信息系统安全项目解决方案_风险评估与安全体系.docVIP

. . . . 学习.参考 信息安全 　　是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 　　其根本目的就是使内部信息不受外部威胁，因此信息通常要加密。为保障信息安全，要求有信息源认证、访问控制，不能有非法软件驻留，不能有非法操作。 　　信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 　　关于这一部分的具体介绍，详见 信息安全专业 重要性 \o 查看图片 积极推动信息安全等级保护 　　信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的 国家安全战略。但是，对于不同的部门和行业来说，其对信息安全的要求和重点却是有区别的。 　　我国的改革开放带来了各方面信息量的急剧增加，并要求大容量、高效率地传输这些信息。为了适应这一形势，通信技术发生了前所未有的爆炸性发展。目前，除有线通信外，短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时，国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息，运用侦察台、 侦察船、 侦察机、 卫星等手段，形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网，截取我国通信传输中的信息。 　　从文献中了解一个社会的内幕，早已是司空见惯的事情。在20世纪后50年中，从社会所属计算机中了解一个社会的内幕，正变得越来越容易。不管是机构还是个人，正把 \o 查看图片 信息安全策略 日益繁多的事情托付给计算机来完成 ，敏感信息正经过脆弱的通信线路在计算机系统之间传送，专用信息在计算机内存储或在计算机之间传送，电子银行业务使财务账目可通过通信线路查阅，执法部门从计算机中了解罪犯的前科，医生们用计算机管理病历，所有这一切，最重要的问题是不能在对非法（非授权）获取（访问）不加防范的条件下传输信息。 　　传输信息的方式很多，有局域计算机网、互联网和分布式数据库，有蜂窝式无线、分组交换式无线、卫星电视会议、 电子邮件及其它各种传输技术。信息在存储、处理和交换过程中，都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出，单一的保密措施已很难保证通信和信息的安全，必须综合应用各种保密措施，即通过技术的、管理的、行政的手段，实现信源、信号、信息三个环节的保护，藉以达到秘密信息安全的目的。 目 录 TOC \o 1-4 \h \z \u 第一章 信息安全的风险评估 2 1.1 风险分析 2 1.1.1 攻击的类型 2 1.2 网络系统的脆弱性 3 1.2.1 操作系统安全的脆弱性 3 1.2.2 网络安全的脆弱性 4 1.2.3 数据库系统安全的脆弱性 5 1.2.4 防火墙的局限性 5 1.2.5 其他方面的原因 5 1.3 评估方法 5 1.3.1 常用的评估软件 6 第二章 信息安全防范体系 9 2.1 信息安全模型 9 2.2 策略和组织框架 12 2.2.1 策略框架 12 安全策略的内容 13 安全策略的制定 13 安全策略的管理 15 2.2.2 组织框架 16 2.3 技术框架 17 2.3.1 鉴别和认证 18 2.3.2 访问控制 19 2.3.3 审计和跟踪 20 2.3.4 响应和恢复 21 2.3.5 内容安全 22 信息安全的风险评估 风险分析 随着网络的飞速发展，电子商务在今天的商业环境里的普遍应用，计算机系统的安全防护已经成为一项极其重要的工作。除了保护服务器、工作站、网络设备以及数据等硬件资产以外，还需要保护公司的无形资产。信息安全隐患会对公司的声誉、品牌以及发展规划造成不可估量的恶劣影响。 攻击的类型 在因特网上存在哪些攻击方式呢？主要可分为以下三类：拒绝服务、侵入攻击和信息盗窃。 拒绝服务 拒绝服务攻击是一种以遭受攻击的资源目标不能继续正常提供服务的攻击形式。换言之，拒绝服务攻击就是使你无法