管理信息系统中的安全问题分析(二)

销售价格:

论文基本观点：信息系统安全性的提高必须考虑技术、管理和制度等多种因素，全方位地、综合解决系统安全问题，建立企业的信息系统安全保障体系。

论文主要内容结构：

一、管理信息系统安全现状及分析

信息产业是现今最大最重要的产业，是国家经济命脉和国家安全的基础性和战略性产业。2013年“棱镜门”事件的曝光在世界范围掀起了轩然大波，它不仅仅揭露了国家间的信息入侵战，更重要的也折射出国内各行各业的安全问题，各业务系统及机密数据保护隐忧。

（一）管理信息系统安全现状

经过多年的积累，大多数企事业单位都初步建成了信息安全防护体系，涵盖物理与网络安全、应用系统及数据安全以及安全保密管理等层面等，部署建设了防火墙、计算机防病毒、补丁管理等安全产品，像BAT这样的一些大型互联网企业还建设了存储备份系统和异地备份环境，进一步加强了对数据资产的安全防护。通过以上措施，实现了一定的防护目的，基本保证了业务发展的信息安全需求。

（二）主要安全问题

虽然具备了初步安全防护能力，但是信息系统在防止外部非法入侵和内部主动窃密等方面仍面临着严峻的局面。具体体现在以下几个方面：

1.服务器层面

1)服务器的防护、监控措施不足，大部分服务器仅仅安装了病毒防护软件。

2)操作系统基本上都是国外产品，像WindowsXP、WindowsServer2003停止补丁升级以来，国内外已有大量的0day工具，存在很大安全隐患。

2．网络层面

1)网络设备安全配置不当，开启多余服务、端口，存在被非授权访问的隐患。

2)未采取接入控制措施对接入设备进行绑定，存在设备非法接入的风险。

3．应用层面

1)应用系统存在身份认证缺陷，如管理员弱口令、或者仅使用用户名、身份证号等简单信息作为身份认证的凭证，攻击者可以利用这些漏洞进行水平或者垂直提权，进而盗取数据、获得管理员权限，对系统实施非授权管理和控制。

2)现有应用系统的开发重点关注业务需求，代码安全性需求考虑较少，存在SQL注入、跨站脚本攻击、文件上传等简单易用的高风险漏洞。

3)目前大部分应用系统均配合使用中间件，如Tomcat、Weblogic等，中间件版本更替较快，但企业应用系统基本都是一次性交付，很少及时为中间件升级；中间件使用默认用户名口令，为攻击提供了极大的便利。