毛概自测题 第七章.ppt

信 息 管 理 概 论 教师：朱晓辉 7.信息安全管理 7.1 信息与安全 7.2 信息管理体系 7.3 信息安全管理实践 根据“中国互联网络信息中心”和“国家互联网应急中心”联合发布的《2009年中国网民网络信息安全状况调查报告》显示：2009年， 71.9%的网民发现浏览器配置被修改，50.1%的网民发现网络系统无法使用，45%的网民发现数据、文件被损坏，41.5%的网民发现操作系统崩溃,而发现QQ、MSN密码、邮箱账号曾经被盗的网民占32.3%。2009年，网民处理安全事件所支出的服务费用共计153亿元人民币；在实际产生费用的人群中，人均费用约588.9元。 7.1信息与安全 7.1.1 信息与信息安全 7.1.2信息安全的主要研究内容 7.1.3信息安全的产生与发展 7.1.1 信息与信息安全 按字面意思，可以将信息安全理解为“信息安全就是使得信息不受威胁、损失”。但要全面完整地定义信息安全，则不是一件很容易的事。 国际标准化组织(ISO)定义的信息安全是“在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。此概念偏重采取的措施。 欧盟在1991年的“信息安全评估标准”(Version 1.2)中将信息安全定义为：“在既定的密级条件下，网络与信息系统抵御意外事件，对危及所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和机密性的行为进行防御的能力。” 我国信息安全专家沈昌祥院士将信息安全定义为：保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏，为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。 信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。但信息安全是相对的。 世界著名黑客米特尼克 信息安全是一个动态变化的概念，要完整地理解信息安全，需要从信息安全的属性和内容两方面入手。 在美国国家信息基础设施（NII）的相关文献中，给出了安全的5个属性：机密性(Confidentiality)、可用性(Avai1ability)、完整性(Integrity)、可控性(Controllability)和不可否认性(Non repudiation)。其中可用性、机密性、完整性是信息安全的三个基本属性。 信息的机密性是指确保只有那些被授予特定权限的人才能够访问到信息。 通俗地讲，就是说未授权的用户不能够获取敏感信息。 一般可以根据信息的重要程度和保密要求将信息分为不同密级，如所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息。 信息的完整性是指要保证信息和处理方法的正确性和完整性，即网络中的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏，保证授权用户得到的信息是真实的。 信息的完整性包括两个方面：一方面是指在信息的生命周期中，不发生篡改信息、丢失信息、错误信息等现象；另一方面是指确保信息处理的方法的正确性，使得处理后的信息是系统所需的获得正确的、适用的信息。 信息的可用性是指授权主体在需要信息时能及时得到服务的能力，即信息及相关的信息资产在授权人需要的时候，可以立即获得。 由于服务器负荷过大而使得授权用户的正常操作不能及时得到响应，或者由于网络通讯线路的断开使得信息无法获取等等，这些都是属于对信息的可用性的破坏。 信息的可控性是指对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。 对于获得了信息，尤其是敏感信息资源的主体，如果对信息进行篡改、窃取以及恶意散播的话，安全系统显然会失去了效用。 严格控制和规范获得信息的主体对信息进行修改、更新、删除、拷贝、传输等操作的权限是提高信息可控性的主要途径和方法。 信息的不可否认性也称抗抵赖性、不可抵赖性，是指在网络环境中，信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。 在日常生活中，人们通过纸介质上的印章或签名来解决信息的不可否认性问题。但在电子政务和电子商务应用系统中，传统的印章或签名已不能使用，当前只有依靠数字签名技术来解决信息的不可否认性问题。 7.1.2