信息系統(tǒng)安全中的行為和政策問題.ppt

信息系統(tǒng)安全中的行為與政策問題 信息系統(tǒng)安全威脅的概念 信息系統(tǒng)安全威脅的內(nèi)容 內(nèi)部威脅的概念 內(nèi)部威脅的影響 內(nèi)部威脅的控制 信息系統(tǒng)安全威脅的概念 計(jì)算機(jī)信息系統(tǒng)由多種設(shè)備 設(shè)施構(gòu)成 因?yàn)榉N種原因 其面臨的威脅是多方面的 總體而言 這些威脅可以歸結(jié)為3大類 一是對信息系統(tǒng)設(shè)備的威脅 二是對業(yè)務(wù)處理過程的威脅 三是對數(shù)據(jù)的威脅 信息系統(tǒng)安全威脅的內(nèi)容 一是計(jì)算機(jī)信息系統(tǒng)軟硬件的內(nèi)在缺陷 這些缺陷不僅直接造成系統(tǒng)停擺 還會(huì)為一些人為的惡意攻擊提供機(jī)會(huì) 是惡意攻擊 攻擊的種類有多種 有的是對硬件設(shè)施的干擾或破壞 有的是對數(shù)據(jù)的攻擊 有的是對應(yīng)用的攻擊 信息系統(tǒng)安全威脅的內(nèi)容 是使用不當(dāng) 如誤操作 關(guān)鍵數(shù)據(jù)采集質(zhì)量存在缺陷 系統(tǒng)管理員安全配置不當(dāng) 用戶安全意識不強(qiáng) 用戶口令選擇不慎甚至多個(gè)角色共用一個(gè)用戶口令 等等 是自然災(zāi)害 對計(jì)算機(jī)信息系統(tǒng)安全構(gòu)成嚴(yán)重威脅的災(zāi)害主要有雷電 鼠害 火災(zāi) 水災(zāi) 地震等各種自然災(zāi)害 企業(yè)內(nèi)部人員的惡意破壞 數(shù)據(jù)泄露與竊取和無意操作失誤對信息系統(tǒng)產(chǎn)生的安全威脅 另外 用戶安全意識不強(qiáng) 不按照安全規(guī)定操作 如口令選擇不慎 將自己的賬戶隨意轉(zhuǎn)借他人或與別人共享 因此對信息系統(tǒng)帶來的威脅都稱做信息系統(tǒng)安全的內(nèi)部威脅 信息系統(tǒng)內(nèi)部威脅的概念 人為的惡意攻擊是目前計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅 人為攻擊又可以分為兩類 一類是主動(dòng)攻擊 它以各種方式有選擇地破壞系統(tǒng)和數(shù)據(jù)的有效性和完整性 另一類是被動(dòng)攻擊 它是在不影響網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)行的情況下 進(jìn)行截獲 竊取 破譯以獲得重要機(jī)密信息 這兩種攻擊均可對計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害 導(dǎo)致網(wǎng)絡(luò)癱瘓或機(jī)密泄漏 進(jìn)而給企業(yè)造成極大的經(jīng)濟(jì)損失 內(nèi)部威脅的影響 制定物理安全策略 要重點(diǎn)關(guān)注存放計(jì)算機(jī)服務(wù)器 數(shù)據(jù)存貯設(shè)備 核心網(wǎng)絡(luò)交換設(shè)備的機(jī)房的安全防范 保證恒溫 恒濕 防雷 防水 防火 防鼠 防磁 防靜電 加裝防盜報(bào)警裝置 提供良好的接地和供電環(huán)境 另外 加強(qiáng)計(jì)算機(jī)硬件設(shè)備的日常檢查也很必要 內(nèi)部威脅的控制 系統(tǒng)軟件包括操作系統(tǒng)和數(shù)據(jù)庫軟件 當(dāng)前 主流操作系統(tǒng)軟件均存在漏洞 在設(shè)計(jì)信息系統(tǒng)時(shí) 選用相對成熟 穩(wěn)定和安全的系統(tǒng)軟件固然重要 更重要的是保持與其提供商的密切接觸 通過其官方網(wǎng)站或合法渠道 密切關(guān)注其漏洞及補(bǔ)丁發(fā)布情況 爭取 第一時(shí)間 下載補(bǔ)丁軟件 彌補(bǔ)不足 內(nèi)部威脅的控制 訪問控制是維護(hù)信息系統(tǒng)安全 保護(hù)數(shù)據(jù)資源的重要手段 訪問控制包括系統(tǒng)訪問控制 系統(tǒng)授權(quán)控制 屬性安全控制服務(wù)器安全控制 系統(tǒng)監(jiān)測和鎖定控制 網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制以及防火墻控制 安全檢查