当前位置:文档之家 › 信息安全现状研究模型.doc

信息安全现状研究模型.doc

  • 格式:doc
  • 大小:26.00 KB
  • 文档页数:6

下载文档原格式

  / 6

合集下载

信息安全的发展现状与趋势

信息安全的发展现状与趋势

信息安全的发展现状与趋势一、前言如今,随着互联网技术的飞速发展,我们生活在一个数字化的世界中。

信息的爆炸式增长,使得信息安全问题日益受到关注。

信息泄露、网络攻击、黑客入侵等问题频繁发生,给个人和企业造成了不可估量的损失。

因此,信息安全已成为我们必须直面的问题,并且也逐渐成为了一个世界性的挑战。

本文将从信息安全的发展现状、安全威胁和趋势三个方面来探讨信息安全的现状和未来方向。

二、信息安全的发展现状信息安全从最早的简单密码和防火墙的使用,到现在的密码学、虚拟专用网、网络入侵检测等技术手段的应用,信息安全保障的手段也在不断更新。

1.密码学密码学是信息安全技术的基础。

在密码学的应用中,对称密钥加密、非对称密钥加密和哈希算法是三种基本技术手段。

导致密码学应用不可或缺的原因在于它可以将敏感信息进行加密,从而保证安全性和隐私性。

目前,随着云计算的兴起,云计算环境下安全存储和计算问题变得尤为关键。

纳米级别的物理攻击、量子计算机等依然存在潜在风险,因此密码算法也需要不断提高。

2.虚拟专用网虚拟专用网络(VPN)是一种安全通讯协议,其目的是通过互联网实现远程访问,但是同时又能保证实时安全可靠的连接。

VPN采用加密技术,以保证其传输的数据不会被非法窃取和篡改。

与此同时,VPN还能保证用户身份的合法性,是企业远程工作和移动办公的重要解决方案。

3.入侵检测入侵检测系统(IDS)是一种安全监管技术,用于检测和响应恶意活动。

入侵检测系统基于网络流量、日志、事件等数据,通过创建并应用规则、模型匹配、行为分析等方式来识别和阻止潜在的攻击事件。

随着大数据和人工智能技术的发展,入侵检测系统具有更大的发展潜力。

三、安全威胁信息安全威胁呈现多种形态,包括以下几种情况。

1.网络攻击网络攻击是指攻击者利用互联网等公共网络平台或其他技术手段,向被攻击者持续施以网络恶意行为,以达到控制、破坏、窃取目标信息等目的。

网络攻击主要包括DDoS攻击,ARP欺骗攻击等。

高效实用的信息安全评估模型研究

高效实用的信息安全评估模型研究

高效实用的信息安全评估模型研究第一章前言随着信息技术的快速发展,信息安全问题受到了越来越多的关注。

在互联网的时代,各种信息储存在网络上,可能面临各种危险,需要建立一种比较完善的信息安全评估模型来保护信息的安全。

本篇文章将介绍一种高效实用的信息安全评估模型。

第二章信息安全评估模型的研究现状信息安全评估模型在国内外都有一定的研究现状。

在国内,IAST(Information Assurance Security Technology)模型和TIEM(Topology-based Information security Evaluation Model)模型是比较有名的评估模型。

在国外,NIST(National Institute of Standards and Technology)提出的评估模型被广泛采用。

同时,EU 的ENISA(European Network and Information Security Agency)发表的《网络与信息安全:欧洲家庭与企业如何安全地上网》中也有对于信息安全的评估模型研究。

第三章信息安全评估模型的分析与研究本文研究了一种基于改进的TOPSIS(Technique for Order Preference by Similarity to Ideal Solution)多目标决策方法的信息安全评估模型。

