信息资源组织与管理
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
系统的管理者对网络和信息系统有足够的控制和管理能力,以保证信息的可控制性; 准确跟踪实体运行达到审计和识别的目的,以保证信息的可计算性; 网络协议、操作系统和应用系统能够相互连接、协调运行,以保证信息的互操作性。
❖ 从信息运行环境角度,包括:
各种各样硬件设施的物理安全。
❖ 从信息管理规范的角度,包括:
• 作业 (…….)
6.1.1 信息资源安全的概念(1/2)
1、什么是信息资源安全?
– 是指信息资源所涉及的硬件、软件及应用系统受到保护,以防范和抵御对信息资源不 合法的使用和访问以及有意无意的泄漏和破坏。
2、信息资源管理涉及的内容有哪些?
– 信息资源安全的范畴 :计算机安全/软件安全/网络安全。 – 信息资源安全包括了从信息的采集、传输、加工、存储和使用的全过程所涉及的安全
• 6.2.2.1 安全管理原则 • 6.2.2.2 安全管理的措施
• 6.3 环境安全 (掌握)
– 6.3.1 场地安全 – 6.3.2 中心机房安全
内容提要(2/3)
❖ 6.4 物理实体安全(了解)
6.4.1 设备布置安全
6.4.2 设备供电安全
6.4.3 电缆安全 6.4.4 设备维护安全 6.4.5 场所外设备安全 6.4.6 设备的处置及再利用安全
包括:数据加密技术、密钥管理技术、访问控制技术、反病毒技术、防火墙技术。
– 6.6.1 软件安全的含义 – 6.6.2 系统软件安全 – 6.6.3 应用软件安全
• 6.7 数据信息安全(难点,了解)
– 6.7.1 数据库系统安全技术 – 6.7.2 数据备份技术 – 6.7.3 终端安全技术 – 6.7.4 数据完整性鉴别技术 – 6.7.5 数据签名技术 – 6.7.6 信息审计跟踪技术 – 6.7.7 PKI技术
《信息资源组织与管理》之第6章
信息资源的安全管理
内容提要(1/3)
• 6.1 信息资源安全管理概述(掌握)
– 6.1.1 信息资源安全的概念 – 6.1.2 威胁信息资源安全的主要因素 – 6.1.3 信息资源的安全管理模型
• 6.2 安全管理制度 (了解)
– 6.2.1 法律法规 – 6.2.2 行政管理
• 违纪:是指内部工作人员违反工作规程和制度的行为。例如:银行系统的网络系统管理员与 操作员的口令一致、职责不分等。
• 违法犯罪:包括制造和传播病毒/ 非法复制。例如,侵犯著作权、版权等/ 窃取机密/ 金融犯 罪/ 色情犯罪,例如:利用网络传播色情图文、贩卖色情物品、进行色情交易等/ 宣传邪教、 恐怖主义、种族歧视等/ 制造谣言。例如,在有关主页上发布虚假信息、假新闻等/ 诬蔑诽谤。 例如,利用计算机进行非法的图像合成、搞张冠李戴等。
软件的漏洞。
软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷往往是黑客攻击的首选目标, 软件的BUGS便是典型的缺陷和漏洞。
6.1.3 信息资源的安全管理模型(1/2)
1、信息安全资源的安全管理的6层次模型
数据信息安全
6层
软件安全
5层
网络安全
4层
物理实体安全
3层
环境安全
2层
安全管理制度
1层
– 人祸包括 “无意”人祸和“有意”人祸。 – (1) “无意”人祸:是指人为的无意失误和各种各样的误操作。典型“无意”
人祸有:
• 操作人员误删除文件; • 操作人员误输入数据; • 系统管理人员为操作员的安全配置不当; • 用户口令选择不慎; • 操作人员将自己的帐号随意转借他人或与别人共享。
6.1.2 威胁信息资源安全的主要因素
❖ 6.5 网络安全 (难点,了解)
6.5.1 网络安全的含义 6.5.2 网络安全的技术措施
❖ 6.5.2.1 数据加密技术 ❖ 6.5.2.2 密钥管理技术 ❖ 6.5.2.3 访问控制技术 ❖ 6.5.2.4 反病毒技术 ❖ 6.5.2.5 防火墙技术
内容提要(3/3)
• 6.6 软件安全(பைடு நூலகம்握)
