chap5管理信息系統(tǒng)的安全防范

管理信息系統(tǒng)的安全防范

MIS

ManagementInformationSystem管理信息系統(tǒng)

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和管理的日益完善，電子商務(wù)網(wǎng)絡(luò)安全已經(jīng)很完善了，現(xiàn)在電子商務(wù)發(fā)展的主要障礙是兩個：物流瓶頸及信用缺失。話題評析

管理信息系統(tǒng)的安全威脅來源管理信息系統(tǒng)的安全防護措施

MIS

ManagementInformationSystem管理信息系統(tǒng)MIS的安全威脅來源有哪些？一、MIS的安全威脅來源計算機病毒黑客計算機軟、硬件及網(wǎng)絡(luò)本身問題或故障人們的誤操作一、MIS的安全威脅來源計算機病毒黑客計算機軟、硬件及網(wǎng)絡(luò)本身問題或故障人們的誤操作大家判斷法院判決結(jié)果如何？

1990年4月，Shell輸油管公司的計算機系統(tǒng)未能查出操作員的錯誤，結(jié)構(gòu)有93000桶原油運給了錯誤的貿(mào)易商。這個錯誤造成了200萬美元的成本，因為這個貿(mào)易商將這些本不歸他的原油賣掉了。后來雙方訴之法院。案例1：工作人員操作失誤法院判決Shell輸油管公司必須負責(zé)原油的損失責(zé)任，因為這個錯誤是由于他們的操作員輸入錯誤的數(shù)據(jù)到系統(tǒng)而造成的，因此Shell必須為未曾建立一個可防止運送錯誤的系統(tǒng)而負責(zé)。法院判決結(jié)果山西籍的打工青年許霆因利用銀行自動柜員機出錯，１７１次取款提取了不屬于自己的１７萬余元，于２００７年１１月２９日被廣州市中院以盜竊罪一審判處無期徒刑。許霆不服一審判決，上訴至廣東省高級人民法院，２００８年１月１４日，廣東高院將該案發(fā)回重審。經(jīng)廣州市中級人民法院重審后，３１日１５時公開宣判。法院認定被告人許霆犯盜竊罪，判處有期徒刑５年，并處罰金２萬元；繼續(xù)追繳許霆未退還的犯罪所得人民幣１７３８２６元。案例2：許霆兩審兩次判決差距太大

1966年，一個程序員輸入了一個信號，使得他的信用卡上有了超額的余款，導(dǎo)致他在虧空的情況能夠下仍然可以繼續(xù)開支票。由于法律上沒有明文規(guī)定，則只能按照錯誤輸入來懲罰他。案例3：世界上計算機犯罪的第一案例計算機病毒黑客計算機軟、硬件及網(wǎng)絡(luò)本身問題或故障人們的誤操作一、MIS的安全威脅來源一種人為設(shè)計的危害計算機系統(tǒng)和網(wǎng)絡(luò)的計算機程序。計算機病毒定義計算機病毒特點(1)傳播性

