第六章 信息资源管理的安全管理
信息安全管理简要概述
第六章信息安全管理第一节信息安全管理概述一、信息安全管理的内容1、什么信息安全管理?通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安全目标的活动。
2、信息安全管理的主要活动制定信息安全目标和寻找实现目标的途径;建设信息安全组织机构,设置岗位、配置人员并分配职责;实施信息安全风险评估和管理;制定并实施信息安全策略;为实现信息安全目标提供资源并实施管理;信息安全的教育与培训;信息安全事故管理;信息安全的持续改进。
3、信息安全管理的基本任务(1)组织机构建设(2)风险评估(3)信息安全策略的制定和实施(4)信息安全工程项目管理(5)资源管理◆(1)组织机构建设★组织应建立专门信息安全组织机构,负责:①确定信息安全要求和目标;②制定实现信息安全目标的时间表和预算③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度⑤提出信息安全年度预算,并监督预算的执行⑥组织实施信息安全风险评估并监督检查⑦组织制定和实施信息安全策略,并对其有效性和效果进行监督检查⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作★组织应设立信息安全总负责人岗位,负责:①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定③提出信息安全年度工作计划④总协调、联络◆(2)风险评估★信息系统的安全风险信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
★信息安全风险评估是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
★信息系统安全风险评估的总体目标是:服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。
06 信息资源安全管理
实体安全 行为规范
6.2.2 行为规范管理
信息系统安全的行为规范管理包括国家和社 会组织两个层面
6.2.3 实体安全管理
实体安全主要涉及信息系统的硬件及其运行 环境,其安全与否对网络、软件、数据等的 安全有着重要的影响。
6.2.4 网络安全管理
网络资源包括:主机系统、终端系统、网络 互联设备。 网络安全技术:网络分段与VLAN、防火墙 技术、VPN(虚拟专用网)、入侵检测、病 毒防治等。
信息资源管理
第六章 信息资源安全管理
信息系统安全的基本概念
计算机信息系统:是指由计算机用其相关的和 配套的设备、设施(含网络)构成的,按照一 定的应用目标和规则对信息进行采集、加工、 存储、传输、检索等处理的人机系统。 信息加工过程具有动态、随机和瞬时发生的特 征。信息系统的复杂性使其各个环节都可能存 在不安全因素。
数据加密的两种体制
(1)单密钥体制:
又叫做常规密钥密码体制,其加密密钥和解密 密钥是相同的。
(2)双密钥体制:
双密钥体制又叫公开密钥体制,它最主要的特 点就是加密和解密使用不同的密钥。
本章小结
信息资源安全管理内涵 信息资源安全管理的系统管理 数据加密技术及其应用
思考&练习
什么是信息资源安全问题?说明信息安全技 术主要关注哪些方面?
6.3.1 密码学基本概念
阐述数据加密的基本模型及其不同密码体制。
加密 C=E(M,Ke) 明文M —————————————— 密文C 解密 M=D(C,Kd)
当Ke=Kd,称加解密算法为对称密码体制, 当Ke≠Kd,称加解密算法为非对称密码体制 或公钥体制。
6.3.2 加密技术及其应用
RSA公钥加密 CA及其认证服务
公司信息资源管理制度
第一章总则第一条为加强公司信息资源的管理,提高信息资源的利用效率,保障公司信息安全,根据国家有关法律法规和公司实际情况,特制定本制度。
第二条本制度适用于公司内部所有信息资源的收集、存储、使用、共享、保密和销毁等各个环节。
第三条公司信息资源管理制度遵循以下原则:(一)依法合规原则:严格遵守国家有关信息资源管理的法律法规,确保信息资源的合法合规使用;(二)安全保密原则:确保公司信息资源的安全,防止信息泄露、篡改和破坏;(三)高效利用原则:提高信息资源的利用率,为公司发展提供有力支持;(四)分级管理原则:根据信息资源的性质、重要性、敏感程度等进行分级管理。
