工程监理基本知识之信息安全管理 (ppt 63页).ppt

1、,工程监理基本知识（11） 第11讲：信息安全管理,第11讲：信息安全管理,在本讲中您能了解如下知识点： 信息系统安全概论 监理在信息安全管理中的作用 信息系统安全管理分析与对策,11.1信息系统安全概论,信息系统安全定义与认识 信息系统安全的属性 信息安全管理的重要性 架构安全管理体系,信息系统安全定义与认识,定义 从不同角度看待信息系统安全,定义,在信息系统工程中，信息安全涵盖了人工和自动信息处理的安全。网络化和非网络化的信息系统安全，泛指一切以声、光、电信号、磁信号、语音以及约定形式为载体的信息的安全。 信息系统安全定义是：确保以电磁信号为主要形式的、在信息网络系统进行通信、处理和使用的

2、信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的保密性、完整性和可用性，以及与人、网络、环境有关的技术安全、结构安全和管理安全的总和。 在信息系统安全定义中，人是指信息系统应用的主体，包括 各类用户 支持人员 技术管理人员 行政管理人员等。 网络则指以计算机、网络互连设备、传输介质以及操作系统、通信协议和应 用程序所构成的物理的和逻辑的完整体系； 环境则是系统稳定和可靠运行所需要的保障体系，包括 建筑物 机房 电力 保障与备份 应急与恢复体系等。,从不同角度看待信息系统安全,从个人用户最为关心的信息系统安全问题是如何保证涉及个人隐私的问题。从企业用户的角度来说，是如

3、何保证涉及商业利益的数据的安全。 个人数据或企业的信息在传输过程中要保证其受到保密性、完整性和可用性的保护，如何避免其他人，特别是其竞争对手利用窃听、冒充、窜改、抵赖等手段，对其利益和隐私造成损害和侵犯，同时用户也希望其保存在某个网络信息系统中的数据，不会受其他非授权用户的访问和破坏。 从网络运行和管理者角度说，最为关心的信息系统安全问题是如何保护和控制其他人对本地网络信息的访问、读写等操作。比如，避免出现漏洞陷阱、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等现象，制止和防御网络“黑客”的攻击。,对安全保密部门和国家行政部门来说，最为关心的信息系统安全问题是如何对非法的、有害的或涉及

4、国家机密的信息进行有效过滤和防堵，避免非法泄露。机密敏感的信息被泄密后将会对社会的安定产生危害，对国家造成巨大的经济损失和政治损失。 从社会教育和意识形态角度来说，最为关心的信息系统安全问题则是如何杜绝和控制网络上不健康的内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。,信息系统安全的属性,信息系统安全属性分为三个方面：即可用性、保密性、完整性。 可用性 可用性是信息系统工程能够在规定条件下和规定的时间内完成规定的功能的特性。可用性是信息系统安全的最基本要求之一，是所有信息网络系统的建设和运行目标。可用性是指信息及相关的信息资产在授权人需要的时候，可以立即获得。例如通信线路中断故障

5、会造成信息的在一段时间内不可用，影响正常的商业运作，这是信息可用性的破坏。 可用性主要表现在硬件可用性、软件可用性、人员可用性、环境可用性等方面。硬件可用性最为直观和常见。软件可用性是指在规定的时间内，程序成功运行的概率。人员可用性是指工作人员成功地完成工作或任务的概率。,信息网络系统可用性还体现在5性： 抗毁性，是指系统在人为破坏下的可用性。比如，部分线路或节点失效后，系统是否仍然能够提供一定程度的服务。增强抗毁性可以有效地避免因各种灾害(战争、地震等)造成的大面积瘫痪事件。 生存性，是在随机破坏下系统的可用性。生存性主要反映随机性破坏和网络拓扑结构对系统可用性的影响。这里，随机性破坏是指系

6、统部件因为自然老化等造成的自然失效。 有效性，是一种基于业务性能的可用性。有效性主要反映在信息系统的部件失效情况下，满足业务性能要求的程度。比如，信息系统部件失效虽然没有引起连接性故障，但是却造成质量指标下降、平均延时增加、线路阻塞等现象。,保密性,保密性是信息不被泄露给非授权的用户、实体或过程，信息只为授权用户使用的特性。信息的保密性是针对信息被允许访问（Access）对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息一般为敏感信息或秘密，秘密可以根据信息的重要性及保密要求分为不同的密级，例如国家根据秘密泄露对国家经济、安全利益产生的影响（后果）不同，将国家秘密分为秘密

