收藏
下载资源

信息组织第六章信息资源的安全管理精编版

上传人:ahu****ng1 文档编号:145124422 上传时间:2020-09-16 格式:PPTX 页数:55 大小:1.95MB
返回 下载 相关 举报
信息组织第六章信息资源的安全管理精编版_第1页
第1页 / 共55页
信息组织第六章信息资源的安全管理精编版_第2页
第2页 / 共55页
信息组织第六章信息资源的安全管理精编版_第3页
第3页 / 共55页
信息组织第六章信息资源的安全管理精编版_第4页
第4页 / 共55页
信息组织第六章信息资源的安全管理精编版_第5页
第5页 / 共55页
点击查看更多>>
资源描述

《信息组织第六章信息资源的安全管理精编版》由会员分享,可在线阅读,更多相关《信息组织第六章信息资源的安全管理精编版(55页珍藏版)》请在金锄头文库上搜索。

1、,经 济 管 理 学 院,Northeast China Institute of Electric Power Engineering,信息资源组织与管理 第 6 章 信息资源的安全管理,返回总目录,教学目的,使学生对信息资源安全管理有深刻的了解; 掌握信息资源安全管理的概念; 重点掌握信息资源安全管理的六个层次,教学要求,做到对信息资源安全管理有个全面的了解; 掌握基本概念; 掌握信息资源安全管理的安全管理制度、环境安全、物理实体安全、网络安全、软件安全、数据信息安全。,信息资源的安全管理,6.1 信息资源安全管理概述 6.2 安全管理制度 6.3 环境安全 6.4 物理实体安全 6.5

2、网络安全 6.6 软件安全 6.7 数据信息安全,6.1 信息资源安全管理概述,6.1.1 信息资源安全的概念 6.1.2 威胁信息资源安全的主要因素 6.1.3 信息资源的安全管理模型,6.1.1 信息资源安全的概念,信息资源安全: 是指信息资源所涉及的硬件、软件及应用系统受到保护,以防范和抵御对信息资源不合法的使用和访问以及有意无意的泄漏和破坏。,包括了从信息的采集、传输、加工、存储和使用的全过程所涉及的安全问题。,6.1.2 威胁信息资源安全的主要因素,1、天灾 天灾轻则造成业务工作混乱,重则造成系统中断甚至造成无法估量的损失。 2、人祸 3、信息系统自身的脆弱性 计算机硬件系统的故障。

3、 软件的“后门”。 软件的漏洞。,指不可控制的自然灾害,如地震、雷击、火灾、风暴、战争、社会暴力等。,包括 “无意”人祸和“有意”人祸。,6.1.3 信息资源的安全管理模型,1、信息安全资源的安全管理的6层次模型,涉及到由下至上6个层次。各层之间相互依赖,下层是上层安全的基础,上层是下层安全的目标最终目标是实现数据信息安全。,6.1.3 信息资源的安全管理模型,每一层次主要包括的安全管理或安全技术内容 安全管理制度。法律法规、行政管理措施。 环境安全。场地安全、中心机房安全。 物理实体安全。设备布置安全、设备供电安全、电缆安全、设备维护安全、场所外设备安全、设备的处置及再利用安全。 网络安全。

4、数据加密技术、密钥管理技术、访问控制技术、反病毒技术、防火墙技术。 软件安全。应用软件安全、系统软件安全。 数据信息安全。数据库系统安全技术、数据备份技术、终端安全技术、数据完整性鉴别技术、数据签名技术、信息审计跟踪技术。,6.2 安全管理制度,6.2.1 法律法规 6.2.2 行政管理措施,6.2.1 法律法规,1、制定法律法规的目的 信息资源安全纳入规范化、法制化和科学化的轨道。 2、我国信息资源安全法规法律现状 保密法、数据保护法、计算机安全法、计算机犯罪法。 3、信息资源安全法规法律的基本准则 信息系统合法原则、用户合法原则、信息公开原则、信息利用原则、资源限制原则,6.2.2 行政管

5、理措施,1、安全管理原则 2、安全管理的措施 根据工作的重要程度,确定相关系统的安全等级。 依据系统的安全等级,确定安全管理的范围。 建立组织及人员制度。 制订相应的机房出入管理制度。 制订严格的操作规程。 制订完备的系统维护制度。 制订应急措施。 建立人员雇用和解聘制度。 其他措施。,多人负责原则 任期有限原则 职责分离原则,6.3 环境安全,6.3.1 场地安全 6.3.2 中心机房安全,6.3.1 场地安全,1、场地安全的相关条件 2、场地安全的基本要求,6.3.2 中心机房安全,1、中心机房安全的总体要求 2、中心机房的安全应重点考虑五个系统 (1)供配电系统 (2)防雷接地系统 (3

