信息作為一種資產，是企業(yè)或組織進行正常商務運作和管理不可或缺的資源。信息安全問題是任何一個行業(yè)，甚至國家都十分重視的問題，是不容忽視的國家安全戰(zhàn)略問題。需要將信息安全意識植入心中，讓保護信息安全成為一種習慣。知識目標能力目標素質目標識別信息安全要素，了解信息安全特性了解信息安全涉及的風險與威脅熟悉信息安全模型掌握信息安全等級劃分規(guī)范及相關法律法規(guī)能夠應用信息安全等級保護、個人隱私保護、密碼法等法律法規(guī)，正確判定信息安全事件類別、等級并加強防護能夠應用信息安全等級規(guī)范進行等級保護測評加強法律意識培養(yǎng)，做個“學法知法懂法守法普法”的好公民以信息安全為己任，愛崗敬業(yè)；遵守法律法規(guī)、操作規(guī)范，不抱僥幸心理逐步具備良好的等級保護意識01項

目

描

述02任

務描

述03

任

務

實

施04

拓展技能任務1認知國家法律法規(guī)與政策任務3了解主機安全方面所面臨的挑戰(zhàn)和對策任務2了解網絡安全方面所面臨的挑戰(zhàn)和對策任務4了解數據安全方面所面臨的挑戰(zhàn)和對策任務5了解安全管理方面所面臨的挑戰(zhàn)和對策【項目描述】

統(tǒng)計2023年學生去信息安全技術公司應聘時被問到的問題，具體如下。信息安全案例分析【任務描述】某醫(yī)療保健設施提供商遭受了大規(guī)模的網絡攻擊，對公司的文件系統(tǒng)造成了重大破壞，并泄露了多達400萬人的個人數據，攻擊者可能會利用盜取的信息從事詐騙活動，公司可能遭受財務或信用損失。

于是該公司信息網絡中心對1.5萬余家醫(yī)療行業(yè)相關單位進行了觀測，將存在的風險做了統(tǒng)計，具體如表所示。序號風險統(tǒng)計數量1網站存在被篡改安全隱患4500余家（260余家單位已發(fā)生網站被篡改）2僵尸、木馬或蠕蟲等惡意程序1000余家3應用服務端口暴露在互聯網中6400余家信息安全案例分析

分析該統(tǒng)計數據，醫(yī)療行業(yè)網絡安全事件、被攻陷系統(tǒng)損失占比分別如圖所示任務：根據上述統(tǒng)計數據分析在網絡安全、主機安全、數據安全、安全管理方面所面臨的主要挑戰(zhàn)和對策。信息安全案例分析【任務實施】任務1認知國家法律法規(guī)與政策信息安全案例分析信息安全案例分析信息安全案例分析1.《中華人民共和國數據安全法》已由中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議于2021年6月10日通過，現予公布，自2021年9月1日起施行。

法律明確在我國境內開展的數據活動適用本法，其中數據是任何以電子或者非電子形式對信息的記錄，數據活動是指數據的收集、存儲、加工、使用、提供、交易、公開等行為。

同時，草案賦予本法必要的域外適用效力，規(guī)定：中華人民共和國境外的組織、個人開展數據活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。信息安全案例分析2.《關鍵信息基礎設施安全保護條例》

一是關鍵信息基礎設施運營者要履行好主體責任?！罢l運營、誰負責”，《條例》的總則部分對運營者的責任作了原則性規(guī)定，并有專章細化了有關規(guī)定和要求。

二是保護工作部門的責任。落實好“誰主管、誰負責”的原則，《條例》明確了保護工作部門對本行業(yè)、本領域關鍵信息基礎設施的安全保護和監(jiān)督管理具有哪些責任。

三是在國家網信部門統(tǒng)籌協(xié)調下，國務院公安部門負責指導監(jiān)督關鍵信息基礎設施安全保護工作。電信主管部門和其他有關部門，要依照本《條例》和有關法律法規(guī)，在各自職責范圍內負責安全保護和監(jiān)督管理的工作。

