第一篇:网络与信息安全威胁调查报告
网络与信息系统安全威胁调查报告
郭祖龙
摘要: 随着互联网逐渐走入人们的生活,网络安全问题日益严峻。本文首先阐述了目前网络与信息系统存在的各种安全威胁,并对其进行了一定程度上的分析,然后说明了针对各类威胁的基本防范方式,最后介绍了网络信息安全威胁的新形势。
关键词:网络安全 安全威胁 木马
随着网络的普及和发展,人们尽管感受到了网络的便利,但是互联网也带来了各式各样的问题。其中网络安全问题是最为重要的问题之一。网络时代的安全问题已经远远超过早期的单机安全问题。网络与信息系统安全威胁是指以计算机为核心的网络系统,所面临的或者来自已经发生的安全事件或潜在安全事件的负面影响。
一、网络与信息系统面临的威胁
网络系统最终为人服务, 人为的威胁行为诸如各种网络人侵行为是网络安全威胁出现的根本原因。人为攻击又可以分为以下两种:一种是主动攻击,其目的在于篡改系统中所含信息,或者改变系统的状态和操作, 它以各种方式有选择地破坏信息的有效性、完整性和真实性;另一类是被动攻击,它通常会进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。常见的人为因素影响网络安全的情况包括:
1.木马
木马指的是一种后门程序,是黑客用来盗取其他用户的个人信息,甚至是远程控制对方的计算机而加壳制作,然后通过各种手段传播或骗取目标用户执行该程序,以达到盗取密码等各种数据资料的目的。与病毒相似,木马程序有很强的隐秘性,随操作系统启动而启动。但不会自我复制,这一点和病毒程序不一样。计算机木马一般由两部分组成,服务端和控制端。服务端在远处计算机运行,一旦执行成功就可以被控制或者制造成其他的破坏。而客户端主要是配套服务端程序,通过网络向服务端服务端发布控制指令。
木马的传播途径主要有通过电子邮件的附件传播,通过下载文件传播,通过网页传播,通过聊天工具传播。
木马程序还具有以下特征:
(1).不需要服务端用户的允许就能获得系统的使用权
(2).程序体积十分小, 执行时不会占用太多资源
(3).执行时很难停止它的活动, 执行时不会在系统中显示出来
(4).一次启动后就会自动登录在系统的启动区, 在每次系统
(5).的启动中都能自动运行
(6).一次执行后就会自动更换文件名, 使之难以被发现
(7).一次执行后会自动复制到其他的文件夹中
(8).实现服务端用户无法显示执行的动作。
著名的木马有Back Orifice,NetBUS Pro,SUB7,冰河等等。
通过以下方法可以有效防止木马:
(1).安装系统补丁
(2).安装并更新杀毒软件和防火墙,开启实时监控程序
(3).不要访问不良网站
(4).尽量不要下载安装“破解版”软件
(5).尽量不要随意解压压缩文件
(6).使用U盘,光盘等移动设备前用杀毒软件查杀病毒
2.蠕虫
电脑蠕虫与电脑病毒相似,是一种能够自我复制的电脑程序。与电脑病毒不同的是,电脑蠕虫不需要附在别的程序内,可能不用使用者介入操作也能自我复制或执行。电脑蠕虫未必会直接破坏被感染的系统,对网络有较大的危害。电脑蠕虫可能会执行垃圾代码以发动拒绝服务攻击,令到计算机的执行效率极大程度降低,从而影响计算机的正常使用。
计算机蠕虫的主要危害表现为:信息泄露、占用网络带宽、破坏系统、开启后门和傀儡机器。
如果主机遭受到蠕虫的攻击,可以采取以下方法处理:
(1).下载操作系统补丁
(2).删除蠕虫释放的程序
(3).使用蠕虫专杀工具
著名的计算机蠕虫有冲击波病毒,Sql蠕虫王等等。
3.拒绝服务攻击
利用网络已被攻陷的计算机作为“丧失”,向某一特定的目标计算机发动密集式的“拒绝服务”要求,用以把目标计算机的网络资源及系统资源耗尽,使之无法向真正正常的请求用户提供服务。黑客通过将一个个“丧失”或者称为“肉鸡”组成僵尸网络,就可以发动大规模DDOS网络攻击。
Dos攻击的基本过程:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。
SYN Flood是比较流行的拒绝服务攻击的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
4.SQL 注入式攻击
所谓SQL 注入式攻击,就是攻击者把SQL 命令插入到Web表单的输入域或页面请求的查询字符串中,欺骗服务器执行恶意的SQL 命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL 命令,或作为存储过程的输入参数,这类表单特别容易受到SQL 注入式攻击。不仅如此,黑客们已经开发出自动化工具,利用谷歌等搜索引擎来找出可能存在漏洞的网站,然后将代码植入其服务器中。
SQL注入式攻击的主要形式有两种。一是直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。上面笔者举的例子就是采用了这种方法。由于其直接与SQL语句捆绑,故也被称为直接注入式攻击法。二是一种间接的攻击方法,它将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中,以执行一些恶意的SQL代码。
SQL注入式攻击的防治:
(1).普通用户与系统管理员用户的权限要有严格的区分。
(2).强迫使用参数化语句。
(3).加强对用户输入的验证。
(4).必要的情况下使用专业的漏洞扫描工具来寻找可能被攻击的点。
5.IPv6威胁
IPv6尽管相对于IPv4提高了安全性,但是仍然有很多安全威胁。例如:
(1).非法访问
在ipv6依然是使用网络三层和四层信息界定合法和非法。因为有ipv6私密性扩展,禁止非常困难,为了 保证内网的acl有效性,尽量禁止ipv6私密性扩展。
(2).数据包头的篡改和数据包的分片
攻击者可以增加无限的ipv6扩展包头,来探测和攻击分片技术。
(3).第三层和第四层的地址欺骗
6.钓鱼式攻击
钓鱼式攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称(自己)来自于风行的社交网站(YouTube、Facebook、MySpace)、拍卖网站(eBay)、网络银行、电子支付网站(PayPal)、或网络管理者(雅虎、互联网服务供应商、公司机关),以此来诱骗受害人的轻信。网钓通常是通过e-mail或者即时通讯进行。网钓是一种利用社会工程技术来愚弄用户的实例。它凭恃的是现行网络安全技术的低亲和度。种种对抗日渐增多网钓案例的尝试涵盖立法层面、用户培训层面、宣传层面、与技术保全措施层面。
钓鱼式攻击的防治:
(1).识别合法网站
(2).使用垃圾邮件过滤器过滤消除网钓邮件
7.零日漏洞
“零日漏洞”是指被发现后立即被恶意利用的安全漏洞, 这种攻击利用厂商缺少防范意识或缺少补丁, 从而能够造成巨大破坏。虽然还没有出现大量的“零日漏洞” 攻击, 但是其威胁日益增长。人们掌握的安全漏洞知识越来越多, 就有越来越多的漏洞被发现和利用。
防范措施如下:
(1).协议异常检测
(2).模式匹配
(3).命令限制
(4).系统伪装
(5).报头过滤拦截。
8.基于Mac操作系统的病毒
相对于Windows 而言,针对Mac 的恶意程序要少得多。由于大多数Windows 家庭用户都没有能力对恶意软件和间谍软件进行有效的防御,因此从Windows平台转向苹果Mac平台看起来是一个明智的做法。但是这只不过是因为针对这一平台编写的恶意软件更少而已,Mac OSX 系统并不比Windows 先进。”此外,还有其它一些恶意程序也在2008 年对Mac 电脑发起了攻击。例如: OSX/Hovdy-A Trojan、Troj/RKOSX-A Trojan 和OSX/Jahlav-A Trojan。
9.手机病毒
随着智能手机的不断普及,手机病毒成为了病毒发展的下一个目标。手机病毒是一种破坏性程序,和计算机病毒(程序)一样具有传染性、破坏性。手机病毒可利用发送短信、彩信,电子邮件,浏览网站,下载铃声,蓝牙等方式进行传播。手机病毒可能会导致用户手机死机、关机、资料被删、向外发送垃圾邮件、拨打电话等,甚至还会损毁 SIM卡、芯片等硬件。
手机病毒工作原理:手机中的软件,嵌入式操作系统(固化在芯片中的操作系统,一般由 JAVA、C++等语言编写),相当于一个小型的智能处理器,所以会遭受病毒攻击。而且,短信也不只是简单的文字,其中包括手机铃声、图片等信息,都需要手机中的操作系统进行解释,然后显示给手机用户,手机病毒就是靠软件系统的漏洞来入侵手机的。
手机病毒的预防:
(1).不要接受陌生请求
(2).保证下载的安全性
(3).不要浏览不良网站
(4).使用不带操作系统的非智能手机
二、信息网络安全威胁的新形势
伴随着信息化的快速发展,信息网络安全形势愈加严峻。信息安全攻击手段向简单化、综合化演变,攻击形式却向多样化、复杂化发展,病毒、蠕虫、垃圾邮件、僵尸网络等攻击持续增长,各种软硬件安全漏洞被利用进行攻击的综合成本越来越低,内部人员的蓄意攻击也防不胜防,以经济利益为目标的黑色产业链已向全球一体化演进。
在新的信息网络应用环境下,针对新的安全风险必须要有创新的信息安全技术,需要认真对待这些新的安全威胁。
1.恶意软件的演变
随着黑色地下产业链的诞生,木马、蠕虫、僵尸网络等恶意软件对用户的影响早已超过传统病毒的影响,针对Web的攻击成为这些恶意软件新的热点,新时期下这些恶意软件攻击方式也有了很多的演进:
(1).木马攻击技术的演进
网页挂马成为攻击者快速植入木马到用户机器中的最常用手段,也成为目前对网络安全影响最大的攻击方式。同时,木马制造者也在不断发展新的技术,例如增加多线程保护功能,并通过木马分片及多级切换摆脱杀毒工具的查杀。
(2).蠕虫攻击技术的演进
除了传统的网络蠕虫,针对Mail、IM、SNS等应用性业务的蠕虫越来越多,技术上有了很多新演进,例如通过采用多层加壳模式提升了其隐蔽性,此外采用类似P2P传染模式的蠕虫技术使得其传播破坏范围快速扩大。
(3).僵尸网络技术的演进
在命令与控制机制上由IRC协议向HTTP协议和各种P2P协议转移,不断增强僵尸网络的隐蔽性和鲁棒性,并通过采取低频和共享发作模式,使得僵尸传播更加隐蔽;通过增强认证和信道加密机制,对僵尸程序进行多态化和变形混淆,使得对僵尸网络的检测、跟踪和分析更加困难。
2.P2P应用引发新的安全问题
