【文档说明】第15章企事业单位信息安全管理.pptx，共(77)页，225.593 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-289310.html

以下为本文档部分文字说明：

第15章企事业单位信息安全管理第15章企事业单位信息安全管理15.1信息安全管理概述15.2企事业单位信息安全管理模型15.3企事业单位信息安全管理中的关键环节15.4ISO/IEC27000系列标准简介思考题实验15学院网

站安全方案设计第15章企事业单位信息安全管理内容导读企事业单位信息安全管理的最终目标是保护其信息资产，保证其业务的安全平稳运行。企业信息安全管理模型遵循管理的一般循环模式，即计划(Plan)、执行(Do)、检查(Check)和行动

(Action)的持续改进模式，简称PDCA模式。第15章企事业单位信息安全管理每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的，每次循环都会通过检查环节发现新的问题，然后采取行动予以改进

，从而形成了安全管理策略和活动的螺旋式提升。第15章企事业单位信息安全管理信息安全管理策略的制订、信息系统的安全运行管理和信息安全应急管理是企事业单位信息安全管理的关键环节。风险评估是安全策略制订的重要依据，而以“信息安全应急响

应预案、加强应急机制建设，建立健全应急体制，依据相关法制”的一案三制为核心内容的应急管理体系建设是做好信息安全应急管理工作的基础。第15章企事业单位信息安全管理建立完善的信息安全管理体系是企事业单位进行科学信息安全管理的客观要求。

ISO/IEC27000系列标准中的27001《信息安全管理体系要求》和27002《信息安全管理实用规则》，阐述了一个组织建立信息安全管理体系的标准相关过程和活动，对提高组织的实际安全管理水平具有重要指导

意义。第15章企事业单位信息安全管理15.1信息安全管理概述15.1.1信息安全管理的概念国家、组织或个人为了实现信息安全目标，运用一定的手段或技术体系，对涉及信息安全的非技术因素进行系统管理的活动称为信息安

全管理。第15章企事业单位信息安全管理该定义揭示了信息安全管理的主体(即国家、组织或个体)、对象(即信息安全的非技术因素)与目的(即实现信息安全目标)，并强调手段或技术体系的运用与系统管理的活动过程。该定义还明确了信息安全管理的对象主要是非技术因素，范围广泛，符合当前的综合治理理论，也提醒人

们要用系统的观点来审视信息安全问题。第15章企事业单位信息安全管理信息安全管理具有广义和狭义之分，广义的信息安全管理是指宏观层面上的国家的信息安全管理，狭义的信息安全管理则指微观层面上的组织或个体的信息安全管理。第15章企事业单位信息安全管理15.1.2人们对信息安全管理重要性的

认识随着对信息安全问题认识的不断深入，人们越来越认识到，做好信息安全工作不仅要靠信息安全技术，更要靠信息安全管理。通过深化这种思想，信息安全的实践活动可划分为三个阶段来体现。第15章企事业单位信息安全管理第一阶段，技术浪潮。这个阶段主要通过技术手段

保障信息的安全。第二阶段，管理浪潮。因为高层管理人员对安全问题的关注，关于信息安全的文件化规定迅速发展起来。第15章企事业单位信息安全管理第三阶段，制度浪潮。人们很自然地关心自己的组织比其他的组织在信息安全活动上是否更成功。信息安全标准化可以解决用户“如何得知在实践中漏掉

了哪些方面”，信息安全认证可以解决“怎么向合作伙伴证明组织的信息安全”，培育组织自己的信息安全文化可以消除“组织内部用户是组织的最大敌人”等问题。第15章企事业单位信息安全管理15.1.3信息安全管理的内容构

成不同的信息安全管理主体具有不同的信息安全管理目标和任务，因而其信息安全管理的内容构成也不相同。对于国家层面的信息安全管理机构和组织来说，主要致力于信息安全战略、信息安全政策及法律法规、信息安全标准与认证、信息安全治理、信息安全国际合作等方面的规划与实施；第15章企事业单位信息安全管

理对于企业、公司和学校这种普通组织机构而言，其信息安全管理的主要任务则是通过信息安全体系规划、信息安全策略制定、信息分级保护、信息安全风险管理、信息安全措施实施与协调、信息安全危机与应急管理、信息安全文化培育等