7、、机密和绝密三个等级，组织可根据其信息安全的实际，在符合国家保密法的前提下将其信息划分为不同的密级；对于具体的信息的保密性有时效性，如秘密到期解密等。,保密性是在可用性基础之上，保障网络信息安全的重要手段。 常用的保密技术包括： 防侦测，使对手侦测不到有用的信息； 防辐射，防止有用信息以各种途径辐射出去； 信息加密，在密钥的控制下，用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息； 物理保密，利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被泄露。,完整性,完整性定义为保护信息及其处理方法的准确性和完整性。信息完整性一方面是指信息在利用、传

8、输、贮存等过程中不被删除、修改、伪造、乱序、重放、插入等，另一方面是指信息处理的方法的正确性。不正当的操作，如误删除文件，有可能造成重要文件的丢失。 完整性与保密性不同，保密性要求信息不被泄露给未授权的人，而完整性则要求信息不致受到各种原因的破坏。,保障信息网络系统完整性的主要方法有以下几种： 协议，通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段； 纠错编码方法，由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法； 密码校验和方法，抗窜改和传输失败的重要手段； 数字签名，保障信息的真实性； 公证，请求网络管理或中介机构证明信息的真实性。,信息安

9、全管理的重要性,从系统本身存在的问题认识 政府和企业对信息系统安全的重视,架构安全管理体系,信息系统安全的总体目标是物理安全、信息基础设备安全、网络安全、数据安全、信息内容安全与公共信息安全的总和，最终目标是确保信息的可用性、保密性和完整性，确保信息系统工程的主体，不仅是用户，还包括组织、社会和国家，对于信息资源的控制。 从信息安全管理目标来看，其中的网络安全、数据安全、信息内容安全等可通过开放系统互连安全体系的安全服务、安全机制及其管理实现，但所获得的这些安全特性只解决了与通信和互连有关的安全问题，而涉及与信息系统工程的构成组件及其运行环境安全有关的其他安全问题（如物理安全、系统安全等）还需

10、从技术措施和管理措施两方面结合起来。为了系统地、完整地构建信息系统的安全体系框架，信息系统安全体系应当由技术体系、组织机构体系和管理体系共同构建。,技术体系,技术体系是全面提供信息系统安全保护的技术保障系统。该体系由两大类构成。 一类是物理安全技术，通过物理机械强度标准的控制使信息系统的建筑物、机房条件及硬件设备等条件，满足信息系统的机械防护安全；通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择性措施达到两个安全目的，信息统组件具有抗击外界电磁辐射或噪声干扰能力而保持正常运行，控制信息系统组件电磁辐射造成的信息泄露。,物理安全技术包括机房安全和设施安全。 机房安全 设施安全,

11、系统安全,系统安全通过对信息系统安全组件的选择，使信息系统安全组件的软件工作平台达到相应的安全等级，一方面避免操作平台自身的脆弱性和漏洞引发的风险，另一方面阻塞任何形式的非授权行为对信息系统安全组件的入侵或接管系统管理权。 系统安全技术包括平台安全、数据安全、通信安全、应用安全和运行安全。平台安全泛指操作系统和通用基础服务安全，主要用于防范黑客攻击手段，目前市场上大多数安全产品均限于解决平台安全，包括以下内容： 操作系统漏洞检测与修复，包括：Unix系统、Windows系统、网络协议； 网络基础设施漏洞检测与修复，包括：路由器、路由器、交换机、防火墙等,数据安全目标是防止数据丢失、崩溃和被非法

12、访问，为保障数据安全提供如下实施内容：介质与载体安全保护、数据访问控制、系统数据访问控制检查、标识与鉴别、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全。 通信安全目标是防止系统之间通信的安全脆弱性威胁，为保障系统之间通信的安全采取的措施有：通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞。 应用安全是保障相关业务在计算机网络系统上安全运行 运行安全是保障系统安全性的稳定,组织机构体系,组织机构体系是信息系统的组织保障系统，由机构、岗位和人事三个模块构成，一个机构设置分为:决策层、管理层和执行