这个改进的TOPSIS方法是将信息物理层面和信息逻辑层面两个方面做了具体划分。

在信息物理层面方面,主要考虑的是物理设备和网络拓扑结构。

在信息逻辑层面方面,主要考虑的是系统软件、应用软件以及信息安全策略。

这种模型最终得出的评分综合了两个方面的评估,从而比单纯的评估更为全面。

第四章信息安全评估模型的具体实现对于信息物理层面方面,模型采用了综合权重法分别评估了设备的物理性能和网络拓扑结构的复杂程度。

在信息逻辑层面方面,采用了层次分析法评估了系统软件、应用软件以及信息安全策略的优劣情况。

信息安全研究报告

信息安全研究报告

信息安全研究报告信息安全研究报告信息安全是指保护计算机系统和网络中的信息,确保其不被未授权的使用者获取、破坏或泄露。

随着互联网的迅猛发展,信息安全问题日益突出,给社会、企业和个人带来了严重的威胁。

本报告旨在研究信息安全的现状、存在的问题以及解决方案,为信息安全的进一步发展提供参考。

一、信息安全现状1. 网络攻击频发:网络攻击如病毒、木马、黑客攻击等形式多样,威胁着企业和个人的信息安全。

2. 数据泄露事件频发:大规模的数据泄露事件频频发生,例如个人信息泄露、公司数据泄露等,造成巨大的经济和社会损失。

3. 恶意软件日益猖獗:恶意软件的危害不断增加,对个人计算机、移动设备和网络产生了严重威胁。

4. 社会公众对信息安全的认识不足:大多数人对信息安全的认识不足,缺乏对网络攻击和数据泄露等威胁的防范意识。

二、信息安全问题分析1. 技术手段落后:防护技术与攻击技术相比存在差距,无法有效应对新型网络攻击。

2. 数据管理不规范:许多企业在数据管理方面存在问题,缺乏严格的数据安全策略和控制措施。

3. 人为因素引发安全事件:许多安全事件是由于员工的疏忽或错误操作导致的,缺乏对信息安全的高度警惕性。

4. 法律法规缺失:当前信息安全相关的法律法规体系不完善,对执法力度和处罚力度不足。

三、信息安全解决方案1. 技术手段的提升:加强信息安全技术研发,提高防护技术水平,及时发现和应对新型网络攻击。

2. 数据安全管理:建立健全的数据安全管理制度,妥善管理和保护重要数据,确保数据的机密性、完整性和可用性。

3. 培养信息安全意识:加强信息安全教育和培训,提高公众对信息安全的认识和防范能力。

4. 完善法律法规:加强信息安全相关法律法规的制定和执行,增加对违法行为的处罚力度,提高打击信息安全犯罪的效果。

四、结语信息安全问题日益严峻,对社会各界都带来了严重威胁。

只有加强信息安全研究和工作,提升技术防护水平,规范数据管理,加强法律法规建设,才能有效应对信息安全挑战,保护好企业和个人的信息安全。

信息安全风险评估模型及方法研究

信息安全风险评估模型及方法研究

信息安全风险评估模型及方法研究一、本文概述本文主要研究信息安全风险评估模型及方法,旨在提高整体的信息安全管理水平。

随着信息科技的日益发展,信息资产的安全性变得越来越重要。

当前我国的信息安全水平普遍不高,与西方国家存在较大差距。

本文认为,要提高信息安全水平,不能仅仅依赖于传统的安全技术手段,而应该从组织整体的信息安全管理水平入手。

信息安全风险评估是信息安全管理的起始工作,但目前的评估手段存在单一化、难以定量化等问题。

本文将探讨如何采用VAR风险定量分析和概率论等数学方法来分析和评估信息安全风险,以达到资源的最佳配置,降低组织的整体信息安全风险。

同时,本文还将介绍风险评估的要素关系模型以及各要素和属性之间的关系,并从信息网络风险分析的基本要素出发,阐述风险分析的原理和评估方法。

本文的研究内容分为三个部分:概述信息安全以及信息安全风险评估的相关标准利用系统工程的理论和方法建立基于层次结构的信息安全评估模型研究基于资产、威胁和弱点的信息安全风险评估量化模型。

这三个部分紧密相连,逐层深入地对信息安全风险评估过程中的风险量化进行了科学的研究。

本文的创新之处在于对信息安全风险评估方法进行了两个方面的创新性研究:一是借鉴灰色理论等方法,对风险进行更准确的评估二是提出了基于层次结构的信息安全评估模型,为信息安全风险评估提供了新的思路和方法。

