(共17张PPT)
教科版(2019版)信息技术
(高中
必修2
信息系统化与社会)
第4单元
信息系统的安全
4.3信息系统安全管理
1.
了解信息系统安全的范围和管理措施。
2.
能够根据机构的安全策略选择适当的信息安全技术
。
3.
能够针对业务或机构的实际情况进行信息系统安全管理设置
。
4.
树立安全技术与安全管理相结合的意识
。
学习目标:
重点难点:
重点:信息系统安全的范围和管理措施。
难点:信息系统安全管理设置。
某快递公司的数据维护人员在一次饮酒上班时,由于酒精作用,精神不集中,一不小心删除了部分数据库,导致上万件包裹滞留。为此公司全员加班,持续24小时才恢复数据。
这些人为因素是造成信息系统安全风险,可以通过什么方式来降低?
1.引入
造成本次事故的因素是什么?
管理
一般来说信息系统安全事故主要有三大方面:
1.
信息设备使用人员认识不足;
2.
操作不当;
3.
不法分子恶意攻击破坏。
这些信息系统安全风险,又可以通过什么方式来降低?
1.引入
管理
学校机房都有其规章制度,用来规范教职员工、学生的操作和使用行为。
为什么要设置这么多规定呢?
2.活动1
探讨学校机房的管理制度
2.活动1
探讨学校机房的管理制度
学校机房的规章制度
不遵守规章制度可能产生的安全风险
不能随意使用U盘及可移动硬盘
机房内不能带入水及饮料
增加病毒传播的可能
造成电路短路
思考:
机房的管理制度是否能减少人为因素造成的故障?
1.
对工作申请者实施背景检查;
2.
签订雇佣合同和保密协议;
3.
加强在职人员的安全管理;
4.
严格控制人员离职程序,立即撤销离职者的访问权限。
3.高度重视人员安全问题
信息系统安全运行有相应的组织、制度和人员保障。为避免风险,组织应采取一下措施,加强内部人员的安全管理。
4.信息系统安全管理的阶段
信息系统安全管理可划分为:事先防御阶段、实时监测阶段和事后响应阶段。
所属阶段
校园安全防护
信息系统安全管理
事先防御
围墙隔离
门卫核查
特殊接送
网络隔离
访问控制
加密传输
实时监控
视频监控
保卫巡逻
火灾探测
病毒监控
入侵检测
系统/用户行为监控
事后相应
报警、急救
事故认定、问责
修复、加固
报警、急救
取证、问责
修复、加固
4.信息系统安全管理的阶段
信息系统安全管理可划分为:事先防御阶段、实时监测阶段和事后响应阶段。
在不同的安全管理阶段,利用病毒监控、加密传输、防火墙等安全技术,是信息系统安全防护的重要措施和手段。
5.“技术”和“管理”
“技术”和“管理”哪个重要?
大多数安全事故的发生和安全隐患的产生,既有技术原因也有管理上的问题。
归根到底,信息安全并不只是技术过程,更重要的是管理过程。
信息安全内容:包括制定完备的安全策略,通过风险评估来确定需求,根据需求选择安全技术和产品,并按照既定的安全策略和流程规范来实施,维护和审查安全控制措施。
5.“技术”和“管理”
课本中说:“更重要的是管理”,那么,在国家层面上的管理是怎么做的?
5.“技术”和“管理”
个人或企业等不同用户群体在安全策略上又有什么区别?
6.信息系统安全管理模型
措施
Action
计划
Plan
检查
Check
实施
Do
管理周期
针对检查结果采取应对措施,改进安全状况。
根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。
依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。
实施所选的安全控制措施。
7.信息系统安全管理决策要点
把握信息系统安全管理决策要点,可以全面而有针对性地解决相关问题。
1.制定信息安全管理方针和多层次的安全策略,以便为各项信息安
全管理活动提供指引和支持。
2.通过风险评估来充分发掘组织真实的信息安全需要。
3.遵循预防为主的理念。
4.加强人员的安全意识和安全教育。
5.足够重视并提供切实有效的支持。
6.持有动态管理、持续改进的思想。
7.以业务持续发展为目标,达成信息安全控制的力度、使用的便利
性以及成本投入之间的平衡。
1.