13、层。决策层是信息系统用户单位中决定信息系统安全重大事宜的领导机构，由有保密职能的部门负责人及信息系统主要负责人参与组成。管理层是决策层的日常管理机关，根据决策机构的决定，全面规划并协调各方面力量，实施信息系统的安全方案，制定、修改安全策略，处理安全事故，设置安全相关的岗位。执行层是在管理层协调下，具体负责某一个或某几个特定安全事务的一个逻辑群体，这个群体分布在信息系统的各个操作层或岗位上。,管理体系,管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理三部分组成。管理安全设置的机制有：人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、

14、运行管理和机房管理。,制度管理是信息系统内部依据必要的安全需求制定的一系列内部规章制度，主要包括： 安全管理和执行机构的行为规范； 岗位设定及其操作规范； 岗位人员的素质要求及行为规范； 内部关系与外部关系的行为规范等。,11.2 监理在信息安全管理中的作用,监理在信息系统安全管理的作用如下： 保证建设单位在信息系统工程项目建设过程中，保证信息系统的安全在可用性、保密性、完整性与信息系统工程的可维护性技术环节上没有冲突； 在成本控制的前提下，确保信息系统安全设计上没有漏洞； 督促建设单位的信息系统工程应用人员在安全管理制度和安全规范下严格执行安全操作和管理，建立安全意识； 监督承建单位按照技术

15、标准和建设方案施工，检查承建单位是否存在设计过程中的非安全隐患行为或现象等，确保整个项目建设过程中的安全建设和安全应用。,监理督促建设单位进行信息安全管理的教育,为了保证信息系统安全，我们要从防范计算机犯罪，需要从技术、法律、管理和教育等几方面着手。信息系统安全教育是建设单位或承建单位保证信息系统安全的重要组成部分，是信息安全体系建设不可缺少的一项重要工作内容。 教育的特点和对象 : 计算机硬件、计算机软件、电磁泄漏和屏蔽、通信、密码学、电磁材料、工程生理学、管理学、社会心理学、法学、审计学、安全保卫等。,凡是与信息系统安全有关的所有人员都可以列为信息系统安全教育的对象： 领导与管理人员； 计

16、算机工程人员，包括研究开发人员和维护应用人员； 计算机厂商的有关人员； 一般用户； 计算机安全管理部门的工作人员； 法律工作人员； 其他有关人员。,教育的主要内容,法规教育 安全基础知识教育 职业道德教育。,安全基础知识教育包括网络安全教育、运行安全教育、实体安全教育、安全技术基础知识等。 安全技术教育：熟练掌握使用一般的安全工具；了解计算机的硬件参数与软件参数；一般信息系统的薄弱点和风险等。 网络安全教育：熟练掌握计算机网络安全方法学；可信网络指导标准；网络安全模型；计算机网络安全设计方法。 运行安全教育：保障信息系统功能的实现，提供一套安全措施来保护信息处理过程的安全。运行安全教育应该了解

17、:信息系统的安全运行与管理、计算机系统的维护、机房环境的监测及维护、随机故障的维修、风险分析、应急、恢复与备份。 实体安全教育：保护信息系统设备、设施以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施。实体安全教育应该了解计算机机房的安全技术要求、实体访问控制；计算机系统的静电防护等。,监理督促建设单位进行信息安全规划,监理工程师有义务建议建设单位在信息系统安全管理上有应对的措施和规划，在制定信息安全规划方面，应建议建设单位从以下几个方面进行： （1）人员安全管理 监理工程师要建议建设单位遵循有以下原则： 授权最小化，只授予操作人员为完成本职工作所必须的最小授权，包括对数据文件

18、的访问，计算机和外设的使用等。 授权分散化，对于关键的任务必须在功能上进行划分，由多人来共同承担，保证没有任何个人具有完成任务的全部授权或信息。 授权规范化，建立起申请、建立、发出和关闭用户授权的严格的制度，以及管理和监督用户操作责任的机制。,物理与环境保护 对于物理与环境保护，监理工程师要建议建设单位主要从以下几个方面考虑： 物理访问控制，在重要区域限制人员的进出。重要区域不仅包括机房，也应包括能够接触到内部网络的区域，供电系统备份介质存放的地点等。 建筑物安全，要考虑建筑物防火、地震，结构拥塌、漏水等造成的风险。 公用设施的保证，为了使系统能够不间断地提供服务及硬件设备不受损害，评价供电、

