本站小編為你精心準備了企業信息系統安全風險分析參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

［摘要］

近年來，隨著信息技術的不斷發展和廣泛應用，信息系統已經成為人類社會中各個領域必不可少的基礎設施，極大推動了人類社會的發展。但同時，隨著信息技術的深入應用，也帶來了新的威脅和挑戰。本文在調研信息系統建設現狀的基礎上，總結了面臨的信息安全風險，并針對這些風險提出了完善信息安全防護體系的加固措施及建議，能夠為信息安全防護體系建設提供有效借鑒。

［關鍵詞］

信息安全;安全風險;信息安全防護體系

隨著信息技術的不斷發展、應用，極大的推動了人類社會的發展和進步，借助于信息技術人類步入了一個嶄新的信息時代。信息系統已成為社會各個領域不可或缺、賴以生存的基礎設施，信息已成為重要資源，信息化水平已成為衡量一個國家、一個企業現代化程度和綜合實力的重要標志之一。然而，信息化技術在不斷支撐、豐富國家、企業各項業務有效開展的同時，也為各行各業的發展帶來了新的威脅和挑戰。國家的信息安全已成為國家安全最核心的要素之一。在信息時代，信息系統的不安全，也就談不上國家的整體安全，并會引發其他一系列問題的產生，使整個國家建設陷入被動。2014年2月27日，中共中央總書記、國家主席、中央軍委主席、中央網絡安全和信息化領導小組組長主持召開中央網絡安全和信息化領導小組第一次會議并發表重要講話，標志著中央網絡安全和信息化領導小組的成立。強調，網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題，要從國際國內大勢出發，總體布局，統籌各方，創新發展，努力把我國建設成為網絡強國。他指出，沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。在會上還強調，網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施。

1企業信息系統安全防護現狀

信息系統的建設已成為衡量各行各業發展的重要指標，其中不乏金融機構、高新技術產業、制造生產等行業領域。部分特殊的企業由于敏感性，對國家而言極其重要，當其安全性受到破壞后，將嚴重影響社會秩序、公眾利益甚至國家的安全和穩定。因此，對于這些企業而言，信息安全除了強調保證信息的保密性、完整性、可用性之外，同時強調可靠性、可控性、不可抵賴性，總而言之，信息安全就是要保證信息系統及信息網絡中的信息資源不因自然或人為的因素而遭到破壞、更改、泄露、竊取和非法使用。2003年9月7日，中辦和國辦聯合下發《關于加強信息安全保障工作的意見》(中辦發［2003］27號，以下簡稱27號文件)。該文件是我國信息安全保障工作的基礎性文件，作為國家信息安全保障工作的總體指導，奠定了我國信息安全保障體系的構建方向。該文件是我國信息安全歷史上最重要的、具有轉折的文件之一，確立了信息安全的重要位置，開始從國家的層面上關注、重視信息安全問題。該文件明確了對重要信息系統實行等級保護制度，對涉及國家秘密的信息系統實行分級保護制度。

不論是等級保護或者分級保護，中心思想是按照被保護對象的防護需求和等級，采取相應的措施來構建相應等級的信息安全保障體系。隨著27號文件的貫徹執行，經過多年的建設，大部分企業都初步建成了涵蓋物理與網絡安全、應用系統及數據安全以及安全保密管理等層面的信息安全體系，部署建設了防火墻、入侵檢測、漏洞掃描、計算機防病毒、主機監控與審計、補丁管理、身份認證等安全產品，一些條件較好的企業還建設了存儲備份系統和異地備份環境，進一步加強了對數據資產的安全防護。通過以上建設措施，實現了一定的防護目標，基本保證了業務發展的信息安全需求。

