第十四講 信息系統(tǒng)的安全管理

1、第十四講 信息系統(tǒng)的安全管理,一、IS的安全,引發(fā)信息系統(tǒng)安全的各種因素,信息系統(tǒng)安全管理的層次模型,信息系統(tǒng)安全的控制,物理控制電子控制軟件控制管理控制,信息系統(tǒng)安全的內容,物理安全網絡安全操作系統(tǒng)安全應用軟件安全數(shù)據(jù)安全管理安全,物理控制和電子控制,物理控制是指采用物理保護手段的控制。物理控制可以包括門鎖、鍵盤鎖、防火門和電源控制。電子控制是指采用電子手段確定或防止威脅的控制。電子控制可包括移動傳感器、熱敏傳感

2、器和濕度傳感器?？刂埔部砂ㄖT如標記和指紋、語音與視網膜錄入控制等入侵者檢驗與生物進入控制。物理控制與電子控制常被結合使用以對付威脅。,軟件控制,軟件控制是指在信息系統(tǒng)應用中為確定、防止或恢復錯誤、非法訪問和其他威脅而使用的程序代碼控制。例如，軟件控制可包括在特定時間中斷計算機終端的程序用以監(jiān)督誰在登錄，聯(lián)機多長時間，存取了哪些文件，使用了何種存取方式，比如是只讀方式還是讀寫方式。,存取控制,數(shù)據(jù)是信息系統(tǒng)的中心，數(shù)據(jù)的安全是信息系

3、統(tǒng)安全管理的核心。對信息系統(tǒng)的控制主要表現(xiàn)為對數(shù)據(jù)的存取控制。所謂存取控制就是指，依靠系統(tǒng)的物理、電子、軟件及管理等多種控制類型來實現(xiàn)對系統(tǒng)的監(jiān)測，完成對用戶的識別，對用戶存取數(shù)據(jù)的權限確認工作，保證信息系統(tǒng)中數(shù)據(jù)的完整性、安全性、正確性，防止合法用戶有意或無意的越權訪問，防止非法用戶的入侵。存取控制的任務主要是進行系統(tǒng)授權，即確認哪些用戶擁有存取數(shù)據(jù)的權力，并且明確規(guī)定用戶存取數(shù)據(jù)的范圍及可以實施的操作，同時監(jiān)測用戶的操作行為，將

4、用戶的數(shù)據(jù)訪問控制在規(guī)定范圍內。,系統(tǒng)授權的原則,1.最小特權原則，即用戶只擁有完成分配任務所必須的最少的信息或處理能力，多余的權限一律不給予，這也稱為“知限所需”原則。2.最小泄露原則，用戶一旦獲得了對敏感數(shù)據(jù)信息或材料的存取權，就有責任保護這些數(shù)據(jù)不為無關人員所知，只能執(zhí)行規(guī)定的處理，將信息的泄露控制在最小范圍之內。,系統(tǒng)授權的原則,3.最大共享策略，讓用戶最大限度地利用數(shù)據(jù)庫中的信息，但這不意味著用戶可以隨意存取所有的信息，而是

5、在授權許可的前提下的最大數(shù)據(jù)共享。4.推理控制策略，所謂的推理控制策略就是防止某些用戶在已有外部知識的基礎上，從一系列的統(tǒng)計數(shù)據(jù)中推斷出某些他不應該知道、而且應當保密的信息。因此，必須限制那些可能導致泄密的統(tǒng)計查詢。,信息系統(tǒng)安全的分析與應對,按安全級別對信息資產分類識別影響信息系統(tǒng)安全的風險事件評估風險事件發(fā)生的概率及其影響風險事件的安全應對策略信息系統(tǒng)安全技術殺毒軟件；防火墻；加密技術；驗證；存取控制；安全協(xié)議。,BS

6、7799-1簡介,包括10大管理要項，36個執(zhí)行目標，127種控制方法,,BS 7799-2簡介,信息安全管理系統(tǒng)的規(guī)范，詳細說明了建立、實施和維護信息安全管理系統(tǒng)（Information Security Management System，ISMS）的要求，本部分提出了應該如何建立信息安全管理體系的六個步驟定義信息安全策略定義ISMS的范圍進行信息安全風險評估信息安全風險管理確定控制目標和選擇控制方法準備信息安全適用性聲

7、明,BS 7799的簡單評價,BS 7799提供了一個組織進行有效安全管理的公共基礎，反映了信息安全的“三分技術，七分管理”的原則。它全面涵蓋了信息系統(tǒng)日常安全管理方面的內容，提供了一個可持續(xù)提高的信息安全管理環(huán)境。BS 7799是對一個組織進行全面信息安全評估的基礎，可以作為組織實施信息安全管理的一項體制。BS 7799僅僅提供一些原則性的建議。如何將這些原則性的建議與各個組織單位自身的實際情況相結合，構架起符合組織自身狀況的IS