管理信息系統(tǒng) 課件 -第9章 管理信息系統(tǒng)安全

第9章管理信息系統(tǒng)安全學(xué)習(xí)目標(biāo)-2-1．理解信息安全的基本內(nèi)容2．熟悉信息安全的主流技術(shù)3．了解信息安全的法律和法規(guī)9.1信息安全的基本概念9.3信息安全法律和法規(guī)9.2信息安全技術(shù)信息安全是指保證信息系統(tǒng)資源不受自然和人為等有害因素的威脅和危害由于管理信息系統(tǒng)既是一個(gè)技術(shù)系統(tǒng)，又是一個(gè)社會(huì)系統(tǒng)，因此，其安全問(wèn)題不僅涉及到技術(shù)，還涉及到社會(huì)人文環(huán)境，如法律法規(guī)建設(shè)、社會(huì)道德、倫理、文化管理等多方面的問(wèn)題9.1.1信息安全的基本概念管理信息系統(tǒng)安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷管理信息系統(tǒng)的安全包括有兩部分的內(nèi)容系統(tǒng)自身的安全系統(tǒng)的安全保護(hù)9.1.1信息安全的基本概念管理信息系統(tǒng)安全管理的目標(biāo)：信息的真實(shí)性：系統(tǒng)的信息資源真實(shí)、可靠信息的保密性：信息資源必須按照擁有者的要求保密，防止信息在沒(méi)有授權(quán)的情況下被訪(fǎng)問(wèn)信息的完整性：信息在存儲(chǔ)和傳輸過(guò)程中，不能被非法地篡改、破壞，也不能被偶然、無(wú)意地修改信息的可用性：指在任何情況下，經(jīng)過(guò)授權(quán)的用戶(hù)能存取所需的信息，并能夠享受到系統(tǒng)提供的服務(wù)，保證合法用戶(hù)對(duì)信息資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^不可否認(rèn)性：信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，接收方不能否認(rèn)已接收到的信息信息的可控制性：信息的可控制性是指對(duì)信息的傳播及內(nèi)容具有控制能力信息的可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段9.1.1信息安全的基本概念影響管理信息系統(tǒng)安全的因素環(huán)境、自然條件的影響：如水災(zāi)、火災(zāi)、地震、雷電、強(qiáng)磁場(chǎng)、強(qiáng)電子脈沖等危害通信網(wǎng)絡(luò)的原因：搭線(xiàn)竊聽(tīng)，遠(yuǎn)程監(jiān)控、攻擊破壞，有可能來(lái)自與網(wǎng)絡(luò)相通的任何地點(diǎn)、任何終端信息技術(shù)本身的不完善信息技術(shù)犯罪手段日趨先進(jìn)敵對(duì)勢(shì)力的攻擊9.1.1信息安全的基本概念個(gè)人信息安全是指公民身份、財(cái)產(chǎn)等個(gè)人信息的安全狀況。個(gè)人信息主要包括以下類(lèi)別：基本信息：為了完成大部分網(wǎng)絡(luò)行為，消費(fèi)者會(huì)根據(jù)服務(wù)商要求提交包括姓名、性別、年齡、身份證號(hào)碼、電話(huà)號(hào)碼、Email地址及家庭住址等在內(nèi)的個(gè)人基本信息，有時(shí)甚至?xí)ɑ橐?、信仰、職業(yè)、工作單位、收入等相對(duì)隱私的個(gè)人基本信息設(shè)備信息：消費(fèi)者所使用的各種計(jì)算機(jī)終端設(shè)備（包括移動(dòng)和固定終端）的基本信息，如位置信息、WiFi列表信息、Mac地址、CPU信息、內(nèi)存信息、SD卡信息、操作系統(tǒng)版本等賬戶(hù)信息：包括網(wǎng)銀帳號(hào)、第三方支付帳號(hào)，社交帳號(hào)和重要郵箱帳號(hào)等隱私信息：包括通訊錄信息、通話(huà)記錄、短信記錄、IM應(yīng)用軟件聊天記錄、個(gè)人視頻、照片等社會(huì)關(guān)系信息：包括好友關(guān)系、家庭成員信息、工作單位信息等網(wǎng)絡(luò)行為信息：上網(wǎng)行為記錄，消費(fèi)者在網(wǎng)絡(luò)上的各種活動(dòng)行為，如上網(wǎng)時(shí)間、上網(wǎng)地點(diǎn)、輸入記錄、聊天交友、網(wǎng)站訪(fǎng)問(wèn)行為、網(wǎng)絡(luò)游戲行為等個(gè)人信息9.1.2信息系統(tǒng)與個(gè)人信息安全加密技術(shù)是實(shí)現(xiàn)信息保密性的一種重要手段，目的是防止合法接受者之外的人獲取信息系統(tǒng)的機(jī)密信息。