信息安全技術與實施培訓教材

序言隨著科學技術的迅猛發(fā)展和信息技術的廣泛應用，特別是我國國民經濟和社會信息化進程的全面加快，網絡與信息系統(tǒng)的基礎性、全局性作用日益增強，信息安全已經成為國家安全的重要組成部分。近年來，在黨中央、國務院的領導下，我國信息安全保障工作取得了明顯成效，建設了一批信息安全基礎設施，加強了互聯(lián)網信息內容安全管理，為維護國家安全與社會穩(wěn)定、保障和促進信息化健康發(fā)展發(fā)揮了重要作用。

但是，我國信息安全保障工作仍存在一些亟待解決的問題：網絡與信息系統(tǒng)的防護水平不高，應急處理能力不強；信息安全管理和技術人才缺乏，關鍵技術整體上還比較落后，產業(yè)缺乏核心競爭力；信息安全法律法規(guī)和標準不完善；全社會的信息安全意識不強，信息安全管理薄弱等。與此同時，網上有害信息傳播、病毒入侵和網絡攻擊日趨嚴重，網絡泄密事件屢有發(fā)生，網絡犯罪呈快速上升趨勢，境內外敵對勢力針對廣播電視衛(wèi)星、有線電視和地面網絡的攻擊破壞活動和利用信息網絡進行的反動宣傳活動日益猖獗，嚴重危害公眾利益和國家安全，影響了我國信息化建設的健康發(fā)展。隨著我國信息化進程的逐步推進，特別是互聯(lián)網的廣泛應用，信息安全還將面臨更多新的挑戰(zhàn)。信息安全技術與實施?目錄物理實體安全與防護2密碼技術與應用4信息安全概述31網絡攻擊與防范33數(shù)字身份認證35?目錄入侵檢測技術與應用7操作系統(tǒng)安全防范9防火墻技術與應用36計算機病毒與防范38無線網絡安全與防范310?第1章信息安全概述?本章內容

