企業(yè)信息安全的管理與防護(hù)

企業(yè)信息安全的管理與防護(hù)企業(yè)信息平安的管理與防護(hù)

中圖分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671-2064〔2022〕06-0020-02

隨著現(xiàn)代化無紙辦公要求的提高，相應(yīng)的也就要求了現(xiàn)在企業(yè)辦公離不開網(wǎng)絡(luò)，便于辦公的企業(yè)都自行建立了自己的企業(yè)內(nèi)網(wǎng)，“企業(yè)自身處內(nèi)網(wǎng)環(huán)境中，黑客難以入侵。但實(shí)際上，無線網(wǎng)絡(luò)、眾多智能設(shè)備〔如手機(jī)、Pad等〕為黑客提供了更多便利，而企業(yè)所信任的防火墻在黑客面前形同虛設(shè)。〞出名企業(yè)信息平安參謀、國(guó)家企業(yè)信息平安最高認(rèn)證〔CISP〕金牌講師張勝生在講座中對(duì)目前國(guó)內(nèi)企業(yè)普遍不足企業(yè)信息平安專業(yè)團(tuán)隊(duì)，漠視企業(yè)信息平安的現(xiàn)狀表示擔(dān)心。

2022年中央電視臺(tái)播出的“棱鏡門〞一時(shí)鬧的沸沸揚(yáng)揚(yáng)，棱鏡方案〔PRISM〕是一項(xiàng)由美國(guó)國(guó)家平安局〔NSA〕自2022年小布什時(shí)期起開始實(shí)施的絕密電子監(jiān)聽方案。美國(guó)情報(bào)機(jī)構(gòu)一直在九家美國(guó)互聯(lián)網(wǎng)公司中進(jìn)行數(shù)據(jù)挖掘工作，從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個(gè)人的聯(lián)系方式與行動(dòng)。監(jiān)控的類型有10類：信息電郵、即時(shí)消息、視頻、照片、存儲(chǔ)數(shù)據(jù)、語(yǔ)音聊天、文件傳輸、視頻會(huì)議、登錄時(shí)間、社交網(wǎng)絡(luò)資料的細(xì)節(jié)，其中包括兩個(gè)秘密監(jiān)視工程，一是監(jiān)視、監(jiān)聽民眾的通話記錄，二是監(jiān)視民眾的網(wǎng)絡(luò)活動(dòng)。

該類事件也反饋了關(guān)于企業(yè)及個(gè)人企業(yè)信息平安的問題。

1企業(yè)信息平安管理根底

1.1企業(yè)信息平安事件分析

統(tǒng)計(jì)結(jié)果說明，在所有企業(yè)信息平安事故中，只有20%-30%是由于黑客入侵或其他外部原因造成的，70%-80%是由于內(nèi)部人員的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡(luò)平安的全貌就會(huì)發(fā)現(xiàn)平安問題實(shí)際上都是人的問題，單憑技術(shù)是無法實(shí)現(xiàn)從“最大威脅〞到“最可靠防線〞轉(zhuǎn)變的。

1.2企業(yè)信息平安管理的需求

企業(yè)信息平安取決于兩個(gè)因素：技術(shù)和管理。平安技術(shù)是企業(yè)信息平安的構(gòu)筑材料，平安管理是真正的粘合劑和催化劑，企業(yè)信息平安管理是預(yù)防、阻止和減少企業(yè)信息平安事件發(fā)生的重要保障。

1.3信息平安保障的內(nèi)涵

信息平安保障要綜合技術(shù)、管理、項(xiàng)目和人。應(yīng)融入信息系統(tǒng)生命周期的全過程，目的不僅僅是保障信息系統(tǒng)本身，更應(yīng)該是通過保障信息系統(tǒng)，從而保障運(yùn)行于信息系統(tǒng)之上的業(yè)務(wù)系統(tǒng)、保障組織機(jī)構(gòu)。信息平安保障不僅僅是孤立的自身的問題，更應(yīng)該是一個(gè)社會(huì)化的、需要各方參與的工作，信息平安保障是主觀和客觀的結(jié)合。

2企業(yè)信息系統(tǒng)平安系統(tǒng)結(jié)構(gòu)組成要素

實(shí)現(xiàn)企業(yè)信息平安系統(tǒng)結(jié)構(gòu)的平安，要從多方面考慮，通常定義包括平安屬性、系統(tǒng)組成、平安策略、平安機(jī)制等4個(gè)方面。在每一個(gè)方面中，還可以繼續(xù)劃分多個(gè)層次；對(duì)于一個(gè)給定的層次，包含著多種平安要素。

2.1平安屬性

平安本身是對(duì)信息系統(tǒng)一種屬性要求，信息系統(tǒng)通過平安效勞來實(shí)現(xiàn)平安性。根本的平安效勞包括標(biāo)識(shí)與鑒別、保密性、完整性、可用性等。平安效勞和平安機(jī)制的對(duì)應(yīng)關(guān)系如下：5大類平安效勞：身份鑒別、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整性、不可否定性及提供這些效勞的8類平安機(jī)制及其相應(yīng)的OSI平安管理等對(duì)應(yīng)OSI模型的7層協(xié)議中的不同層，以實(shí)現(xiàn)端系統(tǒng)企業(yè)信息平安傳送的通信通路。這樣從平安性到平安效勞機(jī)制到具體平安技術(shù)伎倆形成了平安屬性的不同層次。