二、信息安全风险概述信息安全风险评估是信息安全领域中至关重要的一环,其目的是指导决策者在“投资成本”和“安全级别”之间找到平衡,从而为等级化的资产风险制定保护策略和缓解方案。

随着信息科技的日益发展和人类社会对信息的依赖性增强,信息资产的安全性受到空前重视。

当前我国的信息安全水平普遍不高,与西方国家存在较大差距。

在信息安全管理中,主要遵循“三分技术,七分管理”的原则。

要提高整体的信息安全水平,必须从组织整体的信息安全管理水平入手,而不仅仅是依赖防火墙、入侵检测、漏洞扫描等传统信息安全技术手段。

信息安全模型的研究及安全系统方案设计

信息安全模型的研究及安全系统方案设计

信息安全模型的研究及安全系统方案设计作者:张征来源:《科技传播》2017年第16期摘要信息安全模型是保障网络信息安全的关键部分,为降低网络信息的风险因素,必须展开对信息安全模型建设进行研究,并对具体的安全系统方案进行设计。

然而,实际的安全系统中,缺乏有效的风险评估能力,不能展开对安全风险的评估和控制,制约企业的发展和进步。

故此,结合中国移动广东公司的基于4M模型的信息安全风险评估能力模型展开探究,对于具体的信息安全模型和安全系统方案设计进行研究,旨在提升安全风险的评估能力,提升信息安全效果,推动企业发展。

关键词信息安全模型;研究;安全系统;方案设计中图分类号 TP3 文献标识码 A 文章编号 1674-6708(2017)193-0047-02物联网技术的不断完善和进步,安全威胁的攻击对象也不断转变,网络安全威胁成为影响物联网、工业互联网安全的关键,这也对网络安全技术和手段提出了更高的要求。

