當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

企業(yè)存在的十五個信息安全問題

http://m.yibo1263.com　2009/12/3 7:52:04 　來源:東北IT網(wǎng) 　編輯:葉子

　　9 遠程移動辦公和內(nèi)網(wǎng)安全

　　隨著網(wǎng)絡(luò)普及，移動辦公人員在大量時間內(nèi)需要從互聯(lián)網(wǎng)上遠程訪問內(nèi)部網(wǎng)絡(luò)。由于互聯(lián)網(wǎng)是公共網(wǎng)絡(luò)，安全程度難以得到保證，如果內(nèi)部網(wǎng)絡(luò)直接允許遠程訪問，則必然帶來許多安全問題，而且移動辦公人員計算機又存在失竊或被非法使用的可能性。"既要使工作人員能方便地遠程訪問內(nèi)部網(wǎng)，又要保證內(nèi)部網(wǎng)絡(luò)的安全。"就成了一個許多單位都面臨的問題。

　　10 內(nèi)外網(wǎng)絡(luò)隔離安全和數(shù)據(jù)交換方便性

　　由于網(wǎng)絡(luò)攻擊技術(shù)不斷增強，惡意入侵內(nèi)部網(wǎng)絡(luò)的風(fēng)險性也相應(yīng)急劇提高。網(wǎng)絡(luò)入侵者可以涉透到內(nèi)部網(wǎng)絡(luò)系統(tǒng)，竊取數(shù)據(jù)或惡意破壞數(shù)據(jù)。同時，內(nèi)部網(wǎng)的用戶因為安全意識薄弱，可能有意或無意地將敏感數(shù)據(jù)泄漏出去。為了實現(xiàn)更高級別的網(wǎng)絡(luò)安全，有的安全專家建議，"內(nèi)外網(wǎng)及上網(wǎng)計算機實現(xiàn)物理隔離，以求減少來自外網(wǎng)的威脅。"但是，從目前網(wǎng)絡(luò)應(yīng)用來說，許多企業(yè)或機構(gòu)都需要從外網(wǎng)采集數(shù)據(jù)，同時內(nèi)網(wǎng)的數(shù)據(jù)也需要發(fā)布到外網(wǎng)上。因此，要想完全隔離開內(nèi)外網(wǎng)并不太現(xiàn)實，網(wǎng)絡(luò)安全必須既要解決內(nèi)外網(wǎng)數(shù)據(jù)交換需求，又要能防止安全事件出現(xiàn)。

　　11 業(yè)務(wù)快速發(fā)展與安全建設(shè)滯后

　　在信息化建設(shè)過程中，由于業(yè)務(wù)急需要開通，做法常常是"業(yè)務(wù)優(yōu)先，安全靠邊"，使得安全建設(shè)缺乏規(guī)劃和整體設(shè)計，留下安全隱患。安全建設(shè)只能是"亡羊補牢",出了安全事件后才去做。這種情況，在企業(yè)中表現(xiàn)得更為突出，市場環(huán)境的動態(tài)變化，使得業(yè)務(wù)需要不斷地更新，業(yè)務(wù)變化超過了現(xiàn)有安全保障能力。

　　12 網(wǎng)絡(luò)資源健康應(yīng)用與管理手段提升

　　復(fù)雜的網(wǎng)絡(luò)世界，充斥著各種不良信息內(nèi)容，常見的就是垃圾郵件。在一些企業(yè)單位中，網(wǎng)絡(luò)的帶寬資源被員工用來在線聊天，瀏覽新聞娛樂、股票行情、色情網(wǎng)站，這些網(wǎng)絡(luò)活動嚴(yán)重消耗了帶寬資源，導(dǎo)致正常業(yè)務(wù)得不到應(yīng)有的資源保障。但是，傳統(tǒng)管理手段難以適應(yīng)虛擬世界，網(wǎng)絡(luò)資源管理手段必須改進，要求能做到 "可信、可靠、可視、可控"。

　　13 信息系統(tǒng)用戶安全意識差和安全整體提高困難

　　目前，普遍存在"重產(chǎn)品、輕服務(wù)，重技術(shù)、輕管理，重業(yè)務(wù)、輕安全"的思想，"安全就是安裝防火墻，安全就是安裝殺毒軟件"，人員整體信息安全意識不平衡，導(dǎo)致一些安全制度或安全流程流于形式。典型的事例如下:

　　用戶選取弱口令，使得攻擊者可以從遠程直接控制主機;

　　用戶開放過多網(wǎng)絡(luò)服務(wù)，例如,網(wǎng)絡(luò)邊界沒有過濾掉惡意數(shù)據(jù)包或切斷網(wǎng)絡(luò)連接,允許外部網(wǎng)絡(luò)的主機直接"ping"內(nèi)部網(wǎng)主機，允許建立空連接;

　　用戶隨意安裝有漏洞的軟件包;

　　用戶直接利用廠家缺省配置;

　　用戶泄漏網(wǎng)絡(luò)安全敏感信息，如DNS服務(wù)配置信息。

　　14 安全崗位設(shè)置和安全管理策略實施難題

　　根據(jù)安全原則，一個系統(tǒng)應(yīng)該設(shè)置多個人員來共同負(fù)責(zé)管理，但是受成本、技術(shù)等限制，一個管理員既要負(fù)責(zé)系統(tǒng)的配置，又要負(fù)責(zé)安全管理，安全設(shè)置和安全審計都是"一肩挑"。這種情況使得安全權(quán)限過于集中，一旦管理員的權(quán)限被人控制，極易導(dǎo)致安全失控。

　　15 信息安全成本投入和經(jīng)濟效益回報可見性

　　由于網(wǎng)絡(luò)攻擊手段不斷變化，原有的防范機制需要隨著網(wǎng)絡(luò)系統(tǒng)環(huán)境和攻擊適時而變，因而需要不斷地進行信息安全建設(shè)資金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所產(chǎn)生的經(jīng)濟效益往往是間接的，不容易讓人清楚明白，從而造成企業(yè)領(lǐng)導(dǎo)人的誤判，進而造成信息安全建設(shè)資金投入困難。這樣一來，信息安全建設(shè)投入往往是"事后"進行，即當(dāng)安全事件產(chǎn)生影響后，企業(yè)領(lǐng)導(dǎo)人才會意識安全的重要性。這種做法造成信息安全建設(shè)缺乏總體規(guī)劃，基本上是 "頭痛醫(yī)頭，腳痛醫(yī)腳"，信息網(wǎng)絡(luò)工作人員整天疲于奔命工作，成了"救火隊員"。

本新聞共2頁,當(dāng)前在第2頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费