管理信息系統(tǒng)新編21世紀職業(yè)教育精品教材項目1管理信息系統(tǒng)概論目錄CONTENTS項目5系統(tǒng)設(shè)計項目3管理信息系統(tǒng)戰(zhàn)略規(guī)則項目4系統(tǒng)分析項目2管理信息系統(tǒng)開發(fā)方法和技術(shù)項目6系統(tǒng)實施、維護與評價項目10信息系統(tǒng)安全概論項目8ERP、CRM和SCM項目9電子商務(wù)與電子政務(wù)概述項目7決策支持系統(tǒng)與專家系統(tǒng)項目11信息系統(tǒng)的控制與審計PART10項目10信息系統(tǒng)安全概論項目十信息系統(tǒng)安全概論

【學(xué)習(xí)目標】知識目標1.理解信息安全與信息系統(tǒng)安全。2.理解信息系統(tǒng)安全架構(gòu)與規(guī)劃。技能目標1.能夠掌握信息系統(tǒng)安全架構(gòu)。2.掌握信息系統(tǒng)安全規(guī)劃、國內(nèi)外相關(guān)法規(guī)和標準介紹。項目十信息系統(tǒng)安全概論

【導(dǎo)入案例】現(xiàn)階段，雖然生活方式呈現(xiàn)出簡單和快捷性，但其背后也伴有諸多信息安全隱患。例如詐騙電話、大學(xué)生“裸貸”問題、推銷信息以及人肉搜索信息等均對個人信息安全造成影響。不法分子通過各類軟件或者程序來盜取個人信息，并利用信息來獲利，嚴重影響了公民生命、財產(chǎn)安全。此類問題多是集中于日常生活，比如無權(quán)、過度或者是非法收集等情況。除了政府和得到批準的企業(yè)外，還有部分未經(jīng)批準的商家或者個人對個人信息實施非法采集，甚至部分調(diào)查機構(gòu)建立調(diào)查公司，并肆意兜售個人信息。上述問題使得個人信息安全遭到極大影響，嚴重侵犯公民的隱私權(quán)。網(wǎng)絡(luò)上個人信息的肆意傳播、電話推銷源源不絕等情況時有發(fā)生，從其根源來看，這與公民欠缺足夠的信息保護意識密切相關(guān)。公民在個人信息層面的保護意識相對薄弱給信息被盜取創(chuàng)造了條件。比如，隨便點進網(wǎng)站便需要填寫相關(guān)資料，有的網(wǎng)站甚至要求精確到身份證號碼等信息。很多公民并未意識到上述行為是對信息安全的侵犯。此外，部分網(wǎng)站基于公民意識薄弱的特點公然泄露或者是出售相關(guān)信息。再者，日常生活中隨便填寫傳單等資料也存在信息被為違規(guī)使用的風(fēng)險。問題：1、什么是信息安全？2、說說我國目前存在的信息安全問題主要有哪些？項目十信息系統(tǒng)安全概論

任務(wù)一信息安全與信息系統(tǒng)安全一、信息安全信息安全涵蓋了人工和自動信息處理的安全、網(wǎng)絡(luò)化和非網(wǎng)絡(luò)化的信息系統(tǒng)安全，泛指一切以聲光電信號、磁信號、語音以及約定形式等為載體的信息的安全，一般也包括以紙介質(zhì)、磁介質(zhì)、膠片、有線信道以及無線信道為媒體的信息，在獲?。òㄐ畔⑥D(zhuǎn)換）、分類、排序、檢索、傳遞和共享過程中的安全。項目十信息系統(tǒng)安全概論

二、信息系統(tǒng)安全

信息系統(tǒng)安全是確保信息系統(tǒng)結(jié)構(gòu)安全、與信息系統(tǒng)相關(guān)的元素安全、以及與此相關(guān)的各種安全技術(shù)、安全服務(wù)和安全管理的總和。因此，信息系統(tǒng)安全更有體系性、可設(shè)計性、可實現(xiàn)性和可操作性。項目十信息系統(tǒng)安全概論

三、信息系統(tǒng)安全管理

安全管理是理解應(yīng)該保護什么和為什么需要保護這兩個概念之間的橋梁，應(yīng)該保護什么，提供了安全管理的目標，而為什么需要保護，則提供了安全管理的手段。

信息安全管理主要涉及以下8個基本方面：人事管理；設(shè)備管理；場地管理；存儲媒體管理；軟件管理；網(wǎng)絡(luò)管理；密碼和密鑰管理；審計管理等。

項目十信息系統(tǒng)安全概論

任務(wù)二信息系統(tǒng)安全特性

從信息的角度來看，信息的基本安全屬性分為三個方面，即保密性、完整性和可用性。一、可用性（Availability）可用性是信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性。可用性是系統(tǒng)安全的最基本要求之一，是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運行目標。網(wǎng)絡(luò)信息系統(tǒng)的可用性測度主要有三種：抗毀性、生存性和有效性。二、保密性（Confidentiality）保密性是信息不被泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性，即防止信息泄露給非授權(quán)的個人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。保密性是在可用性的基礎(chǔ)上，保障網(wǎng)絡(luò)信息安全的重要手段。三、完整性（Intergrity）完整性是信息未經(jīng)授權(quán)不能進行改變的特性，即網(wǎng)絡(luò)信息在存儲或傳輸過程中不被偶然或蓄意的刪除、修改、偽造、亂序、重放、插入等行為破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成、正確存儲和傳輸。項目十信息系統(tǒng)安全概論

任務(wù)三信息系統(tǒng)安全架構(gòu)為了系統(tǒng)地、完整地構(gòu)建信息系統(tǒng)的安全體系框架，可以考慮信息系統(tǒng)安全體系由技術(shù)體系、組織機構(gòu)體系和管理體系共同構(gòu)建。

