第八章 安全管理信息系统.docVIP

第八章 安全管理信息系统安全 8.1 安全管理信息系统安全 8.1.1 信息安全的内涵 关于信息安全，不同的人从不同的角度给出不同的定义。 我国计算机信息系统安全专用产品分类原则给出的定义是：“涉及实体安全、运行安全和信息安全三个方面。” 国家信息安全重点实验室给出的定义是：“信息安全涉及到信息的机密性、完整性、可用性、可控性。目的就是要保障电子信息体系的有效性。” 美国国家安全局信息保障主任给出的定义是：“因为术语‘信息安全’一直表示信息的机密性，在国防部我们用‘信息保障’来描述信息安全，也叫‘IA’。包含5种安全服务，包括机密性、完整性、可用性、真实性和不可抵赖性。 我国信息安全专家沈昌样院士将信息安全定义为：保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏，为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。 国际化标准组织ISO信息安全提出的建议定义是:“为数据处理系统建立和采取的技术和管理的安全保护。保护计算机硬件、软件数据不因偶然的和恶意的原因而遭受破坏、更改、泄漏”。 综合起来，信息安全是指信息在存贮、获取、传递和处理过程中保持其完整、真实、可用和不被泄漏的特性。更进一步地，信息系统安全可定义为:确保以电磁信号为主要形式的、在计算机网络化系统进行自动通信、处理和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性的，与人、网络、与环境有关的技术安全、结构安全和管理安全的总和。 8.1.2 信息安全管理的内涵 信息安全管理是通过维护信息的机密性、完整性和可用性等来保护和管理信息资产的一项体制，是为了实现信息安全的目标而进行指导、规范和管理的一系列活动和过程。信息安全管理是企业信息安全保障体系的重要组成部分，是企业发展不可或缺的一部分，对于保护信息资产、降低风险具有重要作用。信息安全管理工作包括制定信息安全方针政策、风险识别、控制目标与制定规范的操作流程、以及对人员进行信息安全培训教育等工作。 8.1.3 信息系统安全的主要威胁 凡是使用信息系统的人都知道，灾难可能降临在存储的信息或计算机系统头上。有些是意外灾难，由于停电、电脑使用者没有经验，或是错误使用等原因引起；而有些则是怀有恶意的破坏者故意造成的。信息系统安全的主要威胁包括以下几个方面: （1）意外事件及自然灾害。停电，电脑操作人员的经验不足或粗心，宠物从电脑键盘走过，等等。 （2）企业员工和技术顾问。可以访问电子文档的企业内部人员。 （3）外部业务往来。电子信息作为业务往来的一部分在两个或更多的业务伙伴间往来就可能存在风险。 （4）外部入侵者。侵入网络和电脑系统进行偷窥或破坏的黑客和破坏者（目前在网络上很嚣张的各种病毒就属于这种类型）。 破坏信息系统通常情况下有以下几种方式：未授权访问、信息篡改、拒绝服务、病毒，以及垃圾邮件、间谍软件和Cookie文件。下面就来讨论这些内容。 1.未经授权访问 人们在无权查看、操作或处理信息的情况下，浏览电子文档查找自己感兴趣的或有用的数据、在屏幕前窥视专有的或机密的信息，或者在信息发布途中将其截获，都属于未授权访问攻击。 未授权访问通过偷窃电脑，偷窃存储介质（例如可移动闪存、光盘、或备份磁带），或者仅是打开电脑上未设限制访问的文件就能实现。如果好几个用户共享电脑信息，比如说在一个企业里，内部系统管理员可以要求输入正确的许可信息来阻止对信息的随意窥视或偷窃。此外，管理员可以记录下来未授权个人登录访问的信息。然而，有心的攻击者会想方设法给自己系统管理员的身份或提高自己的访问级别，有时通过窃取密码作为已授权用户登录系统。 一种常见的访问密码保护系统的方式是蛮力破解法，即尝试使用大量不同的密码直到找到相匹配的密码。有些系统试图通过增加不成功登录的等待时间，或是使用一种叫CAPTCHAS的验证码识别技术来对付蛮力法。CAPTCHA即全自动区分计算机和人类的图灵测试，它指的是这样一种技术，通常显示为一个组合有字母、数字的扭曲图像，用户必须将图像里的内容输入到格子里（在填写完其他相关信息之后）才能提交。因为图像是扭曲的，所以目前只有人类的眼睛可以识别出这些字母或者数字，从而可以避免自动处理机制不断重复尝试提交表单来获取许可进入系统。 2.信息篡改 信息篡改攻击是指有人访问电子信息然后通过某种方式改变信息的内容，比如某员工侵入薪资系统给自己电子加薪和分红，或者黑客入侵政府网站修改信息。 3.拒绝服务 拒绝服务攻击是指电子入侵者故意地阻止某项服务的合法用户使用该服务。入侵者经常通过使位于家里、学校或企业的没有安全系统（或安全系统很弱）的电脑感染上病毒或蠕虫 来实施这种攻击。当上网的电