《條例》還明確了省級人民政府有關部門依據各自職責，對關鍵信息基礎設施也要實施安全保護和監(jiān)督管理，提出了一系列保障和促進措施。信息安全案例分析網絡結構不合理，網絡邊界不明確明晰網絡結構訪問控制策略未細化細化網絡訪問控制策略缺少基礎安全防護設備或配置不完善部署網絡安全防護及審計設備內外網未嚴格隔離劃分VLAN，使用網閘或訪問控制設備隔離內外網無線網絡未實名制，訪問審計無線接入實施實名制（身份認證），訪問審計任務2了解網絡安全方面所面臨的挑戰(zhàn)和對策信息安全案例分析為操作數據庫、系統(tǒng)設置弱密碼設置密碼符合復雜性要求，建議8位以上系統(tǒng)補丁更新不及時殺毒軟件非系統(tǒng)化，未定時升級及時更新補丁部署網絡版防病毒軟件，及時升級忽視了桌面安全加強桌面安全管理操作缺乏運維審計加強運維審計任務3了解主機安全方面所面臨的挑戰(zhàn)和對策信息安全案例分析主機信息安全防護信息安全管理的主要任務：保證信息的傳輸安全、使用安全、載體安全

一方面需要規(guī)范使用者能做什么、不能做什么，如上班時間只能使用網絡瀏覽與工作相關的內容，禁止網上聊天和下載無關視頻等；

另一方面需要制定相適應的管理制度，進行常態(tài)化管理。強化主機管理可采取建立多級安全層次、安全級別和分層管理制度；建立信息加密制度；建立入網訪問權限與控制規(guī)則；建立網絡權限控制模塊，分級主機用戶操作權限；設定網絡服務器鎖定控制、防火墻安裝、登錄時間控制等措施，建立健全的信息安全防護體系某些主機用戶缺乏基本的信息安全常識或者是信息安全意識不強，導致在使用計算機時出現安全問題，造成不可挽回的損失信息安全案例分析主機信息安全防護——技術層面01個人主機用戶需養(yǎng)成良好的操作規(guī)范①設置各種密碼時要充分考慮到其安全性，盡量設置不易辨識、較為復雜的密碼，如混合使用大小寫字母、數字、下劃線等字符，密碼不宜設置得過短，應定期更新密碼②不將自己的私密文件、數據存放于系統(tǒng)盤中③及時為操作系統(tǒng)打上最新補丁、封堵漏洞，及時升級操作系統(tǒng)④使用最新版瀏覽器，保證網絡瀏覽器的安全性⑤及時更新殺毒軟件，更新病毒庫⑥使用聊天工具時應謹慎，盡量不要接收和訪問陌生人發(fā)來的信息與文件，聊天過程中不隨意泄露自己的隱私信息⑦慎用共享軟件，不隨意從網上下載軟件，下載任何軟件時都應仔細查看下載地址及路徑等⑧定期做數據備份工作信息安全案例分析02保證系統(tǒng)和軟件的安全性①安裝正版操作系統(tǒng)和軟件②合理設置遠程桌面、遠程協(xié)助、網絡共享③關閉不必要的端口與服務主機信息安全防護——技術層面03使用防火墻和主機反病毒技術①使用正版殺毒軟件、定期更新殺毒軟件②制定合適的防病毒策略③進行系統(tǒng)化、網絡化查殺、防御病毒，定期殺毒信息安全案例分析①密碼技術可對傳輸信息實行加密傳遞、數字簽名與驗證完整性，防止信息被分析、篡改、破壞與泄露。②入侵檢測技術不完全等同于防火墻技術，實質上是對防火墻一種合理、必要的補充。

是一種主動保護網絡資源的安全系統(tǒng)，能夠十分敏銳地檢測及防御黑客的攻擊，降低黑客攻擊對信息安全的威脅性。主機信息安全防護——技術層面制定訪問控制策略04采用密碼與入侵檢測技術05啟動訪問控制信息安全案例分析4.生產系統(tǒng)與備份系統(tǒng)未隔離或異構3.做了數據備份，但沒做異地數據備份2.數據備份不及時生產系統(tǒng)和備份不處于同一個存儲設備上1.沒做數據備份強化信息安全管理意識設置備份計劃，定時備份異地備份，數據庫設置在線備份任務4了解數據安全方面所面臨的挑戰(zhàn)和對策信息安全案例分析缺乏安全教育培訓加強安全意識培養(yǎng)、培訓缺專業(yè)的安全管理，運維人員未定期開展系統(tǒng)安全評估任務5了解安全管理方面所面臨的挑戰(zhàn)和對策招聘、培養(yǎng)、外包服務定級、備案、等級保護測評網絡運行日志留存時間小于6個月延長留存時間，設置登錄失敗、審計失敗等策略網絡管理中心沒有集中管控工具