(2)破壞性

(3)潛伏性

(4)隱蔽性

(5)可觸發(fā)性

(6)針對性

(7)變種性自計算機病毒誕生至今，每天以15～20種的速度飛快增長、蔓延。根據(jù)美國國家安全協(xié)會的報道，98％的企業(yè)曾受過病毒感染，63％的企業(yè)曾因遭受病毒感染而失去過重要的文件資料。因受病毒感染，美國平均每臺電腦每月要花去近10美元維修費用；而1種發(fā)源于菲律賓的ILOVEYOU病毒于2000年5月4日襲擊了香港，并在幾小時內(nèi)攻擊了世界上很多的計算機，并先后發(fā)作感染了北美的120萬臺計算機，造成了8000萬美元的損失。“熊貓燒香”作者李俊計算機病毒黑客計算機軟、硬件及網(wǎng)絡(luò)本身問題或故障人們的誤操作一、MIS的安全威脅來源在嚴重影響網(wǎng)絡(luò)安全的三害中，網(wǎng)絡(luò)黑客是首害。世界上平均每20秒就有一起黑客事件發(fā)生。微軟的網(wǎng)站、A、ebay、Yahoo!網(wǎng)站因為受到DdoS(分別式拒絕服務(wù))攻擊被大量的訪問請求所淹沒，正常訪問實際上已經(jīng)被中斷1網(wǎng)名為Curador的黑客攻擊了美國、加拿大、泰國、日本和英國的電子商務(wù)網(wǎng)站，不費吹灰之力獲取了26，000個客戶的信用卡號。1名十幾歲的少年竟然使用個人電腦對美國的聯(lián)邦調(diào)查局（FBI）網(wǎng)站發(fā)起攻擊，使得該網(wǎng)站被迫關(guān)閉了一周。國外當(dāng)年2月7日－9日，Yahoo,ebay,Amazon等著名網(wǎng)站被黑客攻擊，直接和間接損失10億美元。國內(nèi)有人利用普通的技術(shù)，從電子商務(wù)網(wǎng)站竊取到8萬個信用卡號和密碼，標(biāo)價26萬元出售。案例大學(xué)生利用黑客技術(shù)篡改考分牟利被判刑全球規(guī)模最大比特幣交易所Mt.Gox交易平臺破產(chǎn)年輕上尉操縱美軍大西洋艦隊指揮權(quán)瘋狂黑客劫持英國“天網(wǎng)4”軍用衛(wèi)星(一)威脅來源計算機病毒黑客計算機軟、硬件及網(wǎng)絡(luò)本身問題或故障人們的誤操作案例：代碼未經(jīng)測試帶來的系統(tǒng)質(zhì)量問題引發(fā)的事故已直接傷害到生命和社會安全。1963年由于把DO5I=1,3寫成DO5I=1.3，美國飛往火星的探測火箭爆炸。1993年倫敦附近核電站的反應(yīng)堆內(nèi)，由于溫度控制失靈，致使歐洲人口最為密集的地區(qū)面臨巨大災(zāi)難。后經(jīng)查明，在反應(yīng)堆“主要保護系統(tǒng)中”一個10萬行代碼的控制程序幾乎有一半未能通過測試。倫敦附近核電站的反應(yīng)堆失控1996年歐洲航天局阿麗亞娜5型（Ariane

5）火箭發(fā)射后40秒鐘火箭爆炸，發(fā)射基地2名法國士兵當(dāng)場死亡，耗資產(chǎn)10億美元，歷時9年的航天計劃嚴重受挫，震驚了國際宇航界。事后專家調(diào)查分析報告指出，爆炸原因在于慣性導(dǎo)航系統(tǒng)軟件技術(shù)要求和設(shè)計的錯誤。歐洲航天局火箭發(fā)射后爆炸在所有被取消的IT項目中，有80%是由于軟件質(zhì)量問題造成的。（二）管理信息系統(tǒng)的安全防護措施

安全立法管理手段技術(shù)措施

道德約束二、管理信息系統(tǒng)的安全防護措施

安全立法管理手段技術(shù)措施道德約束請大家試舉出互聯(lián)網(wǎng)侵犯人們隱私權(quán)的案例請大家試舉出互聯(lián)網(wǎng)侵犯人們所有權(quán)的案例對知識產(chǎn)權(quán)的挑戰(zhàn)和保護（1）

我國圖書盜版與正版的比例保守估計1:1,而電子圖書的盜版比例則更高。世界的第一本在網(wǎng)上獨家出版的只有網(wǎng)絡(luò)版的電子圖書（StephenKing的新著《RidingtheBullet》）出版就被黑客破解了安全系統(tǒng)，并散布了該書的免費版本。何以解釋盜版市場上的造成“檸檬”市場現(xiàn)象？

美國大約有25%的企業(yè)軟件被非法復(fù)制。全球軟件盜版率美國為35%，日本92%，泰國高達99%。對知識產(chǎn)權(quán)的挑戰(zhàn)和保護（2）在世界知識產(chǎn)權(quán)組織倡議下，160多個國家達成并簽定了2個有關(guān)保護數(shù)字媒體的知識產(chǎn)權(quán)保護協(xié)議。對知識產(chǎn)權(quán)的挑戰(zhàn)和保護（3）二、管理信息系統(tǒng)的安全防護措施

