管理信息系统的安全管理

管理信息系统——根底篇管理信息系统——根底篇第一章管理信息系统概述第二章管理信息系统的理论根底第三章管理信息系统的技术根底第四章管理信息系统的平安管理第五章信息系统的工程监理Poweredbymos管理信息系统——根底篇第一节信息系统实体平安第二节信息系统设备平安第三节信息系统记录媒体平安第四节信息系统平安管理操作管理信息系统的平安管理Poweredbymos管理信息系统——根底篇信息系统实体平安信息系统平安概念信息系统平安是指信息系统系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、显露，系统能连续正常运行。反过来，信息系统的不平安称为信息系统危害。对照信息系统平安的概念，信息系统危害的概念就是：信息系统的硬件、软件、数据未受到保护，因偶然的或意外的原因而遭到破坏、更改、显露，系统不能连续正常运行。Poweredbymos管理信息系统——根底篇信息系统实体平安信息系统平安概念所谓信息系统实体，应包括计算机本身的硬件、软件、数据和各种接口，也应包括各种相应的外部设备以及形成计算机网络时应有的通信设备、线路和信道。信息系统之所以有用，是在形成了信息系统之后。信息系统实体本身再昂贵也是有价的；而形成的信息系统那么是无价的，它所遭受的损害往往是无法弥补的、难以挽回的。Poweredbymos管理信息系统——根底篇信息系统实体平安信息系统面临的威胁和攻击信息系统所面临的威胁和攻击，大体上可以分为两类：一类是对实体的威胁和攻击；另一类是对信息的威胁和攻击。计算机犯罪和计算机病毒那么包括了对信息系统实体和信息两个方面的威胁和攻击。对信息的人为威胁称为攻击。就攻击方面而言，可归纳为被动攻击和主动攻击两类。对实体的威胁和攻击对信息的威胁和攻击：一种是信息的泄露；另一种是信息的破坏。

计算机犯罪是利用暴力和非暴力形式，成心泄漏或破坏信息系统中的机密信息，以及危害系统实体和信息平安的不法行为。Poweredbymos信息的高密度存储信息系统的脆弱性电磁的泄露性管理信息系统——根底篇信息系统实体平安数据的易访问性信息的聚集性通信网络的弱点Poweredbymos自然因素影响信息系统平安的因素管理信息系统——根底篇信息系统实体平安自然因素是指会对信息系统产生影响的各种自然力，它可以破坏信息系统的实体，也可以破坏信息。自然因素可以分为自然灾害、自然损坏、环境干扰等因素。人为因素人为因素分为无意损坏和有意破坏两种。我们还可以从计算机平安治理的角度来划分，影响计算机平安的因素可以分为：自然灾害、故障、失误、违纪、违法、犯罪等。Poweredbymos信息系统的平安需求管理信息系统——根底篇信息系统实体平安保密性可靠性和可用性平安性完整性信息的有效性和合法性Poweredbymos平安系统的设计原那么管理信息系统——根底篇信息系统实体平安简单性原那么接受能力原那么设置陷阱原那么分工独立原那么最小特权原那么公开设计与操作原那么超越控制原那么接受能力原那么环境控制原那么检查能力原那么防御层次原那么环状结构原那么分割原那么记账能力原那么外围控制原那么标准化原那么错误拒绝原那么参数化原那么敌对环境原那么本钱效率原那么人为干预原那么隐蔽性原那么平安印象原那么Poweredbymos信息系统的平安技术管理信息系统——根底篇信息系统实体平安系统实体平安系统网络平安系统操作系统平安系统数据库平安Poweredbymos管理信息系统——根底篇第一节信息系统实体平安第二节信息系统设备平安第三节信息系统记录媒体平安第四节信息系统平安管理操作管理信息系统的平安管理Poweredbymos信息系统设备的防盗保护管理信息系统——根底篇信息系统设备平安1)信息系统的电源保护2)信息系统的静电防护信息系统的防电磁干扰信息系统防止线路截获Poweredbymos管理信息系统——根底篇第一节信息系统实体平安第二节信息系统设备平安第三节信息系统记录媒体平安第四节信息系统平安管理操作管理信息系统的平安管理Poweredbymos信息系统记录媒体平安管理信息系统——根底篇信息系统记录媒体平安对磁介质和磁介质库的的维护和访问应当限于介质库管理和调度人员，可以允许由信息系统管理人员指定的人员，对磁介质进行临时的访问。所有的磁介质都应该建立详细的目录清单，包括：文件所有者、文件名称、卷标、工程编号、建立日期、保存期限等信息。新磁带、新磁盘在介质库中应定期检查，并进行登记、损坏的磁介质在销毁前要进行数据去除，而且此项工作要有专人负责。Poweredbymos信息系统记录媒体平安管理信息系统——根底篇信息系统记录媒体平安所有磁介质在不使用时都应存放在库内。磁介质库中的磁介质出入必须有专人管理登记。磁介质库的温度应该控制在150~250之间，相对湿度应该在45%~64%之间。当磁介质长期不使用时，应每个六个月做定期检查。Poweredbymos信息系统记录媒体平安管理信息系统——根底篇信息系统记录媒体平安磁介质的存放条件

