(
课件网) 教科版(2019版)信息技术 (高中 必修2 信息系统化与社会) 第4单元 信息系统的安全 4.3信息系统安全管理 1. 了解信息系统安全的范围和管理措施。 2. 能够根据机构的安全策略选择适当的信息安全技术 。 3. 能够针对业务或机构的实际情况进行信息系统安全管理设置 。 4. 树立安全技术与安全管理相结合的意识 。 学习目标: 重点难点: 重点:信息系统安全的范围和管理措施。 难点:信息系统安全管理设置。 某快递公司的数据维护人员在一次饮酒上班时,由于酒精作用,精神不集中,一不小心删除了部分数据库,导致上万件包裹滞留。为此公司全员加班,持续24小时才恢复数据。 这些人为因素是造成信息系统安全风险,可以通过什么方式来降低? 1.引入 造成本次事故的因素是什么? 管理 一般来说信息系统安全事故主要有三大方面: 1. 信息设备使用人员认识不足; 2. 操作不当; 3. 不法分子恶意攻击破坏。 这些信息系统安全风险,又可以通过什么方式来降低? 1.引入 管理 学校机房都有其规章制度,用来规范教职员工、学生的操作和使用行为。 为什么要设置这么多规定呢? 2.活动1 探讨学校机房的管理制度 2.活动1 探讨学校机房的管理制度 学校机房的规章制度 不遵守规章制度可能产生的安全风险 不能随意使用U盘及可移动硬盘 机房内不能带入水及饮料 增加病毒传播的可能 造成电路短路 思考: 机房的管理制度是否能减少人为因素造成的故障? 1. 对工作申请者实施背景检查; 2. 签订雇佣合同和保密协议; 3. 加强在职人员的安全管理; 4. 严格控制人员离职程序,立即撤销离职者的访问权限。 3.高度重视人员安全问题 信息系统安全运行有相应的组织、制度和人员保障。为避免风险,组织应采取一下措施,加强内部人员的安全管理。 4.信息系统安全管理的阶段 信息系统安全管理可划分为:事先防御阶段、实时监测阶段和事后响应阶段。 所属阶段 校园安全防护 信息系统安全管理 事先防御 围墙隔离 门卫核查 特殊接送 网络隔离 访问控制 加密传输 实时监控 视频监控 保卫巡逻 火灾探测 病毒监控 入侵检测 系统/用户行为监控 事后相应 报警、急救 事故认定、问责 修复、加固 报警、急救 取证、问责 修复、加固 4.信息系统安全管理的阶段 信息系统安全管理可划分为:事先防御阶段、实时监测阶段和事后响应阶段。 在不同的安全管理阶段,利用病毒监控、加密传输、防火墙等安全技术,是信息系统安全防护的重要措施和手段。 5.“技术”和“管理” “技术”和“管理”哪个重要? 大多数安全事故的发生和安全隐患的产生,既有技术原因也有管理上的问题。 归根到底,信息安全并不只是技术过程,更重要的是管理过程。 信息安全内容:包括制定完备的安全策略,通过风险评估来确定需求,根据需求选择安全技术和产品,并按照既定的安全策略和流程规范来实施,维护和审查安全控制措施。 5.“技术”和“管理” 课本中说:“更重要的是管理”,那么,在国家层面上的管理是怎么做的? 5.“技术”和“管理” 个人或企业等不同用户群体在安全策略上又有什么区别? 6.信息系统安全管理模型 措施 Action 计划 Plan 检查 Check 实施 Do 管理周期 针对检查结果采取应对措施,改进安全状况。 根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。 依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。 实施所选的安全控制措施。 7.信息系统安全管理决策要点 把握信息系统安全管理决策要点,可以全面而有针对性地解决相关问题。 1.制定信息安全管理方针和多层次的安全策略,以便为各项信息安 全管理活动提供指引和支持。 2.通过风险评估来充分发掘组织真 ... ...
