資源描述:
《信息資源組織和管理-信息資源安全管理》由會(huì)員上傳分享����,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1�、信息資源組織與管理-信息資源的安全管理信息資源的安全管理《信息資源組織與管理》之第6章內(nèi)容提要(1/3)6.1信息資源安全管理概述(掌握)6.1.1信息資源安全的概念6.1.2威脅信息資源安全的主要因素6.1.3信息資源的安全管理模型6.2安全管理制度(了解)6.2.1法律法規(guī)6.2.2行政管理6.2.2.1安全管理原則6.2.2.2安全管理的措施6.3環(huán)境安全(掌握)6.3.1場(chǎng)地安全6.3.2中心機(jī)房安全內(nèi)容提要(2/3)6.4物理實(shí)體安全(了解)6.4.1設(shè)備布置安全6.4.2設(shè)備供電安全6.4.3電纜安全6.4.
2、4設(shè)備維護(hù)安全6.4.5場(chǎng)所外設(shè)備安全6.4.6設(shè)備的處置及再利用安全6.5網(wǎng)絡(luò)安全(難點(diǎn)�����,了解)6.5.1網(wǎng)絡(luò)安全的含義6.5.2網(wǎng)絡(luò)安全的技術(shù)措施6.5.2.1數(shù)據(jù)加密技術(shù)6.5.2.2密鑰管理技術(shù)6.5.2.3訪問(wèn)控制技術(shù)6.5.2.4反病毒技術(shù)6.5.2.5防火墻技術(shù)內(nèi)容提要(3/3)6.6軟件安全(掌握)6.6.1軟件安全的含義6.6.2系統(tǒng)軟件安全6.6.3應(yīng)用軟件安全6.7數(shù)據(jù)信息安全(難點(diǎn)�����,了解)6.7.1數(shù)據(jù)庫(kù)系統(tǒng)安全技術(shù)6.7.2數(shù)據(jù)備份技術(shù)6.7.3終端安全技術(shù)6.7.4數(shù)據(jù)完整性鑒別技術(shù)6.7.5
3���、數(shù)據(jù)簽名技術(shù)6.7.6信息審計(jì)跟蹤技術(shù)6.7.7PKI技術(shù)作業(yè)(…….)6.1.1信息資源安全的概念(1/2)1���、什么是信息資源安全?是指信息資源所涉及的硬件、軟件及應(yīng)用系統(tǒng)受到保護(hù)�����,以防范和抵御對(duì)信息資源不合法的使用和訪問(wèn)以及有意無(wú)意的泄漏和破壞��。2���、信息資源管理涉及的內(nèi)容有哪些�?信息資源安全的范疇:計(jì)算機(jī)安全/軟件安全/網(wǎng)絡(luò)安全���。信息資源安全包括了從信息的采集���、傳輸、加工��、存儲(chǔ)和使用的全過(guò)程所涉及的安全問(wèn)題�。從信息處理的角度,包括:(1)內(nèi)容的真實(shí)無(wú)誤�,以保證信息的完整性;(2)信息不會(huì)被非法泄漏和擴(kuò)散���,以保證信息的
4����、保密性;(3)信息的發(fā)送和接收者無(wú)法否認(rèn)自己所做過(guò)的操作行為�����,以確保信息的不可否認(rèn)性�。6.1.1信息資源安全的概念(2/2)2、信息資源管理涉及的內(nèi)容有哪些��?(續(xù))從信息組織層次的角度��,包括:系統(tǒng)的管理者對(duì)網(wǎng)絡(luò)和信息系統(tǒng)有足夠的控制和管理能力�,以保證信息的可控制性�;準(zhǔn)確跟蹤實(shí)體運(yùn)行達(dá)到審計(jì)和識(shí)別的目的,以保證信息的可計(jì)算性��;網(wǎng)絡(luò)協(xié)議���、操作系統(tǒng)和應(yīng)用系統(tǒng)能夠相互連接�����、協(xié)調(diào)運(yùn)行�����,以保證信息的互操作性���。從信息運(yùn)行環(huán)境角度��,包括:各種各樣硬件設(shè)施的物理安全���。從信息管理規(guī)范的角度,包括:各種各樣的規(guī)章制度�、法律法規(guī)、人員安全性等���。
