信息系统中的脆弱点有哪些
信息系统中的脆弱点:
物理脆弱点:计算机系统物理方面的安全问题主要表现在物理可存取、电磁泄露等方面。此外,物理安全问题还包括设备的环境安全、位置安全、限制物理访问、物理环境安全和地域因素等。例如机房安排的设备数量超过了空调的承载能力,移动存储器小巧易携带、即插即用、容量大等特性实际上也是这类设备的脆弱性。本书将在第2章进一步讨论物理脆弱点及对策。
软件系统脆弱点:计算机软件可分为操作系统软件、应用平台软件(如数据库管理系统)和应用业务软件3类,以层次结构构成软件体系。操作系统软件处于基础层,它维系着系统硬件组件协调运行的平台,因此操作系统软件的任何风险都可能直接危及、转移或传递到应用平台软件。
网络和通信协议脆弱点:人们在享受因特网技术给全球信息共享带来的方便性和灵活性的同时必须认识到,基于TCP/IP协议栈的因特网及其通信协议存在很多的安全问题。TCP/IP协议栈在设计时,只考虑了互联、互通和资源共享的问题,并未考虑也无法同时解决来自网络的大量安全问题。
人的脆弱点:人是信息活动的主体,人的因素其实是影响信息安全问题的最主要因素。
信息系统中的脆弱点的防护措施如下:
区域规划:在局域网络内,对不同的信息进行区域规划,执行严格的授权访问机制。将拥有不同安全访问权限的用户划分至不同的VLAN,并在Trunk端口限制授权访问的VLAN,将一些敏感信息与其他子网络相隔离。
集中保存在文件服务器:将所有敏感信息都集中保存在网络内的文件服务器中,既可以有效保证敏感信息的存储安全,又可以保证在共享文件的同时,严格控制其访问权限。需要注意的是,应杜绝将敏感信息保存在个人计算机上。
制定严格的文件访问权限:敏感文件必须存储在NTFS系统分区,并且为不同用户或用户组设置严格的NTFS文件权限、NTFS文件夹权限和共享文件权限。
安装RMS服务:严格限制对敏感文件的操作。权限管理服务作为组织内的权限策略管理系统提供一个平台,是在组织中搭建权限管理系统的重要组成部分。
其他基于交换机和路由器的安全措施:采用IEEE 802.1x身份认证、IP地址与MAC地址绑定、安全端口、IP或MAC地址访问列表等技术,限制用户登录到网络,或者限制其对敏感区域的访问。
安装杀毒软件:计算机病毒有以下五种特征:寄生性、传染性、破坏性、可触发性、可潜伏性。根据计算机病毒的特征,人们摸索出了许多检测计算机病毒和杀毒的软件。国内的有瑞星、KV3000、金山毒霸、360 杀毒软件等,国外的有诺顿、卡巴斯基等。但是,没有哪种杀毒软件是万能的,所以当本机的杀毒软件无法找到病毒时,用户可以到网上下载一些专杀工具,如木马专杀工具、蠕虫专杀工具或宏病毒专杀工具等。值得注意的是,安装了杀毒软件后,我们还必须每周至少更新一次杀毒软件病毒库,因为防病毒软件只有最新才是最有效的。每周还要对电脑硬盘进行一次全面的扫描、杀毒,以便及时发现并清除隐藏在系统中的病毒。当不慎感染上病毒时,应立即将杀毒软件升级到最新版本,然后对整个硬盘进行扫描,清除一切可以查杀的病毒。当受到网络攻击时,我们的第一反应就是拔掉网络连接端口以断开网络。
安装网络防火墙:所谓 “防火墙” 是指一种将内部网和公众访问网分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你 “同意” 的人和数据进入你的网络,同时将你 “不同意” 的人和数据拒之门外,最大限度地阻止网络中的黑客访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。常见的个人网络防火墙有天网防火墙、瑞星防火墙和 360 安全卫士等。
数据加密:数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施的,它以很小的代价来提供很大的安全保护。在多数情况下,数据加密是保证信息机密性的惟一方法。一般把受保护的原始信息称为明文,编码后的称为密文。数据加密的基本过程包括对明文进行翻译,译成密文或密码的代码形式。该过程的逆过程为解密,即将该加密的编码信息转化为原来的形式的过程。机密资料被加密后,无论是被人通过复制数据、还是采用网络传送的方式窃取过去,只要对方不知道你的加密算法,该机密资料就成了毫无意义的乱码一堆。常见的加密软件有 SecWall、明朝万达、完美数据加密大师等。
警惕 “网络钓鱼”:“网络钓鱼” 是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息的一种攻击方式。黑客就是利用这种欺骗性的电子邮件和伪造的 web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。黑客通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。对此,用户应该提高警惕,不登录不熟悉的网站,键入网站地址时要认真校对,以防输入错误误入圈套。