信息系统的安全与运行密不可分。信息系 拿统的运行必须安全,这既需要采用相应的安全技 术进行防范,更需要通过制定合适的制度,营造 良好的信息文化,培养良好的信息道德和信息素 系质来保证系统的安全。但信息系统的安全不仅仅 是运行过程中的事情,它还包括在信息系统的设 的安全与运行 计和开发中,要相应地进行安全设计。 信息系统的运行不仅要确保本身的安全,还 金\需要对信息系统进行维护、收集在维护和使用过 程中产生的信息以及用户的新需求,定期进行分 析归纳,据此写出运行分析报告,作为升级或更 新系统的依据
信息系统的安全与运行密不可分。信息系 统的运行必须安全,这既需要采用相应的安全技 术进行防范,更需要通过制定合适的制度,营造 良好的信息文化,培养良好的信息道德和信息素 质来保证系统的安全。但信息系统的安全不仅仅 是运行过程中的事情,它还包括在信息系统的设 计和开发中,要相应地进行安全设计。 信息系统的运行不仅要确保本身的安全,还 需要对信息系统进行维护、收集在维护和使用过 程中产生的信息以及用户的新需求,定期进行分 析归纳,据此写出运行分析报告,作为升级或更 新系统的依据。 第 七 章 信 息 系 统 的 安 全 与 运 行 管 理
系统安全设计是HS系统的重要组成部分。网络运行的安 全性、健壮性、可靠性均与该系统有密不可分的关系。 1、网络设备安全 2、应用平台安全 3、数据安全 4、安全有效的防火墙,杜绝网络病毒的传染 5、安全管理制度 ■6、合理设计和划分业务数据流与分配通讯带宽, 适当考虑带宽冗余度,确保无数据流阻塞运行 ■7、采用高安全技术措施,用技术和法规等手段确 保网络运行安全
系统安全设计是HIS系统的重要组成部分。网络运行的安 全性、健壮性、可靠性均与该系统有密不可分的关系。 1、网络设备安全 2、应用平台安全 3、数据安全 4、安全有效的防火墙,杜绝网络病毒的传染 5、安全管理制度 6、合理设计和划分业务数据流与分配通讯带宽, 适当考虑带宽冗余度,确保无数据流阻塞运行 7、采用高安全技术措施,用技术和法规等手段确 保网络运行安全
第七章信息系统的 信息系统的安全管理 二、系统转换与 信息系统运行的组织 与■三、信息系统的运行制度 四、信点系统的维护与升级
第 七 章 信 息 系 统 的 安 全 与 运 行 管 理 一、信息系统的安全管理 二、系统转换与 信息系统运行的组织 三、信息系统的运行制度 四、信息系统的维护与升级
信息系统的安全管理 随着信息技术的广泛应用,机密和财富越来越集中在 计算机和网络中,其中的信息一旦披损坏或丢失都将给社 会造成极大的影响。显然,社会对信息系统的依赖日益增 加。 对于一个现代化的国家,其国防、经济、政治、文化 乃至人民生活都深深地依赖于信息系统,信息犯罪是否安 全可靠,对信息社会有决定性的影响。另一方面,信息技 术应用的普及与信息犯罪的潜在风险同时增加。 由于上述的这些原因,使得以信息系统为基础和象征 的信息社会存在着极大的脆弱性,在无意的误操作下和蓄 意的攻击下,信息系统的破坏将给社会造成难以估计的损 失
一、信息系统的安全管理 随着信息技术的广泛应用,机密和财富越来越集中在 计算机和网络中,其中的信息一旦披损坏或丢失都将给社 会造成极大的影响。显然,社会对信息系统的依赖日益增 加。 对于一个现代化的国家,其国防、经济、政治、文化 乃至人民生活都深深地依赖于信息系统,信息犯罪是否安 全可靠,对信息社会有决定性的影响。另一方面,信息技 术应用的普及与信息犯罪的潜在风险同时增加。 由于上述的这些原因,使得以信息系统为基础和象征 的信息社会存在着极大的脆弱性,在无意的误操作下和蓄 意的攻击下,信息系统的破坏将给社会造成难以估计的损 失
本节角容 1、信息系统的安佥管理 2、信息就安的起因与含义 3、信息熏统的安合故术和搜制方依 4、信息系就安全的风险評偕与保险
本节内容: 1、信息系统的安全管理 2、信息系统安全的起因与含义 3、信息系统的安全技术和控制方法 4、信息系统安全的风险评估与保险
信息系统尽管功能强大,技术先 M0。信息空全的起因与 进,但由于受到它自身的体系结构、 设计思路以及运行机制等的限制,也 隐含着许多不安全的因素。 常见的影响因素有:数据的输入、 输出、存取与备份,源程序以及应用 软件、数据库、操作系统等的漏洞或 缺陷,硬件、通信部分的漏洞、缺陷 或者是遗失,还有电磁辐射、环境保 障系统、企业内部人的因素、软件的 非法复制、“黑客”、计算机病毒、 经济(信息)间谍等,它们的具体表现 可以参见表7—1
1 、 信 息 系 统 安 全 的 起 因 与 含 义 信息系统尽管功能强大,技术先 进,但由于受到它自身的体系结构、 设计思路以及运行机制等的限制,也 隐含着许多不安全的因素。 常见的影响因素有:数据的输入、 输出、存取与备份,源程序以及应用 软件、数据库、操作系统等的漏洞或 缺陷,硬件、通信部分的漏洞、缺陷 或者是遗失,还有电磁辐射、环境保 障系统、企业内部人的因素、软件的 非法复制、“黑客”、计算机病毒、 经济(信息)间谍等,它们的具体表现 可以参见表7—1
