《信息资源与管理》课件PPT：7信息资源的安全管理.pptVIP

第七章 信息资源的安全管理 信息资源安全管理综述 计算机软件安全 数据库安全 计算机网络安全 信息系统的安全 电子商务安全 7.1 信息资源安全管理综述 信息安全包括四个方面： 信息处理的要求： 信息组织的层次： 信息运行的环境： 信息管理的观点： 信息资源安全针对信息的采集、传输、加工、存储和利用的全过程与这一过程相关的信息及其载体，各类硬件设备和软件等被非法破坏、窃取和使用。 信息资源的管理的安全从两方面加以保证， 技术安全： 管理安全： 7.1.1 系统授权和数据加密技术 1、系统授权 (1) 授权方案 (2) 授权实施 识别和验证 决定用户的访问权限 2、数据加密 单密钥体制 双密钥体制 7.1.2 计算机犯罪及其防范 特征： 犯罪方法新、作案时间短、不留痕迹、内部人员犯罪比重增加、犯罪区域广、利用技术或管理漏洞作案。 采用的技术手段： 数据破坏、特络伊木马、香肠术、逻辑炸弹、陷阱术、寄生术、超级冲杀、异步攻击、废品利用、计算机病毒、伪造证件。 安全控制： 数据输入控制 通信控制 数据处理控制 数据存储控制 访问控制 7.1.3计算机病毒及其防范 计算机病毒的概念 特征： 传染性、潜伏性、可触发性、欺骗性、衍生性、破坏性 种类： 引导型、操作系统型、入侵型、文件型病毒、外壳型病毒 计算机病毒结构和破坏机理 感染标志、感染模块、触发模块、破坏模块和主控模块 计算机病毒的防范措施 1)技术手段 软件预防 硬件预防 2)管理手段 社会对计算机病毒防范的法律、制度与措施； 计算机用户对计算机病毒的防范措施 7.1.4信息资源安全管理与审计 安全管理内容 同一性检查 用户使用权限检查 建立运行日志 安全管理原则 多人负责原则 任期有限原则 职责分离原则 安全管理审计 审计跟踪 入侵检测 7.2 计算机软件的安全 7.2.1威胁软件的安全主要形式 以软件为手段，获取未经授权或授权以外的信息。 以软件为手段，阻碍信息系统的正常运行或其他用户的正常使用。 以软件为对象，破坏软件完成指定功能， 以软件为对象，复制软件。 7.2.2 软件安全的基本要求 防复制 静态分析 防动态跟踪 7.2.3 系统软件的安全 访问控制 自主访问控制 强制访问控制 有限访问控制 共享/独占访问控制 隔离控制 物理隔离 时间隔离 加密隔离 逻辑隔离 存储保护 基址/边界寄存器 内存标志 分段技术 所保护 7.2.4 应用软件的安全 对数据安全的影响 对系统服务的影响 注意的问题： 7.3 数据库安全 7.3.1 数据库安全基本概述 数据库安全基本概述 数据库安全的重要性 数据库面临的安全威胁 系统内部的威胁 人为的威胁 外部环境的威胁 数据库基本安全要求 数据库完整 数据元素的完整 可审计 存取控制 用户认证 并发控制 7.3.2 数据库的安全保护机制及控制方法 1、安全保护机制 操作系统安全 数据库管理系统安全 2、安全控制的一般方法 口令保护 数据库加密 数据验证 检查原始凭证 录入数据的安全控制 数据库授权 7.4 计算机网络安全 特点： 易受到攻击；防范对象难以明确；犯罪手段多样、不易发现；安全措施与灵活使用存在矛盾；危害很大。 衡量网络安全的指标有三个： 保密性、可控制性和抗攻击性 7.4.1影响网络安全的主要因素 网络部件的不安全因素 电磁泄漏、搭线窃听、非法终端、非法入侵、注入非法信息、线路干扰 、病毒入侵、黑客攻击。 软件的不安全因素 工作人员的不安全因素 环境的不安全因素 7.4.2 网络系统的安全功能 1网络的安全目标 2网络的安全功能 对象认证、访问控制、数据保密、数据可审查、不可抵赖 7.4.3 网络安全技术 1数据加密 链路加密 端－端加密 混合加密 2 网络中密钥的管理 密钥的种类 数据加密密钥 基本密钥 主密钥 其他密钥 密钥的分配 只用会话密钥 采用会话和基本密钥 采用公开密钥密码体制的密钥分配。 密钥的注入 密钥的存储保护 密钥的更换人 3 网络中访问控制 用户身份的识别和验证 访问控制 审计跟踪 4 鉴别机制 站点鉴别 报文鉴别 报文内容、报文源、报文宿、报文时间性的鉴别 5 数字签名 6 防火墙技术 目的： 基本功能： 控