《第十四讲信息系统的安全管理.ppt》由会员分享,可在线阅读,更多相关《第十四讲信息系统的安全管理.ppt(15页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第十四讲第十四讲 信息系统的安全管理信息系统的安全管理一、一、IS的安全的安全引引发发信信息息系系统统安安全全的的各各种种因因素素信息系统安全管理的层次模型信息系统安全管理的层次模型信息系统安全的控制信息系统安全的控制物理控制物理控制电子控制电子控制软件控制软件控制管理控制管理控制信息系统安全的内容信息系统安全的内容物理安全物理安全网络安全网络安全操作系统安全操作系统安全应用软件安全应用软件安全数据安全数据安全管理安全管理安全物理控制和电子控制物理控制和电子控制物理控制是指采用物理保护手段的控制。物理控制是指采用物理保护手段的控制。物物理理控控制制可可以以包包括括门门锁锁、键键盘盘锁锁、防防火
2、火门门和和电电源源控制。控制。电电子子控控制制是是指指采采用用电电子子手手段段确确定定或或防防止止威威胁胁的控制。的控制。电电子子控控制制可可包包括括移移动动传传感感器器、热热敏敏传传感感器器和和湿湿度度传传感感器器。控控制制也也可可包包括括诸诸如如标标记记和和指指纹纹、语语音音与与视网膜录入控制等入侵者检验与生物进入控制。视网膜录入控制等入侵者检验与生物进入控制。物物理理控控制制与与电电子子控控制制常常被被结结合合使使用用以以对对付付威威胁。胁。软件控制软件控制软软件件控控制制是是指指在在信信息息系系统统应应用用中中为为确确定定、防防止止或或恢恢复复错错误误、非非法法访访问问和和其其他他威威
3、胁胁而而使使用用的程序代码控制。的程序代码控制。例例如如,软软件件控控制制可可包包括括在在特特定定时时间间中中断断计计算算机机终终端端的的程程序序用用以以监监督督谁谁在在登登录录,联联机机多多长长时时间间,存存取取了了哪哪些些文文件件,使使用用了了何何种种存存取取方方式式,比比如如是是只只读方式还是读写方式。读方式还是读写方式。存取控制存取控制数数据据是是信信息息系系统统的的中中心心,数数据据的的安安全全是是信信息息系系统统安安全全管管理理的的核核心心。对对信信息息系系统统的的控控制制主主要要表表现现为为对对数数据的存取控制。据的存取控制。所所谓谓存存取取控控制制就就是是指指,依依靠靠系系统统
4、的的物物理理、电电子子、软软件件及及管管理理等等多多种种控控制制类类型型来来实实现现对对系系统统的的监监测测,完完成成对对用用户户的的识识别别,对对用用户户存存取取数数据据的的权权限限确确认认工工作作,保保证证信信息息系系统统中中数数据据的的完完整整性性、安安全全性性、正正确确性性,防防止止合合法法用用户户有有意意或或无无意意的的越越权权访访问问,防防止止非非法法用用户的入侵。户的入侵。存存取取控控制制的的任任务务主主要要是是进进行行系系统统授授权权,即即确确认认哪哪些些用用户户拥拥有有存存取取数数据据的的权权力力,并并且且明明确确规规定定用用户户存存取取数数据据的的范范围围及及可可以以实实施
5、施的的操操作作,同同时时监监测测用用户户的的操操作行为,将用户的数据访问控制在规定范围内。作行为,将用户的数据访问控制在规定范围内。系统授权的原则系统授权的原则1.最最小小特特权权原原则则,即即用用户户只只拥拥有有完完成成分分配配任任务务所所必必须须的的最最少少的的信信息息或或处处理理能能力力,多多余余的的权权限限一一律律不不给给予予,这这也也称称为为“知知限限所所需需”原原则。则。2.最最小小泄泄露露原原则则,用用户户一一旦旦获获得得了了对对敏敏感感数数据据信信息息或或材材料料的的存存取取权权,就就有有责责任任保保护护这这些些数数据据不不为为无无关关人人员员所所知知,只只能能执执行行规规定定
