信息資源管理系統(tǒng)的基本概論

信息資源管理一、信息資源管理概論1.信息資源管理目標(biāo)信息資源管理目標(biāo)，總說來就是經(jīng)過人們計劃、組織、協(xié)調(diào)等活動，實(shí)現(xiàn)對信息資源科學(xué)開發(fā)、合理配置和有效利用，以促進(jìn)社會經(jīng)濟(jì)發(fā)展。對社會或某個國家來說，信息資源豐裕程度、信息產(chǎn)業(yè)發(fā)展情況，是衡量經(jīng)濟(jì)發(fā)展水平和國力主要標(biāo)志。所以信息資源管理目標(biāo)，還要結(jié)合特定國家或地域社會經(jīng)濟(jì)發(fā)展現(xiàn)實(shí)狀況、目標(biāo)和戰(zhàn)略，提出更具針對性目標(biāo)。信息資源管理系統(tǒng)的基本概論第1頁

我國屬于發(fā)展中國家，經(jīng)濟(jì)發(fā)展水平和信息資源豐裕度不高，但發(fā)展速度快?，F(xiàn)在正在實(shí)現(xiàn)從計劃經(jīng)濟(jì)向社會主義市場經(jīng)濟(jì)轉(zhuǎn)變，還要實(shí)現(xiàn)經(jīng)濟(jì)增加方式從粗放型到集約型轉(zhuǎn)變，信息資源管理要為實(shí)現(xiàn)這兩個轉(zhuǎn)變服務(wù)，要為我國經(jīng)濟(jì)連續(xù)、高速、穩(wěn)定發(fā)展服務(wù),以信息化帶開工業(yè)化。

我國地域遼闊、但各地域各行業(yè)發(fā)展不平衡。在信息資源開發(fā)與利用上，我們必須突出重點(diǎn)，使較發(fā)達(dá)地域與行業(yè)經(jīng)過推進(jìn)信息化，在經(jīng)濟(jì)活動中更加好地與國際社會接軌，增強(qiáng)我國經(jīng)濟(jì)國際競爭能力，并以此帶動欠發(fā)達(dá)地域與行業(yè)發(fā)展。信息資源管理系統(tǒng)的基本概論第2頁對于一個組織，尤其是企業(yè)組織來說，信息資源管理目標(biāo)是為實(shí)現(xiàn)組織整體目標(biāo)服務(wù)。當(dāng)前，企業(yè)面臨環(huán)境復(fù)雜多變，市場競爭十分激烈，經(jīng)濟(jì)活動全球化、市場國際化趨勢加速，信息資源開發(fā)、配置與利用，要為提升企業(yè)應(yīng)變能力和競爭能力服務(wù)。信息資源管理系統(tǒng)的基本概論第3頁2、信息資源管理類型從信息資源包括經(jīng)濟(jì)活動類型來分，有①信息資源生產(chǎn)與創(chuàng)新管理；②信息資源分配與流通管理；③信息基礎(chǔ)設(shè)施建設(shè)與利用管理（即信息資源配置與利用管理）；④信息服務(wù)管理。信息資源管理系統(tǒng)的基本概論第4頁從信息資源管理目標(biāo)來分有①面向普通社會組織（包含企業(yè)）信息資源管理，目標(biāo)在于促進(jìn)組織目標(biāo)實(shí)現(xiàn)；②面向信息產(chǎn)品生產(chǎn)與信息服務(wù)業(yè)信息資源管理，目標(biāo)在于滿足社會上廣大用戶對信息產(chǎn)品和信息服務(wù)需求；③面向政府部門信息資源管理。目標(biāo)在于使政府部門更加好地實(shí)施其宏觀調(diào)控和信息服務(wù)職能。信息資源管理系統(tǒng)的基本概論第5頁3.信息資源管理內(nèi)容一個當(dāng)代社會組織信息資源主要有：①計算機(jī)和通信設(shè)備；②計算機(jī)系統(tǒng)軟件與應(yīng)用軟件；③數(shù)據(jù)及其存放介質(zhì)；④非計算機(jī)信息處理存放裝置；⑤技術(shù)、規(guī)章、制度、法律；⑥從事信息活動人一個信息系統(tǒng)就是這些信息資源為實(shí)現(xiàn)某類目標(biāo)有序組合，所以信息系統(tǒng)建設(shè)與管理就成了組織內(nèi)信息資源配置與利用主要伎倆。信息資源管理系統(tǒng)的基本概論第6頁

