信息系统工程的信息安全管理.ppt

1信息系统工程的信息平安管理黄轶文

2“没有平安的工程就是豆腐渣工程”。这几年来我国接连不断地出现程度不同的信息系统平安事故，这些事故不仅仅是简单的信息系统瘫痪的问题，其直接后果是导致巨大的经济损失，还造成了不良的社会影响。如果说经济损失还能弥补，那么由于信息网络系统在平安防范和管理方面表达出的脆弱性而引起的公众对信息系统工程的诚信危机那么不是短时期内可以恢复的。

3我国政府主管部门以及各行各业已经认识到了信息平安的重要性。政府部门开始出台一系列相关策略，直接牵引、推进信息平安的应用和开展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业，也开始出台对信息平安技术产品的应用标准和标准。国务院信息化领导小组公布的《关于我国电子政务建指导意见》强调指出了电子政务建设中信息系统平安的重要性;中国人民银行在加紧制定网上银行系统平安性评估指引，并明确提出对信息平安的投资要到达总投资的10%以上，而在其他一些关键行业，信息平安的投资甚至已经超过了总预算的30%－50%。

4信息的主体？确保以电磁信号为主要形式的、在信息网络系统进行通信、处理和使用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的必威体育官网网址性、完整性和可用性，以及与人、网络、环境有关的技术平安、结构平安和管理平安的总和。信息系统平安的定义各类用户支持人员技术管理人员行政管理人员等

5信息系统平安的属性

6信息系统平安的属性信息系统平安属性分为三个方面:可用性、必威体育官网网址性和完整性。1.可用性可用性是信息系统工程能够在规定条件下和规定的时间内完成规定的功能的特性。可用性是信息系统平安的最根本要求之一，指信息及相关的信息资产在授权人需要的时候，可以立即获得。2.必威体育官网网址性必威体育官网网址性是信息不被泄露给非授权的用户、实体或过程，信息只为授权用户使用的特性。

7信息系统平安的属性3.完整性完整性定义为保护信息及其处理方法的准确性和完整性。信息完整性一方面是指信息在利用、传输、存储等过程中不被删除、修改、伪造、乱序、重放、插入等，另一方面是指信息处理的方法的正确性。不适当的操作，如误删除文件，有可能造成重要文件的丧失。完整性与必威体育官网网址性不同，必威体育官网网址性要求信息不被泄露给未授权的人，而完整性那么要求信息不致受到各种原因的破坏。

8架构平安管理体系

9架构平安管理体系为了系统地、完整地构建信息系统的平安体系框架，信息系统平安体系应当由技术体系、组织机构体系和管理体系共同构建。

101.技术体系

技术体系是全面提供信息系统平安保护的技术保障系统。该体系由两大类构成。1)物理平安技术物理平安技术包括机房平安和设施平安。(1)机房平安是信息系统主要设备的物理存放的位置，主要是保证机房场地的平安，主要包括机房环境、温度、湿度的控制，电磁、噪声、静电、震动和灰尘的防护，同时要有防火灾、防雷电以及门禁等平安措施。(2)设施平安主要是考虑各种硬件设备的可靠性问题，所有的设备应当更具不同平安级别的信息系统工程，同时要保证通信线路物理上的平安性。

111.技术体系

2)系统平安技术系统平安技术包括平台平安、数据平安、通信平安、应用平安和运行平安。平台平安泛指操作系统和通用根底效劳平安，主要用于防范黑客攻击手段，目前市场上大多数平安产品均限于解决平台平安，包括以下内容：·操作系统漏洞检测与修复，包括UNIX系统、Windows系统、网络协议。·网络根底设施漏洞检测与修复，包括路由器、交换机、防火墙等。·通用根底应用程序漏洞检测与修复，包括数据库、Web/ftp/mail/DNS/其他各种系统守护进程。·网络平安产品部署、平台平安实施需要用到市场上常见的网络平安产品，包括防火墙、入侵检测、脆弱性扫描和防病毒产品。·整体网络系统平台平安综合测试/模拟入侵与平安优化。

121.技术体系

(2)数据平安目标是防止数据丧失、崩溃和被非法访问，为保障数据平安提供如下实施内容：介质与载体平安保护、数据访问控制、系统数据访问控制检查、标识与鉴别、数据完整性、数据可用性、数据监控和审计、数据存储与备份平安。(3)通信平安目标是防止系统之间通信的平安脆弱性威胁，为保障系统之间通信的平安采取的措施有：通信线路和网络根底设施平安性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试平安通道、测试各项网络协议运行漏洞。

131.技术体系(4)应用平安是保障相关业务在计算机网络系统上平安运行，应用平安脆弱性有可能给信息化系统带来最大损失的致命威胁。以业务运行实际面临的威胁为依据，为应用平安