信息系统安全管理内容及发展趋势.docVIP

信息系统的安全管理内容及发展趋势 一、信息系统安全管理内容 通过以前的章节的学习,我们知道信息系统主要由三个要素构成,即:人、信息和信息技术。那么信息系统的安全管理也无外乎对这三个要素的管理和对三者关系的协调。人是信息系统安全管理的主导，管理的对象要从两个角度来看，从信息角度来说就是信息自身的安全，我们要防止信息的丢失和免遭破坏；从技术的角度来说就是整个系统的安全，我们要防止系统的瘫痪和免遭破坏。和在在当今的信息数字时代，人类通过信息系统获得财富和利益的同时，也面临着信息系统所带来的威胁。 信息系统经常面临的安全威胁：（这些威胁小则干扰信息系统的正常运行，或者带来经济损失，大则对一个国家的安全构成威胁） 1、未经授权使用、复制和传播电脑软件。（在全球，软件公司每年因盗版和非法复制遭受的损失达数百亿，其中大多数在发展中国家，我国尤为突出）2、员工擅自从企业数据库中搜索或复制资料。（所谓的家贼难防，员工的目的可能各有不同，有的为了金钱，有的为了报复，有的为了人情等等，不管是什么目的，都会给所在单位带来直接或间接的损失）3、病毒、木马程序的传播，对信息系统造成损害（我们现代人每天都要接触大量的信息，一些病毒和黑客也会混迹其中，稍有不慎，数据就会遭到破坏，甚至是系统瘫痪。而且都是先有新的病毒出现，产生不良的影响之后,才会有针对其的杀毒软件，好比矛盾之争，先有锐利的矛而后才有坚韧的盾，所以预防病毒是一项长期艰巨的任务）4、非法入侵计算机系统，窃取密码、资料或进行破坏人为或其它原因造成系统数据丢失，不满的员工或合作伙伴恶意破坏（五一放假之前，北邮主页是不是被黑了，黑客还把QQ留在上面，对我们学校影响很不好，看看我们学校的网络安全，再看看上网的网速，还自称通讯领域黄浦呢）5、因施工或设备维护保养不当或其它原因导致信息系统瘫痪（比如说施工挖断光缆；路由器、交换机等网络设备维护不当造成网络瘫痪） 针对信息系统所面临的安全威胁，我们在管理上还是以预防为主，管理的主要内容应包括： 1、建立严格的管理制度和操作规程，无论在信息系统的建设、应用和管理方面，都要有一套科学的标准（避雷系统施工的教训）2、经常备份数据，异地存放数据（911案例） 经常备份数据，可以在你的信息系统数据遭受破坏时，快速的恢复系统，使损失最低；异地存放数据，可以使信息系统在遭受毁灭性打击的时候，仍然可以保全数据。美国911那场空前的灾难，世贸大楼被夷平，许多公司的信息系统被彻底摧毁，包括用来备份数据的存储介质，但事实上，这些公司中的95%在灾难过后很快的又把信息系统重建起来，这得益于数据的异地存储，设备没了可以再买，数据没了，没有办法在短期重建，需要几年甚至十几年的积累，应了中国一句古话，留得青山在，不怕没柴烧。 3、应用反病毒软件和防火墙技术杀毒软件主要用来防病毒，防火墙软件用来防黑客攻击。虽然不能使你的信息系统决对安全，但它是保护信息安全不可或缺的一道屏障。 4、信息系统用户的身份确认身份确认是用来判断某个身份的确实性，例如对使用者、网络主机、档案或资料的识别，确认身份后，系统才可以依不同的身份给予不同的权限。实现身份认证主要有三种方法：1、口令；其应用较为广泛，但也有缺点，它的安全性相对较低（数据库密码）。2、拥有物件，（磁卡，如公交卡，水卡，餐卡）3、特征（声音，指纹，虹膜） 5、文件加密技术（加密原理） 6、信息传输过程中的安全问题（小到个人隐私，公司的信息安全,大到国家安全） 我们常说的一句话叫隔墙有耳，就是说两个人在说话时，所交流的信息被第三方获取，这时候是不是造成泄密？ 你打电话的时候，有人把电话线搭到你的电话线上，你通话的内容也会被窃听，这是在个人层面上，再来看一下国家之间，91年海湾战争期间，美国靠军事卫星、侦察机和设在沙特的监听站，大量截获伊拉克的军事情报，伊军的一举一动完全都在美国的掌握之中，最后伊军70万精锐的共和国卫队剩下不到30万人。 我们知道金属导线在有电流通过时，会产生磁场，磁场的强弱随电流强弱而变化，先进的监听设备可以收集这些电磁信号，进行分析，从而获得有用的信息，正是因为这样，我们国家在九十年代中后期，痛下决心，建成七横八纵十五条军用光纤通讯主干线，以防止军事情报外泄，2000年以后，美国人监听中国的军方通讯变的越来越困难，于是开始说中国军事不透明。不知道各位的亲威和朋友中有没有海军的，海军在出海执行秘密任务时，绝对不允许访问因特网或者给家里打电话，因为只要一有电讯号发射出去，你的行踪就会暴露。 二、安全管理的发展趋势 1．安全管理将成为信息管理的一项最基本的任务 安全管理的含义将上升为鉴定、认证和管理（（Authentication、Authorization、Administation，3A），它已成为客户、合作伙