6.1.2 威胁信息资源安全的主要因素
(3/3)
3、信息系统自身的脆弱性
计算机硬件系统的故障。
❖ 因生产工艺或制造商的原因,计算机硬件系统本身有故障,如电路短路、断路、接触不良等 引起系统的不稳定、电压波动的干扰等。
软件的“后门”。
❖ 软件的“后门”是指软件公司的程序设计人员为了自便而在开发时预留设置的,旨在为软件 调试、进一步开发或远程维护提供了方便。然而,这些软件“后门”也为非法入侵提供了通 道,一旦“后门”洞开,其造成的后果将不堪设想。
各种各样的规章制度、法律法规、人员安全性等。
6.1.2 威胁信息资源安全的主要因素
(1/3)
三个方面:天灾、人祸和信息系统自身的脆弱性。 1、天灾
– 指不可控制的自然灾害,如地震、雷击、火灾、风暴、战争、社会暴力等。 – 天灾轻则造成业务工作混乱,重则造成系统中断甚至造成无法估量的损失。
2、人祸
(2/3)
2、人祸(续)
– (2) “有意”人祸:指人为的对信息资源进行恶意破坏的行为。“有意”人祸是目 前信息资源安全所面临的最大威胁。“有意”人祸主要包括下述三种类型:
• 恶意攻击:主要有主动攻击和被动攻击两种形式。其中,主动攻击是指以某种手段主动破坏 信息的有效性和完整性;被动攻击则是在不影响信息(或网络)系统正常工作的情况下,截 获、窃取、破译重要机密信息。这两种恶意攻击方式均可对信息资源造成极大的危害,并导 致机密数据的泄漏。
6.1.3 信息资源的安全管理模型(2/2)
2、每一层次主要包括的安全管理或安全技术内容
安全管理制度。
包括:法律法规、行政管理措施。
环境安全。
包括:场地安全、中心机房安全。
物理实体安全。
包括:设备布置安全、设备供电安全、电缆安全、设备维护安全、场所外设备安全、 设备的处置及再利用安全。
网络安全。
问题。 • 从信息处理的角度,包括: (1)内容的真实无误,以保证信息的完整性; (2)信息不会被非法泄漏和扩散,以保证信息的保密性; (3)信息的发送和接收者无法否认自己所做过的操作行为,以确保信息的不可否认性。
6.1.1 信息资源安全的概念(2/2)
2、信息资源管理涉及的内容有哪些?(续)
❖ 从信息组织层次的角度,包括:
❖ 从信息运行环境角度,包括:
各种各样硬件设施的物理安全。
❖ 从信息管理规范的角度,包括:
• 作业 (…….)
6.1.1 信息资源安全的概念(1/2)
1、什么是信息资源安全?
– 是指信息资源所涉及的硬件、软件及应用系统受到保护,以防范和抵御对信息资源不 合法的使用和访问以及有意无意的泄漏和破坏。
2、信息资源管理涉及的内容有哪些?
– 信息资源安全的范畴 :计算机安全/软件安全/网络安全。 – 信息资源安全包括了从信息的采集、传输、加工、存储和使用的全过程所涉及的安全
• 6.2.2.1 安全管理原则 • 6.2.2.2 安全管理的措施
• 6.3 环境安全 (掌握)
– 6.3.1 场地安全 – 6.3.2 中心机房安全
内容提要(2/3)
❖ 6.4 物理实体安全(了解)
6.4.1 设备布置安全
6.4.2 设备供电安全
6.4.3 电缆安全 6.4.4 设备维护安全 6.4.5 场所外设备安全 6.4.6 设备的处置及再利用安全
包括:数据加密技术、密钥管理技术、访问控制技术、反病毒技术、防火墙技术。
– 6.6.1 软件安全的含义 – 6.6.2 系统软件安全 – 6.6.3 应用软件安全
• 6.7 数据信息安全(难点,了解)
– 6.7.1 数据库系统安全技术 – 6.7.2 数据备份技术 – 6.7.3 终端安全技术 – 6.7.4 数据完整性鉴别技术 – 6.7.5 数据签名技术 – 6.7.6 信息审计跟踪技术 – 6.7.7 PKI技术
《信息资源组织与管理》之第6章
信息资源的安全管理
内容提要(1/3)
• 6.1 信息资源安全管理概述(掌握)
– 6.1.1 信息资源安全的概念 – 6.1.2 威胁信息资源安全的主要因素 – 6.1.3 信息资源的安全管理模型
• 6.2 安全管理制度 (了解)
