資源簡介

.第4單元信息系統的安全
4.1信息系統安全風險
A、信息系統安全風險的來源
信息系統的安全風險主要來自兩大方面。-方面，在技術和設計上存在不完善性，漏洞和缺陷隨之而來，導致信息系統有其脆弱性，存在-定的安全風險。另一方面，由人為因素引起的風險，出于商業競爭、 個人報復等動機對信息系統網絡進行攻擊;或因無意間的信息泄露，使 犯罪分子有了可乘之機。信息系統一旦遭受破壞，不僅會使重要信息泄露，而且還會對個人、企業造成重大損失。
從理論與實踐上講，絕對安全的信息系統并不存在，風險總是客觀存在的。安全是風險與成本的綜合平衡。必須正確地評估，從實際出發，突出重點，以便采取科學、客觀、經濟和有效的措施。
B、降低信息系統安全風險
針對技術和設計上存在不完善性而產生的信息系統安全風險，我們可以通過安全技術來降低;針對人為因素造成的安全風險，我們可以通過管理手段來降低。因此，信息系統安全與否取決于兩個因素:技術和管理。
信息系統安全管理的最終目標是將信息系統安全風險降低到用戶可接受的程度，保證系統的安全運行和使用。
1.降低風險。
實施有效控制，將風險降低到可接受的程度，實際上就是力圖減小 威脅發生的可能性和帶來的影響，降低風險的途徑包括以下幾個方面。
(1)減少威脅:如安裝惡意軟件檢測或防御程序，減少信息系統受惡意軟件攻擊的機會。
(2)減少弱點:如通過安全意識培訓，強化相關人員的安全意識. 與安全操作能力。
(3)降低影響:如制訂災難恢復計劃和業務連續性計劃，做好 備份。
2.規避風險。
有時候，可以選擇放棄某些可能帶來風險的業務或資產，以此規避風險。例如，將重要的計算機系統與互聯網隔離，使其免遭來自外部網絡的攻擊。
3.轉嫁風險。
將風險全部或者部分地轉移到其他責任方，如購買商業保險。
4.接受風險。
在實施了其他風險應對措施之后，對于殘留的風險，可以選擇接受。
C、信息安全和系統安全
信息系統安全主要是指系統安全和信息安全，其核心屬性包括機密性、真實性、可控性和可用性，具體反映在物理安全、運行安全、數據安全、內容安全四個層面上。
系統安全反映的是信息系統所面臨的安全問題。其中，物理安全涉及的是硬件設施方面的安全問題;運行安全涉及的是操作系統、數據庫、應用系統等軟件方面的安全問題。而信息安全所反映的是信息自身 所面臨的安全問題。其中，數據安全是以保護數據不受外界的侵擾為目的，包括與泄密、偽造、篡改等有關的行為;內容安全則是反過來對流動的數據進行限制，包括可以對指定的數據進行選擇性的阻斷、修改、 轉發等特定的行為。
信息安全是任何國家、政府、部門、行業都十分重視的問題，是不容忽視的國家安全戰略。
4.2 信息系統安全技術
A、計算機病毒的工作原理
計算機病毒( Computer Virus )是在計算機程序中插人的破壞計算機功能或者數據的一個程序、一段可執行代碼。
計算機病毒像生物病毒-樣，具有自我繁殖、互相傳染以及激活再生等特征。
計算機病毒具有傳播性、隱蔽性、傳染性、潛伏性、可觸發性、表現性和破壞性等特性。
計算機病毒的生命周期為：開發期→傳染期→潛伏期→發作期→發現期→消化期→消亡期。計算機病毒能附著在各種類型的文件上，當文件被復制或從一個用戶傳送到另一個用戶時，它就隨同文件一起蔓延開來。計算機病毒有獨特的復制能力，能夠快速蔓延，且常常難以根除。
B、殺毒軟件的工作原理
殺毒軟件也稱反病毒軟件或防毒軟件，是用于消除計算機病毒、特洛伊木馬和惡意軟件等計算機威脅的一類軟件，是針對病毒等一切已知的對計算機有危害的程序代碼進行清除的程序工具。
開發殺毒軟件的廠商將病毒的特征碼收錄到自己的病毒庫當中，殺毒軟件就能識別相應的病毒。近年來，國際反病毒行業普遍開展了各種前瞻性技術研究，試圖扭轉過分依賴特征碼所帶來的被動局面。現在已有基于虛擬機技術開發的啟發式掃描軟件和基于行為分析技術開發的主動防御軟件。
殺毒軟件通常集成監控識別、病毒掃描和清除、自動升級病毒庫、主動防御等功能，有的殺毒軟件還帶有數據恢復等功能，是計算機防御系統的重要組成部分。
C、計算機病毒防護常識
防止病毒的人侵要比病毒人侵后再去發現與清除它重要得多。為防止病毒人侵，就要做好以下防護措施。
1.安裝殺毒軟件,定期進行全盤病毒、木馬掃描,經常更新殺毒軟件。
2.安裝防火墻或者安裝自帶防火墻的殺毒軟件。
3.經常進行操作系統和重要軟件的更新，尤其要注意安裝安全補丁以修復漏洞。
