信息管理中的信息安全问题——MM

信息安全问题~

bcdcb ccabc

经过这些年的发展，常用的信息安全技术产品如防火墙、防病毒和入侵检测的应用已经非常普及。近几年，信息安全管理、信息安全风险管理、信息安全风险评估等也成为热门话题。可以说信息安全技术和信息安全管理得到了前所未有的重视。
但是信息安全事件却一直处于有增无减的状态，企业信息安全的状况仍不容乐观，企业信息安全活动的努力可以说是“事倍功半”。其中原因之一就是大部分组织并没有很好地将信息安全管理落实。实际上，只有在宏观层次上实施了良好的信息安全管理，即采用国际上公认的最佳实践和规则集等，才能使微观层次上的安全，如物理措施等，实现其恰当的作用。跟上信息安全的发展脚步——制度化的浪潮，采用信息安全管理体系标准并得到认证无疑是组织应该考虑的方案之一。将27001作为依据，建设信息安全管理体系的确是个不错的选择！

通过相关检索，结合亲身经历，给出一个防火墙设计案例，包括：
1、应用背景
银行金融行业属于国家重点建设和保护的行业，随着市场经济的全面推进，各金融企业之问的竞争也日益激烈，主要是通过提高金融机构的运作效率，为客户提供方便快捷和丰富多彩的服务，增强金融企业的发展能力和影响力来增强自身的竞争优势。由于服务的多样化，应用增多的同时网络安伞风险也会不断暴露出来，而且由于银行系统有大量的商业机密，如果这些涉密信息在网上传输过程中泄密，并且这些信息如果丢失或泄漏；其造成的损失将是不可估量的。近期，针对某银行系统特殊的业务需求和潜在网络风险，天融信公司提出了一套系统的安全解决方案，有力地保证了该银行网络系统的安全。
2、安全需求分析
目前该银行主要应用业务中，网上银行、电子商务、网上交易系统都是通过Internet公网进行相关操作，由于互联网自身的广泛性、自由性等特点，其系统很可能成为恶意入侵者的攻击目标。银行网络安全的风险来自多个方面：其一 ，来自互联网的风险：银行的系统网络如果与Intemet公网发生联系，如涉及到电子商务、网上交易等系统，都有可能给恶意的入侵者带来攻击的条件和机会。其二 ．来自外单位的风险：而且该银行不断增加中间业务、服务功能，如代收电话费等，这样就与其它单位网络互联，由十与这些单位之间不一定是完全信任关系，因此，该银行网络系统存在着来自外单位的安全隐患。其三．来自不信任域的风险：涵盖范围广泛，全国联网的银行，各级银行之问存在着安全威胁。其四，来自内部网的风险。据调查，大多数网络安全事件，攻击米自于内部；有可能发生内部攻击、泄露；导致遭受攻击的事件发生。鉴于存在以上潜在风险，该银行网络需要防范来自不安全网络或不信任域的非法访问或非授权访问，防范信息在网络传输过程中被非法窃取，而造成信息的泄露；并动态防范各种来自内外网络的恶意攻击；对进入网络或主机的数据实时监测，防范病毒对网络或主机的侵害；针对银行特殊的应用进行特定的应用开发；必须制定完善安全管理制度，并通过培训等手段来增强员工的安全防范技术及防范意识等等，将风险防患于未然。
3、方案设计（图、文字）
鉴于以上银行系统可能发生的安全隐患及客户需求，天融信制订出安全，可靠的安全解决方案。首先，保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提，这点涉及到网络环境的安全、设计的安全、媒介的安全．保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程．另外，对系统、网络、应用和信息的安全要重视，系统安全包括操作系统安全和应用系统安全；网络安全包括网络结构安全、访问控制、安全检测和评估；应用安全包括安全认证和病毒防护；信息安全包括加密传输、信息鉴别和信息仔储．
其次，对于该银行系统可能会存住的特殊应用，要保护其应用的安拿性，必须通过详细 解和分析，进行有针对性地开发，量体裁衣，才能切实保证应用时安全。而建立动态的、整体的网络安全的另外一关键是建立长期的、与项目相关的信息安全服务。安全服务包括：伞方位的安全咨匈、培训；静态的网络安伞风险评估；特别事件应急响应。
另外，除了上述的安全风险外，安全设备本身的稳定性非常重要，为此，天融信安全解决方案中防火墙将采用双机热备的方式。即，两台防火墙互为备份，一台是主防火墙；另一台是从防火墙。当主防火墙发生故障时，从防火墙接替主防火墙的工作。从而最大限度的保证用户网络的连通性。根据该银行的网络结构，天融信把整个网络用防火墙分割成三个物理控制区域，即金融网广域网、独立服务器网络、银行内部网络。

