发布时间:2023-10-09 18:03:34
绪论:一篇引人入胜的公司网站信息安全,需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文,供您参考和学习。
互联网信息安全脆弱不堪
CSDN数据泄露事件好像是一个导火索,让一直远离大众视野的信息安全成为热点。
来自国家互联网信息办的消息显示,网上热传的一系列泄密事件中,经查只有CSDN、天涯网站曾在2009年以前被入侵,数据遭泄露也发生在两年前,近期这两家网站并未遭受攻击。京东商城网站也遭入侵,但数据未泄露。而广东“YY”语音聊天网站泄露的数据,则为该公司员工利用职务之便从公司内部备份数据库窃取的,网站并未被入侵。至于工商银行等金融机构数据泄露事件则被证实是谣言,工行等银行系统并未被入侵,网上公布的所谓“数据”与银行相关数据不符。
备受网民关注的新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵。网上公布的上述网站部分账号密码系有人利用网络远程大规模猜测密码所破解,实施密码破解的人员身份目前已被锁定,公安机关正在实施抓捕。截至目前,公安机关此次已查处入侵、窃取、倒卖数据案件9起,编造并炒作信息泄露案件3起,刑事拘留4人,予以治安处罚8人。
瑞星昨日最新的《2011年度安全报告》也显露出信息安全形势的严峻。报告指,当前威胁国内互联网安全的因素主要是病毒和木马等恶意程序、钓鱼诈骗、黑客“拖库”攻击,这其中,黑客以取得的用户数据库为基础,利用“社会工程学”原理对用户进行全面的诈骗、密码猜解、身份伪造、病毒和挂马等攻击,这种新型攻击已经全面渗透到黑色产业的各个环节,显示出巨大的现实危害。有调查数据显示,单个受害用户的受损金额较往年增长较多,黑客通过MSN和QQ进行“老同学,帮我买几张充值卡”诈骗,利用团购进行“假iPhone诈骗”,利用搜索引擎广告来出售假冒伪劣商品等多种新型钓鱼诈骗方式,使得网民一旦中招,就会损失数千、甚至上万的金钱。
事实上,“泄密门”不仅发生在中国互联网上,针对大型网络服务商的“拖库”攻击已经席卷全球,即使强大如美、日、韩等国的互联网,进入2011年以来都面临着同类问题,单单在上半年,就有日本索尼公司、美国wordpress等网站遭攻击,损失惨重。
高速扩张下的隐忧
面对层出不穷的黑客攻击,互联网为何如此脆弱?许多业界专家都在对此进行反思。
量子在线CEO宁志翔长期在美国硅谷工作,其设在硅谷的实验室尤其重视信息安全,聘请的安全类工程师年薪超过20多万美元。在他看来,近十年以来,国内互联网企业只重视规模扩张,追求高速增长,对信息安全的投入很少甚至是没有。“在某种程度上,我可以说中国互联网存在一批豆腐渣工程,很多网站都是互相抄袭,只想着赚快钱,连基本的安全防护也没有。而且,有些网站使用盗版软件,无法及时更新,这些网站相当于是纸糊的房子,安全性根本无法保障。”
的确,在互联网业内,安全维护未受到重视。有调研数据显示,目前中国互联网公司的信息安全支出在整体IT支出中的比例不到1%,而对安全性要求比较高的金融行业为10%,欧美互联网公司的安全支出占比普遍为8%-10%。
瑞星安全专家称,“泄露门”最根本的原因是一些互联网企业没有建立完善的安全防护机制,不但对来自外网的威胁无法拦截,而且对内网安全防护也没有做到位。大部分电子商务网站仅部署传统的安全措施,如用系统和网络防火墙来防护传统的攻击,但对于新型针对应用层的入侵攻击,并没有采取相应的安全措施。
实际上,网站安全投入的数额并不太高。宁志翔透露,以一家中型网站为例,部署应有的安全防护措施每年只需投入十几万元到几十万元,这对于电子商务等已经融资正在“烧钱”发展的互联网企业而言,其实是很容易实现的。但令人失望的是,更多的企业关注的是扩张的速度而无视信息安全。
监管与立法双管齐下
2电子政务中安全问题的应对策略
