资源简介

(共31张PPT)
4.3 信息系统安全管理
高中一年级——教科版——信息技术——必修2 第四单元
一、引入
问题：机场信息系统安全运行时间达99.99%，机场信息部是如何做到的？
保障机场信息系统安全运行的“幕后英雄”
信息系统安全事故发生的原因主要有三大方面：
一、引入
管理
1
信息设备使用人员认识不足；
2
操作不当；
3
不法分子恶意攻击破坏。
学校机房都有其规章制度，这是对哪些人群提出的管理要求？有什么作用？
二、信息系统的安全管理体系
用来规范教职员工、学生、网络管理员的操作和使用行为，减少人为因素造成的故障。
活动1 探讨学校机房的管理制度
活动1 探讨学校机房的管理制度
学校机房的规章制度 不遵守规章制度可能产生的安全风险
不能随意使用U盘及可移动硬盘
机房内不能带入水及饮料
不得随意删改计算机系统的配置文件
增加病毒传播的风险
增加造成电路短路的风险
思考：机房制度的条例可以降低哪些风险？完善表格4.3.1。
二、信息系统的安全管理体系
增加计算机系统不能正常运行的风险
表4.3.1 机房规章制度用途分析表
活动2 探讨信息安全管理标准
评价规范：
ISO/IEC 27002《信息技术 安全技术 信息安全管理体系实践准则》。
二、信息系统的安全管理体系
①信息安全方针与政策 ⑦访问控制
② ⑧信息系统的获取、开发和保持
③ ⑨信息安全事件管理
④人力资源安全 ⑩
⑤物理和环境安全
⑥通信与操作安全
活动2 探讨信息安全管理标准
查找相关文献资料，完成表4.3.2。
信息安全组织
资产管理
业务持续性管理
符合性检查
二、信息系统的安全管理体系
表4.3.2 信息安全管理调查表
参考：ISO/IEC 27002《信息技术 安全技术 信息安全管理体系实践准则》
活动2 探讨信息安全管理标准
二、信息系统的安全管理体系
学校机房的规章制度（举例） 对应ISO/IEC27000系列标准中的内容
访问控制
物理和环境安全
通信和操作安全
不能随意使用U盘及可移动硬盘
机房内不能带入水及饮料
不得随意删改计算机系统的配置文件
请根据ISO/IEC 27000系列标准对“物理和环境安全”、“访问控制”、“通信和操作安全”内容的描述，对学校机房的规章制度进行核查和评价。
三、高度重视人员安全问题
对工作申请者实施背景检查
签订雇佣合同和保密协议
加强在职人员的安全管理
严格控制人员离职程序，立即撤销离职者的访问权限
03
04
02
01
四、信息系统安全管理的阶段
所属阶段 信息系统安全管理 举例
事先防御
实时监测
事后响应 报警、急救 取证、问责
下面的管理措施分别属于事先防御、实时监测、事后响应的哪个阶段？请将序号填入表格对应位置，并举例。
安装防火墙，设置防火墙规则
杀毒软件自动扫描U盘文件
出现故障后及时上报，并处理故障
①网络隔离 ②病毒监控 ③访问控制 ④入侵检测 ⑤系统/用户行为监控 ⑥加密传输 ⑦修复 ⑧加固
①③⑥
②④⑤
⑦⑧
表4.3.3 信息系统安全管理阶段功能表
五、“技术”与“管理”
是实现目标的手段
技术
管理
是选择、实施、使用、维护、审查包括技术措施在内的安全手段的整个过程
活动3 探究移动支付系统的安全
思考：在使用移动支付系统时，不同的人群关注的信息系统安全焦点有什么不同？
六、信息系统的安全管理策略
新闻：“无现金日”的冷思考 便捷支付之后有隐忧
六、信息系统的安全管理策略
用户群体类型 焦点问题 管理重点
个人用户
网络运行 和管理者
企业用户
安全保密部门和国家行政部门
个人信息安全，避免因被他人窃听、冒充、篡改等对其利益和隐私造成侵犯和损害；
保存在某个网络信息系统中的数据，不会受其他非授权用户的访问和破坏。
保护和控制其他人对本地网络信息的访问、读写等操作，制止和防御网络黑客的攻击。
企业数据库系统的备份策略。备份的内容包括数据库系统、重要的文件系统，防止数据丢失和被窃等情况。
如何对非法的有害的或涉及国家机密的信息进行有效过滤和防堵，避免非法泄露。
个人
隐私
运行
安全
商业利益的数据安全
信息
传播
表4.3.4 不同用户群体安全策略分析表
六、信息系统的安全管理策略
为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，我国颁布了相关的法律。
2017年6月1日，《中华人民共和国网络安全法》
2021年9月1日，《中华人民共和国数据安全法》
2021年11月1日，《中华人民共和国个人信息保护法》
七、信息系统安全管理模型
针对检查结果采取应对措施，改进安全状况。
依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查
根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。
实施所选的安全控制措施。
措施Action
计划Plan
检查Check
实施Do
八、信息系统安全管理决策要点
