管理信息系统P资料.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 内部人员问题 内部人员在信息安全方面的危害 过失：基于注意力、记忆上失误等非故意行为的原因，造成错误的结果； 错误：由信息安全规则和知识上的缺陷导致，它是因为故意的行为（用户认为正常的操作）导致了无意的结果（信息安全被破坏）； 入侵：这是一种蓄意的行为，对信息安全的破坏结果正是用户所期望的。 应对方法 信息安全培训；分散直接工作难度；化解员工敌意；资源和专业人员配置。 恶意代码 计算机病毒：能够通过自身复制传染，起破坏作用的计算机程序 。 蠕虫（worm）病毒：通过分布式网络来扩散特定的信息或错误的，进而造成网络服务器遭到拒绝并发生死锁。 木马：包含在合法程序中的非法的程序。 逻辑炸弹：在特定逻辑条件满足时实施破坏的计算机程序。 黑客通过网络对信息系统的可能威胁 环境与自然灾害 环境灾害 电力故障 电磁辐射 灰尘 自然灾害 火灾 水灾 雷电 地震 信息系统安全管理的必要性 技术角度上，信息系统是脆弱的，因为现在信息交换和传输的网络极其架构（协议）是开放的。 开放性意味着，所有信息和资源可以通过网络共享，远程和匿名访问变得可能；信息系统自身组成缺陷。 由于认知和实践能力的缺陷，系统的建设过程中不可避免的要留下许多漏洞；大量的恶意攻击对信息系统的侵害。 安全信息系统平台 安全操作系统 只有在保证操作系统安全的前提下，讨论信息系统的安全才有意义。 安全数据库管理系统 数据库系统作为信息的聚集体，是计算机信息系统的核心部件。 有效地保证数据库系统的安全，也就在数据的存储和运算阶段保证了信息数据的保密性、完整性和有效性。 设计开发可靠的系统应用程序 可用性：应用程序出现和就绪以供使用的能力。 易管理性：应用程序可被管理的能力。 性能：在负载下应用程序运行的衡量。 可靠性：应用程序以可预知方式运行的能力。 可伸缩性：应用程序满足随资源增加而渐增的要求的能力。 安全性：应用程序保护其资源的能力。 密码系统 密码系统由算法、明文、密文、密钥四部分组成。 密码分类 执行操作方式：替换密码（Substitution）和换位密码 密钥数量：密码可分为对称密钥密码、非对称密钥密码和混合加密体制 对称密钥 非对称密钥 鉴别、认证技术与数字签名 鉴别用来保障通信的真实性。包括：对等实体鉴别和数据源鉴别。 认证（Identification）用来保障信息处理用户的合法性。主要认证方式有： 基于用户标识的认证； 基于令牌(Token)的认证； 基于数字签名的认证； 基于生物信息特征的认证。 访问控制（Access Control） 访问控制的两种措施 用户身份认证：识别与确认访问信息的用户； 信息访问控制：决定授权用户对信息资源的访问类型（读、写、运行）。 访问控制的两种类型： 访问控制：信息资源的安全属性由用户根据需要设定； 强制访问控制：信息资源的安全属性由系统管理员或操作系统设定或分配，用户不能随意修改。 安全系统中的身份鉴别与访问控制