信息系统的安全与运行密不可分。信息系统的运行必须安全,这既需要采用相应的安全技术进行防范,更需要通过制定合适的制度,营造良好的信息文化,培养良好的信息道德和信息素质来保证系统的安全。但信息系统的安全不仅仅是运行过程中的事情,它还包括在信息系统的设计和开发中,要相应地进行安全设计。信息系统的运行不仅要确保本身的安全,还需要对信息系统进行维护、收集在维护和使用过程中产生的信息以及用户的新需求,定期进行分析归纳,据此写出运行分析报告,作为升级或更新系统的依据。第七章信息系统的安全与运行管理系统安全设计是HIS系统的重要组成部分。网络运行的安全性、健壮性、可靠性均与该系统有密不可分的关系。1、网络设备安全2、应用平台安全3、数据安全4、安全有效的防火墙,杜绝网络病毒的传染5、安全管理制度6、合理设计和划分业务数据流与分配通讯带宽,适当考虑带宽冗余度,确保无数据流阻塞运行7、采用高安全技术措施,用技术和法规等手段确保网络运行安全第七章信息系统的安全与运行管理一、信息系统的安全管理二、系统转换与信息系统运行的组织三、信息系统的运行制度四、信息系统的维护与升级一、信息系统的安全管理随着信息技术的广泛应用,机密和财富越来越集中在计算机和网络中,其中的信息一旦披损坏或丢失都将给社会造成极大的影响。显然,社会对信息系统的依赖日益增加。对于一个现代化的国家,其国防、经济、政治、文化乃至人民生活都深深地依赖于信息系统,信息犯罪是否安全可靠,对信息社会有决定性的影响。另一方面,信息技术应用的普及与信息犯罪的潜在风险同时增加。由于上述的这些原因,使得以信息系统为基础和象征的信息社会存在着极大的脆弱性,在无意的误操作下和蓄意的攻击下,信息系统的破坏将给社会造成难以估计的损失。本节内容:1、信息系统的安全管理2、信息系统安全的起因与含义3、信息系统的安全技术和控制方法4、信息系统安全的风险评估与保险1、信息系统安全的起因与含义信息系统尽管功能强大,技术先进,但由于受到它自身的体系结构、设计思路以及运行机制等的限制,也隐含着许多不安全的因素。常见的影响因素有:数据的输入、输出、存取与备份,源程序以及应用软件、数据库、操作系统等的漏洞或缺陷,硬件、通信部分的漏洞、缺陷或者是遗失,还有电磁辐射、环境保障系统、企业内部人的因素、软件的非法复制、“黑客”、计算机病毒、经济(信息)间谍等,它们的具体表现可以参见表7—1。表7-1引发信息系统安全的各种因素根据上面对影响信息系统安全诸因素的分析,不难看出,信息系统的安全是一个系统的概念,它既包括了信息系统物理实体的安全,也包括了软件和数据的安全:既存在因为技术原因引起的安全隐患,也有非技术原因。如因为人的素质和道德等因素引起的安全隐患。在此基础上,我们给出一个信息系统安全的定义:●●信息系统安全是指采取技术和非技术的各种手段,通过对信息系统建设中的安全设计和运行中的安全管理,使运行在计算机网络中的信息系统有保护,没有危险,即组成信息系统的硬件、软件和数据资源受到妥善的保护,不因自然和人为因素而遭到破坏、更改或者泄露系统中的信息资源,信息系统能连续正常运行。显然,信息系统的安全管理是一项复杂的系统工程,它的实现不仅是纯粹的技术方面的问题,而且还需要法律、制度、人的素质诸因素的配合。因此,信息系统安全管理的模型应该是一个层次结构,如表7-2所示。从表中可以看出各层之间相互依赖,下层向上层提供支持,上层依赖于下层的完善,最终实现数据信息的安全。表7-2信息系统安全管理的层次模型信息系统的安全问题不但表现在信息系统的运行过程中,在信息系统的规划、设计与实现阶段就已经开始了。信息系统安全的设计包括物理实体安全的设计、硬件系统和通信网络的安全设计、软件系统和数据的安全设计等内容。本节主要讨论的内容:(1)物理实体安全环境的设计(2)信息体系统中软件和数据安全的设计2、信息系统安全的设计(1)物理实体安全环境的设计企业信息系统尽管可以在物理上分散在各个科室、部门,但是各种服务器一般都是集中在某个较安全的地方,这个较安全的地方我们称之为机房或中心机房。