MIS第8章信息系统安全重点.ppt

8.3.3 安全政策 企业确定信息系统的主要风险后，就需要制定安全政策保护企业资产。 安全政策 可接受使用政策 授权政策 授权管理系统 8.3.4 灾害恢复计划和业务连续性计划 灾害恢复计划 1 业务连续性计划 2 8.3.5 审计在安全控制中的角色 8.4 保护信息资源的技术与工具 8.4.1 访问控制 访问控制 access control 是企业用来防止未经授权的内部访问和外部访问的所有政策和程序。用户须在授权和认证后才可访问系统中的信息。 8.4 保护信息资源的技术与工具 8.4.1 访问控制 认证 authentication 用于确认用户的真实身份。访问控制软件只允许经过认证的授权用户使用系统或访问数据。 通常情况下，用户可通过密码完成认证。终端用户可输入密码登录计算机系统，访问特定的系统和文件。然而，用户有时会忘记密码，与他人共用一个密码，或者密码设置过于简单，这些都会影响系统的安全性。 密码系统 令牌 智能卡 生物识别认证 8.4.2 防火墙、入侵探测系统与杀毒软件 防火墙是由软件和硬件设备组合而成，控制进出网络的通信。防火墙一般设置在组织专用的内部网络和外部网络 如互联网 之间，也可用于内部网络，把某个部分与其他部分分隔开来。防火墙如同看门人，在允许访问之前，检查每个用户的凭证。防火墙可识别名称、IP地址、应用程序和进入网络通信的其他特征。它根据网