面向組織信息資源管理主要內(nèi)容有：①信息系統(tǒng)管理包含信息系統(tǒng)開發(fā)項(xiàng)目標(biāo)管理、信息系統(tǒng)運(yùn)行與維護(hù)管理、信息系統(tǒng)評價等；②信息資源開發(fā)、利用標(biāo)準(zhǔn)、規(guī)范、法律制度制訂與實(shí)施；③信息產(chǎn)品與服務(wù)管理；④信息資源安全管理；⑤信息資源管理中人力資源管理信息資源管理系統(tǒng)的基本概論第7頁4.信息資源管理組織概述信息資源作為一個主要國家戰(zhàn)略資源，其豐裕程度已成為衡量一個國家國力和經(jīng)濟(jì)發(fā)展水平主要技術(shù)指標(biāo)。所以，各國政府都將信息資源開發(fā)和管理納入主要議事日程。但信息資源開發(fā)和使用過程包括人員和范圍較廣，內(nèi)容龐雜，為了預(yù)防信息資源浪費(fèi)和濫用，最大程度地提升信息資源效用，需要國家各級政府機(jī)構(gòu)、民間組織、企業(yè)等各方面共同努力，尤其需要建立和健全完善組織機(jī)構(gòu)強(qiáng)化對信息資源開發(fā)、利用管理和控制。信息資源管理系統(tǒng)的基本概論第8頁當(dāng)前在我國，信息資源管理組織機(jī)構(gòu)主要分布在以下層次上：(1)各級政府相關(guān)部門，如政府所屬各級信息中心、科技、教育、宣傳、文化、統(tǒng)計、標(biāo)準(zhǔn)、技術(shù)監(jiān)督等管理部門，它們在信息資源管理過程中主要職責(zé)是：對應(yīng)開發(fā)標(biāo)準(zhǔn)、法律、法規(guī)審查與制訂，規(guī)劃與組織信息基礎(chǔ)設(shè)施建設(shè)，向企業(yè)及其它各類社會組織和公眾提供必要信息服務(wù)，從政策上指導(dǎo)信息資源合理開發(fā)和有效應(yīng)用，并從宏觀角度上促進(jìn)和加強(qiáng)國際間信息資源交流與合作。(2)民間團(tuán)體和組織，如學(xué)會、協(xié)會、學(xué)術(shù)社團(tuán)等，它們在信息資源管理過程中主要職責(zé)是：配合政府和企業(yè)，研究與制訂信息資源開發(fā)標(biāo)準(zhǔn)和規(guī)范，促進(jìn)新技術(shù)交流與推廣。信息資源管理系統(tǒng)的基本概論第9頁(3)信息服務(wù)機(jī)構(gòu)，如圖書、情報、影視、電臺、網(wǎng)站等，其主要職責(zé)是面向各類不一樣消費(fèi)者提供所需信息服務(wù)與支持。(4)企業(yè)。因?yàn)槭袌龈偁幖ち液徒?jīng)濟(jì)全球化趨勢加劇，越來越多企業(yè)和組織已經(jīng)并開始建立自己管理信息系統(tǒng)，把信息作為一個主要資源進(jìn)行開發(fā)與利用，所以，各類企業(yè)實(shí)際上已成為對信息資源開發(fā)和利用最主要地方。信息資源管理系統(tǒng)的基本概論第10頁5.企業(yè)信息資源管理組織因?yàn)樾畔①Y源是企業(yè)戰(zhàn)略資源，信息資源管理已成為企業(yè)管理主要支柱。普通大中型企業(yè)均設(shè)有專門組織機(jī)構(gòu)和專職人員從事信息資源管理工作。這些專門組織機(jī)構(gòu)如：信息中心（或計算中心）、圖書資料館（室）、企業(yè)檔案館（室），企業(yè)中還有一些組織機(jī)構(gòu)也兼有主要信息資源管理任務(wù)如：計劃、統(tǒng)計部門、產(chǎn)品與技術(shù)研究與開發(fā)部門、市場研究與銷售部門、生產(chǎn)與物資部門、標(biāo)準(zhǔn)化與質(zhì)量管理部門、人力資源管理部門、宣傳與教育部門、政策研究與法律咨詢部門等。信息資源管理系統(tǒng)的基本概論第11頁

