信息系统安全
2010-3
电子工业出版社
林国恩,李建彬 编著
237
日新月异的技术发展及应用变迁不断给信息系统的建设者与管理者带来新的机遇和挑战。例如,以Web 2.0为代表的社会性网络应用的发展深层次地改变了人们的社会交往行为以及协作式知识创造的形式,进而被引入企业经营活动中,创造出内部Wiki(Internal Wiki)、预测市场(Prediction Market)等被称为“Enterprise 2.0”的新型应用,为企业知识管理和决策分析提供了更为丰富而强大的手段;以“云计算”(Cloud Computing)为代表的软件和平台服务技术,将IT外包潮流推向了一个新的阶段,像电力资源一样便捷易用的IT基础设施和计算能力已成为可能; 以数据挖掘为代表的商务智能技术,使得信息资源的开发与利用在战略决策、运作管理、精准营销、个性化服务等各个领域发挥出难以想象的巨大威力。对于不断推陈出新的信息技术与信息系统应用的把握和驾驭能力,已成为现代企业及其他社会组织生存发展的关键要素。根据2008年中国互联网络信息中心(CNNIC)发布的《第23次中国互联网络发展状况统计报告》显示,我国的互联网用户数量已超过2.98亿人,互联网普及率达到22.6%,网民规模全球第一。与2000年相比,我国互联网用户的数量增长了12倍。换句话说,在过去的8年间,有2.7亿中国人开始使用互联网。可以说,这样的增长速度是世界上任何其他国家所无法比拟的,并且可以预期,在今后的数年中,这种令人瞠目的增长速度仍将持续,甚至进一步加快。伴随着改革开放的不断深入,互联网的快速渗透推动着中国经济、社会环境大步迈向信息时代。从而,我国“信息化”进程的重心,也从企业生产活动的自动化,转向了全球化、个性化、虚拟化、智能化、社会化环境下的业务创新与管理提升。长期以来,信息化建设一直是我国国家战略的重要组成部分,也是国家创新体系的重要平台。近年来,国家在中长期发展规划及一系列与发展战略相关的文件中充分强调了信息化、网络文化和电子商务的重要性,指出信息化是当今世界发展的大趋势,是推动经济社会发展和变革的重要力量。《2006-2020年国家信息化发展战略》提出要能“适应转变经济增长方式、全面建设小康社会的需要,更新发展理念,破解发展难题,创新发展模式”,这充分体现出信息化在我国经济、社会转型过程中的深远影响,同时也是对新时期信息化建设和人才培养的新要求。在这样的形势下,信息管理与信息系统领域的专业人才,只有依靠开阔的视野和前瞻性的思维,才有可能在这迅猛的发展历程中紧跟时代的脚步,并抓住机遇做出开拓性的贡献。另外,信息时代的经营、管理人才和知识经济环境下各行各业的专业人才,也需要拥有对信息技术发展及其影响力的全面认识和充分的领悟,才能在各自的领域之中把握先机。因此,信息管理与信息系统的专业教育也面临着持续更新、不断完善的迫切要求。我国信息系统相关专业的教育已经历了较长时间的发展,形成了较为完善的体系,其成效也已初步显现,为我国信息化建设培养了一大批骨干人才。但我们仍然应该清醒地意识到,作为一个快速更迭、动态演进的学科,信息管理与信息系统专业教育必须以综合的视角和发展的眼光不断对自身进行调整和丰富。本系列教材的编撰,就是希望能够通过更为系统化的逻辑体系和更具前瞻性的内容组织,帮助信息管理与信息系统相关领域的学生及实践者更好地掌握现代信息系统建设与应用的基础知识和基本技能,同时了解技术发展的前沿和行业的最新动态,形成对新现象、新机遇、新挑战的敏锐洞察力。本系列教材的宗旨在于体系设计上较全面地覆盖新时期信息管理与信息系统专业教育的各个知识层面,既包括宏观视角上对信息化相关知识的综合介绍,也包括对信息技术及信息系统应用发展前沿的深入剖析, 同时也提供了对信息管理与信息系统建设各项核心任务的系统讲解。此外,还对一些重要的信息系统应用形式进行重点讨论。本系列教材主题涵盖信息化概论、信息与知识管理、信息资源开发与管理、管理信息系统、商务智能原理与方法、决策支持系统、信息系统分析与设计、信息组织与检索、电子政务、电子商务、管理系统模拟、信息系统项目管理、信息系统运行与维护、信息系统安全等内容。在编写中注意把握领域知识上的“基础、主流与发展”的关系,体现“管理与技术并重”的领域特征。我们希望,这套系列教材能够成为相关专业学生循序渐进了解和掌握信息管理与信息系统专业知识的系统性学习材料,同时成为知识经济环境下从业人员及管理者的有益参考资料。