但就信息系統的組成而言，主要包括以下要素:1)硬件設備:包括服務器、終端計算機、網絡設備、工控機、存儲設備等。2)軟件系統:包括操作系統、應用系統、數據庫、中間件、軟件工具(通用軟件、專業軟件)等。3)安全防護設備:包括防火墻、入侵檢測系統、補丁分發系統、計算機防病毒系統、主機監控與審計系統、網絡接入控制、漏洞掃描系統、身份認證系統、打印監控與審計系統、刻盤監控與審計系統、安全NAS、堡壘機、WEB應用網關、數據庫漏洞掃描系統、WEB應用漏洞掃描系統等。4)數據資產:數據資產是信息系統的重點防護對象，其主要存儲于數據庫、應用系統、服務器、終端計算機、安全產品、存儲設備等。5)人員:包括使用人員和運維管理人員。

2信息系統的防護難點及存在的主要問題分析

2．1信息系統的防護難點近些年，借助于等級保護和分級保護工作的推力，各個企業的信息系統在物理安全、運行安全、安全保密管理等方面取得了一定的成效，具備了一定的防護能力，但是，隨著信息技術的飛速發展和廣泛應用，信息安全防護難點更加突顯出來，主要體現在以下幾個方面:(1)高度脆弱性和風險性現如今，信息系統的應用需求在不斷增加，涉及各個業務領域，網絡規模不斷增長，信息系統體系結構更加復雜。但是，由于信息安全的木桶效應，再加上難以控制的技術漏洞和管理不當，必然會導致不可避免的安全攻擊和災難，也就造成信息系統存在高度的脆弱性和風險性。(2)攻擊源的多樣性和防范對象的不確定性傳統的國家安全中，有能力對國家的軍事和政治安全構成威脅的主要是國家的敵對國家和敵對組織，當一個國家受到了攻擊，也能很快確定攻擊是由誰發動的，進而采取有針對性地措施。但是，隨著信息化的不斷推進，信息系統規模不斷擴大，組成信息系統的各類硬件、軟件、系統，以及各類人員都有可能成為威脅主體，軟硬件的后門、漏洞、缺陷，包括對人員的誘惑都是攻擊信息系統的常用手段。正是由于攻擊源的多樣性和防范對象的不確定性也就造成了企業信息系統的信息安全保障防不慎防。