在相關(guān)信息資源管理各類組織中，企業(yè)信息中心是基于當(dāng)代信息技術(shù)信息資源管理機(jī)構(gòu)，其管理伎倆與管理對象多與當(dāng)代計算機(jī)技術(shù)、通訊與網(wǎng)絡(luò)技術(shù)相關(guān)。當(dāng)代信息技術(shù)本身是信息資源主要組成部分。利用當(dāng)代信息技術(shù)開發(fā)、利用信息資源是當(dāng)代信息資源管理主要內(nèi)容。信息資源管理系統(tǒng)的基本概論第12頁大中型企業(yè)信息中心主要職能包含：(1)在企業(yè)主要責(zé)任人主持下制訂企業(yè)信息資源開發(fā)、利用、管理總體規(guī)劃，其中包含信息系統(tǒng)建設(shè)規(guī)劃；(2)企業(yè)管理信息系統(tǒng)開發(fā)、維護(hù)與運(yùn)行管理；(3)信息資源管理標(biāo)準(zhǔn)、規(guī)范、規(guī)章制度制訂、修訂和執(zhí)行；(4)信息資源開發(fā)與管理專業(yè)人員專業(yè)技能培訓(xùn)、企業(yè)廣大職員信息管理與信息技術(shù)知識教育培訓(xùn)和新開發(fā)信息系統(tǒng)用戶培訓(xùn)；(5)企業(yè)內(nèi)部和外部宣傳與信息服務(wù)；(6)為企業(yè)信息技術(shù)推廣應(yīng)用其它項(xiàng)目如計算機(jī)輔助設(shè)計CAD、計算機(jī)輔助制造CAM等提供技術(shù)支持。信息資源管理系統(tǒng)的基本概論第13頁

大中型企業(yè)信息中心組織結(jié)構(gòu)示意圖

企業(yè)信息中心系統(tǒng)開發(fā)部系統(tǒng)運(yùn)行部技術(shù)支持部信息服務(wù)部培訓(xùn)部綜合管理部系統(tǒng)分析與設(shè)計編程、測試、系統(tǒng)集成系統(tǒng)文檔應(yīng)用系統(tǒng)各子系統(tǒng)運(yùn)行支持?jǐn)?shù)據(jù)準(zhǔn)備錄入計算機(jī)操作軟件技術(shù)支持?jǐn)?shù)據(jù)庫技術(shù)支持多媒體技術(shù)支持客戶服務(wù)供給商服務(wù)高層信息支持職員服務(wù)專業(yè)培訓(xùn)普及培訓(xùn)專題培訓(xùn)新系統(tǒng)用戶培訓(xùn)人員管理資金管理檔案管理質(zhì)量管理標(biāo)準(zhǔn)化管理安全管理通信與計算機(jī)網(wǎng)絡(luò)技術(shù)支持企業(yè)建模與優(yōu)化技術(shù)支持信息資源管理系統(tǒng)的基本概論第14頁

企業(yè)信息資源管理人員(1)信息主管因?yàn)樾畔①Y源管理在組織中主要作用和戰(zhàn)略地位，企業(yè)主要高層管理人員必須從企業(yè)全局和整體需要出發(fā)，直接領(lǐng)導(dǎo)與主持全企業(yè)信息資源管理工作。擔(dān)負(fù)這一職責(zé)企業(yè)高層領(lǐng)導(dǎo)人就是企業(yè)信息主管（ChiefInformationOfficer,CIO）。......信息資源管理系統(tǒng)的基本概論第15頁