2.1安全意识的培养
安全意识需要从基础开始培养的,因此对相关的基层人员进行相应的知识培训。一般的电子政务的是一个政府机构的官方网站,而且这些网站的后台都需要登录域名和密码,还有就是网站的信息等需要登录后台或者是需要用户名才可以,这些就存在入侵空间了,类似的还有很多,因此要对基层人员培养安全意识,最有用的方法就是向基层人员讲解那些方面存在安全隐患,并实时对这些基层进行抽查,避免他们进行危险操作。这些都是简单的从表面上解决问题,但这并不能根除所有的安全隐患,因此要提高安全性,还要从另外几个方向上解决根本的问题。
2.2规范操作方式
对安全意识的培养,只是在理论上对基层人员进行了一定程度上的培养,但是还需要在实际操作上进行培养。这主要包括安全浏览,安全登录,安全。安全浏览主要是指日常工作在网页上的安全使用,要求在使用前进行杀毒处理,检查是否开启防火墙,不要在非官网上填写登录名等;安全登录是指在安全的网络环境中登录账号,主要操作为先检查网络环境是否安全,在进行防火墙设置,最重要的是在登录账号之前进行病毒查杀,在进行相关的内容,或信息浏览等,在做完所有的事项之后退出账号。这非常重要的一步,有很多基层人员做好了所有的事,但是最后忘了退出了,就导致账号信息的泄露,这也是很常见的基础错误,还有一种就是很多人喜欢保存登录号密码,这会在别人用你的电脑时,可以很轻松的登录进入相关页面,并进行违法操作等。
2.3提高电子政务建设中的技术支持
很多时候不是电子政务的建设上的问题,而是后台的维护技术不足,再遇到病毒时,安全维护工具和防火墙技术不足,导致网站被病毒感染,使不法分子利用,从而获取民众的信息,这在一定程度上这也是地方政府的失误。在防火墙的技术方面的突破,是需要政府进行招聘的高技术人员,进行防火墙技术升级,网站优化等技术方面的改善。
2.4加强相关人员的保密工作
有的地方政府会把很简单把电子政务建设的工作简简单单的交给一个网络公司来完成,在这个过程中就会存在很多的问题。因为网站的第一设计者并不是政府人员,这个在一定程度上就存在很大的安全隐患,毕竟网站设计过程存在的bug只有网站设计者最为清楚,如果网站设计者将这个网站的设计脚本泄露了,那么就给了那些不法分子利用的机会,可以通过网站设计的源代码来找出设计上的bug,借此来来寻找机会攻击网站,严重的会导致所有的信息泄露。因此为了杜绝这些事项的发生,地方政府在建设网站时,可以将网站设计的任务交给网络设计公司,但是同时也要和他们签订相应的协议,一是为防止他们泄露网站设计思路和源代码,二是在防止他们私自登录网站的后台。还有就是利用政府的网络技术人员对网站进行修改,在一定程度上完善网站设计,减少bug,以减少信息泄露的风险。
信息化应急预案齐备,应急演练全面落实。5月31日之前,市局和各分局共制定奥运信息安全总体预案20个,机房、网络、网站、重要应用系统等专项预案78个。奥运会之前,市局及各区县分局都组织了信息安全应急演练,提升了全系统处置突发事件的能力。
严防死守,24小时值班。自7月20日起,市区两级信息化部门进入奥运实战状态,每日投入24小时值守人员超过40人。截至9月20日,累计值守超过2300人日,形成了一支7×24小时在岗值守的应急队伍,快速处理网络事故4次,突发事件3次。
加强巡检,保证设备设施运行状态良好。7月20日至9月20日,各级信息化部门完成机房巡检1900余次,完成重要设备设施巡检140余次,维修维护服务器设备21台次,维修维护PC机及打印机1973台次。
加大信息安全投入,信息安全整体水平全面提高。据不完全统计,今年以来,全系统在信息安全专项建设方面投入超过210万元,其中市局投入近120万元,全面加强了中心机房、IDC托管机房、核心网络、“北京工商”网站、防病毒和客户端设备安全防范水平。
经验
奥运期间信息安全保障的成功经验,主要体现在以下三个方面:
