信息资源组织与管理第六章信息资源的安全管理6.12019年10月1日1时42分经济管理学院NortheastChinaInstituteofElectricPowerEngineering《信息资源组织与管理》第6章信息资源的安全管理返回总目录2019年10月1日1时42分6.2信息资源组织与管理第六章信息资源的安全管理教学目的使学生对信息资源安全管理有深刻的了解;掌握信息资源安全管理的概念;重点掌握信息资源安全管理的六个层次信息资源组织与管理第六章信息资源的安全管理6.32019年10月1日1时42分教学要求做到对信息资源安全管理有个全面的了解;掌握基本概念;掌握信息资源安全管理的安全管理制度、环境安全、物理实体安全、网络安全、软件安全、数据信息安全。2019年10月1日1时42分6.4信息资源组织与管理第六章信息资源的安全管理信息资源的安全管理6.1信息资源安全管理概述6.2安全管理制度6.3环境安全6.4物理实体安全6.5网络安全6.6软件安全6.7数据信息安全信息资源组织与管理第六章信息资源的安全管理6.52019年10月1日1时42分6.1信息资源安全管理概述6.1.1信息资源安全的概念6.1.2威胁信息资源安全的主要因素6.1.3信息资源的安全管理模型信息资源组织与管理第六章信息资源的安全管理6.62019年10月1日1时42分6.1.1信息资源安全的概念信息资源安全:是指信息资源所涉及的硬件、软件及应用系统受到保护,以防范和抵御对信息资源不合法的使用和访问以及有意无意的泄漏和破坏。包括了从信息的采集、传输、加工、存储和使用的全过程所涉及的安全问题。信息资源组织与管理第六章信息资源的安全管理6.72019年10月1日1时42分6.1.2威胁信息资源安全的主要因素1、天灾天灾轻则造成业务工作混乱,重则造成系统中断甚至造成无法估量的损失。2、人祸3、信息系统自身的脆弱性计算机硬件系统的故障。软件的“后门”。软件的漏洞。指不可控制的自然灾害,如地震、雷击、火灾、风暴、战争、社会暴力等。包括“无意”人祸和“有意”人祸。信息资源组织与管理第六章信息资源的安全管理6.82019年10月1日1时42分信息资源组织与管理第六章信息资源的安全管理6.92019年10月1日1时42分信息资源组织与管理第六章信息资源的安全管理6.102019年10月1日1时42分信息资源组织与管理第六章信息资源的安全管理6.112019年10月1日1时42分信息资源组织与管理第六章信息资源的安全管理6.122019年10月1日1时42分6.1.3信息资源的安全管理模型1、信息安全资源的安全管理的6层次模型数据信息安全软件安全物理实体安全网络安全环境安全安全管理制度1层2层3层4层5层6层涉及到由下至上6个层次。各层之间相互依赖,下层是上层安全的基础,上层是下层安全的目标最终目标是实现数据信息安全。信息资源组织与管理第六章信息资源的安全管理6.132019年10月1日1时42分6.1.3信息资源的安全管理模型每一层次主要包括的安全管理或安全技术内容安全管理制度。法律法规、行政管理措施。环境安全。场地安全、中心机房安全。物理实体安全。设备布置安全、设备供电安全、电缆安全、设备维护安全、场所外设备安全、设备的处置及再利用安全。网络安全。数据加密技术、密钥管理技术、访问控制技术、反病毒技术、防火墙技术。软件安全。应用软件安全、系统软件安全。数据信息安全。数据库系统安全技术、数据备份技术、终端安全技术、数据完整性鉴别技术、数据签名技术、信息审计跟踪技术。信息资源组织与管理第六章信息资源的安全管理6.142019年10月1日1时42分6.2安全管理制度6.2.1法律法规6.2.2行政管理措施信息资源组织与管理第六章信息资源的安全管理6.152019年10月1日1时42分6.2.1法律法规1、制定法律法规的目的信息资源安全纳入规范化、法制化和科学化的轨道。2、我国信息资源安全法规法律现状保密法、数据保护法、计算机安全法、计算机犯罪法。3、信息资源安全法规法律的基本准则信息系统合法原则、用户合法原则、信息公开原则、信息利用原则、资源限制原则信息资源组织与管理第六章信息资源的安全管理6.162019年10月1日1时42分6.2.2行政管理措施1、安全管理原则2、安全管理的措施根据工作的重要程度,确定相关系统的安全等级。依据系统的安全等级,确定安全管理的范围。建立组织及人员制度。制订相应的机房出入管理制度。制订严格的操作规程。制订完备的系统维护制度。制订应急措施。建立人员雇用和解聘制度。其他措施。1)多人负责原则2)任期有限原则3)职责分离原则信息资源组织与管理第六章信息资源的安全管理6.172019年10月1日1时42分6.3环境安全6.3.1场地安全6.3.2中心机房安全信息资源组织与管理第六章信息资源的安全管理6.182019年10月1日1时42分6.3.1场地安全1、场地安全的相关条件2、场地安全的基本要求信息资源组织与管理第六章信息资源的安全管理6.192019年10月1日1时42分6.3.2中心机房安全1、中心机房安全的总体要求2、中心机房的安全应重点考虑五个系统(1)供配电系统(2)防雷接地系统(3)消防报警及自动灭火系统(4)门禁系统(5)保安监控系统信息资源组织与管理第六章信息资源的安全管理6.202019年10月1日1时42分信息资源组织与管理第六章信息资源的安全管理6.212019年10月1日1时42分信息资源组织与管理第六章信息资源的安全管理6.222019年10月1日1时42分信息资源组织与管理第六章信息资源的安全管理6.232019年10月1日1时42分信息资源组织与管理第六章信息资源的安全管理6.242019年10月1日1时42分6.4物理实体安全6.4.1设备布置安全6.4.2设备供电安全6.4.3电缆安全6.4.4设备维护安全6.4.5场所外设备安全6.4.6设备的处置及再利用安全信息资源组织与管理第六章信息资源的安全管理6.252019年10月1日1时42分6.4.1设备布置安全设备的布置应考虑下述因素:不必要的访问有效的监视隔离其他信息资源组织与管理第六章信息资源的安全管理6.262019年10月1日1时42分6.4.2设备供电安全设备供电安全的主要措施包括:技术规范。