而且,频繁发生的安全隐患,可能会造成大范围损失,严重影响网络安全,亟需改变。

基于此,需构建有效的网络安全防护体系。

本次研究结合移动信息企业的基本情况,对具体的基于4M的信息安全风险评估能力模型进行阐述,并对其具体的安全系统方案设计进行研究,具体内容如下。

1 信息安全模型研究信息安全模型的种类较多,可以根据具体的安全等级和能力,可分为单级和多级两种形式。

站在的安全控制角度,可以将安全模型分为访问控制、信息控制等,具体如下所述。

1)访问控制类模型。

这类模型的特点主要体现在直观性、系统直接对应联系,是建立在矩阵模型的基础上。

为降低矩阵的体积,可选择按列存储的矩阵方式。

访问矩阵有广泛应用,尤其是对保护系统安全的理论研究。

访问控制类模型,可引入角色概念,构建基于角色访问的控制模型,具有灵活可靠的特点。

2)信息流控制类模型。

访问矩阵模型借助方案监控器,结合访问矩阵的决定,确定用户是否具备访问权利,经过确认后,则不再对用户进行监控。

网络与信息安全现状调研报告

网络与信息安全现状调研报告

网络与信息安全现状调研报告网络与信息安全现状调研报告1. 引言网络与信息安全是当前互联网时代的重要议题之一。

随着互联网的迅猛发展,网络上的各种安全威胁也日益增多。

本文对网络与信息安全的现状进行了细致调研和分析,旨在为相关机构和个人提供有益的参考和指导。

2. 网络安全概述在全球范围内,网络安全问题日益严峻。

本节将介绍网络安全的概念、重要性以及涉及的相关技术和策略。

2.1 网络安全概念网络安全是指保护计算机网络及其服务免受未授权的访问、破坏、盗窃、篡改和破坏的一系列措施。

2.2 网络安全重要性网络安全的重要性体现在以下几个方面:保护个人隐私,防止数据泄露,保护国家安全,维护企业的声誉。

2.3 网络安全技术和策略网络安全是一个综合性的工程,包括多种技术和策略。

本节将介绍一些常见的网络安全技术和策略,如防火墙、入侵检测系统、加密技术等。

3. 信息安全现状调研在信息时代,更多的重要信息储存在数字化设备上。

因此,保护信息安全变得尤为重要。

本节将从多个角度对信息安全的现状进行分析。

3.1 数据泄露数据泄露是信息安全中的常见问题,严重的数据泄露可能导致个人隐私泄露、商业秘密被窃取等。

本节将探讨数据泄露的原因、类型和防范措施。

3.2 网络钓鱼攻击网络钓鱼攻击是利用虚假的网站、电子邮件等手段诱骗用户提供个人敏感信息的攻击行为。

本节将介绍网络钓鱼攻击的常见手法及防御策略。

3.3 恶意软件恶意软件是指通过计算机病毒、木马、僵尸网络等手段对计算机系统进行破坏的程序。

本节将介绍各类恶意软件的特点、传播途径及防护方法。

4. 信息安全法律与政策在保障网络与信息安全方面,法律与政策的制定和执行起着重要作用。

本节将介绍国内外相关的信息安全法律和政策,并分析其对网络与信息安全的影响。

4.1 中国相关法律与政策中国制定了一系列法律和政策来规范网络与信息安全领域的行为。

本节将介绍《网络安全法》、《数据安全管理办法》等相关法律法规。

4.2 国际相关法律与政策在国际层面上,各国也制定了相关法律和政策来维护网络与信息安全。

信息安全模型


机密性
完整性
Clark-Wilson
系统安全保障模型:PDR、PPDR、OSI
1、基本模型-Lampson
Lampson模型的结构被抽象为状态三元组( S, O, M ),
—— S 访问主体集,
—— O 为访问客体集(可包含S的子集),
—— M 为访问矩阵,矩阵单元记为M[s,o],表示
主体s对客体o的访问权限。所有的访问权限构成一有限集A。
其中,T为转移函数,是指由初始状态v0通过执行一系列有限的系统请求 R到达可达状态v。
MAC多级安全模型-BLP(5)
“读安全”禁止低级别的用户获得高级别文件的读权限。 “写安全”防止高级别的特洛伊木马程序把高级别文件内容拷贝到低级别用户有 读访问权限的文件。
缺点

未说明主体之间的访问,不能适用于网络
变迁函数T:V×R→V。 R请求集合,在系统请求执行时,系统实现状态变迁;D 是请求结果的集合。 类似于HRU模型,BLP模型的组成元素包括访问主体、访问客体、访问权限和访 问控制矩阵。但BLP在集合S和O中不改变状态 与HRU相比,多了安全级别、包含请求集合的变迁函数。

MAC多级安全模型-BLP(3)
全体客体的集合(O)
顶层:兴趣冲突组
A
B
C
中层:公司数据集 F G H I J K L M N
O
P
Q
底层:客体 (独立数据项)
Chinese wall安全属性
访问客体的控制:
• •
与主体曾经访问过的信息属于同一公司数据集合的信息,即墙内信息 可以访问。 属于一个完全不同的兴趣冲突组的可以访问。
主体能够对一个客体进行写的前提,是主体未对任何属于其他公 司数据集的访问。 定理1:一个主体一旦访问过一个客体,则该主体只能访问位于同 一公司数据集的客体或在不同兴趣组的客体 定理2:在一个兴趣冲突组中,一个主体最多只能访问一个公司数 据集

