• 不 限
  • 期刊论文
  • 硕博论文
  • 会议论文
  • 报 纸
  • 英文论文
  2. 您的位置
  3. 首页
  4. 会议论文
  5. 浅谈IIS的安全威胁与防御

浅谈IIS的安全威胁与防御

来源 :第四届全国信息安全等级保护技术大会 | 被引量 : 0次 | 上传用户:callingme
【摘 要】
IIS的广泛应用为个人及单位架站带来了简捷与便利的同时,也成为了恶意攻击者的聚焦点,IIS中不合理的安全配置可能会严重威胁到系统的安全保护.在使用IIS时,会面临哪些常见安全威胁,又如何做好防御?根据日常工作所遇,来分析管理员不合理的安全配置可能导致的安全威胁,并分享在日常安全运维中,如何做好IIS的安全防御.通过安全加固措施,可以有效地降低IIS的应用风险。但同时也必须认识到:信息系统的风险并不
【作 者】
张金水 
【机 构】
海南正邦信息科技有限公司
【出 处】
第四届全国信息安全等级保护技术大会
【发表日期】
2015年6期
【关键词】
互联网信息服务 信息安全 安全威胁 安全防御 
下载到本地 , 更方便阅读
下载此文 赞助VIP
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
IIS的广泛应用为个人及单位架站带来了简捷与便利的同时,也成为了恶意攻击者的聚焦点,IIS中不合理的安全配置可能会严重威胁到系统的安全保护.在使用IIS时,会面临哪些常见安全威胁,又如何做好防御?根据日常工作所遇,来分析管理员不合理的安全配置可能导致的安全威胁,并分享在日常安全运维中,如何做好IIS的安全防御.通过安全加固措施,可以有效地降低IIS的应用风险。但同时也必须认识到:信息系统的风险并不是孤立的,且是动态变化的,不仅要关注IIS的应用平台安全加固,还须关注操作系统的安全,WEB网站的代码安全等等,避免顾此失彼。另外,各种平台自身的程序都有BUG或安全漏洞,必须时常关注业界发布的最新漏洞,并及时更新相关漏洞和升级系统。以使系统保持在较好的安全状态之下。而对于有经济条件的企业或用户,系统管理员还可以通过部署防火墙、IPS、WAF等安全设备降低网站的风险。总而言之,信息系统的安全防护是个动态的过程,只有管理员不断的跟进才能尽可能的保障系统的安全。
其他文献
商业秘密信息保护技术在商业银行数据脱敏中的应用研究
本文采用商业秘密信息保护技术,结合银行实际情况,探索研究了商业秘密信息保护技术在商业银行数据脱敏中的应用,结合银行实际情况,采用映射、随机、散列、加密等技术设计了不同类型的脱敏算法,并利用加密、监控审计等商业秘密信息保护技术解决敏感数据的抽取、脱敏和数据加载问题,实现了数据脱敏的全过程管控.从长远角度出发,建议尽快制定银行业的数据分级分类标准规范、数据脱敏规范等相关标准规范,为银行数据安全建设提供
会议
商业银行数据脱敏商业秘密信息保护安全防护
商业银行安全等级保护定级模型研究
以商业银行信息系统安全等级保护工作实践经验为依据,从业务主题出发,对可能影响安全等级的相关指标进行细分与量化,提出了商业银行安全等级保护定级指标体系和计量模型,并通过实例对模型进行了实证分析,为商业银行开展安全等级保护工作提供了较高的参考价值.安全等级保护作为信息系统分级保护的一项国家标准,有效提高了我国安全建设整体水平,增强了信息系统安全保护能力。随着时代发展和科技进步,安全等级保护工作的标准规
会议
商业银行业务管理信息系统安全等级保护定级模型
面向云计算的信息安全等级测评框架和指标研究
云计算作为当前最热门的共享网络架构技术和商业运作模式,在广泛被企业及个人用户接纳和运用的同时,其安全性也越来越得到重视,针对云计算环境下的安全防护等级测评工作是大势所趋。本文基于大量已有的云安全准则、防护框架、业务模型和现有技术的梳理,结合了云计算的特征和主要威胁,提出基于云计算的等级测评体系框架和特殊测评要求指标,并结合实际测评工作对云计算中心测评方式展开讨论,为测评机构在云计算环境下开展信息安