(一)立足全面,核心是健全和落实各项制度。虽然,这几年,在口令管理、数据管理、设备管理、网站安全等各方面先后制定了相应的制度。但是08北京奥运会给今年的信息安全保障工作提出了更高的要求,针对这一特殊情况,市局及时采取相应措施,健全和完善各项信息安全管理制度。一是下发了《北京市工商局关于加强信息安全保密工作的通知》,结合各分局实际情况进一步细化了相关制度要求。二是制定市局及各分局的奥运信息安全总体预案和专项预案。三是实行奥运期间24小时值守制度。
(二)突出重点,根本上控制风险。在信息风险控制上,提出了“重点先行,控制风险”的信息安全保障原则,将机房、网络、网站、重要应用系统(登记注册、食品安全、食品追溯、企业信用)列入重点保障范围,对市局中心机房和IDC托管机房进行了专项改造,提高其环境运行水平和网络保障能力。加强网络的安全监管。完成重要业务系统的安全定级、风险评估和整改加固。“七管其下”加强“北京工商”网站和“首都食品安全”网站的安全防护能力。在奥运前“北京工商”网站全面改版,网站安全具备坚实的底层环境。整合分局二级站点,纳入市局整体监控。部署多项主动安全防护产品。首次使用网页防篡改产品。后台登录集成CA电子证书认证。我们在后台集成了CA电子证书(USB Key)登录验证技术,给每个内容维护人员都配发一个硬件KEY,通过CA电子证书的硬件唯一性以及不可抵赖性,提高了信息安全,即使出现问题,也能够准确定位信息者。主动扫描网站漏洞并进行修补。在奥运期间,中心实行7x24小时值守制度,检查外网是否正常运行是值守的重要内容。同时还聘请第三方公司,由三名专人分三班,人工监控网站,每30分钟访问一次首页面和三十多个二级页面(包括整合后的分局页面)。如果发现无法访问或延迟访问或页面信息异常增减的情况,将立刻通过电话、短信和邮件的方式通知中心。
(三)注重细节,关键是严格程序,不留死角。信息安全工作是不允许有一丝马虎的。提高巡检频率,保证信息化设备始终处于良好的工作状态。加强信息安全演练,针对可能发生的信息安全事件进行反复推演,对每一个环节、细节进行测试,既验证了应急预案的可操作性,也提高了信息化队伍的实战水平。细化了对区县分局的业务指导。
启示
在全系统信息化部门的共同努力下,北京市的奥运信息安全保障工作圆满完成,实现了奥运和残奥期间零事故的目标。这得益于各项技术手段的实施,更得益于各项管理制度的落实。第一:“发展和安全并重”是搞好政府信息化建设的重要原则。对于现代化的首都工商来讲,计算机网络系统是生命线,保护工商业务和政务管理数据以及网络系统的正常运行,才能使工商行政管理工作得以持续不断地开展,因此信息和网络安全防范是信息化建设发展到一定阶段后的一个重要任务,要继续坚持“一手抓发展,一手抓安全”的电子政务建设思路。第二:加强信息安全预案和演练是做好信息安全工作的重要法宝。信息安全应急预案和演练制度要根据实际情况不断调整,实现常态化,作到更细、更实、更具操作性。第三:“大安全”是解决网络安全问题的根本手段。网络和信息安全涉及方方面面。不仅有技术因素,还包含管理因素;不仅包括硬件安全,还涉及软件安全;不仅要做好单一系统的安全,更重要的是实现整体安全。建设“大安全”,就是统一筹划全系统网络安全架构,建立包含网络物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全在内的整体安全体系。第四:引进外智,是提高信息安全水平的重要措施。这次奥运信息安全保障,通过与专业信息安全公司的合作,及时发现问题,弥补漏洞,极大地提高了工商系统信息安全防范和处置能力。今后,将继续探索这一方式,建立信息安全战略合作机制,引入专业信息安全机构通过咨询、建议、规划和方案实施等多种方式为工商系统信息安全工作提供长期、完整、全面、高效的技术和智力资源支持,在等级保护安全评估、安全加固、人才培养和日常维护等方面进行合作。
