信息系统安全

第一篇：信息系统安全数字签名过程“发送报文时，发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密，这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方，接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要，接着再用发送方的公用密钥来对报文附加的数字签名进行解密，如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。数字签名有两种功效：一是能确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。”这报文鉴别的描述！数字签名没有那么复杂。数字签名：发送方用自己的密钥对报文X进行E运算，生成不可读取的密文Esk，然后将Esx传送给接收方，接收方为了核实签名，用发送方的密钥进行D运算，还原报文。口令攻击的主要方法1、社会工程学(socialEngineering)，通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强用户意识。2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令，像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后，黑客可以列举出几百种可能的口令，并在很短的时间内就可以完成猜测攻击。3、字典攻击。如果猜测攻击不成功，入侵者会继续扩大攻击范围，对所有英文单词进行尝试，程序将按序取出一个又一个的单词，进行一次又一次尝试，直到成功。据有的传媒报导，对于一个有8万个英文单词的集合来说，入侵者不到一分半钟就可试完。所以，如果用户的口令不太长或是单词、短语，那么很快就会被破译出来。4、穷举攻击。如果字典攻击仍然不能够成功，入侵者会采取穷举攻击。一般从长度为1的口令开始，按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令，穷举攻击的成功率很高。如果每千分之一秒检查一个口令，那么86%的口令可以在一周内破译出来。5、混合攻击，结合了字典攻击和穷举攻击，先字典攻击，再暴力攻击。避免以上四类攻击的对策是加强口令策略。6、直接破解系统口令文件。所有的攻击都不能够奏效，入侵者会寻找目标主机的安全漏洞和薄弱环节，饲机偷走存放系统口令的文件，然后破译加密的口令，以便冒充合法用户访问这台主机。7:网络嗅探(sniffer)，通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。8:键盘记录，在目标系统中安装键盘记录后门，记录操作员输入的口令字符串，如很多间谍软件，木马等都可能会盗取你的口述。9:其他攻击方式，中间人攻击、重放攻击、生日攻击、时间攻击。避免以上几类攻击的对策是加强用户安全意识，采用安全的密码系统，注意系统安全，避免感染间谍软件、木马等恶意程序。第二篇：信息系统安全管理制度信息系统安全管理制度一、总则1、为加强公司网络管理，明确岗位职责，规范操作流程，维护网络正常运行，确保计算机信息系统的安全，现根据《中华人民共和国计算机信息系统安全保护条例》、等有关规定，结合本公司实际，特制订本制度；2、计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统；3、公司由微机科专门负责本公司范围内的计算机信息系统安全管理工作。二、网络管理1、遵守国家有关法律、法规，严格执行安全保密制度及公司信息保密协议相关条款，不得利用网络从事危害公司安全、泄露公司秘密等违法犯罪活动，严格控制和防范计算机病毒的侵入；2、禁止未授权用户或外来计算机接入公司计算机网络及访问、拷贝网络中的资源；3、任何员工不得故意输入、传播计算机病毒和其他有害数据，不得利用非法手段复制、截收、篡改计算机信息系统中的数据；4、计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码；计算机使用者更应以30天为周期更改密码、密码长度不少于8位。三、设备管理1、IT设备安全管理实行“谁使用谁负责”的原则（公用设备责任落实到部门）。严禁擅自移动和装拆各类设备及其他辅助设备；严禁擅自请人维修；严禁擅自调整部门内部计算机信息系统的安排；2、设备硬件或重装操作系统等问题由微机科统一管理。四、数据管理1、计算机终端用户计算机内的资料涉及公司秘密的，应该为计算机设定开机密码或将文件加密；凡涉及公司机密的数据或文件，非工作需要不得以任何形式转移，更不得透露给他人。离开原工作岗位的员工由所在部门经理负责将其所有工作资料收回并保存；2、工作范围内的重要数据（重要程度由