持续的电力供应。对供电设备的定期维护信息资源组织与管理第六章信息资源的安全管理6.272019年10月1日1时42分6.4.3电缆安全1、电缆安全的重要性电力、通信电缆被截断,信息丢失系统运行中断;敏感信息的通信电缆被截获,秘密泄露。2、电缆安全的主要措施尽可能埋在地下,或适当的其他保护。提防未经授权的截取或损坏。电源电缆、通信电缆分离,以防干扰。采用控制措施保证线路安全。定期对线路进行维护。信息资源组织与管理第六章信息资源的安全管理6.282019年10月1日1时42分6.4.4设备维护安全1、设备维护安全的重要性按照设备维护手册的要求或有关维护规程、程序对设备进行适当的维护。2、设备维护安全的主要措施按照时间间隔和规范保养。授权人员维修和保养设备。维修人员应具备一定的维修技能。储备一定数量的备品与配件。保存有关设备维修、维护的记录。送外保养要防止敏感信息的泄露。关键设备或有关重要部件保存一定数量的冗余。信息资源组织与管理第六章信息资源的安全管理6.292019年10月1日1时42分6.4.5场所外设备安全1、场所外设备的定义场所外设备是指离开组织或企业、单位工作场所的设备。2、场所外设备安全的重要性场所外设备可能遭受盗窃、未经授权的访问或环境因素的威胁3、场所外设备安全的主要措施单位外的设备使用,应经管理层授权许可从场所带走的设备应严加保护遵守制造商有关保护设备的指南要求采用合适的物理防护装置(如保险罩),保护场所外的设备安全。信息资源组织与管理第六章信息资源的安全管理6.302019年10月1日1时42分6.4.6设备的处置及再利用安全1、设备的处置及再利用安全的重要性设备到期报废或改变其使用用途时,由于粗心会造成敏感信息的泄露。2、设备的处置及再利用安全的主要措施格式化计算机硬盘。删除文件记录。物理销毁。信息资源组织与管理第六章信息资源的安全管理6.312019年10月1日1时42分6.5网络安全6.5.1网络安全的涵义6.5.2网络安全的技术措施信息资源组织与管理第六章信息资源的安全管理6.322019年10月1日1时42分6.5.1网络安全的涵义1、网络安全的定义是指网络系统中的硬件(主机、服务器及其它网络设备)和软件系统受到保护而不被偶然的或者恶意的原因遭到破坏,从而保证系统能连续可靠地运行。信息资源组织与管理第六章信息资源的安全管理6.332019年10月1日1时42分6.5.1网络安全的涵义2、网络安全的基本安全功能鉴别(Authentication)访问控制(AccessControl)数据保密性(Dataconfidentiality)数据完整性(Dataintegrity)抗抵赖性(NonRepudiation)信息资源组织与管理第六章信息资源的安全管理6.342019年10月1日1时42分6.5.1网络安全的涵义3、网络安全的目标防止未经授权的数据访问。防止数据的意外遗漏或重复数据。防止利用隐含通道窃取机密信息,甚至设置“病毒”,使系统陷于瘫痪。确保数据的发送正确无误。确保数据的接收正确无误。根据保密要求与数据来源对数据作标记。提供可供安全审计的网络通信记录,防止对用户进行欺骗。可对独立的第三方证明通信过程已经实现,并且通信内容已被正确接受。在取得明确的可访问系统的授权许可后,才能与系统通信。信息资源组织与管理第六章信息资源的安全管理6.352019年10月1日1时42分6.5.2网络安全的技术措施1、数据加密技术数据加密的方式:链路加密、端对端加密、混合加密2、密钥管理技术密钥是一系列控制加密、解密操作的符号。密钥管理的基本任务是在密钥的整个生命周期中,为密钥提供生成、注册、认证、注销、分发、安装、存储、归档、撤销、衍生和销毁等管理服务。3、访问控制技术访问控制就是对访问的申请、批准和撤销的全过程进行有效的控制,以确保只有合法用户的合法访问才能予以批准,而且被批准的访问只能执行授权的操作。信息资源组织与管理第六章信息资源的安全管理6.362019年10月1日1时42分6.5.2网络安全的技术措施3、访问控制技术身份识别常用的方法有指纹、掌纹、视网膜纹以及IC智能卡。访问操作控制当用户被批准访问系统后,就要对访问操作进行控制,包括授权、确定访问权限、实施访问权限、信息流动等控制。审计跟踪是对用户访问操作过程进行完整的记录,包括用户使用的系统资源情况、使用的时间、执行的操作等。4、反病毒技术计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒的特点:人为破坏性、传染性、隐蔽性、潜伏性、衍生性、可触发性、不可预见性信息资源组织与管理第六章信息资源的安全管理6.372019年10月1日1时42分信息资源组织与管理第六章信息资源的安全管理6.382019年10月1日1时42分6.5.2网络安全的技术措施4、反病毒技术计算机病毒的种类:按传染方式分为引导型、文件型和混合型病毒。按连接方式分为源码型、入侵型、操作系统型和外壳型病毒。按破坏性可分为恶性病毒和良性病毒。其他病毒计算机病毒的防范措施:技术措施、管理措施5、防火墙技术防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,它能根据组织的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙作用:防火墙是网