第七章信息資源的安全管理信息資源安全管理綜述計算機軟件安全數據庫安全計算機網絡安全信息系統的安全電子商務安全7.1信息資源安全管理綜述信息安全包括四個方面：信息處理的要求：信息組織的層次：信息運行的環境：信息管理的觀點：信息資源安全針對信息的采集、傳輸、加工、存儲和利用的全過程與這一過程相關的信息及其載體，各類硬件設備和軟件等被非法破壞、竊取和使用。信息資源的管理的安全從兩方面加以保證，技術安全：管理安全：7.1.1系統授權和數據加密技術1、系統授權(1)授權方案(2)授權實施識別和驗證決定用戶的訪問權限2、數據加密

E加密算法明文x發端加密密鑰Ke密文y＝Eke（x）D解密算法收端解密密鑰Kd明文x單密鑰體制雙密鑰體制加密密鑰Ke密文密鑰產生器明文解密算法Kd密鑰信道解讀后明文KPK密文y明文xCSK受保護的XyPK截取者X’7.1.2計算機犯罪及其防范特征：犯罪方法新、作案時間短、不留痕跡、內部人員犯罪比重增加、犯罪區域廣、利用技術或管理漏洞作案。采用的技術手段：數據破壞、特絡伊木馬、香腸術、邏輯炸彈、陷阱術、寄生術、超級沖殺、異步攻擊、廢品利用、計算機病毒、偽造證件。安全控制：數據輸入控制通信控制數據處理控制數據存儲控制訪問控制7.1.3計算機病毒及其防范計算機病毒的概念特征：傳染性、潛伏性、可觸發性、欺騙性、衍生性、破壞性種類：引導型、操作系統型、入侵型、文件型病毒、外殼型病毒計算機病毒結構和破壞機理感染標志、感染模塊、觸發模塊、破壞模塊和主控模塊計算機病毒的防范措施1)技術手段軟件預防硬件預防2)管理手段社會對計算機病毒防范的法律、制度與措施；計算機用戶對計算機病毒的防范措施7.1.4信息資源安全管理與審計安全管理內容同一性檢查用戶使用權限檢查建立運行日志安全管理原則多人負責原則任期有限原則職責分離原則安全管理審計審計跟蹤入侵檢測7.2計算機軟件的安全7.2.1威脅軟件的安全主要形式以軟件為手段，獲取未經授權或授權以外的信息。以軟件為手段，阻礙信息系統的正常運行或其他用戶的正常使用。以軟件為對象，破壞軟件完成指定功能，以軟件為對象，復制軟件。7.2.2軟件安全的基本要求防復制靜態分析防動態跟蹤7.2.3系統軟件的安全訪問控制自主訪問控制強制訪問控制有限訪問控制共享/獨占訪問控制隔離控制物理隔離時間隔離加密隔離邏輯隔離存儲保護基址/邊界寄存器內存標志分段技術所保護7.2.4應用軟件的安全對數據安全的影響對系統服務的影響注意的問題：

7.3數據庫安全7.3.1數據庫安全基本概述數據庫安全基本概述數據庫安全的重要性數據庫面臨的安全威脅系統內部的威脅人為的威脅外部環境的威脅數據庫基本安全要求數據庫完整數據元素的完整可審計存取控制用戶認證并發控制7.3.2數據庫的安全保護機制及控制方法1、安全保護機制操作系統安全數據庫管理系統安全2、安全控制的一般方法口令保護數據庫加密數據驗證檢查原始憑證錄入數據的安全控制數據庫授權7.4計算機網絡安全特點：易受到攻擊；防范對象難以明確；犯罪手段多樣、不易發現；安全措施與靈活使用存在矛盾；危害很大。衡量網絡安全的指標有三個：保密性、可控制性和抗攻擊性7.4.1影響網絡安全的主要因素網絡部件的不安全因素電磁泄漏、搭線竊聽、非法終端、非法入侵、注入非法信息、線路干擾、病毒入侵、黑客攻擊。軟件的不安全因素工作人員的不安全因素環境的不安全因素

7.4.2網絡系統的安全功能1網絡的安全目標2網絡的安全功能對象認證、訪問控制、數據保密、數據可審查、不可抵賴7.4.3網絡安全技術1數據加密鏈路加密端－端加密混合加密2網絡中密鑰的管理密鑰的種類數據加密密鑰基本密鑰主密鑰其他密鑰密鑰的分配只用會話密鑰采用會話和基本密鑰采用公開密鑰密碼體制的密鑰分配。密鑰的注入密鑰的存儲保護密鑰的更換人3網絡中訪問控制用戶身份的識別和驗證訪問控制審計跟蹤4鑒別機制站點鑒別報文鑒別報文內容、報文源、報文宿、報文時間性的鑒別5數字簽名6防火墻技術目的：基本功能：控制不安全的服務、站點訪問控制、集中安全保護、強化私有權防火墻類型：包過濾型、代理服務型、電路層網關、混合型、應用網關和自適應代理技術。7.網絡安全管理管理目標管理的實現

7.5信息系統的安全1對實體的威脅和攻擊2對信息的威脅和攻擊信息泄露信息破壞被動攻擊：直接偵收、截獲信息、合法竊取、破譯分析、從遺棄的媒體中獲取信息主動攻擊：竊取并干擾通信線路信息、返回滲透、線間插入、非法冒充。7.5.2信息系統的安全策略1法規保護2行政管理3安全教育4技術措施

7.5.3信息系統的安全技術1實體安全2數據安全3軟件安全4運行安全7.5.4可信計算機系統略7.6電子商務安全7.6.1電子商務的安全要求1有效性2保密性3完整性4不可抵