会议
云计算信息安全等级测评
工控设备信息安全检测研究与应用
工控设备信息安全对于工业生产过程的安全稳定运行至关重要.文章简单介绍了工控PLC设备的结构;针对目前工控PLC等设备信息安全现状,分析了工控PLC设备的脆弱性,指出了工控设备信息安全检测工作的迫切性;研究并介绍了工控设备的检测方法,搭建了具体的检测环境,通过对工控PLC设备信息安全检测实践,提炼了工控PLC设备信息安全检测内容,详细分析利用各种检测方法对工控PLC设备进行检测的细节,为开展工控设备
会议
信息系统工业控制系统可编程控制器设备安全检测
主机与应用系统安全建设整改难点实现方法探讨
在信息安全等级保护安全建设工作过程中,经常会遇到安全建设整改单位对基本要求项理解方面的偏差,由此导致了在后期安全整改实施、等级测评等过程中产生一系列问题.本文针对国家标准GB22239-2008《信息安全技术信息安全等级保护基本要求》中主机安全与应用安全中安全整改难度较高的要求项(敏感标记、剩余信息保护、身份鉴别)进行研究分析,提出实现方法,指导安全建设整改单位采用更合理的安全技术措施进行安全改造
会议
主机设备应用系统信息安全等级保护运行管理
民用机场信息系统安全等级保护定级方法研究
民用机场信息系统尚无统一的安全等级保护定级标准.在对不同行业的定级规范进行比较之后,发现存在"地理范围+业务重要性"和"业务量+业务重要性"两种不同模式.根据机场信息系统的特点,采用后一种模式定级.对各种常见的机场规模评价指标进行分析,提出用建设目标年年旅客吞吐量作为刻画信息系统业务量的指标,实现一套可操作性强的机场信息系统定级方案.
会议
民用机场信息系统安全等级保护定级方法
基于等级保护的信息系统双因素身份鉴别方案--以某区电子政务综合应用平台为例
随着信息系统的发展,信息系统的安全问题越来越突出,对系统中用户鉴别信息的保护要求越来越严格.如何实现系统中核心设备、重要应用的用户双因素身份鉴别已经成为重要信息系统等级保护中面临的重要难题.从等级保护的角度出发,结合信息系统等级保护的现状提出了可部署于大部分信息系统中的用户双因素身份鉴别方案,旨在从等级保护的角度提升信息系统身份鉴别机制安全性.最后,通过在某区电子政务综合应用平台中应用提出的方案,
会议
信息系统双因素身份鉴别等级保护工作测评方法
等保测评对象的量化选择
测评对象选择的随意性导致测评质量的降低及测评机构的恶意竞争,试图通过定性与定量相结合的方式实现测评对象的量化选择,从而实现测评对象选择的标准化,规范测评质量与市场竞争.测评对象量化选择是定性与定量相结合选择测评对象的一种标准化尝试,本文为方便测评机构选择,直接把分层抽样法和多阶抽样法简化成不同等级功能、配置相同测评对象选择数量,降低了测评对象选择的工作量,弥补了标准中仅有定性选择测评对象的不足,实
会议
网络安全等级保护测评对象量化选择
移动接入与等级保护中的网络安全
本文主要讨论在新的技术形势下移动接入方式、容易造成的安全风险问题、与等级保护的对应关系、解决办法。主要讨论在多种移动接入方式的环境下,移动接入终端的种类、接入方式方法、接入的目的、企业网络可能面临的风险威胁,详细分析了在等级保护中网络安全相关内容的测评内容、测评方法,并提出相应整改建议.
会议
网络安全移动接入方式等级保护工作风险评估
PCI DSS和ADSS对国内支付行业的影响
支付行业迅猛发展,支付行业信息安全越来越重要,PCI DSS和ADSS在统一账户信息安全管理标准方面做出了重大贡献,论述了PCI DSS和银联卡收单机构账户信息安全管理标准(ADSS)的发展和其主要内容,并介绍两个标准在国内支付行业起的重要作用.
会议
支付行业账户信息安全管理标准风险评估