P2P技术的发展给互联网带来了极大的促进,BT、电驴等P2P软件获得了广泛的应用,但这种技术在给用户带来便利的同时也给网络应用带来了一些隐患。版权合法问题已成为众多P2P提供商和用户面临的首要问题,而P2P技术对带宽的最大限度占用使得网络带宽将面临严峻挑战。目前在正常时段,在整个互联网的骨干网中,P2P流量占整个网络流量高达40%以上,这不仅造成了带宽的紧张,也影响了其他互联网业务应用的正常使用,业务的安全可靠使用受到影响。对于基于时间或流量提供带宽服务的运营商而言,如何正确的优化带宽并合理使用P2P技术将成为其面临的主要挑战。
除此之外,P2P软件本身现在也成为众多安全攻击者的目标,主流P2P软件的去中心化和开放性使得P2P节点自身很容易成为脆弱点,利用P2P传播蠕虫或者隐藏木马成为一种新的攻击趋势。
3.新兴无线终端攻击
无线终端用户数目已超过固网用户数目达到了几十亿,随着3G、Wimax、LTE等多种无线宽带技术的快速发展并推广应用,PDA、无线数据卡、智能手机等各种形式的移动终端成为黑客攻击的主要目标。针对无线终端的攻击除了传统针对PC机和互联网的攻击手段外,也有其自身的特殊性,包括:针对手机操作系统的病毒攻击,针对无线业务的木马攻击、恶意广播的垃圾电话、基于彩信应用的蠕虫、垃圾短信彩信、手机信息被窃取、SIM卡复制以及针对无线传输协议的黑客攻击等。这些新兴的无线终端攻击方式也给今后无线终端的广泛应用带来严峻挑战。
4.数据泄露的新形势
数据泄漏已逐步成为企业最为关注的安全问题,随着新介质、电子邮件、社区等各种新型信息传播工具的应用,数据泄露攻击也显现了很多新的形势:通过U盘、USB口、移动硬盘、红外、蓝牙等传输模式携带或外传重要敏感信息,导致重要数据泄露;通过针对电子设备(例如PC)重构电磁波信息,实时获取重要信息;通过植入木马盗取主机介质或者外设上的重要信息数据;通过截获在公网传播的EMAIL信息或无线传播的数据信息,获取敏感信息。针对信息获取的数据泄漏攻击方式已成为攻击者的重点。
参考文献:
[1] 郑志彬.信息网络安全威胁及技术发展趋势[J].电信科学 2009(2):28-32
[2] 陈琳羽.浅析信息网络安全威胁[J].网络安全, 2009(1):30-32.[3] 宋德君.信息系统安全的威胁与脆弱性浅谈[J].黑龙江电子技术 1998年
(4): 21-22
[4] 徐桂庆.计算机网络安全的威胁及维护[J].信息技术, 2009(3):13-15.
第二篇:网络与信息安全
《网络与信息安全》复习资料
信息安全特征:完整性、保密性、可用性、不可否认性、可控性。保密学是研究信息系统安全保密的科学。
网络信息安全体系结构框架:安全控制单元、安全服务层面、协议层次。公钥密码:由两个密码组成,每个用户拥有一对选择密钥:加密密钥与解密密钥。公钥密码特点:(1)加密密钥和解密密钥在本质上是不同的,即使知道一个密钥,也不存在可以轻易地推导出另一个密钥的有效算法。(2)不需要增加分发密钥的额外信道。公布公钥空间,不影响公钥系统的保密性,因为保密的仅是解密密钥。公钥密码系统应具备两个条件:(1)加密和解密交换必须满足在计算上是容易的。(2)密码分析必须满足在计算机上是困难的。协议:两个或两个以上的主体为完成某一特定任务共同发起的某种协约或采取的一系列步骤。协议的特征:(1)至始至终有序进行。(2)协议成立至少要有两个主体。(3)协议执行要通过实体操作来实现。数字签名与手写签名的区别:(1)签名实体对象不同。(2)认证方式不同。(3)拷贝形式不同。
签名算法的三个条件:(1)签名者事后不能否认自己的签名。(2)任何其他人都不能伪造签名,接收者能验证签名。(3)当签名双方发生争执时,可由公正的第三方通过验证辨别真伪。
不可否认数字签名:没有签名者的合作,接收者就无法验证签名,某种程度上保护了签名者的利益,从而可防止复制或散布签名文件的滥用。
不可否认数字签名方案由三部分组成:数字签名算法、验证协议、否认协议。
散列函数:一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。消息认证码:满足某种安全性质带有密钥功能的单向散列函数。身份证明分两大娄:身份证实、身份识别。信息隐藏:把一个有含义的信息隐藏在另一个载体信息中得到隐密载体的一种新型加密方式。
信息隐藏的两种主要技术:信息隐秘术、数字水印术。数字水印技术:指用信号处理的方法在数字化的多媒体数据中嵌入隐藏标识的技术。
三种数字水印:(1)稳健的不可见的水印。(2)不稳健的不可见的水印。(3)可见的水印。
数字水印三个特征:(1)稳健性。(2)不可感知性。(3)安全可靠性。
数字水印三个部分:(1)水印生成。(2)水印嵌入。(3)水印提取(检测)。
密钥管理的基本原则:(1)脱离密码设备的密钥数据应绝对保密。(2)密码设备内部的密钥数据绝对不外泄。(3)密钥使命完成,应彻底销毁、更换。常用密钥种类:(1)工作密钥。(2)会话密钥。(3)密钥加密密钥。(4)主机主密钥。
公开密钥分发:(1)广播式密钥分发。(2)目录式密钥分发。(3)公开密钥机构分发。(4)公开密钥证书分发。密钥保护方法:(1)终端密钥保护。(2)主机密钥保护。(3)密钥分级保护管理。
