企业信息安全的管理与防护

企业信息安全的管理与防护企业信息平安的管理与防护

中图分类号：TP311文献标识码：A文章编号：1671-2064〔2022〕06-0020-02

随着现代化无纸办公要求的提高，相应的也就要求了现在企业办公离不开网络，便于办公的企业都自行建立了自己的企业内网，“企业自身处内网环境中，黑客难以入侵。但实际上，无线网络、众多智能设备〔如手机、Pad等〕为黑客提供了更多便利，而企业所信任的防火墙在黑客面前形同虚设。〞出名企业信息平安参谋、国家企业信息平安最高认证〔CISP〕金牌讲师张胜生在讲座中对目前国内企业普遍不足企业信息平安专业团队，漠视企业信息平安的现状表示担心。

2022年中央电视台播出的“棱镜门〞一时闹的沸沸扬扬，棱镜方案〔PRISM〕是一项由美国国家平安局〔NSA〕自2022年小布什时期起开始实施的绝密电子监听方案。美国情报机构一直在九家美国互联网公司中进行数据挖掘工作，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节，其中包括两个秘密监视工程，一是监视、监听民众的通话记录，二是监视民众的网络活动。

该类事件也反馈了关于企业及个人企业信息平安的问题。

1企业信息平安管理根底

1.1企业信息平安事件分析

统计结果说明，在所有企业信息平安事故中，只有20%-30%是由于黑客入侵或其他外部原因造成的，70%-80%是由于内部人员的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络平安的全貌就会发现平安问题实际上都是人的问题，单凭技术是无法实现从“最大威胁〞到“最可靠防线〞转变的。

1.2企业信息平安管理的需求

企业信息平安取决于两个因素：技术和管理。平安技术是企业信息平安的构筑材料，平安管理是真正的粘合剂和催化剂，企业信息平安管理是预防、阻止和减少企业信息平安事件发生的重要保障。

1.3信息平安保障的内涵

信息平安保障要综合技术、管理、项目和人。应融入信息系统生命周期的全过程，目的不仅仅是保障信息系统本身，更应该是通过保障信息系统，从而保障运行于信息系统之上的业务系统、保障组织机构。信息平安保障不仅仅是孤立的自身的问题，更应该是一个社会化的、需要各方参与的工作，信息平安保障是主观和客观的结合。

2企业信息系统平安系统结构组成要素

实现企业信息平安系统结构的平安，要从多方面考虑，通常定义包括平安属性、系统组成、平安策略、平安机制等4个方面。在每一个方面中，还可以继续划分多个层次；对于一个给定的层次，包含着多种平安要素。

2.1平安属性

平安本身是对信息系统一种属性要求，信息系统通过平安效劳来实现平安性。根本的平安效劳包括标识与鉴别、保密性、完整性、可用性等。平安效劳和平安机制的对应关系如下：5大类平安效劳：身份鉴别、访问控制、数据保密、数据完整性、不可否定性及提供这些效劳的8类平安机制及其相应的OSI平安管理等对应OSI模型的7层协议中的不同层，以实现端系统企业信息平安传送的通信通路。这样从平安性到平安效劳机制到具体平安技术伎俩形成了平安属性的不同层次。

2.2系统组成

系统组成描述信息系统的组成要素。对于信息系统的组成划分，有不同的办法。可以分为硬件和软件，在硬件和软件中又可以进一步地划分。对于分布的信息系统，可以将信息系统资源分为用户单元和网络单元，即将信息系统的组成要素分为本地计算环境和网络，以及计算环境边界。

2.3平安策略

在平安系统结构中，平安策略指用于限定一个系统、实体或对象进行平安相关操作的规那么。即要说明在平安范围内什么是允许的，什么是不允许的。直接体现了平安需求，并且也有面向不同层次、视图及原理的平安策略。其描述内容和形式也各不相同。对于抽象型和一般型平安系统结构而言，平安策略主要是对加密、访问控制、多级平安等策略的通用规定，不波及具体的软硬件实现；而对于具体型平安系统结构，其平安策略那么是要对实现系统平安功能的主体和客体特性进行具体的标识和表明，亦即要描述允许或禁止系统和用户何时执行哪些动作，并要能反射到软硬件平安组件的具体配置，如，网络操作系统的账号、用户权限等。

2.4平安机制

平安机制是实现信息系统平安需求及平安策略的各种措施，具体可以表现为所需要的平安规范、平安《f议、平安技术、平安单元等。对于不同层次、不同视图及不同原理的平安系统结构，平安机制的重点也有所不同。示例：OSI平安系统结构中倡议采用7种平安机制。而对于特定系统的平安系统结构，那么要进一步表明有关平安机制的具体实现技术，如认证机制的实现可以有口令、密码技术及实体特征鉴别等办法。

