版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、第十四讲 信息系统的安全管理一、IS的安全引发信息系统安全的各种因素信息系统安全管理的层次模型信息系统安全的控制物理控制电子控制软件控制管理控制信息系统安全的内容物理安全网络安全操作系统安全应用软件安全数据安全管理安全物理控制和电子控制物理控制是指采用物理保护手段的控制。物理控制可以包括门锁、键盘锁、防火门和电源控制。电子控制是指采用电子手段确定或防止威胁的控制。电子控制可包括移动传感器、热敏传感器和湿度传感器。控制也可包括诸如标记和指纹、语音与视网膜录入控制等入侵者检验与生物进入控制。物理控制与电子控制常被结合使用以对付威胁。软件控制软件控制是指在信息系统应用中为确定、防止或恢复错误、非法访
2、问和其他威胁而使用的程序代码控制。例如,软件控制可包括在特定时间中断计算机终端的程序用以监督谁在登录,联机多长时间,存取了哪些文件,使用了何种存取方式,比如是只读方式还是读写方式。存取控制数据是信息系统的中心,数据的安全是信息系统安全管理的核心。对信息系统的控制主要表现为对数据的存取控制。所谓存取控制就是指,依靠系统的物理、电子、软件及管理等多种控制类型来实现对系统的监测,完成对用户的识别,对用户存取数据的权限确认工作,保证信息系统中数据的完整性、安全性、正确性,防止合法用户有意或无意的越权访问,防止非法用户的入侵。存取控制的任务主要是进行系统授权,即确认哪些用户拥有存取数据的权力,并且明确规
3、定用户存取数据的范围及可以实施的操作,同时监测用户的操作行为,将用户的数据访问控制在规定范围内。系统授权的原则1.最小特权原则,即用户只拥有完成分配任务所必须的最少的信息或处理能力,多余的权限一律不给予,这也称为“知限所需”原则。2.最小泄露原则,用户一旦获得了对敏感数据信息或材料的存取权,就有责任保护这些数据不为无关人员所知,只能执行规定的处理,将信息的泄露控制在最小范围之内。系统授权的原则3.最大共享策略,让用户最大限度地利用数据库中的信息,但这不意味着用户可以随意存取所有的信息,而是在授权许可的前提下的最大数据共享。4.推理控制策略,所谓的推理控制策略就是防止某些用户在已有外部知识的基础
4、上,从一系列的统计数据中推断出某些他不应该知道、而且应当保密的信息。因此,必须限制那些可能导致泄密的统计查询。信息系统安全的分析与应对按安全级别对信息资产分类识别影响信息系统安全的风险事件评估风险事件发生的概率及其影响风险事件的安全应对策略信息系统安全技术杀毒软件;防火墙;加密技术;验证;存取控制;安全协议。BS 7799-1简介包括10大管理要项,36个执行目标,127种控制方法BS 7799-2简介信息安全管理系统的规范,详细说明了建立、实施和维护信息安全管理系统(Information Security Management System,ISMS)的要求,本部分提出了应该如何建立信息安
5、全管理体系的六个步骤定义信息安全策略定义ISMS的范围进行信息安全风险评估信息安全风险管理确定控制目标和选择控制方法准备信息安全适用性声明BS 7799的简单评价BS 7799提供了一个组织进行有效安全管理的公共基础,反映了信息安全的“三分技术,七分管理”的原则。它全面涵盖了信息系统日常安全管理方面的内容,提供了一个可持续提高的信息安全管理环境。BS 7799是对一个组织进行全面信息安全评估的基础,可以作为组织实施信息安全管理的一项体制。BS 7799仅仅提供一些原则性的建议。如何将这些原则性的建议与各个组织单位自身的实际情况相结合,构架起符合组织自身状况的ISMS,才是真正具有挑战性的工作。信息安全管理建立在风险评估的基
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度湖南省安全员之C证(专职安全员)过关检测试卷A卷附答案
- 2024年度甘肃省安全员之A证(企业负责人)每日一练试卷B卷含答案
- 同居财产保全协议书
- (模板及外架)劳务分包合同版本
- 2024年液体气体过滤、净化机械项目发展计划
- 环境处理剂购销合同(2篇)
- 钢结构类的购销合同(2篇)
- 法国招聘合同(2篇)
- 2024年体外诊断仪器产品项目合作计划书
- 2024年纺织片梭织机项目建议书
- 《基于杜邦分析法三全食品企业盈利能力分析报告(6400字)》
- 贵州贵阳观山湖富民村镇银行招聘考试真题2022
- 《计算机操作系统》(第4版)笔记和课后习题(含考研真题)详解
- 2023年辽宁省鞍山市成考专升本高等数学二自考真题(含答案带解析)
- 《民航客票销售实务》项目二-课件
- 中国土地制度知到章节答案智慧树2023年浙江大学
- 学前儿童数学教育PPT全套教学课件
- 【教学】《打麦号子》
- 经典歌曲凤凰传奇
- 核磁共振医疗设备的安装或搬迁的技术思路
- 比亚迪新能源汽车分析五力模型
评论
0/150
提交评论