《信息管理导论(人大版)》教学课件—第七章 信息安全管理

念的深入发展，PDCA 最终得以普及。
作为一种抽象模型，PDCA 把相关的资源和活动抽象为过程
进行管理，而不是针对单独的管理要素开发单独的管理模式，
这样的循环具有广泛的通用性，因而很快从质量管理体系
（QMS）延伸到其他各个管理领域，包括环境管理体系
（EMS）、职业健康安全管理体系（OHSMS）和信息安全管
基于PDCA 这个过程的，如此一来，对管理问题的解决就成
了大环套小环并层层递进的模式；
每经过一次PDCA 循环，都要进行总结，巩固成绩，改进不
足，同时提出新的目标，以便进入下一次更高级的循环。
12.3 建立信息安全管理体系的意义
组织可以参照信息安全管理模型,按照先进的信息安全管
理标准BS 7799标准建立组织完整的信息安全管理体系并实
安全策略为核心的管理措施，致使安全技术和产品的运用非
常混乱，不能做到长期有效和更新。即使组织制定有安全策
略，却没有通过有效的实施和监督机制去执行，使得策略空
有其文成了摆设而未见效果。
12.1 信息系统安全管理概述
实际上对待技术和管理的关系应该有充分理性的认识：技
术是实现安全目标的手段，管理是选择、实施、使用、维护、
的管理模式，如图12.1 所示。
12.2 信息安全管理模式


PDCA（Plan、Do、Check 和Act）是管理学惯用的一个过程
模型，最早是由休哈特（Walter Shewhart）于19 世纪30 年
代构想的，后来被戴明（Edwards Deming）采纳、宣传并
运用于持续改善产品质量的过程当中。随着全面质量管理理
带来严重的影响。
概 述



安全问题所带来的损失远大于交易的账面损失，

2020/5/10
2
信息安全概念
什么是信息安全？
ISO: 为数据处理系统建立的安全保护，保护计算机硬
件、软件、数据不因偶然的或者恶意的原因而遭受到 破坏、更改和泄露； 国内：
计算机系统的硬件、软件、数据受到保护，不因 偶然的或者恶意的原因而遭受到破坏、更改和泄露以 及系统连续正常运行。
2020/5/10
应用与工程标准
安全工程和服务、人员资质、行业标准
管理标准
管理基础、系统管理、测评认证
2020/5/10
11
实例—北京市信息安全标准体系
信息安全标准体系
基础安全标准
环境条件与 平台安全
风险分析与管理 信息安全管理标准
信息安全测 评认证标准
实用信息安 全产品标准
安安 安 保 全全 全 密 体框 机 技 系架 制 术 结标 标 标 构准 准 准
系统安全视图
安全风险分析
N
安全目标树
安全措施匹配集
安全体系结构
安全体系设计的基本流程
2020/5/10
结束
Y
是否满足要求？
评估结果 安全体系评估
16
主要内容
一.信息安全理论
相关基本概念、理论体系、发展历史、信息安全标准体 系、法律法规、部署与操作
二.信息安全管理
风险管理：OCTAVE 工程角度： SSE-CMM
行政法规
如：中华人民共和国计算机信息系统安全保护条例 中华人民共和国计算机信息网络国际联网管理暂行规定 商用秘密管理条例等
部门规章及规范性文件
计算机信息网络国际联网安全保护管理办法等；
行业性法规(电信、银行等)
2020/5/10
15

标志：1977美国标准局(NBS)发布的《国家数据加密标准》和
1985年美国国防部(DoD)公布的《可信计算机系统评估准则》
信息保障(IA)
标志：2000年9月NSA(美国家安全局)发布的《信息保障技术框
架》3.0版，2002年更新为3.1版； 国防部：第8500.1《信息保障》；第8500.2《信息保障的实施》
2020/2/23
8
信息安全应用研究
信息安全技术
✓ 防火墙技术 ✓ 入侵检测技术 ✓ 漏洞扫描技术 ✓ 防病毒技术
平台安全
✓ 物理安全 ✓ 网络安全 ✓ 系统安全 ✓ 数据安全 ✓ 用户安全 ✓ 边界安全
2020/2/23
9
我国信息安全标准框架
2020/2/23
10
信息标准内容
基础标准类
2020/2/23
31
信息安全工程(SSE-CMM)的体系结构
SSE-CMM是面向过程的信息安全方法学 SSE-CMM的体系结构是其方法学的核心,该模型分为
两维. 横轴定义了11个安全方面的关键过程域(管理安全控制
、评估影响、评估安全风险、评估威胁、评估脆弱性、 建立保证论据、协调安全、监视安全、监视安全态势、 提供安全输入、确定安全需求、验证与确认安全) 纵轴为0-5六个能力成熟度级别。每个级别的判定反映 为一组共同特征(CF),而每个共同特征通过一组确定的 通用实践（GP）来描述；过程能力由GP来衡量。
2020/2/23
32
SSE-CMM的体系结构
2020/2/23
33
SSE-CMM的安全完备性
SSE-CMM中的系统安全过程：工程过程、风 险过程、保证过程
工程过程：
PA10 “确定安全需求”、PA09 “提供安全输入”、PA01 “管理安 全控制”、PA08 “监视安全态势”、PA07 “协调安全”

