管理信息系统的安全管理.pptxVIP

管理信息系统的安全管理

本章主要内容信息系统实体安全信息系统设备及记录媒体安全信息系统安全管理操作重点内容：信息系统面临的威胁和攻击；信息系统的脆弱性；信息系统安全管理操作

FBI案件调查

单击此处添加大标题内容医院信息系统的网络安全床位、门诊、住院病人等多项数据是医院开展医疗服务的重要基础。一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的损失。中心机房及网络设备的安全维护环境要求2.电源管理3.网络设备服务器的安全维护工作站的安全维护防病毒措施数据库的安全备份网络访问控制的安全措施合理的网络管理制度

信息系统实体安全1、信息系统安全信息系统安全指信息系统的硬件、软件、数据受到保护，系统能连续正常运行，不因偶然的或恶意的原因而遭到破坏、更改、显露。涉及内容包括：计算机硬件、软件、数据、各种接口、计算机网络的通信设备、线路和信道。

信息系统实体安全2、信息系统面临的威胁和攻击对实体的威胁和攻击：对计算机机器外部设备与网络的威胁和攻击对信息的威胁和攻击：信息的泄漏、信息的破坏计算机犯罪：利用暴力和非暴力行为，故意泄露或破坏信息系统中的机密信息，以及危害系统实体和信息安全的不法行为。

信息系统实体安全信息系统存在安全问题的原因影响信息系统安全的因素信息的高密度存储数据的易访问性信息的聚集性通信网络的弱点（地震）自然因素（自然灾害、自然损坏、环境干扰）人为因素（无意损坏、有意破坏）

信息系统实体安全程序和数据的安全程度，防止非法使用和访问。安全性：保密性：保护信息不被未授权者访问利用密码技术对信息进行加密处理，以防信息被不合法的用户使用。信息系统的安全需求程序和数据的完整程度，要防止程序和数据被非法删除、修改、复制和破坏，保证程序和数据的真实性、有效性。（银行转帐）完整性：010203

可靠性和可用性：可靠性：保证系统硬件和软件无故障或差错可用性：保证合法用户正确使用而不出现拒绝访问或使用，并防止合法用户对系统的非法操作或使用；防止非法用户访问系统、窃取系统资源和破坏系统。信息系统的安全需求信息的有效性和合法性信息发送方、接受方的不可抵赖性可鉴别性：一是对相互身份的鉴别、二是对信息真伪的鉴别。（数字签名、数字证书）信息系统实体安全1234

设备及记录媒体安全02设备安全防止设备被盗、被毁、保护电源、防止静电影响、防止电磁信息泄露、防止线路截获等。记录媒体安全对媒体数据和媒体本身采取安全保护。包括纸介质（记录纸）、磁介质（磁盘、磁带）、半导体介质（ROM、RAM)、光盘等。对记录媒体进行复制、备份及人为、物理防护。01

信息系统安全管理操作1、操作系统安全操作系统安全可以通过用户认证、隔离、存取控制等几种方法来实现。用户识别和访问控制：系统安全机制的主要目的是控制对信息的访问。这种控制分两个层次，一是对用户身份识别，防止入侵者侵入系统，另一层次是系统内部主体对客体的访问控制。

2、信息系统数据库安全对数据库的破坏来自以下5个方面：（1）非法用户（2）非法数据（3）各种故障（4）对数据的非法窃取（5）多用户的并发访问数据库管理系统（DBMS）核心已采取相应措施对数据库实施保护（1）利用权限机制（2）利用完整性约束（3）提供故障恢复能力（4）数据加密（5）提供并发控制机制（两阶段修改技术）4.3信息系统安全管理操作

4.3信息系统安全管理操作T1T2Read(A);A:=A-50;Write(A);Read(B);B:=B+50;Write(B);Read(A);Temp=A*0.1A:=a-tempWrite(A);Read(B);B:=B+temp;Write(B)结果：A=900B=1150

4.3信息系统安全管理操作T1T2Read(A);A:=A-50;Write(A);Read(B);B:=B+50;Write(B);Read(A);Temp=A*0.1A:=a-tempWrite(A);Read(B);B:=B+temp;Write(B)；结果：A=855B=1145

两阶段修改技术事务：是在数据库上的一个或多个操作的序列，它必须以原子的方式执行。所有的操作要么都做、要么都不做。4.3信息系统安全管理操作第一阶段：准备阶段第二阶段：永久性修改提交DBMS收集完成修改所需要的信息，进行修改前的准备工作。在该阶段，用户对数据库的修改都是暂时的。操作顺序在该阶段，提交前的用户动作都是不可重复的。但本阶段的修改活动可重复多次。

信息系统安全管理操作2、信息系统数据库安全数据库加密：库外加密、库内加密、硬件加密库外加密可以把数据在库外加密，然后纳入数据库内。在库内存放的就不是