本书作为全国普通高等教育“十一五”国家级规划教材,内容包括信息系统安全基本概念、信息系统安全体系、信息系统安全管理目标、信息系统安全需求、风险管理与控制、风险评估与分析、信息系统安全技术、信息安全标准与法律法规。本书结合目前信息系统安全的教学研究和实践需要,以网上银行系统为例,介绍了安全信息系统具体实现的过程;此外,本书也介绍了比较新颖的责任追究技术,以及在信息系统安全研究领域中引入“机构组织结构”(Enterprise Architecture)和“信息系统的安全开发生命周期”(Security Considerations in the Information System Development Life Cycle)等与信息管理相关的概念。 本书强调管理手段对信息系统安全的重要性,分析安全技术与安全管理的互动,突出信息管理对安全技术提出的需求及安全技术对信息管理的影响,并把软件工程中的软件生命周期的概念引入信息系统安全领域,从开发过程管理的角度提高安全措施的可信性。 书着重从实践的角度,对信息系统安全概念、信息系统需求、信息系统的设计(包括安全技术应用和安全管理两方面)、信息系统的实践作概况性介绍,同时尽量采用当前国际信息安全研究领域的最新成果和研究方向,便于读者能够了解信息安全研究的最新动态。 本书主要供计算机专业和信息系统管理专业的本科生和研究生作为信息安全课程的教材使用。同时,本书也适合信息安全管理人员作为在信息系统开发过程中使用。希望读者在阅读本书时,能从管理与实践的角度,重新认识和理解信息安全的概念。
林国恩,清华大学软件学院教授、博士生导师,信息系统安全(教育部)重点实验室主任,国家自然科学基金委员会“可信软件基础研究”重大研究计划专家指导组成员。1987年获英国伦敦大学计算机科学一级荣誉学士学位,1990年获英国剑桥大学博士学位。自1990年起,曾经分别在英国伦
第1部分 信息系统安全概论 第1章 信息系统安全概述 第2部分 信息系统安全需求 第2章 信息系统安全的管理目标 第3章 信息系统安全需求分析 第3部分 信息系统安全管理 第4章 信息系统安全管理概述 第5章 信息系统安全风险管理与控制 第6章 信息安全风险分析与评估 第7章 信息系统安全管理措施 第4部分 信息系统安全技术 第8章 信息安全技术概述 第9章 信息安全法律法规 第10章 密码技术的应用与安全协议 第11章 安全检测与审计 第5部分 信息系统安全标准规范与法律法规 第12章 责任追究技术 第13章 信息安全标准体系 第14章 信息安全法律法规 第6部分 信息系统安全实践 第15章 安全信息系统的开发 第16章 网上银行系统安全设计 附录A 信息系统安全相关国内标准和指南 附录B 信息系统安全开发生命周期中的安全考虑 缩略语 参考文献
插图:(3)第三阶段(20世纪80年代)。这一阶段是计算机局部网络发展的成熟阶段,计算机局部网络开始走向产品化、标准化,形成了开放系统的互联网络。为了使计算机之间的通信连接可靠,建立了分层通信体系和相应的网络通信协议,于是诞生了以资源共享为主要目标的计算机网络。由于网络中的计算机之间具有数据交换的能力,使得在更大范围内,计算机之间能协同工作、实现分布处理甚至并行处理。联网用户之间直接通过计算机网络,进行信息交换的通信能力也大大增强。20世纪80年代初,随着个人计算机(Personal Computer,PC)应用的推广,PC联网的需求也随之增大,各种基于PC互联的微机局域网纷纷出现。这个时期的微机局域网系统的典型结构,是在共享媒质通信网平台上的共享文件服务器,即为所有联网PC设置一台专用的可共享的网络文件服务器。每个PC用户的主要任务仍在自己的PC上运行,仅在需要访问共享磁盘文件时才通过网络访问文件服务器,这体现了在计算机网络中各计算机之间的协同工作。这种基于文件服务器的微机网络对网内计算机进行了分工:PC面向用户,微机服务器专用于提供共享文件资源。所以这种网络实际上就是一种客户机/服务器模式。计算机网络系统是非常复杂的系统,计算机之间相互通信涉及许多复杂的技术问题。为实现计算机网络通信,计算机网络采用的是分层解决网络技术问题的方法。但是,由于存在不同的分层网络系统体系结构,基于这些体系结构开发的产品之间很难实现互联。为此,国际标准化组织(ISO)在1984年正式颁布了“开放系统互联基本参考模型”OSI国际标准,使计算机网络体系结构实现了标准化。(4)第四阶段(20世纪90年代至今)。这一阶段是计算机万维网的发展阶段。进入90年代,计算机技术、通信技术及计算机网络技术得到了迅猛的发展。特别是1993年美国宣布建立国家信息基础设施后,全世界许多国家纷纷制定和建立本国的国家信息基础设施,从而极大地推动了计算机网络技术的发展,使计算机网络发展进入了一个崭新的阶段。在90年代,全球以美国为主导的高速计算机互联网络(即Internet)已经成为人类最重要的、最大的通用计算机网络。即使如此,Internet的发展并没有停下来。美国政府又分别于1996年和1997年开始,研究发展更加快速可靠的互联网2(Internet2)和下一代互联网(Next Generation Internet)。时至今日,Internet技术的高度成熟与渗透使得Internet成为各种大型分布式信息系统的系统结构的一部分。网络互联、高速计算机网络及移动网络正成为最新一代计算机网络的发展方向。然而,网络的高渗透与普及得益于Internet的开放特点,可是信息安全的问题也正因为Internet的开放特点而变得越来越严峻。1.1.2 信息系统安全的发展从上面的简略介绍可知,随着计算机操作系统和网络的发展,人们所面临的安全问题也在不断变化,信息安全的内涵也相应产生变化。
《信息系统安全》:普通高等教育“十一五”国家级规划教材,“信息化与信息社会”系列丛书之高等学校信息管理与信息系统专业系列教材