第二章信息资源分类第四条公司信息资源分为以下几类:(一)一般信息:包括公司组织架构、规章制度、内部通讯等;(二)业务信息:包括市场动态、客户信息、产品信息、技术文档等;(三)敏感信息:包括公司商业秘密、客户隐私、财务数据等;(四)其他信息:包括法律法规、行业标准、竞争对手信息等。
第三章信息资源管理职责第五条公司信息资源管理职责如下:(一)信息管理部门:负责公司信息资源的规划、建设、维护和管理,组织实施本制度;(二)信息资源使用者:负责使用信息资源时,遵守本制度规定,确保信息安全;(三)保密责任人:负责本部门信息资源的保密工作,确保信息不泄露;(四)审计部门:负责对公司信息资源管理情况进行监督检查。
第四章信息资源收集与存储(一)信息收集应遵循合法、合规、真实、准确、完整的原则;(二)信息收集应采取有效措施,防止信息泄露、篡改和破坏;(三)信息收集应定期更新,确保信息的时效性。
第七条信息资源存储:(一)信息存储应采用安全可靠的方式,确保信息不被泄露、篡改和破坏;(二)信息存储应遵循分类分级原则,对不同类别的信息采取不同的存储措施;(三)信息存储应定期备份,确保信息不丢失。
第五章信息资源使用与共享第八条信息资源使用:(一)信息使用者应按照规定用途使用信息资源,不得滥用、盗用或泄露;(二)信息使用者应遵守保密规定,不得将信息泄露给无关人员;(三)信息使用者应保护信息资源的安全,防止信息泄露、篡改和破坏。
第6章 信息资源安全管理
实体安全管理
2. 硬件安全 (1) 硬件设备的档案管理 (2) 防电磁干扰:电磁屏蔽、接地系统等 (3) 防电磁泄露:电子屏蔽技术和物理抑制技术 电磁泄漏:在信息系统工作时,有用的信息电磁信
号被高灵敏度设备截获,从而导致信息泄露,威胁 信息安全。 (4) 电源安全 a. 容量应有宽裕:电源功率要超过所有设备负载的 125% b. 应急电源:保持不间断供电,配备备用电源
从法规和制度上规定一般公民和组织成员对信 息系统安全所应承担的义务和责任,即规范和指导 人的思想行为。
信息系统安全模型
(2) 第3、4层 实体安全管理 用各种物理和管理手段,解决信息系统硬件及
其环境的防灾、防盗和防害等安全问题。 (3) 第5、6、7层 技术安全管理
利用各种信息安全技术,解决信息资源的可用 性、保密性、认证性、一致性等安全管理问题。
实体安全管理
3. 介质安全 分门别类地存储和管理 防火、防高温、防潮、防水、防霉、防磁和防盗等 定期检查和清理 对于重要信息,要采用数据加密技术
网络安全管理
1. 网络资源与网络安全管理 (1) 网络资源 a. 主机系统:服务器(硬件、软件和数据) b. 终端系统:客户机(硬件、软件和数据) c. 网络互联设备:网线、接口、集线器、交换机、路
⑤ 安全操作系统的设计原则 a. 最小特权:每个用户和程序必须尽可能使用最小特权 b. 经济性:足够小、足够简单、易于理解 c. 开放性:保护机构应该是公开的 d. 以许可为基础:存取时必须是授权的 e. 公用机构最少 f. 有效性:每一次存取都必须受到控制 g. 完全协调:每次存取应该经过检查,检查机构必须高
d. A:验证型保护类 A1:验证设计 超A1:验证客观级。
软件安全管理
第六章政府信息资源管理
(3)完整性:指接收的信息是完成一项任务 或做出一项决策所需要的全部信息。
信息形式维度的特征
(1)详尽性:涉及到接收的信息其概括或详尽的程 度,详尽性问题也叫信息细化,细化的信息将以非常 详尽的程度记载信息;反之,粗化的信息只是对信息 的高度概括。
共享性
时效性
动态性
信息资源的独有特征
支配性
不同一性
不可分性
政府信息资源概念
政府信息资源是一切产生于政府内部或虽然 产生于政府外部但却对政府各项业务活动有 影响的信息的统称。政府信息资源是相对于 其它的社会组织而言的,这些社会组织包括 企业、社会团体、医院、学校、图书馆等。
政府信息资源的特点
(1)权威性 (2)综合性 (3)时效性 (4)共享性 (5)机密性
(2)呈现性:涉及接受信息的形式。在当今,信息的 呈现方式能使人们赢得或失去许多机会。当然,信息的 呈现性还包括用于提供信息的技术。
组织信息流动模型
向下流动的信息
向上流动的信息
方战
向略
组
、 目
战略管理层
织 如
标
和
战术管理层
何 运
行 运作管理层
非管理人员操作层
职能部门或工作小组之间沟通 水平流动的信息
