信息系统安全与保密第一章
计算机信息系统保密管理规定
计算机信息系统保密管理规定______公司计算机信息系统保密管理规定编制:审核:批准:_____公司计算机信息系统保密管理规定第一章总则第一条为保护计算机信息系统处理的国家秘密信息安全,根据国保发(1998)1号文件精神,依照BMB17-20__6《涉及国家秘密的信息系统分级保护技术要求》、BMB20-20__7《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。
第二条本规定适用于公司涉密信息系统的运行管理,规定所称的计算机信息系统由本单位的各类涉密计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。
第三条本规定包括:信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。
第四条计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。
严禁涉密信息系统直接或间接连接互联网及其他公共网络;严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。
第五条保密办公室负责公司各部门计算机信息系统安全工作的监督和检查,发现问题,及时提出并督促整改。
各部门负责本部门计算机信息系统及涉密信息的安全保密工作。
第二章台账、维修、报废管理第六条本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理,涵盖本单位的各类计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等。
第七条各部门应建立本部门计算机和信息系统分台账。
由各部门负责统计、维护和管理。
第八条台账应以电子和文档版本形式存在,总台账和分台账内容应当吻合,并与实物相符,发现问题实时更新台账,保证台账与实物相符。
第九条台账信息按照设备分类,应包含以下信息:㈠计算机台账应当包含:密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IP地址、MAC地址和使用情况(包含再用、停用、报废、销毁等);见附表九。
公司信息系统安全及保密管理制度 Microsoft Office Word 文档
公司信息系统安全及保密管理制度第一章总则第一条为建设好公司信息化系统,保护公司信息资源,保证公司计算机网络信息系统安全,为公司安全顺利生产运行保驾护航,结合公司实际情况,特制定本制度。
第二条公司信息安全管理体系分为三级:运营改善部为信息安全管理中心,是第一级;各部门为分管单位,是第二级;各终端用户是第三级。
第三条本办法适用于公司各单位和接入公司局域网的相关单位和个人。
第二章职责分工第四条公司运营改善部负责公司范围内的信息安全系统的统一管理,结合总公司的要求组织部署公司信息安全系统并承担日常管理工作。
负责联络和组织安全管理人员、技术专家和安全产品厂家代表解决特殊或紧急情况。
(一)组织制定企业信息化建设规划中有关信息安全的内容。
(二)组织落实公司信息系统安全等级保护和信息安全风险评估等工作。
(三)负责企业专网内各信息系统及用户访问互联网的安全监督、访问控制策略的制定、用户分类及访问权限的审批等。
(四)负责公司各单位接入企业专网的各项信息化软硬件设施、应用系统及安全环境的检查。
(五)根据企业管理的要求,确定要害信息系统及相关设备;负责企业专网系统各项安全策略的制定及权限的审批。
(六)负责检查督促使用公司企业专网的各单位建立信息系统安全管理组织,明确组织的负责人和管理的责任人。
(七)负责组织对公司企业专网范围内的信息系统安全情况进行检查,落实有关信息安全方面的法律法规,督促开展对于信息安全隐患的整改工作。
(八)处理违反公司信息系统安全管理有关规定的事件和行为,配合公安机关及保卫部门查处危害企业网络和信息系统安全的违法犯罪案件。
(九)履行法律、法规、制度规定的其他有关网络信息系统安全保护方面的管理职责。
(十)配合上级单位的全局安全策略的实施工作;并结合公司的实际情况实施安全策略,审批相应的管理权限、制定相应的管理策略。
