企业存在的十五大信息安全问题
许多企事业单位的业务依赖于信息系统的安全运行,信息安全的重要性越来越重要,信息已成为企事业单位的重要资源。它也是一种重要的无形资产。有十五个典型的信息安全问题亟待解决。对互联网和IT技术的普及,通过在时间和空间上的障碍,使信息的应用突破,和信息的价值越来越大。同时,信息安全事件如网页篡改、计算机病毒、系统入侵、数据泄露、网站欺骗、服务瘫痪,和非法使用漏洞发生频繁。根据公共信息网络安全监察局部显示,从2005年5月到2006年5月,的被调查单位的信息网络安全事件发生的安全事故54%,感染计算机病毒、蠕虫和木马84%,端口扫描或网络攻击的占36%,35%的垃圾邮件没有维修和会计。防止软件漏洞仍然是安全事件最突出的原因,占安全事件总数的73%。
目前,许多企事业单位的业务依赖于信息系统的安全运行,信息安全的重要性也越来越重要,信息已成为企事业单位的重要资源。它也是一种重要的无形资产。有十五个典型的信息安全问题亟待解决。
1网络共享与恶意代码的预防与控制
网络共享方便不同用户之间的信息交换,部门,单位,等等,但恶意代码越来越有影响力,如信息共享、网络环境下的扩散和其他漏洞。如果恶意信息的交换是不受限制的,它会导致网络服务质量下降,甚至系统不可用。
2信息建设超速与安全标准不符。
网络安全建设,缺乏规范化运作,往往采取补救措施的政策,造成信息安全共享难度加大,也暗藏隐患。
3国外信息产品引进与安全自律
国内信息技术严重依赖国外,从硬件到软件,都有不同程度的他律。目前,操作系统、数据库、中间件、办公软件、基于浏览器的文本处理软件是国外厂商大量部署在关键信息系统在中国,但这些软件存在安全漏洞,恶意攻击者可以使有机。目前,许多我国大型网络信息系统的关键信息产品依赖国外很长一段时间。一旦出现特殊情况,后果不堪设想。
4 IT产品单一性和大规模攻击
在单一产品的硬件和软件信息系统,为操作系统,一个版本的数据库软件的版本相同,所以攻击者可以通过软件编程,实现攻击过程的自动化,这往往导致大规模网络安全事件,如蠕虫、病毒、零日攻击和其他安全事件。
5 IT产品类型与安全管理滞后矛盾
目前,信息系统已经部署了大量的IT产品,包括操作系统、数据库平台、应用系统,但是不同类型的信息产品,缺乏协调性,特别是来自不同厂家的产品,不仅之间共享数据安全管理产品的缺乏,以及各种安全机制缺乏协调,一个统一的服务接口的缺乏,导致信息安全建设的难点,开发本系统的安全功能,安全产品难以管理,也为安全风险管理信息系统。
6 IT系统复杂性和脆弱性管理
多协议、多系统、多应用、多用户的网络环境下,复杂度高,不存在安全漏洞,安全漏洞。据统计,大多数操作系统都有安全漏洞。由于难以管理,软件工程,新的漏洞不断被引入到网络环境。所有这些漏洞都将成为攻击的切入点。攻击者可以利用这些漏洞入侵系统并窃取信息。1998年2月,黑客利用太阳能日出漏洞入侵美国国防部网络。受害者人数超过500,而攻击者只采用中等复杂的工具,目前的安全漏洞威胁着网络信息系统的安全。
为了解决的漏洞的攻击,系统安全性普遍增强修补。然而,由于系统的运行不中断和漏洞修复的风险是不确定的,即使有网络系统中的安全漏洞,系统管理员将无法安装补丁很容易。特别是,大型信息系统的漏洞修复是非常困难的事情。因为该漏洞不仅得以修复,而且保证网络系统的正常运行。
7网络攻击的突发性和响应延迟
网络攻击者往往掌握主动防御和被动防御,攻击者在黑暗中,目标处于隐蔽状态,在传播和利用上的漏洞,例如,攻击者往往首先发现系统漏洞,然后开发工具漏洞,最后提出漏洞防御者的对策。