来保障组织业务的连续性；而对于用户而言，则更侧重于个人权力的行使和个人财产和隐私的保护。第15章企事业单位信息安全管理另外，对于普通组织和机构而言，业务性质的不同，其信息安全管理的内容和侧重点也不相同。各行业或部门的信息安全管理均体现出本行业或部门的特点，反映其特殊规律。例如，我们可以根据

行业特点把普通组织和机构的信息安全管理划分为电子政务信息安全管理、电子商务信息安全管理、军队信息安全管理、校园网信息安全管理和银行信息安全管理等。第15章企事业单位信息安全管理总之，信息安全管理的内容构成非常广泛和丰富，随着时代的发展和技术的进步，信息安全管理的内容、方

法和手段也都在不断地变化和更新。第15章企事业单位信息安全管理下面对信息安全管理领域的一些内容构成作简单介绍。(1)信息安全战略管理。在当前全球化、信息化、网络化的背景下，信息安全在整个国家安全中具有极其重要的战略地位与意义，因此，

信息安全战略管理成为当前各国信息安全管理的一项基本内容。第15章企事业单位信息安全管理信息安全战略管理主要通过战略的研究、制定、实施与评估等，对信息安全复杂多变与不确定性的环境预先规划好目标及应对措施；从维护国家安全和保障国家信息化建

设健康发展的高度，提出信息安全战略发展的指导思想、战略目标、推进策略、运作机制和实施路线等，以利于统一思想、综合协调、形成合力。进而指导、动员和促进信息安全的全面建设。第15章企事业单位信息安全管理(2)信息安全政策及法律法规。信息安全政策及法律法规是联结信息安全战略目标与信息安

全工作成果的“中控环节”，是信息安全保障的具体规则及制度，明确反映了国家及组织高层对特定领域的信息安全意志或理念。这方面的管理主要涉及信息安全政策及法律法规的制定、实施、监控、评价、反馈与完善等。第15章企事业单位信息安全管理(3)信息安全标

准与认证。信息安全标准是由国家权威部门制定，相关机构遵守的一套具体规范及依据。管理内容主要包括信息安全技术与管理标准的制定、实施、评估及反馈等。在颁布标准的基础上，权威部门还建立了信息安全测评认证体系，实行“准入”制度，要求对信息安全产品、信息系统安全、信息安全服务资质和信息安全人员资质等实施

认证，对符合标准与达到要求者，颁发相应证书。第15章企事业单位信息安全管理(4)信息安全组织结构。信息安全组织结构作为信息安全管理体制和机制层面的问题，是信息安全管理的重要内容之一。该方面的管理主要通过信息安全组织结构的设立、精简、整合或撤销等，以优化结构、理顺关系、明确职责，

进而支撑信息安全战略的顺利实施。第15章企事业单位信息安全管理信息安全领导是引领信息安全事业实现持续快速发展的前提。只有通过科学合理、坚强有力的引导，促使信息安全工作人员安心并不遗余力地工作，才能有效

保障信息安全战略的顺利实现，进而带动信息安全事业的发展。第15章企事业单位信息安全管理(5)信息安全人力资源开发与管理。人力资源开发与管理是现代信息安全管理的核心。加强信息安全人力资源管理，有利于扭转重技术轻管理、重物质资源轻人力资源的倾向，并有利于消除内部人员管理上的漏洞，解决信

息安全人才不足的问题。这方面的具体内容包括：信息安全工作分析与设计，信息安全人力资源规划，信息安全人员招聘，信息安全人员绩效管理，信息安全人员薪酬管理，信息安全人员培训开发，信息安全人员职业发展，信息安全人员使用、调配与离职管理，信息安全团队建设，信息安全人才教育与管理等。第15章

企事业单位信息安全管理(6)信息安全等级保护。信息安全等级保护是我国信息安全保障的一项基本制度，主要是指有关方面对信息系统进行安全等级分级，并加以贯彻落实、监控与评估等。第15章企事业单位信息安全管理(7)信息安全治理。信息安全治理就是落实

“综合防范”的方针，即综合运用行政、法律、技术等多种手段，强调国家、企业和个人共同的责任，各个部门齐抓共管，用系统工程和体系建设的思路来抓信息安全。它的基本内容或要求是统筹规划、群防群治、多方联动、责任分担、成果共享。第15章企事业单位信息安全管理(8)

信息安全策略。信息安全策略一般也称作信息安全方针，是有关信息安全的行为规范。它是整个安全管理体系的起始点和基本原则，是实现信息系统安全目标的根本保证。与宏观层面的信息安全政策相比，信息安全策略更侧重于组织内部微观的信息安全管理，是一个组织所颁布的对组织信息安全的定义和