秘密共享方案:将一个密钥K分成n个共享密钥K1、K2……Kn,并秘密分配给n个对象保管。密钥托管技术:为用户提供更好的安全通信方式,同时允许授权者为了国家等安全利益,监听某些通信和解密有关密文。密钥托管加密体制由三部分组成:用户安全分量、密钥托管分量、数据恢复分量。密钥管理:指对于网络中信息加密所需要的各种密钥在产生、分配、注入、存储、传送及使用过程中的技术和管理体制。
保密通信的基本要求:保密性、实时性、可用性、可控性。密码保护技术:密码校验、数字签名、公证消息。通信保密技术:(1)语音保密通信(模拟置乱技术、数字加密技术)。(2)数据保密通信。(3)图像保密通信(模拟置乱、数字化图象信号加密)。网络通信加密的形式:(1)链路加密。(2)端-端加密。(3)混合加密。网络通信访问基本控制方式:(1)连接访问控制。(2)网络数据访问控制。(3)访问控制转发。(4)自主访问控制与强制访问控制。接入控制功能:(1)阻止非法用户进入系统。(2)允许合法用户进入系统。(3)使合法用户按其权限进行活动。接入控制策略:(1)最小权限策略。(2)最小泄漏策略。(3)多级安全策略。接入控制技术方法:(1)用户标识与认证。(2)身份认证特征(口令认证方式、协议验证身份)。
PGP的五种功能:认证性、机密性、压缩、Email兼容性、分段与重组。IP层安全功能:鉴别服务、机密性、密钥管理。
安全套接层SSL提供的安全服务:信息保密、信息完整性、相互认证。
PPDR-A模型五要素:安全策略、安全监测、安全反应、安全防御、安全对抗。操作系统安全访问控制:测试程序访问控制、操作系统的访问权限控制、保护机制的访问控制、用户认证访问控制。
安全操作系统设计四环节:安全模型、安全设计、安全确认、正确实施。安全网络平台种类:Windows NT、UNIX、Linux。(Linux兼容性好、源代码开放、安全透明)。
数据库安全条件:数据独立性、数据安全性、数据完整性、数据使用性、备份与恢复。
VPN(虚拟专用网)核心技术:隧道技术、密码技术、管理技术。
政务网的特点:信息公众化、信息机关化、信息存储量大、保密程度高、访问密级多样化。
政务网建设的三个安全域:(1)涉密域。(2)非涉密域。(3)公共服务域。
黑客攻击:指黑客利用系统漏洞和非常规手段,进行非授权的访问行为和非法运行系统或非法操作数据。
防黑客攻击几种防范技术:安全性设计保护、先进的认证技术、扫描检测审计技术。
常规网络扫描工具:SATAN扫描工具、Nessus安全扫描器、nmap扫描器、strobe扫描器。网络监听工具:NetXRay、Sniffit。防火墙:在网络安全边界控制中,用来阻止从外网想进入给定网络的非法访问对象的安全设备。包括网络级包过滤防火墙和应用级代理防火墙。
密罐:用来观察黑客如何入侵计算机网络系统的一个软件“陷阱”,通常称为诱骗系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒检测方法:比较法、搜索法、辨别法、分析法。
电子商务安全要求:可靠性、真实性、机密性、完整性、有效性、不可抵赖性、可控性。
电子商务安全服务:鉴别服务、访问控制服务、机密性服务、不可否认服务。电子商务基本密码协议:密钥安全协议、认证安全协议、认证的密钥安全协议。国际通用电子商务安全协议:SSL安全协议、SET安全协议、S-HTTP安全协议、STT安全协议。
电子商务实体要素:持卡人、发卡机构、商家、银行、支付网关、认证机构。
第三篇:俄罗斯2009内部信息安全威胁调查报告(2010年第2期)
俄罗斯2009内部信息安全威胁调查报告
一、前言
不久前,俄罗斯Perimetrix公司分析中心提交了俄罗斯2009内部信息安全调查报告。与2008年的报告相比,俄罗斯信息安全的总体情况虽然发生了很大变化,但大多数俄罗斯的政府机关和公司组织依然十分关注内部信息安全威胁的问题。
报告认为,近年来俄罗斯内部信息安全威胁问题凸显(由于信息流失造成的损失达数十亿美元),对综合安全系统的需求也日益增长,但安全市场的态势并没有发生根本改变。这种被动局面与市场上可选择的安全产品有限、优秀解决方案不足和订购商信息不灵有关。报告认为,未来一两年将成为俄罗斯数据加密防护系统市场发展的转折点。这个市场刚刚形成,就受到世界金融危机所带来的剧烈震荡和严重打击,但它会度过这段非常时期,为进一步发展积蓄力量,并将获取明显的竞争优势。这份调查报告能够帮助俄罗斯的安全公司和各级组织更好地了解内部安全的特点并采取所有必要的措施加以改进。
二、简要结论公司对内部安全威胁的关注程度远远大于对外部的威胁。最大的担忧是信息泄露威胁(73%),以及职员的玩忽职守(70%)。内部的主要安全问题是持续不断地发生信息泄露事件,仅有5%的公司声称,在最近一年里没有发生类似事件。安全专家认为,在信息泄露面前自身未设防,有42%的受访者都说不清楚信息泄漏的准确数字。近年来,人们对内部威胁防护设备的热情是在增长,但还不是特别强烈。只有41%的公司使用加密设备,而使用防止信息泄露设备的公司也只占29%。社会对内部安全设备的需求很高,但是又受一系列客观因素制约。主要问题是资金有限(46%),尤其在金融危机情况下这个问题更加突出。在绝大多数情况下,实施内部安全攻击的人没有受到实际任何谴责和惩罚,有45%的玩忽职守者受到非正式地警告,而51%的恶意攻击者则按照个人意愿一走了之。最近一年,内部安全市场继续保持增长,但感觉不是很快。随着金融局势的稳定和新产品新技术的开发,内部信息安全市场要有所突破应该还要等待2—3年。
