G9 第9章 信息系统管理.pptVIP

2001年11月22日 企业资源管理研究中心( AMT ) (5)信息系统安全的内容 物理环境安全 网络安全 信息传输安全 信息存储安全 信息访问安全 制度安全 人员安全 有关防病毒方面的安全 (6)信息系统的安全支撑体系 日志 分析 自动 预警 系统 攻击 检测 数字证书应用管理系统 端到端的加密模块 网络防火墙，IP信道加密模块 链路加密模块 身份认证、访问控制应用支撑平台 Web监控、保护 其他应用系统 安全 策略 管理 分析 监控 系统 2. 信息系统场地和设备的安全 (1)场地与设施安全管理办法 应用信息系统的场地与设施安全管理涉及机房场地选择、防火、防水、防静电、防雷击、防鼠害、防辐射、火灾报警及消防设施等安全措施，以及对内部装修、供配电系统、空调系统、电磁波防护等技术要求。 《计算机场地安全要求》 《计算机场地技术条件》 (2)机房出入控制 机房出入控制是指对内部和外部人员进出工作现场的限制和规定，具体如下： 计算机信息中心，大中型计算机房采取分区控制。一般可分为三个区域：计算机主机房、数据处理区、辅助区。根据每个工作人员的实际工作需要规定能进入的区域，并对进入、退出时间及进入理由进行登记。对无权进入者的跨区域访问或外来者进入机房，必须经过有关安全管理人员的批准。 对各机房及区域的进出口控制，应根据其重要程度和安全管理级别采取必要的控制措施，防止无关人员进入；对具有安全管理二级以上要求的计算机房的进出控制，可采用几层电子门禁及报警等多重限制措施。 对网络中心机房应建立严格的进出管理制度，无关人员未经安全管理人员批准，严禁进入。 (3)电磁波防护 电磁干扰是一个双重性问题，不仅要考虑计算机系统易受工作环境中的电磁波干扰，而且还应考虑计算机电磁泄漏造成的信息泄漏。根据信息的重要程度和采取防护措施的代价，可以采用的防护措施如下： 设备防护。安全管理一级的应用信息系统，应采用具备防电磁波信号泄漏能力的设备，防止重要信息外泄； 建筑防护。安全管理二级以上（含二级）的应用信息系统的计算机房，在机房建设或改造时，应根据其重要程度，设计安装电磁屏蔽网板，防止电磁波的干扰和泄漏； 区域防护。电磁辐射强度随着距离衰减，安全管理四级以上的应用信息系统，可根据辐射强度，划定警戒区域，将计算机设备置于建筑物最内层处，禁止无关人员进出该区域。 除主计算机设备外，所有应用信息系统对终端机及其附属设备，也必须采取适当的、与安全管理等级要求相符的安全防护措施。 (4)磁场防护 由于永久磁场会造成载体上信息的变化，所以安全管理四级以上（含四级）的应用信息系统应采取以下防护措施： 机房内所有设备及物体表面的磁场强度允许范围在800A/m内，对机房内的所有设备，均应进行定期检查，防止磁场强度超标。 进入重要机房的人员、仪器、设备、工具等，需经过磁场检测器检查。 应使用磁带和磁盘存放柜，使闯入者用磁体接近磁记录表面较困难，载有重要内容的磁盘、磁带应保存在防磁屏蔽容器内。 使用后暂不用的盘带，应及时保存到安全存储场所，以便防止计算机本身磁源（如电源、喇叭、风扇、电机、磁盘驱动器等）的影响。 3. 信息系统的安全技术 (1)信息加密技术 ①信息加密技术的概念 利用密码技术隐蔽信息，实现安全传输和存储的技术 加密系统：未加密的报文，也称明文； 加密后的报文，也称密文； 加密、解密设备或算法； 加密、解密的密钥。 明文 加密设备 密文 传输 密文 解密密钥 明文 或算法或密钥 ②常用加密技术 电文加密：数字证书、CA认证中心 信道加密：链路加密、端-端加密、网络层加密 数字证书：数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构(CA认证中心)发行的，人们可以在交往中用它来识别对方的身份。数字证书的格式一般采用X.509国际标准。数字证书形同网络计算环境中的一种身份证，用于证明某一主体（如人、服务器等）的身份以及其公开密钥的合法性，又称为数字ID。数字证书由一对密钥及用户信息等数据共同组成，并写入一定的存储介质内，确保用户信息不被非法读取及篡改。 数字证书中用到了公共密钥加密技术。在最初申请数字证书的登记过程中，计算机将创建两把密钥：一把是公开的，它将在你的数字证书中公布并将寄存于认证中心。而另一把则是私人的，它将存放在用户的计算机上。 数字证书颁发过程如下：用户产生了自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证