第十四讲 信息系统的安全管理.ppt

一、IS的安全 * 第十四讲 信息系统的安全管理 引发信息系统安全的各种因素 信息系统安全管理的层次模型 信息系统安全的控制 物理控制 电子控制 软件控制 管理控制 信息系统安全的内容 物理安全 网络安全 操作系统安全 应用软件安全 数据安全 管理安全 物理控制和电子控制 物理控制是指采用物理保护手段的控制。 物理控制可以包括门锁、键盘锁、防火门和电源控制。 电子控制是指采用电子手段确定或防止威胁的控制。 电子控制可包括移动传感器、热敏传感器和湿度传感器。控制也可包括诸如标记和指纹、语音与视网膜录入控制等入侵者检验与生物进入控制。 物理控制与电子控制常被结合使用以对付威胁。 软件控制 软件控制是指在信息系统应用中为确定、防止或恢复错误、非法访问和其他威胁而使用的程序代码控制。 例如，软件控制可包括在特定时间中断计算机终端的程序用以监督谁在登录，联机多长时间，存取了哪些文件，使用了何种存取方式，比如是只读方式还是读写方式。 存取控制 数据是信息系统的中心，数据的安全是信息系统安全管理的核心。对信息系统的控制主要表现为对数据的存取控制。 所谓存取控制就是指，依靠系统的物理、电子、软件及管理等多种控制类型来实现对系统的监测，完成对用户的识别，对用户存取数据的权限确认工作，保证信息系统中数据的完整性、安全性、正确性，防止合法用户有意或无意的越权访问，防止非法用户的入侵。 存取控制的任务主要是进行系统授权，即确认哪些用户拥有存取数据的权力，并且明确规定用户存取数据的范围及可以实施的操作，同时监测用户的操作行为，将用户的数据访问控制在规定范围内。 系统授权的原则 1.最小特权原则，即用户只拥有完成分配任务所必须的最少的信息或处理能力，多余的权限一律不给予，这也称为“知限所需”原则。 2.最小泄露原则，用户一旦获得了对敏感数据信息或材料的存取权，就有责任保护这些数据不为无关人员所知，只能执行规定的处理，将信息的泄露控制在最小范围之内。 系统授权的原则 3.最大共享策略，让用户最大限度地利用数据库中的信息，但这不意味着用户可以随意存取所有的信息，而是在授权许可的前提下的最大数据共享。 4.推理控制策略，所谓的推理控制策略就是防止某些用户在已有外部知识的基础上，从一系列的统计数据中推断出某些他不应该知道、而且应当保密的信息。因此，必须限制那些可能导致泄密的统计查询。 *