2．2存在的主要問題分析信息系統隨著等級保護和分級保護工作的不斷開展，初步具備了防止內部人員過失泄密的防護效果，但是信息系統在防止外部非法入侵和內部主動竊密等方面仍面臨著嚴峻的局面。具體體現在以下幾個方面:(1)終端、服務器層面1)計算機基本安全保密配置不到位或管理不到位，導致用戶可以私自更改BIOS啟動順序，造成用戶終端的所有安全防護產品功能失效，進而竊取用戶終端所有的文件資料、植入病毒或者木馬。2)安全產品配置不當，不能起到預期的防護效果，誤報、漏報情況多見;安全產品之間、安全產品與應用軟件之間兼容性存在問題，多數情況下為了保障業務應用的正常開展，只能放棄安全技術防護措施，僅僅借助于管理手段進行管理，然而實際過程中是否嚴格管理、是否有效監督不好衡量。3)服務器的防護、監控措施不足，大部分服務器僅僅安裝了病毒防護軟件，且大量服務器均存在刻錄光驅，且安裝有刻錄軟件，對服務器的輸入輸出沒有監控審計技術手段。4)操作系統基本上都是用國外，服務器大部分為WindowsServer2003(已停止升級服務)、WindowsServer2008，用戶終端操作系統WindowsXP(已停止升級服務)，據了解，自WindowsXP、WindowsServer2003停止補丁升級以來，國內外已囤積大量的0day工具，一旦0day漏洞被利用，后果不堪設想。(2)網絡層面1)網絡設備安全配置不當，開啟多余服務、端口，存在被非授權訪問的隱患。2)未采取接入控制措施對接入設備進行一一綁定，造成存在設備非法接入的風險。3)未對設備、用戶進行分域分級，未按照“最小化”原則采取嚴格的訪問控制措施，導致網絡拓撲混亂，重要資產(服務器、防火墻、核心交換機等)存在被非授權訪問的安全隱患。(3)硬件設備層面所使用的大量硬件資產(服務器、交換機、工控設備等)采用國外進口，不了解底層硬件的工作機制，是否存在隱通道至今沒有檢測驗證手段。國家層面缺少對該類設備的檢測方法，存在諸如后門、系統缺陷的安全隱患，如惠普某型號服務器、三星某打印機已經被證實存在后門;另外，由于某些特殊的工作只能使用國外進口的專用設備，對其只能依靠廠商的專業維修團隊來進行維修，也就造成在維修過程中存在被植入惡意程序或竊取數據的風險。(4)應用層面1)應用系統存在身份認證缺陷，如管理員弱口令、或者僅使用用戶名、身份證號等簡單信息作為身份認證的憑證，攻擊者可以利用這些漏洞進行水平或者垂直提權，進而盜取數據、獲得管理員權限，對系統實施非授權管理和控制。2)現有應用系統的開發重點關注業務需求的實現方面，很少考慮代碼安全性，如SQL注入、跨站腳本攻擊、文件上傳等簡單易用的高風險漏洞，導致在系統上線之后，輕易被攻擊，獲取權限、拖庫，淪為攻擊跳板。另外，在用的一些應用系統仍有部分使用開源代碼，攻擊者通過研究開源代碼，就能輕松對系統實施攻擊。為防止WEB應用的漏洞被利用，有些企業也采取了一些措施，比如實施WEB防火墻，但是，這種方法治標不治本，僅僅能防范一些低級攻擊者。3)自2014年4月爆出的OpenSSL心臟流血漏洞［1］來看，目前所有使用的網絡協議還有多少存在重大安全問題，都是未知數。4)目前大部分應用均配合使用了中間件，如Tomcat、Weblog-ic、普元等，中間件已經成為攻擊者的重點攻擊對象，中間件不可避免的不停升級，但是，大部分企業使用的應用系統基本都是一次性交付，很少及時為中間件升級;另外，在實際應用中仍然存在使用默認用戶名口令的情況，為攻擊提供了極大的便利。(5)數據層面在數據資源方面，目前，大部分數據仍以明文的形式、或者簡單的格式變換存儲于服務器、數據庫、用戶終端，服務器的運維人員能夠非授權訪問到業務數據。(6)安全審計層面1)雖然部署了一些安全產品，如殺毒軟件、IDS、防火墻等，每一類產品僅能針對某一類安全問題較為有效，對于信息系統的審計目前過于松散、獨立，沒有關聯性，不成體系，同時由于各類系統日志信息的不完整、誤報、漏報，造成審計的實際作用未充分體現。2)雖然部分單位部署了安全管理平臺類收集日志的系統，但存在日志收集不全面，智能分析能力弱，缺乏針對全局的整體安全形勢監控手段，難以實現多信息系統的綜合監控及安全事件及態勢分析。

2．3攻擊技術的主要特點近年來，網絡安全攻擊事件逐年增加，針對特定目標的各類攻擊的精確性及針對性大大提高，目標對象范圍不斷擴大，從傳統的互聯網領域逐漸蔓延至涵蓋了各類信息基礎實施、通信鏈路的網絡電磁空間領域，涉及到經濟、工業、政府部門、國防軍工、民用領域的各類網絡基礎設施。目前最流行、最大威脅的攻擊就是APT攻擊［2］。APT攻擊:APT(AdvancedPersistentThreat高級持續性威脅)，此類攻擊的特點包括:(1)針對性強，目的明確1)重點針對具有大量有價值信息的特定組織機構，如:政府、軍事機構、軍工企業等;2)主要以竊取信息為主要目的，如:國家秘密、軍事情報、政府文件等;(2)準備充分，攻擊持續時間長1)利用幾個月甚至更長的時間收集目標信息，分析目標系統漏洞，有針對性的設計開發漏洞利用工具;2)一旦攻擊成功，將長時間潛伏在目標系統中，竊取關鍵信息;(3)影響廣泛由于信息系統復雜的依賴關系，且此類攻擊一般針對重要的組織機構，一旦攻擊成功將波及其他信息系統安全。APT攻擊的典型代表有“震網”病毒、“火焰”病毒以及“高斯”病毒等。