理解，主要内容是界定与管理组织的安全目标、安全范围、安全技术、安全标准和安全责任等。第15章企事业单位信息安全管理(9)信息安全风险管理。目前，风险管理已经是信息安全管理的一个主流范式。它以风险为主线，通过风险战略规划、风险评估、风险控制、风险防范等基本环节，对信息、信息载体、信

息环境进行安全管理以达到安全目标。其中，风险评估为关键，但又不否定其他环节的重要性，它们相辅相成，共同构成一个完整的信息安全风险管理体系。信息安全风险管理与信息安全标准关系尤为密切，往往以标准为依据，实施针对性的管理。第15章企事业单位信息安全

管理(10)信息安全危机与应急管理。安全问题必定涉及到危机与应急问题，因此危机与应急管理是信息安全管理必然具备的基本内容。这方面主要通过构建信息安全应急响应与处置体系，在预警、应急、响应、处置等方面实现联动，通过事前预警、灾难备份、事中应急协调、事后灾难恢复等，来提高应对信息安全危机或

突发事件的处理能力。第15章企事业单位信息安全管理(11)信息安全文化培育。安全文化是以精神、价值观为导向，反映个人和集体的价值观、态度、能力和行为方式的综合产物。安全文化作为组织文化的一个子概念，具有无形管理、全面管理、能动管理的特点。把安全管理放到社会文化背景的大视野中去

研究思考，用文化的核心元素，用文化管理的更高境界，创新和提升安全管理的水平，这是“以人为本”的科学发展观对安全生产提出的客观要求。第15章企事业单位信息安全管理通过信息网络安全文化建设，能够实现安全认识的导向功能、安全思想的凝聚功能、安全行为的规范功能。通过加大信息网络安全文化宣

传力度，能够使上网人员主动接受正确的安全意识、态度和信念；通过信息网络安全文化知识的传播、教育，能够形成人人需要网络安全的共识，使上网人员从“要我安全”变为“我要安全”；第15章企事业单位信息安全管理通过加强信息网络安全文化建设，将会使上网人员加深对网络安全法律、法规、标准的理解和认

识，学习网络安全知识及技能，增强信息素质，从而对上网人员起到重要规范作用或产生自觉的约束功能。第15章企事业单位信息安全管理(12)信息安全国际合作。当前，信息安全问题不只是某个国家的国内安全问题，也不单是凭一个国家、一个企业或一种技术就能解决得了的问题，而是需要通过各国政府、各种国际组织、民间

团体、私营企业和个人之间的充分合作，才有可能解决的全球性安全问题。信息安全国际合作的内容包括参加国际性的安全会议、加入国际安全组织、把中国的信息安全技术和理念推向世界等。第15章企事业单位信息安全管理15.2企事业单位信息安全管理模型企事业单位信息安全管理的

最终目标是保护其信息资产，保证其业务的安全平稳运行。由于新的风险在不断出现，系统的安全需求也在不断变化，因此，企事业单位的信息安全管理应该是一个动态的不断改进的持续发展过程。第15章企事业单位信息安全管理由美国管理学博士戴明(W.E.Deming)于20世纪50年代初提出的戴

明环，即规划(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模型(简称PDCA模型)，是进行质量管理的基本方法。逐渐的管理实践表明，PDCA循环管理模式是能使任何一项活动有效

进行的一种合乎逻辑的工作程序，是管理学中的一个通用模型。第15章企事业单位信息安全管理上述持续改进PDCA过程模式同样适用于企事业单位的信息安全管理，只不过这里P、D、C、A的具体涵义均应体现信息安全管理特色，如图15-1所示。第15章企事业

单位信息安全管理图15-1企事业单位信息安全管理PDCA模型相关方信息安全需求和目标相关方可管理的信息安全建立信息安全管理体系实施和动作维持和改进维持和改进规划执行改进控制第15章企事业单位信息安全管理Plan(规划)。规划阶段的活动包括：建立组织机构，明晰责任，确定安全目标、战略和策略，进行风险

评估，选择安全措施，并在明确安全需求的基础上制定安全计划、业务连续性计划、意识培训等信息安全管理程序和过程。规划是信息安全管理周期的起点，作为安全管理的准备阶段，为后续活动提供基础和依据。第15章企事业单位信息安全管理Do(执行)。实施阶段是实现计划阶段确定目标的过程，包括安全策略、