信息安全介紹1.1黑客的概念及黑客文化1.2針對信息安全的攻擊1.3網絡安全體系1.4信息安全的三個層次1.5引導案例：2009年1月，法國海軍內部計算機系統(tǒng)的一臺計算機受病毒入侵，迅速擴散到整個網絡，一度不能啟動，海軍全部戰(zhàn)斗機也因無法“下載飛行指令”而停飛兩天。僅僅是法國海軍內部計算機系統(tǒng)的時鐘停擺，法國的國家安全就出現(xiàn)了一個偌大的黑洞。設想，若一個國家某一系統(tǒng)或領域的計算機網絡系統(tǒng)出現(xiàn)問題或癱瘓，這種損失和危害將是不可想象的，而類似的事件不勝枚舉。目前，美國政府掌握著信息領域的核心技術，操作系統(tǒng)、數(shù)據(jù)庫、網絡交換機的核心技術基本掌握在美國企業(yè)的手中。微軟操作系統(tǒng)、思科交換機的交換軟件甚至打印機軟件中嵌入美國中央情報局的后門軟件已經不是秘密，美國在信息技術研發(fā)和信息產品的制造過程中就事先做好了日后對全球進行信息制裁的準備。?1.1信息安全介紹隨著全球互聯(lián)網的迅猛發(fā)展，越來越多的人親身體會到了信息化給人們帶來的實實在在的便利與實惠，然后任何事情都有兩面性，信息化在給經濟帶來實惠的同時，也產生了新的威脅。目前“信息戰(zhàn)”已經是現(xiàn)代戰(zhàn)爭克敵制勝的法寶，例如科索沃戰(zhàn)爭、海灣戰(zhàn)爭。尤其是美國“9.11事件”給世界各國的信息安全問題再次敲響了警鐘，因為恐怖組織摧毀的不僅僅是世貿大廈，隨之消失的還有眾多公司的數(shù)據(jù)。自2003年元旦以來，蠕蟲病毒“沖擊波”對全球范圍內的互聯(lián)網發(fā)起了不同程度的攻擊，制造了一場規(guī)模空前的互聯(lián)網“網癱”災難事件。迄今為止，許多組織、單位、實體仍然沒有完全走出“沖擊波”和“震蕩波”的陰影，而2007年的“熊貓燒香”又給互聯(lián)網用戶留下了深刻印象。計算機攻擊事件正以每年64%的速度增加。另據(jù)統(tǒng)計，全球約20秒鐘就有一次計算機入侵事件發(fā)生，Internet上的網絡防火墻約1/4被突破，約有70%以上的網絡信息主管人員報告因機密信息泄露而受到了損失。信息安全涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科。由于目前信息的網絡化，信息安全主要表現(xiàn)在網絡安全上，所以目前將網絡安全與信息安全等同起來（不加嚴格區(qū)分）。實際上，叫信息安全比較全面、科學。信息安全問題已引起了各國政府的高度重視，建立了專門的機構，并出臺了相關標準與法規(guī)。?1.1.1信息安全的概念信息安全的概念是隨著計算機化、網絡化、信息化的逐步發(fā)展提出來的。當前對信息安全的說法比較多，計算機安全、計算機信息系統(tǒng)安全、網絡安全、信息安全的叫法同時并存（事實上有區(qū)別，各自的側重點不同）。ISO對計算機系統(tǒng)安全的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。計算機網絡安全的概念：通過采用各種技術和管理措施，使網絡系統(tǒng)正常運行，從而確保網絡數(shù)據(jù)的可用性、完整性和保密性。建立網絡安全保護措施的目的：確保經過網絡傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。針對信息安全，目前沒有公認的定義。美國國家安全電信和信息系統(tǒng)安全委員會（NSTISSC）對信息安全做如下定義：信息安全是對信息、系統(tǒng)以及使用、存儲和傳輸信息的硬件的保護。信息安全涉及個人權益、企業(yè)生存、金融風險防范、社會穩(wěn)定和國家安全，它是物理安全、網絡安全、數(shù)據(jù)安全、信息內容安全、信息基礎設施安全、國家信息安全的總和。?1.1.2信息安全的內容網絡信息安全的內容物理安全1防靜電防盜防雷擊防火防電磁泄漏2用戶身份認證訪問控制加密安全管理邏輯安全操作系統(tǒng)安全3聯(lián)網安全4訪問控制服務通信安全服務?1.物理安全物理安全是指用來保護計算機網絡中的傳輸介質、網絡設備、機房設施安全的各種裝置與管理手段。包括：防盜、防火、防靜電、防雷擊和防電磁泄露等。物理上的安全威脅主要涉及對計算機或人員的訪問。策略和多，如將計算機系統(tǒng)和關鍵設備布置在一個安全的環(huán)境中，銷毀不再使用的敏感文檔，保持密碼和身份認證部件的安全性，鎖住便攜式設備等。物理安全更多的是依賴于行政的干預手段并結合相關技術。如果沒有基礎的物理保護，物理安全是不可能實現(xiàn)的。?2.網絡安全計算機網絡的邏輯安全主要通過用戶身份認證、訪問控制、加密、安全管理等方法來實現(xiàn)。（1）用戶身份認證。