1、第2单元 信息系统的集成第1单元 信息系统的组成与功能第3单元 信息系统的设计与开发第4单元 信息系统的安全第5单元 信息社会的建设信息技术信息技术(必修(必修2 2)4.3 4.3 信息系统安全管理信息系统安全管理学习目标1.1.了解信息系统安全的范围和管理措施。了解信息系统安全的范围和管理措施。2.2.能够根据机构的安全策略选择适当的信息安全技术。能够根据机构的安全策略选择适当的信息安全技术。3.3.能够针对业务或机构的实际情况进行信息系统安全管理设置。能够针对业务或机构的实际情况进行信息系统安全管理设置。4.4.树立安全技术与安全管理相结合的意识树立安全技术与安全管理相结合的意识 。新课
2、导入 上课之前,我们来看一个案例。小邓是一名年轻的程序员。有一天,他在做危险上课之前,我们来看一个案例。小邓是一名年轻的程序员。有一天,他在做危险操作的时候,因为手快,误删了重要的工作数据,让公司的系统瘫痪了操作的时候,因为手快,误删了重要的工作数据,让公司的系统瘫痪了1010个小时。结个小时。结果他被开除了,还被全公司通报批评。果他被开除了,还被全公司通报批评。针对上面的事例,同学们有什么感想?针对上面的事例,同学们有什么感想?人为因素是影响信息系统安全的重要因素之一人为因素是影响信息系统安全的重要因素之一。一般来说信息系统安全事件发生的原因主要有三大方面:一般来说信息系统安全事件发生的原因
3、主要有三大方面:1 1、信息设备使用人员认识不足;、信息设备使用人员认识不足;2 2、操作不当;、操作不当;3 3、不法分子恶意攻击破坏。、不法分子恶意攻击破坏。信息系统安全风险,信息系统安全风险,又可以通过什么方式来降低?又可以通过什么方式来降低?管理管理本节课,我们来学习信息系统安全管理。本节课,我们来学习信息系统安全管理。学校机房学校机房制定的制定的规章制度,用来规范教职员工、学生的操作和使用行为。规章制度,用来规范教职员工、学生的操作和使用行为。任务 探讨信息系统的安全管理体系 活动1 探讨学校机房的管理制度思考:思考:1 1、机房的管理制度是否能减少人为因素造成的故障?机房的管理制度
4、是否能减少人为因素造成的故障?2 2、是否还有需要改进的地方?是否还有需要改进的地方?阅读给出的机房制度图片,完善表格阅读给出的机房制度图片,完善表格4.3.14.3.1。学校机房的规章制度学校机房的规章制度不遵守规章制度可能产生的安全风险不遵守规章制度可能产生的安全风险不能随意使用不能随意使用U U盘及可移动硬盘盘及可移动硬盘机房内不能带入水及饮料机房内不能带入水及饮料增加病毒传播的可能增加病毒传播的可能造成电路短路造成电路短路表表4.3.1 4.3.1 机房规章制度用途分析表机房规章制度用途分析表如图所示,请查阅资料,将有关内容记录在表格中。如图所示,请查阅资料,将有关内容记录在表格中。活
5、动2 探讨信息安全管理标准1.1.对工作申请者实施背景检查;对工作申请者实施背景检查;2.2.签订雇佣合同和保密协议;签订雇佣合同和保密协议;3.3.加强在职人员的安全管理;加强在职人员的安全管理;4.4.严格控制人员离职程序,立即撤销离职者的访问权限。严格控制人员离职程序,立即撤销离职者的访问权限。信息系统安全运行有相应的组织、制度和人员保障。为避免风险,组信息系统安全运行有相应的组织、制度和人员保障。为避免风险,组织应采取织应采取以以下措施,加强内部人员的安全管理。下措施,加强内部人员的安全管理。高度重视人员安全问题 信息系统安全管理信息系统安全管理可划分为可划分为:事先防御事先防御阶段、