制定信息安全管理方针和多层次的安全策略，以便为各项信息安全管理活动提供指引和支持。
通过风险评估来充分发掘组织真实的信息安全需要。
遵循预防为主的理念。
加强人员的安全意识和安全教育。
足够重视并提供切实有效的支持。
持有动态管理、持续改进的思想。
以业务持续发展为目标，达成信息安全控制的力度、使用的便利性以及成本投入之间的平衡。
九、小结
根据所学知识，针对本班内的多媒体教学系统制定一个切实可行的管理制度（如果已经有相关制度，可以根据所学知识进行优化），并在课堂上交流分享。
拓展练习
同学们，再见！
《信息系统安全管理》答疑
高中一年级——教科版——信息技术——必修2 第四单元
练习
1.（单选题）对企业网络最大的威胁是：（ ）
A. 黑客攻击
B. 外国政府攻击
C. 竞争对手攻击
D. 内部人员的恶意攻击
D
解析：黑客攻击、外国政府攻击、竞争对手攻击都是来源于网络外部的攻击，需要经过网络防火墙才能对网络内部主机发起攻击，而内部人员可以直接在网络内部发起攻击，威胁更大。故选 D 。
练习
2.（单选题）以下管理措施错误的是：（ ）
A. 设置包含大小写字母、数字、特殊字符等复杂的密码
B. 为防止忘记密码，所有信息系统采用同一个密码
C. 定期修改信息系统的密码
D. 定期扫描系统的漏洞
B
解析：设置复杂的密码、定期修改密码，可以使密码被破解的难度增加；定期扫描系统的漏洞，有助于发现系统漏洞，及时补丁；而所有信息系统采用同一个密码，使密码被破解的难度降低，这是错误的做法。故选 B 。
练习
3.（多选题）为保护个人信息安全，防止个人隐私泄露，以下做法正确的是（ ）
严格审核手机APP的访问授权，防止其他未经授权用户访问或破坏。
不在公共Wi-Fi热点下进行使用移动支付，避免重要的个人敏感信息被他人窃听、冒充、篡改等。
网站上注册会员时，按要求填写真实的姓名、身份证号、家庭电话等能够识别身份的信息。
在网吧登录网上银行，查询银行账户余额或进行银行转帐操作。
AB
解析：A、B是正确的做法。C选项，随意在网站上泄露个人真实的姓名、身份证号、家庭电话等能够识别身份的信息，这些信息容易被诈骗分子利用于诈骗活动。D选项，在公共计算机上登录网络银行，容易泄露敏感账户信息。故选 AB
练习
4.（单选题）以下管理措施属于信息系统安全管理的事先防御阶段的是：（ ）
A. 安装防火墙，设置防火墙规则
B. 及时发现网络入侵行为
C. 调取系统运行日志
D. 杀毒软件自动扫描U盘文件
A
解析：安装防火墙，设置防火墙规则是属于信息系统安全管理的事先防御阶段。及时发现网络入侵行为、杀毒软件自动扫描U盘文件是属于信息系统安全管理的实时监测阶段。调取系统运行日志是属于信息系统安全管理的事后响应阶段。故选 A。
练习
5.（多选题）我国已实施的与信息安全相关的法律有：（ ）
A. 《中华人民共和国网络安全法》
B. 《中华人民共和国数据安全法》
C. 《中华人民共和国个人隐私保护法》
D. 《中华人民共和国个人信息保护法》
ABD
解析：《中华人民共和国网络安全法》2017年6月1日实施；
《中华人民共和国数据安全法》2021年9月1日实施；
《中华人民共和国个人信息保护法》2021年11月1日实施。
故选 ABD
练习
6.（判断题）信息安全并不只是技术过程，更重要的是管理过程（ ）
A. 正确
B. 错误
A
解析：对安全技术和产品的选择运用，只是信息安全实践活动中的一部分。信息系统安全更广泛的内容，还包括制定完备的安全策略，通过风险评估来确定需求，根据需求选择安全技术和产品，并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。归根到底，信息安全并不只是技术过程，更重要的是管理过程。故选 A。
练习
7.（判断题）由人为因素造成的信息系统安全风险，我们可以通过管理来消除。（ ）
A. 正确
B. 错误
B
解析：信息系统安全事件发生的原因主要有三方面：一是信息设备使用人员认识不足；二是操作不当；三是不法分子恶意攻击。这些由人为因素造成的信息系统安全风险，我们可以通过管理来降低。故选 B。
练习
8.（判断题）对企业用户，为了保护自身商业利益的数据安全，防止数据丢失和被窃等情况，只需要备份数据库系统。（ ）
A. 正确
B. 错误
B
解析：对于企业用户，信息安全的焦点问题是商业利益的数据安全。因此信息系统安全管理策略的重点是：企业数据库系统的备份策略；备份的内容包括数据库系统、重要的文件系统，防止数据丢失和被窃取等情况。故选 B。
练习
9.（多选题）信息系统安全事件发生的原因主要有 （ ）
A. 信息设备使用人员认识不足
B. 操作不当
C. 不法分子恶意攻击
D. 地震等自然灾害
ABC
解析：信息系统安全事件发生的原因主要有三方面：一是信息设备使用人员认识不足；二是操作不当；三是不法分子恶意攻击。这些由人为因素造成的信息系统安全风险，我们可以通过管理来降低。故选 ABC。
同学们，再见！

展开更多......

收起↑