信息管理学基础-第8章 信息系统.pptVIP

8.4 信息系统的安全 8.4.1 信息系统安全概述 根据信息系统安全的整体结构来看，信息系统安全可从五个层面：物理、网络、主机系统、应用系统和数据对系统进行保护。 信息系统的安全 物理层面安全要求：主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证； 网络层面安全要求：为信息系统能够在安全的网络环境中运行提供支持，确保网络系统安全运行，提供有效的网络服务； 主机层面安全要求：在物理、网络层面安全的情况下，提供安全的操作系统和安全的数据库管理系统，以实现操作系统和数据库管理系统的安全运行； 应用层面安全要求：在物理、网络、系统等层面安全的支持下，实现用户安全需求所确定的安全目标； 数据及备份恢复层面安全要求：全面关注信息系统中存储、传输、处理等过程的数据的安全性。 信息系统的安全 物理安全 物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理环境、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。物理安全是防护信息系统安全的最底层，缺乏物理安全，其他任何安全措施都是毫无意义的。 物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个方面。 信息系统的安全 网络安全 网络安全为信息系统在网络环境的安全运行提供支持。一方面，确保网络设备的安全运行，提供有效的网络服务，另一方面，确保在网上传输数据的保密性、完整性和可用性等。由于网络环境是抵御外部攻击的第一道防线，因此必须进行各方面的防护。对网络安全的保护，主要关注两个方面：共享和安全。开放的网络环境便利了各种资源之间的流动、共享，但同时也打开了“罪恶”的大门。 网络安全主要关注的方面包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个方面。 信息系统的安全 主机安全 主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机，服务器则包括应用程序、网络、web、文件与通信等服务器。主机系统是构成信息系统的主要部分，其上承载着各种应用。因此，主机系统安全是保护信息系统安全的中坚力量。 信息系统的安全 应用安全 通过网络、主机系统的安全防护，最终应用安全成为信息系统整体防御的最后一道防线。在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础，包括消息发送、web浏览等，可以说是基本的应用。业务应用采纳基本应用的功能以满足特定业务的要求，如电子商务、电子政务等。由于各种基本应用最终是为业务应用服务的，因此对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行。 信息系统的安全 数据安全及备份恢复 信息系统处理的各种数据在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏，都会在不同程度上造成影响，从而危害到系统的正常运行。由于信息系统的各个层面都对各类数据进行传输、存储和处理等，因此，对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。数据备份也是防止数据被破坏后无法恢复的重要手段，而硬件备份等更是保证系统可用的重要内容，在高级别的信息系统中采用异地适时备份会有效的防治灾难发生时可能造成的系统危害。 信息系统的安全 8.4.2 信息系统安全体系结构 基于协议的安全体系结构 基于实体的安全体系结构 基于对象的安全体系结构 基于代理的信息系统安全体系结构 信息系统的安全 8.4.3 信息系统安全保护策略 法制保护 行政管理 人员培训 信息系统的安全 8.4.4 信息系统安全技术 数据加密技术 身份认证技术 防火墙技术 交换机虚拟局域网技术 数据安全存储技术 漏洞检测技术 信息系统的安全 作业 1.诺兰模型的信息系统发展阶段的划分和各阶段特征分别是什么？ 2.信息系统的主要开发方法有哪些？它们各有什么特点？ * * * * * * * * * * * * * * * * * 8.3.3 信息系统运行与维护管理 信息系统的运行管理 运行管理的目的 是对信息系统的运行进行实时控制，记录其运行状态，进行必要的修改与扩充，从而使得信息系统符合决策的需要，为决策服务。 信息系统的管理 * 运行管理的内容 数据管理 数据的收集 完成例行信息处理及服务工作 系统的安全管理 运行状况管理