探讨信息安全管理标准
2.
探讨信息系统安全管理策略
小结
感谢您的观看
THANK
YOU
FOR
YOUR
WATCHING一、选择题
1.
下列行为符合《计算机信息系统安全保护条例》的是(
)
A.
任意修改外单位网站的信息
B.
将自己的网址发布在论坛上
C.
利用软件获取网站管理员密码
D.
将单位内部保密资料发布到外网上
2.
近期,某款AI换脸应用APP刷屏网络,只需上传一张个人照片就可换脸,与明星“同台飙戏”,小李在安装时发现用户协议显示,用户在使用本APP换脸时,意味着同意或确保该APP对其肖像在全球范围内完全免费转授和再许可的权利。此协议让小李心生疑感,这样的规定是否合法?以下最适合他咨询的部门和查阅的法律法规是(
)
A.
公安部《中华人民共和国著作权法》
B.
工业和信息化部《中华人民共和国网络安全法》
C.
文化和旅游部《中华人民共和国计算机信息系统安全保护条例》
D.
国家安全部《中华人民共和国国家安全法》
3.
《徐州市计算机信息系统安全保护条例》经江苏省十一届人大常委会第七次会议通过。该条例对近来社会广泛关注的“人肉搜索”,明确“说不”。这项规定表明(
)
①公民的个人隐私受法律保护
③散布他人隐私必受刑事处罚
②人肉搜索是一把双刃剑,必须加以规范
④尊重和维护隐私是现代文明的标志,是社会进步的体现。
A.
①②③
B.
②③④
C.
①②④
D.
①②③④
4.
在《2018年全球风险报告》中,网络攻击首次被纳入全球前五大安全风险之列,成为仅次于自然灾害与极端天气事件之外的第三大风险因素,数据显示,2018年12月我国境内感染网络病毒的终端数近78万个,被篇改网站数量为1376个,信息系统安全漏洞1206个。这警示我们(
)
A.
网络安全是实现国家利益最根本的保障
B.
信息时代,网络没有任何安全可言
C.
我国国家安全的内涵已经彻底改变
D.
应有效防范国家安全面临的新问题
5.
下列能提升计算机系统安全性的操作有(
)
①开启杀毒软件的自动运行查杀功能
②用浏览器直接打开陌生网址
③将管理员密码修改为便于记忆的“123456”等字符
④使用Windows操作系统自动更新功能进行软件更新,修复系统漏洞
A.
①②
B.
①④
C.
②③
D.
③④
6.
有关Windows屏幕保护程序的说法,不正确的是(
)
A.
它可以减少屏幕的损耗
B.
它可以保障系统安全
C.
它可以节省计算机内存
D.
它可以设置口令
7.
下列保证系统安全的措施中,正确的是(
)
A.
安装杀毒软件和防火墙,定时升级并更新系统补丁
B.
定期对计算机进行清洗和消毒
C.
不连接因特网
D.
不安装应用软件
8.
下列操作中,可以加强计算机系统安全性的有(
)
①安装正版杀毒软件,并定期对系统进行病毒扫描
②将复杂的管理员密码修改为相对简单的“123456
③安装防火墙软件,防御外部攻击
④及时进行软件更新,修复系统高危漏洞。
A.
①②③
B.
①②④
C.
①③④
D.②③④
9.
WannaCry勒索病毒利用Windows系统的漏洞,侵入电脑并对数据文件进行加密,使其无法打开,并声称只有缴纳赎金才能恢复数据,下列说法不正确的是(
)
A.
缴纳赎金一定能恢复数据,可选择支付赎金恢复数据
B.
使用正版操作系统,及时安装系统补丁确保系统安全
C.
定时备份重要的数据,以防此类病毒攻击时数据丢失
D.
病毒制作传播违反法律,青少年不应该效仿此类行为
10.
下列说法中,正确的是(
)
A.