信息安全技术中的模型构建和数据分析

信息安全技术中的模型构建和数据分析一、引言信息安全技术是当今社会最为关注的话题之一。

在网络、通信、电子商务等方面的迅猛发展下,人们已经完全离不开计算机和互联网的帮助。

但作为双刃剑,信息安全问题也随之增多。

在这种情况下,如何构建信息安全模型以及进行数据分析来提高信息安全水平,已经成为一个热门话题。

二、信息安全模型构建信息安全模型的目的是为了更好地理解和控制信息安全系统。

一个好的信息安全模型应该是具有可理解性、可靠性、可描述性和可预测性的。

1. 安全需求分析安全需求分析是构建信息安全模型的第一步。

这是通过使用不同的工具和技术来定义对系统和关键资源的保护需求。

这个过程包括收集系统和资源的所有信息,例如硬件、软件、人员和流程等。

这些信息将用于帮助定义安全需求和相关的安全控制措施。

2. 安全属性建模安全属性建模是使用图形化或数学建模方法来描述信息安全模型的行为和特性的过程。

这可以是以各种各样的方式,例如建立数据流图,通过使用Uncertainty Analysis等数学工具。

这将帮助定义模型中的安全约束和条件,并使其更清晰和简单。

3. 安全控制模型安全控制模型的目的是创建一种用于控制和管理安全的框架。

这可以采用基于规则的(例如访问控制列表) 或基于角色的(例如角色分类)方法。

另外,可以使用审核和检查机制来验证安全控制模型是否能实现所需的保护标准。

三、数据分析数据分析是从大量的数据中提取有用的信息,以帮助决策制定和预测的过程。

在信息安全领域中,数据分析可以用于检测并识别安全威胁和漏洞,帮助评估安全控制措施的有效性,并建立预测模型。

以下是信息安全数据分析的方法:1. 数据挖掘数据挖掘是从数据集中提取新的、有用的信息的方法。

它可以运用到各种各样的数据,包括跨多个来源的数据、大型的实时数据以及从行为数据中提取的数据。

在信息安全领域中,数据挖掘通常用于帮助发现非常规网络活动并预测未来威胁情况。

2. 数据可视化数据可视化可以帮助用户理解和探索复杂的数据关系。

安全工程之信息安全模型

安全⼯程之信息安全模型⼀.信息安全模型1.信息安全模型,具体特点:1)是精确的,⽆歧义的2)简单的,抽象的,易于理解的3)涉及安全性质,不过分限制系统的功能与实现2.访问控制模型分类1)⾃主访问控制模型(DAC)linux下对于⽂件、⽂件夹的rwx权限控制,windows下的⽂件、⽂件夹的权限控制均属于⾃主访问控制。

特点是权限是由主体来控制。

(1)在windows的权限控制右击⽂件、⽂件夹选择[属性]功能,进⼊[属性]界⾯选择[安全]功能(2)linux 的权限在bash下执⾏ ls -l查看⽂件的所属者、所属组、其他组的权限-rw-rw-rw- 1 root root 0 Sep 22 13:14 access2)强制访问控制模型(MAC)主体、客体都会有标签,根据标签的关系确定访问控制,⼀般由客体控制。

BLP和Biba模型都属于强制访问控制(MAC)模型。

其中,BLP⽤于保护数据机密性,⽽Biba则针对完整性。

随之⽽后的是Clark-Wilson模型。

3)基于⾓⾊的访问控制模型(RBAC)RBAC(Role-Based Access Control )基于⾓⾊的访问控制。

在20世纪90年代期间,⼤量的专家学者和专门研究单位对RBAC的概念进⾏了深⼊研究,先后提出了许多类型的RBAC模型,其中以美国George Mason⼤学信息安全技术实验室(LIST)提出的RBAC96模型最具有系统性,得到普遍的公认。

RBAC认为权限的过程可以抽象概括为:判断【Who是否可以对What进⾏How的访问操作(Operator)】这个逻辑表达式的值是否为True的求解过程。

即将权限问题转换为Who、What、How的问题。

who、what、how构成了访问权限三元组。

RBAC⽀持公认的安全原则:最⼩特权原则、责任分离原则和数据抽象原则。

最⼩特权原则得到⽀持,是因为在RBAC模型中可以通过限制分配给⾓⾊权限的多少和⼤⼩来实现,分配给与某⽤户对应的⾓⾊的权限只要不超过该⽤户完成其任务的需要就可以了。