第五条公司各单位负责本单位信息化设备及系统的信息安全管理工作,职责为:(一)教育职工遵守内网信息系统安全制度的各项规定。
计算机信息系统保密管理规定(四篇)
计算机信息系统保密管理规定第一章总则第一条为加强计算机信息系统的保密管理,维护国家信息安全和社会公共利益,保护计算机信息系统中的重要信息和数据资源,制定本规定。
第二条本规定适用于使用计算机信息系统进行信息处理、传输、存储等活动的各类组织机构和个人。
第三条计算机信息系统保密管理应当坚持统筹规划、综合治理的原则,建立分工协作、职责明确的保密管理机制。
第四条计算机信息系统的保密管理工作应当遵循法律法规、技术标准和保密要求。
第二章保密责任和义务第五条计算机信息系统的管理者应当对计算机信息系统的安全进行全面负责,并确保相关人员按照规定履行保密责任和义务。
第六条计算机信息系统的使用者应当按照规定使用计算机信息系统,并严格遵守保密规定,保护计算机信息系统中的重要信息和数据资源。
第七条计算机信息系统的维护人员应当按照规定维护计算机信息系统的安全,做好防护工作,并及时发现和处理安全漏洞。
第八条计算机信息系统的管理者、使用者和维护人员应当经过保密教育培训,掌握必要的保密知识和技能。
第三章保密措施和技术要求第九条计算机信息系统应当采取适当的技术和管理措施,保护计算机信息系统中的重要信息和数据资源。
第十条计算机信息系统应当配置防火墙、入侵检测系统等安全设备,确保计算机信息系统的安全性。
第十一条计算机信息系统应当采取有效的身份认证和访问控制机制,限制非授权访问。
第十二条计算机信息系统应当定期进行安全评估和风险分析,及时修复存在的安全隐患。
第十三条计算机信息系统应当备份重要数据和信息,确保数据的可靠性和完整性。
第四章保密事件和应急处置第十四条发生计算机信息系统的保密事件,应当及时报告上级主管部门和保密管理机构,并采取相应的应急处置措施。
第十五条对于计算机信息系统的安全事故,应当及时调查处理,并追究相关人员的责任。
第十六条计算机信息系统的保密事件和应急处置应当按照国家相关法律法规和技术标准进行。
第五章监督检查和处罚第十七条计算机信息系统的保密管理工作应当受到上级主管部门和保密管理机构的监督检查。
信息安全保密管理制度条例全文
第一章总则第一条为了加强公司信息安全保密管理,保障公司信息安全,防止信息泄露,维护公司合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国保密法》等相关法律法规,结合公司实际情况,制定本制度。
第二条本制度适用于公司所有信息系统、网络、设备、数据以及涉及公司秘密的文档、资料等。
第三条公司信息安全保密管理工作遵循以下原则:(一)依法管理:严格遵守国家有关信息安全保密的法律法规,确保信息安全保密工作的合法性、合规性。
(二)安全可控:确保信息系统、网络、设备等安全可控,防止信息泄露、篡改、破坏等安全事件发生。
(三)责任明确:明确各部门、各岗位在信息安全保密工作中的职责,确保信息安全保密工作落到实处。
(四)持续改进:不断优化信息安全保密管理体系,提高信息安全保密水平。
第二章组织与管理第四条公司成立信息安全保密工作领导小组,负责公司信息安全保密工作的组织、协调、监督和指导。
第五条信息安全保密工作领导小组下设信息安全保密办公室,负责日常信息安全保密工作的具体实施。
第六条各部门、各岗位应按照本制度要求,履行信息安全保密工作职责,确保信息安全保密工作落到实处。
第三章信息安全保密措施第七条信息系统安全:(一)信息系统建设应符合国家相关标准,确保系统安全可靠。
(二)信息系统应定期进行安全评估,及时消除安全隐患。
(三)信息系统应设置防火墙、入侵检测系统等安全防护措施,防止外部攻击。
(四)信息系统应设置用户权限管理,限制用户访问权限。
第八条网络安全:(一)网络设备应定期进行安全检查,确保设备安全可靠。
(二)网络应设置访问控制策略,限制非法访问。
(三)网络应定期进行安全审计,及时发现和处理安全隐患。
(四)网络应采取数据加密、安全传输等措施,确保数据传输安全。
第九条设备安全:(一)公司应采购符合国家相关标准的安全设备。
(二)设备应定期进行安全检查,确保设备安全可靠。
(三)设备应设置访问控制策略,限制非法访问。
第十条数据安全:(一)数据应进行分类分级,确保敏感数据得到有效保护。
信息系统安全保密制度(四篇)