6、)消防报警及自动灭火系统 (4)门禁系统 (5)保安监控系统,6.4 物理实体安全,6.4.1 设备布置安全 6.4.2 设备供电安全 6.4.3 电缆安全 6.4.4 设备维护安全 6.4.5 场所外设备安全 6.4.6 设备的处置及再利用安全,6.4.1 设备布置安全,设备的布置应考虑下述因素: 不必要的访问 有效的监视 隔离 其他,6.4.2 设备供电安全,设备供电安全的主要措施包括: 技术规范。 持续的电力供应。 对供电设备的定期维护,6.4.3 电缆安全,1、电缆安全的重要性 电力、通信电缆被截断,信息丢失系统运行中断; 敏感信息的通信电缆被截获,秘密泄露。 2、电缆安全的主要措施

7、尽可能埋在地下,或适当的其他保护。 提防未经授权的截取或损坏。 电源电缆、通信电缆分离,以防干扰。 采用控制措施保证线路安全。 定期对线路进行维护。,6.4.4 设备维护安全,1、设备维护安全的重要性 按照设备维护手册的要求或有关维护规程、程序对设备进行适当的维护。 2、设备维护安全的主要措施 按照时间间隔和规范保养。 授权人员维修和保养设备。 维修人员应具备一定的维修技能。 储备一定数量的备品与配件。 保存有关设备维修、维护的记录。 送外保养要防止敏感信息的泄露。 关键设备或有关重要部件保存一定数量的冗余。,6.4.5 场所外设备安全,1、场所外设备的定义 场所外设备是指离开组织或企业、单位

8、工作场所的设备。 2、场所外设备安全的重要性 场所外设备可能遭受盗窃、未经授权的访问或环境因素的威胁 3、场所外设备安全的主要措施 单位外的设备使用,应经管理层授权许可 从场所带走的设备应严加保护 遵守制造商有关保护设备的指南要求 采用合适的物理防护装置(如保险罩),保护场所外的设备安全。,6.4.6 设备的处置及再利用安全,1、设备的处置及再利用安全的重要性 设备到期报废或改变其使用用途时,由于粗心会造成敏感信息的泄露。 2、设备的处置及再利用安全的主要措施 格式化计算机硬盘。 删除文件记录。 物理销毁。,6.5 网络安全,6.5.1 网络安全的涵义 6.5.2 网络安全的技术措施,6.5.

9、1 网络安全的涵义,1、网络安全的定义 是指网络系统中的硬件(主机、服务器及其它网络设备)和软件系统受到保护而不被偶然的或者恶意的原因遭到破坏,从而保证系统能连续可靠地运行。,6.5.1 网络安全的涵义,2、网络安全的基本安全功能 鉴别(Authentication) 访问控制(Access Control) 数据保密性(Data confidentiality) 数据完整性(Data integrity) 抗抵赖性(Non Repudiation),6.5.1 网络安全的涵义,3、网络安全的目标 防止未经授权的数据访问。 防止数据的意外遗漏或重复数据。 防止利用隐含通道窃取机密信息,甚至设置

10、“病毒”,使系统陷于瘫痪。 确保数据的发送正确无误。 确保数据的接收正确无误。 根据保密要求与数据来源对数据作标记。 提供可供安全审计的网络通信记录,防止对用户进行欺骗。 可对独立的第三方证明通信过程已经实现,并且通信内容已被正确接受。 在取得明确的可访问系统的授权许可后,才能与系统通信。,6.5.2 网络安全的技术措施,1、数据加密技术 数据加密的方式:链路加密、端对端加密、混合加密 2、密钥管理技术 密钥是一系列控制加密、解密操作的符号。 密钥管理的基本任务是在密钥的整个生命周期中,为密钥提供生成、注册、认证、注销、分发、安装、存储、归档、撤销、衍生和销毁等管理服务。 3、访问控制技术 访

