信息系統中的脆弱點:
物理脆弱點:計算機系統物理方面的安全問題主要表現在物理可存取、電磁泄露等方面。此外,物理安全問題還包括設備的環境安全、位置安全、限制物理訪問、物理環境安全和地域因素等。例如機房安排的設備數量超過了空調的承載能力,移動存儲器小巧易攜帶、即插即用、容量大等特性實際上也是這類設備的脆弱性。本書將在第2章進一步討論物理脆弱點及對策。
軟件系統脆弱點:計算機軟件可分為操作系統軟件、應用平臺軟件(如數據庫管理系統)和應用業務軟件3類,以層次結構構成軟件體系。操作系統軟件處于基礎層,它維系著系統硬件組件協調運行的平臺,因此操作系統軟件的任何風險都可能直接危及、轉移或傳遞到應用平臺軟件。
網絡和通信協議脆弱點:人們在享受因特網技術給全球信息共享帶來的方便性和靈活性的同時必須認識到,基于TCP/IP協議棧的因特網及其通信協議存在很多的安全問題。TCP/IP協議棧在設計時,只考慮了互聯、互通和資源共享的問題,并未考慮也無法同時解決來自網絡的大量安全問題。
人的脆弱點:人是信息活動的主體,人的因素其實是影響信息安全問題的最主要因素。
信息系統中的脆弱點的防護措施如下:
區域規劃:在局域網絡內,對不同的信息進行區域規劃,執行嚴格的授權訪問機制。將擁有不同安全訪問權限的用戶劃分至不同的VLAN,并在Trunk端口限制授權訪問的VLAN,將一些敏感信息與其他子網絡相隔離。
集中保存在文件服務器:將所有敏感信息都集中保存在網絡內的文件服務器中,既可以有效保證敏感信息的存儲安全,又可以保證在共享文件的同時,嚴格控制其訪問權限。需要注意的是,應杜絕將敏感信息保存在個人計算機上。
制定嚴格的文件訪問權限:敏感文件必須存儲在NTFS系統分區,并且為不同用戶或用戶組設置嚴格的NTFS文件權限、NTFS文件夾權限和共享文件權限。
安裝RMS服務:嚴格限制對敏感文件的操作。權限管理服務作為組織內的權限策略管理系統提供一個平臺,是在組織中搭建權限管理系統的重要組成部分。
其他基于交換機和路由器的安全措施:采用IEEE 802.1x身份認證、IP地址與MAC地址綁定、安全端口、IP或MAC地址訪問列表等技術,限制用戶登錄到網絡,或者限制其對敏感區域的訪問。
安裝殺毒軟件:計算機病毒有以下五種特征:寄生性、傳染性、破壞性、可觸發性、可潛伏性。根據計算機病毒的特征,人們摸索出了許多檢測計算機病毒和殺毒的軟件。國內的有瑞星、KV3000、金山毒霸、360 殺毒軟件等,國外的有諾頓、卡巴斯基等。但是,沒有哪種殺毒軟件是萬能的,所以當本機的殺毒軟件無法找到病毒時,用戶可以到網上下載一些專殺工具,如木馬專殺工具、蠕蟲專殺工具或宏病毒專殺工具等。值得注意的是,安裝了殺毒軟件后,我們還必須每周至少更新一次殺毒軟件病毒庫,因為防病毒軟件只有最新才是最有效的。每周還要對電腦硬盤進行一次全面的掃描、殺毒,以便及時發現并清除隱藏在系統中的病毒。當不慎感染上病毒時,應立即將殺毒軟件升級到最新版本,然后對整個硬盤進行掃描,清除一切可以查殺的病毒。當受到網絡攻擊時,我們的第一反應就是拔掉網絡連接端口以斷開網絡。
安裝網絡防火墻:所謂 “防火墻” 是指一種將內部網和公眾訪問網分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你 “同意” 的人和數據進入你的網絡,同時將你 “不同意” 的人和數據拒之門外,最大限度地阻止網絡中的黑客訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。常見的個人網絡防火墻有天網防火墻、瑞星防火墻和 360 安全衛士等。
數據加密:數據加密作為一項基本技術是所有通信安全的基石。數據加密過程是由形形色色的加密算法來具體實施的,它以很小的代價來提供很大的安全保護。在多數情況下,數據加密是保證信息機密性的惟一方法。一般把受保護的原始信息稱為明文,編碼后的稱為密文。數據加密的基本過程包括對明文進行翻譯,譯成密文或密碼的代碼形式。該過程的逆過程為解密,即將該加密的編碼信息轉化為原來的形式的過程。機密資料被加密后,無論是被人通過復制數據、還是采用網絡傳送的方式竊取過去,只要對方不知道你的加密算法,該機密資料就成了毫無意義的亂碼一堆。常見的加密軟件有 SecWall、明朝萬達、完美數據加密大師等。
警惕 “網絡釣魚”:“網絡釣魚” 是通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息的一種攻擊方式。黑客就是利用這種欺騙性的電子郵件和偽造的 web 站點來進行網絡詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內容。黑客通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。對此,用戶應該提高警惕,不登錄不熟悉的網站,鍵入網站地址時要認真校對,以防輸入錯誤誤入圈套。
回答所涉及的環境:聯想天逸510S、Windows 10。