企業(yè)信息主管（CIO）主要職責(zé)是：

在企業(yè)主管（總經(jīng)理、總裁）領(lǐng)導(dǎo)下，主持制訂、修訂企業(yè)信息資源開發(fā)、利用和管理全方面規(guī)劃；在企業(yè)主管（總經(jīng)理、總裁）領(lǐng)導(dǎo)下，主持企業(yè)管理信息系統(tǒng)開發(fā)；直接領(lǐng)導(dǎo)企業(yè)內(nèi)信息資源管理職能部門如信息中心、圖書資料館（室）、企業(yè)檔案館（室）工作，統(tǒng)一領(lǐng)導(dǎo)與協(xié)調(diào)企業(yè)其它部門信息資源開發(fā)、利用與管理工作，主持信息資源開發(fā)、利用與管理對外交流與合作；審批企業(yè)信息資源管理相關(guān)規(guī)章制度、標(biāo)準(zhǔn)、規(guī)范并監(jiān)督實(shí)施；負(fù)責(zé)信息管理與信息技術(shù)人才招聘、選拔與培養(yǎng)；負(fù)責(zé)企業(yè)信息資源開發(fā)、利用與管理所需資金預(yù)算與籌措；參加企業(yè)高層決議。由此可見，信息主管對企業(yè)信息資源管理負(fù)有全方面責(zé)任。因?yàn)樾畔①Y源管理關(guān)系企業(yè)全局，信息主管普通應(yīng)由相當(dāng)于企業(yè)副總經(jīng)理或副總裁高層管理人員擔(dān)任。信息資源管理系統(tǒng)的基本概論第16頁(2)中、基層管理人員主要有：企業(yè)信息資源管理中、基層管理人員包含信息中心（或計算中心）、圖書資料館（室）、企業(yè)檔案館（室）等組織機(jī)構(gòu)責(zé)任人，這些機(jī)構(gòu)分支機(jī)構(gòu)責(zé)任人，企業(yè)中兼有主要信息資源管理任務(wù)組織機(jī)構(gòu)如：計劃、統(tǒng)計、產(chǎn)品與技術(shù)研究與開發(fā)、市場研究與銷售、生產(chǎn)與物資管理、標(biāo)準(zhǔn)化與質(zhì)量管理、人力資源管理、宣傳與教育、政策研究與法律咨詢等部門分管信息資源（含信息系統(tǒng)與信息技術(shù)）責(zé)任人。：信息資源管理系統(tǒng)的基本概論第17頁(3)企業(yè)管理信息系統(tǒng)專業(yè)人員主要有：

l

系統(tǒng)分析員l

系統(tǒng)設(shè)計人員l

程序員l

系統(tǒng)文檔管理人員l

數(shù)據(jù)采集人員l

數(shù)據(jù)錄入人員l

計算機(jī)硬件操作與維護(hù)人員l

數(shù)據(jù)庫管理人員l

網(wǎng)絡(luò)管理人員l

通信技術(shù)人員l

結(jié)構(gòu)化布線與系統(tǒng)安裝技術(shù)人員l

負(fù)擔(dān)培訓(xùn)任務(wù)教師及教學(xué)輔助人員l

圖書資料與檔案管理人員l

網(wǎng)站編輯與美工人員l

從事標(biāo)準(zhǔn)化管理、質(zhì)量管理、安全管理、技術(shù)管理、計劃、統(tǒng)計等人員信息資源管理系統(tǒng)的基本概論第18頁二、信息系統(tǒng)安全管理

1.概述

伴隨信息技術(shù)發(fā)展，信息系統(tǒng)應(yīng)用范圍不停擴(kuò)大，不論是在運(yùn)行操作、管理控制，還是經(jīng)營管理計劃、戰(zhàn)略決議等社會經(jīng)濟(jì)活動各個方面，都發(fā)揮著越來越大作用。然而，因?yàn)樾畔⑾到y(tǒng)中處理和存放，現(xiàn)有日常業(yè)務(wù)處理信息、技術(shù)經(jīng)濟(jì)信息，又有包括到相關(guān)國家安全政治、經(jīng)濟(jì)和軍事情況以及一些工商企業(yè)單位和人機(jī)密和敏感信息，所以它成為國家和一些部門寶貴財富，同時也成為敵對國家和組織以及一些非法用戶、別有專心者威脅和攻擊主要對象。信息資源管理系統(tǒng)的基本概論第19頁信息系統(tǒng)社會信息化趨勢，一方面體現(xiàn)了信息系統(tǒng)在現(xiàn)代化建設(shè)中重要作用和戰(zhàn)略地位，顯示了它巨大生命力；其次也體現(xiàn)了人類及社會各個方面對信息系統(tǒng)依賴性越來越強(qiáng)。本身脆弱性和易于攻擊弱點(diǎn)，使得信息系統(tǒng)安全問題越來越受到人們廣泛重視。一旦信息系統(tǒng)任何破壞或故障，都將對用戶以至整個社會產(chǎn)生重大影響。近年來世界范圍內(nèi)計算機(jī)犯罪、計算機(jī)病毒泛濫等問題，使信息系統(tǒng)安全上脆弱性表現(xiàn)得越來越明顯。信息系統(tǒng)安全問題已成為全球性社會問題，是當(dāng)前信息資源管理面臨主要挑戰(zhàn)，也是信息系統(tǒng)建設(shè)和管理主要瓶頸。信息資源管理系統(tǒng)的基本概論第20頁

