厦门市物业管理信息系统的威胁模型分析与安全解决方案的设计与实施(一)

厦门市物业管理信息系统的威胁模型分析与安全解决方案的设计与实施

【摘  要】：近年来，随着管理信息网络攻击技术的泛滥，不少企业、政府、个人的信息系统会经常遭到黑客的攻击和信息的篡改，针对厦门市网络化管理的物业管理信息系统系统所面临的安全性威胁及内部网络威胁的问题进行分析，提出安全解决方案与实施。

【关键词】：信息系统；安全性威胁；内部网络威胁；安全解决方案；设计与实施

一、厦门市物业管理信息系统现状描述

厦门市物业管理信息系统，于2004年由厦门市建设房地产开发与物业管理处提出系统开发任务，由厦门海迈科技股份有限公司承接开发的网络化信息管理系统，最终用户包括房地产开发与物业处与在厦物业服务企业。系统采用B/S模式，由三个子系统组成，包括管理端、企业端、用户权限管理，各子系统采用不同的登陆入口，由主管部门和物业服务企业登陆使用。系统于2005年建设完成并正式运行。

鉴于该信息系统为网络化信息系统11年前开发的，使用近十多年来，发生了各种网络信息系统的安全性威胁及内部网络威胁，影响物业业务管理的顺利开展。

二、厦门市物业管理信息系统最常见威胁模型描述

 (一)物业管理信息系统安全性威胁分析

通过对信息系统安全性威胁的认识，及工作十年来对物业管理信息系统所面临的常见安全性威胁的主要方式分析如下：

    1、信息系统安全概述

A、信息系统安全的定义

所谓的信息系统安全就是依靠法律法规道德纪律、管理细则和保护措施、物理实体安全环境、硬件系统安全措施、通信网络安全措施、软件系统安全措施等实现信息系统的数据信息安全。

B、信息系统安全的内容

信息系统的安全包括物理安全、网络安全、操作系统安全、应用软件安全、数据安全和管理安全，以下将分别给予详细的说明。

第一，物理安全，主要包括环境安全、设备安全、媒体安全等；

第二，网络安全，主要包括内外网隔离及访问控制系统——防火墙、物理隔离或逻辑隔离；内部网不同网络安全域的隔离及访问控制；网络安全测试与审计；网络防病毒和网络备份；

第三，网络反病毒技术，主要包括预防病毒、检测病毒和消毒；

第四，其他方面的安全，如操作系统安全、应用软件安全以及数据库的安全等。

2、信息系统安全威胁因素剖析

A、信息系统软硬件的内在缺陷

这些缺陷不仅直接造成系统停摆，还会为一些人为的恶意攻击提供机会。最典型的例子就是微软的操作系统。相当比例的恶意攻击就是利用微软的操作系统缺陷设计和展开的，一些病毒、木马也是盯住其破绽兴风作浪。由此造成的损失实难估量。应用软件的缺陷也可能造成计算机信息系统的故障，降低系统安全性能。

B、恶意攻击

攻击的种类有多种，有的是对硬件设施的干扰或破坏，有的是对数据的攻击，有的是对应用的攻击。前者，有可能导致计算机信息系统的硬件一过性或永久性故障或损坏。对数据的攻击可破坏数据的有效性和完整性，也可能导致敏感数据的泄漏、滥用。对应用的攻击会导致系统运行效率的下降，严重者会会导致应用异常甚至中断。

C、系统使用不当

如误操作，关键数据采集质量存在缺陷，系统管理员安全配置不当，用户安全意识不强，用户口令选择不慎甚至多个角色共用一个用户口令，等等。因为使用不当导致系统安全性能下降甚至系统异常、停车的事件也有报道。

D、自然灾害

对计算机信息系统安全构成严重威胁的灾害主要有雷电、鼠害、火灾、水灾、地震等各种自然灾害。此外，停电、盗窃、违章施工也对计算机信息系统安全构成现实威胁。

3、信息系统所面临的威胁以及遭受威胁的主要方式

在现有的信息系统中，随着相关技术的不断发展，威胁的种类是层出不穷。当前信息系统所面临的威胁主要有物理威胁、漏洞威胁、病毒威胁、入侵威胁和复合性威胁。

A、物理威胁

物理威胁最为简单，也最容易防范，更容易被忽略，许多信息机构服务被中止仅仅因停电、断网和硬件损毁。例如，某处施工时无意破坏了通信电缆或是供电线路都会导致大规模的损失，所以保障企业信息系统的物理安全至关重要。

B、漏洞威胁

仅次于物理威胁的是漏洞威胁，几乎所有的安全事件都源于漏洞。漏洞主要分系统漏洞和软件漏洞，网络结构漏洞。系统漏洞相对常见，目前企业中常用的操作系统大致分为两种，Windows和Unix/Linux。基于NT内核的Windows NT 4、Windows 2000、Windows Server 2003都是常见的操作系统，只要有效利用组策略构建适合企业现状的安全模型。必须重视Windows Update，保证系统最新，因为漏出的安全缺陷官方会迅速通过Windows Update布置到计算机上。另外对于Unix/Linux系统的企业安全漏洞也不容忽略，众所周知，Linux为开源软件，无数优秀的特性被加入进来。但这个特性也相当致命，一个完全透明的系统对于黑客来说具有相当大的优势，作为Linux用户，采用安全防御措施相当重要。同Windows一样，最基本的措施是及时安装安全补丁，留意近期的安全通告，同时根据业务需要，关闭不必要的系统服务。

C、病毒威胁

操作系统的正确使用和配置很重要，操作系统安全是企业信息系统安全的基础，对企业信息系统杀伤力比较大的是病毒威胁，作网络通信服务病毒发生的概率还是比较高的。能够引起计算机的故障，破坏计算机数据的程序统称为计算机病毒，早期对病毒的定义，是一个比较狭隘的定义，现在的病毒特征更广泛，间谍软件、木马、流氓软件、广告软件、行为记录软件、恶意共享软件等等,它们的危害远远超出了传统定义中“占用系统资源”、“破坏数据”、“阻塞网络”等经典危害。这些新型病毒可以导致重要机密泄露，甚至现有的安全机制全部崩溃。

D、入侵威胁