所謂信息加密技術(shù)就是采用數(shù)學(xué)方法對(duì)原始信息（明文M）進(jìn)行重新編碼（加密），使得加密后的信息在網(wǎng)上公開(kāi)傳輸?shù)膬?nèi)容對(duì)于非法接收者是一種不可理解的形式（密文Mˊ）。而對(duì)于合法接收者可用掌握的正確密鑰對(duì)密文進(jìn)行加密逆運(yùn)算過(guò)程（解密），即將密文還原成原始信息（明文）。9.2.1信息加密技術(shù)加密技術(shù)包括兩個(gè)元素：算法和密鑰。算法（如：T(M，K)）是將明文（M）加密或解密的一步一步的過(guò)程。這個(gè)過(guò)程需要一串?dāng)?shù)字的結(jié)合，這串?dāng)?shù)字就是密鑰（如：K）。算法和密鑰在加密和解密過(guò)程中缺一不可。由于設(shè)計(jì)加密算法是很困難的，不可能給出大量的加密算法，但是我們可以通過(guò)密鑰的變化來(lái)達(dá)到向多個(gè)信息接收方發(fā)送密文的需要，也就是說(shuō)加密技術(shù)的關(guān)鍵是密鑰。如果密文被破譯，也只需換一個(gè)密鑰就能解決問(wèn)題。9.2.1信息加密技術(shù)密碼體制分類(lèi)私鑰加密系統(tǒng)又稱(chēng)為對(duì)稱(chēng)密鑰系統(tǒng)，即私鑰加密的加密密鑰和解密密鑰是相同，加密算法與解密算法互為逆運(yùn)算。私鑰加密體制的典型代表是美國(guó)的數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，DES）。9.2.1信息加密技術(shù)密碼體制分類(lèi)公鑰和私鑰加密系統(tǒng)（又稱(chēng)為非對(duì)稱(chēng)密鑰系統(tǒng)）。該系統(tǒng)使用兩個(gè)鑰匙，其中一個(gè)用于加密（稱(chēng)為公鑰），另一個(gè)用于解密（稱(chēng)為私鑰）。非對(duì)稱(chēng)加密算法以RSA算法最為代表性，是由Rivest、Shamir、Ad1eman發(fā)明的。非對(duì)稱(chēng)的密鑰是成對(duì)出現(xiàn)的兩個(gè)巨大的質(zhì)數(shù)，用其中的一個(gè)質(zhì)數(shù)（公鑰）與原信息相乘，對(duì)信息加密形成密文?？梢杂昧硪粋€(gè)質(zhì)數(shù)（私鑰）與收到的信息（密文）相乘來(lái)解密。而任何一個(gè)人都不能由一個(gè)質(zhì)數(shù)求出另一個(gè)質(zhì)數(shù)，也就是說(shuō)非對(duì)稱(chēng)算法是不可逆的。9.2.1信息加密技術(shù)認(rèn)證與認(rèn)證系統(tǒng)是為了防止消息被篡改、刪除、重放和偽造的一種有效方法，使接收者能夠識(shí)別和確認(rèn)消息的真?zhèn)握J(rèn)證是信息安全的一個(gè)重要方面，加密保證了交易信息的機(jī)密性，認(rèn)證則保證了信息的真實(shí)性、完整性和不可否認(rèn)性一個(gè)安全的認(rèn)證系統(tǒng)應(yīng)滿(mǎn)足防偽造、防抵賴(lài)、防竊聽(tīng)、防篡改的要求9.2.2認(rèn)證技術(shù)用戶(hù)的身份認(rèn)證可以通過(guò)三種基本方式或其組合的方式來(lái)實(shí)現(xiàn)個(gè)人所掌握的密碼、口令等。個(gè)人的身份證、護(hù)照、信用卡、鑰匙等個(gè)人特征：包括容貌、膚色、發(fā)質(zhì)、身材、姿勢(shì)、手印、指紋、腳印、唇印、顱相、口音、腳步聲、體味、視網(wǎng)膜、血型、遺傳因子、筆跡、習(xí)慣性簽字、打字韻律，以及在外界刺激下的反應(yīng)等9.2.2認(rèn)證技術(shù)信息摘要技術(shù)信息摘要方法也稱(chēng)安全Hash編碼法或MD5，用來(lái)驗(yàn)證信息的完整性信息摘要是單向Hash加密算法對(duì)一個(gè)信息作用的結(jié)果，它有固定的長(zhǎng)度，且是唯一對(duì)應(yīng)該消息的值發(fā)送端將信息和摘要一同發(fā)送