第六章 政府信息资源管理
第一节 第二节 第三节 第四节 第五节
政府信息资源简介 政府信息处理需求 政府信息调研方法 政府信息资源管理的任务 政府信息资源的管理
信息资源的概念
狭义的信息资源是指信息及其载体。 简而 言之,对狭义的信息资源可以理解为数据 资源,它是以数据库和数据仓库为特征的。
信息组织第六章信息资源的安全管理
信息资源组织与管理 第六章 信息资源的安全管理
6.1.2 威胁信息资源安全的主要因素
1、天灾
➢ 天灾轻则造成业务工作混乱,重则造成系统中 断甚至造成无法估量的损失。
2、人祸
指不可控制的自然灾害,如地
3、信息系统自身的脆弱性 震、雷击、火灾、风暴、战争
➢ 计算机硬件系统的故障。 、社会暴力等。
➢ 软件的“后门”。
2、电缆安全ห้องสมุดไป่ตู้主要措施
➢ 尽可能埋在地下,或适当的其他保护。 ➢ 提防未经授权的截取或损坏。 ➢ 电源电缆、通信电缆分离,以防干扰。 ➢ 采用控制措施保证线路安全。 ➢ 定期对线路进行维护。
6.27
信息资源组织与管理 第六章 信息资源的安全管理
6.4.4 设备维护安全
1、设备维护安全的重要性
➢ 按照设备维护手册的要求或有关维护规程、程序 对设备进行适当的维护。
6.17
信息资源组织与管理 第六章 信息资源的安全管理
6.3.1 场地安全 1、场地安全的相关条件 2、场地安全的基本要求
6.18
信息资源组织与管理 第六章 信息资源的安全管理
6.3.2 中心机房安全
1、中心机房安全的总体要求 2、中心机房的安全应重点考虑五个系统 (1)供配电系统 (2)防雷接地系统 (3)消防报警及自动灭火系统 (4)门禁系统 (5)保安监控系统
信息资源组织与管理 第六章 信息资源的安全管理
《信息资源组织与管理》 第6章
信息资源的安全管理
6.1
返回总目录
经济管理学院
Northeast China Institute of Electric Power Engineering
信息资源组织与管理 第六章 信息资源的安全管理
信息资源管理系统中的安全方案
信息资源管理系统中的安全方案信息资源管理系统是企业或组织中非常重要的一个组成部分,它负责管理和保护各种信息资源,包括公司的机密文件、客户数据、财务报表等。
由于信息系统的重要性,保障其安全性就显得尤为重要。
因此,建立一个安全方案来保护信息资源管理系统是至关重要的。
首先,一个有效的安全方案应该包括严格的访问控制机制。
只有经过授权的人员才能访问系统中的敏感信息。
这可以通过用户的身份验证、访问权限的分级以及日志审计来实现。
此外,为用户提供强密码的要求和定期更改密码的策略也可以增加系统的安全性。
其次,加密技术是保护信息资源的重要手段之一。
通过使用加密算法对敏感信息进行加密,即使系统被黑客入侵,也能保障信息的机密性。
此外,数据传输过程中采用安全的通信协议,如SSL/TLS,可以防止数据被窃取或篡改。
此外,建立完善的备份和恢复机制也是信息资源管理系统安全方案的重要组成部分。
定期备份数据可以确保即使系统遭受灾难性故障或数据丢失,重要信息也能够及时恢复。
此外,定期的安全漏洞扫描和系统审核也是确保信息资源管理系统安全的重要环节。
通过定期检查系统的安全漏洞和隐患,并及时采取相应的措施来修补漏洞,可以防止黑客利用已知漏洞攻击系统。
最后,培训员工对信息安全的意识也是一个有效的安全措施。
通过为员工提供信息安全培训,教育他们有关安全最佳实践以及如何识别和应对网络威胁,可以降低员工因为疏忽或不慎造成的安全风险。
综上所述,一个全面的信息资源管理系统安全方案应该包括严格的访问控制、加密技术的应用、备份和恢复机制、定期的安全扫描和系统审核以及员工的安全意识培训。
通过采取这些措施,企业或组织可以更好地保护其信息资源,防止数据泄露和系统被黑客攻击。
第六章信息资源的安全管理(陈庄主编).
• 1996年8月17日,美国司法部的网络服务器遭到 黑客入侵,并将“ 美国司法部” 的主页改为 “ 美国不公正部”,将司法部部长的照片换成了 阿道夫· 希特勒,将司法部徽章换成了纳粹党徽, 并加上一幅色情女郎的图片作为所谓司法部部长 的助手。此外还留下了很多攻击美国司法政策的 文字。 • 1996年9月18日,黑客又光顾美国中央情报局的 网络服务器,将其主页由“中央情报局” 改为 “ 中央愚蠢局” 。
6.1 信息资源安全管理概述
• 1、什么是信息资源安全?