这样可以集中管理,集中提供保护手段和措施。我们可以将这些机房划分不同的等级。把要求具有最高安全性的系统定为A类机房;只确保系统运行时最低限度安全性的系统定为C类,介于A类和C类之间的则是B类。因此,可以把信息系统的机房安全等级划分成三级,参见表7-3。表7-3信息系统机房安全等级表对于信息系统机房的规划,一般都要考虑如下的安全技术要求:①合理规划中心机房与各科室、车间机房的位置。②对出入机房进行控制。③机房应进行一定的内部装修。④选择合适的其他设备和辅助材料。⑤安装空调系统。⑥防火、防水。⑦防磁。⑧防静电。⑨防电磁波干扰和泄露。⑩电源。对于A、B类安全机房,其温度和湿度一般都有具体要求,表7-4中列出了A类机房的温湿度表。(2)信息体系统中软件和数据安全的设计软件是保证信息系统正常运行、促进信息技术普及应用的主要因素和手段。数据是信息系统的中心,数据的安全管理是信息系统安全的核心。如何保证它们的安全哪?①选择安全可靠的操作系统和数据库管理系统②设计、开发安全可靠的应用程序③信息系统中数据安全的设计①选择安全可靠的操作系统和数据库管理系统选择一个安全可靠的操作系统,是软件安全中最基本的要求。因为操作系统是其他软件的运行基础,只有在保证操作系统安全可靠的前提条件下,讨论软件的安全才有实际意义。大部分的信息系统都运行在某个数据库管理系统之上,安全的数据库管理系统直接制约了信息系统应用程序及数据文件的安全防护能力。为此,在进行数据库管理系统选择时,一定要考虑它自身的安全策略和安全能力。②设计、开发安全可靠的应用程序通过计算机和网络进行的信息犯罪活动,往往是由篡改应用程序入手进行的。由于大多数的应用程序开发人员缺乏必要的安全意识,程序中又没有有力的安全保护措施,从而使犯罪人员可以比较容易得手,轻而易举地改变程序的部分代码,删除、修改及复制某些数据信息,使程序在“正确的运行”中产生一些错误的结果,从而达到其目的。因此,在设计和开发应用程序时,可以考虑如下一些安全策略和措施:A.设立安全保护子程序或存取控制子程序B.不断提高软件产品标准化、工程化、系列化的水平C.尽量采用面向对象的开发方法和模块化的思想D.采用成熟的软件安全技术,是从根本上提高系统安全防护能力、抵御外来侵袭的主要途径③信息系统中数据安全的设计信息系统中数据安全的设计包括数据存取的控制、防止数据信息泄漏、防止计算机病毒感染和破坏、数据备份的方法等几项工作。★加密是防止数据信息泄漏,保障数据秘密性、真实性的重要措施,是数据安全保护的有效手段,也是抵抗计算机病毒感染破坏、保护数据库完整性的重要手段。数据加密有序列密码、分组密码、公开密钥密码、磁盘文件数据信息加密等多种方式。其中,磁盘加密的目的是防止对磁盘文件数据信息的非法拷贝和修改。经常采用的磁盘加密方法有非标准格式化磁盘、改变磁头转速、激光打孔加密及掩膜加密等。在网络系统中,还必须对传输中的数据采取安全保护措施。通常,网络中有三种对传输数据进行加密保护方式,即链路加密、节点加密和点对点加密。★重要的数据文件应当有完整的备份,防止自然灾害或意外事故将数据文件破坏,使数据不至于完全丢失,并能使系统尽快恢复运行。所有的数据备份都应当进行登记,妥善保管,防止被盗,防止被破坏,防止被误用。重要的数据备份还应当进行定期检查,定期进行复制,保证备份数据的完整性、使用性和时效性。★在设计具有高度安全性系统时还必须考虑系统容错的问题。由于环境的影响、电场的存在等,有时磁盘的读写等可能会出错。为了保证系统能处理意外情况出现的错误,通常可以采用磁盘双工和磁盘镜像两种方法。3、信息系统的安全技术和控制方法信息安全技术是一门综合的学科,它涉及信息论、计算机科学和密码学多方面的知识,它研究计算机系统和通信网络内信息的保护方法,以实现系统内信息的安全、保密、真实、完整和可用。