身份證明是所有安全系統(tǒng)不可或缺的一個組件。它是區(qū)別授權用戶和入侵者的唯一方法。為了實現(xiàn)對信息資源的保護，并知道何人試圖獲取網絡資源的訪問權，任何網絡資源擁有者都必須對用戶進行身份認證。（2）訪問控制。訪問控制是制約擁護連接特定網絡、計算機與應用程序，獲取特定類型數(shù)據(jù)流量的能力。訪問控制系統(tǒng)一般針對網絡資源進行安全控制區(qū)域劃分，實施區(qū)域防御的策略。在區(qū)域的物理邊界或邏輯邊界使用一個許可或拒絕訪問的集中控制點。?（3）加密。即使訪問控制和身份驗證系統(tǒng)完全有效，在數(shù)據(jù)信息通過網絡傳送時，企業(yè)仍然可能面臨被竊聽的風險。事實上，低成本和連接的簡單性已使Internet成為企業(yè)內和企業(yè)間通信的一個極為誘人的媒介。同時，無線網絡的廣泛使用也在進一步加大網絡數(shù)據(jù)被竊聽的風險。加密技術用于針對竊聽提供保護，它通過信息只能被具有解密數(shù)據(jù)所需密鑰的人員讀取來提供信息的安全保護。它與第三方是否通過Internet截取數(shù)據(jù)包無關，因為數(shù)據(jù)即使在網絡上被第三方截取，它也無法獲取信息的本義。這種方法可在整個企業(yè)網絡中使用，包括在企業(yè)內部（內部網）、企業(yè)之間（外部網）或通過公共Internet在虛擬專用網（VPN）中傳送私人數(shù)據(jù)。加密技術主要包括對稱式和非對稱式兩種，都有許多不同的密鑰算法來實現(xiàn)。?（4）安全管理。安全系統(tǒng)應當允許由授權人進行監(jiān)視和控制。使用驗證的任何系統(tǒng)都需要某種集中授權來驗證這些身份，而無論它是UNIX主機、WindowsNT域控制器還是NovellDirectorySerrvices（NDS）服務器上的/etc/passwd文件。由于能查看歷史記錄，如突破防火墻的多次失敗嘗試，安全系統(tǒng)可以為那些負責保護信息資源的人員提供寶貴的信息。一些更新的安全規(guī)范，如IPSEC，需要包含策略規(guī)則數(shù)據(jù)庫。要使系統(tǒng)正確運行，就必須管理所有這些要素。但是，管理控制臺本身也是安全系統(tǒng)的另一個潛在故障點。因此，必須確保這些系統(tǒng)在物理上得到安全保護，請確保對管理控制臺的任何登錄進行驗證。?3.操作系統(tǒng)安全。計算機操作系統(tǒng)擔負著龐大的資源管理，頻繁的輸入輸出控制以及不可間斷的用戶與操作系統(tǒng)之間的通信任務。由于操作系統(tǒng)具有一權獨大的特點，所有針對計算機和網絡的入侵及非法訪問都是以攫取操作系統(tǒng)的最高權限作為入侵的目的。因此，操作系統(tǒng)安全的內容就是采用各種技術手段和采用合理的安全策略，降低系統(tǒng)的脆弱性。與過去相比，如今的操作系統(tǒng)性能更先進、功能更豐富，因而對使用者來說更便利，但是也增加了安全漏洞。要減少操作系統(tǒng)的安全漏洞，需要對操作系統(tǒng)予以合理配置、管理和監(jiān)控。做到這點的秘訣在于集中、自動管理機構（企業(yè)）內部的操作系統(tǒng)安全，而不是分散、人工管理每臺計算機。實際上，如果不集中管理操作系統(tǒng)安全，相應的成本和風險就會非常高。目前所知道的安全入侵事件，一半以上緣于操作系統(tǒng)根本沒有合理配置，或者沒有經常核查及監(jiān)控。操作系統(tǒng)都是以默認安全設置類配置的，因而極容易受到攻擊。那些人工更改了服務器安全配置的用戶，把技術支持部門的資源都過多地消耗于幫助用戶處理口令查詢上，而不是處理更重要的網絡問題?？紤]到這些弊端，許多管理員任由服務器操作系統(tǒng)以默認狀態(tài)運行。這樣一來，服務器可以馬上投入運行，但卻大大增大了安全風險。?現(xiàn)有技術可以減輕管理負擔。要加強機構（企業(yè)）網絡內操作系統(tǒng)的安全，需要做到以下三方面：首先對網絡上的服務器進行配置應該在一個地方進行，大多數(shù)用戶大概需要數(shù)十種不同的配置。然后，這些配置文件的一個鏡像或一組鏡像在軟件的幫助下可以通過網絡下載。軟件能夠自動管理下載過程，不需要為每臺服務器手工下載。此外，即使有些重要的配置文件，也不應該讓本地管理員對每臺服務器分別配置，最好的辦法就是一次性全部設定。一旦網絡配置完畢，管理員就要核實安全策略的執(zhí)行情況，定義用戶訪問權限，確保所有配置正確無誤。管理員可以在網絡上運行（或遠程運行）代理程序，不斷監(jiān)控每臺服務器。代理程序不會干擾正常操作。其次，帳戶需要加以集中管理，以控制對網絡的訪問，并且確保用戶擁有合理訪問機構資源的權限。