第6章 信息资源管理的安全管理剖析.ppt

79IRM * 6.5.2 信息系统的安全策略和措施 对系统的工作人员，如终端操作员、系统管理员、系统设计人员等，进行全面的安全、必威体育官网网址教育，进行职业道德和法制教育，因为他们对系统的功能、结构比较熟悉，对系统的威胁很大。 技术措施是信息系统安全的重要保障。 79IRM * 6.5.3 信息系统的安全技术 信息系统的安全技术主要包括以下几个方面： 实体安全 数据安全 软件安全 运行安全 防病毒破坏或干扰 防计算机犯罪等 79IRM * 6.5.3 信息系统的安全技术 信息系统的实体安全是指在全部计算机和通信环境内，为保证信息系统安全运行，确保系统在信息的采集、传输、存储、处理、显示、分发和利用的过程中，不致受到人为的或自然因素的危害而使信息丢失、泄漏和破坏，对计算机系统设备、通信和网络设备、存储媒体和人员所采取的措施。 79IRM * 6.5.3 信息系统的安全技术 数据安全主要是指为保证信息系统中数据库或数据文件免遭破坏、修改、泄露和窃取等威胁和攻击而采取的技术方法。 它包括存取控制技术、数据加密技术、用户识别技术，以及建立备份、异地存放、妥善保管等技术和方法。 79IRM * 6.5.3 信息系统的安全技术 软件安全主要是指为保证信息系统中的软件（如操作系统、数据库系统或应用程序）免遭破坏、非法拷贝、非法使用而采取的技术和方法。 它包括口令的控制与鉴别技术、软件加密技术、软件防拷贝和防动态跟踪技术等。 79IRM * 6.5.3 信息系统的安全技术 运行安全包括安全运行与管理技术、系统的使用与维护技术、随机故障维修技术、软件可靠性与可维护性保证技术、操作系统的故障分析与处理技术、机房环境的监测与维护技术、实测系统及其设备运行状态的记录及统计分析技术等，以便及时发现运行中的异常情况，及时报警，同时提示用户采取适当措施。 79IRM * 6.5.4 可信计算机系统 美国国防部国家计算机安全中心于1985年修改发表了“可信计算机系统评审准则（TCSEC）”（桔皮书），作为指导有关可信计算机系统的研制和促进其商品化工作。 根据不同层次的安全要求，TCSEC标准按照可靠程度将计算机系统由低到高分为D、C、B、A四个等级，每个等级又分若干级别，它的结构是层次性的，下层的系统必须满足上层的要求。 79IRM * 6.6.1 电子商务对安全的要求 电子商务（EC）是利用电子数据交换、电子邮件、电子资金转账及Internet技术在个人、企业间和政府间进行无纸化的业务信息的交换。 从传统的基于纸张的贸易方式向电子化的贸易方式转变的过程中，如何保持电子化的贸易方式与传统方式一样安全可靠则是人们关注的焦点，也是电子商务全面应用的关键问题之一。 实现电子商务的关键是要保证商务活动过程中系统的安全性。 79IRM * 6.6.1 电子商务对安全的要求 电子商务对安全的要求 ： 有效性 必威体育官网网址性 完整性 不可抵赖性/可鉴别性 审查能力 79IRM * 6.6.1 电子商务对安全的要求 在电子商务系统中，安全问题主要包括三个方面： 信息的安全 网络的安全 设备的安全 79IRM * 6.6.1 电子商务对安全的要求 系统中信息处理时所面临的安全问题 ： 信息泄露 信息篡改 身份识别 信息破坏 79IRM * 6.6.2 电子商务的安全概念 电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。 电子商务安全从整体上可分为两大部分： 交易环境安全 交易过程安全 79IRM * 6.6.2 电子商务的安全概念 交易环境是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。 交易过程安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行。 环境安全与过程安全在电子商务中是密不可分的，两者相辅相成，缺一不可。 79IRM * 6.6.3 电子商务的安全技术 安全是电子商务的核心问题。 由于Internet的开放性，安全控制尤为复杂，它是电子商务成败的关键。 电子商务的安全控制手段主要采用数据加密、数字签名、数字证书和认证中心。 79IRM * 6.6.3 电子商务的安全技术 有效的电子商务安全交易标准 ： 安全超文本传输协议（S-HTTP） 安全交易技术协议（Secure Transaction Technology，简称STT） 安全套接层协议（Secure Sockets Layer,简称SSL） 安全电子交易协议（Secure Electronic Transaction，简称SET） 79IRM * 6.6.3 电子商务的安全技术 电子商务安全交易技术 ： 数字认证 电子商务认证中心（CA