管理信息系统 教学课件 作者 邓蓓 chapter10.pptVIP

管理信息系统 第10章 管理信息系统的安全 第10章 管理信息系统的安全 * * 管理信息系统 　　无论是国际互联网、还是租用的专线，几乎每一个这种网络都能互相跟踪。据调查，78%以上的这些网络有相当多的弱点。网络提供了信息流通的便利渠道，提供了客户服务及信息交流的平台。但同时也给信息的保密和真实性，系统的正常运行带来严重的问题。 管理信息系统的运行与安全紧密相关，保证管理信息系统的安全运行是非常重要的。在开发系统过程中，要给予极大的重视，不仅需要采用相应的安全技术进行防范，包括信息系统的设计和开发阶段的安全设置，还需要通过制定相关信息系统的法规制度来保障。 管理信息系统 10.1 管理信息系统的安全概述 　　管理信息系统的安全是指有意或无意地破坏系统软件、硬件及信息资源行为的发生，避免企业遭受损失所采取的措施，目的是保证信息系统能连续正常进行。 从技术角度来看，信息系统安全一般包括： （1）计算机安全：计算机安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。 （2）网络安全：网络安全主要关心网上设备系统、程序和数据的安全。 （3）信息安全：是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏，或是信息被非法系统所识别和控制，即确保信息的完整性、保密性、可用性和可控性。 （4）密码安全：指各类非法盗取信息系统的密码的因素。 威胁信息系统安全的因素很多，一般说来，影响管理信息系统安全的因素，可以分为两大类： （1）自然因素：包括自然灾害、自然损害、环境干扰 （2）人为因素：包括无意损坏、有意损坏 管理信息系统 10.2 管理信息系统的控制与安全 1.信息系统的安全控制 信息系统的安全控制，是指为了安全地保护信息资源，确保数据和信息的完整性而采取的管理规划和有关政策，对信息系统加以相应的控制是确保信息系统安全的有效方法。 2.信息系统的控制类型 根据控制的具体特征，大致分为物理控制、电子控制、软件控制和管理控制等四种类型，具体控制内容如下: 物理控制 ：指采用物理保护手段的各种控制措施。如防盗门锁、键盘锁、防火门、排水泵、各种隔离机构等。 (2) 电子控制 ：采用电子手段确定或防止威胁的各种控制措施。 (3) 软件控制 ：指在信息系统应用中为确定、防止或恢复错误、非法访问和其他威胁而使用的程序代码控制。 (4) 管理控制 ：指保证信息系统安全和正常运行的管理制度。 管理信息系统 3.网络安全 　　网络系统的安全涉及网络的各个层面，包括物理层、链路层、网络层的安全，也包括操作系统、应用平台、应用系统等的安全。当内部网络通过路由器同Internet互连后，网络除了面临来自其自身的内部威胁外，还有来自Internet庞大系统的外部威胁。 常用的网络安全技术有： （1）用“防火墙”软件或设备来控制外部对于系统内部网络的存取。 （2）实时网络审计跟踪工具或入侵检测软件监视信息系统的运行。 （3）安全传输层协议（Secure Socket Layer ,简称SSL）和使用安全超文本传输协议(secure HTTP)，保证数据和信息传递的安全性。 （4）安全电子交易协议（Secure Electronic Transaction ,简称SET）和电子数字签名技术。 管理信息系统 4．数据安全 　　数据的安全是信息系统安全管理的核心。对信息系统的控制最关键的就是对信息系统中的数据的访问控制。所谓访问控制，就是指依靠系统的物理、电子、软件及管理等多种控制类型来实现对系统的监测，完成对用户的识别、对用户访问数据的权限确认等，确保信息系统中数据的完整性、安全性、正确性，防止合法用户有意或无意的越权访问，防止非法用户的入侵等。 访问控制的核心是进行用户权限控制，通过设置合理全面的用户权限管理体系，规范用户对系统、数据的访问控制行为。一般，用户权限控制可以通过各种软件开发工具所提供的安全机制功能进行设置。进行系统授权时应遵循以下基本原则: 最小特权原则 最小泄漏原则 最大共享策略 推理控制策略 管理信息系统 10.3 管理信息系统的安全设计 　　管理信息系统的安全设计是指采取技术和非技术的各种手段，通过对信息系统建设中的安全设计和运行中的安全管理，使运行在计算机网络中的信息系统获得保护，不因自然和人为因素而遭到破坏、更改或泄漏系统中的信息资源，确保系统的连续正常运行。设计的内容主要包括硬件系统与通信网络物理安全、软件与数据安全等方面。 1.物理环境安全性设计 管理信息系统的物理环境安全设计主要为，将若干计算机设备、通信网络及其相关软件等相对集中地放置在计算机机房，同时配备若干专业技术人员和机房工作人员，从事管理信息系统的运行管