策略、規(guī)則和決策應在一個地方進行，而不是在每臺計算機上進行，然后為用戶系統(tǒng)配置合理的身份和許可權。身份生命周期管理程序可以自動管理這一過程，減少手工過程帶來的麻煩。最后，操作系統(tǒng)應該配置成能夠輕松、高效地監(jiān)控網絡活動，可以顯示誰在進行連接，誰斷開了連接，以及發(fā)現(xiàn)來自操作系統(tǒng)的潛在安全事件。?1.1.3網絡安全策略安全策略是針對網絡和系統(tǒng)的安全需要，做出允許什么、禁止什么的規(guī)定，通?？梢允褂脭?shù)學方式來表達策略，將其表示為允許（安全的）或不允許（不安全的）的狀態(tài)列表。為達到這個目的，可假設任何給定的策略能對安全狀態(tài)和非安全狀態(tài)做出公理化描述。實踐中，策略極少會如此精確，網絡使用文本語言描述什么是用戶或系統(tǒng)允許做的事情。這種描述的內在歧義性導致某些狀態(tài)既不能歸于“允許”一類，也不能歸于“不允許”一類，因此制定安全策略時，需要注意此類問題。因此安全策略是指在一個特定的環(huán)境里，為提供一定級別的安全保護所必須遵守的規(guī)則。?1.物理安全策略目的是保護計算機系統(tǒng)、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、認為破壞、搭線攻擊，驗證用戶的身份和使用權限，防止用戶越權操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種盜竊、破壞活動的發(fā)生。抑止和防止電磁泄露，即Tempest技術，是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是傳導發(fā)射的保護，主要采取對電源線和信息線加裝性能良好的濾波器，減少傳輸阻抗和導線間的交叉耦合；另一類是對輻射的防護。?2.訪問控制策略訪問控制是網絡安全防范和保護的主要策略，主要任務是保證網絡資源不被非法使用和訪問，它是維護網絡安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，可以說訪問控制是保證網絡安全的核心策略之一。（1）入網訪問控制。為網絡訪問提供了第一層訪問控制，它是用來控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許在哪個工作站入網。用戶的入網訪問控制可分為3個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的默認限制檢查。只要3道關卡中有任何一關未過，該用戶便不能進入該網絡。（2）網絡權限控制。是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。用戶組可以訪問哪些目錄、子目錄、文件和其他資源，指定用戶對這些文件、目錄、設備執(zhí)行哪些操作。根據(jù)訪問可以將用戶分為特殊用戶（系統(tǒng)管理員）、一般用戶，審計用戶（負責網絡的安全控制與資源使用情況的審計）3類。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。?（3）網絡服務器安全控制。網絡服務器的安全控制包括：可以設置口令鎖定服務器控制臺，防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設置服務登錄時間限制、非法訪問者檢測和關閉的時間間隔。（4）網絡檢測和鎖定控制。對非法的網絡訪問，服務器應以圖形、文字或聲音等形式報警。?3.信息加密策略。見P5。信息加密的目的：保護網內的數(shù)據(jù)、文件、口令和控制信息，保護網上傳輸?shù)臄?shù)據(jù)。常用的方法：有鏈路加密、端點加密和節(jié)點加密。鏈路加密：保護網絡節(jié)點之間的鏈路信息安全；端-端加密：對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密：對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。4.網絡安全管理策略。除了采用上述技術措施外，加強網絡的安全管理、制定有效的規(guī)章制度，對于確保網絡的安全、可靠運行，將起到十分有效的作用。包括：確定安全管理等級和范圍；制定有關管理章程和制度；制定網絡系統(tǒng)的維護制度和應急措施等。見P5。?1.1.4信息安全的要素雖然網絡安全同單個計算機安全在目標上并沒有本質區(qū)別，但是由于網絡環(huán)境的復雜性，網絡安全比單個計算機安全要復雜得多。P5。第一，網絡資源的共享范圍更加寬泛，難以控制。第二，網絡支持多種操作系統(tǒng)，安全管理和控制更為困難。第三，網絡的擴大使網絡的邊界和網絡用戶群變的不確定，比單機困難的多。