返回
信息系统安全原理 第9章

信息系统安全原理 第9章

ID:40240892

大小:912.50 KB

页数:120页

时间:2019-07-28

信息系统安全原理 第9章_第1页
信息系统安全原理 第9章_第2页
信息系统安全原理 第9章_第3页
信息系统安全原理 第9章_第4页
信息系统安全原理 第9章_第5页
资源描述:

《信息系统安全原理 第9章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第3篇信息系统安全体系结构与评估标准信息系统的安全是一个系统工程随着信息系统的广泛建立和各种网络的相互联通,也随着安全对抗技术的不断发展,人们开始发现,单纯地从安全功能及技术组合的层次上孤立地、个别地解决系统的安全问题,常常会事倍功半,顾此失彼,处理系统性的问题,必须从系统的层面上解决,即必须从体系结构的层面上全面地考虑问题。于是提出了安全管理问题。对安全的要求不应当是是绝对的,而应当是是有效的。有效性的评估依据是标准。因此,信息系统安全体系和安全评估标准就成为信息系统安全管理的核心和最基本的内容。第9章信息系统安全体系结构9.1典型信息系统的安全需求分析9.2信息系统安全

2、策略9.3访问控制9.4开放系统互联安全体系结构9.5PPDR安全管理模型习题信息系统的安全体系结构研究,站在系统全局的角度,将普遍性安全体系原理与信息系统自身的实际相结合,形成满足信息系统安全需求的安全体系结构。它涉及系统的安全需求、安全策略、安全服务、安全机制和安全模型等多个方面。9.1典型信息系统的安全需求分析9.1.1金融信息系统安全需求分析9.1.2电子商务系统安全需求分析9.1.3电子政务系统安全需求分析信息系统的安全需求分析是安全对策的依据。每一个信息系统所采取的任何安全对策,都来自对系统安全需求的分析。安全需求分析一般包括:安全风险分析和安全需求内容分析两方

3、面的内容。安全需求是以安全风险为前提的。不用系统具有不同的安全风险和安全需求。下面引用方勇和刘嘉勇在《信息系统安全导轮》中给出的三个典型系统的安全需求分析实例,供分析其他系统安全需求时参考。9.1.1金融信息系统安全需求分析1.安全风险分析金融信息系统的普遍性安全风险包括:(1)非法用户通过网络进入系统;(2)通过窃取或者修改数据对金融机构的电子诈骗;(3)与系统有关人员勾结,通过非法修改程序与操作侵害系统,以谋私利;2.安全需求基本原则金融信息系统的安全需求原则是:(1)授权原则所有接触信息系统的人员都必须获得授权。·实行最小化授权;·阻止越权操作行为;·每种资源实行使用

4、权限管理;·阻止越权使用资源行为;·确定每一授权用户的职责范围。(2)确认原则·采集数据的合法性;·输入数据的有效性;·业务与账务处理的正确性;·传送存储数据的安全性。(3)跟踪原则·设置完善的跟踪日志,进行有效跟踪;·监视和发现系统故障差错以及恶意入侵行为;·防止非法使用信息跟踪工具。(4)效能投资相容原则确定与金融信息系统价值相适应的安全需求,以最小的投资获得最大的安全。3.安全需求内容(1)传送数据应加密保护;(2)加密保护应有等级之分;(3)对联机柜台系统、联机清算系统和电子资金转账系统的密码应互相分离;(4)对个人识别号(PIN)应加密保护;(5)对银行卡(CAR

5、D)应加密保护;(6)对PIN,CARD要有身份鉴别;(7)丢失或盗来的银行凭证(如支票、存折、信用卡)有防诈骗技术措施;(8)对伪造的银行凭证有防诈骗措施;(9)对数据、应用进程应有标记,禁止符合安全策略的访问和操作;(10)对入网者有身份验证,防止非法入网;(11)对传送数据必须有强度合适的完整性和源鉴别保护措施;(12)有强度合适的访问控制,访问控制策略不得不允许授权人以外的更动,变更访问控制策略必须持二人以上持卡串行操作;(13)有强度合适的密钥分配与密钥管理措施;(14)金融信息系统内联网必须与公众的Internet隔离,也要与其他内联网隔离。9.1.2电子商务系

6、统安全需求分析电子商务系统指参与商业活动的所有个人、公司、集团、商店集团等组织的网络交易和结算系统。其中的交易和结算行为与金融信息系统有关。1.普遍性安全风险分析(1)非法用户通过网络进入系统;(2)窃取或修改数据进行电子犯罪;(3)与系统人员勾结、联合进行诈骗;(4)假冒他人行骗;(5)窃用信用卡或购物卡;(6)篡改商务信息,制造混乱;(7)抵赖已发生的交易或交易的内容。2.安全需求的内容(1)完整性保护:使通过Internet了解本部门信息的客户明白这些信息是完整的,没有受到修改。(2)源鉴别服务:对来自Internet上的信息源进行鉴别,确认本部门提供的信息是真实可靠

7、的,不是假冒和伪造的。(3)数字签名:当本部门与客户发生网上交易,在合同的签定、货物的交割、客户付款时需双方进行数字签名,以保证以上过程的有效性、完整性和真实性。(4)抗抵赖服务:当交易发生时,在订立合同、交货、收货、付款和收款全过程中,交易双方无法否认已发生过的行为和行为内容。(5)身份鉴别:对访问者身份进行鉴别以确认其成员资格;对信息存取实行等级权限管理。(6)访问控制:建立基于身份或规则的访问控制机制,防止非法用户进入系统。(7)加密:对机密或敏感的商务信息加密存储和加密传输,并有适度的强度等级和相适应的密钥

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。