以上三个区域分别连接在防火墙的三个以太网借接口上，从而通过在防火墙上加载访问控制策略，对达三个控制区域间的访问进行限制。主防火墙与从防火墙之间通过CON一SOLE电缆线相连接，用以进行两台防火墙之间的心跳检测。
4、经验与教训（尽量加入自己的感悟）
我们此次做出的安全解决方案紧密结合该银行的实际应用，结合了用户需求，因此方案具有很强的针对性，并达到了很好的效果．防范系统漏洞：目前大多数操作系统都存在一些安全漏洞、后门，这些因素往往又是被入侵者攻击所利用。因此，对操作系统必须进行安全配置、打上最新的补丁，还要利用相应的扫描软件对其进行安全性扫描评估、检测其存在的安伞漏洞，分析系统的安全性，提出补救措施。加强身份认证：对应用系统的安全性，也应该进行安全配置，尽量做到只开放必须使用的服务，而关闭不经常用的协议及协议端口号。对应用系统的使用加强用户登录身份认证以确保用户使用的合法性，严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。全面网络安全控制：首先从网络结构布局上，对该银行系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、安全保密程度进行合理区域划分，以免局部产牛的威胁，传播到整个网络系统。同时，加强访问控制：任内部局域网内通过交换机划分VLAN功能来实现不同部门、不同级别用户之间简单的访问控制；与外单位网络、不信任域网络之间通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问控制；配备应用层的访问控制软件系统，针对局域网具体的应用进行更细致的访问控制；对于远程拔号访问用户的安全性访问，利用防火墙的一次性口令认证机制，对远程拔号用户进行身份认证，实远程用户的安全访问。进而进行安全检测和评估：配备入侵检测系统，对网络违规事件跟踪、实时报警、阻断连接并做臼志；从操作系统的角度，以管理员的身份对独立的系统主机的安全性进行评估分析，找出用户系统配置、用户配置的安全弱点，建议补救措施。
密钥认证：我们引入了通过第三方来发放证书，即构建一个权威认证机构(Ca认证中心)。该银行系统可以联合各专业银行•同构建一个银行系统的CA系统，实现本系统内证书的发交与业务的安全交易。不同的加密传输：对银行普通业务系统，我们建议采用网络层加密设备，来保护数据在网络上传输的安全性。而对网k银行、网上交易等业务系统可以采用应用层加密机制来加密，以保护数据在网上传输的机密性。备份、恢复停储数据：保护数据库最安全、最有效的方法就是采用备份与恢复系统。备份系统可以保存相当完整的数据库信息，在运行数据库主机发生意外事故时，通过恢复系统把备份的数据库系统在最短时间内恢复正常工作状态，保证银行业务系统提供服务的及时性、连续性。
二、相关检索
1、防火墙的定义
防火墙是保障网络安全的一个系统或一组系统，用于加强网络间的访问控制，防止外部用户非法使用内部网资源，保护内部网的设备不被破坏，防止内部网络的敏感数据被窃取。
2、使用防火墙的目的
防止各类黑客的破坏，阻断来自外部网络的威胁与入侵，起着防备潜在恶意活动的作用。
3、防火墙的特征（或典型的防火墙的基本特性）
（1）、广泛性：通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、 FTP等服务器支持；
（2）、对私有数据的加密支持：保证通过Internet进行虚拟私人网络和商务活动不受损坏；
（3）、客户端认证只允许指定的用户访问内部网络或选择服务：企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；
（4）、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们；
（5）、C/S模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平台的监视模块。
4、目前防火墙的局限性
（1）不能防范内部攻击。
（2）不能防范不通过防火墙的连接入侵。
（3）不能自动防御新的所有威胁。
5、防火墙的基本功能、增值功能
（1） 阻止易受攻击的服务进入内部网；
（2） 控制访问网点；
（3） 集中安全性管理；
（4） 对网络存取和访问进行监控审计；
（5） 检测扫描计算机的企图；
（6） 防范特洛伊木马；
（7） 防病毒功能；
（8） 支持VPN技术；
（9） 提供网络地址翻译NAT功能。
6、防火墙的类型
（1）概念分类：网络层防火墙、应用层防火墙。
（2）技术分类：传统防火墙、分布式防火墙、嵌入式防火墙、智能防火墙。
7、防火墙的主要技术
包过滤技术、代理服务技术、电路层网关、状态检测技术。
8、防火墙的常见体系结构
筛选路由器结构、双宿主机结构、屏蔽主机网关结构、屏蔽子网结构。
9、防火墙设计的原则与策略
设计原则：
安全性、可靠性、扩展性、可升级性、兼容性
防火墙一般采用2个基本设计策略：
（1） 拒绝访问除明确许可以外的任何一种服务，即没有被列为允许的服务都是禁止的。
（2） 允许访问除明确拒绝以外的任何一种服务，即没有被列为禁止的服务都是允许的。

