某大型工矿企业信息系统安全测评与漏洞分析及其改进

摘要

企业信息安全问题直接关系到企业的生存与发展，开展企业信息安全测评是保障企业信息系统安全的重要手段。企业通过信息安全测评可以帮助企业提前发现系统漏洞，分析安全风险，及时采取安全改进措施。但是企业信息安全测评目前尚处于起步阶段，还没有现成的方法与标准作指导，为了进一步提升企业信息安全测评水平，亟需一套确实可行的企业信息安全测评方法与分析技术作支撑，本文正是针对这一问题开展的工程课题研究。
　　 (1)通过分析目前企业信息系统面临的各种威胁和国内企业信息安全以及安全测评的现状与发展趋势，指出了我国在企业信息安全测评方面的问题与不足，阐述了开展企业信息安全测评的研究意义。
　　 (2)论述了大型企业信息系统安全的层次模型和安全测评的体系结构，从物理安全、主机安全、应用安全、网络安全以及数据安全等五个方面阐述了信息安全测评要点和测评方法及测评方式。
　　 (3)在阐述某大型工矿企业信息系统现状的基础上，研究了企业信息系统DMZ区的安全风险和信息系统安全测评中发现的各类安全问题，重点论述了安全测评中网络、主机系统及应用方面的19类安全漏洞，并分析了其可能导致的安全风险。
　　 (4)论述了某大型工矿企业DMZ区的改进办法及其信息系统安全测评中各种安全漏洞的解决办法，从网络安全、主机安全、应用安全和数据安全四个层面研究了某大型工矿企业信息系统安全问题的改进和加固。
　　 (5)阐述了改进后的某大型工矿企业信息系统安全测评结果，测评结果表明其信息系统原来的安全漏洞经过改进后均得以解决，达到了企业信息安全测评与改进的预期效果。
　　 虽然本文只是针对一个具体的大型工矿企业信息系统进行安全测评，但其中的方法和思想同样适用于其他类型的信息系统安全测评，具有较强的推广意义。

目录

声明

摘要

第1章 绪论

1．1 课题背景及意义

1．2 国内外研究现状及发展趋势

1．2．1 企业网络面临的安全威胁及特点

1．2．2 未来信息安全发展趋势

1．2．3 国内外信息安全测评研究现状与发展趋势

1．3 论文主要研究内容

第2章 大型企业信息安全测评体系及测评要点

2．1 大型企业信息安全测评体系

2．1．1 大型企业信息安全层次模型

2．1．2 大型企业信息系统测评体系

2．2 大型企业信息系统安全测评要点和测评方法

2．2．1 物理安全

2．2．2 网络安全

2．2．3 主机安全

2．2．4 应用安全

2．2．5 数据安全

2．3 大型企业信息系统安全测评方式

2．3．1 文档审阅

2．3．2 配置核查

2．3．3 人工测试

2．3．4 自动化工具检测

2．3．5 渗透测试

2．4 本章小结

第3章 某大型工矿企业信息系统安全现状及漏洞分析

3．1 某大型工矿企业信息系统概况

3．1．1 某大型工矿企业信息系统网络拓扑与安全域划分

3．1．2 某大型工矿企业信息网络互联

3．1．3 某大型工矿企业内网系统

3．1．4 某大型工矿企业DMZ结构

3．2 某大型工矿企业信息系统安全现状

3．2．1 某大型工矿企业DMZ区安全威胁

3．2．2 某大型工矿企业信息系统网络安全问题

3．2．3 某大型工矿企业信息系统主机安全问题

3．2．4 某大型工矿企业信息系统应用安全问题

3．2．5 某大型工矿企业信息系统数据安全问题

3．3 某大型工矿企业信息系统主要漏洞及其风险分析

3．3．1 网络安全漏洞及其风险分析

3．3．2 主机安全漏洞及其风险分析

3．3．3 应用安全漏洞及其风险分析

3．4 本章小结

第4章 某大型工矿企业信息系统的安全改进

4．1 某大型工矿企业信息系统DMZ区的安全改进

4．1．1 某大型工矿企业DMZ区改进的基本思路

4．1．2 某大型工矿企业DMZ区的安全改进方法

4．1．3 某大型工矿企业DMZ区的安全改进方法的实现

4．2 某大型工矿企业信息系统安全漏洞解决

4．2．1 某大型工矿企业网络安全漏洞解决

4．2．2 某大型工矿企业主机安全漏洞解决

4．2．3 某大型工矿企业应用安全漏洞解决

4．3 某大型工矿企业信息系统安全加固与改进

4．3．1 某大型工矿企业信息系统网络安全加固

4．3．2 某大型工矿企业信息系统主机安全加固

4．3．3 某大型工矿企业信息系统应用安全改进

4．3．4 某大型工矿企业信息系统数据安全改进

4．4 本章小结

第5章 某大型工矿企业信息系统改进后漏洞测试结果

5．1 改进后的网络安全漏洞测试结果

5．2 改进后的系统安全漏洞测试结果

5．3 改进后的应用安全漏洞测试结果

5．4 本章小结

总结与展望

参考文献

致谢

附录A 攻读学位期间发表的论文

附录B 攻读学位期间主持的大型工程测评项目