–是指信息资源所涉及的硬件、 软件及应用系统受到保护, 以防范和抵御对信息资源不 合法的使用和访问以及有意 无意的泄漏和破坏。
• 2、信息资源管理涉及的内容有哪些? • 信息资源安全的范畴﹥计算机安全/软件安全/网
络安全。 • 信息资源安全包括了从信息的采集、传输、加工、 存储和使用的全过程所涉及的安全问题。 • 从信息处理的角度,包括: – 内容的真实无误,以保证信息的完整性; – 信息不会被非法泄漏和扩散,以保证信息 的保密性; – 信息的发送和接收者无法否认自己所做过 的操作行为,以确保信息的不可否认性。
• 1996年12月29日,黑客侵入美国空军的全球网网 址并将其主页肆意改动,其中有关空军介绍、新 闻发布等内容被替换成一段简短的黄色录象,且 声称美国政府所说的一切都是谎言。迫使美国国 防部一度关闭了其他80多个军方网址。
国内
• 1996年2月,刚开通不久的Chinanet(中国宽带 互联网)受到攻击,且攻击得逞。 • 1997年初,北京某ISP被黑客成功侵入,并在清 华大学“ 水木清华” BBS站的“ 黑客与解密” 讨论区张贴有关如何免费通过该ISP进入Internet 的文章。 • 1997年4月23日,美国德克萨斯州内查德逊地区 西南贝尔互联网络公司的某个PPP用户侵入中国 互联网络信息中心的服务器,破译该系统的 shutdown帐户,把中国互联网信息中心的主页 换成了一个笑嘻嘻的骷髅头。
第六章 信息资源管理的安全管理
幻灯片1第六章信息资源的安全管理●内容提要●信息资源安全管理概述●计算机软件的安全●数据库安全●计算机网络的安全●信息系统的安全●电子商务安全2015-12-28IRM1 幻灯片26.1.1 系统授权与数据加密技术信息资源安全涉及的四方面内容1)处理要求看,信息完整性、保密性和不可否认性2 )组织,可控性、可计算性、互操作性3)运行环境4 )管理,规章制度、法律法规、人员安全性技术安全(被动)和管理安全(主动)2015-12-28IRM1 幻灯片36.1.1 系统授权与数据加密技术●在信息资源的安全管理技术中,系统授权与数据加密技术是一项被广泛应用的技术。
●系统授权是用户存取权限的定义。
●为了保证在数据的正常存储和通信传输过程中不被非法用户窃听或修改,必须对数据进行必要的加密。
2015-12-28IRM1 幻灯片46.1.1 系统授权与数据加密技术●授权方案应该满足系统安全需求和用户需求。
●系统授权可以控制的访问对象包括:数据(数据库、文件、记录、字段等)、应用程序、设备(终端、打印机等)、存储介质(磁带、磁盘、光盘等)各类系统资源等。
2015-12-28IRM1 幻灯片56.1.1 系统授权与数据加密技术●一个授权方案由两部分组成:●授权对象集●由授权对象所决定的用户提出的申请是被允许还是被否定(控制规则)。
●授权实施●授权对象安全属性表、每个主体设置的安全属性表()2015-12-28IRM1 幻灯片66.1.1 系统授权与数据加密技术●一个授权系统通常采用以下两种技术措施:●识别与验证:进入系统●决定用户访问权限:超级用户●一般用户●审计用户●作废用户●2015-12-28IRM1 幻灯片76.1.1 系统授权与数据加密技术●数据加密●1)加密算法●2)解密算法●3)密文●4)加密密钥●5)解密密钥●6)单密钥体制:保密性取决于密钥的安全性●7)双密钥体制:公开秘钥(公开的)●秘密密钥● 加密算法E 与解密算法D 完全不同2015-12-28IRM 1幻灯片86.1.1 系统授权与数据加密技术● 数据加密,就是按照预先约定的变换规则(加密算法)对需要保护的数据(明文)进行转换,使其成为难以识读的数据(密文)。
信息经济学课件(第六章信息资源管理)
我们认为,对信息资源可作广义和狭义 理解。
广义的信息资源是可以用来创造物质财 富和精神财富的各种信息及其相应的人才和 技术,是与信息活动相关的资源的总称。
狭义的信息资源是指可供人类用来创造 财富的各种信息。
二、 信息与信息资源的关系
1. 信息与广义的信息资源 的关系: 交叉关系
2. 信息与狭义的信息资 源的关系: 包含关系
源进行综合、浓缩加工而 缩、编排、综合而形成的
成的信息资源,如综述、 信息资源,如书目、文摘、
述评等
索引、综述、述评等
第三节 信息资源的社会功能与作用
1 信息资源的科学功能 2 信息资源的教育功能 3 信息资源的经济功能 4 信息资源的管理功能
一、 信息资源功能的表现
1、 信息资源的科学功能
(1) 提供科研原料 (2) 加快科研进程 (3) 避免科研重复 (4) 粘结科学群体
y(X )
C Xa
式中:x为论文数量;C为某主
题领域的特征常数;y(x)为写x
篇论文的作者占作者总数的比
例;a为参数,它在特定的学科
领域是一常数,在不同的学科
领域有波动,一般在1.2—3.5
间变化。
lgy
0
lgx
图 2.3 洛特卡定律
2、 文献信息的生产者分布
高产文献信息生产者的分布规律,与洛特卡定律所描述的内 容基本一致。
2. 生物信息资源
生物信息资源是指生命 世界的信息。
其特点:广泛分布于生 物界,其主要载体是生物本 身,基本上是零次信息资源。
3. 社会信息资源
社会信息资源是指社会上人与人之 间交流的信息,包括一切人类社会运动 变化状态的描述。
其特点:广泛分布于社会的各个层 面,信息量大,变化快,与社会进步息 息相关,载体多样化,类型多层次。
