收藏
下载资源

信息资源的安全管理(陈庄)

上传人:san****019 文档编号:70554613 上传时间:2019-01-17 格式:PPT 页数:79 大小:767.01KB
返回 下载 相关 举报
信息资源的安全管理(陈庄)_第1页
第1页 / 共79页
信息资源的安全管理(陈庄)_第2页
第2页 / 共79页
信息资源的安全管理(陈庄)_第3页
第3页 / 共79页
信息资源的安全管理(陈庄)_第4页
第4页 / 共79页
信息资源的安全管理(陈庄)_第5页
第5页 / 共79页
点击查看更多>>
资源描述

《信息资源的安全管理(陈庄)》由会员分享,可在线阅读,更多相关《信息资源的安全管理(陈庄)(79页珍藏版)》请在金锄头文库上搜索。

1、信息资源的安全管理,信息资源组织与管理之第6章,内容提要(1/3),6.1 信息资源安全管理概述(掌握) 6.1.1 信息资源安全的概念 6.1.2 威胁信息资源安全的主要因素 6.1.3 信息资源的安全管理模型 6.2 安全管理制度 (了解) 6.2.1 法律法规 6.2.2 行政管理 6.2.2.1 安全管理原则 6.2.2.2 安全管理的措施 6.3 环境安全 (掌握) 6.3.1 场地安全 6.3.2 中心机房安全,内容提要(2/3),6.4 物理实体安全(了解) 6.4.1 设备布置安全 6.4.2 设备供电安全 6.4.3 电缆安全 6.4.4 设备维护安全 6.4.5 场所外设备

2、安全 6.4.6 设备的处置及再利用安全 6.5 网络安全 (难点,了解) 6.5.1 网络安全的含义 6.5.2 网络安全的技术措施 6.5.2.1 数据加密技术 6.5.2.2 密钥管理技术 6.5.2.3 访问控制技术 6.5.2.4 反病毒技术 6.5.2.5 防火墙技术,内容提要(3/3),6.6 软件安全(掌握) 6.6.1 软件安全的含义 6.6.2 系统软件安全 6.6.3 应用软件安全 6.7 数据信息安全(难点,了解) 6.7.1 数据库系统安全技术 6.7.2 数据备份技术 6.7.3 终端安全技术 6.7.4 数据完整性鉴别技术 6.7.5 数据签名技术 6.7.6 信

3、息审计跟踪技术 6.7.7 PKI技术 作业 (.),6.1.1 信息资源安全的概念(1/2),1、什么是信息资源安全? 是指信息资源所涉及的硬件、软件及应用系统受到保护,以防范和抵御对信息资源不合法的使用和访问以及有意无意的泄漏和破坏。 2、信息资源管理涉及的内容有哪些? 信息资源安全的范畴 :计算机安全/软件安全/网络安全。 信息资源安全包括了从信息的采集、传输、加工、存储和使用的全过程所涉及的安全问题。 从信息处理的角度,包括: (1)内容的真实无误,以保证信息的完整性; (2)信息不会被非法泄漏和扩散,以保证信息的保密性; (3)信息的发送和接收者无法否认自己所做过的操作行为,以确保信

4、息的不可否认性。,6.1.1 信息资源安全的概念(2/2),2、信息资源管理涉及的内容有哪些?(续) 从信息组织层次的角度,包括: 系统的管理者对网络和信息系统有足够的控制和管理能力,以保证信息的可控制性; 准确跟踪实体运行达到审计和识别的目的,以保证信息的可计算性; 网络协议、操作系统和应用系统能够相互连接、协调运行,以保证信息的互操作性。 从信息运行环境角度,包括: 各种各样硬件设施的物理安全。 从信息管理规范的角度,包括: 各种各样的规章制度、法律法规、人员安全性等。,6.1.2 威胁信息资源安全的主要因素,三个方面:天灾、人祸和信息系统自身的脆弱性。 1、天灾 指不可控制的自然灾害,如

5、地震、雷击、火灾、风暴、战争、社会暴力等。 天灾轻则造成业务工作混乱,重则造成系统中断甚至造成无法估量的损失。 2、人祸 人祸包括 “无意”人祸和“有意”人祸。 (1) “无意”人祸:是指人为的无意失误和各种各样的误操作。典型“无意”人祸有: 操作人员误删除文件; 操作人员误输入数据; 系统管理人员为操作员的安全配置不当; 用户口令选择不慎; 操作人员将自己的帐号随意转借他人或与别人共享。,(1/3),6.1.2 威胁信息资源安全的主要因素,2、人祸(续) (2) “有意”人祸:指人为的对信息资源进行恶意破坏的行为。“有意”人祸是目前信息资源安全所面临的最大威胁。“有意”人祸主要包括下述三种类