6、的的处处理,将信息的泄露控制在最小范围之内。理,将信息的泄露控制在最小范围之内。系统授权的原则系统授权的原则3.最最大大共共享享策策略略,让让用用户户最最大大限限度度地地利利用用数数据据库库中中的的信信息息,但但这这不不意意味味着着用用户户可可以以随随意意存存取取所所有有的的信信息息,而而是是在在授授权权许许可可的的前前提提下下的最大数据共享。的最大数据共享。4.推推理理控控制制策策略略,所所谓谓的的推推理理控控制制策策略略就就是是防防止止某某些些用用户户在在已已有有外外部部知知识识的的基基础础上上,从从一一系系列列的的统统计计数数据据中中推推断断出出某某些些他他不不应应该该知知道道、而而且且
7、应应当当保保密密的的信信息息。因因此此,必必须须限限制制那些可能导致泄密的统计查询。那些可能导致泄密的统计查询。信息系统安全的分析与应对信息系统安全的分析与应对按安全级别对信息资产分类按安全级别对信息资产分类识别影响信息系统安全的风险事件识别影响信息系统安全的风险事件评估风险事件发生的概率及其影响评估风险事件发生的概率及其影响风险事件的安全应对策略风险事件的安全应对策略信息系统安全技术信息系统安全技术杀杀毒毒软软件件;防防火火墙墙;加加密密技技术术;验验证证;存存取取控控制制;安全协议。安全协议。BS 7799-1简介简介包包括括10大大管管理理要要项项,36个个执执行行目目标标,127种种控
8、制方法控制方法BS 7799-2简介简介信信息息安安全全管管理理系系统统的的规规范范,详详细细说说明明了了建建立立、实实施施和和维维护护信信息息安安全全管管理理系系统统(Information Security Management System,ISMS)的的要要求求,本本部部分分提提出出了了应应该该如如何何建建立立信信息息安全管理体系的六个步骤安全管理体系的六个步骤定义信息安全策略定义信息安全策略定义定义ISMS的范围的范围进行信息安全风险评估进行信息安全风险评估信息安全风险管理信息安全风险管理确定控制目标和选择控制方法确定控制目标和选择控制方法准备信息安全适用性声明准备信息安全适用性声明
9、BS 7799的简单评价的简单评价BS 7799提提供供了了一一个个组组织织进进行行有有效效安安全全管管理理的的公公共共基基础础,反反映映了了信信息息安安全全的的“三三分分技技术术,七七分分管管理理”的的原原则则。它它全全面面涵涵盖盖了了信信息息系系统统日日常常安安全全管管理理方方面面的的内内容容,提提供供了了一一个个可可持持续续提提高高的的信信息息安安全管理环境。全管理环境。BS 7799是是对对一一个个组组织织进进行行全全面面信信息息安安全全评评估估的的基基础础,可可以以作作为为组织实施信息安全管理的一项体制。组织实施信息安全管理的一项体制。BS 7799仅仅仅仅提提供供一一些些原原则则性
10、性的的建建议议。如如何何将将这这些些原原则则性性的的建建议议与与各各个个组组织织单单位位自自身身的的实实际际情情况况相相结结合合,构构架架起起符符合合组组织织自自身身状状况的况的ISMS,才是真正具有挑战性的工作。才是真正具有挑战性的工作。信信息息安安全全管管理理建建立立在在风风险险评评估估的的基基础础上上,而而风风险险评评估估本本身身是是一一个个复复杂杂的的过过程程,不不同同组组织织面面临临不不同同程程度度和和不不同同类类型型的的风风险险,风风险险的的测测度度需需要要有有效效的的方方法法支支持持,因因此此按按照照该该标标准准衡衡量量一一个个系系统统还还需需要要一些相关技术的配合。一些相关技术的配合。