信息资的安全管理.pptVIP

重庆工学院计算机学院陈庄 信息资源的安全管理 内容提要（1/3） 6.1 信息资源安全管理概述（掌握） 6.1.1 信息资源安全的概念 6.1.2 威胁信息资源安全的主要因素 6.1.3 信息资源的安全管理模型 6.2 安全管理制度 （了解） 6.2.1 法律法规 6.2.2 行政管理 6.2.2.1 安全管理原则 6.2.2.2 安全管理的措施 6.3 环境安全 （掌握） 6.3.1 场地安全 6.3.2 中心机房安全 内容提要（2/3） 6.4 物理实体安全（了解） 6.4.1 设备布置安全 6.4.2 设备供电安全 6.4.3 电缆安全 6.4.4 设备维护安全 6.4.5 场所外设备安全 6.4.6 设备的处置及再利用安全 6.5 网络安全 （难点，了解） 6.5.1 网络安全的涵义 6.5.2 网络安全的技术措施 6.5.2.1 数据加密技术 6.5.2.2 密钥管理技术 6.5.2.3 访问控制技术 6.5.2.4 反病毒技术 6.5.2.5 防火墙技术 内容提要（3/3） 6.6 软件安全（掌握） 6.6.1 软件安全的涵义 6.6.2 系统软件安全 6.6.3 应用软件安全 6.7 数据信息安全（难点，了解） 6.7.1 数据库系统安全技术 6.7.2 数据备份技术 6.7.3 终端安全技术 6.7.4 数据完整性鉴别技术 6.7.5 数据签名技术 6.7.6 信息审计跟踪技术 6.7.7 PKI技术 作业 （…….） 6.1.1 信息资源安全的概念（1/2） 1、什么是信息资源安全？ 是指信息资源所涉及的硬件、软件及应用系统受到保护，以防范和抵御对信息资源不合法的使用和访问以及有意无意的泄漏和破坏。 2、信息资源管理涉及的内容有哪些？ 信息资源安全的范畴 》计算机安全/软件安全/网络安全。 信息资源安全包括了从信息的采集、传输、加工、存储和使用的全过程所涉及的安全问题。 从信息处理的角度，包括： 内容的真实无误，以保证信息的完整性； 信息不会被非法泄漏和扩散，以保证信息的保密性； 信息的发送和接收者无法否认自己所做过的操作行为，以确保信息的不可否认性。 6.1.1 信息资源安全的概念（2/2） 2、信息资源管理涉及的内容有哪些？（续） 从信息组织层次的角度，包括： 系统的管理者对网络和信息系统有足够的控制和管理能力，以保证信息的可控制性； 准确跟踪实体运行达到审计和识别的目的，以保证信息的可计算性； 网络协议、操作系统和应用系统能够相互连接、协调运行，以保证信息的互操作性。 从信息运行环境角度，包括： 各种各样硬件设施的物理安全。 从信息管理规范的角度，包括： 各种各样的规章制度、法律法规、人员安全性等。 6.1.2 威胁信息资源安全的主要因素（1/3） 三个方面：天灾、人祸和信息系统自身的脆弱性。 1、天灾 指不可控制的自然灾害，如地震、雷击、火灾、风暴、战争、社会暴力等。 天灾轻则造成业务工作混乱，重则造成系统中断甚至造成无法估量的损失。 2、人祸 人祸包括 “无意”人祸和“有意”人祸。 （1） “无意”人祸：是指人为的无意失误和各种各样的误操作。典型“无意”人祸有： 操作人员误删除文件； 操作人员误输入数据； 系统管理人员为操作员的安全配置不当； 用户口令选择不慎； 操作人员将自己的帐号随意转借他人或与别人共享。 6.1.2 威胁信息资源安全的主要因素（2/3） 2、人祸（续） （2） “有意”人祸：指人为的对信息资源进行恶意破坏的行为。“有意”人祸是目前信息资源安全所面临的最大威胁。“有意”人祸主要包括下述三种类型： 恶意攻击：主要有主动攻击和被动攻击两种形式。其中，主动攻击是指以某种手段主动破坏信息的有效性和完整性；被动攻击则是在不影响信息（或网络）系统正常工作的情况下，截获、窃取、破译重要机密信息。这两种恶意攻击方式均可对信息资源造成极大的危害，并导致机密数据的泄漏。 违纪：是指内部工作人员违反工作规程和制度的行为。例如：银行系统的网络系统管理员与操作员的口令一致、职责不分等。 违法犯罪：包括制造和传播病毒/ 非法复制。例如，侵犯著作权、版权等/ 窃取机密/ 金融犯罪/ 色情犯罪，例如：利用网络传播色情图文、贩卖色情物品、进行色情交易等/ 宣传邪教、恐怖主义、种族歧视等/ 制造谣言。例如，在有关主页上发布虚假信息、假新闻等/ 诬蔑诽谤。例如，利用计算机进行非法的图像合成、搞张冠李戴等。 6.1.2 威胁信息资源安全的主要因素（3/3） 3、信息系统自身的脆弱性 计算机硬件系统的故障。 因生产工艺或制造商的原因，计算机硬件系统本身有故障，如电路短路、断路、接触不良等引起系统的不稳定、电压波动