信息资源安全问题分析案例

信息资源管理期末考察报告

**：***

学号：************ 班级：信息系统1301

信息资源的安全管理案例—计算机网络安全

案例：

某公司是一家从事太阳能，电力，石油，化工，相关销售等项目等的公司。公司总部设在上海，有200名员工，并在北京拥有1家分公司，员工约100人。公司内部设有行政部、人力资源部、公共关系部、固定资产部、采购部、销售部、市场部、IT总部。

由于太多的日常维护工作而忽略了系统策略及安全政策的制订及执行不力，管理员的日常维护工作又没有标准可循，系统及数据备份也是没有考虑到灾难恢复，经常会有一些系统安全问题暴露出来。

该公司网站使用Windows 2000上的IIS作为对外的WEB服务器，该网站WEB 服务器负责公司的信息提供和电子商务。在外网上部署了硬件防火墙，只允许到服务器TCP 80端口的访问。

但是在X月X日上午，一个客户发邮件通知公司网站管理员，说该公司网站的首页被人修改，同时被发布到国内的某黑客论坛，介绍入侵的时间和内容。

管理员立刻查看网站服务器，除了网站首页被更改，而且发现任务列表中存在未知可疑进程，并且不能杀死。同时发现网站数据库服务器有人正在拷贝数据。

管理员及时断开数据服务器，利用备份程序及时恢复网站服务器内容，但是没有过了半小时，又出现类似情况，于是紧急通知系统管理人员，告知该情况，并向某安全公司求助。最后在安全公司的帮助下终于解决了问题，但是给公司造成了巨大的经济损失，泄露了大量财务信息和交易信息。

针对此次出现的问题，公司召开了紧急会议。首席信息官（CIO）明确提出需要严密的系统和严格的策略来保证业务系统的稳定性和可用性的要求。IT服务中心将面临着更大的技术挑战，提高解决突发事件的应变能力和解决问题的效率，并且在日常工作中加强安全防范，各部门在该问题上密切配合商讨对策，最后决定出台了一些预防措施。公司总裁(CEO)作出决定，一定要找出系统的安全漏洞和隐患，彻查问题的根源，制定解决问题的方案。

之后，CIO和安全事件响应小组整理了所有的记录资料，以确定针对此事件完成了哪些任务、每项任务所用的时间，以及是谁执行的任务。此信息发送给财务部门，用以根据“公认会计原则”来计算计算机损失的代价。紧急响应小组负责人Z将确保让公司管理层了解到了该事件的损失，事件发生的原因，以及防止此类事件再次发生的计划。这也是让管理层认识到企业安全策略，以及类似于紧急安全响应小组存在得价值。小组中适当的成员检查总结了全部的记录资料、得到的经验教训，以及遵守和未遵守的策略，作为档案保存。采取的相关法律行动的记录资料和步骤通过了公司法律顾问、安全事件响应小组负责人和公司管理层的审查。

（一）对系统安全和网络进行诊断，发现存在以下问题：

（1）邮件服务器没有防病毒扫描模块；

（2）客户端有W32/Mydoom@MM邮件病毒问题；

（3）路由器密码缺省没有修改过，非常容易被人攻击；

（4）网站服务器系统没有安装最新微软补丁；

（5）没有移除不需要的功能组件；

（6）数据库系统SQL 2000 SA用户缺省没有设置密码；

（7）数据库系统SQL 2000 没有安装任何补丁程序；

（8）用户访问没有设置复杂密码验证，利用字典攻击，非常容易猜出用户

名和密码，同时分厂员工对于网站访问只使用了简单密码验证，容易被人嗅听到密码。

（二）公司目前的事件响应机制存在如下问题：

（1）显然缺乏安全响应机制，也没有时间响应团队；

（2）在未经授权的情况下向外部人员求助；

（3）在未经授权的情况下允许外部人员进行安全扫描；

（4）没有在第一时间记录并通报安全事件的发生；

（5）没有进行证据保留等。

解决方案：

（1）公司启动了日志系统。保存操作系统和应用程序的信息记录，其中包括与安全相关的信息。作为检测入侵的重要证据，日志需要进行妥善的管理。具体日志管理策略如下：

➢足够大的日志存储空间，以记录足够多的日志信息；

➢不应启用日志覆盖；

➢定期的日志转储，转储的日志需要放置在不能被再次修改的存储介质上，如只能写入一次的光盘，并放置在安全位置，同时按照企业安全策略的

要求，保存足够长的时间；

➢除了操作系统日志外，根据需要开启应用系统的日志，如数据库服务器，邮件服务器等访问日志；

➢保证在日志中记录足够的信息，如用户帐户，计算机名，IP地址等；

➢保证计算机之间的时间同步，以准确记录时间发生时间；

➢从软件供应商处获取日志代码含义解读文档；

➢使用日志分析工具协助管理员快速获取有价值的信息。

（2）企业内全面部署防病毒系统，构建防病毒机制：

➢建立网关，服务器，工作站立体防病毒体系；

➢及时更新防病毒软件本身和病毒特征码；

➢格外关注使用笔记本电脑的用户的防病毒软件更新情况；

➢通过在防火墙和路由器上设置，及时阻止通过网络扩散的病毒；

➢安装专门针对Exchange Server的病毒扫描系统，直接从用户的邮箱里发现和清除病毒；

➢培训用户不要为了加快计算机运行速度而禁用防病毒系统，如果有可能，从防病毒软件设置中禁止用户这么做

➢培训用户不要随意打开不明底细的电子邮件附件，不要随意下载和安装应用软件。

（3）制定审核策略，记录访问者的行为，以发现异常动作并作为证据保留。具体审核策略包括：

➢对于重要的文件开启删除和修改审核，对敏感文件开启读取审核；

➢在域上开启账户登录事件审核，记录用户登录域的活动；

➢在重要服务器上开启登录事件审核，记录从网络上访问该服务器的活动；

➢在SQL Server中审计登录事件；

➢定期对审核记录进行检查。

（4）制定帐户安全策略：

➢不允许为避免自己的帐户被锁定，而额外创建高权限帐户来作为后门；

➢不允许在 IT 人员之间共享密码；