所选择的安全措施或控制、安全意识和培训程序等。Check(检查)。信息安全实施过程的效果如何，需要通过监视、审计、复查、评估等手段来进行检查，检查的依据就是计划阶段建立的安全策略、目标、程序，以及标准、法律法规和实践经验，检查的结果是进一

步采取措施的依据。第15章企事业单位信息安全管理Action(改进)。如果检查发现安全实施的效果不能满足计划阶段建立的需求，或者有意外事件发生和由某些因素引起了新的变化，可经过管理层认可，采取相应的措施进行改进，并按照已经建立的响应机制来行事，必要时进入新一轮的信

息安全管理周期，以便持续改进和发展信息安全。第15章企事业单位信息安全管理上述每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的，每次循环都会通过检查环节发现新的问题，然后采取行动予以改进，从而形成了安全管理策略和活动的螺旋式提升。第15章

企事业单位信息安全管理15.3企事业单位信息安全管理中的关键环节15.3.1企业信息安全管理策略的制订企业信息安全管理策略的制订依据来源于如下三个方面：(1)法律法规与合同条约的要求。与信息安全相关的法律法规是对组织的强

制性要求。第15章企事业单位信息安全管理(2)组织的原则、目标和规定。组织从自身业务和经营管理的需求出发，必然会在信息技术方面提出一些方针、目标、原则和要求，据此明确自己的信息安全要求，确保支持业务运作的信息处理活动的安全性。第1

5章企事业单位信息安全管理(3)风险评估的结果。组织对信息资产的保护程度和控制方式的确定都应建立在风险评估的基础之上。一般来讲，通过综合考虑每项资产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性等因素

，组织可以分析并确定具体的安全需求。风险评估是信息安全管理的基础。第15章企事业单位信息安全管理15.3.2企事业单位信息安全风险评估信息安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的

脆弱性，评估安全事件一旦发生可能造成相当的危害，必须提出有针对性的抵御威胁的防护对策和整改措施，将风险控制在可接受的水平，从而最大限度地保障网络和信息的安全。第15章企事业单位信息安全管理信息安全风险评估过程是依据信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的安全属性

进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。第15章企事业单位信息安全管理信息安全风险评估的实施步骤如下：(1)风险评估的准备；

(2)资产识别；(3)威胁识别；(4)脆弱性识别；第15章企事业单位信息安全管理(5)已有安全措施的确认；(6)风险分析；(7)风险评估文件记录。风险评估的实施流程如图15-2所示。第15章企事业单位信息安全管理图

15-2风险评估的实施流程风险评估准备保持已有的安全措施威胁识别已有安全措施的确认风险计算制定和实施风险处理计划并评估残余风险风险是否接受是否接受残余风险实施风险管理资产识别脆弱性识别评估过程文档评估过程文档评估过程文档否否是

是风险分析风险评估文档记录…第15章企事业单位信息安全管理信息安全风险评估的具体方法可参见国家标准《信息安全风险评估指南》。第15章企事业单位信息安全管理15.3.3企事业单位信息系统的安全运行管理为确保信息系统安全稳定运行，企事业单位的相关业务部门应根据业务特点，

对信息系统安全生产运行提前做出安排，确保信息系统平稳安全运行。具体做法应强调如下几点：(1)加强信息运作队伍建设，努力提升信息运行人员的业务能力。第15章企事业单位信息安全管理(2)分级控制，责任到人。组织管理和运行维护管理应按不同层次分别负责。(3)加强值班制度，确保信息联系渠道畅通。(4)

加强网络系统监控，及时发现问题并及时排除。第15章企事业单位信息安全管理15.3.4企事业单位信息安全应急管理所谓的应急管理，就是指一旦危机爆发，如何用最小的成本、以最快的速度把损失降到最低。以“一案三制”为核心内容的应急管理体系建设是做好信息安全应急管理工作的基础。第15章企事业单位

信息安全管理1.一案一案指信息安全应急响应预案。应急响应预案实际上是一个透明和标准化的反应程序,使应急响应活动能按照预先周密的计划和最有效的实施步骤有条不紊地进行。这些计划和步骤是快速响应和有效防护的基本保证。制订、修订应急预案是加强应急体系建设的基础性工作

和首要任务。应急预案的完整框架包括：第15章企事业单位信息安全管理(1)目的、工作原则、法律法规依据、适用范围；(2)应急处置指挥机构的组成和相关部门的职责及权限，包括各类应急组织机构与职责、组织体系的框架等；(3)信息安