安全立法管理手段技術(shù)措施道德約束思考：管理信息系統(tǒng)的安全防護措施有哪些技術(shù)手段？防病毒技術(shù)虛擬專用網(wǎng)(VPN)技術(shù)防火墻(Firewall)技術(shù)數(shù)據(jù)加密技術(shù)技術(shù)手段技術(shù)手段技術(shù)手段技術(shù)手段技術(shù)手段技術(shù)手段技術(shù)手段技術(shù)手段技術(shù)手段數(shù)字信封技術(shù)可克服秘密密鑰加密中秘密密鑰分發(fā)困難和公開密鑰加密中加密時間長的問題，使用兩個層次的加密來獲得公開密鑰技術(shù)的靈活性和秘密密鑰技術(shù)的高效性，保證信息的安全性

數(shù)字信封的具體實現(xiàn)步驟如下：

當(dāng)發(fā)信方需要發(fā)送信息時，首先生成一個對稱密鑰，用該對稱密鑰加密要發(fā)送的報文

發(fā)信方用收信方的公鑰加密上述對稱密鑰

發(fā)信方將第一步和第二步的結(jié)果傳給收信方

收信方使用自己的私鑰解密被加密的對稱密鑰

收信方用得到的對稱密鑰解密被發(fā)信方加密的報文，得到真正的報文

.

（3）數(shù)字信封技術(shù)

（3）數(shù)字信封技術(shù)（4）數(shù)字簽名:數(shù)字簽名的具體要求：發(fā)送者事后不能否認發(fā)送的報文簽名，接收者能夠核實發(fā)送者發(fā)送的報文簽名，接收者不能偽造發(fā)送者的報文簽名，接收者不能對發(fā)送者的報文進行部分篡改，網(wǎng)絡(luò)中的某一用戶不能冒充另一用戶作為發(fā)送者或接收者。

數(shù)字簽名是通過一個單向函數(shù)對要傳送的報文進行處理后得到的用以認證報文來源并核實報文是否發(fā)生變化的一個字母數(shù)字串。

使用公開密鑰算法是實現(xiàn)數(shù)字簽名的主要技術(shù)

數(shù)字簽名的算法很多，應(yīng)用最為廣泛的三種是：Hash簽名、DSS簽名、RSA簽名。

（4）數(shù)字簽名:實現(xiàn)數(shù)字簽名的過程：（1）信息發(fā)送者使用一單向散列函數(shù)對信息生成信息摘要；（2）信息發(fā)送者使用自己的私鑰簽名信息摘要；（3）信息發(fā)送者把信息本身和已簽名的信息摘要一起發(fā)送出去；（4）任何接受者都可以使用與信息發(fā)送者使用的同一單向散列函數(shù)對接受的信息生成信息摘要；（5）再使用信息發(fā)送者的公鑰對信息發(fā)送者發(fā)送過來的私鑰簽名的信息摘要進行解密；（6）將解密所獲得的信息摘要和接受者使用同一單向散列函數(shù)對接受的信息生成信息摘要進行對比驗證，以確定信息發(fā)送者的身份和信息是否被修改過。數(shù)字簽名與驗簽過程(5)數(shù)字證書數(shù)字證書是一種權(quán)威性的電子文檔。它提供了一種在Internet上驗證您身份的方式，其作用類似于司機的駕駛執(zhí)照或日常生活中的身份證。它是由一個由權(quán)威機構(gòu)----CA證書授權(quán)(CertificateAuthority)中心發(fā)行的，人們可以在互聯(lián)網(wǎng)交往中用它來識別對方的身份。數(shù)字證書頒發(fā)過程一般為：用戶首先產(chǎn)生自己的密鑰對，并將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份后，將執(zhí)行一些必要的步驟，以確信請求確實由用戶發(fā)送而來，然后，認證中心將發(fā)給用戶一個數(shù)字證書，該證書內(nèi)包含用戶的個人信息和他的公鑰信息，同時還附有認證中心的簽名信息。用戶就可以使用自己的數(shù)字證書進行相關(guān)的各種活動。數(shù)字證書由獨立的證書發(fā)行機構(gòu)發(fā)布。數(shù)字證書各不相同，每種證書可提供不同級別的可信度?？梢詮淖C書發(fā)行機構(gòu)獲得您自己的數(shù)字證書。二、管理信息