《信息资源与管理》课件：7信息资源的安全管理

第七章信息资源的安全管理信息资源安全管理综述计算机软件安全数据库安全计算机网络安全信息系统的安全电子商务安全第七章信息资源的安全管理信息资源安全管理综述17.1信息资源安全管理综述信息安全包括四个方面：信息处理的要求：信息组织的层次：信息运行的环境：信息管理的观点：信息资源安全针对信息的采集、传输、加工、存储和利用的全过程与这一过程相关的信息及其载体，各类硬件设备和软件等被非法破坏、窃取和使用。7.1信息资源安全管理综述信息安全包括四个方面：2信息资源的管理的安全从两方面加以保证，技术安全：管理安全：7.1.1系统授权和数据加密技术1、系统授权(1)授权方案(2)授权实施识别和验证决定用户的访问权限2、数据加密

E加密算法明文x发端加密密钥Ke密文y＝Eke（x）D解密算法收端解密密钥Kd明文x信息资源的管理的安全从两方面加以保证，E明文x发端加密密钥K3单密钥体制双密钥体制加密密钥Ke密文密钥产生器明文解密算法Kd密钥信道解读后明文KPK密文y明文xCSK受保护的XyPK截取者X’单密钥体制加密密钥密文密钥产生器明文解密算法密钥信道解读后明47.1.2计算机犯罪及其防范特征：犯罪方法新、作案时间短、不留痕迹、内部人员犯罪比重增加、犯罪区域广、利用技术或管理漏洞作案。采用的技术手段：数据破坏、特络伊木马、香肠术、逻辑炸弹、陷阱术、寄生术、超级冲杀、异步攻击、废品利用、计算机病毒、伪造证件。安全控制：数据输入控制通信控制数据处理控制数据存储控制访问控制7.1.2计算机犯罪及其防范57.1.3计算机病毒及其防范计算机病毒的概念特征：传染性、潜伏性、可触发性、欺骗性、衍生性、破坏性种类：引导型、操作系统型、入侵型、文件型病毒、外壳型病毒计算机病毒结构和破坏机理感染标志、感染模块、触发模块、破坏模块和主控模块7.1.3计算机病毒及其防范6计算机病毒的防范措施1)技术手段软件预防硬件预防2)管理手段社会对计算机病毒防范的法律、制度与措施；计算机用户对计算机病毒的防范措施计算机病毒的防范措施77.1.4信息资源安全管理与审计安全管理内容同一性检查用户使用权限检查建立运行日志安全管理原则多人负责原则任期有限原则职责分离原则安全管理审计审计跟踪入侵检测7.1.4信息资源安全管理与审计87.2计算机软件的安全7.2.1威胁软件的安全主要形式以软件为手段，获取未经授权或授权以外的信息。以软件为手段，阻碍信息系统的正常运行或其他用户的正常使用。以软件为对象，破坏软件完成指定功能，以软件为对象，复制软件。7.2.2软件安全的基本要求防复制静态分析防动态跟踪7.2计算机软件的安全7.2.1威胁软件的安全主要形式97.2.3系统软件的安全访问控制自主访问控制强制访问控制有限访问控制共享/独占访问控制隔离控制物理隔离时间隔离加密隔离逻辑隔离存储保护基址/边界寄存器内存标志分段技术所保护7.2.3系统软件的安全107.2.4应用软件的安全对数据安全的影响对系统服务的影响注意的问题：

7.2.4应用软件的安全117.3数据库安全7.3.1数据库安全基本概述数据库安全基本概述数据库安全的重要性数据库面临的安全威胁系统内部的威胁人为的威胁外部环境的威胁数据库基本安全要求数据库完整数据元素的完整可审计存取控制用户认证并发控制7.3数据库安全7.3.1数据库安全基本概述127.3.2数据库的安全保护机制及控制方法1、安全保护机制操作系统安全数据库管理系统安全2、安全控制的一般方法口令保护数据库加密数据验证检查原始凭证录入数据的安全控制数据库授权7.3.2数据库的安全保护机制及控制方法137.4计算机网络安全特点：易受到攻击；防范对象难以明确；犯罪手段多样、不易发现；安全措施与灵活使用存在矛盾；危害很大。衡量网络安全的指标有三个：保密性、可控制性和抗攻击性7.4.1影响网络安全的主要因素网络部件的不安全因素电磁泄漏、搭线窃听、非法终端、非法入侵、注入非法信息、线路干扰、病毒入侵、黑客攻击。软件的不安全因素工作人员的不安全因素环境的不安全因素

7.4计算机网络安全特点：147.4.2网络系统的安全功能1网络的安全目标2网络的安全功能对象认证、访问控制、数据保密、数据可审查、不可抵赖7.4.3网络安全技术1数据加密链路加密端－端加密混合加密7.4.2网络系统的安全功能152网络中密钥的管理密钥的种类数据加密密钥基本密钥主密钥其他密钥密钥的分配只用会话密钥采用会话和基本密钥采用公开密钥密码体制的密钥分配。密钥的注入密钥的存储保护密钥的更换人2网络中密钥的管理163网络中访问控制用户身份的识别和验证访问控制审计跟踪4鉴别机制站点鉴别报文鉴别报文内容、报文源、报文宿、报文时间性的鉴别5数字签名3网络中访问控制176防火墙技术目的：基本功能：控制不安全的服务、站点访问控制、集中安全保护、强化私有权防火墙类型：包过滤型、代理服务型、电路层网关、混合型、应用网关和自适应代理技术。7.网络安全管理管理目标管理的实现

6防火墙技术187.5信息系统的安全1对实体的威胁和攻击2对信息的威胁和攻击信息泄露信息破坏被动攻击：直接侦收、截获信息、合法窃取、破译分析、从遗弃的媒体中获取信息主动攻击：窃取并干扰通信线路信息、返回渗透、线间插入、非法冒充。7.5.2信息系统的安全策略1法规保护2行政管理3安全教育4技术措施

7.5信息系统的安全1对实体的威胁和攻击197.5.3信息系统的安全技术1实体安全2数据安全3软件安全4运行安全7.5.4可信计算机系统略7.5.3信息系统的安全技术207.6电子商务安全7.6.1电子商务的安全要求1有效性2保密性3完整性4不可抵赖性/可鉴别性5审查能