三、受访者特点
像去年一样,此次调查对象明显侧重于大中型企业。500人以下的单位仅占8%的受访者,与此同时,几乎三分之二的企业(65%)在自己的企业网里使用1000台以上的计算机。通过汇总和分析这些大中型企业的调查问卷就很能说明问题,因为正是这些单位在内部安全问题方面受尽伤害,尝尽苦头。与此同时,我们也不能忽视当前安全解决方案方面存在的问题,针对大型企业的信息保护系统和解决方案市场上倒是有,而针对小型企业的最新解决方案几乎没有。后者甚至宁愿用其他传统的方法解决问题——产品协作和组织措施。目前,最好是通过对大型企业的观察研究,对内部安全问题和机密数据保护问题作分析。
受访者行业的划分对于这种调研来说是很标准的。头几行是传统上的电信(21%)和金融领域(19%),他们永远都是使用安全保护系统的大户和领军者。紧随其后的是燃料动力企业(18%)以及国营部门(17%)。
与去年相比,商业公司(首先是各种网络公司)的份额实质上增长了(从6%至10%),他们积极参加此次调研活动。而这次厂商和保险公司的参与者,相反有些下降。
绝大多数受访者(几乎接近92%)开始采用信息技术和信息安全系统解决方案。三分之二的受访专家是领导——35%的受访者是信息部门主管,还有33%的人是信息安全部门主管。这样,可以确信,所选择的对象都是行家里手,对所提问题的回答也都很专业,因此得到的数据分析结果较好地反映了当前的信息安全市场状况。因为受访者决定着自己组织内信
息安全系统的发展——按照回答可建立本部门下一步发展的路线图。
四、信息安全威胁
最危险的内部安全威胁是此次调研的主要问题之一。建议受访者从现实存在的总风险名单中选择四种最危险的信息安全威胁。从所收到分布中显露出一系列特征和趋势。首先,最危险的威胁依旧是信息泄露和工作人员的玩忽职守——这种情况没有明显改变。而所有外部的威胁(病毒、黑客和垃圾邮件)实际上却减少了。
实际上,最大的内部威胁在去年的时候就已经演变为信息泄露威胁和员工的玩忽职守,超过了外部恶意攻击者的攻击。造成这种情况长期存在的原因是由于信息泄露造成比较大的损失,各单位比较少地采用信息保护设备和部署新的安全解决方案。一年里,这种情况没有发生根本的变化,但是专家关注的热点继续朝着内部威胁的方向发展,因此,来自外部威胁的风险继续走低。
在其余的发展趋势中,盗窃设备的威胁风险显著增长(从25%到38%),这当然直接与信息泄露有关。实际上,任何载体(硬盘、笔记本电脑和个人计算机或服务器)被盗都会有信息泄露的风险。设备盗窃风险的增长可以解释为是主观因素造成的(例如在报刊上发表文章,刊出不该登的分析研究)等,还有类似的部门倾向(窃贼十分关注数字载体、立法调整)。可以预计,这种威胁风险今后将进一步增长,因为客观上讲,当前安全市场还不能满足实际需要。
其余的威胁有设备和程序的间断、消极怠工,以至效率连去年的水平都达不到,也没有显示出本质上的降低趋势。这意味着,仍有30%的现代企业认为业务连续性的要求仍然是最重要的。但这并不意味着,剩下的70%的企业不这样认为,对于他们来说,最重要的是给组织带来明显物质损失的威胁。
大型企业更加关注盗窃威胁和设备与程序中断的威胁。他们的信息系统内存有海量信息。甚至在类似系统中,一个不起眼的中断都会给他们的业主造成巨大损害和严重的经济损失。
五、内部威胁特点
2008年,有将近一半的受访者(55%)都认为最危险的内部信息安全威胁是数据泄露。但是增长最快的是排在第二位的威胁,与小公司文件(主要是财务文件)丢失有关。2008年,它的危险性急速上升,达到17%,实际上是与信息泄露危险相比。根据Perimetrix公司分析中心分析的意见,这个趋势是有意义的,在2008年里发生了一系列严重的内部攻击事件,都直接与文件篡改和金融欺诈有关。
第二点,很可能是受世界金融危机的影响,商业活动呈现普遍的震荡和波动。在这种情况下,未经核实的信息失真(尤其是未经核实的金融业务信息)可导致业务发生不可预测的后果。第三,对这种威胁关注的增长说明目前与此斗争的解决方案的无能。如果,机密信息的泄露完全脱离监管,那要做到与未经核实的失真作斗争就很难——特别是如果这些失真的信息是那些核准的使用者加入的。在这时,唯一与这种威胁作斗争的办法是将威胁列入监管范围并将机密使用者的所有行为归档。
其余内部信息安全威胁的情况是完全可以预见的——设备盗窃的风险在增长,消极怠工的情况几乎没有变化,而信息损失和中断的威胁明显降低。中断风险的降低,多半与DDoS攻击的普及有关,这种攻击针对的是来自外部的威胁,而非内部的威胁。信息损失风险的明显降低解释起来比较困难,可能是各种灾备系统的深入使用帮助了它。
那究竟什么样的信息最容易从俄罗斯的公司里流失呢?与2007年相比没有什么变化,在回答特别风险一组问题时,68%的受访者回答照旧是个人数据(比一年以前多了11%)。可是根据Perimetrix公司分析中心的意见,数据流失发展趋势里并没有说到个人数据流失数量的增长,而是现代企业对自身安全防护的关注程度在增长。