3企业信息平安攻防技术

3.1歹意代码及网络平安攻防

3.1.1歹意代码定义

歹意代码〔UnwantedCode，MaliciousSoftware，Malware，Malicouscode〕是指没有作用却会带来危险的代码。

歹意代码类型：二进制代码、二进制文件、脚本语言、宏语言。3.1.2歹意代码传播方式

移动存储、文件传播、网络传播、网页、电子邮件、漏洞、共享、即时通讯、软件捆绑。

3.2歹意代码的防治

增强平安策略与意识：减少漏洞、补丁管理、主机加固、减轻威胁、防病毒软件、间谍软件检测和删除工具、入侵检测/入侵防御系统、防火墙、路由器、应用平安设置等。

3.3歹意代码检测技术

3.3.1特征码扫描

工作机制：特征匹配、病毒库〔歹意代码特征库〕、扫描〔特征匹配过程〕、优势、准确〔误报率低〕、易于管理缺乏、效率问题〔特征库不断庞大、依赖厂商〕、滞后〔先有病毒后有特征库，需要更新特征库〕。

3.3.2歹意代码检测技术-沙箱技术

工作机制：将歹意代码放入虚拟机中执行，其执行的所有操作都被虚拟化重定向，不改变实际操作系统优势。

优点：能较好的解决变形代码的检测。

3.3.3歹意代码检测技术-行为检测

工作机制：基于统计数据、歹意代码行为有哪些、行为合乎度。

优势：能检测到未知病毒。

缺乏：误报率高。

难点：病毒不可判定原那么。

3.3.4歹意代码去除技术

歹意代码去除技术有：

〔1〕感染引导区型、修复/重建引导区。〔2〕文件感染型、附着型：病毒行为逆向复原、替换型：备份复原。〔3〕独立型：独立可执行程序：终止进程、删除。〔4〕独立依附型：内存退出、删除。〔5〕嵌入型。〔6〕更新软件或系统。〔7〕重置系统。

4企业信息平安攻防技术常见的伎俩和工具

4.1攻击的过程

4.1.1攻击的过程

信息平安《《中攻击方式有：信息收集、目标分析、实施攻击，留后门方便再次进入、清扫战场，清理入侵记录。

针对以上提到的行为了解其原理并考虑应对措施网络攻击的方式：〔1〕主动攻击：扫描、渗透、拒绝效劳等。〔2〕被动攻击：嗅探、钓鱼等。

攻击过程的一些术语：后门、0-day、提权。

4.1.2信息收集攻击的第一步

信息收集-攻击的第一步：获取攻击目标资料，网络信息，主机信息，应用部署信息，漏洞信息，其他任何有价值的信息，分析目标信息、寻找攻击途径，排除迷惑信息，可被利用的漏洞，利用工具。

4.2收集哪些信息

目标系统的信息系统相关资料：域名、网络拓扑、操作系统、应用软件、相关脆弱性、目标系统的组织相关资料、组织架构及关联组织、地理位置细节、号码、邮件等联系方式、近期重大事件、员工简历、其他可能令攻击者感兴趣的任何信息。

4.2.1信息收集的技术

〔1〕公开信息收集〔媒体、搜索引擎、广告等〕。〔2〕域名及IP信息收集〔whois、nslookup等〕。〔3〕网络结构探测〔Ping、tracert等〕。〔4〕系统及应用信息收集〔端口扫描、旗标、协议指纹等〕。〔5〕脆弱性信息收集〔nessus、sss等〕。

4.2.2域名信息收集

在维护企业信息平安的过程中需要搜集域名信息：〔1〕NSlookup域名解析查询。〔2〕Whois是一个规范效劳，可以用来查询域名是否被注册以及注册的详细资料Whois可以查询到的信息。〔3〕域名所有者。〔4〕域名及IP地址对应信息。〔5〕联系方式。〔6〕域名注册日期。〔7〕域名到期日期。〔8〕域名所使用的DNSServers。

4.3工具介绍

4.3.1检索工具

根底检索工具：〔1〕TFN2K。〔2〕Trinoo。

4.3.2电子欺骗的类型

〔1〕IP欺骗〔IPSpoof〕。〔2〕TCP会话劫持〔TCPHijack〕。〔3〕ARP欺骗〔ARPSpoof〕。〔4〕DNS欺骗〔DNSspoof〕。〔5〕路由欺骗〔ICMP重定向报文欺骗、RIP路由欺骗、源径路由欺骗〕。

4.3.3利用应用脚本开发的缺陷-SQL注入

SQL注入原理：SQL注入〔SQLInjection〕：程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在平安隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据或进行数据库操作。

4.3.4SQL注入防御

防御的对象：所有外部传入数据、用户的输入、提交的URL请求中、参数局部、从cookie中得到的数据、其他系统传入的数据。

防御的办法：

白名单：限制传递数据的格式。

黑名单：过滤特殊字串：upda