5���、6.1.2威脅信息資源安全的主要因素三個(gè)方面:天災(zāi)、人禍和信息系統(tǒng)自身的脆弱性�。1、天災(zāi)指不可控制的自然災(zāi)害����,如地震、雷擊�、火災(zāi)��、風(fēng)暴�����、戰(zhàn)爭(zhēng)�、社會(huì)暴力等�����。天災(zāi)輕則造成業(yè)務(wù)工作混亂�,重則造成系統(tǒng)中斷甚至造成無(wú)法估量的損失。2���、人禍人禍包括“無(wú)意”人禍和“有意”人禍。(1)“無(wú)意”人禍:是指人為的無(wú)意失誤和各種各樣的誤操作�。典型“無(wú)意”人禍有:操作人員誤刪除文件;操作人員誤輸入數(shù)據(jù)�����;系統(tǒng)管理人員為操作員的安全配置不當(dāng)�����;用戶口令選擇不慎;操作人員將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享�����。(1/3)6.1.2威脅信息資源安全的主要因
6���、素2���、人禍(續(xù))(2)“有意”人禍:指人為的對(duì)信息資源進(jìn)行惡意破壞的行為?!坝幸狻比说?zhǔn)悄壳靶畔①Y源安全所面臨的最大威脅?!坝幸狻比说溨饕ㄏ率鋈N類型:惡意攻擊:主要有主動(dòng)攻擊和被動(dòng)攻擊兩種形式。其中�,主動(dòng)攻擊是指以某種手段主動(dòng)破壞信息的有效性和完整性;被動(dòng)攻擊則是在不影響信息(或網(wǎng)絡(luò))系統(tǒng)正常工作的情況下�,截獲、竊取�����、破譯重要機(jī)密信息���。這兩種惡意攻擊方式均可對(duì)信息資源造成極大的危害��,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏���。違紀(jì):是指內(nèi)部工作人員違反工作規(guī)程和制度的行為�����。例如:銀行系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)管理員與操作員的口令一致����、職責(zé)不分等�。違
7、法犯罪:包括制造和傳播病毒/非法復(fù)制�。例如,侵犯著作權(quán)��、版權(quán)等/竊取機(jī)密/金融犯罪/色情犯罪����,例如:利用網(wǎng)絡(luò)傳播色情圖文�、販賣色情物品、進(jìn)行色情交易等/宣傳邪教��、恐怖主義�、種族歧視等/制造謠言�����。例如��,在有關(guān)主頁(yè)上發(fā)布虛假信息���、假新聞等/誣蔑誹謗。例如�,利用計(jì)算機(jī)進(jìn)行非法的圖像合成、搞張冠李戴等�。(2/3)6.1.2威脅信息資源安全的主要因素3、信息系統(tǒng)自身的脆弱性計(jì)算機(jī)硬件系統(tǒng)的故障�。因生產(chǎn)工藝或制造商的原因,計(jì)算機(jī)硬件系統(tǒng)本身有故障��,如電路短路����、斷路、接觸不良等引起系統(tǒng)的不穩(wěn)定�����、電壓波動(dòng)的干擾等。軟件的“后門”���。軟件的
8����、“后門”是指軟件公司的程序設(shè)計(jì)人員為了自便而在開(kāi)發(fā)時(shí)預(yù)留設(shè)置的��,旨在為軟件調(diào)試�����、進(jìn)一步開(kāi)發(fā)或遠(yuǎn)程維護(hù)提供了方便��。然而����,這些軟件“后門”也為非法入侵提供了通道,一旦“后門”洞開(kāi)����,其造成的后果將不堪設(shè)想。軟件的漏洞�。軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的����,這些漏洞和缺陷往往是黑客攻擊的首選目標(biāo)�,軟件的BUGS便是典型的缺
