信息资源组织与原理(第3版)：第06章 信息资源的安全管理.pptx

《信息资源组织与管理》第 6 章 信息资源的安全管理 2022年1月30日星期日20时57分36秒 内容提要（1/4） 6.1 信息资源安全管理概述 6.1.1 信息资源安全的概念 6.1.2 威胁信息资源安全的主要因素 6.1.3 信息资源的安全管理模型 6.2 安全管理制度 6.2.1 安全法律法规 6.2.2 行政管理 6.2.2.1 安全管理原则 6.2.2.2 安全管理的措施 6.2.3 建设管理 6.2.4 运维管理 2/122 2022年1月30日星期日20时57分36秒 内容提要（2/4） 6.3 物理和环境安全 6.3.1 物理安全 6.3.2 环境安全 6.4 网络和通信安全 6.4.1 网络和通信安全概念 6.4.2 网络和通信基本要求 6.4.3 网络和通信技术措施 6.4.3.1 数据加密技术 6.4.3.2 密钥管理技术 6.4.3.3 访问控制技术 6.4.3.4 反病毒技术 3/122 2022年1月30日星期日20时57分37秒 内容提要（3/4） 6.5 设备和计算安全 6.5.1 设备和计算安全概念 6.5.2 设备和计算基本要求 6.5.3 设备和计算控制策略 6.5.3.1 设备布置安全 6.5.3.2 设备供电安全 6.5.3.3电缆安全 6.5.3.4 设备维护安全 6.5.3.5 场所外设备安全 6.5.3.6 设备的处置及再利用安全 6.6 软件安全 6.6.1 软件安全概念 6.6.2 系统软件安全 6.6.3 应用软件安全 4/122 2022年1月30日星期日20时57分37秒 内容提要（4/4） 6.7 数据信息安全（ ） 6.7.1 数据库系统安全技术 6.7.2 数据备份技术 6.7.3 终端安全技术 6.7.4 数据完整性鉴别技术 6.7.5 数据签名技术 6.7.6 信息审计跟踪技术 6.7.7 PKI技术 作业 （…….） 5/122 2022年1月30日星期日20时57分37秒 6.1.1 信息资源安全的概念（1/3） 1. 什么是信息资源安全？ 是指信息资源所涉及的硬件、软件及应用系统受到保护，以防范和抵御对信息资源不合法的使用和访问以及有意无意的泄漏和破坏。 2. 信息资源管理涉及的内容有哪些？ （1）信息资源安全的范畴 计算机安全 软件安全 网络安全 网络空间安全 6/122 2022年1月30日星期日20时57分37秒 6.1.1 信息资源安全的概念（2/3） 2. 信息资源管理涉及的内容有哪些？（续） （2）信息资源安全涉及的内容（总体而言） 从信息的采集、传输、加工、存储和使用的全过程所涉及的安全问题。 从信息处理的角度，包括： 信息仅供有权限的人员合法合规开发和使用，以保证信息的真实性； 信息在传输的过程中不被删除、伪造、修改，以保证信息的完整性； 信息不会被非法泄漏和扩散，以保证信息的机密性； 信息的发送和接收者无法否认自己所做的操作行为，以确保信息的不可抵赖性（或抗抵赖性）。 7/122 2022年1月30日星期日20时57分37秒 6.1.1 信息资源安全的概念（3/3） 2. 信息资源管理涉及的内容有哪些？（续） 从信息组织层次的角度，包括： 系统管理者对网络和信息系统有足够的控制和管理能力，以保证信息的可控制性； 系统管理者准确跟踪实体运行达到审计和识别的目的，以保证信息的可计算性； 网络协议、操作系统和应用系统能够相互连接、协调运行，以保证信息的互操作性。 从信息运行环境的角度，包括： 各种各样硬件设施的物理安全及其运行环境的安全。 从信息管理规范的角度，包括： 各种各样的规章制度、法律法规、人员安全性等。 8/122 2022年1月30日星期日20时57分37秒 6.1.2 威胁信息资源安全的主要因素（1/6） 四个方面：天灾、人祸、网络协议缺陷、信息系统自身的脆弱性。 1. 天灾 指不可控制的自然灾害，如地震、雷击、火灾、风暴、战争、社会暴力等。 天灾轻则造成业务工作混乱，重则造成系统中断甚至造成无法估量的损失。 2. 人祸 人祸包括 “无意”人祸和“有意”人祸。 9/122 2022年1月30日星期日20时57分37秒 6.1.2 威胁信息资源安全的主要因素（2/6） 2、人祸（续） （1） “无意”人祸：是指人为的无意失误和各种各样的误操作。典型“无意”人祸有： 操作人员误删除文件； 操作人员误输入数据； 系统管理人员为操作员的安全配置不当； 用户口令选择不慎； 操作人员将自己的帐号随意转借他人或与别人共享。 （2） “有意”人祸：指人为的对信息资源进行恶意破坏的行为。“有意”人祸是目前信息资源安全所面临的最大威