第15章信息系统工程项目信息系统安全管理
15.1.1 信息系统安全的定义和特性
1.信息系统安全的定义
信息系统安全是指要保障系统中的人、设备、设施、软件、数据等要素避免各种偶然的或人为的破坏或攻击,使它们发挥正常,保障系统能安全可靠地工作。信息系统安全管理是指为了确保信息系统安全而采取的一系列管理和技术措施。
•
2.信息系统安全的特性
(1)安全的整体性
(2)安全的社会性
(3)安全的相对性
(4)安全的代价
(5)安全的动态性
•
15.1.2 信息系统工程项目信息系统安全风险分析
信息系统工程项目信息系统安全风险由多种因素引起,与网络结构和系统的应用、服务器的可靠性等因素密切相关。针对信息系统工程项目可能存在的安全隐患,在进行安全方案设计时必须要认真考虑下述安全风险,并采取防范措施:
(1)物理安全风险
(2)网络平台的安全风险
(3)系统安全风险
(4)应用系统的安全风险
•
① 应用系统的安全是动态的、不断变化的:应用系统的安全涉及面广,随着应用类型在不断增加,其结果是安全漏洞也不断增加且隐藏越来越深。
(5)管理的安全风险
(6)黑客攻击
(7)通用网关接口(CGI)漏洞
(8)病毒的传播
(9)内部不满员工的破坏
•
1.信息系统安全管理的内容
① 计算机网络系统的硬件设备必须定期进行例行性的维护、清理和检修,以确保其正常运作。维护的需求因信息系统的大小及复杂程度而异,在任何情形下,硬件系统的维护保养要符合厂商提供的维护要求和规格。
2.信息系统安全管理的目标
① 建立一套完整可行的网络安全与网络管理策略,将内部网络、公开服务器网络和外网进行有效隔离,避免内网与外网的直接通信。
•
3.信息系统安全方案的设计原则
在进行信息系统工程项目信息系统安全方案设计、规划时,应充分考虑信息系统安全保障问题,采取有力措施,确保系统安全。为此,应遵循以下原则:
(1)综合性、整体性原则
(2)需求、风险、代价平衡的原则
(3)一致性原则
(4)易操作性原则
(5)分步实施原则
(6)多重保障原则
(7)可评价性原则
•
1.物理安全管理
保证信息系统工程项目各种设备的物理安全是整个信息系统安全的前提,物理安全管理是保护计算机网络设备、设施以及其他软、硬件免遭地震、水灾、火灾等环境事故,人为操作失误或错误,以及各种计算机犯罪行为导致的破坏过程。
2.网络结构安全管理
计算机网络结构安全是信息系统工程项目信息系统安全保障体系成功建立的基础。在整个网络结构的安全管理方面,主要考虑网络结构、系统和路由的优化。
3.网络安全控制
(1)访问控制(2)不同网络安全域的隔离及访问控制(3)网络安全检测
•
4.安全审计与监控
安全审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具,不仅能够识别谁访问了系统,还能看出系统正被怎样地使用。安全审计信息对于确定攻击源很重要。通过对计算机网络安全事件的不断收集与积累,并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
•
5.反病毒技术
信息系统工程项目信息系统反病毒技术包括预防病毒、检测病毒和消除病毒三种技术:
(1)预防病毒技术
(2)检测病毒技术
(3)清除病毒技术
6.数据备份
数据备份的目的是一旦计算机网络系统受到损坏以后,尽可能快地恢复计算机网络系统的数据和系统信息。数据备份不仅在计算机网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时也是系统灾难恢复的前提。
•
7.数据加密技术
数据加密是使信息不可解读的过程,其目的是保护信息,尤其是在传输或储存期间免于未授权查看或使用。加密的依据是一种算法和一种密钥,即使知道了算法,没有密钥,也无法解读信息。
8.数字签名
数字签名是公开密钥加密技术的应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。这个数字签名将作为报文的附件和报文一起发送给接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。
•
9.身份认证技术
国际上基于公开密钥体系的数字证书解决方案已被普遍采用。通信伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。数字证书通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。数字证书能够起到标识通信方的作用。
•
10.安全管理制度
面对信息系统工程信息系统安全的脆弱性,除了在系统设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强信息系统安全管理制度的建立,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是信息系统安全所必须考虑的基本问题。
•