VPN（虚拟专用网络）技术通 过在公共网络上建立加密通道 ，确保远程用户安全地访问企 业内部网络资源。VPN技术提 供了数据加密、身份认证和访 问控制等安全功能。
远程访问安全最佳 实践
采用强密码认证、定期更换密 码、限制远程访问权限等安全 措施，确保远程访问的安全。 同时，结合VPN技术，进一步 提高远程访问的安全性。
信息安全风险是指由于威胁的存在而 导致的信息系统或其所在组织的潜在 损失，包括数据泄露、系统瘫痪、财 务损失、声誉损害等。
信息安全法律法规及合规性
信息安全法律法规
各国政府都制定了相应的信息安全法律法规，以确保信息安 全的合法性和规范性。例如，中国的《网络安全法》、欧洲 的《通用数据保护条例》(GDPR)等。
持续改进策略及最佳实践
持续改进策略
定期对信息安全管理体系进行审 查和评估，发现问题及时改进，
确保体系的持续有效运行。
最佳实践分享
借鉴国内外先进的信息安全管理经 验和最佳实践，不断提升组织的信 息安全管理水平。
创新技术应用
积极探索和应用新的信息安全技术 和管理手段，提高信息安全的防护 能力和效率。
THANK YOU
100%
数据备份策略
阐述定期备份数据的重要性，以 及不同备份策略（如完全备份、 增量备份、差异备份等）的优缺 点。
80%
数据恢复技术
探讨数据恢复的概念、方法及最 佳实践，包括文件恢复、数据库 恢复等。
数据泄露防护技术
数据泄露途径
分析数据泄露的常见途径，如 内部泄露、供应链泄露、网络 攻击等。
数据泄露防护策略
风险评估方法与流程
风险评估方法
采用定性与定量相结合的方法，对潜在的信息安全风险进行评估， 包括威胁识别、脆弱性分析、风险值计算等。

泄露给 别人
文件带来的问题
看看他们 的标书
结果：损失200万
他偷看我标 书，中标了
结果：损失1000万
提高安全意识，加强安全预防，注重安全管理
CCooppyryigrhigt ©ht202100L1if0ewLoiofed wood
4
4 Committed TaleCnotmsmittteod TaKlennotswtlo eKdnogweledCgeaCrairinnggWWoroldrld
CCooppyryigrhigt ©ht202100L1if0ewLoiofed wood
11 11 Committed TaleCnotmsmittteod TaKlennotswtlo eKdnogweledCgeaCrairinnggWWoroldrld
如何做好信息安全整体规划
过程Process： P:信息安全先做检查，巩固成果，发现不足； A:采取后续措施，改进不足，推动信息安全持续进步。
CCooppyryigrhigt ©ht202100L1if0ewLoiofed wood
2
2 Committed TaleCnotmsmittteod TaKlennotswtlo eKdnogweledCgeaCrairinnggWWoroldrld
信息安全
目录
一、信息安全案例 二、什么是信息 三、什么是信息安全 四、信息安全的目标 五、实现信息安全的意义 六、信息安全的需求来源 七、如何做好信息安全整体规划 八、如何实现信息安全
CCooppyryigrhigt ©ht202100L1if0ewLoiofed wood
3
3 Committed TaleCnotmsmittteod TaKlennotswtlo eKdnogweledCgeaCrairinnggWWoroldrld

