文档介绍:第七章信息资源的安全管理
在信息资源的开发、管理和利用过程中,安全问题是一个十分重要的问题。信息资源安全包括了从信息的采集、传输、加工、存储和利用的全过程中以及与这一过程相关的信息及其载体、各类硬件设备和软件等被非法破坏、窃取和使用。
信息资源的安全,通常可以从技术安全和管理安全两个方面加以保证。其中,技术安全是一种被动的安全保护措施,是在信息资源受到攻击的情况下发挥作用。而管理安全则是一种相对主动的安全预防措施,在信息资源的安全保护体系中,往往占有更重要的地位。在实际工作中,我们必须两种方法并举。
信息资源的安全管理
系统授权是用户存取权限的定义。利用系统授权来控制主体(用户)对客体(存取对象)的访问,可以有效地提高系统的安全性。系统授权是保护系统安全运行的一项重要技术措施。通常系统将授权清单经编译后存储在系统的数据字典中,每当用户发出存取数据的请求后,系统查找数据字典,根据用户授权表对用户请求进行合法权检查,若用户的请求超过了定义的权限,系统拒绝用户的请求。授权编译程序和合法权检查机制一起组成了授权安全子系统。
信息资源的安全管理
数据加密,就是按照预先约定的变换规则(加密算法)对需要保护的数据(明文)进行转换,使其成为难以识读的数据(密文)。由密文按对应的解密变换方法(解密算法)恢复出明文的过程称为数据解密。
数据加密技术在体制上分为单密钥体制(常规密钥密码体制)和双密钥体制(公开密钥密码体制)。单密钥体制的加密密钥和解密密钥是相同的,最常用的加密算法是由IBM公司研制的DES;双密钥体制的加密和解密使用不同的密钥,最有名的是由美国麻省理工学院提出的RSA 。
信息资源的安全管理
计算机犯罪是一种新的社会犯罪现象,它具有犯罪方法新、作案时间短、不留痕迹、内部人员犯罪的比例在增加、犯罪区域广、利用保密制度不健全和存取控制机制不严的漏洞作案等明显特征。进入九十年代以来,计算机犯罪已严重的威胁到信息资源的安全,造成许多重大损失,现已成为日益严重的社会问题。
防范计算机犯罪,要从数据输入控制、通信控制、数据处理控制、数据存储控制、访问控制等各个环节上加强安全控制。
信息资源的安全管理
计算机病毒是一种特殊形式的计算机犯罪,它是人为制造的、能够通过某一途径潜伏在计算机的存储介质(或可执行程序、数据文件)中,达到某种条件具备后即被激活,对信息资源具有破坏作用的一种程序或指令的集合。计算机病毒具有可传染性、潜伏性、可触发性、欺骗性、衍生性和破坏性等特征。
预防计算机病毒的技术手段主要包括软件预防和硬件预防。软件预防采用防病毒软件来防御病毒的入侵,它是病毒防御系统的第一道防线,其任务是使病毒无法进行传染和破坏。硬件预防采用防病毒卡等硬件来防御病毒的入侵。
信息资源的安全管理
实现信息资源安全,不仅靠先进的技术,而且也要靠严格的安全管理、安全教育和法律约束。要实现严格的安全管理,应建立相应的信息资源安全管理办法,加强内部管理,建立合理的安全管理系统,建立安全审计和跟踪体系,提高整体安全意识。
审计是记录用户使用系统进行所有活动的过程,是提高安全性的重要措施。入侵检测是一种信息识别与检测技术。一般将审计跟踪、攻击检测系统作为信息安全的最后一道防线。
信息资源的安全管理
在信息资源安全中,软件具有二重性:软件既是安全保护的对象,是安全控制的措施,同时又是危害安全的途径和手段。因此,软件的安全是保证信息资源安全的重要内容。
软件安全的基本要求是要禁止非法的拷贝和使用以及防止非法阅读和修改。为设计安全软件而采取的技术措施应实现防拷贝、防静态分析和防动态跟踪,它们是每一个加密软件都必须具备的三个基本功能。这三个功能是相互依存、相辅相成的。实现软件的加密保护,必须从这三方面入手,综合运用,才能有效地保护软件被非法扩散。
信息资源的安全管理
大多数系统软件中普遍采用的安全措施是安全控制。从技术上讲安全控制主要有三种方法:访问控制、隔离控制、和存储保护。访问控制和隔离控制可以防止对被保护对象的未经许可的接触;存储保护主要是避免多任务之间的互不干扰。
应用软件是直接面对用户的,所以其安全设计是目前信息资源安全中最重要却又最薄弱的部分,因此在应用软件的开发过程中,需要特别注意。
信息资源的安全管理
一个数据库的安全受到侵犯,主要是指未经授权的读、写和修改数据库中的数据,或者破坏这些存储在数据库中的信息。由于数据库中存放大量的信息,可供众多的用户访问,数据库的安全问题日益突出。
数据库安全的基本要求是数据库完整