19、供水、空调等设施的可用性，并提出相应的措施。 数据安全，数据泄露一般有三种途径:直接获取，在传输中截获，通过电磁辐射泄露。对这三种风险要加以充分评估。特别应当注意对便携式计算机建立安全保管制度，如果其中保存了敏感数据应进行加密，避免丢失或被盗时造成数据泄露。,（3）输入/输出控制 监理工程师要建议、提醒建设单位对系统的输入/输出信息或介质必须建立管理制度，只有经过授权的人员方可提供或获得系统的输入/输出信息。 （4）制定突发事件的应急计划 监理工程师要建议、提醒建设单位必须针对不同的系统故障或灾难制定应急计划，编写紧急故障恢复操作指南，并对每个岗位的工作人员按照所担任角色和负有的责任进行培训和

20、演练。,（5）应用软件维护控制 在应用软件的维护过程中，监理工程师要建议、提醒建设单位需要对所使用的商业软件的版权、来源，应用软件的文档在维护过程是否修改，测试数据的产生与测试结果，是否留有软件测试所建立的后门或热键等问题进行规划和评估。 （6）数据完整性与有效性控制 （7）文档管理 （8）安全教育与培训,安全管理制度与监理实施,通常情况下信息系统实施安全管理的有关制度包括： 计算机信息网络系统出入管理制度； 计算机信息网络系统各工作岗位的工作职责、操作规程； 计算机信息网络系统升级、维护制度； 计算机信息网络系统工作人员人事管理制度； 计算机信息网络系统安全检查制度； 计算机信息网络系统应急

21、制度； 计算机信息网络系统信息资料处理制度； 计算机信息网络系统工作人员安全教育、培训制度； 计算机信息网络系统工作人员循环任职、强制休假制度等。,11.3信息系统安全管理分析与对策,在信息系统工程建设中，监理工程师对信息系统的安全体系评估主要从逻辑访问的风险分析与安全管理、协助建设单位架构安全的信息网络系统、对应用环境的风险分析与安全管理、对物理访问的风险分析与安全管理等方面进行，并协助建设单位建立、健全、完善各项管理制度和措施。 物理访问的定义 物理访问的风险来源 可能的错误或犯罪 监理安全管理注意事项,物理访问的定义,物理访问控制是设计用以保护组织防止未授权的访问，并限制只有经过管理阶层

22、授权的人员才能进入。有些授权可能是明显易见，例如管理阶层授权你拥有锁门的钥匙，有些可能是隐含性的授权，例如你在工作内容中说明你必须访问敏感性的报表及文件。,物理访问的风险来源,物理访问的风险原因可能会来自有意或无意的违犯，这些风险包括： 未经授权进入； 毁损、破坏或窃取设备、财产或文件； 拷贝或偷看敏感或有著作权的信息； 变更敏感性设备及信息； 公开敏感的信息； 滥用数据处理资源； 勒索； 盗用。,可能的错误或犯罪,监理工程师要使建设单位认识到可能的错误或犯罪的情形包括有： 员工经授权或未经授权的访问； 离职员工； 有利害关系的外来者，如竞争者、盗窃者、犯罪集团、黑客等； 无知造成的意外，某些

23、人可能在无知情况下犯下罪行（可能是员工或外来者）。,监理安全管理注意事项,物理访问控制的风险多半可能来自那些恶意或犯罪倾向的行为。在安全监理中需要值得注意的问题如下： 硬件设施在合理范围内是否能防止强制入侵； 计算机设备的钥匙是否有良好的控制以降低未授权者进入的危险； 智能终端是否上锁或有安全保护，以防止电路板、芯片或计算机被搬移； 计算机设备在搬动时是否需要设备授权通行的证明。 物理访问的风险基本是可以事先得到控制的，关键就是怎样落实和实施，也就是制度的管理与落实。,应用环境的安全管理,应用环境控制可降低业务中断的风险。监控的项目包括电源、地面及空间状态。 应用环境的风险来源 环境风险主要来

24、源是自然发生的意外灾害，然而适当的控制可以降低这些风险。一般情况下，应用环境的安全风险来源可能有： 天灾，地震、火山爆发、台风、龙卷风、雷电等； 洪水； 停电； 电压突变； 空调故障； 设备故障； 水害，甚至在有高架地板的建筑物中，水害仍是一项危机，因为可能发生水管爆裂的情况； 炸弹威胁与攻击，恐怖活动或战争； 计算机设备电源供应是否能适当控制在制造商的规格范围内； 计算机设备的空调、湿度、通风控制系统是否能维持适当温度和湿度，以符合在制造商规格范围内； 计算机设备是否提供静电保护，如防静电地毯、抗静电喷雾器； 计算机设备是否保持防尘、防烟及其他特殊物品如食品； 是否明文规定禁止在计算机设备旁