6、阶段、实时监测实时监测阶段和阶段和事后响应事后响应阶段阶段。所属阶段所属阶段校园安全防护校园安全防护信息系统安全管理信息系统安全管理事先事先防御防御围墙隔离围墙隔离门卫核查门卫核查特殊接送特殊接送网络隔离网络隔离访问控制访问控制加密传输加密传输实时实时监控监控视频监控视频监控保卫巡逻保卫巡逻火灾探测火灾探测病毒监控病毒监控入侵检测入侵检测系统系统/用户行为监控用户行为监控事后事后相应相应报警、急救报警、急救事故认定、问责事故认定、问责修复、加固修复、加固报警、急救报警、急救取证、问责取证、问责修复、加固修复、加固信息系统安全管理的阶段 在不同的安全管理阶段,利用在不同的安全管理阶段,利用病毒监
7、控、加密传输、防火墙病毒监控、加密传输、防火墙等安全技术,是等安全技术,是信息系统安全防护的重要措施和手段。信息系统安全防护的重要措施和手段。“技术”和“管理”大多数安全事故的发生和安全隐患的产生,大多数安全事故的发生和安全隐患的产生,既有技术原因也有管理上的问题。既有技术原因也有管理上的问题。对安全技术和产品的选择运用,只是信息安全实践活动中的一部分。信息系对安全技术和产品的选择运用,只是信息安全实践活动中的一部分。信息系统安全更广泛的内容,还包括制定完备的安全策略,通过风险评估来确定需求,统安全更广泛的内容,还包括制定完备的安全策略,通过风险评估来确定需求,根据需求选择安全技术和产品,并按
8、照既定的安全策略和流程规范来实施,维护根据需求选择安全技术和产品,并按照既定的安全策略和流程规范来实施,维护和审查安全控制措施。归根到底,信息安全并不只是技术过程,更重要的是管理和审查安全控制措施。归根到底,信息安全并不只是技术过程,更重要的是管理过程。过程。对待技术和管理的关系应该有充分理性的认识,对待技术和管理的关系应该有充分理性的认识,技术是技术是实现安全目标的实现安全目标的手段手段,管理是管理是选择、实施、使用、维护、审查包括技术措施在内的安全手段的选择、实施、使用、维护、审查包括技术措施在内的安全手段的整个过程整个过程,是是实现信息安全目标的实现信息安全目标的必由之路必由之路。活动3
9、 探讨信息安全管理策略 信息系统安全的重点会随着信息系统使用者的需求不同而发生变化,进而影响信息系统安全的重点会随着信息系统使用者的需求不同而发生变化,进而影响到对信息系统安全管理策略的制定。到对信息系统安全管理策略的制定。学习学习中华人民共和国网络安全法中华人民共和国网络安全法:措施措施A Actionction计划计划P Planlan检查检查C Checkheck实施实施D Do o管理周期管理周期针对检查结果采取应对措针对检查结果采取应对措施,改进安全状况。施,改进安全状况。根据风险评估结果、法律法规根据风险评估结果、法律法规要求、组织业务运作自身需要要求、组织业务运作自身需要来确定控
10、制目标与控制措施。来确定控制目标与控制措施。依据策略、程序、标准和法依据策略、程序、标准和法律法规,对安全措施的实施律法规,对安全措施的实施情况进行符合性检查。情况进行符合性检查。实施所选的安全控制措实施所选的安全控制措施。施。信息系统安全管理模型 把握信息系统安全管理决策要点,可以全面而有针对性地解决把握信息系统安全管理决策要点,可以全面而有针对性地解决相关问题。相关问题。1.1.制定信息安全管理方针和多层次的安全策略,以便为各项信息安全管理活制定信息安全管理方针和多层次的安全策略,以便为各项信息安全管理活动提供指引和支持。动提供指引和支持。2.2.通过风险评估来充分发掘组织真实的信息安全需要。通过风险评估来充分发掘组织真实的信息安全需要。3.3.遵循预防为主的理念。遵循预防为主的理念。4.4.加强人员的安全意识和安全教育。加强人员的安全意识和安全教育。5.5.足够重视并提供切实有效的支持。足够重视并提供切实有效的支持。6.6.持有动态管理、持续改进的思想。持有动态管理、持续改进的思想。7.7.以业务持续发展为目标,达成信息安全控制的力度、使用的便利性以及成以业务持续发展为目标,达成信息安全控制的力度、使用的便利性以及成本投入之间的平衡。本投入之间的平衡。信息系统安全管理决策要点课堂小结课堂小结
