1、电子文件安全管理的目标电子文件安全风险识别与评估电子文件安全管理措施加密技术信息认证技术系统安全技术备份第十二章第十二章 电子文件安全管理电子文件安全管理一、理解信息安全 按照一般理解,信息安全是指计算机信息系统的硬件、软件和系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露 信息安全层次第一节第一节 电子文件安全管理概述电子文件安全管理概述二、电子文件安全管理的目标 维护电子文件的完整性 确保电子文件信息的真实性 确保电子文件信息的机密性 保障电子文件的可用性第一节第一节 电子文件安全管理概述电子文件安全管理概述三、电子文件安全管理原则 全程原则 动态原则 平衡原则 风险管
2、理原则第一节第一节 电子文件安全管理概述电子文件安全管理概述四、电子文件安全管理的主要规范 信息安全主要的国际标准 ISO 17799、ISO 15048、ISO 13335 信息安全主要的国内规范 相应法律法规和信息安全标准规范第一节第一节 电子文件安全管理概述电子文件安全管理概述一、电子文件安全风险识别 自然与社会环境因素 保管场所、天灾人祸 技术因素 软硬件漏洞、黑客攻击、病毒风险、系统设计风险 管理因素 规范缺失、权限管理不当、人员管理问题 电子文件安全风险的特点 客观性、广泛性、连带性第二节第二节 电子文件安全风险识别与评估电子文件安全风险识别与评估二、电子文件安全风险评估 风险模型
3、第二节第二节 电子文件安全风险识别与评估电子文件安全风险识别与评估二、电子文件安全风险评估 组织机构与职责 电子文件管理机构应建立规范的风险评估机构或小组,明确管理人员的责任义务,必要时还可以聘请外部机构专业人员介入或指导工作 风险评估小组的职责包括做好各项前期工作,以预防为主;制定合理策略和预案,对每项风险有充分的认识;对未知风险做好预测;采取适当措施,消除可预见风险等第二节第二节 电子文件安全风险识别与评估电子文件安全风险识别与评估一、安全管理规范制定 常规管理制度 备份恢复制度 应急预案制度第三节第三节 电子文件安全管理措施电子文件安全管理措施二、实施等级保护 依据标准划分等级 档案信息
4、系统安全保护等级 第一级,自主保护级 第二级,指导保护级 第三级,监督保护级 第四级,强制保护级 第五级,专控保护级第三节第三节 电子文件安全管理措施电子文件安全管理措施三、人员管理 健全的人员管理是安全管理的基础,包括系统各类人员应具备合理的知识结构,合理分配和有效监督各类人员的管理权限,培训和考核人员等第三节第三节 电子文件安全管理措施电子文件安全管理措施一、物理防范 物理安全 机房安全 设备安全第四节第四节 电子文件安全技术措施电子文件安全技术措施二、加密技术 对称加密技术:也称私钥技术,它使用单个密钥对数据进行加密或解密,计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难,主
5、要是密钥管理困难,使用成本较高,安全性能也不易保证 非对称加密技术也叫公钥技术。这种技术的特点是有两个密钥(即公开密钥和私有密钥),只有二者搭配使用才能完成加密和解密的全过程第四节第四节 电子文件安全技术措施电子文件安全技术措施三、信息认证技术 数字签名技术 可信时间戳技术 PKI技术 口令技术 生物识别第四节第四节 电子文件安全技术措施电子文件安全技术措施四、系统安全技术 操作系统安全 防火墙技术 入侵检测技术 病毒防治 物理隔离第四节第四节 电子文件安全技术措施电子文件安全技术措施五、备份 数据备份原则 备份方式:系统备份、数据备份、本地备份、网络备份、全备份、增量备份、差分备份、按需备份 备份管理策略:备份设备选择、异地异质备份等第四节第四节 电子文件安全技术措施电子文件安全技术措施 如何理解电子文件安全管理的目标?简述电子文件安全管理的原则。如何理解安全风险模型?电子文件管理过程中所面临的安全风险都有哪些主要类型?在电子文件安全管理中如何进行综合管理防范?电子文件安全管理的物理防范要点是什么?你是如何认识加密技术在电子文件安全管理中的作用的?论述信息认证技术在电子文件真实性保障工作中的用途。结合自身所处网络环境,简述如何运用系统安全技术进行安全防护。10 如果你是某机构文档主管,如何确定本单位的电子文件备份方案?思考与练习