25、就餐及吸烟； 是否提供避免下列因素危害备份磁盘及磁带的措施，如极端温度的损害，磁场的影响，水的侵害等。,监理安全管理策略概要,对于应用环境的监理，可以从以下几个方面： （1）火灾的控制 （2）水灾 （3）计算机机房,逻辑访问的安全管理,在逻辑访问控制方面，监理工程师应着重分析并评估项目建设过程中的信息系统策略、组织结构、业务流程及访问控制，以保护信息系统及数据，避免非法访问泄漏或损坏的发生。 监理在逻辑访问风险分析与安全管理上，主要的原则有： 了解信息处理的整体环境并评估其安全需求，可通过审查相关数据，询问有关人员，个人观察及风险评估等； 通过对一些可能进入系统访问路径进行记录及复核，评价这些

26、控制点的正确性、有效性。这种记录及复核包括审核系统软、硬件的安全管理，以确认其控制弱点或重要点； 通过相关测试数据访问控制点，来评价安全系统的功能和有效性； 分析测试结果和其他审核结论，评价访问控制的环境并判断是否达到控制目标； 审核书面策略，观察实际操作和流程，与一般公认的信息安全标准相比较，评价组织环境的安全性及其适当性等。,（1）数据篡改 在原始数据输入计算机之前被篡改。由于这种方法容易实现并在安全技术管理范围之外，故被广泛采用。 （2）特洛伊木马 特洛伊木马是指将一些带有恶意的、欺诈性的代码置于己授权的计算机程序中，当程序启动时这些代码也会启动。典型的例子是在对方的系统中放置木马，自动

27、监控或获取对方的个人信息。特洛伊木马攻击的表现形式对被攻击者来说并不直观，甚至被攻击者根本不知道已经被入侵，因而它是一种危害性很大的网络攻击手段。 （3）去尾法 将交易发生后计算出的金额(如利息)中小数点后的余额(如分)删除并转入某个未经授权的账户，因为金额微小而往往不被注意。 （4）色粒米技术 这是一种类似去尾法的舞弊行为，不同的是将余额切分成更小金额，再转入未授权账户。这种方法与去尾法的差异是:去尾法是去除掉分，例如:若交易金额为$1235954.39，则去尾法的金额为$1235954.35，而色粒米技术是将尾数去除或进位，例如上述问题，则色米粒技术金额为$1235954.30或$1235

28、954.40，其计算方法是由程序设计来决定的。 （5）计算机病毒, 口令入侵 ,网络窃听 ,拒绝服务攻击（DOS）,病毒控制,计算机病毒是当前计算机面临的最严重威胁现象之一。目前预防、侦测病毒感染的方法主要有两种：一种是建立规范严谨的管理策略与管理程序；另外一种是采用技术方法，如防病毒软件。 （1）管理控制的策略有： 安装正版软件； 计算机开机时，切记使用磁盘的写保护功能； 凡是未在单机中做病毒扫描的磁盘不允许在网络环境中使用； 随时更新病毒代码库； 对可能感染病毒的文件做写保护 安装新软件前的杀毒处理 新磁盘使用时做病毒检测； 确保在网络环境中安装、使用几更新防病毒软件； 文件加密和使用前解

29、密； 授权方可更换必要的设备，如路由器、交换机等； 在网络中不使用外单位的设备，如做商务演示时； 备份数据的杀度处理； 定期教育、检查制度的执行情况等。,协助建设单位制定完善的安全策略,为使得安全管理落到实处并持续改进，关于信息安全管理策略的设计及目标包含以下各点： （1） 来自领导的重视，通过对安全观念的宣传与贯彻，管理层必须表现出对安全策略支持到底的决心，尤其针对不了解其重要性的某些部门主管，更要加强培训，确保安全策略的全面整体落实。 （2） 控制原则，系统数据的访问应该建立在“业务需要”的基础上，也就是有业务上需要者才能访问信息系统，并且只能访问应该使用的数据。 （3） 访问控制的授权与

