我們的身邊的信息安全關(guān)鍵詞:網(wǎng)絡(luò)安全 |
每個企業(yè)都需要信息安全管理。搞信息安全管理如果不懂iso27001認(rèn)證,就像你是魚卻不會游泳!
為什么我們需要信息安全管理?
什么是信息安全管理?
我們需要什么樣的信息安全管理?
我們的身邊的信息安全關(guān)鍵詞:網(wǎng)絡(luò)安全。我們面臨什么樣的威脅?計算機病毒、僵尸網(wǎng)絡(luò)、木馬、蠕蟲、本身系統(tǒng)的漏洞、火災(zāi)、地震等都在不斷威脅著我們。電子郵件安全、內(nèi)網(wǎng)安全、數(shù)據(jù)庫安全逐漸成為我們?nèi)找骊P(guān)心的問題了。
當(dāng)今社會是一個高科技的信息化社會,信息的傳播方式在不斷的改進(jìn),由人工傳遞到有線網(wǎng)絡(luò)的傳遞,由有線網(wǎng)絡(luò)到無線網(wǎng)絡(luò)的傳遞,隨著網(wǎng)絡(luò)日益成為各行各業(yè)快速發(fā)展的必要手段和工具,網(wǎng)絡(luò)的安全重要性是毋庸置疑的。
隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,信息安全問題日益突出。所謂信息安全,逐漸成為一個綜合性的多層面的問題,所謂信息安全,是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識、控制。計算機網(wǎng)絡(luò)信息安全主要面臨兩類威脅,一類是計算機信息泄漏,另一類是數(shù)據(jù)破壞。由于計算機系統(tǒng)脆弱的安全性,只要用計算機來處理、存儲和傳輸數(shù)據(jù)就會存在安全隱患。近年來,隨著計算機網(wǎng)絡(luò)信息泄漏和信息破壞事件不斷上長的趨勢,計算機信息安全問題已經(jīng)從單一的技術(shù)問題,演變成突出的社會問題。
目前,計算機網(wǎng)絡(luò)信息技術(shù)安全所面臨的問題有以下四種:
1、病毒入侵。實際上病毒是一種破壞計算機的一種程序。在開放的網(wǎng)絡(luò)中,計算機網(wǎng)絡(luò)病毒就會很容易入侵。計算機病毒入侵有很多方式,例如通過電子郵件、附件的形式。有的時候用戶沒有注意到這些電子郵件,無意間下載了郵件,病毒就會進(jìn)入到計算機系統(tǒng)之中。當(dāng)一臺計算機中了病毒后,網(wǎng)內(nèi)的計算機會都會被感染,因此說病毒有著非常驚人的傳播速度,這無疑會帶來很大的經(jīng)濟(jì)損失。著名的計算機網(wǎng)絡(luò)病毒有巴基斯坦病毒、CIH病毒、“梅莉莎”病毒、熊貓燒香病毒、QQ尾巴病毒。
2、網(wǎng)絡(luò)入侵。網(wǎng)絡(luò)入侵是指計算機網(wǎng)絡(luò)被黑客或者其他對計算機網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行非授權(quán)訪問的人員,采用各種非法手段侵入的行為。他們往往會對計算機信息系統(tǒng)進(jìn)行攻擊,并對系統(tǒng)中的信息進(jìn)行竊取、篡改、刪除,甚至使系統(tǒng)部分或者全部崩潰。在網(wǎng)絡(luò)不穩(wěn)定時,黑客開始利用高水平的計算機和技術(shù)進(jìn)行這種間諜活動。通常情況下,他們來對各種組織機構(gòu)(包括政府、銀行、公司的等)的內(nèi)部信息進(jìn)行非法盜取,進(jìn)而獲利。網(wǎng)絡(luò)入侵方式有口令入侵、特洛伊木馬術(shù)、監(jiān)聽法以及隱藏技術(shù)等。很多年以來,黑客的活動都很頻繁,主要是攻擊信息網(wǎng)絡(luò),對政府網(wǎng)站進(jìn)行攻擊,對銀行等金融機構(gòu)進(jìn)行攻擊,這就造成了國家安全利益收到威脅,給人民群眾的財產(chǎn)帶來了損失。網(wǎng)絡(luò)信息安全由于黑客的存在,遭到了嚴(yán)重的威脅。
