管理信息系统8课件1.pptVIP

第八章 管理信息系统的安全管理;[开篇案例]—如何保护商业秘密 案例思考题 从信息安全的角度考虑，你认为该公司在信息系统的管理上是否存在漏洞？ 对X公司来说，应该如何预防和杜绝此类案件发生？ 从该案例可以吸取什么教训？;8.1 信息系统安全性概述;信息系统的安全性分为 实体安全性。保证信息系统的各种设备及环境设施的安全而采取的措施，主要包括场地环境、设备设施、供电、空气调节与净化、电磁屏蔽、信息存储介质等的安全。 技术安全性。信息系统内部采用技术手段，防止对系统资源的非法使用和对信息资源的非法存取操作。 信息资源安全性。防止信息资源被故意或偶然的泄露、破坏、更改，保证信息使用的完整性、有效性和合法性。 网络安全性。一是资源子网中各计算机系统的安全性；二是通信子网中的通信设备和通信线路的安全性。;8.1.2 影响信息系统安全的主要因素 自然力及不可抗拒因素。自然力造成的地震、火灾、水灾、风暴、雷击等以及不可抗拒的社会暴力活动或战争等，这些因素将直接危害信息系统实体的安全。 硬件及物理因素。硬件及环境的安全可靠，包括机房设施、计算机主体、存储系统、辅助设备、数据通信设施以及信息存储介质的安全性。 电磁波因素。计算机系统及其控制的信息和数据传输通道，在工作过程中都会产生电磁波辐射，在一定地理范围内用无线电接收机很容易检测并接收到，这就有可能造成信息通过电磁辐射而泄露。另外，空间电磁波也可能对系统产生电磁干扰，影响系统正常运行。;软件设计及数据因素。软件的非法删改、复制与窃取将使系统软件受到损失，并可能造成泄密。数据信息在存储和传递过程中的安全性，这是计算机犯罪的主攻核心，是必须加以安全和保密的重点。 计算机病毒。通过运行一段有破坏作用的程序来干扰和破坏系统正常工作，既可以破坏信息系统运行所需要的软件和硬件环境，也可以破坏信息系统中的数据资源。由于目前很多新型计算机病毒通常利用系统漏洞和网络大量地迅速传播，因此对其决不可掉以轻心。 人为及管理因素。操作失误为代表的无意威胁，如工作人员的误操作使信息被破坏或造成机密信息泄露等，以及以计算机犯罪为代表的有意威胁（恶意攻击）。管理因素主要指是否有严密的行政管理制度和法律法规，以防范人为因素对系统安全所造成的威胁。;8.2 信息系统安全技术简介 ;用 户;8.2.1 用户识别和鉴定。 用户身份的确认与检验是防止非法使用系统资源的主要方法。信息系统管理着系统中的全部资源，特定的用户只能各负其责，使用与自己业务相关的特定功能模块，非法用户是不能使用系统中的任何资源的。另外，对于用户超越自己的职权范围，使用其他功能模块，同样视为非法。而通过用户合法身份的确认与检验，将能够防止未经许可的人员有意或无意地误入到系统中。 输入用户名（标明身份）、回答密码（确认身份）、回答对随机数的运算结果确定合法用户的计算机。 由于仅靠密码对系统的安全性已不能完全保证，所以一些重要的系统需要指纹、虹膜、声音等用户自身特有的自然特征作为标识。些方法组合运用，将有效防止绝大多数非法用户入侵。;8.2.2 数据访问控制 访问数据库的权限：读权限、插入权限、修改权限、删除权限 修改数据库模式权限：索引权限、资源权限、修改权限、删除权限 存取机制的构成。 定义用户权限，将用户权限登记到数据字典中。 用户权限是指用户对于数据对象能够执行的操作种类，其语言称为数据控制语言DCL；具有授权资格的用户使用DCL描述授权决定，并把授权决定告知计算机；计算机分析授权决定，并将编译后的授权决定存放在数据字典中。 当用户提出操作请求时，系统进行权限检查，拒绝用户的非法操作。 每当用户发出存取数据库的操作请求后，DBMS先要查找数据字典，进行合法权限检查。若通不过，系统将拒绝执行此操作。;8.2.3 加密技术 数据以加密的形式存储在表中。 加密是根据一定的算法将原始数据（明文，Plain text）变换为不可直接识别的格式（密文，Cipher text），从而使得不知道解密算法的人无法获得数据的内容。 加密方法主要有两种： 替换方法。使用密钥将明文中的每一个字符转换为密文中的字符。 置换方法。仅将明文的字符按不同的顺序重新排列。;防火墙;8.2.6 计算机病毒的防治 计算机病毒是一种破坏性和感染性很强的程序。与其他程序的不同之处在于，当它进入正常工作的计算机后，会把已有的信息搞乱或破坏，而且会进行自我复制，破坏正常程序的运行。;8.2.7 VPN技术 VPN（Virtual Private Network）是指采用了TCP/IP安全技术，借助现有的Internet网络环境，在公开网络信道上建立的逻辑上的组织专用网络。采用VPN技术的目的是为了在不安全的信道上实现安全信息传输，保证企业内部信息在Internet上传输时的机密性和完整性。