30、核准，为方便用户访问信息系统，负责系统信息正确使用及报告的主管应提供给用户书面授权及使用方法。主管人员应该将此授权直接交给系统安全管理员，以避免此项授权被误用或篡改。 （4） 访问授权的核准与审查，同其他控制点一样，访问控制应该定期审查以确定其有效性。组织结构或人员的改变，恶意破坏，甚至单纯人为疏忽均足以对访问控制的功能造成负面的影响。因此，安全管理员通过相关人员的协助应该定期(至少每年一次)检查评估访问控制规则，任何系统或数据访问超越“业务需要”的原则，均应禁止。 （5） 安全认知及宣传，应通过培训、签订保密协议、安全规定明示、定期检查等对建设单位或承建单位的员工包括管理人员，持续宣传安全的

31、重要性，牢固树立“安全第一”的意识。 （6） 要让每一位涉及信息系统安全的员工切实认识到：熟知安全管理规定；建立安全意识，提高安全警觉，发现违反规定的可疑事件，主动报请安全管理员处理；将登录账号及密码放置在安全的地方，不得转借给他人使用；维持良好安全管理习惯，如出门上锁、不随意泄露门锁号码、妥善保管钥匙，主动询问可疑的陌生人等。 监理工程师还要提醒建设单位：非本单位员工接触有关的信息系统时也必须遵守安全管理规定，包括承建单位的服务人员、程序员、系统分析员、软硬件维修人员和服务厂商的人员等。同时还要注意不应泄露安全数据，提供给员工的安全策略手册不应刊登敏感度高的安全数据，如计算机密码文档名、技术

32、安全架构、基础设施安全措施或系统软件上的盲点等内容。,建议建设单位设立安全管理员并明确其职责,设立专职或兼职的安全管理员，是为了确保系统日常的系统安全，管理员的任务就是负责建立、监控并执行安全管理规定。安全管理员的主要职责和权利有： （1） 必须充分了解系统配置、系统组件本质的安全弱点与安全政策，针对潜在的威胁，安全管理员必须发现可能对系统造成影响的脆弱点。 （2） 口令管理，包括其保护、分发、存储、字符长度与有效期。 （3） 必须分配有足够的系统资源，以便其监控操作更新及任何违反安全的行为。 （4） 在安全策略的指导下，通过口令、用户无法改变的安全标记、会话控制、屏幕锁、软件与操作系统补丁更

33、新以及安全管理等机制建立或运行一个安全系统。 （5） 必须通过监控正确的文档与站点及时掌握系统的潜在弱点，接受已发布的操作系统补丁与计算机应急响应组的建议。 （6） 鉴于职责划分的原则，安全管理员不应负责或介入应用系统的开发与维护，也不应是系统用户、程序员、系统分析员或计算机操作员。,访问控制,访问控制软件可以禁止未经授权的数据访问、系统功能的调用及程序的使用、修改或变更，察觉或防范未经授权使用系统资源的企图。系统安全软件与操作系统互相配合，扮演所有系统安全的中心控制角色，在操作系统之上运作，提供管理数据访问的功能。 （1）系统安全软件通常执行下列工作： 对用户身份的验证； 授权使用预先定义的

34、资源； 限制用户从特定终端设备访问数据； 报告未经授权访问数据及程序的企图。,（2）访问控制软件可以提供下列功能： 用户在网络和子系统层面的登录验证； 用户在应用程序和交易类别的验证； 用户在数据库中的验证； 用户在子系统数据层面的验证。,（3）授权是访问控制软件的最重要部分，有关授权的项目可以分为下列几类： 建立登录账户和用户授权使用的机制； 限制某些特殊账号只能从某些特定的终端设备登录； 在预定时间内的访问； 从预先定义授权程序库中调用程序执行特定任务； 建立访问的规则； 建立个人账户管理和日志审计机制； 数据文档和数据库变更的记录； 登录事件的记录； 记录用户的活动； 记录数据库异常访问

35、活动，监控违规事件； 报告生成及事件通知的功能。,逻辑安全的处理方法,监理工程师在对建设单位提出逻辑安全的处理方法建议时，主要考虑的因素有： 验证技术，即身份认证的方法，设定的基本原则是：只有你知道的事情，如帐号和密码；只有你拥有的东西，如身份证、工作证；只有你具有的特征，如指纹、声音、虹膜等； 帐号和密码，双层控制； 访问日志； 在线日志记录； 生物特征安全访问控制； 终端设备使用限制； 控制拨号访问的回拨技术； 限制并监控系统的安全旁路； 数据保密分级； 保密数据的防护，通过逻辑或物理访问控制来避免未授权人阅读或修改； 设定访问控制的命名规则； 安全测试等。,架构安全的信息网络系统,需要关