11、问控制就是对访问的申请、批准和撤销的全过程进行有效的控制,以确保只有合法用户的合法访问才能予以批准,而且被批准的访问只能执行授权的操作。,6.5.2 网络安全的技术措施,3、访问控制技术 身份识别常用的方法有指纹、掌纹、视网膜纹以及IC智能卡。 访问操作控制当用户被批准访问系统后,就要对访问操作进行控制,包括授权、确定访问权限、实施访问权限、信息流动等控制。 审计跟踪是对用户访问操作过程进行完整的记录,包括用户使用的系统资源情况、使用的时间、执行的操作等。 4、反病毒技术 计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代

12、码。 计算机病毒的特点:人为破坏性、传染性、隐蔽性、潜伏性、衍生性、可触发性、不可预见性,6.5.2 网络安全的技术措施,4、反病毒技术 计算机病毒的种类:按传染方式分为引导型、文件型和混合型病毒。按连接方式分为源码型、入侵型、操作系统型和外壳型病毒。按破坏性可分为恶性病毒和良性病毒。其他病毒 计算机病毒的防范措施:技术措施、管理措施 5、防火墙技术 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,它能根据组织的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。 防火墙

13、作用:防火墙是网络安全的屏障、防火墙可以强化网络安全策略、防火墙支持具有Internet服务特性的虚拟专用网(VPN)。,6.6 软件安全,6.6.1 软件安全的涵义 6.6.2 系统软件安全 6.6.3 应用软件安全,6.6.1 软件安全的涵义,1、软件安全的概念 软件安全(又称软件保护)包含两层含义: 其一是指禁止非法拷贝和使用软件; 其二是防止非法阅读和修改软件。 2、威胁软件安全的主要形式 以软件为手段,获取未经授权或修改授权以外的信息。例如:逻辑炸弹。 以软件为手段,阻碍信息系统的正常运行或其他用户的正常使用。例如:计算机病毒。 以软件为对象,破坏软件完成指定功能。例如:计算机病毒、

14、故障、干扰、误操作等 以软件为对象,复制软件。 如盗版软件等。,6.6.1 软件安全的涵义,3、保护软件安全的主要技术措施 防拷贝是通过采取一些加密措施,使得一般用户利用正常的拷贝命令或拷贝工具软件都无法将软件进行完整的复制,或者是所复制的软件不能正常运行。 目前,常采用的防拷贝方法是:通过修改磁盘基数表中的某些参数来格式化一些特殊的磁道,然后将被加密软件的一部分程序放在这些磁道中,使得一般用户无法拷贝这些特殊磁道中的内容,即所拷贝的只是源程序的一部分。 防静态分析是采取一些加密措施,防止用户在静态环境下通过反汇编获得源程序代码。 防动态分析是阻止解密者的动态跟踪,使得在正常状态下无法用调试程

15、序对软件本身进行跟踪执行。,6.6.2 系统软件安全,1、系统软件的概念 系统软件(System Software)是用于管理计算机中的CPU、存储器、通信联接以及各种外部设备等所有系统资源的程序,其主要作用是管理和控制计算机系统的各个部分,使之协调运行,并为各种数据处理提供基础功能。 2、系统软件的安全措施 访问控制 隔离控制 存储保护,6.6.3 应用软件安全,1、应用软件的概念 应用软件(Application Software)是用来完成用户所要求的数据处理任务或实现用户特定功能的程序。 2、应用软件的安全措施 身份验证 访问控制 故障恢复 安全保护 安全审计 分权制约 数据操作,6.

16、7 数据信息安全,6.7.1 数据库系统安全技术 6.7.2 数据备份技术 6.7.3 终端安全技术 6.7.4 数据完整性鉴别技术 6.7.5 数据签名技术 6.7.6 信息审计跟踪技术 6.7.7 PKI技术,6.7.1 数据库系统安全技术,数据库系统安全的概念 数据库安全技术是指为保证数据库中的数据免遭破坏、修改、泄露和窃取等威胁和攻击而采取的技术方法。 数据库系统安全技术,主要包括: 数据库加密技术 数据库用户安全管理技术 数据访问安全控制技术,包括库外加密和库内加密,系统信息外围共享用户系统作业用户系统维护用户数据库管理员,运用视图进行访问控制运用存储过程进行访问控制运用触发器进行访问控制 运用字段加密进行访问控制,6.7.2 数据备份技术,1、数据备份是指将含有相同信息的数据存储到两个或多个相同或不同的存储介质上,以一定的机制判断数据的一致性,需要数据时用一定的方法提取数据。 2、数据备份的内容主要是重要的数据和文

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号