老师
同学们好,欢迎来到空中课堂。今天我们继续学习第四单元信息系统安全。之前的学习主要是从用户、个人和技术的角度出发,今天我们换一个角度。首先我们来看三个示例。 2017 年2月, GitLab 的 v 系统管理员在修复数据库时,错误地执行了数据库目录删除命令,导致大量数据被删,该网站甚至被迫下线。上海某大学信息办主任防范意识薄弱,随意将密码告诉熟悉的学生,导致密码被公开,大量学生的个人资料可随便查看。
老师
2008 年 11 月,国外一位 it 员工在被辞退 5 个月后,侵入公司邮件系统,并修改系统设置,导致公司邮件不能正常收发。据该用户自己介绍,他发现自己的账户居然还能使用,并且公司没有任何安全措施,这 3 起安全事故依然是人为造成的,但却无关技术手段,更多体现的是管理员信息安全意识的薄弱和公司管理上的漏洞。
老师
今天我们的主题就是信息系统安全管理。一个信息系统包含着诸多因素,如各类人员、硬件、软件、供电设备,甚至温度、湿度调节设备等,而所有设备受人来安装、使用和维护的。所以整个系统中最关键的还是人的因素。据统计,所有信息安全事故中, 70% 是使用人员对信息设备仍是不足引起的,然后是使用人员操作不当和不法分子恶意攻击等。而从开始案例中我们也看到,不法分子攻击往往也是利用管理的漏洞。那么站在管理的角度,我们应该采取怎样的措施,尽可能避免这些人为犯错的可能?同学们可以思考一下,相信同学们一定有很多想法,在实际生活中,每个成熟的系统首先采取的措施一定是建立科学健全的管理制度。制度的建立可以有效地规范人文的行为,从而减少犯错的几率。
老师
在同学们平时上课的机房墙上就悬挂着机房安全管理制度,下面我们进行第一个活动,研究老师课件资料中的机房安全管理制度,思考制度中哪些条款能够减少人为因素导致的故障,以及能否进一步完善并完成教材上的表格 4. 3. 1 的填空,同学们完成的怎么样了?实际上,这份制度中除了维持上课纪律以及法律法规的几个条款之外,几乎都与人员管理和机房安全有关。
老师
一起来看表格上的例子,为什么机房中不能随便使用 u 盘及移动硬盘?没错,是防止病毒的传播,因为移动存储设备是电脑病毒的主要载体。机房内为什么不能带入水和饮料?因为水喝饮料如果不小心破洒出来,可能导致电脑硬件损坏,甚至破坏机房电路系统。同学们还有补充吗?老师再补充两个,上机人员为什