确实,2008年的一个显著特点就是来自市场方面的规范压力明显加强。在这个时期,一下子出现了一些旨在保护个人信息的决定和规定,并将个人信息列入最关键的机密信息类别。尽管如此,一系列市场参与者对这些决定表示了一定的质疑,明显感到今天更加强化了规范。
其他范畴信息的流失风险近年来没有实质性的变化。公司照旧关注具体合同细节情报(40%)、财务报告(41%)、知识产权和业务计划(平均19%)等信息的流失。
在普遍的流失渠道方面也有类似的情况,其风险停留在2007年的水平上。2008年最危险的渠道依旧是移动存储器(70%),其次是电子邮箱(52%)和互联网(33%)。从打印设备流失的信息近年来略有增加(从18%到23%),而互联网寻呼方面的信息流失相反,下降了(从17到13%)。
关于流失渠道,与2007年相比,2008年的分布情况几乎是均等的,最危险的流失渠道指标没有明显降低,而表现“平庸者”相反则增长了。可能,这个趋势说明对信息流失问题更精确地理解,只要阻断所有可能的泄露渠道——从存储器到摄影器材,就能够解决流失问题。只要有一种没有封闭的渠道,就意味着存在安全威胁漏洞,对于心存恶意的内部人来说都是一个绝好的机会。
在分析了下列问题(确定泄露)之后,我们得到了一个特别有意思的结果。如果2007年的受访者还曾坚信自己的回答,那2008年几乎一半(42%)的受访者则很难说出事件的精确数字。
之所以安全专家可能说出精确的泄露数字,是因为在它的公司里部署有某些专业的信息保护系统,而在大多数的情况下,这种情况不会被发现。今年受访者开始理解了在防止内部威胁领域自身不设防所带来的风险。
如果不考虑最后的回答方案和按其它方案建立数据标准,那就能够得出这样的结论,平均信息泄露数没有明显增加。这个发展趋势是合乎逻辑的,因为近年来,公司的防御状况加强了,与此同时,发现的信息流失数量也增加了。
六、防护设备
在对现实的威胁进行详细的描述之后,我们转到对所使用的防护设备的统计上。很容易看出,所有的受访者在工作中全都使用防病毒设备,防火墙或这样和那样的登录监控设备。有的还部署有入侵检测系统(70%),垃圾邮件过滤系统(75%)和建立虚拟局域网的方法(63%)。我们注意到,所有上述防护设备旨在防护来自外部的威胁,这种风险持续走低。不过,用于内部防护的受欢迎的解决方案目前并没有显著增加。密码产品和专用防泄漏系统大约还停留在原先那个水平上。虽说内部安全问题十分迫切,但各公司并不急于购买当前市场上所提供的产品。
为什么我们预计的飞跃实际上并没有出现呢?首先,市场上所提供的大多数产品都有一个较长的应用周期,期望它有一个飞速的增长是不现实的。第二,市场上的信息防泄露系统种类供应有限——大半年前还仅有一种传统的产品((InfoWatch)。Perimetrix公司正式提交自己的产品仅还是在2008年9月。
在内部安全系统中,内容过滤解决方案依然处于领先地位,有80%的运用泄露保护系统的公司在使用它。与2007年相比,内容过滤设备的份额从89%降到80%,这间接地说明该技术的效力在降低。与内容过滤一起,很多公司使用被动的检测手段(77%),设置监控工作站点的端口使用情况(75%)。最有效的保护方法之一就是逐渐地对笔记本进行加密,但应加快普及这项工作。
为了描述出近期市场的发展前景,我们看一下运用防护系统所面临的急需解决的问题。这些问题在2008年凸显出来——首先遇到了预算限制,它的份额实际增加了一倍,从26%到46%。造成这种情况的原因与金融危机有关,购货人的购买能力和老生常谈的自由兑换
货币不足。
与此同时,有购买意愿的订货人又对市场上所提供的解决方案及产品的有效性不太满意。看来,份额显著地降低(从49%降到35%)并不说明解决方案及产品有效性的增加,而解释为由于“危机”,受访者的呼声重新分配,转向了其他方面。因此,在开发商面前仍面临着需研制更有效产品等大量亟待解决的课题。
在所收到的统计资料基础上,可以看出关于俄罗斯下一步防信息泄露系统市场的发展趋势。根据Perimetrix公司分析中心的意见,2009年这个市场将会得到稳定发展,但增长不会太快。由于一些公司对信息未加防护或未使用任何防护设备,对类似解决方案的需求特别的大,而能提供的解决方案又是有限的。市场上的新的竞争者未必会在短期内放开出售活动,而老厂商也不能继续销售大量技术落后产品。这些消极的因素还是必须归结为危机的影响和订货者支付能力的降低。
然而在中期(2-3年)之内,市场会发生急剧的积极的变化。对安全系统的需求在此之前将得不到满足,市场上开始出现合乎要求的新的竞争者,危机的影响将逐渐消退直至解除,而购货人那儿自由货币已不成问题。我们不应忘记国家严厉的调整措施,这些措施的出台将会促进信息安全综合防护系统的需求。
七、数据分类
本调研的很多问题都涉及内网威胁的防护技术问题。像以往一样,受访者提出数据分类法和在保障组织的信息安全过程中使用这种操作方法。调研结果直观地显示:
•数据分类可帮助我们从整体上强化安全,从细节上防止泄露;
•进行数据分类是很难的——它要求全体组织员工参与;
•然而更困难的是在经过一段时间之后能继续保持运用数据分类法。
所有列举的论题包罗万象,实际上也不受时间左右。因此,2009年的受访者没有提出分类法的好处问题,它的好处实际上对所有人来说都是显而易见的。为此,Perimetrix公司分析中心重新询问了专家,他们将分类法用于小公司的数据有多长时间?
