人社数据中心安全解决方案.pdfVIP

浪潮人社数据中心安全解决方案 一、人社信息化面临的安全风险 1.基础设施风险 基础设施包括工作的物理环境、IT 设备的硬件平台等等；基础设施的安全风 险包括基础设施的安全威胁和脆弱性，它的某些安全威胁和脆弱性也影响着软件 资产和数据资产。具体而言，软件是安装在服务器、工作站等硬件之上的，所以 软件资产的安全威胁和脆弱性也就必然要包括这些硬件所受的技术故障、人员错 误以及物理和环境的威胁和脆弱性。而数据是依赖于软件而存在的，也就是说数 据资产也间接地依赖于某些硬件，因此数据资产的安全威胁和脆弱性也显然包括 了服务器、工作站等硬件所受的技术故障、人员错误以及物理和环境的威胁和脆 弱性。 2.办公自动化系统平台风险  硬件/软件故障造成系统瘫痪  计算机病毒的入侵  特洛伊木马的恶意程序造成失密  邮件系统故障  办公终端非法连接互联网 3.网络平台风险 3.1 TCP/IP 协议的弱点 对于公司信息系统，由于 TCP/IP 协议的弱点，有可能造成以下的破坏：  TCP 连接盗用 由于 TCP 是基于有连接的通信，这样攻击者通过监听攫取连接信息， 一旦合法的连接建立后，攻击者即可插入数据包，甚至接管客户的 TCP 连 接。在这种情况下，即使经过很强的证实后，也容易接管会话操作，从而严 重地影响计算机网络中各个计算机之间的正常通信 ；  IP 地址欺骗 IP 地址欺骗攻击主要是基于 IP 地址的证实，即攻击者将自己的 IP 地址 伪装成主机认为可信赖的 IP 地址，从而骗取主机的信任，达到攻击的目的， 通常情况下入侵者可以利用这种攻击方法访问未经授权访问的信息，这其中 将包括所有在网络中存在的共享信息以及未被共享的涉密信息 ；  IP 地址窃听 当攻击者通过物理或网络连接(无线或有线)方式窃取到所传输的数据包 后，如果传输的是明文，就会造成信息泄密。如果网管中心与 Internet 互 联，那么，全球各地的主机都可以对其发起攻击，因此可能受到的攻击方式 多、范围广 ；  口令猜测 这是最早的攻击方式，到目前为止依然广泛被使用. 目前黑客已经收集 口令并形成字典，使得口令猜测成功率有明显提高。这种攻击的危害性很大。 因为它可能使黑客猜测到系统管理员的口令而破坏整个系统。通过获得公司 计算机网络中重要的服务器或主机的登录用户名及密码后，便可以对被攻击 目标进行控制。这无疑会干扰公司网络系统的正常运转，更有甚者，包括公 司信息、财务等在内的重要数据口都有可能被泄漏，从而带来巨大损失。  业务否决 攻击者通过向被攻击者发送大量的数据流使被攻击主机淹没在信息处 理的汪洋中，对正常的业务请求无法处理，从而否决正常业务。通常情况下， 如果公司计算机网络中遭到此类攻击后，将严重影响网络客户对被收到攻击 的服务的请求，降低计算机网络中用户的工作效率，甚至阻碍网络内用户的 正常工作 ； 3.2 网络设备的风险 在网络中的重要的安全设备如路由器交换机等有可能存在着以下的安全风 险：（以最常用的路由器为例）  路由器缺省情况下只使用简单的口令验证用户的身份，并且远程 TELNET 登录时以明文传输口令。一旦口令泄密路由器将失去所有的保 护能力。  路由器口令的弱点是没有计数器功能的，所有每个人都可以不限次数地 尝试登录口令，在口令字典等工具的帮助下很容易破解登录口令。  每个管理员都可能使用相同的口令，因此，虽然访问日志可以详细记录 管理员对路由器进行登录、修改操作，但无法区分是哪位管理员进行的 操作。  路由器实现的动态路由协议存在着一定的安全漏洞，有可能被恶意的攻 击者利用来破坏网络的路由设置，达到破坏网络或为攻击做准备。  针对路由器的拒绝服务攻击或分布式拒绝服务攻击。比如 ICMP 重定向 攻击、源路由攻击等。。。  发布假路由，路由欺骗，导致整个网络的路由混乱。  对域名系统和基础设施的破坏。 3.3 网络服务器的风险