第八章-信息系统安全 - 图1

第八章-信息系统安全

信息系统不安全的原因

①互联网本身是开放系统

②黑客、计算机病毒恶意入侵

③云计算的分散性导致难以掌控

④软件本身存在问题和漏洞难以避免

⑤终端用户自身的行为操作不安全

安全与控制的商业价值

信息本身具有隐私性,同时富有价值

防止陷入法律纠纷

用户信任度

安全与控制的组织框架的组成要素

信息系统控制

一般控制

  • ①软件控制
    • 阻止未授权访问
  • ②硬件控制
    • 设备物理安全
  • ③计算机运行控制
    • 安装、异常中断的备份和恢复过程控制
  • ④数据安全控制
    • 磁盘和磁带上存储的有价值商业数据文件不受未经许可的访问更改或破坏
  • ⑤实施控制
    • 系统开发各过程审计进行控制管理
  • ⑥管理控制

    • 规范组织总体得到正确执行和强化

      应用软件控制

  • ①输入控制

  • ②过程控制
  • ③输出控制

    风险评估

    主要方向

  • 风险事件

  • 概率
  • 损失范围与平均值
  • 年预期损失

    作用

  • 使管理者专注风险大方面的控制与改进管理,减少损失

    防火墙、入侵检测系统和反病毒软件

    信息系统审计

    保护信息资源主要的工具和技术

    ①身份管理与认证

    ②无线网络安全

    ③加密及公钥设施

    数字证书

  • 依赖于可信赖的第三方机构即认证中心CA验证用户身份的合法性