信息资源管理2010版教材高分宝典第6章.docVIP

第六章 信息资源安全管理 6.1信息资源安全管理内涵 信息资源安全管理 是指针对普遍存在的信息资源安全问题，人们利用各种技术方法和组织手段，所进行的有计划的管理活动。 本质上，信息资源安全与信息的利用和权属相关，信息资源安全问题是指信息可用性和权属受到威胁。 信息安全技术 指使信息资源免受威胁的方法和措施。 在开发利用过程中面临的如下方面的问题：可用性，保密性（机密性），认证性（真实性），一致性（完整性）。 信息资源安全管理的主要任务是： 采取技术和管理措施，保证信息资源可用，即使信息和信息系统在任何时候可被合理用户使用； 采用数据加密技术，使信息在其处理过程中，内容不被非法者获得； 建立有效的责任机制，防止用户否认其行为； 建立可审查的机制，实现责任追究性。 6.2信息资源安全的系统管理 6.2.1信息系统安全模型 技术安全(核心) 7层：数据信息安全 6层：软件系统安全 5层：通信网络安全 实体安全 4层：硬件系统安全 3层：物理实体安全 行为规范 2层：管理制度措施 1层：法规道德纪律 6.2.2行为规范管理 信息系统安全的行为规范管理包括国家和社会组织两个层面。 国家根据社会发展特别是国家信息化发展的需要，逐步建立和完善信息安全的政策、法律和法规体系，对信息过程中的各种行为加以规范，即从法律和行政管理的角度，约束和指导信息资源开发利用行为，以保证国家、组织和公民的信息权益，进而保护国家主权和利益不受侵犯。 社会组织在国家政策和法规指导下，制定信息资源安全管理策略，从整体上，把握信息资源开发利用和安全管理的平衡点，设置保护对象的安全优先级，提出信息系统的安全目标，以及实现这些安全目标所运用的手段和采取的途经。 制定安全策略的步骤： 理解组织业务特征； 建立安全管理组织机制； 确定信息资源安全的整体目标； 确定安全策略的范围； 安全策略评估； 安全策略实施； 6.2.3实体安全管理 实体安全主要涉及信息系统的硬件及其运行环境，其安全与否对网络、软件、数据等的安全有着重要的影响。 主要考虑：场地环境安全（场地、空调系统、防火管理）、硬件安全（硬件档案、防电磁干扰、防电磁泄漏、电源安全）、介质安全（分类存储管理、注意七防、定期检查清理）等各类实体的安全。 6.2.4网络安全管理 网络资源包括：主机系统、终端系统、网络互联设备。 网络安全技术：网络分段与VLAN、防火墙技术、VPN（虚拟专用网）、入侵检测、病毒防治等。 6.2.5软件安全管理 一个信息系统由人员、硬件、软件、数据、操作规则等五要素组成。 软件安全问题：信息资产受到威胁、软件应用安全问题。 系统软件安全管理：系统软件安全操作系统安全和应用支撑软件安全、应用软件安全和恶意程序及防治。 恶意程序及其主要表现形式：恶意程序 是指未经授权在用户不知道的情况下，进入用户计算机系统中，影响系统正常工作，甚至危害或破坏系统的计算机程序。它具有破坏性、非法性和隐蔽性的特点。 6.2.6数据安全管理 安全的数据库的基本要求： 可用性即易用性——用户界面友好、合法用户可以便捷地访问数据库； 保密性——用户身份识别、信息保密、访问控制； 完整性——物理数据库完整性、逻辑数据库完整性、数据库属性数据的完整性； 可维护性——可审计、备份策略。 6.2.7数据库管理系统中的安全技术措施： 用户及其权限管理、访问控制、数据加密、日志与审计、数据备份等 6.3数据加密技术及其应用 6.3.1阐述数据加密的基本模型及其不同密码体制。 加密 C=E(M,Ke) 明文M----------------------------------------密文C 解密 M=D(C,Kd) 当Ke=Kd，称加解密算法为对称密码体制，当Ke≠Kd，称加解密算法为非对称密码体制或公钥体制。 6.3.2机密技术及其应用 RSA算法：略（P176）； 利用公钥加密技术进行身份认证的原理：略（P178）； 基于PKI的认证服务系统的组成：PKI（Public Key Infrastructure，公钥基础设施）是一个基于公钥加密技术的安全技术体系，它是硬件产品、软件产品、策略和过程的综合体，其核心任务是创建、管理、存储、分配和吊销用户的数字证书。数字证书是一个证明用户身份的电子文书，即一个由用户公钥、身份信息等数据字段构成的记录。一个基于PKI的第三方认证服务系统至少包括：用户、证书、注册机构（RA）、证书机构（CA）、证书库、作废证书库等实体。 互不信任的互联网用户A和B都信任第三方机构CA，三者都有各自的公钥和私钥。A和B将各自的公钥（Pa、Pb）和身份信息等交给CA保管，CA通过它的私钥加密签名（保证其真实性），并公布于众。A、B通信可用对方公钥（CA公布的证书）加密，A、B可用保存在各自手中的自己私钥解读，或A