只要装了防火墙,就可以万无一失地保护了计算机的系统安全
B.
为了使计算机得到更安全的保护,可以为计算机安装防病毒卡
C.
盗版的杀毒软件和正版的功能一样,所以不需要花钱去买正版的
D.
为了防止计算机感染病毒,应该不要上网
11.
下列选项中,无助于有效防范计算机病毒的做法是(
)
A.
及时安装系统安全补丁
B.
安装杀毒软件并及时更新
C.
安装防火墙
D.
及时整理计算机中的数据文件
参考答案
1.B
2.B
3.C
4.D
5.B
6.C
7.A
8.C
9.A
10.B
11.D第4单元 信息系统的安全
4.3信息系统安全管理
一、教材分析
通过学习,使学生在了解信息系统安全管理范围和管理措施的基础上,认识到现实情况中较多的安全事件和安全隐患是由管理不当组成的。通过建立规范、合理的安全管理制度,可保障信息系统的正常运行。二、教学目标
1.
了解信息系统安全的范围和管理措施。
2.
能够根据机构的安全策略选择适当的信息安全技术
。
3.
能够针对业务或机构的实际情况进行信息系统安全管理设置
。
4.
树立安全技术与安全管理相结合的意识
。
三、重点难点
重点:信息系统安全的范围和管理措施。
难点:信息系统安全管理设置。
四、教学过程
引入
某快递公司的数据维护人员在一次饮酒上班时,由于酒精作用,精神不集中,一不小心删除了部分数据库,导致上万件包裹滞留。为此公司全员加班,持续24小时才恢复数据。
问:1.
造成本次事故的因素是什么?
2.
这些人为因素是造成信息系统安全风险,可以通过什么方式来降低?
一般来说信息系统安全事故主要有三大方面:
信息设备使用人员认识不足;操作不当;不法分子恶意攻击破坏。
问:这些信息系统安全风险,又可以通过什么方式来降低?
活动1
探讨学校机房的管理制度
学校机房都有其规章制度,用来规范教职员工、学生的操作和使用行为。为什么要设置这么多规定呢?
思考:
机房的管理制度是否能减少人为因素造成的故障?
高度重视人员安全问题
信息系统安全运行有相应的组织、制度和人员保障。为避免风险,组织应采取一下措施,加强内部人员的安全管理。
对工作申请者实施背景检查;
签订雇佣合同和保密协议;
加强在职人员的安全管理;
严格控制人员离职程序,立即撤销离职者的访问权限。
信息系统安全管理的阶段
信息系统安全管理可划分为:事先防御阶段、实时监测阶段和事后响应阶段。
在不同的安全管理阶段,利用病毒监控、加密传输、防火墙等安全技术,是信息系统安全防护的重要措施和手段。
“技术”和“管理”
问:“技术”和“管理”哪个重要?
大多数安全事故的发生和安全隐患的产生,既有技术原因也有管理上的问题。信息安全内容:包括制定完备的安全策略,通过风险评估来确定需求,根据需求选择安全技术和产品,并按照既定的安全策略和流程规范来实施,维护和审查安全控制措施。归根到底,信息安全并不只是技术过程,更重要的是管理过程。
问:课本中说:“更重要的是管理”,那么,在国家层面上的管理是怎么做的?
2017年6月1日颁布了中华人民共和国网络安全法。
问:个人或企业等不同用户群体在安全策略上又有什么区别?
信息系统安全管理模型
信息系统安全管理决策要点
把握信息系统安全管理决策要点,可以全面而有针对性地解决相关问题。
制定信息安全管理方针和多层次的安全策略,以便为各项信息安
全管理活动提供指引和支持。
通过风险评估来充分发掘组织真实的信息安全需要。
遵循预防为主的理念。
加强人员的安全意识和安全教育。
足够重视并提供切实有效的支持。
持有动态管理、持续改进的思想。
以业务持续发展为目标,达成信息安全控制的力度、使用的便利性以及成本投入之间的平衡。
小结
探讨信息安全管理标准
探讨信息系统安全管理策略