信息系統中的脆弱點:
物理脆弱點:計算機系統物理方面的安全問題主要表現在物理可存取、電磁泄露等方面。此外,物理安全問題還包括設備的環境安全、位置安全、限制物理訪問、物理環境安全和地域因素等。例如機房安排的設備數量超過了空調的承載能力,移動存儲器小巧易攜帶、即插即用、容量大等特性實際上也是這類設備的脆弱性。本書將在第2章進一步討論物理脆弱點及對策。
軟件系統脆弱點:計算機軟件可分為操作系統軟件、應用平臺軟件(如數據庫管理系統)和應用業務軟件3類,以層次結構構成軟件體系。操作系統軟件處于基礎層,它維系著系統硬件組件協調運行的平臺,因此操作系統軟件的任何風險都可能直接危及、轉移或傳遞到應用平臺軟件。
網絡和通信協議脆弱點:人們在享受因特網技術給全球信息共享帶來的方便性和靈活性的同時必須認識到,基于TCP/IP協議棧的因特網及其通信協議存在很多的安全問題。TCP/IP協議棧在設計時,只考慮了互聯、互通和資源共享的問題,并未考慮也無法同時解決來自網絡的大量安全問題。
人的脆弱點:人是信息活動的主體,人的因素其實是影響信息安全問題的最主要因素。
信息系統中的脆弱點的防護措施如下:
區域規劃:在局域網絡內,對不同的信息進行區域規劃,執行嚴格的授權訪問機制。將擁有不同安全訪問權限的用戶劃分至不同的VLAN,并在Trunk端口限制授權訪問的VLAN,將一些敏感信息與其他子網絡相隔離。
集中保存在文件服務器:將所有敏感信息都集中保存在網絡內的文件服務器中,既可以有效保證敏感信息的存儲安全,又可以保證在共享文件的同時,嚴格控制其訪問權限。需要注意的是,應杜絕將敏感信息保存在個人計算機上。
制定嚴格的文件訪問權限:敏感文件必須存儲在NTFS系統分區,并且為不同用戶或用戶組設置嚴格的NTFS文件權限、NTFS文件夾權限和共享文件權限。
安裝RMS服務:嚴格限制對敏感文件的操作。權限管理服務作為組織內的權限策略管理系統提供一個平臺,是在組織中搭建權限管理系統的重要組成部分。
其他基于交換機和路由器的安全措施:采用IEEE 802.1x身份認證、IP地址與MAC地址綁定、安全端口、IP或MAC地址訪問列表等技術,限制用戶登錄到網絡,或者限制其對敏感區域的訪問。
安裝殺毒軟件:計算機病毒有以下五種特征:寄生性、傳染性、破壞性、可觸發性、可潛伏性。根據計算機病毒的特征,人們摸索出了許多檢測計算機病毒和殺毒的軟件。國內的有瑞星、KV3000、金山毒霸、360 殺毒軟件等,國外的有諾頓、卡巴斯基等。但是,沒有哪種殺毒軟件是萬能的,所以當本機的殺毒軟件無法找到病毒時,用戶可以到網上下載一些專殺工具,如木馬專殺工具、蠕蟲專殺工具或宏病毒專殺工具等。值得注意的是,安裝了殺毒軟件后,我們還必須每周至少更新一次殺毒軟件病毒庫,因為防病毒軟件只有最新才是最有效的。每周還要對電腦硬盤進行一次全面的掃描、殺毒,以便及時發現并清除隱藏在系統中的病毒。當不慎感染上病毒時,應立即將殺毒軟件升級到最新版本,然后對整個硬盤進行掃描,清除一切可以查殺的病毒。當受到網絡攻擊時,我們的第一反應就是拔掉網絡連接端口以斷開網絡。
安裝網絡防火墻:所謂 “防火墻” 是指一種將內部網和公眾訪問網分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你 “同意” 的人和數據進入你的網絡,同時將你 “不同意” 的人和數據拒之門外,最大限度地阻止網絡中的黑客訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。常見的個人網絡防火墻有天網防火墻、瑞星防火墻和 360 安全衛士等。
數據加密:數據加密作為一項基本技術是所有通信安全的基石。數據加密過程是由形形色色的加密算法來具體實施的,它以很小的代價來提供很大的安全保護。在多數情況下,數據加密是保證信息機密性的惟一方法。一般把受保護的原始信息稱為明文,編碼后的稱為密文。數據加密的基本過程包括對明文進行翻譯,譯成密文或密碼的代碼形式。該過程的逆過程為解密,即將該加密的編碼信息轉化為原來的形式的過程。機密資料被加密后,無論是被人通過復制數據、還是采用網絡傳送的方式竊取過去,只要對方不知道你的加密算法,該機密資料就成了毫無意義的亂碼一堆。常見的加密軟件有 SecWall、明朝萬達、完美數據加密大師等。
警惕 “網絡釣魚”:“網絡釣魚” 是通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息的一種攻擊方式。黑客就是利用這種欺騙性的電子郵件和偽造的 web 站點來進行網絡詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內容。黑客通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。對此,用戶應該提高警惕,不登錄不熟悉的網站,鍵入網站地址時要認真校對,以防輸入錯誤誤入圈套。
回答所涉及的環境:聯想天逸510S、Windows 10。