隨著資訊保安事件的不斷發生,資訊保安的重要性呈指數增長的趨勢。過去幾年來,**被黑客攻擊、拒絕服務攻擊增多、信用卡資訊被盜、公開可獲得的黑客工具等事件日益複雜,病毒和蠕蟲所造成的損失不可估量。面對如此嚴峻的資訊保安形勢,許多企業投入大量資金購買安全裝置、系統軟體和系統服務來應對,但是,往往得不到預期的風險管理的效果。
山東省軟體評測中心根據多年經驗,總結出了資訊保安在規劃、建設、運維方面的一些見解與方法,本期重點講述資訊保安的思想,希望能給大家帶來幫助。
一、資訊保安概念
資訊保安是指資訊網路的硬體、軟體及其系統中的資料受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、洩露,系統連續可靠正常地執行,資訊服務不中斷。資訊保安主要包括以下五方面的內容,即需保證資訊的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。
二、資訊保安現狀
資訊保安及風險管理重技術、輕管理。大多數組織的管理著都以樹立了不同程度的安全和風險意識,但是資訊資產所面臨的嚴重性認識不足,僅侷限在it方面的安全,缺少合理的資訊保安方針來指導組織的資訊保安管理工作,在安全規劃、風險、應急、安全教育培訓、系統評估方面採用靜態管理,出了問題再補救,缺少全域性管理方法。
實際上,解決資訊保安問題的根本措施是需要結合企業網路和業務實際,通過正確的方法,建立一套適合企業的資訊保安體系,並在企業中持續的執行、改進。以下將為企業在資訊化建設過程中,如何更好的應對資訊保安問題提供一些思路和方法。
三、資訊保安重要性
資訊作為一種資源,它的普遍性、共享性、增值性、可處理性和多效用性,使其對於人類具有特別重要的意義。資訊保安的實質就是要保護資訊系統或資訊網路中的資訊資源免受各種型別的威脅、干擾和破壞,即保證資訊的安全性。根據國際標準化組織的定義,資訊安全性的含義主要是指資訊的完整性、可用性、保密性和可靠性。資訊保安是任何國家、**、部門、行業都必須十分重視的問題,是乙個不容忽視的****戰略。但是,對於不同的部門和行業來說,其對資訊保安的要求和重點卻是有區別的。
我國的改革開放帶來了各方面資訊量的急劇增加,並要求大容量、高效率地傳輸這些資訊。為了適應這一形勢,通訊技術發生了前所未有的**性發展。除有線通訊外,短波、超短波、微波、衛星等無線電通訊也正在越來越廣泛地應用。與此同時,國外敵對勢力為了竊取我國的政治、軍事、經濟、科學技術等方面的秘密資訊,運用偵察臺、偵察船、偵察機、衛星等手段,形成固定與移動、遠距離與近距離、空中與地面相結合的立體偵察網,擷取我國通訊傳輸中的資訊。
在20世紀後50年中,從社會所屬計算機中了解乙個社會的內幕,正變得越來越容易。不管是機構還是個人,正把日益繁多的事情託付給計算機來完成,敏感資訊正經過脆弱的通訊線路在計算機系統之間傳送,專用資訊在計算機內儲存或在計算機之間傳送,電子銀行業務使財務賬目可通過通訊線路查閱,執法部門從計算機中了解罪犯的前科,醫生們用計算機管理病歷,所有這一切,最重要的問題是不能在對非法(非授權)獲取(訪問)不加防範的條件下傳輸資訊。
傳輸資訊的方式很多,有局域計算機網、網際網路和分布式資料庫,有蜂窩式無線、分組交換式無線、衛星電視會議、電子郵件及其它各種傳輸技術。資訊在儲存、處理和交換過程中,都存在洩密或被截收、竊聽、竄改和偽造的可能性。不難看出,單一的保密措施已很難保證通訊和資訊的安全,必須綜合應用各種保密措施,即通過技術的、管理的、行政的手段,實現信源、訊號、資訊三個環節的保護,藉以達到秘密資訊保安的目的
網路安全菜鳥學習之資訊收集篇(一)
前言 資訊收集篇包含了一些常見的收集內容與某些常見的收集方法。1.作業系統資訊 常用方法 在導航頁上更改大小寫。例 www.xx.com index.html 這個網域名稱我亂寫的 我們把它改為www.xx.com index.html 如果 出現錯誤,那麼該 使用的作業系統為linux,反之win...
Web菜狗的學習日誌之資訊洩露篇
git是乙個主流的分布式版本控制系統,開發人員在開發過程中經常會遺忘 git 資料夾,導致攻擊者可以通過 git 資料夾中的資訊獲取開發人員提交過的所有原始碼,而可能導致伺服器被攻擊而淪陷。1 常規git洩露 常規git洩露即沒有任何其他操作,參賽者通過運用現成的工具或自己編寫的指令碼即可獲取 原始...
網路安全 主動資訊收集篇第二章之服務掃瞄上篇
通常針對一些更改埠後的服務,無法通過預設的埠號進行識別,例如遠端登入的ssh server服務一般情況下都會被修改預設登入埠號,通過一般的埠掃瞄顯示出來的結果可能是非常用埠號,針對這種情況只有進行服務掃瞄才能清楚的分析到滲透目標開放埠後執行的是什麼服務。捕獲方式 1.banner捕獲 2.服務識別 ...