全事件监测与预警，包括预测与预警系统、预警级别、预警行动、预警支持系统等；(4)信息安全事件信息的收集；包括信息收集、分析、报告、通报和新闻发布的制度；第15章企事业单位信息安全管理(5)信息安全事件的应急响应，包括事件的分级、分级负责、指挥协调、先期处置、控制等；(6)信息安全事件应

急保障，包括人力资源、财力、通讯、应急技术、应急设施设备的保障；(7)信息安全事件后的恢复与重建等；(8)应急预案的管理，包括预案演练、培训教育、责任与奖励、预案更新等。第15章企事业单位信息安全管理制订和修订信息安全应急预案的过程是一个不断总结经验教训的过程，

一个查找薄弱环节的过程，一个改进工作的过程，一个拓宽视野不断学习的过程，一个与时俱进的过程。第15章企事业单位信息安全管理2.三制三制指加强应急机制建设、建立健全应急体制、依据相关法制。企事业单位的信息

安全管理不仅需要制订和完善信息安全应急预案，还需要建立健全应急信息传递机制，坚持早发现、早报告、早控制、早解决的应急处置原则，同时落实领导、相关部门和个人的责任，建立健全社会预警体系，形成统一指挥、功能齐

全、反应灵敏、运转高效的应急机制，提高保障公共安全和处置突发事件的能力；最后还要依法行事，努力使应急处置逐步走向规范化、制度化和法制化轨道。第15章企事业单位信息安全管理《突发事件应对法》是应对严峻公共安全形势

的法宝。《信息安全事件分类分级指南》和《信息安全事件管理》两项国家标准，是指导用户对信息安全事件进行分类、定级、管理，对信息安全事件进行应急处理和通报的指导性标准。第15章企事业单位信息安全管理应急事件处理流程：准备工作→事件认定→控制事态发展→事件

消除→事件恢复→事件追踪。例15-1病毒事件处理流程如图15-3所示。第15章企事业单位信息安全管理图15-3病毒事件处理流程Web服务器被感染？从互联网可以访问服务器?存在染毒文件？通知PR/司法机关？通知用户？发现病毒来源？重新接入网络？是否授权来源？把服务器从网络断开

确认并删除文件无毒系统完全备份确认病毒来源确认可能日期软件感染调查禁止下载文件检查所有文件删除染毒文件无毒系统完全备份通知PR/司法机关通知用户删除来源记录事故是否否否是是否是是否是否否否是是未授权更改调查调查结束第15章企事业单位信息安全管理15.4ISO/IEC2700

0系列标准简介15.4.1企业信息安全管理与ISO/IEC27000系列标准建立完善的信息安全管理体系是企事业单位进行科学信息安全管理的客观要求。第15章企事业单位信息安全管理ISO/IEC27000系列标准中的27001《信

息安全管理体系要求》和27002《信息安全管理实用规则》，从一个组织如何建立信息安全管理体系的角度阐述了相关的过程和活动，以及过程活动中需要完成的输入输出。ISO/IEC27001标准已在世界范围内被公认为认证、合同及

法规要求标准，对提高组织的实际安全管理水平具有重要指导意义。第15章企事业单位信息安全管理ISO/IEC27001，即《信息安全管理体系要求》，是ISO27000系列的主标准，该标准规定了一个组织建立、实施、运行、监视、评审、保持、改进信息安全管理体系的要求。它基于风险

管理的思想，旨在通过持续改进的过程(PDCA模型)使组织达到有效的信息安全。ISO/IEC27001使用了和ISO9001、ISO14001相同的管理体系过程模型，是一个用于认证和审核的标准。ISO/IEC27001标准与I

SO/IEC27002共同使用，一个组织在按照27001实施其信息安全管理体系的过程中，应选择27002中推荐的控制措施。第15章企事业单位信息安全管理ISO/IEC27002《信息技术-安全技术-信息安全管理实施细则》包括11

个安全控制要项、39个控制目标、133项控制措施，给负责开发的人员作为参考文档使用，作为组织的安全标准和有效的安全管理实施指南。第15章企事业单位信息安全管理15.4.2ISO/IEC27000系列其他标准简介2005年4月，国际上正式

通过了信息安全管理体系系列标准的开发计划，即ISO/IEC27000系列标准。ISO/IEC27000系列标准目前共有10余个，前面已经对27001和27002作了描述，其他标准简介如下：第15章企事业单位信息安全管理IS

O/IEC27000，即《信息安全管理体系基础和词汇》。它将主要以ISO/IEC13335-1:2004《信息和通信技术安全管理第1部分：信息和通信技术安全管理的概念和模型》为基础进行研究。该标准将规定27000系列标准所共用的基本原则、概念和词汇第15章企事业单位信息安全

管理ISO/IEC27003，即《信息安全管理体系实施指南》，目前处于工作草案阶段。该标准提供了27001具体实施的指南，包括PDCA过程的详细指导和帮助。ISO/IEC27004，即《信息安全管理测量》。目前处于工作草案阶段。该标准主要是测量组织信息安全管理体系实施的有效性、过程的有效

性和控制措施的有效性。第15章企事业单位信息安全管理ISO/IEC27005，即《信息安全风险管理》。目前处于委员会草案阶段。该标准主要以ISO/IEC13335-2《信息技术信息和通信技术安全管理第2部分：信息安全风险管理》为基础进行制定。描述了信息安全风险管理的一般过程及每个过

程的详细内容，包括风险分析、风险评价、风险处理、监视和评审风险、保持和改进风险等。第15章企事业单位信息安全管理ISO/IEC27015-金融和保险服务部门。该标准是ISO/IEC27001标准在金融和保

险业的特殊运用。第15章企事业单位信息安全管理15.4.3ISO/IEC27000标准展望从信息安全管理体系国际标准的发展形势来看，ISO/IEC27000将用于国际互认，可以使面向市场的社会企业向合作方及用户证明其信息安全管理水平，成为组织彼此之间信任的基

础。就其影响范围来看，不管是出于认证考虑，还是以提高组织的实际安全管理水平为出发点，该系列标准都将受到越来越多的关注和应用。第15章企事业单位信息安全管理思考题(1)信息安全管理的内容构成主要有哪些？(2)解释PDCA管理模型。(3)企事业单位信息安全管理策略制订的依据是什么？(4)什么是风险

评估，其作用是什么？第15章企事业单位信息安全管理(5)什么是应急响应，如何构建一个企业内部的应急响应组织？(6)应急响应处理流程有几步，每步完成什么工作？(7)企事业单位信息安全管理的关键环节有哪些，在日常运行管理中

应强调哪些问题？(8)简述ISO/IEC27001和ISO/IEC27002的主要内容。第15章企事业单位信息安全管理实验15学院网站安全方案设计一、实验目的(1)对一般电子商务网站、企业网站和校园网的安全性方案有

一个整体认识。(2)对一个小型网站，能综合应用安全技术设计实现其安全性目标。第15章企事业单位信息安全管理二、实验准备(1)查阅有关资料，理解网站建设安全方案应包括的内容。(2)调查信息学院网站建设和使用情况。(3)思考信息学院网站目前采用的安全方案

和改进办法。(4)本实验要求分成三人组，自由组合。第15章企事业单位信息安全管理三、实验内容(1)描述信息学院网站的建设目标。(2)描述信息学院网站建设现状和拓扑结构。(3)描述信息学院网站面临的网络威胁与安全性需求。(4)描述信息学院网站建设应遵循的

安全性原则。(5)分析信息学院网站目前的安全性方案。第15章企事业单位信息安全管理(6)概述你设计的信息学院网站总体安全方案。(7)描述你设计的信息学院网站采用的认证方法。(8)描述你设计的信息学院网站采用的访问控制方法。(9)描

述你设计的信息学院网站入侵检测和流量监控方法。(10)描述你设计的信息学院网站病毒防护体系。(11)为信息学院网站制订应急响应措施和灾害恢复计划。(12)为信息学院网站制订出安全管理规章。第15章企事业单位信息安全管理四、实验报告1.通过实验回答下列

问题(1)一般地，网络建设安全方案应包括哪些内容？(2)你认为目前的信息学院网站存在哪些风险，你的依据是什么？(3)请描述审核员的职责和审核步骤。第15章企事业单位信息安全管理2．简答题(1)电子商务网站与信息学院网站的安全性需求有何不同？(2)信息学院网站的安全方案设计和校园网的安全方案

设计有何不同？(3)面对众多的网络安全产品和新技术，你的选择标准是什么？(4)给出你所在小组对其他两个小组所设计方案的评议意见，并说明你的评议依据。