4.不隨意接受、打開陌生人發來的電子郵件或通過QQ傳遞的文件或網址。
5.使用移動存儲器前，先查殺病毒。
6.不要輕易打開電子郵件附件中的文檔文件。首先要保存到本地磁盤，待用查殺計算機病毒的軟件檢查無病毒后，才可以打開使用。
7.禁用瀏覽器中不必要的加載項。在上網時，往往會在不經意間在瀏覽器中安裝很多不必要的控件，隨著加載控件的逐漸增多，瀏覽器會因不堪重負而變得不穩定。所以要經常利用“工具”菜單的“管理加載項”命令來禁用不必要的加載項。
8.經常查看系統的啟動項，去除不必要的啟動服務。在“運行”中 輸人“Msconfig” ，打開“ 系統配置”對話框，單擊“啟動”標簽，勾掉無用的啟動項，這樣可以在減輕系統負擔的同時，減少病毒傳播發作的途徑。
D、防火墻技術的工作原理
在網絡中，所謂“防火墻”，是指--種將內部網和公眾訪問網分開的方法，它實際上是-種隔離技術。
防火墻是在兩個網絡通信時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進人你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如 果不通過防火墻，內部網絡的人就無法訪問互聯網，互聯網上的人也無法和內部網絡的人進行通信。
E、防火墻的規則
高級安全Windows防火墻的高級安全設置中，有針對程序和端口的防火墻規則，可以創建防火墻規則，以允許本地計算機向程序、系統、服務、計算機或用戶發送流量，或者從程序、系統、服務、計算機或用戶接 收流量。
入站規則：來自外網的程序、服務、用戶等訪問本地計算機。
出站規則：本地計算機上的程序、服務、用戶等訪問外網。
4.3 信息系統安全管理
A、高度重視人員安全問題
從宏觀層面看，信息系統安全管理需要在國家層面上建立相應的組織機構，統籌安排、協調信息安全的健康發展，制定相應的法律、法規、標準，規范信息安全技術市場，制訂信息安全人才培養計劃。從微觀層面上看，信息系統的安全運行也應該有相應的組織、制度和人員的保障，尤其是對組織人員安全意識的教育。為降低內部員工人為帶來的差錯、盜竊、欺詐及濫用設施的風險，避免引發法律風險，組織應該采取措施，加強內部人員的安全管理，主要包括以下幾個方面:
1.對工作申請者實施背景檢查;
2.簽訂雇傭合同和保密協議;
3.加強在職人員的安全管理;
4.嚴格控制人員離職程序，立即撤銷離職者的訪問權限。
B、信息系統安全管理的階段
信息系統安全管理，可以類比校園安全防護。信息系統安全管理可劃分為事先防御階段、實時監測階段和事后響應階段，各階段的功能如 表4.3.3所示。
在不同的安全管理階段，利用病毒監控、加密傳輸、防火墻等安全技術，是信息系統安全防護的重要措施和手段。
B、“技術”和“管理”
事實上，大多數安全事件的發生和安全隱患的產生，既有技術上的原因，也有管理上的問題。
對安全技術和產品的選擇運用，只是信息安全實踐活動中的一部分。信息系統安全更廣泛的內容，還包括制定完備的安全策略，通過風險評估來確定需求，根據需求選擇安全技術和產品，并按照既定的安全 策略和流程規范來實施、維護和審查安全控制措施。歸根到底，信息安 全并不只是技術過程，更重要的是管理過程。
對待技術和管理的關系應該有充分理性的認識，技術是實現安全目的手段，管理是選擇、實施、使用、維護、審查包括技術措施在內的安全手段的整個過程，是實現信息安全目標的必由之路。
C、信息系統安全管理模型
制訂有效的安全管理計劃，可以確保信息系統安全策略得到恰當執行。信息系統安全必須從整體考慮，做到遵循“有計劃有目標、發現問題、分析問題、采取措施解決問題、后續監督避免再現”的全程管理思路，建立一套完整的信息系統安全管理體系。信息系統安全管理模型如 圖4.3.1所示。
D、信息系統安全管理決策要點
把握信息系統安全管理決策要點，可以全面而有針對性地解決相關問題。
1.制定信息安全管理方針和多層次的安全策略，以便為各項信息安全管理活動提供指引和支持。
2.通過風險評估來充分發掘組織真實的信息安全需要。
3.遵循預防為主的理念。
4.加強人員的安全意識和安全教育。
5.足夠重視并提供切實有效的支持。
6.持有動態管理、持續改進的思想。
7.以業務持續發展為目標，達成信息安全控制的力度、使用的便利性以及成本投人之間的平衡。

展開更多......

收起↑