（1） 替换密码
#include <stdio.h>
#include <string.h>
#include <iostream.h>
void main()
{ char str[12]="how are you";
int i;
for(i=0;i<=11;i++)
{str[i]+=4;
cout<<str[i];}
cout<<endl;}
（2）换位密码
#include <iostream.h>
#include <stdio.h>
#include <string.h>
void main()
{char str[12]="how are you";
int i,j;
char p;
printf("%s\n",str);
for(i=0,j=1;i<=10,j<=11;)
{p=str[i];
str[i]=str[j];
str[j]=p;
cout<<str[i]<<str[j];
i+=2;
j+=2;}
cout<<endl;}

将明文分割成N列的分组形式。例如：明文是guangzhou is a beautiful city，按照密钥N=4，最后不全的组用任意符号填充。（空格不理）
加密过程如下：
第一步，排列
1234
guangzhouisabeautifulcity
第二步，打断
1234
guan
gzho
uisa
beau
tifu
lcit
y###
第三步，产生密文
ggubtlyuzieic#ahsafi#noauut#
/////////////////////////
#include <iostream.h>
#include <string.h>
#define N 4（密钥）
void main()
{ int m,i,j;
char p1[80],p2[20][N],p3[N][20];
char pstr[]="guangzhouisabeautifulcity";（如果最后y去掉，程序有什么变化？将下一行改成）
if (strlen(pstr)%N==0) m=strlen(pstr);
else m=(strlen(pstr)/N+1)*N;）
//用符号'#'填充明文
m=(strlen(pstr)/N+1)*N; （m为个数；strlen算字符串长度）
for(i=0;i<strlen(pstr);i++)
p1[i]=pstr[i];
for(i=strlen(pstr);i<m;i++)
p1[i]='#';
//打断
m=m/N;
for(i=0;i<m;i++)
for(j=0;j<N;j++)
p2[i][j]=p1[i*N+j];（把一维数组变成二维数组）
//列换位,产生密文
for(i=0;i<N;i++)
for(j=0;j<m;j++)
p3[i][j]=p2[j][i]; （p2的j行i列变成p3的i行j列）
//输出
cout<<"\n明文：";
for(i=0;i<m*N;i++)
cout<<p1[i];
cout<<"\n密文：";
for(i=0;i<N;i++)
for(j=0;j<m;j++)
cout<<p3[i][j];
cout<<endl;
}
////////////////////////////////////////
2、周期换位密码
把明文中的字母按给定的顺序排在一个矩阵中，然后用另一种顺序选出矩阵中的字母来产生密文。例如，给定一个置换F=2、4、1、3，即按第2列、第4列、第1列、第3列，（第6列，第5列）的次序排列。
加密过程如下：
第一步，排列
123456
guangzhouisabeautifulcity
第二步，打断
1234
guan
gzho
uisa
beau
tifu
lcit
y###
第三步，周期换位
241365
unga
zogh
iaus
euba
iutf
ctli
##y#
第四步，产生密文
ungazoghiauseubaiutfctli##y#
////////////////////////////////////
#include <iostream.h>
#include <string.h>
#define N 4 （6）
void main()
{ int m,i,j;
char p1[80],p2[20][N],p3[20][N];
char pstr[]="guangzhouisabeautifulcity"; //用符号'#'填充明文
m=(strlen(pstr)/N+1)*N;
for(i=0;i<strlen(pstr);i++)
p1[i]=pstr[i];
for(i=strlen(pstr);i<m;i++)
p1[i]='#'; //打断
m=m/N;
for(i=0;i<m;i++)
for(j=0;j<N;j++)
p2[i][j]=p1[i*N+j];
//2413周期换位,产生密文
for(i=0;i<m;i++)
{
p3[i][0]=p2[i][1];
p3[i][1]=p2[i][3];
p3[i][2]=p2[i][0];
p3[i][3]=p2[i][2];
p3[i][4]=p2[i][5];
P3[i][5]=p2[i][4];
}//输出
cout<<"\n明文：";
for(i=0;i<m*N;i++)
cout<<p1[i];
cout<<"\n密文：";
for(i=0;i<m;i++)
for(j=0;j<N;j++)
cout<<p3[i][j];
cout<<endl;
}

