第八章 安全管理信系统第八章 安全管理信息系统.doc

第八章 安全管理3.拒绝服务 拒绝服务攻击是指电子入侵者故意地阻止某项服务的合法用户使用该服务。入侵者经常通过使位于家里、学校或企业的没有安全系统（或安全系统很弱）的电脑感染上病毒或蠕虫 来实施这种攻击。当上网的电脑用户没有使用防火墙或杀毒软件来保护自己而易于被攻击时，被安放了恶意代码的染毒服务器就会出现。在用户不知情的情况下，病毒渗入到未受保护的电脑，利用它们将病毒传播到其他的电脑，并对热门网站发起攻击。受到攻击的网站服务器在潮涌般的假冒请求下死机，于是不能对正常因特网用户的合法请求提供服务举例来说，MyDoom蠕虫病毒能够控制大批染毒服务器来攻击微软公司网站，并完全阻止了其他用户的合法请求。微软公司是病毒作者的关注焦点，微软公司要经常提供下载补丁给它的软件用户以阻止未授权入侵。 间谍软件、垃圾邮件和Cookie文件 另外三种威胁信息系统安全的方式是间谍软件、垃圾邮件和Cookie文件。 （1）间谍软件 间谍软件是指在用户不知情的情况下，通过因特网连接偷偷收集用户信息的软件。间谍软件有时藏在免费软件或共享软件程序中，或者被植入网站，在用户不知情的情况下被下载并安装到用户的电脑上，目的是获取用户的数据来进行市场推广或做广告。间谍软件可以监视计算机用户的活动，并能在后台偷偷地将该信息传给其他人。电子信箱地址、密码、信用卡卡号，以及访问过的网站等信息都可能被间谍软件牧集。从通信的角度看，间谍软件之所以会引发问题，是因为它占用了计算机的内存资源，当它通过因特网连接向其大本营发回信息时，还会占用网络带宽，从而导致系统的不稳定，或者更糟糕的情况是导致系统崩溃。有种特殊的间谍软件叫做广告软件，它能收集用户的个人信息以便量身定做浏览器的网页广告。尽管媒体一直在宣传应立法对间谍软件进行适当的调控，但是认清间谍软件目前并非非法这一点是很重要的。好在防火墙和反间谍软件可以扫描和阻止间谍软件。 （2）垃圾邮件 另一种入侵电子邮件造成网络拥堵的常见形式是垃圾邮件。垃圾邮件是指包含垃圾信息的电子邮件或投送垃圾新闻组邮件，通常其目的是为了推销某种产品或服务。垃圾邮件不仅没有任何实际用处，浪费我们的时间，而且还会占用大量的存储空间和网络带宽。有些垃圾邮件就是个骗局，让你为并不存在的慈善事业捐款，或警告你注意根本不存在的病毒或其他网络威胁。有时候，垃圾邮件的附件还带有破坏性的计算机病毒。因此，网络服务供应商和企业内部邮件管理人员现在通常使用防火墙来打击 8.1.3 信息系统安全体系 图8-1 信息系统安全体系框架 如图8-1所示，一个完整的信息安全体系应该是组织机构、管理和安全技术实施的结合，三者缺一不可。在信息系统安全体系框架中，从组织机构、技术、管理等多个层面提供用户为保证其信息安全所需要的安全对策、机制和措施，强调在一个安全体系中进行多层保护。在体系中，管理是根本，技术是前提和手段，组织机构（由组织、岗位、人事等模块构成）则是信息安全中最积极的因素，在采用信息安全技术的同时，应该发挥网络系统中最积极的因素──“人”的作用，通过信息安全管理制度和机制来规范人在技术实施和安全操作中的职责，发挥人在信息安全实现中的能动性。因此，建设信息安全保障体系首先要解决“人”的问题，建立完善的安全组织结构，其次是解决“人”和“技术”之间的关系，建立层次化的信息安全策略，包括纲领性策略、安全制度、安全指南和操作流程，最后是解决“人”与“技术（操作）”的问题，通过各种安全机制综合实现预警、保护、检测、响应、恢复等来提高信息的安全保障能力。 1.技术体系 信息系统安全体系中技术体系框架的设计，可借鉴美国DISSP计划（美军全国防信息系统安全计划）提出的三维安全体系的思路，将协议层次、信息系统构成单元和安全服务(安全机制)作为三维坐标体系的三个维来表示。如图8-2所示。 图8-2 安全技术体系三维图 安全机制选作X维，协议层选作Y维，信息系统构成单元选作为Z维。在X维中，由于安全机制并不直接配置在协议层上，也不直接作用在系统单元上，而是通过提供安全服务来发挥作用，为便于从三维图中全面地概览信息系统安全体系中的相互关系，将安全机制作为安全服务的底层支撑放在图中；在安全机制中，将OSI安全体系中的八种机制与物理安全中的电磁辐射安全机制放在一起，可使安全服务中的数据必威体育官网网址性和可靠性、可用性功能赋有更为广泛的安全意义，同时也为物理环境的安全提供了重要的安全机制和服务；协议层以OSI七层模型为参考，只选取可适宜配置安全服务的五个层次；每个维中的“安全管理”是一种概念，它是纯粹基于标准(或协议)的各种技术管理。 2. 组织机构体系 组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事三个模