2.2系統(tǒng)組成

系統(tǒng)組成描述信息系統(tǒng)的組成要素。對(duì)于信息系統(tǒng)的組成劃分，有不同的辦法?？梢苑譃橛布蛙浖谟布蛙浖杏挚梢赃M(jìn)一步地劃分。對(duì)于分布的信息系統(tǒng)，可以將信息系統(tǒng)資源分為用戶單元和網(wǎng)絡(luò)單元，即將信息系統(tǒng)的組成要素分為本地計(jì)算環(huán)境和網(wǎng)絡(luò)，以及計(jì)算環(huán)境邊界。

2.3平安策略

在平安系統(tǒng)結(jié)構(gòu)中，平安策略指用于限定一個(gè)系統(tǒng)、實(shí)體或?qū)ο筮M(jìn)行平安相關(guān)操作的規(guī)那么。即要說明在平安范圍內(nèi)什么是允許的，什么是不允許的。直接體現(xiàn)了平安需求，并且也有面向不同層次、視圖及原理的平安策略。其描述內(nèi)容和形式也各不相同。對(duì)于抽象型和一般型平安系統(tǒng)結(jié)構(gòu)而言，平安策略主要是對(duì)加密、訪問控制、多級(jí)平安等策略的通用規(guī)定，不波及具體的軟硬件實(shí)現(xiàn)；而對(duì)于具體型平安系統(tǒng)結(jié)構(gòu)，其平安策略那么是要對(duì)實(shí)現(xiàn)系統(tǒng)平安功能的主體和客體特性進(jìn)行具體的標(biāo)識(shí)和表明，亦即要描述允許或禁止系統(tǒng)和用戶何時(shí)執(zhí)行哪些動(dòng)作，并要能反射到軟硬件平安組件的具體配置，如，網(wǎng)絡(luò)操作系統(tǒng)的賬號(hào)、用戶權(quán)限等。

2.4平安機(jī)制

平安機(jī)制是實(shí)現(xiàn)信息系統(tǒng)平安需求及平安策略的各種措施，具體可以表現(xiàn)為所需要的平安規(guī)范、平安《f議、平安技術(shù)、平安單元等。對(duì)于不同層次、不同視圖及不同原理的平安系統(tǒng)結(jié)構(gòu)，平安機(jī)制的重點(diǎn)也有所不同。示例：OSI平安系統(tǒng)結(jié)構(gòu)中倡議采用7種平安機(jī)制。而對(duì)于特定系統(tǒng)的平安系統(tǒng)結(jié)構(gòu)，那么要進(jìn)一步表明有關(guān)平安機(jī)制的具體實(shí)現(xiàn)技術(shù)，如認(rèn)證機(jī)制的實(shí)現(xiàn)可以有口令、密碼技術(shù)及實(shí)體特征鑒別等辦法。

3企業(yè)信息平安攻防技術(shù)

3.1歹意代碼及網(wǎng)絡(luò)平安攻防

3.1.1歹意代碼定義

歹意代碼〔UnwantedCode，MaliciousSoftware，Malware，Malicouscode〕是指沒有作用卻會(huì)帶來危險(xiǎn)的代碼。

歹意代碼類型：二進(jìn)制代碼、二進(jìn)制文件、腳本語(yǔ)言、宏語(yǔ)言。3.1.2歹意代碼傳播方式

移動(dòng)存儲(chǔ)、文件傳播、網(wǎng)絡(luò)傳播、網(wǎng)頁(yè)、電子郵件、漏洞、共享、即時(shí)通訊、軟件捆綁。

3.2歹意代碼的防治

增強(qiáng)平安策略與意識(shí)：減少漏洞、補(bǔ)丁管理、主機(jī)加固、減輕威脅、防病毒軟件、間諜軟件檢測(cè)和刪除工具、入侵檢測(cè)/入侵防御系統(tǒng)、防火墻、路由器、應(yīng)用平安設(shè)置等。

3.3歹意代碼檢測(cè)技術(shù)

3.3.1特征碼掃描

工作機(jī)制：特征匹配、病毒庫(kù)〔歹意代碼特征庫(kù)〕、掃描〔特征匹配過程〕、優(yōu)勢(shì)、準(zhǔn)確〔誤報(bào)率低〕、易于管理缺乏、效率問題〔特征庫(kù)不斷龐大、依賴廠商〕、滯后〔先有病毒后有特征庫(kù)，需要更新特征庫(kù)〕。

3.3.2歹意代碼檢測(cè)技術(shù)-沙箱技術(shù)

工作機(jī)制：將歹意代碼放入虛擬機(jī)中執(zhí)行，其執(zhí)行的所有操作都被虛擬化重定向，不改變實(shí)際操作系統(tǒng)優(yōu)勢(shì)。