3、后門。后門是指在計算機網(wǎng)絡(luò)信息系統(tǒng)中人為的設(shè)定一些“陷阱”,從而繞過信息安全監(jiān)管而獲取對程序或系統(tǒng)訪問權(quán)限,以達(dá)到干擾和破壞計算機信息系統(tǒng)的正常運行的目的。后門一般可分為硬件后門和軟件后門兩種。硬件后門主要指蓄意更改集成電路芯片的內(nèi)部設(shè)計和使用規(guī)程的“芯片搗鬼”,以達(dá)到破壞計算機網(wǎng)絡(luò)信息系統(tǒng)的目的。軟件后門主要是指程序員按特定的條件設(shè)計的,并蓄意留在軟件內(nèi)部的特定源代碼。
4、人為失誤。為了保護(hù)好網(wǎng)絡(luò),互聯(lián)網(wǎng)本身就設(shè)置了很多安全保護(hù),但這些防護(hù)由于人們淡薄的安全意識沒有起到有效的作用,安全漏洞時有出現(xiàn),這就容易造成網(wǎng)絡(luò)攻擊。計算機用戶都擁有各自不同的網(wǎng)絡(luò)使用權(quán)限,由于用戶安全意識不強經(jīng)常會給不法分子可乘之機,在用戶將密碼泄露或密碼設(shè)置過于簡單的情況下,非法用戶很容易侵入網(wǎng)絡(luò)系統(tǒng),對網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)信息進(jìn)行使用或篡改、刪除、破壞等。
現(xiàn)在有很多可用的工具讓腳本小子用來廣泛掃描SQL注入(SQLi),如此看來,如果只有65%的受訪者遭遇了SQLi攻擊,那么,這說明35%的受訪者在其環(huán)境中沒有有效的監(jiān)控來發(fā)現(xiàn)這些攻擊。換句換說,幾乎每個企業(yè)都是SQLi攻擊的目標(biāo)。當(dāng)你外包開發(fā)工作時,你需要提出一些問題。首先,在與外包開發(fā)商的合同中是否有安全要求?這些外包開發(fā)商需要標(biāo)準(zhǔn)來遵循安全開發(fā)生命周期?他們是否對系統(tǒng)開發(fā)生命周期和如何安全地編碼接受過培訓(xùn)?外包開發(fā)商對代碼中的漏洞是否承擔(dān)責(zé)任?如果這些問題的答案是否定的,那么,在未來合同中應(yīng)該增加這些條款,并且,現(xiàn)有合同應(yīng)該進(jìn)行修訂來涵蓋這些條款。除了外包和這些條款,企業(yè)還可以添加SQLi掃描儀或者攻擊工具來發(fā)現(xiàn)軟件開發(fā)過程質(zhì)量保障周期中的SQLi漏洞,并提高安全性。開放Web應(yīng)用安全項目有一個SQLi抵御手冊來幫助企業(yè)和開發(fā)人員阻止攻擊。
上海賽學(xué)信息安全管理部是各大中小企業(yè)iso27001認(rèn)證中心的合作伙伴,將以保姆式的姿態(tài)對中小企業(yè)的信息安全進(jìn)行漏洞掃描,從軟件和硬件上幫助中小企業(yè)做好信息安全管理,做好網(wǎng)絡(luò)信息安全。
上海賽學(xué)免費為黃浦區(qū)|徐匯區(qū)|長寧區(qū)|靜安區(qū)|普陀區(qū)|虹口區(qū)|楊浦區(qū)|寶山區(qū)|閔行區(qū)|嘉定區(qū)|浦東新區(qū)|松江區(qū)|金山區(qū)|青浦區(qū)企業(yè)做上門診斷,出具iso27001認(rèn)證方案。目前,中國iso27001認(rèn)證公司有9家,國內(nèi)國際的iso27001認(rèn)證公司風(fēng)格各不相同。
中小企業(yè)可以致電:021-64196861詢問iso27001認(rèn)證費用和iso27001認(rèn)證機構(gòu)的情況。 |