信息资源管理2010版教材高分宝典第6章

第六章 信息资源安全管理6.1 信息资源安全管理内涵(1). 信息资源安全管理 是指针对普遍存在的信息资源安全问题，人们利用各种技术方法和组织手段，所进行的有计划的管理活动。(2). 本质上，信息资源安全与信息的利用和权属相关，信息资源安全问题是指信息可用性和权属受到威胁。(3). 信息安全技术 指使信息资源免受威胁的方法和措施。(4). 在开发利用过程中面临的如下方面的问题：可用性，保密性（机密性） ，认证性（真实性） ，一致性（完整性） 。(5). 信息资源安全管理的主要任务是： 采取技术和管理措施，保证信息资源可用，即使信息和信息系统在任何时候可被合理用户使用； 采用数据加密技术，使信息在其处理过程中，内容不被非法者获得； 建立有效的责任机制，防止用户否认其行为； 建立可审查的机制，实现责任追究性。6.2 信息资源安全的系统管理6.2.1 信息系统安全模型7 层：数据信息安全6 层：软件系统安全技术安全(核心)5 层：通信网络安全4 层：硬件系统安全实体安全3 层：物理实体安全2 层：管理制度措施行为规范1 层：法规道德纪律6.2.2 行为规范管理(1). 信息系统安全的行为规范管理包括国家和社会组织两个层面。(2). 国家根据社会发展特别是国家信息化发展的需要，逐步建立和完善信息安全的政策、法律和法规体系，对信息过程中的各种行为加以规范，即从法律和行政管理的角度，约束和指导信息资源开发利用行为，以保证国家、组织和公民的信息权益，进而保护国家主权和利益不受侵犯。(3). 社会组织在国家政策和法规指导下，制定信息资源安全管理策略，从整体上，把握信息资源开发利用和安全管理的平衡点，设置保护对象的安全优先级，提出信息系统的安全目标，以及实现这些安全目标所运用的手段和采取的途经。(4). 制定安全策略的步骤： 理解组织业务特征； 建立安全管理组织机制； 确定信息资源安全的整体目标； 确定安全策略的范围； 安全策略评估； 安全策略实施；6.2.3 实体安全管理(1). 实体安全主要涉及信息系统的硬件及其运行环境，其安全与否对网络、软件、数据等的安全有着重要的影响。(2). 主要考虑：场地环境安全（场地、空调系统、防火管理） 、硬件安全（硬件档案、防电磁干扰、防电磁泄漏、电源安全） 、介质安全（分类存储管理、注意七防、定期检查清理）等各类实体的安全。6.2.4 网络安全管理(1). 网络资源包括：主机系统、终端系统、网络互联设备。(2). 网络安全技术：网络分段与 VLAN、防火墙技术、VPN（虚拟专用网） 、入侵检测、病毒防治等。6.2.5 软件安全管理(1). 一个信息系统由人员、硬件、软件、数据、操作规则等五要素组成。(2). 软件安全问题：信息资产受到威胁、软件应用安全问题。(3). 系统软件安全管理：系统软件安全、应用软件安全和恶意程序及防治。(4). 恶意程序及其主要表现形式：恶意程序 是指未经授权在用户不知道的情况下，进入用户计算机系统中，影响系统正常工作，甚至危害或破坏系统的计算机程序。它具有破坏性、非法性和隐蔽性的特点。6.2.6 数据安全管理(1). 安全的数据库的基本要求： 可用性即易用性用户界面友好、合法用户可以便捷地访问数据库； 保密性用户身份识别、信息保密、访问控制； 完整性物理数据库完整性、逻辑数据库完整性、数据库属性数据的完整性； 可维护性可审计、备份策略。6.2.7 数据库管理系统中的安全技术措施：用户及其权限管理、访问控制、数据加密、日志与审计、数据备份等6.3 数据加密技术及其应用6.3.1 阐述数据加密的基本模型及其不同密码体制。加密 C=E(M,Ke)明文 M密文 C解密 M=D(C,Kd)当 Ke=Kd，称加解密算法为对称密码体制，当 KeKd ，称加解密算法为非对称密码体制或公钥体制。6.3.2 机密技术及其应用(1). RSA 算法：略（P176） ；(2). 利用公钥加密技术进行身份认证的原理：略（P178） ；(3). 基于 PKI 的认证服务系统的组成：PKI（Public Key Infrastructure，公钥基础设施）是一个基于公钥加密技术的安全技术体系，它是硬件产品、软件产品、策略和过程的综合体，其核心任务是创建、管理、存储、分配和吊销用户的数字证书。数字证书是一个证明用户身份的电子文书，即一个由用户公钥、身份信息等数据字段构成的记录。一个基于 PKI 的第三方认证服务系统至少包括：用户、证书、注册机构（RA） 、证书机构（CA） 、证书库、作废证书库等实体。(4). 互不信任的互联网用户 A 和 B 都信任第三方机构 CA，三者都有各自的公钥和私钥。A 和 B 将各自的公钥（Pa、Pb）和身份信息等交给 CA 保管，CA 通过它的私钥加密签名（保证其真实性） ，并公布于众。 A、B通信可用对方公钥（CA 公布的证书）