信息资源管理与安全制度
信息资源管理与安全制度第一章总则第一条管理目的为规范企业内部信息资源的管理和使用,保障信息资源的安全、完整和高效使用,提升企业信息化管理水平,特订立本制度。
第二条适用范围本制度适用于企业内部全部员工和相关合作单位,包含但不限于信息系统部门、行政部门、技术研发部门等。
第三条安全责任信息资源的管理和安全是每个员工和相关合作单位的共同责任,各部门应当加强对信息资源的保护和管理。
第二章信息资源管理第四条信息资源分类依据业务需求和保密程度,将信息资源分为四个级别:机密级、秘密级、内部级和公开级。
各级别的信息资源应有相应的保护和管理措施。
第五条信息资源管理流程1.信息资源手记:各部门应依照业务需求,手记、整理和建档信息资源,确保信息完整和准确性。
2.信息资源分级:依据第四条的分类标准,对手记到的信息资源进行分级,并对其进行标识和归档。
3.信息资源发布:依据相应权限,将公开级的信息资源发布到企业内部和相关合作单位,确保信息资源的共享和传播。
4.信息资源使用:依据不同用户权限,进行信息资源的查询、浏览、下载等操作,保证信息资源的高效使用。
5.信息资源维护:及时对信息资源进行维护和更新,确保信息资源的完整性和时效性。
6.信息资源销毁:对于不再需要的信息资源,依照相应规定进行销毁,确保信息资源的安全性。
第六条信息资源权限管理1.权限调配:依据员工职责和需要,对信息资源的访问权限进行调配和管理,并定期进行权限的审查和更新。
2.权限审批:部门经理对员工的权限申请进行审批,并及时通知相应人员权限更改情况。
3.权限掌控:对各级别的信息资源进行权限掌控,确保只有有权限的人员可以访问和操作相关信息。
4.权限监控:建立权限监控机制,对权限使用情况进行监测和记录,确保权限的合理使用。
第七条信息资源备份与恢复1.信息资源备份:依据业务需求和安全标准,定期对紧要信息资源进行备份,并将备份文件存储在安全可靠的设备和位置。
2.信息资源恢复:在显现意外事件或故障时,及时进行信息资源的恢复操作,确保企业信息的连续性和可用性。
IRM-06信息资源安全管理
6.2.4 网络安全管理
• 1.网络资源包括:
• 主机系统(服务器) • 终端系统(客户机) • 网络互连设备
2.网络安全技术
网络分段 防火墙 VPN 入侵检测 病毒防治6.2.5 软件安全管理
• TCSEC根据不同的安全需要,按可靠程 度将计算机系统分为四类★ :
– 非安全保护类 – 自主性保护类 – 强制型安全保护类 – 验证性保护类 计算机系统安全保护能力的5个等级★
• 数字签名 当通信双方发生下列情况时,必须解决以下安全问题: •否认,发送方不承认自己发送过某一文件。 •伪造,接收方伪造一份文件,声称它来自发送方。 •冒充,网络上的某个用户冒充另一个用户接收或发送 信息。 •篡改,接收方对收到的信息进行篡改。 为了解决上述问题,需要数字签名。 • 数字签名:在信息系统中,采用电子形式的签名,就 是数字签名。 数字签名有利于用密码技术进行,其安全性取决于密 码体制的安全程度,比书面签名有更高的安全性。
• 2.信息资源安全管理的主要任务? ★ ★ • 3.信息资源安全管理的本质? ★
6.2信息资源安全的系统管理 信息资源安全的系统管理
• 6.2.1信息系统安全模型: ★ ★ ★ 信息系统安全模型: 信息系统安全模型
– 第1、2层 行为规范管理 – 第3、4层 实体安全管理 – 第5、6、7层 技术安全管理 行为规范管理包括国家和社会组织两个层面。 实体安全管理:场地环境安全、硬件安全、介 质安全
6.3 数据加密技术及其应用
• 数据加密 数据加密--就是按确定的加密交换方法(即加密算法) 对需要保护的数据(明文)作处理,使其成为难以识 读的数据(密文)。 • 数据解密 数据解密--数据加密的逆过程,即由密文按对应的解 密变换方法(解密)恢复出明文的过程称为数据解密。 • 通常加密和解密算法的操作都是在一组密钥的控制下 进行的,分别称为加密密钥和解密密钥。 • 当Ke=Kd,称加解密算法为对称密码体制; • 当Ke≠ Kd,称加解密算法为非对称密码体制;
信息资源安全管理
5. [识记]实体安全管理的主要内容有哪 些?P157-201107简 实体安全包含有物理实体安全和硬件系统 安全管理两部分内容。具体包括: (1) 场地环境安全
- 场地 - 空气调节系统 - 防火管理
(2) 硬件安全
- 硬件设备的档案管理 - 防电磁干扰 - 防电磁泄露 - 电源安全
(3) 介质安全
11. [领会]什么是计算机病毒?p163 指的是编制或者在计算机程序中插入的破 坏计算机功能或者毁坏数据,影响计算机使用 ,并能自我复制的一组计算机指令或程序代码 。
入侵检测是一种主动安全保护技术。在不影
响网络性能的前提下,对网络(特别是内部网络)进 行监测,从计算机网络的若干关键点收集信息,通 过分析这些信息,发现异常并判断识别是否为恶意 攻击。
CIO-P65
CIO即Chief Of Officer,首席信息官。是专门负 责组织信息化建设、实施和运作的管理者,通常是 组织决策层的成员。
P20
(1) 非物质性 如信息咨询、代理服务、媒体制作、软件开发等 (2) 超时空性 如电子商务、远程教育、远程医疗等 (3) 可扩展性 如:即时通讯工具QQ/MSN/微信/微博
201104-31. 31.简述信息存储的基本原则?