第四，單機用戶可以從自己的計算機中直接獲取敏感數(shù)據(jù)。第五，由于網絡路由選擇的不固定性，很難確保網絡信息在一條安全通道上傳輸。?保證計算機網絡的安全，就是要保護網絡信息在存儲和傳輸過程中的可用性、機密性、完整性、可控性和不可抵賴性。P5。（1）可用性。是指得到授權的實體在需要時可以得到所需要的網絡資源和服務。（2）機密性。機密性是指網絡中的信息不被非授權實體（包括用戶和進程等）獲取與使用。這些信息不僅指國家機密，也包括企業(yè)和社會團體的商業(yè)秘密和工作秘密，還包括個人的秘密（如銀行賬號）和個人隱私（如郵件、瀏覽習慣）等。網絡在人們生活中的廣泛使用，使人們對網絡機密性的要求提高。用于保障網絡機密性的主要技術是密碼技術。在網絡的不同層次上有不同的機制來保障機密性。在物理層上，主要是采取電磁屏蔽技術、干擾及跳頻技術來防止電磁輻射造成的信息外泄：在網絡層、傳輸層及應用層主要采用加密、路由控制、訪問控制、審計等方法來保證信息的機密性。（3）完整性。完整性是指網絡信息的真實可信性，即網絡中的信息不會被偶然或者蓄意地進行刪除、修改、偽造、插入等破壞，保證授權用戶得到的信息是真實的。只有具有修改權限的實體才能修改信息，如果信息被未經授權的實體修改了或在傳輸過程中出現(xiàn)了錯誤，信息的使用者應能夠通過一定的方式判斷出信息是否真實可靠。?（4）可控性。是控制授權范圍內的信息流向和行為方式的特性，如對信息的訪問、傳播及內容具有控制能力。首先，系統(tǒng)要能夠控制誰能夠訪問系統(tǒng)或網絡上的數(shù)據(jù)，以及如何訪問，即是否可以修改數(shù)據(jù)還是只能讀取數(shù)據(jù)。這要通過采用訪問控制等授權方法來實現(xiàn)。其次，即使擁有合法的授權，系統(tǒng)仍需要對網絡上的用戶進行驗證。通過握手協(xié)議和口令進行身份驗證，以確保他確實是所聲稱的那個人。最后，系統(tǒng)還要將用戶的所有網絡活動記錄在案，包括網絡中計算機的使用時間、敏感操作和違法操作等，為系統(tǒng)進行事故原因查詢、定位，事故發(fā)生前的預測、報警，以及為事故發(fā)生后的實時處理提供詳細、可靠的依據(jù)或支持。審計對用戶的正常操作也有記載，可以實現(xiàn)統(tǒng)計、計費等功能，而且有些諸如修改數(shù)據(jù)的“正?！辈僮髑∏∈枪粝到y(tǒng)的非法操作，同樣需要加以警惕。（5）不可抵賴性。也稱為不可否認性。是指通信的雙方在通信過程中，對于自己所發(fā)送或接收的消息不可抵賴。即發(fā)送者不能抵賴他發(fā)送過消息和消息內容，而接收者也不能抵賴其接收到消息的事實和內容。?1.2黑客的概念及黑客文化1.2.1黑客的概念及起源（P6-7）1.黑客(hacker)：對技術的局限性有充分認識，具有操作系統(tǒng)和編程語言方面的高級知識，熱衷編程，查找漏洞，表現(xiàn)自我。他們不斷追求更深的知識，并公開他們的發(fā)現(xiàn)，與其他人分享；主觀上沒有破壞數(shù)據(jù)的企圖?！昂诿弊雍诳汀?，“白帽子黑客”，“灰帽子黑客”?，F(xiàn)在“黑客”一詞在信息安全范疇內的普遍含意是特指對電腦系統(tǒng)的非法侵入者。2.駭客（cracker）：以破壞系統(tǒng)為目標。是hacker的一個分支，發(fā)展到現(xiàn)在，也有“黑帽子黑客”3.紅客（honker）：中國的一些黑客自稱“紅客”honker。例如中國紅客基地。美國警方：把所有涉及到"利用"、"借助"、"通過"或"阻撓"計算機的犯罪行為都定為hacking。4.怎樣才算一名黑客：?1.2.2黑客文化（P8）1.黑客行為（1）不隨便進行攻擊行為。（2）公開自己的作品。（3）幫助其他黑客。（4）義務地做一些力所能及的事情。2.黑客精神（1）自由共享精神。（2）探索與創(chuàng)新精神（3）合作精神?3.黑客準則（P8）（1）不惡意破壞任何系統(tǒng)。（2）不修改任何系統(tǒng)文件。（3）不輕易地將要黑的或黑過的站點告訴別人，不炫耀自己的技術。（4）不入侵或破壞政府機關的主機等。（5）做真正的黑客，努力鉆研技術，研究各種漏洞。?1.2.3如何成為一名黑客（P9）1.黑客必備的基本技能（1）精通程序設計。（2）熟練掌握各種操作系統(tǒng)。（3）熟悉互聯(lián)網與網絡編程。2.如何學習黑客技術（1）濃厚的興趣。（2）切忌浮躁，耐的住寂寞（3）多動手實踐（4）嘗試多次失敗?1.3針對信息安全的攻擊（P10）在正常情況下，有一個信息流從一個信源(例如一個文件或主存儲器的一個區(qū)域)流到一個目的地（例如另一個文件或一個用戶）時，它的信息流動是這樣的：當產生攻擊時，有以下4種情況:上述4種情況又可以按照攻擊的主動性來分為兩類：主動攻擊和被動攻擊。?