8密码安全设置和密码记住问题
在一个网络,每个网络服务或系统需要不同的认证方式,用户需要记住多个密码,据估计,平均每个用户至少需要四位密码,特别是系统管理员的密码记住更多,例如,密码进入系统开机密码,数据库密码,邮箱密码,登录密码,FTP密码密码,密码,路由器、交换机等。根据安全原则,密码需要复杂的密码长度应足够长的时间,但它不能记住密码的复杂性,因此,用户使用简单的密码,该密码重复使用,为了保持,只要攻击者猜用户的密码,很可能触发r一系列密码事件。
9远程移动办公和内部网安全
随着网络的普及,移动办公人员需要在大量的时间内从Internet远程访问内部网络,因为Internet是一个公共网络,其安全程度难以保证。如果内部网络直接允许远程访问,就会带来很多安全问题,移动办公人员也有盗窃或非法使用的可能。
10隔离安全和内部和外部网络的数据交换便利
由于日益增加的网络攻击技术,对内部网络的恶意入侵的风险也急剧增加,网络入侵者可以参与内部网络系统,窃取数据或恶意破坏数据。同时,内网用户可能会有意或无意中泄露敏感数据由于其薄弱的安全感。为了实现更高层次的网络安全,一些安全专家认为,内部和外部网络和因特网上的计算机可以减少来自外部网络的威胁之间的物理隔离。然而,从目前的网络应用中,许多企业或机构需要从外部网络收集数据,及内网数据的需要o被释放到外部网络,因此,如果我们要完全隔离内部网络和外部网络,这是不太现实的。网络安全必须解决内部和外部网络之间的数据交换需求,防止安全事件的发生。
11企业的迅速发展和安全建设的滞后
在信息化建设的过程中,由于业务的需要迫在眉睫,实践往往是业务优先,除了安全安全建设只是太晚了,只能做一次安全事件。这种情况在企业中更为突出,与市场环境的变化使得企业需要不断的更新,和业务的变化超过现有的安全功能。
12网络资源的健康应用与管理促进
复杂的网络世界充斥着各种各样的不良信息内容,常见的是垃圾邮件,有的企业利用网络带宽资源进行在线聊天、浏览新闻娱乐、股票行情和色情网站。这些活动严重消耗网络带宽资源,导致正常业务无法得到适当的资源保护。然而,传统的管理手段难以适应虚拟世界,网络资源管理的手段必须改进,这是需要可信、可靠、可视、可控。
13信息系统用户安全意识差,整体安全性提高困难。
目前,重产品、轻服务、重技术、轻管理、重服务、安全轻等典型案例的流行情况如下:
用户选择一个弱密码,允许攻击者直接从远程控制主机。
用户打开过多的网络服务,例如,网络边界不过滤恶意数据包或切断网络连接,允许外部网络主机直接建立ping内部网主机。
用户将随意安装易受攻击的软件包。
用户直接使用制造商的默认配置。
用户泄露网络安全敏感信息,如DNS服务配置信息。
14安全岗位设置与安全管理策略实施问题
根据安全原则,系统应该设置多个人员共同管理,但在技术和成本限制,管理员负责系统的配置和安全管理,安全设置和安全审计都承担。这使得安全权限过于集中,一旦管理员的权限控制,这是导致安全失控,很容易。
15信息安全成本投入与收益的经济效益可见性
由于网络攻击手段的不断变化,原有的防御机制需要随着网络系统环境的变化和及时的攻击而改变,因此我们需要不断地投资于信息安全建设,然而,一些信息安全事件也不同于物理安全事件。由信息安全事件所产生的经济效益往往是间接的,它不容易让人明白,这导致企业领导人的误判,进而造成信息安全建设投资困难。这样,在信息安全建设的投资往往是后这引起信息安全和缺乏整体规划建设,基本上是一个根本性转变没有总体规划,信息网络的所有工作人员疲于奔命成消防员。