36、注的要点有： 由于未授权的变更导致数据和程序的完整性受损； 由于无法维护版本控制而缺乏对现有数据的保护； 由于缺少对用户有效的访问验证及潜在的威胁(如通过拨号连接非法访问局域网等)； 病毒感染； 由于没有遵守“需要知道“的授权原则，而导致数据存在不适当的暴露风险； 侵犯软件版权(如使用盗版或使用超过许可用户数的软件)； 非法进入(如模仿或伪装成一个合法的局域网用户)； 内部用户的非法窃取(Sniffing)； 内部用户的电子欺骗(Spoofing)； 登录的资料被破坏。,有效的网络安全管理有： 声明程序、文件几储存介质的所有权； 限制访问时只能执行写保护； 监理记录及文件锁定以防同时更新； 强

37、制用户执行帐号与密码登录程序，包括密码长度、格式和定期更换的规则等。,防火墙,防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据建设单位的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。,防火墙作为主要的安全产品有以下几种分类方式： 按照采用的防御技术方式，可以分为包过滤防火墙、应用网关防火墙和复合防火墙； 按照防火墙存在形式，可以分为硬件防火墙、软件防火墙和软硬结合防火墙； 按照应用对象类型，可以分为企业级防火

38、墙和个人防火墙； 按照支持网络吞吐能力，可以分为百兆防火墙和千兆防火墙,入侵检测系统执行的主要任务包括： 监视、分析用户及系统活动；审计系统构造和弱点； 识别、反映已知进攻的活动模式，向相关人士报警； 统计分析异常行为模式； 评估重要系统和数据文件的完整性； 审计、跟踪管理操作系统，识别用户违反安全策略的行为。 入侵检测一般分为3个步骤：信息收集、数据分析、响应。 信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息。 数据分析是入侵检测的核心。它首先构建分析器，把收集到的信息经过预处理

39、，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析种手段进行。前两种方法用于实时入侵检测，而完整性分析则用于事后分析。可用种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。 入侵检测系统在发现入侵后会及时作出响应，包括切断网络连接、记录事件和报警等。响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所检测出的问题）两种类型。主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动（如断开连接）、修正系统环境或收

40、集有用信息；被动响应则包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。另外，还可以按策略配置响应，可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。,入侵检测系统可以分为如下几种类型： 基于主机的入侵检测系统，其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。 基于网络的入侵检测系统，其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。 分布式入侵检测系统，能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，系统由多个部件组成，采用分布式结构。,数据备份与灾难恢复的安全管理,原因主要有以下几个方面： 自然灾害，如水灾、火灾、雷击、地震等造成计算

41、机系统的破坏，导致存储数据被破坏或完全丢失； 系统管理员及维护人员的误操作； 计算机设备故障，其中包括存储介质的老化、失效； 病毒感染造成的数据破坏； Internet上“黑客”的侵入和来自内部网的蓄意破坏等。,灾难恢复的意义在于： 降低风险，保证在发生各种不可预料的故障、破坏性事故或其他灾难情况下，能够持续服务，确保业务系统的不间断运行，降低各种损失 ； 在遇到灾难袭击时，最大限度地保护数据的实时性、完整性和一致性，降低数据的损失，快速恢复系统的操作、应用和数据； 提供各种恢复策略的选择，尽量减少数据,备份策略的选择 备份与恢复是一种数据安全策略，通过备份软件把数据备份到磁带上，在原始数据丢

42、失或遭到破坏的情况下，利用备份数据把原始数据恢复出来，使系统能够正常工作。 全备份，将系统中所有的数据信息全部备份； 差分备份，只备份上次备份后系统中变化过的数据信息； 增量备份，只备份上次完全备份后系统中变化过的数据信息,数据备份与恢复技术通常会涉及到以下几个方面： 存储设备：磁盘阵列、磁带、光盘、SAN设备 存储优化：DAS、NAS、SAN 存储保护：磁盘阵列、双机容错、集群、备份与恢复 存储管理：文件与卷管理、复制、SAN管理 备份与恢复技术。,备份方式的选择 硬件备份 硬件备份是指用冗余的硬件来保证系统的连续运行。比如磁盘镜像、磁盘阵列、双机容错等方式。 简单地讲，磁盘镜像（Mirro