1.3.1被動攻擊（P10）本質上是在傳輸中的竊聽或監(jiān)視，其目的是從傳輸中獲得信息。類被動攻擊：析出消息內容和通信量分析。1.3.2主動攻擊（P11）攻擊的第二種類型進一步劃分為四類：偽裝、重放、篡改消息和拒絕服務。主動攻擊表現(xiàn)了與被動攻擊相反的特點。?

1.4.1網絡安全體系的概念（P11）

網絡安全防范是一項復雜的系統(tǒng)工程，是安全策略、多種技術、管理方法和人們安全素質的綜合。韋氏字典對“體系”一詞的定義：（1）各個組成部分的搭配和排列，建筑物上承載重力或外力部分的構造。（2）建造的藝術或科學建造的方法、風格。（3）計算機或計算機系統(tǒng)各部分組織與集成的方式。所謂網絡安全防范體系，就是關于網絡安全防范系統(tǒng)的最高層概念抽象，它由各種網絡安全防范單元組成，各組成單元按照一定的規(guī)則關系能夠有機集成起來，共同實現(xiàn)網絡安全目標。1.4.2網絡安全體系的用途（P12）主要意義（P12）。1.4網絡安全體系（P11）?1.4.3網絡安全體系的組成（P12）網絡安全體系由組織體系、技術體系、管理體系組成。組織體系：由若干工人或工作組構成。技術體系：從技術角度考察安全，通過綜合集成方式而形成的技術集合。例如，網絡系統(tǒng)中（P12）管理體系：是根據(jù)具體網絡的環(huán)境而采取的管理方法和措施的集合。五方面內容：（P12）。?1.4.4網絡安全體系模型發(fā)展狀況（P12）1.PDRR模型。（P12）美國國防部提出的動態(tài)網絡安全策略模型，是Protection、Detection、Recovery、Response的縮寫。如圖1-4。2.ISS的動態(tài)信息安全模型。（P13）美國國際互聯(lián)網安全系統(tǒng)公司（ISS）的自適應網絡安全模型P2DR，是ISS提供的安全解決方案的動態(tài)信息安全基本理論依據(jù)。其中安全策略描述系統(tǒng)的安全需求，以及如何組織各種安全機制實現(xiàn)系統(tǒng)的安全需求。如圖1-5。?1.5信息安全的三個層次（P13）1.5.1安全立法。（P13）我國從1994年起，已針對信息系統(tǒng)安全保護、國際聯(lián)網管理、商用密碼管理、計算機病毒防治和安全產品檢測與銷售5方面制定并發(fā)布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》。1.5.2安全管理。（P14）三分技術，七分管理1.5.3安全技術措施。（P14）主機安全技術；身份認證技術；訪問控制技術；密碼技術；防火墻技術；網絡入侵檢測技術；安全審計技術；安全管理技術；系統(tǒng)漏洞檢測技術?作業(yè)P15?演講完畢，謝謝觀看！附錄資料：不需要的可以自行刪除?企業(yè)信息化概述一、什么是企業(yè)信息化？企業(yè)數(shù)據(jù)信息的收集、處理、傳輸計算機化、網絡化。企業(yè)經營、管理、生產信息化。企業(yè)辦公自動化（OA）企業(yè)管理信息化系統(tǒng)（指MIS/MRPII/ERP/CRM/SCM等中的某個或部分系統(tǒng)）；企業(yè)的主要產品實現(xiàn)CAD，CAE，CAPP/CAM；建立企業(yè)Intranet或網站，開展電子商務（EC）；發(fā)展DSS(DecisionSupportSystem)，ESS(ExecutiveSupportSystem)，ES(ExpertSystem)?ERP的四大核心思想

