欢迎来到天天文库
浏览记录
ID:26431836
大小:355.18 KB
页数:42页
时间:2018-11-26
《信息系统工程的信息安全管理》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、1信息系统工程的信息安全管理黄轶文136604609982“没有安全的工程就是豆腐渣工程”。这几年来我国接连不断地出现程度不同的信息系统安全事故,这些事故不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络系统在安全防范和管理方面体现出的脆弱性而引起的公众对信息系统工程的诚信危机则不是短时期内可以恢复的。3我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关策略,直接牵引、推进信息安全的应用和发
2、展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。国务院信息化领导小组颁布的《关于我国电子政务建指导意见》强调指出了电子政务建设中信息系统安全的重要性;中国人民银行在加紧制定网上银行系统安全性评估指引,并明确提出对信息安全的投资要达到总投资的10%以上,而在其他一些关键行业,信息安全的投资甚至已经超过了总预算的30%-50%。4信息的主体?确保以电磁信号为主要形式的、在信息网络系统进行通信、处理和使用的信息内容,在各个物理位置、逻辑区域、存储
3、和传输介质中,处于动态和静态过程中的保密性、完整性和可用性,以及与人、网络、环境有关的技术安全、结构安全和管理安全的总和。信息系统安全的定义各类用户支持人员技术管理人员行政管理人员等5信息系统安全的属性6信息系统安全的属性信息系统安全属性分为三个方面:可用性、保密性和完整性。1.可用性可用性是信息系统工程能够在规定条件下和规定的时间内完成规定的功能的特性。可用性是信息系统安全的最基本要求之一,指信息及相关的信息资产在授权人需要的时候,可以立即获得。2.保密性保密性是信息不被泄露给非授权的用户、实体或过程
4、,信息只为授权用户使用的特性。7信息系统安全的属性3.完整性完整性定义为保护信息及其处理方法的准确性和完整性。信息完整性一方面是指信息在利用、传输、存储等过程中不被删除、修改、伪造、乱序、重放、插入等,另一方面是指信息处理的方法的正确性。不适当的操作,如误删除文件,有可能造成重要文件的丢失。完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。8架构安全管理体系9架构安全管理体系为了系统地、完整地构建信息系统的安全体系框架,信息系统安全体系应当由技术体系、组织
5、机构体系和管理体系共同构建。101.技术体系技术体系是全面提供信息系统安全保护的技术保障系统。该体系由两大类构成。1)物理安全技术物理安全技术包括机房安全和设施安全。(1)机房安全是信息系统主要设备的物理存放的位置,主要是保证机房场地的安全,主要包括机房环境、温度、湿度的控制,电磁、噪声、静电、震动和灰尘的防护,同时要有防火灾、防雷电以及门禁等安全措施。(2)设施安全主要是考虑各种硬件设备的可靠性问题,所有的设备应当更具不同安全级别的信息系统工程,同时要保证通信线路物理上的安全性。111.技术体系2)系
6、统安全技术系统安全技术包括平台安全、数据安全、通信安全、应用安全和运行安全。平台安全泛指操作系统和通用基础服务安全,主要用于防范黑客攻击手段,目前市场上大多数安全产品均限于解决平台安全,包括以下内容:·操作系统漏洞检测与修复,包括UNIX系统、Windows系统、网络协议。·网络基础设施漏洞检测与修复,包括路由器、交换机、防火墙等。·通用基础应用程序漏洞检测与修复,包括数据库、Web/ftp/mail/DNS/其他各种系统守护进程。·网络安全产品部署、平台安全实施需要用到市场上常见的网络安全产品,包括防
7、火墙、入侵检测、脆弱性扫描和防病毒产品。·整体网络系统平台安全综合测试/模拟入侵与安全优化。121.技术体系(2)数据安全目标是防止数据丢失、崩溃和被非法访问,为保障数据安全提供如下实施内容:介质与载体安全保护、数据访问控制、系统数据访问控制检查、标识与鉴别、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全。(3)通信安全目标是防止系统之间通信的安全脆弱性威胁,为保障系统之间通信的安全采取的措施有:通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设
8、置并测试安全通道、测试各项网络协议运行漏洞。131.技术体系(4)应用安全是保障相关业务在计算机网络系统上安全运行,应用安全脆弱性有可能给信息化系统带来最大损失的致命威胁。以业务运行实际面临的威胁为依据,为应用安全提供的保证措施有:业务软件的程序安全性测试、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查、业务数据的惟一性/一致性/防冲突检测。业务数据的保密性测试、业务系统的可靠性测试、
此文档下载收益归作者所有