優(yōu)點(diǎn)：能較好的解決變形代碼的檢測(cè)。

3.3.3歹意代碼檢測(cè)技術(shù)-行為檢測(cè)

工作機(jī)制：基于統(tǒng)計(jì)數(shù)據(jù)、歹意代碼行為有哪些、行為合乎度。

優(yōu)勢(shì)：能檢測(cè)到未知病毒。

缺乏：誤報(bào)率高。

難點(diǎn)：病毒不可判定原那么。

3.3.4歹意代碼去除技術(shù)

歹意代碼去除技術(shù)有：

〔1〕感染引導(dǎo)區(qū)型、修復(fù)/重建引導(dǎo)區(qū)?！?〕文件感染型、附著型：病毒行為逆向復(fù)原、替換型：備份復(fù)原?！?〕獨(dú)立型：獨(dú)立可執(zhí)行程序：終止進(jìn)程、刪除?！?〕獨(dú)立依附型：內(nèi)存退出、刪除?！?〕嵌入型。〔6〕更新軟件或系統(tǒng)?！?〕重置系統(tǒng)。

4企業(yè)信息平安攻防技術(shù)常見的伎倆和工具

4.1攻擊的過程

4.1.1攻擊的過程

信息平安《《中攻擊方式有：信息收集、目標(biāo)分析、實(shí)施攻擊，留后門方便再次進(jìn)入、清掃戰(zhàn)場(chǎng)，清理入侵記錄。

針對(duì)以上提到的行為了解其原理并考慮應(yīng)對(duì)措施網(wǎng)絡(luò)攻擊的方式：〔1〕主動(dòng)攻擊：掃描、滲透、拒絕效勞等?！?〕被動(dòng)攻擊：嗅探、釣魚等。

攻擊過程的一些術(shù)語(yǔ)：后門、0-day、提權(quán)。

4.1.2信息收集攻擊的第一步

信息收集-攻擊的第一步：獲取攻擊目標(biāo)資料，網(wǎng)絡(luò)信息，主機(jī)信息，應(yīng)用部署信息，漏洞信息，其他任何有價(jià)值的信息，分析目標(biāo)信息、尋找攻擊途徑，排除迷惑信息，可被利用的漏洞，利用工具。

4.2收集哪些信息

目標(biāo)系統(tǒng)的信息系統(tǒng)相關(guān)資料：域名、網(wǎng)絡(luò)拓?fù)?、操作系統(tǒng)、應(yīng)用軟件、相關(guān)脆弱性、目標(biāo)系統(tǒng)的組織相關(guān)資料、組織架構(gòu)及關(guān)聯(lián)組織、地理位置細(xì)節(jié)、號(hào)碼、郵件等聯(lián)系方式、近期重大事件、員工簡(jiǎn)歷、其他可能令攻擊者感興趣的任何信息。

4.2.1信息收集的技術(shù)

〔1〕公開信息收集〔媒體、搜索引擎、廣告等〕?！?〕域名及IP信息收集〔whois、nslookup等〕?！?〕網(wǎng)絡(luò)結(jié)構(gòu)探測(cè)〔Ping、tracert等〕?！?〕系統(tǒng)及應(yīng)用信息收集〔端口掃描、旗標(biāo)、協(xié)議指紋等〕?！?〕脆弱性信息收集〔nessus、sss等〕。

4.2.2域名信息收集

在維護(hù)企業(yè)信息平安的過程中需要搜集域名信息：〔1〕NSlookup域名解析查詢?！?〕Whois是一個(gè)規(guī)范效勞，可以用來查詢域名是否被注冊(cè)以及注冊(cè)的詳細(xì)資料Whois可以查詢到的信息?！?〕域名所有者?！?〕域名及IP地址對(duì)應(yīng)信息。〔5〕聯(lián)系方式。〔6〕域名注冊(cè)日期?！?〕域名到期日期?！?〕域名所使用的DNSServers。

4.3工具介紹

4.3.1檢索工具

根底檢索工具：〔1〕TFN2K。〔2〕Trinoo。

4.3.2電子欺騙的類型

〔1〕IP欺騙〔IPSpoof〕。〔2〕TCP會(huì)話劫持〔TCPHijack〕?！?〕ARP欺騙〔ARPSpoof〕。〔4〕DNS欺騙〔DNSspoof〕?！?〕路由欺騙〔ICMP重定向報(bào)文欺騙、RIP路由欺騙、源徑路由欺騙〕。

4.3.3利用應(yīng)用腳本開發(fā)的缺陷-SQL注入

SQL注入原理：SQL注入〔SQLInjection〕：程序員在編寫代碼的時(shí)候，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在平安隱患。用戶可以提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)或進(jìn)行數(shù)據(jù)庫(kù)操作。

4.3.4SQL注入防御

防御的對(duì)象：所有外部傳入數(shù)據(jù)、用戶的輸入、提交的URL請(qǐng)求中、參數(shù)局部、從cookie中得到的數(shù)據(jù)、其他系統(tǒng)傳入的數(shù)據(jù)。

防御的辦法：

白名單：限制傳遞數(shù)據(jù)的格式。

黑名單：過濾特殊字串：upda