网络信息安全现状分析论文

网络信息安全现状分析论文网络信息安全现状分析随着互联网的快速发展,人们对网络信息安全的重视程度也日益增加。

然而,网络信息安全问题仍然普遍存在,给个人、企业、甚至国家的信息资产造成了严重威胁。

本文将对当前网络信息安全的现状进行分析,并提出一些相应的解决方案。

一、网络信息安全问题的重要性网络信息安全的重要性不言而喻。

随着移动互联网的普及和应用,大量的个人、企业和政府机构的敏感信息被存储和传输在网络上。

一旦这些信息被黑客、病毒、木马等恶意攻击者窃取或者篡改,不仅可能造成经济损失,还可能泄露个人隐私,危及国家安全。

因此,确保网络信息安全对每个人都至关重要。

二、当前网络信息安全面临的挑战1. 黑客攻击黑客攻击是最常见也是最具威胁性的网络信息安全问题之一。

黑客可以通过利用系统漏洞、密码破解等方式入侵他人的电脑、服务器或网络,获取个人信息、财务数据等敏感信息。

他们的目的可能是盗取资金、进行勒索、散播病毒等。

当前,黑客攻击的频率和技术水平都在不断提升,给信息安全带来了巨大挑战。

2. 病毒和木马病毒和木马是网络信息安全领域的另一个重大挑战。

病毒指的是可以自行复制并侵害计算机系统的恶意代码,而木马则是一种隐藏在正常软件中,可以远程操控受害者计算机的程序。

病毒和木马的存在会导致系统崩溃、数据丢失以及个人信息泄露等问题,给计算机和网络安全带来极大的风险。

3. 数据泄露数据泄露是近年来频频发生的网络信息安全问题。

企业和政府机构的大量敏感信息被盗取或者泄露,给其声誉和经济造成了巨大的损失。

数据泄露可能是由内部员工的疏忽,也可能是黑客的入侵所致。

无论是哪种情况,都需要加强数据安全措施,防止这种问题的再次发生。

三、网络信息安全问题的解决方案1. 加强技术防护面对日益复杂的网络信息安全威胁,技术手段是解决问题的重要途径。

企业和个人应该及时安装和更新防火墙、杀毒软件、安全补丁等安全工具,以防止黑客攻击和恶意程序的入侵。

此外,加密技术和身份认证技术也是保护个人隐私和数据安全的有效手段。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息工程学院 信息资源与管理论文 第 1 页 共 1 页 信息安全研究现状模型

【摘要】随着电子商务技术的发展,信息安全得到越来越多的重视,网络交易安全成了电子商务发展的核心和关键问题,对于网络隐私数据(网络隐私权)安全的有效保护,成为电子商务顺利发展的重要市场环境条件。网络信息安全技术、信息安全协议等的隐私安全保护的有效手段。信息安全最初用于保护信息系统中处理和传递的秘密数据,注重机密性, 计算机网络的普及和发展,人们的生活和工作越来越依赖于网络,与此同时网络安全问题也随之呈现出来。首先分析了常用的安全技术:防火墙技术,数据加密技术,入侵检测技术,网络安全扫描技术,然后讨论了网络安全策略,最后给出了网络安全技术的发展趋势。随着Internet的普及和发展,计算机网络已经和人们的学习、工作紧密地联系在一起,越来越多的计算机用户可以通过网络足不出户地享受丰富的信息资源,以及方便快捷地收发信息。人们在享受网络带来的巨大便利的同时,网络安全也正受到前所未有的考验,网络安全所引发的数据丢失、系统被破坏、机密被盗等问题也在困扰着人们。因此,解决网络安全问题势在必行。

【关键词】信息安全、网络隐私;安全协议、安全对策 1.1信息安全的内容 1.1.1硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。 1.1.2软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效。不被非法复制。 1.1.3运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。 1.1.4数据安全。即网络中存储及流通数据的安全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。 信息工程学院 信息资源与管理论文 第 2 页 共 2 页 2.重要信息系统的主要安全隐患及安全防范的突出问题 2.1数据的篡改 2.1.1程序漏洞、配置文件不合理等造成对动态网页、网站的数据篡改

根据国内一些网络安全研究机构的资料,国内大部分的ISP、ICP、IT 公司、政府、教育和科研机构等都没有精力对网络安全进行必要的人力和物力投入;很多重要站点的管理员都是Internet 的新手,一些操作系统如UNIX,在那些有经验的系统管理员的配置下尚且有缺陷,在这些新手的操作中更是漏洞百出。很多服务器至少有三种以上的漏洞可以使入侵者获取系统的最高控制权。为了使广大用户对自己的网络系统安全现状有一个清醒的认识,同时提高对信息安全概念的了解和认识,强化网络系统安全性能,首创网络近日向用户推出免费安全扫描服务活动。