常用的安全技术有:使用“防火墙”软件或设备来控制外部对于系统内部网络的存取;采用实时网络审计跟踪工具或入侵检测软件监视信息系统的运行:采用安全传输层协议(securesocketlayer,SSL)和使用安全超文本传输协议(secureHTTP),从而可以保证数据和信息传递的安全性;采用安全电子交易协议(secureelectronictransaction,SET)和电子数字签名技术进行安全交易,等等。随着信息系统的进一步发展,新的安全性要求仍在不断地提出,这时信息安全技术起到了促进推动作用,相信不久的将来会有更新、更实用的安全方法开发出来。对信息系统施加相应的控制是确保信息系统安全的有效方法。控制涉及的范围很广,包括从在办公室房门上安装简单的暗锁以减少盗窃信息系统设备的威胁,到安装掌纹辨识器以防止非法访问存储在硬盘上的敏感数据威胁的发生,按照控制的类型分,可以包括物理控制、电子控制、软件控制和管理控制四种。物理控制是指采用物理保护手段的控制。物理控制可以包括门锁、键盘锁、防火门和积水排除泵。电子控制是指采用电子手段确定或防止威胁的控制。电子控制可包括移动传感器、热敏传感器和湿度传感器。控制也可包括诸如标记和指纹、语音与视网膜录入控制等入侵者检验与生物进入控制。物理控制与电子控制常被结合使用,以对付威胁。软件控制是指在信息系统应用中为确定、防止或恢复错误、非法访问和其他威胁而使用的程序代码控制。数据是信息系统的中心,数据的安全是信息系统安全管理的核心。对信息系统的控制主要表现为对数据的存取控制。所谓存取控制就是指,依靠系统的物理、电子、软件及管理等多种控制类型来实现对系统的监测,完成对用户的识别,对用户存取数据的权限确认工作,保证信息系统中数据的完整性、安全性、正确性,防止合法用户有意或无意的越权防问,防止非法用户的入侵等。存取控制的任务主要是进行系统授权,即确认哪些用户拥有存取数据的权力,并且明确规定用户存取数据的范围及可以实施的操作,同时监测用户的操作行为,将用户的数据访问控制在规定范围内。系统授权的方法是对所有的用户分别赋予一定的权限,没有相应权限的用户不能使用某些系统资源。通常在操作系统一级的权限是以对文件和目录的操作为单位的,网络级操作系统的权限则涉及到网段、域、站点、工作组、计算机等多种资源。为了明确所有用户的权限,应该编制用户存取能力表及存取控制表。编制用户存取能力表,可以对系统的合法用户进行存取能力的限制,确知和控制每个用户的权限。而存取控制表则规定了文件的访问者及其被允许进行的操作如读、写、修改、删除、添加、执行等。许多操作系统或应用软件开发工具都提供了安全机制功能,应当充分利用。例如在WindowsNT中,系统设置的用户组分为:管理员组、服务器操作员组、记账操作员组、打印操作员组、备份操作员组、用户组、来客组等。每一个组中的成员都有该组的权限,可以对特定的资源进行该组成员所被允许的操作。数据库管理系统中也越来越多地采用规定角色的方法。所谓角色(role)是多种权限的一个组合,可以授予某个用户,也可以授予一组用户。这些角色当然也可以从用户处回收。角色可以用SQL语句来直接操作,实现授权的方法有授权矩阵(authorizationmatrix)、用户权限表(userprofile)、对象权限表(objectprofile)等。为了能更好地进行存取权限控制,在进行系统授权时应遵循下面的原则:(1)最小特权原则,即用户只拥有完成分配任务所必需的最少的信息或处理能力,多余的权限一律不给予,这也称为“知限所需”原则。(2)最小泄漏原则,用户一旦获得了对敏感数据信息或材料的存取权,就有责任保护这些数据不为无关人员所知,并且只能执行规定的处理,将信息的泄漏控制在最小范围之内。(3)最大共享策略,让用户最大限度地利用数据库中的信息,但这不意味着用户可以随意存取所有的信息,而是在授权许可的前提下的最大数据共享。(4)推理控制策略,所谓的推理控制策略就是防止某些用户在