所收到的回答令人鼓舞,特别是与2007年的结果相比,实施分类法的公司增加了一倍,达到了心理上的期望值25%。因此,说实话,不应忘记,虽说三年前就有这么多的公司搞了数据分类,但仍有33%的组织基本上就一直没有搞这项工作。
八、数据加密
在这次调查中,受访者提出了一些关于内部信息安全技术的问题。那些确认使用加密保护系统的专家能够说清这种保护具体使用的是哪种方式。
据查,大多数情况下(68%)数据加密保护用于保护各种数据库和机密信息库。这种处理方法是各部门文件和标准的法定要求(例如PCI DSS标准),但是它实际上无论怎样也不能保护公司免受内部安全威胁。
确实,数据库的加密能够保障在盗窃任何物理盗窃载体情况下的安全,但在大多数情况下,这些载体安置在服务器中,首先放在受保护的数据中心内。要想潜入到那里就很难,要偷窃设备就更难。
从商业活动的角度看,不是对数据库加密,而是对移动载体——笔记本电脑、硬盘和便携式磁盘加密更加合乎逻辑,因为正是这些载体经常丢失或成为窃贼的目标。通过问卷统计,40%的情况下,都对含有特别秘密信息的总经理的笔记本电脑进行加密;36%的情况下对移动载体进行加密。我们指出,无论那种方式都没能给予百分之百的保障,因为设备使用者可能忘记对信息进行加密,虽然不是故意这样做。
综合防护能够保障的仅是对全部笔记本电脑和移动载体进行强制性地、明显地信息加密。但这种技术在今天是太复杂了——仅有1%的现代企业在使用。
九、内部信息安全
安全破坏者的严重危害性成为本次调查的一个有意思的课题。被访者建议描述一下对玩忽职守员工和心存歹意内部人的惩罚措施。在员工偶尔泄露信息时,很少给予开除之类的严厉处罚(9%)或物质处罚(13%);大多数情况下(45%),公司更喜欢宽恕员工,给他非正式地警告。我们注意到,在15%的情况下,泄露信息的内部人完全逍遥法外;11%的情况下,公司会根据所泄露信息的严重性而采取不同的措施。
阴险的内部人的情况在很多方面相似,就像马虎大意的员工一样,公司很少给予最严厉的制裁(15%)。大多数情况下(51%),会直接辞退内部知情者,更好的做法是提醒他写一个主动离职的声明。事情很少闹到法庭去审理(9%),因为公司都不愿意家丑外扬。严重的内幕知情者丑闻会吸引报刊的眼球,由此败坏公司的名声。
可见,不管玩忽职守者也好,居心叵测的内部人也好,通常实际上并没有受到相应的处罚。对于第一类信息泄露者来说,多半只是受到惊吓。而对于第二类信息泄露者,是开除,从内部破坏单位业务上的名声。这样一系列的结果难道能够吓唬破坏者吗?答案肯定不会,而且还会导致内部风险继续增长。
十、市场发展方向
在前面的章节里,我们分析了内部安全市场发展的主要趋势。如果从整体上评价一下信息安全产业,正是内部安全应成为最近三年这个方向的主要驱动器。
目前,将近40%的俄罗斯公司声称,最近三年有运用防信息泄漏的计划。35%的单位打算采用加密系统保存数据,还有33%的单位准备采用信息安全管理系统。还有的计划采用认证和登录监控系统,以及物理安全信息技术系统。
因此,今天能够划出两个主要的市场发展矢量:第一个是内部安全方面,第二个是不配套系统的整体化问题和统一管理的信息基础设施建设问题。后一个问题特别重要,因为在现代企业(特别是大型企业)中,正在使用五花八门、实际上互不相关的防护系统。自然,这些公司在管理这些系统方面也越来越吃力。
内部安全问题是普遍的、突出的,公司倾向建设此前没有的、适用的威胁防护系统。十一、结 语
整体来说,这次调研的数据证明,俄罗斯公司的内部安全形势特别令人失望。所有行业和部门的组织在继续泄露信息和秘密,仅有5%的受访者声称,在近两年没有发生任何问题。与此同时,也有一些积极的趋势,越来越多的专家开始意识并关注自身的信息保护问题和自己公司内部人不轨行为的漏洞问题。
积极采用内部威胁防护系统的公司在2008年有所增长,尽管不是特别明显。大多数公司至今与信息泄露作斗争依靠的主要是行政措施,而不是运用技术防护系统。我们注意到,市场增长得不是很快,多多少少是由于解决方案和产品质量不能满足现实要求的原因。对破坏者和玩忽职守者处罚过轻是内部安全威胁消极因素之一,对玩忽职守的人通常给予严重警告;而对居心不良的人,一般从公司里开除完事,而在劳动手册中没有不好的记录。内部安全的破坏者很少受到严厉地制裁,像提起诉讼至法院和在物质上进行追偿。
