廈門市物業管理信息系統的威脅模型分析與安全解決方案的設計與實施(一)

廈門市物業管理信息系統的威脅模型分析與安全解決方案的設計與實施

【摘  要】：近年來，隨著管理信息網絡攻擊技術的泛濫，不少企業、政府、個人的信息系統會經常遭到黑客的攻擊和信息的篡改，針對廈門市網絡化管理的物業管理信息系統系統所面臨的安全性威脅及內部網絡威脅的問題進行分析，提出安全解決方案與實施。

【關鍵詞】：信息系統；安全性威脅；內部網絡威脅；安全解決方案；設計與實施

一、廈門市物業管理信息系統現狀描述

廈門市物業管理信息系統，于2004年由廈門市建設房地產開發與物業管理處提出系統開發任務，由廈門海邁科技股份有限公司承接開發的網絡化信息管理系統，最終用戶包括房地產開發與物業處與在廈物業服務企業。系統采用B/S模式，由三個子系統組成，包括管理端、企業端、用戶權限管理，各子系統采用不同的登陸入口，由主管部門和物業服務企業登陸使用。系統于2005年建設完成并正式運行。

鑒于該信息系統為網絡化信息系統11年前開發的，使用近十多年來，發生了各種網絡信息系統的安全性威脅及內部網絡威脅，影響物業業務管理的順利開展。

二、廈門市物業管理信息系統最常見威脅模型描述

 (一)物業管理信息系統安全性威脅分析

通過對信息系統安全性威脅的認識，及工作十年來對物業管理信息系統所面臨的常見安全性威脅的主要方式分析如下：

    1、信息系統安全概述

A、信息系統安全的定義

所謂的信息系統安全就是依靠法律法規道德紀律、管理細則和保護措施、物理實體安全環境、硬件系統安全措施、通信網絡安全措施、軟件系統安全措施等實現信息系統的數據信息安全。

B、信息系統安全的內容

信息系統的安全包括物理安全、網絡安全、操作系統安全、應用軟件安全、數據安全和管理安全，以下將分別給予詳細的說明。

第一，物理安全，主要包括環境安全、設備安全、媒體安全等；

第二，網絡安全，主要包括內外網隔離及訪問控制系統——防火墻、物理隔離或邏輯隔離；內部網不同網絡安全域的隔離及訪問控制；網絡安全測試與審計；網絡防病毒和網絡備份；

第三，網絡反病毒技術，主要包括預防病毒、檢測病毒和消毒；

第四，其他方面的安全，如操作系統安全、應用軟件安全以及數據庫的安全等。

2、信息系統安全威脅因素剖析

A、信息系統軟硬件的內在缺陷

這些缺陷不僅直接造成系統停擺，還會為一些人為的惡意攻擊提供機會。最典型的例子就是微軟的操作系統。相當比例的惡意攻擊就是利用微軟的操作系統缺陷設計和展開的，一些病毒、木馬也是盯住其破綻興風作浪。由此造成的損失實難估量。應用軟件的缺陷也可能造成計算機信息系統的故障，降低系統安全性能。

B、惡意攻擊

攻擊的種類有多種，有的是對硬件設施的干擾或破壞，有的是對數據的攻擊，有的是對應用的攻擊。前者，有可能導致計算機信息系統的硬件一過性或永久性故障或損壞。對數據的攻擊可破壞數據的有效性和完整性，也可能導致敏感數據的泄漏、濫用。對應用的攻擊會導致系統運行效率的下降，嚴重者會會導致應用異常甚至中斷。

C、系統使用不當

如誤操作，關鍵數據采集質量存在缺陷，系統管理員安全配置不當，用戶安全意識不強，用戶口令選擇不慎甚至多個角色共用一個用戶口令，等等。因為使用不當導致系統安全性能下降甚至系統異常、停車的事件也有報道。

D、自然災害

對計算機信息系統安全構成嚴重威脅的災害主要有雷電、鼠害、火災、水災、地震等各種自然災害。此外，停電、盜竊、違章施工也對計算機信息系統安全構成現實威脅。

3、信息系統所面臨的威脅以及遭受威脅的主要方式

在現有的信息系統中，隨著相關技術的不斷發展，威脅的種類是層出不窮。當前信息系統所面臨的威脅主要有物理威脅、漏洞威脅、病毒威脅、入侵威脅和復合性威脅。

A、物理威脅

物理威脅最為簡單，也最容易防范，更容易被忽略，許多信息機構服務被中止僅僅因停電、斷網和硬件損毀。例如，某處施工時無意破壞了通信電纜或是供電線路都會導致大規模的損失，所以保障企業信息系統的物理安全至關重要。

B、漏洞威脅

僅次于物理威脅的是漏洞威脅，幾乎所有的安全事件都源于漏洞。漏洞主要分系統漏洞和軟件漏洞，網絡結構漏洞。系統漏洞相對常見，目前企業中常用的操作系統大致分為兩種，Windows和Unix/Linux�；�于NT內核的Windows NT 4、Windows 2000、Windows Server 2003都是常見的操作系統，只要有效利用組策略構建適合企業現狀的安全模型。必須重視Windows Update，保證系統最新，因為漏出的安全缺陷官方會迅速通過Windows Update布置到計算機上。另外對于Unix/Linux系統的企業安全漏洞也不容忽略，眾所周知，Linux為開源軟件，無數優秀的特性被加入進來。但這個特性也相當致命，一個完全透明的系統對于黑客來說具有相當大的優勢，作為Linux用戶，采用安全防御措施相當重要。同Windows一樣，最基本的措施是及時安裝安全補丁，留意近期的安全通告，同時根據業務需要，關閉不必要的系統服務。

C、病毒威脅

操作系統的正確使用和配置很重要，操作系統安全是企業信息系統安全的基礎，對企業信息系統殺傷力比較大的是病毒威脅，作網絡通信服務病毒發生的概率還是比較高的。能夠引起計算機的故障，破壞計算機數據的程序統稱為計算機病毒，早期對病毒的定義，是一個比較狹隘的定義，現在的病毒特征更廣泛，間諜軟件、木馬、流氓軟件、廣告軟件、行為記錄軟件、惡意共享軟件等等,它們的危害遠遠超出了傳統定義中“占用系統資源”、“破壞數據”、“阻塞網絡”等經典危害。這些新型病毒可以導致重要機密泄露，甚至現有的安全機制全部崩潰。

D、入侵威脅