6、型: 恶意攻击:主要有主动攻击和被动攻击两种形式。其中,主动攻击是指以某种手段主动破坏信息的有效性和完整性;被动攻击则是在不影响信息(或网络)系统正常工作的情况下,截获、窃取、破译重要机密信息。这两种恶意攻击方式均可对信息资源造成极大的危害,并导致机密数据的泄漏。 违纪:是指内部工作人员违反工作规程和制度的行为。例如:银行系统的网络系统管理员与操作员的口令一致、职责不分等。 违法犯罪:包括制造和传播病毒/ 非法复制。例如,侵犯著作权、版权等/ 窃取机密/ 金融犯罪/ 色情犯罪,例如:利用网络传播色情图文、贩卖色情物品、进行色情交易等/ 宣传邪教、恐怖主义、种族歧视等/ 制造谣言。例如,在有关主

7、页上发布虚假信息、假新闻等/ 诬蔑诽谤。例如,利用计算机进行非法的图像合成、搞张冠李戴等。,(2/3),6.1.2 威胁信息资源安全的主要因素,3、信息系统自身的脆弱性 计算机硬件系统的故障。 因生产工艺或制造商的原因,计算机硬件系统本身有故障,如电路短路、断路、接触不良等引起系统的不稳定、电压波动的干扰等。 软件的“后门”。 软件的“后门”是指软件公司的程序设计人员为了自便而在开发时预留设置的,旨在为软件调试、进一步开发或远程维护提供了方便。然而,这些软件“后门”也为非法入侵提供了通道,一旦“后门”洞开,其造成的后果将不堪设想。 软件的漏洞。 软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞

8、和缺陷往往是黑客攻击的首选目标,软件的BUGS便是典型的缺陷和漏洞。,(3/3),6.1.3 信息资源的安全管理模型(1/2),1、信息安全资源的安全管理的6层次模型,6.1.3 信息资源的安全管理模型(2/2),2、每一层次主要包括的安全管理或安全技术内容 安全管理制度。 包括:法律法规、行政管理措施。 环境安全。 包括:场地安全、中心机房安全。 物理实体安全。 包括:设备布置安全、设备供电安全、电缆安全、设备维护安全、场所外设备安全、设备的处置及再利用安全。 网络安全。 包括:数据加密技术、密钥管理技术、访问控制技术、反病毒技术、防火墙技术。 软件安全。 包括:应用软件安全、系统软件安全。

9、 数据信息安全。 包括:数据库系统安全技术、数据备份技术、终端安全技术、数据完整性鉴别技术、数据签名技术、信息审计跟踪技术。,6.2.1 法律法规(1/2),1、制定法律法规的目的 通过法律来规范和制约信息活动中人们的思想与行为,将信息资源安全纳入规范化、法制化和科学化的轨道。 2、我国信息资源安全法规法律现状 我国已颁布了有关信息资源安全法规50余种,如保密法、数据保护法、计算机安全法、计算机犯罪法等。 这些法规的颁布,从一定意义上规范了人们在信息活动的行为,并且也使合法的信息活动受到了保护。,6.2.1 法律法规(2/2),3、信息资源安全法规法律的基本准则 一般地,合法的信息活动一般应满

10、足下述原则 信息系统合法原则。 按一定的法律程序注册、登记信息系统,不符合法律的信息系统不予注册,未注册信息系统的安全不受法律保护。 用户合法原则。 进入信息系统的用户及其进入系统的目的必须经过严格审查,并登记注册的。 信息公开原则。 信息系统中允许收集、扩散、维护必要的相关信息,系统对这些信息的常规使用方式对法律公开。 信息利用原则。 用户的有关信息可按用户确认和系统允许的形式保存在系统中,用户有权查询和复制这些信息,有权修改其相关内容。 资源限制原则。 信息系统中保持的信息的类型、时限和精确性应给予适当限制。,6.2.2.1 安全管理原则(1/2),1、多人负责原则 每一项与信息安全有关的