1.以業(yè)務流程重組(BPR)為先導傳統(tǒng)商務環(huán)境下，企業(yè)多按職能部門進行具體業(yè)務的運作與考核。按專業(yè)職能分別執(zhí)行任務，各自處理信息，阻隔了各部門間的信息交流與共享，也降低了具體業(yè)務在企業(yè)內部的運行效率。ERP要求企業(yè)將采購、生產、銷售、財務、決策等不同部門的工作進行有效整合，依物流、資金流設計具體業(yè)務流程，及時匯總整理每日營運資料，實時跟蹤生產過程，處理生產中的動態(tài)信息，從而實現(xiàn)JIT管理，全面質量控制，變“結果管理”為“過程管理”。實施ERP首先要進行業(yè)務流程重組。?ERP的四大核心思想2．以供應鏈管理(SCM)為重點ERP系統(tǒng)在MRPII的基礎上擴展了管理范圍，它把客戶需求和企業(yè)內部的制造活動以及供應商的制造資源整合在一起，形成一個完整的供應鏈，并對供應鏈上的所有環(huán)節(jié)進行有效管理。供應鏈跨越了部門與企業(yè)，形成了以產品或服務為核心的業(yè)務流程。包括原材料供應商、產品制造商、分銷商與零售商和最終用戶。SCM從市場競爭出發(fā)，實現(xiàn)了上下游企業(yè)資源與業(yè)務的重組，大大改善了社會經濟活動中物流與信息流運轉的效率和效果，消除了中間冗余的環(huán)節(jié)，減少了浪費，避免了延誤。?ERP的四大核心思想

3．以客戶關系管理(CRM)為中心市場的激烈競爭使企業(yè)關注的焦點逐漸由關注產品轉移到關注客戶上來。尤其是在營銷、客戶服務等與客戶直接打交道的前臺領域?？蛻絷P系管理幫助企業(yè)最大限度地利用以客戶為中心的資源，并將這些資源集中應用于現(xiàn)有客戶和潛在客戶身上。其目標是通過縮短銷售周期和降低銷售成本，通過尋求擴展業(yè)務所需的新市場和新渠道，并通過增進客戶價值、客戶滿意度、盈利能力以及客戶的忠誠度等方面來改善企業(yè)的管理。?ERP的四大核心思想

4．全面整合企業(yè)內外資源ERP將圍繞幫助企業(yè)實現(xiàn)管理模式的調整以及為企業(yè)提供電子商務解決方案服務。它支持企業(yè)的動態(tài)聯(lián)盟、以團隊為核心的扁平化組織結構方式和協(xié)同工作方式，通過計算機網絡將企業(yè)、用戶、供應商及其他商貿活動涉及的職能機構集成起來，實現(xiàn)信息流、物流和資金流的有效流轉和優(yōu)化。?ERP應用效果的國際評判標準

被稱為“MRP”之父的OliverWilt開設了一家國際權威的企業(yè)資源計劃評審機構，他把實施效果按照應用水平定為四個級別，從優(yōu)秀開始，分別為A、B、C、D，每一級都有明確的標準。?