P107
(1) 统一性 遵循国家标准或国际标准 (2) 便利性 方便用户检索 (3) 有序性 强调存放的规律性 (4) 先进性 强调存储的载体
25、信息资源安全主要关注信息在开发利用过 程中面临的( ) 201307-p154-155 A、可用性问题 B、机密性问题 C、真实性问题 D、完整性问题 E、可行性问题
三、名词解释(本大题共3小题,每小题3分, 共9分)201304 26、CIO 27、信息资源安全管理 28、信息分析 P154
第6章信息安全管理-信息安全工程-林英-清华大学出版社
了解信息安全管理基本概念; 掌握信息安全管理常用模型。
6.1.1 安全管理概念
• 信息安全管理是以信息及其载体——即信息系统为对象的安全管理。信息安全管 理的任务是保证信息的使用安全和信息载体的运行安全。信息安全管理的目标是 达到信息系统所需的安全级别,将风险控制在用户可以接受的程度。信息安全管 理有其相应的原则、程序和方法,来指导和实现一系列的安全管理活动。
图6-4阐述了与风险相关的安全要素之间的关系。 为了简单、清晰起见,这里只表示了主要关系。
基于过程的风险管理是一个由许多子过程组成的系 统工程。其中一些过程,例如配置管理和变更管理 ,可以用来控制安全以外的其他过程。经验表明, 过程风险管理及其风险分析子过程在信息安全管理 中极其有用。图6-7说明了基于过程的风险管理的
归纳起来,目前比较流行的模型有以下几种: 安全要素关系模型
风险要素关系模型
基于过程的风险管理模型
PDCA(plan-do-check-act)模型
信息系统安全是一个需要从不同方面来观察和研究的多维问题。为了确定 和实现一个全局的,一致的信息安全方针和策略,一个组织应该考虑与之 相关的所有方面的问题。下图说明了资产可能受大量潜在威胁的情况。
几个方面,包括风险分析,变更管理,配置管理和 风险调控等。
PDCA(规划-实施-检测-改进)模型如图6-9所示 。
1.规划(Plan)--对组织的信息安全进行总体规划
建立ISMS的结构关系;提出信息安全的目标,方针和策略,其
中,安全目标是一个满足组织对信息系统安全要求的指标体系 ,安全方针是达到安全目标的方法和途径,安全策略是实现安 全目标的一系列规则和指令。
信息安全管理体系通过实施风险管理过程来保护组 织信息的机密性、完整性和可用性,对风险进行充 分的管理并为相关方带来信心。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
幻灯片1第六章信息资源的安全管理●内容提要●信息资源安全管理概述●计算机软件的安全●数据库安全●计算机网络的安全●信息系统的安全●电子商务安全2015-12-28IRM1 幻灯片26.1.1 系统授权与数据加密技术信息资源安全涉及的四方面内容1)处理要求看,信息完整性、保密性和不可否认性2 )组织,可控性、可计算性、互操作性3)运行环境4 )管理,规章制度、法律法规、人员安全性技术安全(被动)和管理安全(主动)2015-12-28IRM1 幻灯片36.1.1 系统授权与数据加密技术●在信息资源的安全管理技术中,系统授权与数据加密技术是一项被广泛应用的技术。
●系统授权是用户存取权限的定义。
●为了保证在数据的正常存储和通信传输过程中不被非法用户窃听或修改,必须对数据进行必要的加密。
2015-12-28IRM1 幻灯片46.1.1 系统授权与数据加密技术●授权方案应该满足系统安全需求和用户需求。
●系统授权可以控制的访问对象包括:数据(数据库、文件、记录、字段等)、应用程序、设备(终端、打印机等)、存储介质(磁带、磁盘、光盘等)各类系统资源等。
2015-12-28IRM1 幻灯片56.1.1 系统授权与数据加密技术●一个授权方案由两部分组成:●授权对象集●由授权对象所决定的用户提出的申请是被允许还是被否定(控制规则)。