3信息系統的安全加固建議

基于信息系統存在的脆弱性以及面臨的安全風險，應從以下幾個方面進行加固和改進。

(1)采取措施加強對數據資源全生命周期的安全性、可控性、可用性防護。重點針對數據資源安全，圍繞存儲安全、標識安全、安全訪問、備份安全開展數據資源安全防護體系建設。存儲安全:采取加密技術，從數據資產產生之初就保障其安全性;標識安全:采取標識技術，對信息進行標識，經流程審定后，標識與信息主體在其整個生命周期內不可分離，不可隨意篡改。安全訪問:采取強制訪問控制措施，嚴格限制數據資產的訪問主體和訪問權限，如只讀、打印、編輯、再授權等細粒度權限控制。

(2)加強應用系統全生命的信息安全約束。重點針對應用安全，加強對應用系統在需求調研、系統設計、系統開發、系統測試、系統試運行、系統驗收、系統運維等全生命周期過程中的安全保障。同時，應定期對應用系統開展滲透測試，有條件的建議開展軟件源代碼安全性分析，不斷查找漏洞，不斷提升應用系統的安全性，同時，將已發現的問題進行整理、分析、總結，形成應用系統的開發管理規范，指導后續應用系統安全建設。

(3)建立綜合安全事件分析統計平臺，形成統一安全監控能力。針對各類安全產品的孤島現象，結合現有的安全產品的告警日志、應用系統的審計日志，建立異常事件審計模型，建設綜合安全事件分析統計平臺，對安全事件進行關聯審計分析、實時報警，并展示出安全事件的發展路線圖和影響范圍。

(4)開展核心信息資產的梳理，提升應急與災備能力。對信息資產按重要性進行分類梳理，開展應急災備能力建設，定期開展應急恢復演練，確保備份的有效性和恢復的及時性。

(5)深入開展信息系統精細化管理，加強信息安全專項檢查，切實提高信息系統運維管理能力。制定信息系統日常管理操作的詳細規范，明確定義日常管理具體工作流程和操作步驟，使信息系統日常運行管理制度化、規范化、流程化和信息化，閉環管理所有信息安全和運維事件，杜絕低層次信息安全問題的出現，同時，進一步加強信息安全專項檢查，提升信息系統安全運維能力。

(6)借助于攻擊技術，不斷完善信息安全防護體系。矛與盾、攻與防永遠都是相對存在的，要驗證盾的有效性就要用矛去不斷的攻，信息安全同樣。因此有必要培養、成立一支團隊，學習、掌握、熟練攻的技術，并不斷的實戰驗證，站在攻擊者的角度去思考防的方法，信息系統的安全防護體系只有經歷不斷的攻防迭代過程，其防護效能才能有實質的提升。

(7)逐步開展國產自主化產品應用，提升自主可控能力。以試點的形式逐步開展國產自主化網絡設備、硬件設備、操作系統、安全設備和各類應用系統的實際應用，逐步替代現有的國外產品，探索自主信息安全保障體系，提升信息系統的自主可控能力。

4結語

隨著國家、企業對信息安全保障工作的不斷重視，經過多年的信息安全體系建設，企業已經具備了一定的安全防范能力，但是現有的信息安全防護體系仍處于、并將長期處于如履薄冰的狀態。從近些年持續不斷爆出的各類安全事件(如OpenSSL協議漏洞、ApacheStruts2漏洞、USB固件漏洞等)來看，現在廣泛使用的、所謂安全的基礎信息技術都可能存在著深層次的、隱蔽的漏洞，因此，對于企業發展、國家安全來說如何在現有的條件下，構建一個完整、有效、可靠的信息安全保障體系顯得極其重要。

參考文獻:

［1］戚小光，許玉敏，韓菲等．"心臟出血"漏洞的危害、應對及影響［J］．信息安全與通信保密，2014(05):60－62．

［2］牛偉，戴衛國．APT攻擊建模與安全防護技術研究［J］．電子對抗，2014(02):34－38。

作者：石兆軍 武越 李可 劉向東 李楠 單位：中國航天科工集團第二研究院706所