四、信息系统安全的描述
1、信息系统的安全:
信息系统安全:是指“保障计算机及其相关的和配套的设备、设施(含网络)的安全以及运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。(1994年2月8日国务院《中华人民共和国计算机信息系统安全保护条例》)
信息系统的安全就是为了防止系统外部对系统资源(特别是信息资源)不合法的使用和访问,保证系统的硬件、软件和数据不因偶然的或人为的因素而遭受破坏、泄露、修改或复制,维护正当的信息活动,保证信息系统安全运行而采取的手段。
2、信息系统的安全性主要体现在以下几个方面:
(1)保密性:对信息有存储、传输进行保护,确保信息不暴露给未授权的实体或进程。
(2)可控制性:可以控制授权范围内的信息流向及行为方式。
(3)可审查性:对出现的系统安全问题提供调查的依据和手段。
(4)抗攻击性:对来自系统外部的非法用户进入系统进行访问、窃取系统资源和破坏系统,特别是对信息资源不合法的使用和访问,或有意、无意的破坏的抵抗能力。
● 信息系统的自身保护机制等问题要放在首要位置考虑。
五、信息系统的安全策略和措施
从信息系统安全的描述中主要包含两方面的含义:一是防止实体和信息遭受破坏而使系统不能正常工作;二是防止信息被泄露和窃取。因此,信息系统采取的安全策略主要包括四个方面:法规保护、行政管理、人员教育、技术措施。
1、法规保护:大体分成社会规范和技术规范两大类。
○社会规范:是调整信息活动中人与人之间的行为准则。
合法的信息活动受到法律保护,并且应当遵循以下原则:
(1)合法信息系统原则。
(2)合法用户原则。
(3)信息公开原则。
(4)信息利用原则。
(5)资源限制原则。
○技术规范:是高速人与计算机之间关系的准则。
其内容应包括各种技术标准和规程,如计算机安全标准、网络安全标准、操作系统安全标准、数据和信息安全标准、电磁兼容性标准、电磁泄漏极限等。
2、行政管理:
为维护系统安全而建立和制定的规章制度和职能机构。主要有:
(1)组织及人员制度。
(2)运行维护和管理制度。
(3)计算机处理的控制与管理制度。
(4)机房保卫制度。
(5)对各种凭证、账表、资料要妥善保管,严格控制。
(6)记帐要交叉利复核,各类人员所掌握的资料要与其身份相适应。
(7)做信息处理用的机器要专机专用,不允许兼作其他用机。
3、人员教育。
4、技术措施。
技术措施是信息系统安全的重要保障。安全技术措施贯穿于系统分析、设计、运行和维护及管理的各个阶段。
六、信息系统的安全技术
信息系统的安全技术主要馀以下几个方面:实体安全、数据安全、软件安全、网络安全、安全管理、病毒防治等。
1、实体安全:
主要包括以下内容:
(1)专场环境安全
(2)设备安全
① 防电磁泄露。抑制信息外泄的方法有以下几种:
采用电子屏蔽技术来掩饰计算机的工作状态和保护信息。
采用物理抑制技术:一种方法是对线路单元、设备乃至系统进行屏蔽;一种方法是从线路和元器件入手,从根本上解决计算机及外部设备向外辐射的电磁波。
② 搞电磁干扰。抑制电磁干扰的基本方法主要有:
电磁屏蔽
接地系统
电源系统
(3)存储介质安全
2、数据安全(第二节)
3、软件安全(第三节)
4、网络安全(第四节)
5、安全管理(第五节)
6、病毒防止(第六节)