2、网上调研题
——要求把主要观点写在答题纸上，主要观点的展开与举例提交电子版到“考试服务器”。
1,举例说明用电子邮件传播病毒的常见方法。
基本观点：
（1）将病毒放在电子邮件的附件中寄给受害者，引诱受害者打开电子邮件附件而传染病毒。
（2）将病毒直接放在电子邮件内寄给受害者，诱使受害者阅读电子邮件而传染病毒。
示例：网上检索，要体现可操作性与防范性。

2,举例说明病毒软件的结构。
基本观点：
（1）传染子程序——用于寻找还没有被传染的可执行文件，将病毒软件执行代码嵌入其中。
（2）引发子程序——定义病毒发作的条件。
（3）破坏子程序——定义具体的破坏操作，例如删除或修改文件。
示例：网上检索，要体现可操作性与防范性。

---

汉阳区15290634279： 企业信息安全面临哪些问题已题 - ？
栾家甲砜： 此问题可分为两方面来看,一是来自外部的木马病毒攻击,勒索软件,同行的资料窃取,再者是内部员工的日常工作行为规范,泄露企业重要文件.总的来说,百分之八十以上的泄密来自于企业内部,百分之九十以上的泄密出于利益的诱惑.

汉阳区15290634279： 信息安全问题  1.信息安全问题日益重要.2.信息安全事故可能导致的危害.3.如何做到信息安全.  题材连接:安全这个词汇在社会中也经常被提起,除了注... - ？
栾家甲砜：[答案] The pursuit of fashionable,advocating popular may be a fashion.But once popular become society of mainstream,that exist in ... the current us all to work on safety the center.Must seriously implement the ＂safety＂ regulation,the security responsibility ...

汉阳区15290634279： 当前我国信息安全存在的主要威胁因素有哪些? - ？
栾家甲砜： 信息安全面临的威胁主要来自以下三个方面: 一、技术安全风险因素 1)基础信息网络和重要信息系统安全防护能力不强. 国家重要的信息系统和信息基础网络是我们信息安全防护的重点,是社会发展的基础.我国的基础网络主要包括互联网...

汉阳区15290634279： 公司内部人员怎么做好信息安全 - ？
栾家甲砜： 作者结合工作实际阐述了计算机信息安全管理三个组件(风险评估、安全策略和安全教育),分析企事业单位信息安全面临的风险,提出制定企业的计算机信息安全管理的策略,以及如何进行安全知识教育提高企业人员的风险意识. 在信息安...

汉阳区15290634279： 信息系统的安全包括哪些方面的内容 管理信息系统 - ？
栾家甲砜： (1)物理安全.物理安全主要包括环境安全、设备安全、媒体安全等方面.处理秘密信息的系统中心机房应采用有效的技术防范措施,重要的系统还应配备警卫人员进行区域保护. (2)运行安全.运行安全主要包括备份与恢复、病毒的检测与消除...

汉阳区15290634279： 信息安全主要涉及哪些内容 - ？
栾家甲砜： 信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性.

汉阳区15290634279： 网络信息安全的主要特征 - ？
栾家甲砜： 1. 完整性 指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征. 2. 保密性 指信息按给定要求不泄漏给非授权的个人、实体或过程,或提供其...

汉阳区15290634279： 信息资源管理的发展经历了哪些阶段? - ？
栾家甲砜： 1、物的控制阶段,监管和中低水平管理; 2、自动化技术阶段,中级水平管理; 3、信息资源管理阶段,中高级水平管理信息技术集成管理,视信息为战略资源; 4、知识管理阶段,高级水平管理信息技术渗透到组织每个阶层.

汉阳区15290634279： 为什么说信息安全很重要 - ？
栾家甲砜： 信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源,也是企业财产和个人隐私等的重要载体.与此同时,信息安全的重要性也越加凸显:从最高层次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到...