第六章 信息资源的安管理(陈庄主编).pptVIP

《信息资源组织与管理》之第6章 信息资源的安全管理 案例1：美国NASDAQ事故 1994年8月1日，由于一只松鼠通过位于康涅狄格网络主计算机附近的一条电话线挖洞，造成电源紧急控制系统损坏，NASDAQ电子交易系统日均超过3亿股的股票市场暂停营业近34分钟。 案例2：美国纽约银行EFT损失 1985年11月21日，由于计算机软件的错误，造成纽约银行与美联储电子结算系统收支失衡,发生了超额支付,而这个问题一直到晚上才被发现,纽约银行当日帐务出现230亿短款。 案例3：江苏扬州金融盗窃案 1998年9月，郝景龙、郝景文两兄弟通过在工行储蓄所安装遥控发射装置，侵入银行电脑系统，非法取走26万元。这是被我国法学界称为全国首例利用计算机网络盗窃银行巨款的案件。 案例4：一学生非法入侵169网络系统 江西省一位高中学生马强出于好奇心理，在家中使用自己的电脑，利用电话拨号上了169网，使用某账号，又登录到169多媒体通讯网中的两台服务器，从两台服务器上非法下载用户密码口令文件，破译了部分用户口令，使自己获得了服务器中超级用户管理权限，进行非法操作，删除了部分系统命令，造成一主机硬盘中的用户数据丢失的后果。该生被南昌市西湖区人民法院判处有期徒刑一年，缓刑两年。 6.1 信息资源安全管理概述 1、什么是信息资源安全？ 是指信息资源所涉及的硬件、软件及应用系统受到保护，以防范和抵御对信息资源不合法的使用和访问以及有意无意的泄漏和破坏。 2、信息资源管理涉及的内容有哪些？ 信息资源安全的范畴﹥计算机安全/软件安全/网络安全。 信息资源安全包括了从信息的采集、传输、加工、存储和使用的全过程所涉及的安全问题。 从信息处理的角度，包括： 内容的真实无误，以保证信息的完整性； 信息不会被非法泄漏和扩散，以保证信息的必威体育官网网址性； 信息的发送和接收者无法否认自己所做过的操作行为，以确保信息的不可否认性。 从信息组织层次的角度，包括： 系统的管理者对网络和信息系统有足够的控制和管理能力，以保证信息的可控制性； 准确跟踪实体运行达到审计和识别的目的，以保证信息的可计算性； 网络协议、操作系统和应用系统能够相互连接、协调运行，以保证信息的互操作性。 从信息运行环境角度，包括： 各种各样硬件设施的物理安全。 从信息管理规范的角度，包括： 各种各样的规章制度、法律法规、人员安全性等。 3、威胁信息资源安全的主要因素 （1）天灾 指不可控制的自然灾害，如地震、雷击、火灾、风暴、战争、社会暴力等。 天灾轻则造成业务工作混乱，重则造成系统中断甚至造成无法估量的损失。 案例 20世纪90年代初，A国部队正在准备对C国实施空中打击，C国军方刚好从D国公司定购了一种新式打印机，准备与本国防空指挥系统安装在一起。A国情报部门很快截获了这一信息，认为这是一次难得的实施病毒攻击的机会。紧急制定了一个病毒攻击计划，A国特工人员在计算机专家的协助下，神不知鬼不觉地更换了打印机内的数据处理芯片，以功能相同却带有病毒的芯片取而代之。致使战争开始的当夜，C国防空指挥部正在忙于对付敌方铺天盖地的空中打击，而防空指挥系统的全部计算机突然莫名其妙地罢工了，A国的偷袭一举成功。 2、人祸 人祸包括 “无意”人祸和“有意”人祸。 （1） “无意”人祸：是指人为的无意失误和各种各样的误操作。典型“无意”人祸有： 操作人员误删除文件； 操作人员误输入数据； 系统管理人员为操作员的安全配置不当； 用户口令选择不慎； 操作人员将自己的帐号随意转借他人或与别人共享。 案例 A国负责监视B国的战略核武器发射点的计算机系统突然响起了刺耳的警报，计算机终端发出B国洲际导弹和核潜艇开始袭击A国的信号，数秒钟后，A国战略空军司令部发出了全军进入临战状态的命令，军官们正在惶恐不安的气氛下等待总统最后下达核攻击命令。时间一秒秒过去，3分钟后，核袭击警报却出人意料地解除了，原来战略空军司令部没有发现B国发起核攻击的迹象。事后证明，原来是计算机系统出了毛病，一块只有硬币大小的电路板出现异常，几乎引发了一场足以导致人类毁灭的核大战。 （2） “有意”人祸：指人为的对信息资源进行恶意破坏的行为。“有意”人祸是目前信息资源安全所面临的最大威胁。“有意”人祸主要包括下述三种类型： 恶意攻击：主要有主动攻击和被动攻击两种形式。其中，主动攻击是指以某种手段主动破坏信息的有效性和完整性；被动攻击则是在不影响信息（或网络）系统正常工作的情况下，截获、窃取、破译重要机密信息。这两种恶意攻击方式均可对信息资源造成极大的危害，并导致机密数据的泄漏。 违纪：是指内部工作人员违反工作规程和制度的行为。例如：银行系统的网络系统管理员与操作员的口令一致、职责不分等。 违法犯罪：包括制造和传播病毒/ 非法复制。例如，侵犯著作权、版权等/ 窃取