级别

指标项目纸媒体磁带磁盘已记录未记录已记录未记录温度0C5~50<325~504~51.5相对湿度%40~7020~808~80磁场强度A/m—<3,200<4,000—Poweredbymos管理信息系统——根底篇第一节信息系统实体平安第二节信息系统设备平安第三节信息系统记录媒体平安第四节信息系统平安管理操作管理信息系统的平安管理Poweredbymos信息系统操作系统平安管理信息系统——根底篇信息系统平安管理操作操作系统平安可以通过用户认证、隔离、存取控制及完整性等几种方法来实现。操作系统对处理状态下的信息进行管理，即存取控制对程序执行器件使用资源的合法性进行检查，利用对程序和(或)数据的读、写管理，防止因蓄意破坏或以外事故对信息造成的威胁，从而到达保护信息的完整性、可用性和保密性。操作系统还采取隔离、审计监督等技术，对系统内的信息进行平安管理和保护。用户识别和访问控制：系统平安机制的主要目的是控制对信息的访问。这种控制分两个层次，一是对用户的识别，防止入侵者侵入系统，另一层次是系统内部主体对客体的访问控制。Poweredbymos数据库平安的概念信息系统数据库平安管理信息系统——根底篇从操作系统的角度来看，数据库管理系统只是一个大型的应用程序。数据库系统的平安策略，局部由操作系统完成，局部由强化数据库管理系统的自身平安措施来完成。信息系统平安管理操作DBMS自身的平安措施在许多方面类似于在操作系统中讨论过的平安措施。我们可以沿用平安操作系统中使用过的主体、客体、以及主体对客体的访问模式等根本概念来讨论DBMS的平安问题。数据库系统作为一种重要的信息系统，它当然要遵循信息系统平安的三个根本原那么：完整性、保密性和可用性。但是，由于数据库系统本身的特点，其完整性和保密性的实现方法有所不同，它的平安措施于操作系统中的平安措施有某些本质上的区别。Poweredbymos数据库系统的根本平安措施信息系统数据库平安管理信息系统——根底篇虽然数据系统由于本身特点，其平安措施与其它计算系统(如操作系统)的平安措施在某些方面有本质的不同，但它对平安的要求与其它信息系统没有什么根本的区别。(1)数据库的完整性(2)数据库的保密性(3)数据库加密(4)数据库系统的密钥管理信息系统平安管理操作Poweredbymos数据库的加密方法信息系统数据库平安管理信息系统——根底篇(1)库外加密DBMS于操作系统的接口方式有三种：利用操作系统的文件形体功能；利用系统的输入输出模块；利用操作系统的存储管理模块。因此可以把数据在库外加密，然后通过三种接口方式中的一种纳入数据库内。采用库外加密，密钥管理比较简单，只须借用文件加密的密要管理方法即可。但是，将加密后的数据块纳入数据库时，要对数据进行完整性约束，而加密后的数据可能会超出约束范围，因此要在算法或数据库系统做写必要改动。信息系统平安管理操作Poweredbymos数据库的加密方法信息系统数据库平安管理信息系统——根底篇(2)库内加密数据系统可以三层结构来描述存放在介质上的第一层是物理数据库，第二层那么是DBMS中的存储模式，它描述了数据的物理结构；第三层是概念模式，它描述了全局逻辑结构，也就是描述了用户视图，定义了相应的内部数据模型。(3)硬件加密在物理存储器与数据库系统之间加装一硬件装置，对存入盘中的数据进行加解密。当然，对进入磁盘的控制信息不加密。信息系统平安管理操作Poweredbymos数据库系统的密钥管理信息系统数据库平安管理信息系统——根底篇一般来讲，数据库的密钥有多级：用户级密钥；数据库级密钥；记录级密钥；数据项级密钥。这种多级密钥的形式及其生命周求相对较长的特点，与网络通信中的加密技术截然不同。数据库系统的密钥的产生、更新技术应当适应上述特点。同时，对数据库中的密钥还应进行相应的保护。信息系统平安管理操作Poweredbymos网络平安体系结构模型信息系统网络平安管理管理信息系统——根底篇实际上存在许多不同的网络结构和网络协议，为了在不同网络之间进行通信，国际标准化组织(ISO)提出了开放系统互联OSI(OpenSystemInterconnection)的参考模型。在OSI参考模型中有7个层次。信息系统平安管理操作Poweredbymos信息系统网络平安管理管理信息系统——根底篇信息系统平安管理操作1)