，接收端收到后，用Hash函數(shù)對(duì)收到的信息加密產(chǎn)生一個(gè)摘要，再與收到的摘要對(duì)比，若相同，則說(shuō)明收到的信息是完整的，在傳送的過(guò)程中沒(méi)有被修改，否則，就是被修改過(guò)，不是原信息9.2.2認(rèn)證技術(shù)數(shù)字簽名技術(shù)數(shù)字簽名必須保證以下三點(diǎn)：接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名；發(fā)送者事后不能抵賴(lài)對(duì)報(bào)文的簽名；接收者不能偽造對(duì)報(bào)文的簽名。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要，然后用Hash函數(shù)對(duì)收到的原文產(chǎn)生一個(gè)摘要，與解密的摘要對(duì)比，若相同，則說(shuō)明收到的信息是完整的，在傳送的過(guò)程中沒(méi)有被修改，否則，就是被修改過(guò)，不是原信息。同樣，也證明發(fā)送者不能否認(rèn)自己發(fā)送了信息9.2.2認(rèn)證技術(shù)數(shù)字時(shí)間戳技術(shù)交易文件中，時(shí)間和簽名一樣是十分重要的證明文件有效性的內(nèi)容數(shù)字時(shí)間戳就是用來(lái)證明消息的收發(fā)時(shí)間的數(shù)字時(shí)間戳的形成過(guò)程是：首先用戶(hù)將需要加時(shí)間戳的文件用Hash函數(shù)加密生成摘要，然后將摘要發(fā)送到專(zhuān)門(mén)提供數(shù)字時(shí)間戳服務(wù)的權(quán)威機(jī)構(gòu)，該機(jī)構(gòu)對(duì)原摘要加上時(shí)間后進(jìn)行數(shù)字簽名（用私鑰加密），并發(fā)送給原用戶(hù)9.2.2認(rèn)證技術(shù)數(shù)字證書(shū)技術(shù)認(rèn)證中心（CA）：認(rèn)證中心構(gòu)建一套由公開(kāi)密鑰技術(shù)、數(shù)字證書(shū)、證書(shū)發(fā)放機(jī)構(gòu)和關(guān)于公開(kāi)密鑰的安全策略基本成分共同組成的安全技術(shù)系統(tǒng)，這套系統(tǒng)稱(chēng)之為公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）。PKI采用數(shù)字證書(shū)管理公鑰，它把用戶(hù)的公鑰和用戶(hù)的其它標(biāo)記信息捆綁在一起，在Internet上驗(yàn)證用戶(hù)的身份認(rèn)證中心的數(shù)字認(rèn)證系統(tǒng)主要由以下三部分組成：在客戶(hù)端面向證書(shū)用戶(hù)的數(shù)字證書(shū)申請(qǐng)、查詢(xún)和下載系統(tǒng)；在注冊(cè)審批（RA）部門(mén)由RA管理員對(duì)證書(shū)申請(qǐng)進(jìn)行審批的證書(shū)授權(quán)系統(tǒng)；在認(rèn)證部門(mén)的控制臺(tái)，簽發(fā)用戶(hù)證書(shū)的證書(shū)簽發(fā)系統(tǒng)。數(shù)字認(rèn)證中心具有五種基本功能：證書(shū)的頒發(fā)、更新、查詢(xún)、歸檔和作廢，解決網(wǎng)上用戶(hù)身份認(rèn)證和信息安全傳輸?shù)膯?wèn)題9.2.2認(rèn)證技術(shù)數(shù)字證書(shū)數(shù)字證書(shū)又稱(chēng)為數(shù)字標(biāo)識(shí)，是標(biāo)識(shí)證書(shū)持有者信息的一系列數(shù)據(jù)。它提供了一種在互聯(lián)網(wǎng)上身份驗(yàn)證的方式，是用來(lái)標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。通俗地講，數(shù)字證書(shū)就是個(gè)人或單位在互聯(lián)網(wǎng)的身份證。數(shù)字證書(shū)包含以下的內(nèi)容：證書(shū)擁有者的姓名證書(shū)擁有者的公鑰公鑰的有效期頒發(fā)數(shù)字證書(shū)的單位頒發(fā)數(shù)字證書(shū)的單位的簽名數(shù)字證書(shū)序列號(hào)9.2.2認(rèn)證技術(shù)按照數(shù)字證書(shū)的頒發(fā)對(duì)象不同，數(shù)字證書(shū)主要分為：個(gè)人數(shù)字證書(shū)：僅僅為某個(gè)用戶(hù)提供憑證，以幫助其個(gè)人在網(wǎng)絡(luò)上進(jìn)行安全交易操作。