信息系统安全保密制度信息系统的安全保密工作是保证数据信息安全的基础,同时给全院的信息安全保密工作提供了一个工作指导。
为了加强我院信息系统的安全保密管理工作,根据上级要求,结合我院的实际情况,现制定如下制度:第一章总则第一条____学院校园网和各个信息系统的服务对象是学校教学、科研和管理机构,全校教职工和学生,以及其他经学校授权的单位及个人。
第二条我院内任何部门及个人不得利用校园网危害国家安全、泄露国家____,不得侵犯国家、社会、____利益和个人的合法权益,不得从事违法犯罪活动。
第三条未经批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内。
未经批准,任何数据业务运营商或电信代理商不得擅自进入____信息职业技术学院内进行工程施工,开展因特网业务。
第四条各部门应按照国家信息系统等级保护制度的相关法律法规、标准规范的要求,落实信息系统安全等级保护制度。
第五条各部门要规范信息维护、信息管理、运行维护等方面的工作流程和机制,指定专人负责系统运行的日常工作,做好用户授权等管理服务工作。
第二章数据安全第六条本制度中的数据是指各类信息系统所覆盖的所有数据,包括档案管理系统、财务管理系统、资产管理系统、安防监控系统以及学院网站等网站和系统的所有数据。
第七条各部门要及时补充和更新管理系统的业务数据,确保数据的完整性、时效性和准确性。
第八条各部门要保证信息系统安全和数据安全,制定重要数据库和系统主要设备的容灾备案措施。
记录并保留至少____天系统维护日志。
各系统管理员和个人要妥善保管好账号和____,定期更新____,防止____外泄。
第九条保证各系统相关数据安全。
各部门和系统管理人员,要对自己所管理的数据负责,保证数据安全,防止数据泄漏。
第十条学校数据信息主要用于教学、科研、管理、生活服务等,申请数据获取的单位有义务保护数据的隐秘性,不得将数据信息用于申请用途外的活动。
第十一条未经批准,任何部门和个人不得擅自提供信息系统的内部数据。
系统安全保密管理制度
第一章总则第一条为加强我单位信息系统的安全保密管理,确保信息系统安全稳定运行,防止信息泄露和非法侵入,根据《中华人民共和国保守国家秘密法》、《中华人民共和国网络安全法》等相关法律法规,结合我单位实际情况,制定本制度。
第二条本制度适用于我单位所有信息系统,包括但不限于内部办公系统、业务系统、网络系统等。
第三条系统安全保密管理遵循以下原则:1. 预防为主、防治结合;2. 依法管理、技术保障;3. 责任明确、奖惩分明。
第二章组织机构与职责第四条成立信息系统安全保密工作领导小组,负责统筹协调、监督指导全单位信息系统安全保密工作。
第五条信息安全管理部门负责以下工作:1. 制定信息系统安全保密管理制度;2. 组织实施信息系统安全保密措施;3. 开展信息系统安全保密培训和宣传;4. 监督检查信息系统安全保密工作;5. 负责信息系统安全事件的应急处理。
第六条各部门负责人对本部门信息系统安全保密工作负总责,负责以下工作:1. 组织落实信息系统安全保密管理制度;2. 配合信息安全管理部门开展信息系统安全保密工作;3. 加强本部门人员的安全保密意识教育;4. 定期对本部门信息系统安全保密工作进行自查自纠。
第三章安全保密措施第七条确保信息系统安全,采取以下措施:1. 物理安全:对信息系统设备、设施进行物理隔离,防止非法侵入和破坏。
2. 网络安全:采用防火墙、入侵检测、病毒防护等技术手段,防止网络攻击和信息泄露。
3. 数据安全:对重要数据进行加密存储和传输,防止数据泄露和篡改。
4. 访问控制:实行用户身份认证、权限控制,防止非法访问和滥用。
5. 安全审计:定期对信息系统进行安全审计,及时发现和纠正安全漏洞。
第八条信息系统安全保密管理制度应包括以下内容:1. 信息系统安全保密组织架构;2. 信息系统安全保密责任制;3. 信息系统安全保密操作规范;4. 信息系统安全保密培训与考核;5. 信息系统安全保密事件处理流程。
第四章奖励与惩罚第九条对在信息系统安全保密工作中表现突出的单位和个人,给予表彰和奖励。
计算机和信息系统安全保密管理规定
信息系统安全保密管理制度第一章总则第一条为加强公司信息化系统(包括涉密信息系统和非涉密信息系统)安全保密管理,确保国家秘密及公司商业秘密的安全,根据国家有关保密法规标准和中国华电集团公司有关规定,特制定本规定。
