企业信息化管理与创新 课件 第9章 信息系统安全与控制

第9章

信息系统安全与控制1从热门安全事件谈起棱镜计划是一项由美国国家安全局自2007年起开始实施的绝密电子监听计划。凭借棱镜项目，直接进入互联网服务商的服务器，电子邮件、聊天记录、电话记录、视频、照片、存储数据、文件传输、搜索记录、视频会议、登录时间和网络社交等个人信息。为了破坏伊朗的核项目，美国国家安全局和以色列合作研制了震网蠕虫病毒，以入侵伊朗核设施网络，改变其数千台离心机的运行速度。从热门安全事件谈起机锋论坛被曝泄露2300万用户信息十大酒店泄露大量房客开房信息海康威视监控设备存严重漏洞，部门设备被境外IP控制微信等近350款苹果APP现Xcode恶意后门蔚来汽车发布的一份声明显示：12月11日，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元等额比特币(约合1570.5万元人民币)。思考信息为什么会有安全问题？信息面临哪些安全问题？我们应该建立怎样的安全防护体系？信息安全防护体系应当确立哪些原则？网络空间的安全威胁网络霸权网络恐怖主义网络谣言和网络政治动员网络欺凌网络攻击与网络犯罪信息系统中的脆弱点物理脆弱点软件系统脆弱点网络和通信协议脆弱点人的脆弱点

互联网给企业安全管理带来的挑战随着互联网和信息技术的发展，企业所使用的虚拟云和社交平台、仪器、移动设备均可供访问，这就创造了一个极其复杂的IT环境，可能导致的安全因素多，且更加复杂，难以防范。企业面临的安全风险不仅是商业机密泄露，还可能面临企业内部人力资源浪费，降低工作效率，网络中毒中断业务，甚至导致企业陷入法律风险。企业在安全方面削减10%的费用所需要付出的努力要远远超过其他任何领域削减10%。IT支撑下的业务模式转变网络通信的安全威胁9案例1：据报道，宁波某网吧连续遭到DDoS攻击，出现网吧带宽流量被占用、网络掉线等现象，导致网吧无法正常营业。经查，尹某利用“135抓鸡软件”在互联网上抓取大量“肉鸡”组成僵尸网络，并远程控制租用的服务器对目标进行攻击。案例2：乌云漏洞平台发布消息称，携程系统存技术漏洞，可导致用户个人信息、银行卡信息等泄露。漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码等，上述信息有可能被黑客所读取。案例3：都市白领刘小姐在淘宝某店看中了一款商品，与店家联系后对方称店内正举办活动，之后店家以修改价格为由给刘小姐发了一个链接。接下来令刘小姐没有想到的是，骗子发给她的其实是冒牌的钓鱼网站，让她白白损失了支付宝账户中的200元余额。实际案例信息系统安全管理需求希望存在一条或者多条互联网接入线路，并希望能统一监控和管理希望能实现企业内部员工实名制访问互联网希望避免互联网出口拥塞，保障关键业务的运行希望避免互联网恶意代码及木马的威胁，保障内网安全希望避免内部人员通过互联网的途径泄密，保护企业机密信息希望阻止内部人员通过互联网发表不良言论，保护企业形象希望避免员工因互联网娱乐导致工作效率低下希望加快运维人员定位故障的速度希望能对互联网上产生的风险实时预警，及时采取措施应对希望能对以往的互联网行为进行追溯，完整审计信息系统安全运营管理物理层环境事故造成设备故障或损毁

设备地震温度湿度地磁干扰灰尘设备缺乏安全防范硬件中的恶意代码旁路攻击设备在线面临的威胁环境安全电磁安全设备防盗安全芯片防火墙访问控制技术层过滤进出网络的数据管理进出访问网络的行为封堵某些禁止业务记录通过防火墙信息内容和活动对网络攻击检测和告警隐藏攻击源信息搜集掌握系统控制权实施攻击安装后门清除攻击痕迹数据层加密密钥和解密密钥是同一个密钥，这种加密技术称为“对称加密”。如果两个密钥不同，这种加密技术称为“非对称加密”。流程层人员层企业内部对URL进行分类，建立黑白名单，明确哪些网站可以访问，哪些不能访问，然后进行策略设置。通过技术手段实现网络应用功能的访问限制，网络上的应用程序很多，为了提高员工的工作效率，在工作时间段内，可以限制游戏、音视频等软件程序的使用。为了防止企业内部资料泄密，对员工的上网内容进行审计，审计范围包括使用聊天软件传递的信息，邮件发送的信息，社交网站发布的信息等。企业网络内的终端类型纷繁多样，终端使用者的角色也错综复杂，包括对PC、服务器、哑终端以及移动智能终端的终端准入控制。网络实时监测以保护公司资料，如禁止U盘拷贝、备份邮件和打印输出资料等等，记录上班炒股、看视频、网购、炒私单等等不良行为，精准控制个人网络带宽，控制抢占带宽资源，记录常用的聊天内容、QQ文件传输等。从制度上加以保障，建立企业信息系统安全管理条例、员工上网审核及申报制度以及员工上网行为绩效考核制度等，将员工的上网行为和切身利益挂钩，从而建立长效持续的员工上网行为安全管理机制。战略层信息系统中的责任与道德西安电子科技大学21岁的大学生魏则西因滑膜肉瘤病逝，他去世前在知乎网站撰写治疗经过时称，在百度上搜索出武警某医院的生物免疫疗法，随后在该医院治疗后致病情耽误，此后又通过在美同学了解到，该技术在美国已被淘汰。此事件在“五一”期间持续发酵，迅速登上微博热搜，引来各界关注。作为互联网的知名品牌，百度以搜索竞价排名为自己的核心业务。百度和其它互联网企业一样，本质上是一个中介，对接了下游的需求和上游的供应，但在这虚拟化的背后，也存在着很大的管理问题，很多平台运营商往往受利益的驱使，在社会责任和道德之间徘徊。信息系统中的责任与道德该事件发生后，百度发表了内部声明“今天我们作为一家优秀的企业，需要去背负国家、行业本该履行的监管责任，这是社会对我们的期待，因为能力越大，责任越大。”所有的企业更应该把之落实到行动中，从每一个员工教育开始，深入骨髓。思考：这些案例说明什么问题？据新闻报道，张家港的一个制药企业花了2年时间组织了20多个人的博士团队，研制了一种新药，但在新药上市短短2个月不到的时间里，竞争对手竟然推出了同样类型的产品，最后经公安机关调查发现，是企业内部员工在不经意间把研制的配方和图纸泄露。据英国《金融时报》报道，花旗集团（Citigro