個(gè)人數(shù)字證書(shū)主要用于標(biāo)識(shí)證書(shū)所有人的身份，包含了個(gè)人的身份信息及其公鑰，如用戶(hù)姓名、證件號(hào)碼、身份類(lèi)型等，可用于個(gè)人在網(wǎng)上進(jìn)行合同簽定、定單、錄入審核、操作權(quán)限、支付信息等活動(dòng)機(jī)構(gòu)數(shù)字證書(shū)：用于標(biāo)識(shí)數(shù)字證書(shū)機(jī)構(gòu)所有者的身份，包含機(jī)構(gòu)的相關(guān)信息及其公鑰，如：企業(yè)名稱(chēng)、組織機(jī)構(gòu)代碼等，可用于機(jī)構(gòu)在電子商務(wù)、電子政務(wù)應(yīng)用中進(jìn)行合同簽訂、網(wǎng)上支付、行政審批、網(wǎng)上辦公等各類(lèi)活動(dòng)設(shè)備數(shù)字證書(shū)：用于在網(wǎng)絡(luò)應(yīng)用中標(biāo)識(shí)網(wǎng)絡(luò)設(shè)備的身份，主要包含了設(shè)備的相關(guān)信息及其公鑰，如：域名、網(wǎng)址等，可用于VPN服務(wù)器、WEB服務(wù)器等各種網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)通訊中標(biāo)識(shí)和驗(yàn)證設(shè)備身份軟件（開(kāi)發(fā)者）數(shù)字證書(shū)：它是簽發(fā)給軟件提供者的數(shù)字證書(shū)，包含了軟件提供者的身份信息及其公鑰，主要用于證明軟件發(fā)布者所發(fā)行的軟件代碼來(lái)源于一個(gè)真實(shí)軟件發(fā)布者，可以有效防止軟件代碼被篡改9.2.2認(rèn)證技術(shù)為了保護(hù)企業(yè)內(nèi)部信息資源的安全，一般如下三方面采取措施：防止外部入侵，控制和監(jiān)督外部用戶(hù)對(duì)企業(yè)的內(nèi)部網(wǎng)的非法訪(fǎng)問(wèn)控制、監(jiān)督和管理企業(yè)內(nèi)部對(duì)外部Internet的訪(fǎng)問(wèn)檢測(cè)、記錄網(wǎng)絡(luò)內(nèi)部用戶(hù)的未授權(quán)活動(dòng)9.2.3防火墻技術(shù)防火墻技術(shù)就是用來(lái)保護(hù)內(nèi)部的網(wǎng)絡(luò)不受來(lái)自外界的侵害，主要用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)路由的安全性。網(wǎng)絡(luò)路由的安全性包括兩個(gè)方面：限制外部網(wǎng)對(duì)內(nèi)部網(wǎng)的訪(fǎng)問(wèn)，從而保護(hù)內(nèi)部網(wǎng)特定資源免受非法侵害。限制內(nèi)部網(wǎng)對(duì)外部網(wǎng)的訪(fǎng)問(wèn)，主要是針對(duì)一些不健康信息及敏感信息的訪(fǎng)問(wèn)。防火墻，是指一個(gè)由軟件和硬件設(shè)備組合而成的，在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的一個(gè)保護(hù)層，并強(qiáng)制所有的連接都必須在這個(gè)保護(hù)層上進(jìn)行檢查和連接。9.2.3防火墻技術(shù)防火墻可以劃分為兩種類(lèi)型：一種是基于包過(guò)濾，另一種是基于代理服務(wù)包過(guò)濾防火墻：包過(guò)濾防火墻可以動(dòng)態(tài)檢查流過(guò)的TCP/IP報(bào)文頭，檢查報(bào)文頭中的報(bào)文類(lèi)型、源IP地址、目的IP地址、源端口號(hào)等域，根據(jù)規(guī)則決定哪些報(bào)文允許通過(guò)，哪些報(bào)文禁止通過(guò)9.2.3防火墻技術(shù)代理服務(wù)型防火墻：代理服務(wù)型防火墻使用一個(gè)客戶(hù)程序與特定的中間結(jié)點(diǎn)（防火墻）連接，然后中間結(jié)點(diǎn)與服務(wù)器進(jìn)行連接，在內(nèi)部網(wǎng)和外部網(wǎng)之間建立一個(gè)物理屏障。