第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端、存储介质等内容。
第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第五条本规定适用于公司所有信息系统安全保密管理工作。
第二章组织机构与职责第六条公司成立信息系统安全保密组织机构,人员结构与信息化领导小组和办公室成员相同,信息化领导小组成员即为信息系统安全保密领导小组成员,信息化办公室成员即为信息系统安全保密办公室成员。
1、信息系统安全保密领导小组组长:陈宇肇副组长:吕碧辉组员:2、信息系统安全保密办公室主任:副主任:成员:第七条信息系统安全保密领导小组主要职责公司信息系统安全保密领导小组是涉密信息系统安全保密管理决策机构,其主要职责:(一)建立健全信息系统安全保密管理制度,并监督检查落实情况;(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条信息系统安全保密办公室(简称保密办)主要职责:(一)拟定信息系统安全保密管理制度,并组织落实各项保密防范措施;(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;(四)会同信息中心对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。
信息系统安全保密管理制度
第一章总则第一条为加强本单位的网络安全保密工作,保障信息系统安全稳定运行,防止国家秘密、商业秘密和个人隐私泄露,根据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等相关法律法规,结合本单位实际情况,制定本制度。
第二条本制度适用于本单位所有信息系统、信息设备和存储设备,包括但不限于计算机、服务器、网络设备、移动存储设备等。
第三条本制度旨在规范信息系统安全保密管理,明确安全保密责任,提高全体员工的安全保密意识,确保信息系统安全稳定运行。
第二章组织与职责第四条成立信息系统安全保密工作领导小组,负责组织、协调、监督和指导本单位信息系统安全保密工作。
第五条信息安全管理部门负责本制度的组织实施和监督,具体职责如下:1. 制定和修订信息系统安全保密管理制度;2. 组织开展信息系统安全保密培训和宣传教育;3. 监督检查信息系统安全保密措施落实情况;4. 处理信息系统安全保密事件;5. 定期向上级领导汇报信息系统安全保密工作。
第六条各部门负责人对本部门信息系统安全保密工作负总责,具体职责如下:1. 组织实施本部门信息系统安全保密管理制度;2. 加强本部门员工信息系统安全保密意识教育;3. 配合信息安全管理部门开展信息系统安全保密检查和整改;4. 及时报告信息系统安全保密事件。
第三章安全保密措施第七条数据安全1. 对重要数据实行加密存储和传输,确保数据在存储、传输和使用过程中的安全;2. 定期对存储设备进行安全检查,确保数据不被非法访问和篡改;3. 建立数据备份制度,确保数据丢失或损坏时能够及时恢复。
第八条网络安全1. 采用防火墙、入侵检测系统等安全设备,防止网络攻击和非法访问;2. 定期对网络设备进行安全检查和更新,确保网络设备安全可靠;3. 对网络访问进行严格控制,限制非法访问和外部网络连接。
第九条访问控制1. 对信息系统进行分级管理,明确不同级别信息系统的访问权限;2. 对员工进行身份认证,确保访问人员具有相应的权限;3. 定期审查和调整员工访问权限,确保权限设置合理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
16
国际标准化组织ISO(International Standand Organization), 于1989年在OSI参考模型的七层协议基础之上,提出了OSI (Open System Interconnetion)安全体系结构,定义了5种安全 服务和实现这些安全服务的8类安全机制,如图1-4所示。
• (2)第二层是管理制度的建立与实施。是指保证信息系 统安全所制定的安全管理制度和规定,是实现信息系统安 全的重要保证。主要包括安全管理人员的教育培训、制度 落实、职责的检查等内容。例如某部门或某单位的计算机 信息系统安全管理条例。