2.1.2安全意识淡薄、管理层措施不到位等造成内部人员篡改数据

2009年,通过对某部委级政府网 站的子网站进行渗透测试.测试人员 发现。该网站的网页是静态页面.但其 网站的后台管理及贞面发布界面对巨联 网开放,测试人员使用简单的口令暴力 破解程序就破解了后台管理的管理员口令,以管理员身份登录到页面发布系统, 在这里可以进行页面上传、删除等操 作。如果该网站的后台管理系统被黑客 人侵,整个网站的页面都可以被随意修 改,后果十分严重。我们认为。一般导 致静态网贞被篡改的几大问题为: 1)后台管理贞面对互联网公开可见,没有启用加密措施对其实施隐藏保 护,使其成为系统被入侵的重要入口;2) 后台管理贞面没有安全验证机制,使得 利用工具对登录页面进行管理员账户口令暴力破解成为可能;3)后台管理贞面登录口令强度偏弱.使暴力软件在有限 的时间内就猜解出了管理员账户口令;4) 没有使用网页防篡改产品。使得网页被篡改后不能及时发现问题并还原网页。 易以管理员身份登录管理页面;5)网站上传功能没有内容验证,使攻击者可 以轻易上传后门程序,并最终利用后门 程序控制整个网站、篡改网站数据。 2.1.3软件代码安全造成软件产品漏洞或后门安全隐患

软件产品漏洞或后门安全隐患往往是由于软件代码安全等问题造成的。一般在重要信息系统中导致软件产品漏洞或后门安全隐患的几大问题是:软件设计阶段没有考虑来自互联网信息工程学院 信息资源与管理论文 第 3 页 共 3 页 的安全威胁;软件开发阶段缺少针对源代码安全质量的监控;软件在交付使用前没有进行源代码安全分析。 2.2系统入侵与网络攻击 2.2.1技术手段落后造成针对系统的远程节点的入

软件产品漏洞或后门安全隐患往往是由于软件代码安全等问题造成的。一般在重要信息系统中导致软件产品漏洞或后门安全隐患的几大问题是:软件设计阶段没有考虑来自互联网的安全威胁;软件开发阶段缺少针对源代码安全质量的监控;软件在交付使用前没有进行源代码安全分析。远程控制是指一个远程用户控制一台位于其他地方的计算机。这台计算机可能是有专门用途的服务器系统,也可能是用户自己的计算机。他跟远程节点访问类似,但又有所不同。当用户通过远程节点访问服务器,则用户自己并不知道有人在访问自己。而通过远程控制访问的话,则在窗口中可以直接显现出来。 2.2.2保护措施不到位造成针对公共网站的域名劫持

由于系统或网站保护措施不到位,导致域名被劫持。特别是政府网站、大型门户网站、 搜索引擎成为了域名劫持的主要对象。 针对公共网站的域名劫持往往是由于保护措施不到位 等问题造成的。 总结出重要信息系统中, 针对大型公共网站的域名劫持的几大问题, 它们是: 1) 域名提供商的程序有漏洞; 2) 域名注册信息可见,特别是用于域名更改的确认邮件可见。这也是重大安全 问题。一旦这个邮件账户被劫持,就可以冒充合法用户修改网站域名。 2.3.1网络安全

网络安全为信息系统在网络环境的安全运行提供支持。一方面,确保网络设备的安全运行,提供有效的网络服务;另一方面,确保在网上传输数据的保密性、完整性和可用性等。由于网络环境是抵御外部攻击的第一道防线,因此必须进行各方面的防护。对网络安全的保护,主要关注两个方面:共享和安全。开放的网络环境便利了各种资源之间的流动、共享,但同时也打开了“罪恶”的大门。因此,必须在二者之间寻找恰当的平衡点,是的在尽可能安全的情况下实现最大程度的资源共享,这是实现网络安全的理想目标。 由于网络具有开放等特点,相比其他方面的安全要求,网络安全更需要注重整体性,及要信息工程学院 信息资源与管理论文 第 4 页 共 4 页 求从全局安全角度关注网络整体结构和网络边界(网络边界包括外部边界和内部边界),也需要从局部角度关注网络设备自身安全等方面。 网络安全要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设别、安全设备等的网络管理机制提供的功能来满足。对局域网安全的要求主要通过采用防火墙、入侵检测系统、恶意代码防范系统、边界完整性检查系统及安全管理中心等安全产品提供的安全功能来满足。而结构安全是不能够由任何设备提供的,它是对网络安全结构设计的整体要求。 2.3.2主机安全