A級企業(yè)的標準

全公司上下必須都在有效地運用ERP系統(tǒng)，從銷售管理、客戶服務到生產制造和庫存管理，從車間作業(yè)到物資采購以及計劃預算等等。經過一定的數(shù)據(jù)積累，企業(yè)的高層管理人員可以通過ERP系統(tǒng)中的決策支持系統(tǒng)，全面地了解和掌握企業(yè)的經營狀況，準確地分析和制訂企業(yè)的發(fā)展方向，有效地控制和降低企業(yè)的運作成本。同時，企業(yè)的中層管理者可以通過ERP系統(tǒng)安排好相應的采購計劃、生產計劃、銷售計劃和資金計劃。并且，企業(yè)的基層管理隊伍可以通過ERP系統(tǒng)操作下達日常的工作指令。

?

B級企業(yè)的標準

在ERP系統(tǒng)的選型、實施和應用過程中，都能得到企業(yè)的高層管理人員的支持，但在決策支持方面，ERP系統(tǒng)沒有提供足夠的幫助，而僅限于中層管理者和基層管理隊伍的使用。?

C級企業(yè)的標準

一般都以多部門局部應用為主，ERP系統(tǒng)主要作為客戶／銷售訂單錄入、制造／作業(yè)單管理、采購計劃編制、財務憑證錄入和財務報表產生的工具。以庫存管理為主，企業(yè)的每個或多個部門都在獨立地運用ERP系統(tǒng)，業(yè)務部門和財務部門沒有完全集成。如果企業(yè)在定位上是一個集成的系統(tǒng)，只是在實施中沒有達到集成的效果，企業(yè)可以通過一定的業(yè)務流程重組(BPR)來幫助進行有效的ERP系統(tǒng)實施。如果企業(yè)選擇的并不是一個集成的系統(tǒng)，無論如何調整和實施也不能達到更高標準。?D級企業(yè)的標準ERP應用往往是單一部門的，例如，財務部門在用，其他部門由于數(shù)據(jù)不準確，或者對系統(tǒng)缺乏全面深人的了解而擱置不用。?企業(yè)信息化的一般模式

1．前臺：建立電子商務應用平臺(1)建立基礎電子商務平臺。內容包括企業(yè)的主頁、企業(yè)產品的廣告宣傳、企業(yè)形象的宣傳、企業(yè)服務內容的介紹，以及其他如電子郵件等功能。

(2)建立電子商務應用模式。不同企業(yè)具有不同的電子商務應用模式?？砂ㄙu方解決方案，買方解決方案和第三方交易平臺，即以中介形式在網上將供應商和采購商聯(lián)系在一起，通過向客戶提供會員服務收取月租費或按交易記錄收取交易費。?企業(yè)信息化的一般模式

2．后臺：建立以ERP為核心的集成系統(tǒng)一個真正信息化的企業(yè)，企業(yè)內外所有的工作都應在統(tǒng)一的信息化平臺上完成。這些內容包括企業(yè)資源計劃、計算機集成制造、供應鏈管理、客戶關系管理、電子商務、辦公自動化等等。?企業(yè)實施信息化的風險

根據(jù)美國史坦迪公司的調查數(shù)據(jù)，企業(yè)信息化的成功率為26％。不成功的因素包括：“撤項”、“降低項目目標”、“資金超出預算(平均超178％)”、“項目周期無限拖長(平均超230％)”。由于國內后兩項通常不判定為失敗，因此按國內標準美國信息化的成功率為60％左右。因此，企業(yè)實施信息化工程存在著較大風險。?企業(yè)實施信息化的風險1．財務