12
1.2信息安全技术的研究内容
• (3)第三、四层是物理实体的安全与硬件系统保护。计 算机物理上安全与硬件系统的保护是信息系统安全不可缺 少的重要环节。
S
R
发 送 方
S
(a)被动攻击
接
收
方 非法篡改
R
(b)主动攻击
图1-1 信息传输受到的攻击
6
1.1信息系统安全
• 2、信息存储过程中的威胁
存储于计算机系统中的信息,易于受到与通信线路同样的威 胁。非法用户在获取系统访问控制权后,可以浏览、拷贝或 修改存储介质上的保密数据或专利软件,并且对有价值的信 息进行统计分析,推断出所需的数据,使信息的保密性、真 实性和完整性遭到破坏。
Байду номын сангаас– (4)病毒防治
计算机病毒是一种危害极大的非法程序,它直接威胁着计 算机系统的安全。计算机病毒在一定条件下被激活后,立 刻感染计算机系统,侵占系统资源,毁坏系统信息,降低 工作效率,重者造成系统瘫痪。因此研究计算机病毒产生 的危害、机理,以及检测和清除病毒,是计算机安全不可 缺少的组成部分。
1.3信息系统安全体系结构
4
1.1信息系统安全
1.1.1 信息系统的概念
《中华人民共和国计算机信息系统安全保护条例》给出计 算机信息系统的定义:是指由计算机及其相关和配套的设备、 设施(含网络)构成的,按照一定的应用目标和规划,对信 息进行采集、加工、存储、传输和检索等处理的人机系统。
信息系统主要包括以下功能:
– (1)信息采集,是信息系统最基本的功能,负责收集分 散的信息,并整理成信息系统所需要的格式。
5
1.1信息系统安全
1.1.2 信息系统受到的威胁
• 1、信息通信过程中的威胁
众所周知,信息传输的公共信道十分脆弱,常常受到两方面 的攻击,如图1-1所示。 – 被动攻击:非法的截获传输信道上的信息,破坏信息的
保密性。
– 主动攻击:伪造或篡改传输信道上的信息,破坏信息的 真实性、完整性和可用性。
非法截获
一个完整的密码系统将由算法、密文、密钥组成,其中算 法、密文可以公开,因此密码系统的安全性取决于密钥的 保护。
• 4. 计算机系统安全
– (1)操作系统安全
操作系统是计算机的重要系统软件,他控制和管理系统资 源,是计算机的指挥中心。由于操作系统的重要地位,使 攻击者常常以操作系统为主要攻击对象。因此研究保护操 作系统的方法、设计安全操作系统,对整个计算机系统的 安全至关重要。
初的保证硬件的安全到保证信息系统及信息资源的安全, 使得计算机安全的内容变得愈加复杂。 – ②由于信息系统是以计算机为工具,对信息进行采集、 存储、加工、分析和传输的,因此计算机安全又可称为 信息系统安全。 – ③ 1983年Sun公司提出的“网络就是计算机”,即将网 络作为一种系统加以推广。计算机网络安全是计算机安 全概念在网络环境下的扩展和延伸,它的目标是保证网 络中的硬件、软件和数据免遭破坏、更改和泄漏。
OSI参考模型
认证 访问控制 数据保密性 数据完整性 不可否认性
安全服务
应用层 表示层 会话层 传输层 网络层 链路层 物理层
安全机制
加 数 访 数认 流 路 公 字 问 据证 量 由 证 签 控 完交 填 控 仲
密 名 制 整换 充 制 裁 性
图1-4 三维安全体系结构图
1.3信息系统安全体系结构
7
数据信息安全
6
软件系统安全措施
5
通信网络安全措施
4
硬件系统安全措施
3
物理实体安全环境
2
管理细则、保护措施
1 法律 规范 道德 纪律
安全技术
信
息
系
安全管理
统 安
安全法规
全
图1-2 信息系统安全层次模型
11
1.2信息安全技术的研究内容
• (1)第一层是法律制度与道德规范。是指由政府部门所 制定的一系列有关计算机犯罪的法令和法规,用于规范和 制约人们的思想与行为,将信息安全纳入规范化、法制化 和科学化的轨道。如保密法、数据保护法、计算机安全法、 计算机犯罪法、计算机系统安全标准、数据和信息安全标 准等(指“社会规范”和“技术规范”两方面)。
– (2)信息加工,负责对信息进行加工处理,如排序、分 类、归纳、检索、统计、模拟、预测以及各种数学运算 等。
– (3)信息存储,完成对有价值信息的存储和保管。 – (4)信息检索,是信息系统的重要功能,根据用户的需
要,查询存储在系统中的信息。
– (5)信息传输,是信息系统的信息交换功能,实现信息 的传递,以便信息迅速准确到达使用者手中。