43、ring）就是一个原始的设备虚拟技术，它的原理是：系统产生的每个I/O操作都在两个磁盘上执行，而两个磁盘看起来就像一个磁盘一样。有三种方式可以实现磁盘镜像：运行在主机系统的软件，外部磁盘子系统和主机I/O控制器。第一种方式是软件方式，而后两种主要是硬件实现方式。 磁盘阵列（Disk Array）分为软阵列 (Software Raid)和硬阵列 (Hardware Raid) 两种。软阵列即通过软件程序并由计算机的CPU提供运行能力所成。由于软件程序不是一个完整系统，它只能提供最基本的 RAID容错功能。硬阵列是由独立操作的硬件提供整个磁盘阵列的控制和计算功能，不依靠系统的CPU资源。由于硬阵

44、列是一个完整的系统，所有需要的功能均可以做进去，所以硬阵列所提供的功能和性能均比软阵列好，而且，如果你想把系统也做到磁盘阵列中，硬阵列是唯一的选择。,建议建设单位制定灾难恢复计划,为有效进行灾难恢复，需要编制灾难恢复计划。有效地制定灾难恢复计划必须和商业优先权以及现有的IT基础及预算相配合。灾难恢复计划的目的是能够保证在灾难发生时，迅速安装计算机系统，尽快恢复操作，重新开展业务。此外，由于系统安装的资源通常不断更新，如，开发了新的应用、现有系统的改进、人员的离职、新硬件的获取等，也要求恢复计划随之更新。维护恢复计划的目的是减少灾难恢复过程中决策的不确定性，也减少对灾难恢复团队人员的依赖。灾难恢

45、复计划应该是书面材料，它包括如下内容： 鉴别关键应用，确定灾难恢复计划的使命； 数据的备份（全部备份、差分备份或增量备份）； 热站、冷站或温站； 灾难恢复计划的测试或培训； 指定灾难恢复计划负责人； 操作系统、设施和文件的备份； 紧急电话号码列表； 保险； 通信计划； 信息系统和操作文档； 替代工作站点的雇员配置计划； 水与食品的供应； 关键人员职位的备份； 软硬件清单； 采用手工部分对自动步骤进行备份； 与员工签订协议。,灾难恢复计划的监理工作,在对灾难恢复计划进行监理时，需要强调以下几点： 获得管理层的支持，这一点非常重要，因为所有的资金投入都要得到高级管理层的通过。高级管理层的介入可以确

46、保灾难发生时能够从他们那里得到思想和财政上的支持； 召开一次解决方案研讨会，设计组织独有的恢复解决方案并提出项目实现计划，探讨如何实施在解决方案研讨会中所提出的项目计划； 选定负责人，潜在的人选包括业务主管、数据中心主管甚至是基础设施管理人员； 进行业务影响分析，鉴别关键的业务过程，评估重要恢复点和恢复时间目标以及IT环境。并围绕组织所有的关键部分制定计划，包括人员、设备、连通性、数据、应用、访问等； 评定保持业务持续性的战略，这项评定包括公司内部有代表性的远程站点和外部供应商提供的冷站； 进行恢复功能测试和灾难恢复模拟，保证在组织所规定的时间内完成恢复，并进行评审； 一旦计划制定，组织全体人

47、员都应熟悉此项计划，便于灾难发生时，每个人都能迅速各施其职； 提供全面的备援中心设施：UPS、备份设备、消防系统、以及烟雾/水探测系统。并确保备援中心安全，提供进入机房的身份鉴定、安全保卫措施，并确保备援中心可用性和现场操作支持； 灾难恢复计划应以文档记录，在工作人员之间共享，并应该进行灾难计划的测试以及升级。保证计划在灾难发生时必须是易于访问和执行； 在系统上装载和运行必需的工具来衡量恢复解决方案的要求； 保证解决方案中的所有硬件、软件和网络部件的可用性； 提供可扩展的容量来满足组织的预期工作负荷。,第11讲的回顾,11.1信息系统安全概论 11.1.1信息系统安全定义与认识 11.1.2信息系统安全的属性 11.1.3信息安全管理的重要性 11.1.4架构安全管理体系 11.2监理在信息安全管理中的作用 11.2.1监理督促建设单位进行信息安全管理的教育 11.2.2监理督促建设单位进行信息安全规划 11.2.3安全管理制度与监理实施 11.3信息系统安全管理分析与对策 11.3.1物理访问的安全管理 11.3.2应用环境的安全管理 11.3.3逻辑访问的安全管理 11.3.4架构安全的信息网络系统 11.3.5数据备份与灾难恢复的安全管理,