●授权实施●授权对象安全属性表、每个主体设置的安全属性表()2015-12-28IRM1 幻灯片66.1.1 系统授权与数据加密技术●一个授权系统通常采用以下两种技术措施:●识别与验证:进入系统●决定用户访问权限:超级用户●一般用户●审计用户●作废用户●2015-12-28IRM1 幻灯片76.1.1 系统授权与数据加密技术●数据加密●1)加密算法●2)解密算法●3)密文●4)加密密钥●5)解密密钥●6)单密钥体制:保密性取决于密钥的安全性●7)双密钥体制:公开秘钥(公开的)●秘密密钥● 加密算法E 与解密算法D 完全不同2015-12-28IRM 1幻灯片86.1.1 系统授权与数据加密技术● 数据加密,就是按照预先约定的变换规则(加密算法)对需要保护的数据(明文)进行转换,使其成为难以识读的数据(密文)。
● 数据加密的逆过程,即由密文按对应的解密变换方法(解密算法)恢复出明文的过程称为数据解密。
2015-12-28IRM1幻灯片9● 加密和解密● 算法和密钥 ● 密码系统的构成 ●加密E解密D明文M明文MKd 解密密钥Ke 加密密钥密文C2015-12-28IRM 1幻灯片106.1.1 系统授权与数据加密技术● 根据加密密钥Ke 和解密密钥Kd 是否相同,数据加密技术在体制上分为两大类:● 单密钥体制 ● 双密钥体制2015-12-281幻灯片11通用密钥密码体制H O W A R E Y O U E N G L A N D E NL B C L R R B S H……… 明文……… 密钥字串……… 密文+) 2015-12-28IRM 1幻灯片12公开密钥密码体制Kdz私人密钥Kdy私人密钥Kdx私人密钥公众通信网X ZY密钥中心Kex, Key, Kez, ……公共密钥Kex:X 的加密密钥,Kdy:X 的解密密钥,其他密钥依次类推…….2015-12-281 幻灯片13●RSA算法*●利用质因数分解的困难性开发的算法●加密密钥:e和n (公开)●解密密钥:d和n (d值保密)●加密:C=E(M)=Me mod n (由明文M到密文C)●解密:M=D(C)=Cd mod n (由密文C到明文M)2015-12-28IRM1 幻灯片146.1.1 系统授权与数据加密技术●单密钥体制又叫做常规密钥密码体制,其加密密钥和解密密钥是相同的。
●双密钥体制又叫公开密钥密码体制,它最主要的特点就是加密和解密使用不同的密钥。
●双密钥体制的主要特点是将加密和解密能力分开,因而可以实现多个用户加密的信息只能由一个用户解读,或实现由一个用户加密的信息使多个用户可以解读。
前者可用于公共网络中实现保密通信,而后者可用于对信息进行数字签名。
2015-12-28IRM1 幻灯片156.1.1 系统授权与数据加密技术●双密钥体制的主要优点:●增加了安全性●因为解密密钥SK无需传给任何人,或无需与任何人联络,且无须委托他人。
而在单密钥体制中,总是存在截取者在该秘密密钥传送时发现它的可能。
●提供了一种数字签名的方法●公开密钥的证实提供了不可否认性,可用于具有法律效力的文件。
2015-12-28IRM1 幻灯片166.1.1 系统授权与数据加密技术●双密钥体制的主要缺点是速度问题。
常用的单密钥加密算法显著地快于任何可用的公开密钥的加密算法。
对数据加密而言,最好的解决方法是将双密钥体制和单密钥体制结合起来,以得到两者的优点,即安全性和速度。
2015-12-28IRM1 幻灯片176.1.1 系统授权与数据加密技术可靠性标准1)取决于解密过程的数学难度2)密钥的长度密码算法的分类:根据加密与解密密钥分为对称密码算法和非对称密码算法对称密码算法特点:计算开销小、加密速度快1)在通信交易双方之间确保密钥安全交换的问题2)当贸易有多个关系时,需要拥有维护多个专用密钥3)无法鉴别贸易发起方和贸易最终方,也不能保证信息传递的完整性。
对称算法最主要的问题加解密双方都要使用相同的密钥,密钥分发的困难几乎是无法解决的2015-12-28IRM1 幻灯片186.1.1 系统授权与数据加密技术非对称密码算法:把密钥分解为一对,其中任何一把可作为公开密钥(加密密钥),而另一把则作为专用密钥(解密密钥)加以保存。
密钥对:一个公钥,一个私钥。
非对称密码算法的缺点:计算量大、加密速度慢非对称密码学研究的两个方面1)信息传递的机密性2)信息发送任何接收人的真实身份验证、对所发出/接收信息在事后的不可抵赖以及保障数据的完整性。