影响因素具体表现 数据输入据容易被篡改或输入虚假数据,当然有时是误输入 数据输出陉过处理的数据通过各种设备输出,信息就有泄漏和被盗看的可能 数据的存取 与备份不能完全将非法用户的侵入拒于系统之外,还可能因为没有备份而使系统准以恢复 源程序用编程语言书写成的处理程序,容易被修改和窃取,并且本身也许存在漏洞 应用软件如果软件的程序被修改或破坏,就会损坏系统的功能,进而导致系统的瘫痪;另外,文档的 遗失将使得软件的升级与维护十分困难 表~一引发信息 数据库据库中存有大量的数据资源,而有些数据价值连城,如遭到破坏或失窃,其损失将是难以 估价的。 操作系统作琴统是攻系场活位,保效据安全协调处理业和联机话的都分,如到网 系 硬件 算机硬件本身也有被破坏、盗窃的可能。此外,组成计算机的电子设备和元件存在偶然胡 障的可能,而且这种偶然故障可能是致命的。 通信信息和据通过通信系统进行传输,有被窃听的危险。 计算机是用电脉冲工作的设备,信息是以脉冲来表示的,因此,计算机所处理的信息将以电 电础辐射波的形式向周围辐射,只要接收到这些电磁波,就能复现它的内容,造成信息的失密;同 时,计算机也容易遭受外界电磁辐射的干扰 统安会的各 环境保障系信息系統需要一个良好的运行环境,周围环境的温度、湿度、清洁度以及一些自然灾害等 统会对计算机硬软件造成影响。 企业内部人低水平的安全处理、低下的安全素质、偶然的操作失误或故意的违法犯罪行为等,都会成 的因索响信息系统安全的重要因素。 软件的非法件的非法复制也是影响信息系统安全的因素,这除了会造成软件的失密外,还会给犯罪人 因素 复制员提供分析、入侵、盗取或破坏系统的机会。 黑客”上些非法的网络用户,出于各种动机,利用所掌握的信息技术进入未经授权的信息系统,恶 意的黑客可能导致严重的问题。 病毒病毒对微机及网络系统的威胁和破坏越来越严重。 经流信息 间谍 出于商业目的采用各种手段包括技术的和非技术的窃取竞争对手的机密数据
表7-1 引发信息系统安全的各种因素
根据上面对影响信息系统安全诸因素的分析,不难看 出,信息系统的安全是一个系统的概念,它既包括了信 息系统物理实体的安全,也包括了软件和数据的安全: 既存在因为技术原因引起的安全隐患,也有非技术原因。 如因为人的素质和道德等因素引起的安全隐患。在此基 础上,我们给出一个信息系统安全的定义: ●信息系统安全是指采取技术和非技术的各种手段, 通过对信息系统建设中的安全设计和运行中的安全管理, 使运行在计算机网络中的信息系统有保护,没有危险, 即组成信息系统的硬件、软件和数据资源受到妥善的保 护,不因自然和人为因素而遭到破坏、更改或者泄露系 统中的信息资源,信息系统能连续正常运行
根据上面对影响信息系统安全诸因素的分析,不难看 出,信息系统的安全是一个系统的概念,它既包括了信 息系统物理实体的安全,也包括了软件和数据的安全: 既存在因为技术原因引起的安全隐患,也有非技术原因。 如因为人的素质和道德等因素引起的安全隐患。在此基 础上,我们给出一个信息系统安全的定义: ● ● 信息系统安全是指采取技术和非技术的各种手段, 通过对信息系统建设中的安全设计和运行中的安全管理, 使运行在计算机网络中的信息系统有保护,没有危险, 即组成信息系统的硬件、软件和数据资源受到妥善的保 护,不因自然和人为因素而遭到破坏、更改或者泄露系 统中的信息资源,信息系统能连续正常运行
显然,信息系统的安全管理是一项复杂的系统工程,它的 实现不仅是纯粹的技术方面的问题,而且还需要法律、制度、 人的素质诸因素的配合。因此,信息系统安全管理的模型应该 是一个层次结构,如表72所示。从表中可以看出各层之间相 互依赖,下层向上层提供支持,上层依赖于下层的完善,最终 实现数据信息的安全。 的表 第7层数据信息安全 层次 第6层软件系统安全措施 模信 第5层通信网络安全措施 型 第4层硬件系统安全措施 系统安全管理 第3层物理实体安全环境 第2层管理細则和保护措施 第1层法律规范道德纪律
显然,信息系统的安全管理是一项复杂的系统工程,它的 实现不仅是纯粹的技术方面的问题,而且还需要法律、制度、 人的素质诸因素的配合。因此,信息系统安全管理的模型应该 是一个层次结构,如表7-2所示。从表中可以看出各层之间相 互依赖,下层向上层提供支持,上层依赖于下层的完善,最终 实现数据信息的安全。 表 7 -2 信 息 系 统 安 全 管 理 的 层 次 模 型
信息系统的安全问题不但表现在 信息系统的运行过程中,在信息系统 2 的规划、设计与实现阶段就已经开始 了。信息系统安全的设计包括物理实 信息系统安全的设 体安全的设计、硬件系统和通信网络 的安全设计、软件系统和数据的安全 设计等内容 本节主要讨论的内容: (1)物理实体安全环境的设计 (2)信息体系统中软件和数据安全的 设计
信息系统的安全问题不但表现在 信息系统的运行过程中,在信息系统 的规划、设计与实现阶段就已经开始 了。信息系统安全的设计包括物理实 体安全的设计、硬件系统和通信网络 的安全设计、软件系统和数据的安全 设计等内容。 本节主要讨论的内容: (1)物理实体安全环境的设计 (2)信息体系统中软件和数据安全的 设计 2 、 信 息 系 统 安 全 的 设 计