9.2.3防火墻技術(shù)復(fù)合型防火墻：這種防火墻是把前兩類(lèi)防火墻結(jié)合起來(lái)，形成新的產(chǎn)品，以發(fā)揮各自的優(yōu)勢(shì)，克服各自的缺點(diǎn)，來(lái)滿(mǎn)足更高安全性的要求。防火墻技術(shù)的優(yōu)點(diǎn)保護(hù)那些易受攻擊的服務(wù)控制對(duì)特殊站點(diǎn)的訪(fǎng)問(wèn)集中化的安全管理對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)進(jìn)行記錄9.2.3防火墻技術(shù)美國(guó)：1946年《原子能法》1947年《國(guó)家安全法》1966年《信息自由法》2000年《關(guān)于保護(hù)信息系統(tǒng)的國(guó)家計(jì)劃》2009年《美國(guó)網(wǎng)絡(luò)安全評(píng)估》2011年《可信網(wǎng)絡(luò)空間身份標(biāo)識(shí)國(guó)家戰(zhàn)略》（正式稿）和《網(wǎng)絡(luò)空間國(guó)際戰(zhàn)略》9.3.1國(guó)外相關(guān)法律與法規(guī)日本：2010年《保衛(wèi)國(guó)民信息安全戰(zhàn)略2010-2013》歐盟：通過(guò)立法強(qiáng)調(diào)防范恐怖襲擊和網(wǎng)絡(luò)犯罪，保護(hù)信息基礎(chǔ)設(shè)施等俄羅斯：明確建立信息安全保障體系，在國(guó)際上協(xié)同相關(guān)國(guó)家制定信息安全國(guó)際規(guī)則韓國(guó)：《國(guó)家網(wǎng)絡(luò)安全總體規(guī)劃》要求建立“三線(xiàn)防御體系”。聯(lián)合國(guó)：從國(guó)際安全層面關(guān)注信息安全，成立政府專(zhuān)家組，強(qiáng)調(diào)各國(guó)的協(xié)同合作。9.3.1國(guó)外相關(guān)法律與法規(guī)相關(guān)法律2000年《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》2012年《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》2016年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》2018年《中華人民共和國(guó)電子商務(wù)法》2019年《中華人民共和國(guó)電子簽名法》（2019年修正）9.3.2國(guó)內(nèi)相關(guān)法律與法規(guī)行政法規(guī)《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》《中華人民共和國(guó)無(wú)線(xiàn)電管制規(guī)定》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《計(jì)算機(jī)軟件保護(hù)條例》《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》《中華人民共和國(guó)電信條例》《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所管理?xiàng)l例》9.3.2國(guó)內(nèi)相關(guān)法律與法規(guī)閱讀案例：信息系統(tǒng)安全案例根據(jù)提供的背景資料，收集相關(guān)數(shù)據(jù)和資料，對(duì)下面的問(wèn)題的進(jìn)行分析。1．查閱相關(guān)資料，分析信息系統(tǒng)運(yùn)行安全威脅來(lái)自那些方面？2．從技術(shù)和非技術(shù)兩方面分析產(chǎn)生信息安全威脅的原因。3．查閱相關(guān)資料，分析和匯總當(dāng)前防范信息系統(tǒng)安全的措施有哪些？我們應(yīng)當(dāng)如何應(yīng)對(duì)信息系統(tǒng)的安全問(wèn)題？4.部分網(wǎng)站要求你同意同意或接受其Cookie的使用，你如何看待Cookie？5.根據(jù)案例談?wù)勀銓?duì)個(gè)人信息安全的認(rèn)識(shí)，如何