MIS中的信息安全.pptVIP

MIS中的信息安全 计算机系统使用中的伦理和法律 知识产权 盗版软件 在某些地区，超过90%的商业软件是盗版的 专利 隐私权 个人之间 公司和雇员之间 企业与客户之间 政府与公民之间 侵犯隐私权的技术手段 按键记录软件 屏幕捕获程序 数据包检查软件 安全的电子邮件？ 身份盗用 监控技术 RFID 隐私权与顾客 Cookies LBS（location based services） SPAM（大约85%的邮件属于SPAM） 广告软件和间谍软件 信息安全的基本属性 主要表现在以下五个方面 1．完整性（Integrity） 完整性是指信息在存储或传输的过程中保持未经 授权不能改变的特性。 2．保密性（Confidentiality） 保密性是指信息不被泄露给未经授权者的特性。。 3．可用性（Availability） 可用性是指信息可被授权者访问并按需求使用的特性。即保证合法用户对信息和资源的使用不会被不合理地拒绝。 信息安全的基本属性 4．不可否认性（Non-repudiation） 不可否认性也称为不可抵赖性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。发送方不能否认已发送的信息，接收方也不能否认已收到的信息。 5．可控性（Controllability） 可控性是指对信息的传播及内容具有控制能力的特性。授权机构可以随时控制信息的机密性，能够对信息实施安全监控。 信息安全的任务 信息安全的任务是保护信息财产，以防止偶然的或未授权者对信息的恶意泄露、修改和破坏，从而导致信息的不可靠或无法处理等。这样可以使得我们在最大限度地利用信息为我们服务的同时而不招致损失或使损失最小。 防护与攻击 信息安全的任务就是要实现信息的上述五种安全属性。对于攻击者来说，就是要通过一切可能的方法和手段破坏信息的安全属性。 信息安全的管理 来自合法用户的攻击是最容易被管理者忽视的安全威胁之一，事实上，80%的网络安全事件与内部人员的参与相关。网络管理的漏洞往往是导致这种威胁的直接原因。 安全管理内容 人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。 信息安全管理历史回顾 信息是一种资产，与其它资产一样，应受到保护。信息安全的作用是保护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的投资回报和商机。 目前，信息安全仍依靠技术手段与不成体系的管理规章来实现。 信息安全管理历史回顾 信息安全管理现状 在国家宏观信息安全管理方面，主要有以下几方面的问题。 法律法规问题 管理问题 国家信息基础建设问题 信息安全管理现状 在国家微观信息安全管理方面，主要有以下几方面的问题。 缺乏信息安全意识与明确的信息安全方针 重视安全技术，轻视安全管理 安全管理缺乏系统管理的思想 基于风险分析的安全管理方法 传统管理模式的弊端与技术手段的局限性 静态的、局部的、少数人负责的、突击式的、事后纠正式的管理方式 单独依靠技术手段来实现安全，安全技术没有适当的管理和程序来支持 信息安全来自“三分技术，七分管理”，必须重视信息安全管理 基于风险分析的安全管理方法 信息安全管理模型 制定信息安全方针为信息安全管理提供导向和支持 控制目标和控制方式的选择建立在风险评估的基础之上 考虑控制费用与风险平衡的原则，将风险降至组织可以接受的水平 预防控制为主的思想原则 基于风险分析的安全管理方法 信息安全管理模型 商务持续性原则（即从故障与灾难中恢复商务运做，减少故障与灾难对关键商务过程的影响） 动态管理原则 全员参与原则 遵循管理的一般循环模式——Plan-Do-Check-Action的持续改进模式 基于风险分析的安全管理方法 与风险评估有关的概念 威胁：可能对资产或组织造成损害的事故的潜在原因 薄弱点：资产或资产组中能被威胁利用的弱点 风险：特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可 能性 风险评估与管理基本概念 与风险评估有关的概念 影响：有害事故的结果，即威胁一旦发生给组织带来的直接和间接损失 风险评估：对系统的所有安全要素（包括威胁、影响和薄弱点）的多种评测数据进行分析、统计、以确定系统存在的安全隐患和风险级别。 风险评估与管理基本概念 与风险管理有关的概念 风险管理：以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程 安全控制：降低安全风险的惯例、程序或机制 剩余风险：实施安全控制后，剩余的安全风险 适用性声明：适用于组织需要的目标和控制的评述 风险评估与管理基本概念 术语概念之间的关系 为了帮助理解，我们举一个例子：我口袋里有100块钱