– 6.2.1 法律法规 – 6.2.2 行政管理
• 违纪:是指内部工作人员违反工作规程和制度的行为。例如:银行系统的网络系统管理员与 操作员的口令一致、职责不分等。
• 违法犯罪:包括制造和传播病毒/ 非法复制。例如,侵犯著作权、版权等/ 窃取机密/ 金融犯 罪/ 色情犯罪,例如:利用网络传播色情图文、贩卖色情物品、进行色情交易等/ 宣传邪教、 恐怖主义、种族歧视等/ 制造谣言。例如,在有关主页上发布虚假信息、假新闻等/ 诬蔑诽谤。 例如,利用计算机进行非法的图像合成、搞张冠李戴等。
软件的漏洞。
软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷往往是黑客攻击的首选目标, 软件的BUGS便是典型的缺陷和漏洞。
6.1.3 信息资源的安全管理模型(1/2)
1、信息安全资源的安全管理的6层次模型
数据信息安全
6层
软件安全
5层
网络安全
4层
物理实体安全
3层
环境安全
2层
安全管理制度
1层
– 人祸包括 “无意”人祸和“有意”人祸。 – (1) “无意”人祸:是指人为的无意失误和各种各样的误操作。典型“无意”
人祸有:
• 操作人员误删除文件; • 操作人员误输入数据; • 系统管理人员为操作员的安全配置不当; • 用户口令选择不慎; • 操作人员将自己的帐号随意转借他人或与别人共享。
6.1.2 威胁信息资源安全的主要因素
❖ 6.5 网络安全 (难点,了解)
6.5.1 网络安全的含义 6.5.2 网络安全的技术措施
❖ 6.5.2.1 数据加密技术 ❖ 6.5.2.2 密钥管理技术 ❖ 6.5.2.3 访问控制技术 ❖ 6.5.2.4 反病毒技术 ❖ 6.5.2.5 防火墙技术
内容提要(3/3)
• 6.6 软件安全(பைடு நூலகம்握)
6.1.2 威胁信息资源安全的主要因素
(3/3)
3、信息系统自身的脆弱性
计算机硬件系统的故障。
❖ 因生产工艺或制造商的原因,计算机硬件系统本身有故障,如电路短路、断路、接触不良等 引起系统的不稳定、电压波动的干扰等。
软件的“后门”。
❖ 软件的“后门”是指软件公司的程序设计人员为了自便而在开发时预留设置的,旨在为软件 调试、进一步开发或远程维护提供了方便。然而,这些软件“后门”也为非法入侵提供了通 道,一旦“后门”洞开,其造成的后果将不堪设想。
各种各样的规章制度、法律法规、人员安全性等。
6.1.2 威胁信息资源安全的主要因素
(1/3)
三个方面:天灾、人祸和信息系统自身的脆弱性。 1、天灾
– 指不可控制的自然灾害,如地震、雷击、火灾、风暴、战争、社会暴力等。 – 天灾轻则造成业务工作混乱,重则造成系统中断甚至造成无法估量的损失。
2、人祸
(2/3)
2、人祸(续)
– (2) “有意”人祸:指人为的对信息资源进行恶意破坏的行为。“有意”人祸是目 前信息资源安全所面临的最大威胁。“有意”人祸主要包括下述三种类型:
• 恶意攻击:主要有主动攻击和被动攻击两种形式。其中,主动攻击是指以某种手段主动破坏 信息的有效性和完整性;被动攻击则是在不影响信息(或网络)系统正常工作的情况下,截 获、窃取、破译重要机密信息。这两种恶意攻击方式均可对信息资源造成极大的危害,并导 致机密数据的泄漏。
6.1.3 信息资源的安全管理模型(2/2)
2、每一层次主要包括的安全管理或安全技术内容
安全管理制度。
包括:法律法规、行政管理措施。
环境安全。
包括:场地安全、中心机房安全。
物理实体安全。
包括:设备布置安全、设备供电安全、电缆安全、设备维护安全、场所外设备安全、 设备的处置及再利用安全。
网络安全。
问题。 • 从信息处理的角度,包括: (1)内容的真实无误,以保证信息的完整性; (2)信息不会被非法泄漏和扩散,以保证信息的保密性; (3)信息的发送和接收者无法否认自己所做过的操作行为,以确保信息的不可否认性。
6.1.1 信息资源安全的概念(2/2)
2、信息资源管理涉及的内容有哪些?(续)
❖ 从信息组织层次的角度,包括: