02378自考信息资源管理(2010年版)1-7章课件资料.ppt

信息市场管理方面的法律规范 1. 对信息市场主体、中介和客体的法律规范 主体：《公司法》《广告法》 中介：各行业自行规定 客体：《专利法》《著作权法》《广告法》《商标法》 2. 信息市场秩序的法律规范 信息资源利用方面的法律规范 1. 政府信息的利用的法律规范 2. 受知识产权法律保护的信息资源的利用 3. 私有信息和个人信息的利用 信息安全方面的法律规范 信息安全：为保证信息的完整性、可用性和必威体育官网网址性所需的全面管理、规程和控制。 1. 保障计算机信息系统和网络设施安全的法律法规 2. 信息必威体育官网网址方面的法律规范 第6章 信息资源安全管理 信息资源安全管理 信息资源安全管理内涵 信息资源安全的系统管理 数据加密技术及其应用 信息资源安全管理内涵 1. 信息资源安全管理：针对普遍存在的信息资源安全问题，人们利用各种技术方法和组织手段，所进行的有计划的管理活动。 2. 信息安全技术：使信息资源免受威胁的方法和措施 3. 信息资源安全问题：信息可用性和权属受到威胁。具体包括： (1) 可用性：保证合法用户对信息的使用不会被不正当地拒绝。 信息资源安全管理内涵 (2) 必威体育官网网址性：保证机密信息不被窃取，或窃取者不能了解信息的真实含义。 (3) 真实性：对信息的来源进行判断(身份认证)，能对伪造来源的信息予以鉴别。 (4) 完整性：保证信息是一致或完整的，即信息在生成利用全过程中，内容不被非法用户篡改(信息内容认证)。 信息资源安全管理内涵 4. 信息资源安全管理的主要任务： (1) 采取技术和管理措施，保证信息资源可用； 对应突发事件、人为攻击等 包括实体安全保护和信息系统安全保护 采用各类系统访问控制技术、阻隔技术等 (2) 采用数据加密技术，使信息在其处理过程中，内容不被非法者获得； 信息资源安全管理内涵 (3) 建立有效的责任机制，防止用户否认其行为； 数字签名——实现信息源和信息内容正确性认证 (4) 建立可审查的机制，实现责任追究性。 能追踪资源什么时候、谁用、怎么用等 5. 信息资源管理属于风险管理，是为了预防或最大程度降低危害可能带来的损害而进行的管理活动。 6. 信息资源安全问题和对应的安全防护措施存在等级性。 信息资源安全的系统管理 信息系统安全模型 行为规范管理 实体安全管理 网络安全管理 软件安全管理 数据安全管理 信息系统安全模型 1. 适用范围：任何基于计算机网络的信息系统安全问题——国家的、企业的或个人的信息系统安全问题 2. 信息系统安全的七层模型 (1) 第1、2层 行为规范管理 从法规和制度上规定一般公民和组织成员对信息系统安全所应承担的义务和责任，即规范和指导人的思想行为。 信息系统安全模型 (2) 第3、4层 实体安全管理 用各种物理和管理手段，解决信息系统硬件及其环境的防灾、防盗和防害等安全问题。 (3) 第5、6、7层 技术安全管理 利用各种信息安全技术，解决信息资源的可用性、必威体育官网网址性、认证性、一致性等安全管理问题。 行为规范管理 从国家和社会组织两个层面对信息系统安全的行为进行规范： 1. 国家：根据国家信息化发展的需要，逐步建立和完善信息安全的政策、法律和法规体系，对信息过程中的各种行为加以规范； 2. 社会组织：在国家政策和法规指导下，制定信息资源安全管理策略，从整体上，把握信息资源开发利用和安全管理的平衡点，设置保护对象的安全优先级，提出信息的安全目标，以及实现这些安全目标所运用的手段和采取的途径。 行为规范管理 制定安全策略的步骤： (1) 理解组织业务特征 (2) 建立安全管理组织机制 (3) 确定信息资源安全的整体目标 (4) 确定安全策略的范围 (5) 安全策略评估 (6) 安全策略实施 行为规范管理 安全策略制定的原则 (1) 内容上的可理解性 (2) 技术上的可实现性 (3) 实际操作的可执行性 (4) 简明的、原则的、可审核的、可行的、文档化的、动态的 实体安全管理 1. 场地环境安全 (1) 场地 选择远离存放易燃、易爆、易腐蚀物品的地方 远离有害气体源 远离强的动力设备和机械 避开高压线、雷达站、无线电发射台和微波中继线路 远离强振动源和噪声源 具备较好的防风、防火、防水、防震及防雷击的条件 实体安全管理 (2) 空气调节系统 保持机房适当的温度(20 ℃左右) 保持机房合适的湿度(30%~70%) 洁净度 (3) 防火管理 配备烟火报警装置 制定防火管理应急预案 设计防火分离区(防火门、隔离带等) 配备灭火器材 实体安全管理 2. 硬件安全 (1) 硬件设备的档案管理 (2) 防电磁干扰：电磁屏蔽、接地系统等 (3) 防电磁泄露：电子屏蔽技术和物理抑制技术 电磁泄漏：在信息系统工作时，有用的信息电磁信号被高灵