,每隔一段时间,病毒就重复一次传染流程,这种循环反复的传播方式会迅速消耗网络资源,导致整个局域网内的所有计算机都陷入病毒的互相感染之中,从而最终导致系统崩溃、局域网瘫痪。
四、中小企业局域网信息安全的措施
(一)制定一个完整的安全管理制度
由于中小企业大部分的安全事故是由于企业内部的原因,所以我们要建立一个相应的安全管理部门并且制定一个全面的合理性、可执行的安全管理制度,并严格的执行其规章制度;吸纳专业性的人才,建立一个安全性高的局域网系统,并能够长期地、实时地对局域网进行监控和对企业人员进行指导。
(二)加强网络安全意识的培养
由于中小企业内的安全管理体系不能够有效的对局域网进行安全防护,员工的操作使用不当或无意中使用了网络中的危险软件,可能会使局域网遭到病毒和骇客的入侵,最终导致局域网瘫痪和企业重要信息的破坏、泄露,所以加强对企业内部网络安全管理,增强专业技术人员和企业内部员工的网络安全意识培养是中小企业网络信息安全建设的重中之重。加强安全部门的专业培养可以能够有效的随局域网实施保护,当局域网受到攻击时能采取相应的安全措施,并且能对整个的局域网实施监控,尽早的发现危险,把危险解决于萌芽状态。当员工进行不当操作时能够及时纠正,防止机密信息的外泄、破坏。
(三)局域网的防毒措施
局域网病毒的具有复杂、隐蔽、易传染、破坏性强、传播速度快等特性,因此在中小型企业中必须建立一个完整的,多层次的防毒体系。首先必须增加安全意识,由于中小型企业的内部人员的网络安全意识普遍较低,对局域网病毒的传播没有足够的了解,所以企业要加强企业内部人员的安全意识,提高员工对病毒的警觉性,安装人们比较认可的局域网杀毒软件,并对未明的文件进行病毒查杀,定期更新病毒库并能定期对整个电脑系统进行杀毒。其次要对用户使用行为设置权限,及时下载安装操作系统的补丁程序,并安装局域网防火墙,降低病毒感染的可能性。另外要利用网络管理软件对整个的局域网进行监控,及时的发现病毒并且能够对局域网中的病毒进行彻底查杀。
(四)设置用户的访问权限,对数据进行备份
一些中小企业,管理不严格,没有设置权限,一些员工在上班的时候可以随意玩网络游戏、看电影、下载软件等等,这样即浪费了公司资源,又不安全。所以网络管理人员必须通过对路由器或一些专用软件的设置设置来限制这些行为,使用权限,权限设置的主要作用有:(1)访问控制,可以按照部门分组、员工、时间段等条件设置,来控制企业内部网络行为。既可以模糊或精确限制网站访问,过滤端口、IP地址,限制上网时间,也可以封堵下载、聊天程序,让员工无法在上班时间随意聊天和下载电影。(2)内容审计,按照IP/MAC、目的IP、协议类型、时间等不同条件,可以进行单个或多个组合查询,对不同的人员、部门设定文件下载、网络聊天、邮件及附件内容的规则,规则内的才允许执行,确保公司机密不被外泄,也方便公司掌握具体情况。(3)流量分析,根据网络记录中的统计结果,网络管理人员可以对网络中指定对象的历史流量进行分析。通过分析可以帮助操作员更加全面、宏观地了解企业整体流量情况和员工上网行为,也为管理人员提供考核依据。
如果局域网已经被病毒、骇客入侵了,数据被无情破坏,或者因为员工操作不当,将企业重要的信息、资料删除或格式化了,怎么做才能将恢复数据呢?恢复数据之前我们必须要做的就是事先对局域网内的数据进行备份,这样即使局域网的系统或信息遭到破坏,网络管理人员也能够很快重新恢复数据。使系统、数据恢复完全恢复或部分恢复到破坏前的状态,最大限度地减少企业损失。
(五)内网安全管理系统软件的应用
为了帮助企业建立完善的信息管理机制,一些软件开发了针对企业的内网安全管理系统,如“中软防水坝数据加密防泄漏系统 、IP-guard内网安全管理系统、secdocx数据安全保护系统、等等,这些系统主要的功能是实现终端可控使用、安全使用,防止重要数据、信息被有意、无意的泄露,并对外来电脑、U盘等介质的接入进行严格管理和安全审计,以达到整个局域网系统安全、可靠的需求。通过这些内网安全管理系统能更好地管理、保护局域网内部的重要信息资料,提高工作效率,限制员工玩游戏、上网聊天等非允许行为,协助信息管理者更方便、快捷地进行内部信息的安全管理。如果一个企业对信息安全要求很高,一套合适的内网管理软件会有很大的帮助。
信息安全管理不只是技术的问题,有了好的内网安全管理软件,如果没有对应的管理力量推动实施,或者在执行的过程中执行力不足,都不能发挥完美的效果。内部员工的反对、不认真配合、敷衍了事,都可能让信息安全管理方案半途而废,所以网络安全领域有一句至理名言,“三分技术,七分管理”说的就是网络安全中计算机系统信息安全设备和技术保障很重要,但更重要的是依靠用户安全管理意识的提高以及管理模式的更新。
五、结束语
随着社会信息技术的不断发展,中小型企业为适应时代的潮流必需更有效地利用局域网,但是局域网给中小型的企业带来极大的便利同时也使中小型企业时刻面临着网络上的威胁,更重要的是面对着企业中内部存在的威胁,我们要做的一是加强企业局域的安全性建设,建设完整的局域网安全系统和防毒系统,但更重要的是加强企业信息安全管理制度和加强中小型企业内员工的网络安全意识,培养员工对企业忠诚意识,这样才能够真正的解决中小型企业的局域网的信息安全问题。
【智能化系统的信息安全评估分析论文】相关文章:
3.信息安全论文
5.智能化的论文
8.网络信息安全论文
10.信息分析
文档为doc格式