资源的合法访问。 – 病毒:是指编制或在计算机系统中插入破坏计算机功能或数
据,影响计算机使用,并能自我复制的一组计算机指令或程 序代码。它直接威胁计算机系统和数据文件,破坏信息系统 的正常运行。
8
1.1信息系统安全
1.1.4 信息系统安全及其目标
• 1、信息系统安全
“计算机安全是指为信息处理系统建立和采取的技术的和管 理的安全保护措施,保护系统中硬件、软件及数据,不因偶 然或恶意的原因而遭受破坏、更改或泄漏。”这是国际标准 委员会对“计算机安全”的定义。从定义可见: – ① “计算机安全”一词一直处在不断的演变之中,从最
通信频度、消息格式等信息,从中发现有价值的信息和规律。 – 篡改:指对合法用户之间的通信消息进行修改或者改变消息
的顺序。 – 伪装:指一个实体冒充另一个实体。例如非法用户冒充成系
统的合法用户,对系统信息进行访问。 – 重放(Replay Attack):将窃取的信息修改或排序后,在适
当的时机重放出来,从而造成信息重复和混乱。 – 拒绝服务(DOS,Denial of Service):指阻止对信息或其它
• 3、信息加工处理中的威胁
信息在进行处理过程中,通常以源码(明文)出现,加密保 护对处理中的信息不起作用。因此信息处理过程中的有意攻 击或意外操作都极易使系统遭受破坏,造成损失。
此外,信息系统还会因为计算机硬件缺陷、软件的脆弱、电 子辐射和客观环境等原因造成损害,威胁计算机信息系统的 安全。
7
1.1信息系统安全
9
1.1信息系统安全
• 2、信息系统的安全目标(CIA)
安全目标(Security Goal)是指能够满足一个组织或者个人 的所有安全需求,通常包括保密性、完整性和可用性。
– 保密性(Confidentiality):防止非授权访问信息。
– 完整性(Integrity): 防止非法篡改和破坏信息。
1.2信息安全技术的研究内容
15
– (2)数据库系统安全
数据库是相关信息的集合,攻击者通过非法访问数据库, 达到篡改和破坏信息的目的。因此研究如何使数据库记录 保密、完整和可用,确保数据库系统安全,成为整个计算 机信息系统安全的重要组成部分。
– (3)网络安全
计算机网络就是将分撒在不同地理位置的自治计算机系统, 通过某种介质连接起来,实现信息传递和资源共享。互联 网的普及带动了世界各地计算机通信网络的发展,同时也 对网络系统的安全提出了更高的要求。
13
1.2信息安全技术的研究内容
1.2.2 信息安全保密研究内容
• 1.数据加解密算法
被保护信息或原始信息被称为明文M(Message),可以 通过某种方式变换成无法识别的密文C(Ciphertext), 这个变换处理过程称之为加密E(Enciphering)。密文可 以通过相应的逆变换再还原成明文,这个变换过程称之为 解密D(Deciphertext)。其中加密过程和解密过程分别 受参数k1和k2的控制,k1和k2分别被称为加密密钥和解密 密钥,统称为密钥。加解密通信模型如图1-3所示。
加密
明文M
过程
密文C
E
解密
密文C
过程
明文M
D
信源
加密密钥
k1
解密密钥 信宿 k2
图1-3 加密解密通信模型
14
1.2信息安全技术的研究内容 • 2. 密码分析
密码分析研究在不知道密钥的情况下,通过获取密文而恢 复明文的科学。成功的密钥分析可能会直接破译明文和密 钥。
• 3. 密码管理
密钥(Key)是由数字、字母或特殊符号组成的字符串, 用于控制加密和解密过程。密码算法的安全强度,在很大 程度上依赖于密钥的安全保护,由此引出密钥管理。密钥 管理是一门综合性技术,涉及到密钥的产生、分配、存储、 修改以及销毁的全过程,同时还与密钥的行政管理制度与 人员素质密切相关。只要严格保管好密钥,破译者就无法 将密文解密。
– 一是必须对自然灾害加强防护,如防火、防水、防雷 击等;
– 二是采取必要的措施防止计算机设备被盗,如添加锁、 设置警铃、刻上标签、购置机柜等;
– 三是尽量减少对硬件的损害,例如消除静电、系统接 地、键盘安全套、杜绝电磁干扰信号(攻击者可能利 用计算机硬件设备的电子辐射了解系统的内部信息, 因此要对计算机系统进行屏蔽,防电子辐射);
《信息系统安全与保密》
第一章 概 述
主讲教师:孙 捷
目录
2
信息系统安全
信息安全技术的研究内容