11、活动,都必须有两人或多人在场并签署安全记录。这些信息安全活动包括: 访问控制使用证件的发放与回收。 信息处理系统使用的媒介发放与回收。 处理保密信息。 硬件和软件的维护。 系统软件的设计、实现和修改。 重要程序和数据的删除和销毁。 2、任期有限原则 一般而言,任何人都不能长期担任与安全有关的职务,即信息安全工作不是专有的或永久性的。 为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,从而使任期有限制度切实执行。,6.2.2.1 安全管理原则(2/2),3、职责分离原则 在信息处理系统工作的人员,不要打听、了解或参与职责以外的任何与安全有关的事情,除

12、非系统主管领导批准。 出于对安全的考虑,下面每组内的两项信息处理工作应当分开: 计算机操作与计算机编程。 机密资料的接收和传送。 安全管理和系统管理。 应用程序和系统程序的编制。 访问证件的管理与其它工作。 计算机操作与信息处理系统使用媒介的保管等。,6.2.2.2 安全管理的措施(1/2),根据工作的重要程度,确定相关系统的安全等级。 依据系统的安全等级,确定安全管理的范围。 建立组织及人员制度。 加强信息机构、人员的安全意识和技术培训及人员选择,严格执行上述的多人负责原则、任期有限原则和职责分离原则。 制订相应的机房出入管理制度。 对于安全等级要求较高的系统,要实行分区控制,限制工作人员出

13、入与己无关的区域。 出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。 制订严格的操作规程。 操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。,6.2.2.2 安全管理的措施(2/2),制订完备的系统维护制度。 对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。 制订应急措施。 要制订系统在紧急情况下如何尽快恢复的应急措施,使损失减至最小。 建立人员雇用和解聘制度。 对工作调动和离职人员要及时调整。 其他措施。包括: 做信息

14、处理用的机器要专机专用,不允许兼作其他用机; 终端操作员因事离开终端,必须将终端退回到登录画面,避免其他人员使用该终端进行非法操作; 各种凭证、账表、资料要妥善保管,严格控制; 各种工作安全记录要交叉复核。,6.3.1 场地安全,1、场地安全的相关条件 信息中心机房场地的选择应符合国家标准GB/T 2887-2000规定的相关条件,包括: 选址条件; 温度、湿度条件; 照明、电磁场干扰的技术条件; 接地、供电、建筑结构条件; 媒体的使用和存放条件; 腐蚀性气体的条件等。 2、场地安全的基本要求 应建在电力、水源充足,自然环境清洁、通信、交通运输方便的地方; 应尽量远离有害气源及存放腐蚀、易燃、

15、易爆炸物的地方; 应尽量避免在低洼、潮湿、匿雷区和地震活动频繁的地方; 应尽量避开强电磁场的干扰; 应尽量远离强振动源和强噪声源; 应尽量避免建在建筑物的高层及地下室以及用水设备的下层。,6.3.2 中心机房安全(1/2),1、中心机房安全的总体要求 中心机房的建设应满足国家标准GB 936l1988对计算机机房建设的相关规定,如内部装修、防火、供配电系统、空调系统、火灾报警及消防设施、防水、防静电、防雷击、防鼠害等规定。 2、中心机房的安全应重点考五个系统 (1)供配电系统。 供配电系统要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应,且在任何情况下都不会间断。 因此,供电系

16、统应包括两路以上的市电供应系统、自备发电机系统、保证足够时间供电的UPS系统等。 (2) 防雷接地系统。 为了保证信息系统机房的各种设备安全,要求机房内设有四种接地形式,即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。,6.3.2 中心机房安全(2/2),2、中心机房的安全应重点考虑五个系统(续) (3)消防报警及自动灭火系统。 为实现火灾自动灭火功能,在机房内还应该设计火灾自动监测及报警系统,以便能自动监测火灾的发生,并且启动自动灭火系统和报警系统。 (4)门禁系统。 在机房应安装安全易用的门禁系统以保证信息系统的物理安全,同时也可提高管理的效率。其中,门禁系统需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合。 (5)保安监控系统。 信息系统的保安监控包括闭路监视系统、通道报警系统和人工监控系统等。,6.4.1 设备布置安全,设备的布置应考虑下述因素: 设备的布置应有利于减少对工作区的不必要的访问。 敏感数据的信息处理与存储设施的布置应降低其使用期间被忽视的风险,即设施应处在有效的监视范围之内。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号