第6章 信息资源安全管理.docVIP

第6章 信息资源安全管理 （一）学习目标与要求 通过本章的学习，要求考生通过不同事例了解信息资源安全隐患及其影响；理解信息资源安全问题和相应安全管理任务；理解信息系统安全模型；了解信息系统各个层次所面临的主要安全问题及其相应的安全技术；掌握数据加密技术的基本原理；理解基于PKI的认证服务（CA）及其在电子商务中应用。 本章重点：信息资源安全管理问题；信息系统安全模型；主要信息系统安全技术。 本章难点：数据加密技术及其应用。 （二）考核内容 6.1信息资源安全管理内涵 6.2信息资源安全的系统管理 6.3数据加密技术及其应用 （三）考核知识点和考核要求 1.识记 （1）信息资源安全问题本质 随着社会信息化的发展，电子数据已经成为各行各业信息存储和显示的主要形式。在信息社会中，信息资源（信息及其相关要素）能否被安全可靠地开发利用，是涉及每个人生活，影响组织工作，乃至关系国家安危的大事。信息资源安全管理是指：针对普遍存在的信息资源安全问题，人们利用各种技术方法和组织手段，所进行的有计划的管理活动。 本质上，信息资源安全与信息的利用和权属相关，信息资源安全问题是指信息可用性和权属受到威胁。使信息资源免受威胁的方法和措施被称为信息安全技术。 （2）信息资源安全管理的特性 本质上，信息资源安全与信息的利用和权属相关，信息资源安全问题是指信息可用性和权属受到威胁。使信息资源免受威胁的方法和措施被称为信息安全技术，它主要关注信息在开发利用过程中面临的如下方面问题： （1）可用性。保证合法用户对信息的使用不会被不正当的拒绝。换言之，对有权限者，什么时候都可用。这里，信息资源可以是公有的也可以是私有的。 （2）保密性也称机密性。保证机密信息不被窃取，或窃取者不能了解信息的真实含义。显然这里的信息是私有信息（组织或个人），由权属（所有权或使用权）支配。 （3）认证性也称真实性。对信息的来源进行判断（身份认证），能对伪造来源的信息予以鉴别。 （4）一致性也称完整性。保证信息是一致或完整的，即信息在生成利用全过程中，内容不被非法用户篡改（信息内容认证）。 （3）行为规范管理 信息系统安全的行为规范管理包括国家和社会组织两个层面。 首先，国家根据社会发展特别是国家信息化发展的需要，逐步建立和完善信息安全的政策、法律和法规体系，对信息过程中的各种行为（如信息获取、信息传输、信息加工、信息发布、信息利用等）加以规范，即从法律和行政管理（政策、规程）的角度，约束和指导信息资源开发利用行为，以保证国家、组织和公民的信息权益，进而保护国家主权和利益不受侵犯。 其次，社会组织（如政府机构、企事业单位等）在国家政策和法规指导下，制定信息资源安全管理策略，从整体上，把握信息资源开发利用和安全管理的平衡点，设置保护对象的安全优先级，提出信息系统的安全目标，以及实现这些安全目标所运用的手段和采取的途径。 制定安全策略的步骤： （1）理解组织业务特征。只有了解组织业务特征，才能发现并分析组织业务所处的风险环境，并在此基础上提出合理的与组织目标一致的安全保障措施，定义出技术与管理相结合的控制方法。 （2）建立安全管理组织机制。要制定好的信息资源安全策略，必须与决策层进行有效沟通，并得到组织高层领导的支持与承诺。为此，通常要成立由高层管理人员、安全技术人员、部门相关人员等组成的工作组，来具体完成安全策略编制工作。 （3）确定信息资源安全的整体目标。描述信息资源安全的需求和预期达到的效果。 （4）确定安全策略的范围。根据实际情况确定信息资源安全策略要涉及的范围和控制管理内容。 （5）安全策略评估。通过专家评估、用户测试等方法，对安全策略的完备性、可用性进行评审，以确定其是否达到组织所需要的安全目标。 （6）安全策略实施。评估通过后，由管理层正式批准发布实施。 （4）实体安全问题及其安全管理策略 实体安全主要涉及信息系统的硬件及其运行环境，其安全与否对网络、软件、数据等的安全有着重要的影响。下面针对场地环境、硬件、介质等各类实体的安全威胁，讨论实体安全管理所采取的各种防护策略。 1.场地环境安全(P157) （1）场地。 （2）空气调节系统。 （3）防火管理。 2.硬件安全（P158） （1）硬件设备的档案管理。 （2）防电磁干扰。 （3）防电磁泄漏。 （4）电源安全。 3.介质安全（P158） （5）网络安全问题和主要安全技术 1.网络资源与网络安全管理 网络资源： （1）主机系统。各类提供网络服务的计算机系统，也称服务器。它包括硬件，也包括其中的系统软件、应用软件和数据。 （2）终端系统。发出各类服务请求的计算机系统，也称客户机。同样，它也包括硬件、软件和数据。 （3）网络互联设备。包括网线和接口；集线器、交换机、路由器以及网关、网桥系统等。 原则上，上述网络资源中的任何一项及其