信息组织 第六章 信息资源的安全管理

经济管理学院NortheastChinaInstituteofElectricPowerEngineering

《信息资源组织与管理》

第6章

信息资源的安全管理返回总目录教学目的使学生对信息资源安全管理有深刻的了解；掌握信息资源安全管理的概念；重点掌握信息资源安全管理的六个层次教学要求做到对信息资源安全管理有个全面的了解；掌握基本概念；掌握信息资源安全管理的安全管理制度、环境安全、物理实体安全、网络安全、软件安全、数据信息安全。信息资源的安全管理6.1信息资源安全管理概述6.2安全管理制度6.3环境安全6.4物理实体安全6.5网络安全6.6软件安全6.7数据信息安全6.1信息资源安全管理概述6.1.1信息资源安全的概念6.1.2威胁信息资源安全的主要因素6.1.3信息资源的安全管理模型6.1.1信息资源安全的概念信息资源安全：是指信息资源所涉及的硬件、软件及应用系统受到保护，以防范和抵御对信息资源不合法的使用和访问以及有意无意的泄漏和破坏。包括了从信息的采集、传输、加工、存储和使用的全过程所涉及的安全问题。6.1.2威胁信息资源安全的主要因素1、天灾

天灾轻则造成业务工作混乱，重则造成系统中断甚至造成无法估量的损失。

2、人祸3、信息系统自身的脆弱性计算机硬件系统的故障。软件的“后门”。软件的漏洞。指不可控制的自然灾害，如地震、雷击、火灾、风暴、战争、社会暴力等。包括“无意”人祸和“有意”人祸。6.1.3信息资源的安全管理模型1、信息安全资源的安全管理的6层次模型涉及到由下至上6个层次。各层之间相互依赖，下层是上层安全的基础，上层是下层安全的目标最终目标是实现数据信息安全。

6.1.3信息资源的安全管理模型每一层次主要包括的安全管理或安全技术内容安全管理制度。法律法规、行政管理措施。环境安全。场地安全、中心机房安全。

物理实体安全。设备布置安全、设备供电安全、电缆安全、设备维护安全、场所外设备安全、设备的处置及再利用安全。网络安全。数据加密技术、密钥管理技术、访问控制技术、反病毒技术、防火墙技术。软件安全。应用软件安全、系统软件安全。数据信息安全。数据库系统安全技术、数据备份技术、终端安全技术、数据完整性鉴别技术、数据签名技术、信息审计跟踪技术。6.2安全管理制度6.2.1法律法规6.2.2行政管理措施6.2.1法律法规

1、制定法律法规的目的信息资源安全纳入规范化、法制化和科学化的轨道。

2、我国信息资源安全法规法律现状保密法、数据保护法、计算机安全法、计算机犯罪法。

3、信息资源安全法规法律的基本准则信息系统合法原则、用户合法原则、信息公开原则、信息利用原则、资源限制原则6.2.2行政管理措施1、安全管理原则2、安全管理的措施根据工作的重要程度，确定相关系统的安全等级。依据系统的安全等级，确定安全管理的范围。建立组织及人员制度。制订相应的机房出入管理制度。制订严格的操作规程。制订完备的系统维护制度。制订应急措施。建立人员雇用和解聘制度。其他措施。多人负责原则任期有限原则

职责分离原则6.3环境安全6.3.1场地安全6.3.2中心机房安全6.3.1场地安全

1、场地安全的相关条件2、场地安全的基本要求6.3.2中心机房安全1、中心机房安全的总体要求2、中心机房的安全应重点考虑五个系统（1）供配电系统（2）防雷接地系统（3）消防报警及自动灭火系统（4）门禁系统（5）保安监控系统6.4物理实体安全6.4.1设备布置安全6.4.2设备供电安全6.4.3电缆安全6.4.4设备维护安全6.4.5场所外设备安全6.4.6设备的处置及再利用安全6.4.1设备布置安全设备的布置应考虑下述因素：不必要的访问有效的监视隔离其他6.4.2设备供电安全设备供电安全的主要措施包括：技术规范。持续的电力供应。对供电设备的定期维护6.4.3电缆安全1、电缆安全的重要性电力、通信电缆被截断，信息丢失系统运行中断；敏感信息的通信电缆被截获，秘密泄露。

2、电缆安全的主要措施尽可能埋在地下，或适当的其他保护。提防未经授权的截取或损坏。电源电缆、通信电缆分离，以防干扰。采用控制措施保证线路安全。定期对线路进行维护。6.4.4设备维护安全1、设备维护安全的重要性按照设备维护手册的要求或有关维护规程、程序对设备进行适当的维护。2、设备维护安全的主要措施按照时间间隔和规范保养。授权人员维修和保养设备。维修人员应具备一定的维修技能。储备一定数量的备品与配件。保存有关设备维修、维护的记录。送外保养要防止敏感信息的泄露。关键设备或有关重要部件保存一定数量的冗余。6.4.5场所外设备安全

1、场所外设备的定义场所外设备是指离开组织或企业、单位工作场所的设备。

2、场所外设备安全的重要性场所外设备可能遭受盗窃、未经授权的访问或环境因素的威胁

3、场所外设备安全的主要措施单位外的设备使用，应经管理层授权许可从场所带走的设备应严加保护遵守制造商有关保护设备的指南要求采用合适的物理防护装置(如保险罩)，保护场所外的设备安全。6.4.6设备的处置及再利用安全

1、设备的处置及再利用安全的重要性设备到期报废或改变其使用用途时，由于粗心会造成敏感信息的泄露。

2、设备的处置及再利用安全的主要措施格式化计算机硬盘。删除文件记录。物理销毁。

6.5网络安全6.5.1网络安全的涵义6.5.2网络安全的技术措施6.5.1网络安全的涵义1、网络安全的定义是指网络系统中的硬件（主机、服务器及其它网络设备）和软件系统受到保护而不被偶然的或者恶意的原因遭到破坏，从而保证系统能连续可靠地运行。6.5.1网络安全的涵义2、网络安全的基本安全功能鉴别（Authentication）访问控制（AccessControl）数据保密性（Dataconfidentiality）数据完整性（Dataintegrity）抗抵赖性（NonRepudiation）6.5.1网络安全的涵义3、网络安全的目标防止未经授权的数据访问。防止数据的意外遗漏或重复数据。防止利用隐含通道窃取机密信息