主机是由服务器、终端/工作站等引硬件设备与设备内运行的操作系统、数据库系统及其他系统级软件共同构成。主机安全要求通过操作系统、数据库管理 系统及其他安全软件(包括防病毒、防入侵、木马检测等软件)实现了安全功能来满足。信息系统内的服务器按其功能划分,可分为应用服务器、数据库服务器、安全服务器、网络管理服务器、通信服务器、文件服务器等多种服务器。终端可分为管理终端、业务中断、办公终端等。主机是网络上的单个节点,因此主机安全是分散在各个主机系统上的,不像网络安全需要考虑安全功能的整体效果。 2.3.3 应用安全

应用安全是继网络、主机系统的安全防护之后,信息系统整体防御的最后一道防线。但应用系统安全与网络、主机安全不同,应用系统一般需要根据业务流程、业务需求由用户定制开发。因此,应用系统安全的实现机制更具灵活性和复杂性。应用系统是直接面向最终的用户,为用户提供所需的数据和处理相关信息、因此应用系统可以提供更多与信息保护相关的安全功能。 应用安全要求通过应用系统、应用平台系统等实现的安全功能来满足。如果应用系统是多层结构的,一般不同层的应用都需要实现同样强度的身份鉴别,访问控制、安全审计、剩余信息保护及资源控制等,但通信保密性、完整性一般在同一个层面实现。 2.3.4数据安全及备份恢复

信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起信息工程学院 信息资源与管理论文 第 5 页 共 5 页 着至关重要的作用。一旦数据遭到破坏(泄露、修改、毁坏),都会在不同程度上造成影响,从而危害到系统的正常运行。由于信息系统的各个层面(网络、主机系统、应用等)都对各类数据进行传输、存储和处理,因此对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。

【结束语】 随着网络和计算机技术日新月异地飞速发展,新的安全问题不断产生和变化。因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。同时要加快网络信息安全技术手段的研究和创新,从而使网络的信息能安全可靠地为广大用户服务。

【参考文献】 [1] 吴立军,赵洋,信息安全概论.北京市:清华大学出版社,2013.11 [2] 杨义先,马春光,信息安全新技术.北京市:北京邮电大学出版社,2013.1, [3] 张建标,赖英旭,信息安全体系结构.北京市:北京工业大学出版社,2011.9, [4] 李园园,信息安全研究价值.上海市:世界图书上海出版公司,2014.1 [5] 李春东,信息安全管理.武汉市:武汉大学出版社,2008,2 [6] 李建华,信息安全综合实践.北京市:清华大学出版社,2010.1, [7] 郎庆兵,孙毅. 个人信息安全研究与实践.北京市:人名出版社,2012.11: [8] 应飞虎, 信息、权力与交易安全:消费者保护研究..北京市:北京大学出版社,2008.9; [9] 卢丽丽,质量安全信息集成研究.北京市:中国质检出版社,2013.12,, [10] 王海军,网络信息安全研究管理.济南市:山东大学出版社,2010.8,266页 [11] 唐珂,网络环境下信息安全管理体系研究.北京市:中国长安出版社,2007.4, [12] 王丽娜,信息安全导论.武汉市:武汉大学出版社,2008.8, [13] 张鹏洲,传媒信息安全策略与实施.北京市:中国传媒大学出版社,2007, [14]冯景超,温浩宇, 信息安全与通信保密.陕西省:西安邮电学院学报,2006 [15]王宇红,网络信息安全的立法评析与完善对策[j]情报杂志,2003.3