出版具备无可比拟的优越性。在资源利用上，网络出版不需 要纸张、油墨等，是一种纯粹的环保、绿色产品。在发行方
式上，它不需要运输、库存，而且，库存量永远充足。E－ BOOK的更正、修订、改版等易如反掌，再也不需要重新 出片. 其二，E－BOOK，即是专用硬件阅读器的简称。
第十二页，共32页。
个人数字化信息资源管理实例
• 网络影院 网上高考报名系统
第十九页，共32页。
数据库系统
数 据
+
库
数 据 库 管
+
管 理 员
+
数 据 库 应
+
用 户
理
用
系
系
统
统
第二十页，共32页。
是为满足特定用 户需要而设计的 应用程序系统。
数据库应用系统
应用程序1 应用程序2 … 应用程序n
是使用数据库的一种工具。 常见的有：Oracle、 SQLServer、Access等。
第二十四页，共32页。
（3）、体验和认识数据库管理
认识数据库
数据库：是存入数据的仓库。只不过这个仓库是“建”在计算 机存储设备上的,而且数据需要按一定格式来存放的。
学生选修课程信息库
第二十五页，共32页。
小贴士 在数据库中……Access
名
1、每一行（除第一行外）称作一条“记录”； 2、每一列是一个字段；
同一时间仅供一人 可实现协同工作， 同一时间可供多人异地
使用
但比较麻烦
使用
对软硬件环境没有 依赖，有利于灵活 处理，适用于少量 信息的管理。
需要人与计算机 的高度交互，适 用于个人数字资 源的管理。
对软硬件要求较高，适 用于大规模的专门化的 信息资源的管理。

3、3 与图书馆学、情报学、档案管理
图书馆——专门收集、整理、保存文献并提供利用的
机构。 图书馆的产生是与文字的创造和书写材料的使用分不开的。 随着文献的增多,便出现了如何收集、保存和使用这些文 献的问题，图书馆由此应运而生。 最古老的图书馆出现于美索不达米亚、中国、古埃及、古 希腊等人类文明的最早发源地。
—— 管理信息系统是为特定的管理层次提供特定类型信
息的方法
—— 信息管理则是为整个组织机构的所有层次包括战略
层次、战术层次、操作层次服务的。
施特勒特曼（Stroetmann,德国）
信息管理是对信息资源与信息相关过程进行规划、组 织和控制的理论。其中：
信息资源——包括信息内容、信息系统、信息基础结构3部分 信息过程——包括信息产品的生产过程
（9）信息管理是指在整个管理过程中，人们搜集、加工、 输入、输出信息的总称。信息管理的过程包括信息的采集、 传递、存储、加工、使用五部分。 （10）信息管理是指对人类社会信息活动及其所涉及的各种 相关因素（主要指人、设备、技术等）进行科学的计划、 组织、控制和协调，以实现信息资源的充分开发、合理配 置与有效利用的过程。
能量中提取、生产信息的过程。
组织——人类根据一定的规则以语言、文字符号等手段对所开发的
信息实施有序化的过程。
信息资源的内涵
1、信息资源是信息的一部分，是信息世界中与人类的需 求相关的信息。 2、信息资源是可利用的信息，是在当前生产力水平和研
究水平下所开发与组织的信息。
3、信息资源是通过人类的参与而获取的信息，人类的参 与在信息资源的形成过程中具有重要的作用。
史密斯（Smith,美国）
不再局限于计算机资源管理，注重将管理理论与计算机 信息系统结合，但仍未摆脱管理信息系统的约束。

03
身份验证和授权管理
移动应用安全威胁及应对方法
网络传输安全和防火墙配置
定期漏洞评估和应急响应计划制定
云计算安全挑战及解决方案
01 02 03
云计算安全挑战 数据隐私和安全边界模糊 虚拟化技术带来的安全风险
云计算安全挑战及解决方案
多租户环境下的隔离问题 云平台自身的安全性和可靠性问题
解决方案
云计算安全挑战及解决方案
入侵检测技术
通过对行为、安全日志或审计数据或其它网络上 可以获得的信息进行操作，检测到对系统的入侵 或滥用的企图。
防火墙与入侵检测技术的结合
将防火墙技术和入侵检测技术结合起来，可以更 有效地保护网络安全。
身份认证与访问控制技术
01
身份认证技术
通过验证被认证对象的属性来达到确认被认证对象身份的目的。
信息安全策略与规划
讲解如何制定信息安全策略，明确安全目标和原则，规划安全架构 和路线图。
信息安全组织与职责
阐述信息安全组织的设立和职责划分，包括安全管理部门、安全审 计部门、应急响应中心等。
信息安全风险评估与应对策略
信息安全风险评估方法
介绍定性和定量风险评估方法，包括风险矩阵、风险指数等，讲 解如何识别和分析潜在的安全威胁。
网络安全漏洞扫描与评估
漏洞扫描
通过自动化工具对网络系统进行 全面的漏洞扫描，发现潜在的安
全风险。
漏洞评估
对发现的漏洞进行定性、定量评估 ，确定漏洞的危害程度和优先级。
防范策略
及时修复漏洞，采用安全的开发和 运维流程，定期进行安全审计和渗 透测试，加强员工安全意识培训等 。
04
数据安全与隐私保护
数据加密与存储安全
防范策略