根据Perimetrix公司分析中心的意见,最近的一年里,内部安全市场将继续增长,但不会很快。这种局面既与外部因素(金融危机)有关,也与内部安全市场情况(解决方案和产品开发有限)有关。对综合防护系统的迫切需求,今天已经出现,随着金融局势的稳定和新产品的开发,经过2-3年,内部信息安全市场将会有一个较大的发展。
第四篇:网络与信息安全自查报告
网络与信息安全自查报告
(参考格式)
一、自查报告名称
×××(部门/单位名称)信息安全自查报告
二、自查报告组成
自查报告包括主报告和检查情况报告表两部分。
三、主报告内容要求
(一)信息安全自查工作组织开展情况
概述此次安全检查工作组织开展情况、所检查的重要网络与信息系统基本情况。
(二)信息安全工作情况
对照《检查通知》要求,逐项、详细描述本部门(单位)在安全管理、技术防护、应急处置与灾备等方面工作的检查结果。
(三)自查发现的主要问题和面临的威胁分析
1.发现的主要问题和薄弱环节
2.面临的安全威胁与风险
3.整体安全状况的基本判断
(四)改进措施与整改效果
1.改进措施
2.整改效果
(五)关于加强信息安全工作的意见和建议
四、信息安全检查情况报告表要求
检查情况报告表应如实填写,不要出现漏项、错项、前后不一致等情况。
第五篇:网络与信息安全自查报告
网络与信息安全自查报告
接供电局《开展网络信息安全生产专项检查》的通知,我公司深刻领会文件精神,积极组织落实,认真对照,对网络安全基础设施建设情况,网络与信息安全防范技术情况进行了自查,现将自查情况汇报如下:
一、自查工作组织开展情况:
此次自查工作由生产技术部牵头,安环部,热电分厂,电石分厂负责具体落实。对所属的分散控制系统(DCS),计算机监控系统,负荷控制系统进行检查,集体如下:热电所选用的控制系统为杭州和利时自动化有限公司的MACSV系统,完成对数据的采集,控制和监控。MACSV系统网络分为监控网络,系统网络和控制网络三个层次,三种网络以“站”的形式连接。包括数据站,工程师站,操作员站和现场控制站;涉及的版本号为MACSV5.2.4 中英文正式版,MACSV6.5.1和6.5.2 #3机炉和供热,操作系统版本WINXP+SP3;主从服务器系统版本为WIN SEVER2003;监控网络采用TCP/IP通讯协议,冗余高速工业以太网链接,系统网络采用HSIE通讯协议,冗余高速工业以太网链接,控制网络采用profibus-DP现场总线,位于现场控制站内部。
二、网络与信息安全工作情况:
1、硬件安全:包括防雷,防火和UPS电源链接等,运维人员每天坚持巡查,排除安全隐患,服务器,交换机,现场控制站等都有UPS电源保护,可以保证短时间断电情况下,设备运行正常,不会因突然断电导致设备无法运行或损坏。此外,局域网内所有计算机USB接口实行完全封闭,有效避免了因外接设备(如U盘,硬盘,其他移动设备)而引起中毒或泄密的发生。
2、网络安全:包括网络结构、密码管理、IP管理等;交换机、路由器、光纤收发器等都有备品备件,发生故障可以在第一时间更换,保证设备的稳定运行。
3、应急处置:我厂系统服务器运行安全,稳定,并配备了大型UPS电源,可以保证大面积断电情况下,服务器坚持运行半小时以上。虽然系统长期稳定,运行良好,但我厂依然定了应急处置预案,并定期进行事故应急演练。
总体来说,我厂对网络与信息完全工作非常重视,未发生过重大安全事故,各系统运转稳定。但自查中也发现了不足之处,如目前没有专门的技术人员,日常检查维护由热工人员担任,而且热工人员也没有经过专门的信息安全培训,安全力量有限。今后还需要加强信息技术人员的培养,更进一步提高信息安全技术水平,提高系统运行的安全性和工作效率。
4、技术防护:
1.1物理环境安全;程师站、算机房不断改造,均有门禁,防盗上锁;监视器防火防灾报警装置,供电和通信系统采用双线冗余;人员出入有出入登记制度;
1.2运维管理;根据内容要求,设备,系统的运维都有相应的日志记录和程序变更记录,以及强制单的管理和记录,并将工程师站和操作员站分离,有独自的登录账号和密码,并分别配有加密狗保证系统的运行安全。
三、网络安全存在以下几点不足:1、2、3、安全防范意识较为薄弱;
病毒监控能力有待高;
遇到恶意攻击,计算机病毒侵袭等突发事件处理不够及时。
四、整改办法与措施:
1、加强计算机操作技术水平,网络安全技术方面的培训;强化计算机操作人员对病毒,信息安全的防范意识。
2、加强计算机维护人员在计算机技术,网络技术方面的学习,不断提高计算机主管人员的技术水平。
意见建议:
建议按列支相关经费,组织相关人员进行培训,应急演练,改造等工作的开展。
热电分厂检修车间热工班
2016.6.14
点击咨询 