項目十信息系統(tǒng)安全概論

一、技術(shù)體系技術(shù)體系是全面提供信息系統(tǒng)安全保護的技術(shù)保障系統(tǒng)。該體系包含兩大類技術(shù)。一類是物理安全技術(shù)，通過物理機械強度標準的控制使信息系統(tǒng)的建筑物、機房及硬件設(shè)備等條件，滿足信息系統(tǒng)的機械防護安全；通過對電力供應(yīng)設(shè)備以及信息系統(tǒng)組件的抗電磁干擾和電磁泄漏性能的選擇性措施達到兩個安全目的，一是信息系統(tǒng)組件具有抗擊外界電磁輻射或噪聲干擾能力而保持正常運行，二是控制信息電磁輻射造成的信息泄露，必要時還應(yīng)從建筑物和機房的設(shè)計開始就采取必要措施，以使電磁輻射指標符合國家相應(yīng)的安全等級要求。物理安全技術(shù)運用與物理保障環(huán)境（含系統(tǒng)組件的物理環(huán)境）緊密相關(guān)。另一類是系統(tǒng)安全技術(shù)，通過對信息系統(tǒng)安全組件的選擇，使信息系統(tǒng)安全組件的軟件工作平臺達到相應(yīng)的安全等級，一方面防范操作平臺自身的脆弱性和漏洞等風(fēng)險，另一方面防止任何形式的非授權(quán)行為對信息系統(tǒng)安全組件的入侵或接管系統(tǒng)的管理權(quán)。項目十信息系統(tǒng)安全概論二、組織機構(gòu)體系組織機構(gòu)體系是信息系統(tǒng)的組織保障系統(tǒng)，由機構(gòu)、崗位和人事機構(gòu)三個模塊構(gòu)成，一個機構(gòu)設(shè)置分為決策層、管理層和執(zhí)行層。決策層是信息系統(tǒng)用戶單位中決定信息系統(tǒng)安全重大事宜的領(lǐng)導(dǎo)機構(gòu)，由有保密職能的部門負責(zé)人及信息系統(tǒng)主要負責(zé)人參與組成。管理層是決策層的日常管理機關(guān)，根據(jù)決策機構(gòu)的決定，全面規(guī)劃并協(xié)調(diào)各方面力量，實施信息系統(tǒng)的安全方案，制定、修改安全策略，處理安全事故，設(shè)置安全相關(guān)的崗位。執(zhí)行層是在管理層協(xié)調(diào)下，具體負責(zé)某一個或某幾個特定安全事務(wù)的一個邏輯群體，這個群體分布在信息系統(tǒng)的各個操作層或崗位上。崗位是信息系統(tǒng)安全管理機關(guān)根據(jù)系統(tǒng)安全需要設(shè)定的負責(zé)某一個或某幾個安全事務(wù)的職位，崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導(dǎo)關(guān)系的若干層次的一個序列，一個人可以負責(zé)一個或幾個安全崗位，但一個人不能同時兼任安全崗位所對應(yīng)的系統(tǒng)管理或具體業(yè)務(wù)崗位。因此，崗位不是一個機構(gòu)，它由管理機構(gòu)決定，由人事機構(gòu)管理。人事機構(gòu)是根據(jù)管理機構(gòu)設(shè)定的崗位，對崗位上在職、待職和離職的員工進行素質(zhì)教育、業(yè)績考核和安全監(jiān)管的機構(gòu)。人事機構(gòu)的全部管理活動在國家有關(guān)安全的法律、法規(guī)、政策規(guī)定范圍內(nèi)依法進行。項目十信息系統(tǒng)安全概論三、管理體系管理是信息系統(tǒng)安全的靈魂。信息系統(tǒng)安全的管理體系由法律管理、制度管理和培訓(xùn)管理三部分組成。法律管理是根據(jù)相關(guān)的國家法律、法規(guī)對信息系統(tǒng)主體及其與外界關(guān)聯(lián)行為的規(guī)范與約束。法律管理具有對信息系統(tǒng)主體行為的強制性約束力，并且具有明確的管理層次性。與安全有關(guān)的法律法規(guī)是信息系統(tǒng)安全的最高行為準則。制度管理是信息系統(tǒng)內(nèi)部依據(jù)必要的安全需求制定的一系列內(nèi)部規(guī)章制度，主要包括安全管理和執(zhí)行機構(gòu)的行為規(guī)范、崗位設(shè)定及操作規(guī)范、崗位人員的素質(zhì)要求及行為規(guī)范、內(nèi)部關(guān)系與外部關(guān)系的行為規(guī)范等。制度管理是法律管理的形式化、具體化，是法律、法規(guī)與管理對象的接口。培訓(xùn)管理是確保系統(tǒng)安全的前提。培訓(xùn)管理的內(nèi)容包括法律法規(guī)培訓(xùn)、內(nèi)部培訓(xùn)制度、崗位操作培訓(xùn)、普遍安全意識和與崗位相關(guān)的重點安全意識的培訓(xùn)，以及業(yè)務(wù)素質(zhì)與技能技巧培訓(xùn)等。培訓(xùn)的對象幾乎包括與信息系統(tǒng)有關(guān)的所有人員（不僅僅是從事安全管理和業(yè)務(wù)的人員）。項目十信息系統(tǒng)安全概論

任務(wù)四信息系統(tǒng)安全規(guī)劃一、人員安全管理二、物理與環(huán)境保護三、輸入/輸出控制四、制定突發(fā)事件的應(yīng)急計劃五、應(yīng)用軟件維護控制六、數(shù)據(jù)完整性與有效性控制七、文檔管理八、安全教育與培訓(xùn)項目十信息系統(tǒng)安全概論

任務(wù)五信息系統(tǒng)安全教育