管理信息系统8讲课.ppt

第八章 管理信息系统的安全管理 8.1 信息系统安全性概述 8.2 信息系统安全技术简介 8.3 信息系统的安全管理 [开篇案例]—如何保护商业秘密 案例思考题 从信息安全的角度考虑，你认为该公司在信息系统的管理上是否存在漏洞？ 对X公司来说，应该如何预防和杜绝此类案件发生？ 从该案例可以吸取什么教训？ 8.1 信息系统安全性概述 8.1.1 信息系统安全定义 保障计算机及其相关的和配套的设备、设施（含网络）的安全以及运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行 。 8.1.2 影响信息系统安全的主要因素 自然力及不可抗拒因素。自然力造成的地震、火灾、水灾、风暴、雷击等以及不可抗拒的社会暴力活动或战争等，这些因素将直接危害信息系统实体的安全。 硬件及物理因素。硬件及环境的安全可靠，包括机房设施、计算机主体、存储系统、辅助设备、数据通信设施以及信息存储介质的安全性。 电磁波因素。计算机系统及其控制的信息和数据传输通道，在工作过程中都会产生电磁波辐射，在一定地理范围内用无线电接收机很容易检测并接收到，这就有可能造成信息通过电磁辐射而泄露。另外，空间电磁波也可能对系统产生电磁干扰，影响系统正常运行。 8.2 信息系统安全技术简介 用户合法身份的确认与检验 数据访问控制 加密技术 防火墙技术 入侵检测 计算机病毒的防治 VPN技术 8.3 信息系统的安全管理 8.3.1 信息系统安全保护的一般原则 突出重点原则。对安全性等级低的系统少投入，对安全性等级高的重要系统多投入，就可以做到有的放矢。 综合治理原则。一方面要采用各种技术手段来提高安全防御能力，如数据加密、口令机制、电磁屏蔽、防火墙技术及各种监视、报警系统等；另一方面要加强法制建设和宣传，对计算机犯罪行为进行严厉的打击。 贯穿系统生命周期的原则。统的安全保护在系统分析、设计、实施、运行等阶段都应纳入总体进行考虑。 8.3.2 信息系统安全管理策略 1.法律法规保证。针对信息系统的法律、法规大体可分为社会规范和技术规范两类。这些法律和标准是保证信息系统安全的依据和主要保障。社会规范用于调整信息活动中人与人之间的行为准则，要结合安全保护的要求来定义合法的信息活动，对不正当的信息活动要予以民法或刑法的限制或惩处；技术规范是指各种技术标准和规程，如计算机安全标准、网络安全标准、操作系统安全标准、数据和信息安全标准、电磁兼容性标准、电磁泄露极限标准等。 [案例分析]—信息系统安全管理方案的设计 案例思考题 从信息安全技术的角度考虑，该安全方案主要采用了什么技术？ 还可以从哪些方面对该企业网络的安全进行管理？ 习题 8 信息系统安全管理包括哪些内容？ 信息系统安全技术有哪些？ 影响信息系统安全的主要因素有哪些？ 应如何进行企业信息安全管理？ 管理信息系统 信息系统的安全性分为 实体安全性。保证信息系统的各种设备及环境设施的安全而采取的措施，主要包括场地环境、设备设施、供电、空气调节与净化、电磁屏蔽、信息存储介质等的安全。 技术安全性。信息系统内部采用技术手段，防止对系统资源的非法使用和对信息资源的非法存取操作。 信息资源安全性。防止信息资源被故意或偶然的泄露、破坏、更改，保证信息使用的完整性、有效性和合法性。 网络安全性。一是资源子网中各计算机系统的安全性；二是通信子网中的通信设备和通信线路的安全性。 软件设计及数据因素。软件的非法删改、复制与窃取将使系统软件受到损失，并可能造成泄密。数据信息在存储和传递过程中的安全性，这是计算机犯罪的主攻核心，是必须加以安全和保密的重点。 计算机病毒。通过运行一段有破坏作用的程序来干扰和破坏系统正常工作，既可以破坏信息系统运行所需要的软件和硬件环境，也可以破坏信息系统中的数据资源。由于目前很多新型计算机病毒通常利用系统漏洞和网络大量地迅速传播，因此对其决不可掉以轻心。 人为及管理因素。操作失误为代表的无意威胁，如工作人员的误操作使信息被破坏或造成机密信息泄露等，以及以计算机犯罪为代表的有意威胁（恶意攻击）。管理因素主要指是否有严密的行政管理制度和法律法规，以防范人为因素对系统安全所造成的威胁。 用 户 用户标识和鉴别 DB 合法用户 存取控制 对象 授权规则 用户1 用户2 DBMS 访问控制 DB 密码存储 OS 操作系统安全保护 8.2.1 用户识别和鉴定。 用户身份的确认与检验是防止非法使用系统资源的主要方法。信息系统管理着系统中的全部资源，特定的用户只能各负其责，使用与自己业务相关的特定功能模块，非法用户是不能使用系统中的任何资源的。另外，对于用户超越自己的职权范围，使用其他功能模块，同样视为非法。而通过用户合法身份的确认与检验，将能够防止未经许可的人员有意或无