信息组织 第六章 信息资源的安全管理.ppt

《信息资源组织与管理》 　 第 6 章 信息资源的安全管理 教学目的 使学生对信息资源安全管理有深刻的了解； 掌握信息资源安全管理的概念； 重点掌握信息资源安全管理的六个层次 教学要求 做到对信息资源安全管理有个全面的了解； 掌握基本概念； 掌握信息资源安全管理的安全管理制度、环境安全、物理实体安全、网络安全、软件安全、数据信息安全。 信息资源的安全管理 6.1 信息资源安全管理概述 6.2 安全管理制度 6.3 环境安全 6.4 物理实体安全 6.5 网络安全 6.6 软件安全 6.7 数据信息安全 6.1 信息资源安全管理概述 6.1.1 信息资源安全的概念 6.1.2 威胁信息资源安全的主要因素 6.1.3 信息资源的安全管理模型 6.1.1 信息资源安全的概念 信息资源安全： 是指信息资源所涉及的硬件、软件及应用系统受到保护，以防范和抵御对信息资源不合法的使用和访问以及有意无意的泄漏和破坏。 6.1.2 威胁信息资源安全的主要因素 　1、天灾 天灾轻则造成业务工作混乱，重则造成系统中断甚至造成无法估量的损失。 　2、人祸 3、信息系统自身的脆弱性 计算机硬件系统的故障。 软件的“后门”。 软件的漏洞。 6.1.3 信息资源的安全管理模型 1、信息安全资源的安全管理的6层次模型 6.1.3 信息资源的安全管理模型 每一层次主要包括的安全管理或安全技术内容 安全管理制度。法律法规、行政管理措施。 环境安全。场地安全、中心机房安全。 物理实体安全。设备布置安全、设备供电安全、电缆安全、设备维护安全、场所外设备安全、设备的处置及再利用安全。 网络安全。数据加密技术、密钥管理技术、访问控制技术、反病毒技术、防火墙技术。 软件安全。应用软件安全、系统软件安全。 数据信息安全。数据库系统安全技术、数据备份技术、终端安全技术、数据完整性鉴别技术、数据签名技术、信息审计跟踪技术。 6.2 安全管理制度 6.2.1 法律法规 6.2.2 行政管理措施 6.2.1 法律法规 　1、制定法律法规的目的 信息资源安全纳入规范化、法制化和科学化的轨道。 　2、我国信息资源安全法规法律现状 保密法、数据保护法、计算机安全法、计算机犯罪法。 　3、信息资源安全法规法律的基本准则 信息系统合法原则、用户合法原则、信息公开原则、信息利用原则、资源限制原则 6.2.2 行政管理措施 1、安全管理原则 2、安全管理的措施 根据工作的重要程度，确定相关系统的安全等级。 依据系统的安全等级，确定安全管理的范围。 建立组织及人员制度。 制订相应的机房出入管理制度。 制订严格的操作规程。 制订完备的系统维护制度。 制订应急措施。 建立人员雇用和解聘制度。 其他措施。 6.3 环境安全 6.3.1 场地安全 6.3.2 中心机房安全 6.3.1 场地安全 　1、场地安全的相关条件 　2、场地安全的基本要求 6.3.2 中心机房安全 　1、中心机房安全的总体要求 　2、中心机房的安全应重点考虑五个系统 （1）供配电系统 （2）防雷接地系统 （3）消防报警及自动灭火系统 （4）门禁系统 （5）保安监控系统 6.4 物理实体安全 6.4.1 设备布置安全 6.4.2 设备供电安全 6.4.3 电缆安全 6.4.4 设备维护安全 6.4.5 场所外设备安全 6.4.6 设备的处置及再利用安全 6.4.1 设备布置安全 设备的布置应考虑下述因素： 不必要的访问 有效的监视 隔离 其他 6.4.2 设备供电安全 设备供电安全的主要措施包括： 技术规范。 持续的电力供应。 对供电设备的定期维护 6.4.3 电缆安全 1、电缆安全的重要性 电力、通信电缆被截断，信息丢失系统运行中断； 敏感信息的通信电缆被截获，秘密泄露。 2、电缆安全的主要措施 尽可能埋在地下，或适当的其他保护。 提防未经授权的截取或损坏。 电源电缆、通信电缆分离，以防干扰。 采用控制措施保证线路安全。 定期对线路进行维护。 6.4.4 设备维护安全 1、设备维护安全的重要性 按照设备维护手册的要求或有关维护规程、程序对设备进行适当的维护。 2、设备维护安全的主要措施 按照时间间隔和规范保养。 授权人员维修和保养设备。 维修人员应具备一定的维修技能。 储备一定数量的备品与配件。 保存有关设备维修、维护的记录。 送外保养要防止敏感信息的泄露。 关键设备或有关重要部件保存一定数量的冗余。 6.4.5 场所外设备安全 　1、场所外设备的定义 场所外设备是指离开组织或企业、单位工作场所的设备。 　2、场所外设备安全的重要性 场所外设备可能遭受盗窃、未经授权的访问或环境因素的威胁 　3、场所外设备安全的主要措施 单位外的设备使用