物理层物理层是设备之间的物理接口，实现比特信号的传输。物理层应保证数据传输的正确性。2)

链路层链路层是数据链路层为网络层提供可靠、无错误的数据信息。3)

网络层网络层是通信子网与网络子层之间的界面，负责控制通信子网的操作。网络平安体系结构模型Poweredbymos信息系统网络平安管理管理信息系统——根底篇信息系统平安管理操作1)

物理层物理层是设备之间的物理接口，实现比特信号的传输。物理层应保证数据传输的正确性。2)

链路层链路层是数据链路层为网络层提供可靠、无错误的数据信息。3)

网络层网络层是通信子网与网络子层之间的界面，负责控制通信子网的操作。4)传输层传输层接收来自会话层的数据，并将其分成较小的数据单位，送到网络层。网络平安体系结构模型Poweredbymos信息系统网络平安管理管理信息系统——根底篇信息系统平安管理操作5)会话层会话层是用户进入网络的接口，用于建立、控制和终止终端用户的应用进程之间的逻辑信道的连接，按照约定的方式处理会话。6)表示层表示层为应用层提供效劳，提供数据转换、格式变换、语法选择等功能。表示层协议有文本压缩、平安保密以及虚拟终端等方面的协议。7)应用层应用层是OSI的最高层，负责两个应用进程之间的通信，为网络用户之间通信提供专用的程序。网络平安体系结构模型Poweredbymos网络平安体系结构模型信息系统网络平安管理管理信息系统——根底篇信息系统平安管理操作(7)应用层(6)表示层(5)会话层(4)传输层(3)网络层(1)物理层(2)链路层(7)应用层(6)表示层(5)会话层(4)传输层(3)网络层(1)物理层(2)链路层OSI网络体系结构，对等层效劳系统B系统APoweredbymos信息系统网络平安管理管理信息系统——根底篇信息系统平安管理操作OSI效劳是指在OSI模型中，自下层向上层提供的支持能力，在图中用向上的箭头来表示。当第n层向第n+1层提供效劳时，需要使用第n层的功能及n-1层提供的效劳。在计算机网络中任意两个层次之间的通信规那么成为协议。它实际上是一组程序，可以在网络通信中有序地完成各自的功能。网络平安体系结构模型Poweredbymos信息系统网络平安管理管理信息系统——根底篇信息系统平安管理操作网络平安体系结构模型OSI规定所有的网络系统都应具有OSI七层模型的功能。每层的对话规那么称为该层的协议。在同一系统中，相同层使用相同的协议，不同的系统，对等层使用对等协议。在互联网中，网络协议在对等层提供横向效劳。对等层协议的作用是，使位于不同系统的不同协议下的用户能够在对等层上，通过对等层协议进行直接的、透明的、点到点的通信。Poweredbymos信息系统网络平安管理管理信息系统——根底篇信息系统平安管理操作网络平安体系结构模型平安体系结构要求的平安效劳针对网络系统受到的威胁，OSI平安体系结构提出了六类平安效劳：1)访问控制2)对象认证3)数据保密性4)数据完整性5)数据源鉴别6)禁止抵赖Poweredbymos信息系统网络平安管理管理信息系统——根底篇信息系统平安管理操作网络加密

链路加密方式该加密方法将网络看作由链路连接的节点的集合，每个链路被独立的加密。该方式为两个节点之间的通信链路中的信息提供平安性。EK1DK2DK1EK2结点1结点1结点1密文密文链路1链路2明文明文EK1、EK2为加密变换，DK1、DK2为解密变换

Poweredbymos信息系统网络平安管理管理信息系统——根底篇信息系统平安管理操作网络加密

链路加密方式这种加密不仅加密了正文，而且加密了所有各层的控制信息，因此，接收节点必须对收到的密文解密，否那么无法对报文在网络中的传输加以控制，无法决定报文的传输路径。由此可见，链路加密只对线路上的通信予以保护，而对主机上的报文不予以保护。在各个节点上的报文以明文形式出现，易受到攻击。这种加密方式要求中间节点是可信的，但是实际情况并非如此。不过，该加密方法可以有效地防止对网络业务流进行分析，并对网络口令和在网络层中产生控制信息进行了有效保护。Poweredbymos信息系统网络平安管理管理信息系统——根底篇信息系统平安管理操作网络加密

端-端加密方式端-端加密是在网络的表示层或应用层加密。这种传输方法要求在传输过程中，被传输的数据一直处于保持密文状