两种加密技术:1)公共密钥和私人密钥:也称为 RSA编码法2)数字摘要:也称为Hash编码法2015-12-28IRM1 幻灯片196.1.1 系统授权与数据加密技术数字签名:是公开密钥的一种应用,使用双重加密的方法来实现防伪1、特点:1)说明信息是由签名者发送的2)保证自签名后到收到为止未曾做过任何修改2、作用:1)防止电子信息的人为修改2)防止用别人的名义发信息3)防止发出(或收到)信件后又加以否认3、数字签名的原理:1)被发送文件用SHA编码加密产生128比特的数字摘要2)发送方用自己的私用密钥对摘要加密,这就形成数字签名3)将原文和加密的摘要同时传给对方4)对方用发送方的公开密钥对摘要解密,同时对收到的文件用SHA编码加密后产生又一摘要5)将解密后的摘要和收到文件在接受方重新加密产生的摘要进行对比,如果一致则信息没有被篡改。
2015-12-28IRM1 幻灯片206.1.1 系统授权与数据加密技术信息数字签名信息被确认信息摘要摘要摘要数字签名SHA加密Private Key加密发送Public Key解密SHA加密比较二者若一致发送方接受方2015-12-28IRM1 幻灯片216.1.1 系统授权与数据加密技术数字时间戳:是专门提供电子文件发表时间的安全保护1、数字时间戳服务:DTS,是网上安全服务项目,是由专门的机构提供的2、时间戳:是一个经过加密后形成的凭证文档。
由三部分组成:1)需加时间戳的文件摘要2)DTS收到文件的日期和时间3)DTS的数字签名3、时间戳产生的过程:1)用户首先将需要加时间戳的文件hash编码法加密形成摘要,然后将摘要发给DTS。
2)DTS在加入了收到文件摘要的日期和时间后再对该文件加密(数字签名),然后送回用户3)不同于书面文件,数字时间戳是由认证单位DTS加的,并以它收到文件的时间为依据。
2015-12-28IRM1 幻灯片226.1.1 系统授权与数据加密技术数字证书:是由电子手段来证实一个用户的身份核对网络资源的方问权限。
将公钥和公钥主人的联系在一起,请一个大家都信任的公正、权威机构确认,并加上该权威机构的签名。
网上个人电子身份证1 内容格式包括:数字证书拥有者姓名数字证书拥有者公共密钥公共密钥的有效期颁发数字证书的单位数字证书的序列号把发数字证书单位的数字签名2015-12-28IRM1 幻灯片236.1.1 系统授权与数据加密技术2、数字证书的类型:个人凭证:为某一个用户提供凭证企业凭证:为某个Web服务器提供凭证软件凭证:为某个下载的软件提供凭证认证中心(CA):就是承担网上安全电子交易认证服务、签发证书、确认用户身份的权威服务机构。
发放证书的权威机构。
相当于网上公安局,负责发证、验证、证书和密钥的管理CA作用:对含有公钥的证书进行数字签名,使证书无法伪造。
每个用户可以获得CA中心的公开密钥,验证任何一张数字证书的数字签名,从而确定证书受否是CA 中心签发、数字证书是否合法 2015-12-28IRM1幻灯片246.1.1 系统授权与数据加密技术● 认证的分级体系¸ùÈÏÖ¤(Root CA)Æ·ÅÆÈÏÖ¤(Brand CA)ÇøÓòÐÔÈÏÖ¤(Get-Political CA)ÉÌ»§ÈÏÖ¤(Merchant CA)³Ö¿¨ÈËÈÏÖ¤(Cardholder CA)Ö§¸¶Íø¹ØÈÏÖ¤(Payment Gateway CA)³Ö¿¨ÈËÉÌ»§Ö§¸¶Íø¹Ø图5-12 CA 证书信任分级体系2015-12-28IRM 1幻灯片256.1.2 计算机犯罪及其防范● 计算机犯罪是一种新的社会犯罪现象,它具有以下明显特征:● 犯罪方法新 ● 作案时间短● 内部人员犯罪的比例在增加 ● 犯罪区域广● 利用保密制度不健全和存取控制机制不严的漏洞作案2015-12-28IRM 1幻灯片266.1.2 计算机犯罪及其防范●计算机犯罪的形式和手法是多种多样的,通常主要指采用下列非暴力的技术手段:●数据破坏●特洛伊木马●香肠术●逻辑炸弹●陷阱术●寄生术2015-12-28IRM1 幻灯片276.1.2 计算机犯罪及其防范●超级冲杀●异步攻击●废品利用●计算机病毒●伪造证件●数据输入控制●通信控制●数据处理控制●数据存储控制●访问控制2015-12-28IRM1 幻灯片286.1.3 计算机病毒及其防范●计算机病毒是人为制造的、能够通过某一途径潜伏在计算机的存储介质(或可执行程序、数据文件)中,达到某种条件具备后即被激活,对信息系统资源具有破坏作用的一种程序或指令的集合。