2.信息系統(tǒng)安全基本概念

信息系統(tǒng)安全基本要求：在信息系統(tǒng)采集、存放、加工、傳輸與利用信息過程中，各物理設(shè)備、通信線路、軟件、數(shù)據(jù)及其存放介質(zhì)、規(guī)章制度和相關(guān)人員應(yīng)具備抵抗來自系統(tǒng)內(nèi)部或外部對信息及相關(guān)設(shè)施有意攻擊、破壞、竊取或無意損害、泄露能力以確保信息機(jī)密性、完整性、可用性、可審查性和抗抵賴性。信息資源管理系統(tǒng)的基本概論第21頁

信息系統(tǒng)脆弱性

信息系統(tǒng)各個步驟不安全原因：數(shù)據(jù)輸入部分：數(shù)據(jù)經(jīng)過輸入設(shè)備進(jìn)入系統(tǒng)，輸入數(shù)據(jù)輕易被篡改或輸入假數(shù)據(jù)；數(shù)據(jù)處理部分：數(shù)據(jù)處理部分硬件輕易被破壞或偷竊，而且輕易受電磁干擾或因電磁輻射而造成信息泄漏；通信線路：通信線路上信息輕易被截獲，線路輕易被破壞或偷竊；軟件：操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和程序輕易被修改或破壞；輸出部分：輸出信息設(shè)備輕易造成信息泄漏或被竊取信息資源管理系統(tǒng)的基本概論第22頁信息系統(tǒng)以下特點(diǎn)引發(fā)不安全原因：（1）介質(zhì)存放密度高在一張磁盤或一盤磁帶中能夠存放大量信息，而軟盤常隨身攜帶出去。這些存放介質(zhì)也很輕易受到意外損壞。不論哪種情況，都會造成大量信息丟失。（2）數(shù)據(jù)可訪問性數(shù)據(jù)信息能夠很輕易地被拷貝下來而不留痕跡。一臺遠(yuǎn)程終端上用戶能夠經(jīng)過計算機(jī)網(wǎng)絡(luò)連接到信息中心計算機(jī)上。在一定條件下，終端用戶能夠訪問到系統(tǒng)中全部數(shù)據(jù)，并能夠按其需要把它拷貝、刪改或破壞掉。（3）信息聚生性當(dāng)信息以分離小塊形式出現(xiàn)時，它價值往往不大，但當(dāng)大量相關(guān)信息聚集在一起時，則顯示出它主要性。信息系統(tǒng)特點(diǎn)之一，就是能將大量信息搜集在一起，進(jìn)行自動、高效處理，產(chǎn)生很有價值結(jié)果。信息這種聚生性與其安全親密相關(guān)。信息資源管理系統(tǒng)的基本概論第23頁（4）保密困難性信息系統(tǒng)內(nèi)數(shù)據(jù)都是可用，盡管能夠采取許多方法在軟件內(nèi)設(shè)置一些關(guān)卡，不過對那些掌握計算機(jī)技術(shù)專業(yè)人士，很可能會突破這些關(guān)卡，故要保密很困難。尤其是許多信息系統(tǒng)與互聯(lián)網(wǎng)（Internet）相聯(lián)，因?yàn)榛ヂ?lián)網(wǎng)應(yīng)用公開性和廣泛性，也增加了安全保密難度。（5）介質(zhì)剩磁效應(yīng)存放介質(zhì)中信息有時是擦除不潔凈或不能完全擦除掉，會留下可讀信息痕跡，一旦被利用，就會泄露。另外，在許多信息系統(tǒng)中，有時刪除文件僅僅是將文件文件名刪除，并對應(yīng)地釋放存放空間，而文件真正內(nèi)容還原封不動地保留在存放介質(zhì)上。利用這一些特征，能夠竊取機(jī)密信息。信息資源管理系統(tǒng)的基本概論第24頁（6）電磁泄露性計算機(jī)設(shè)備工作時能夠輻射出電磁波，任何人都能夠借助儀器設(shè)備在一定范圍內(nèi)收到它，尤其是利用高靈敏度儀器能夠清楚地看到計算機(jī)正在處理機(jī)密信息。（7）通信網(wǎng)絡(luò)弱點(diǎn)連接信息系統(tǒng)通信網(wǎng)絡(luò)有不少弱點(diǎn)：如經(jīng)過未受保護(hù)外部線路能夠從外界訪問到系統(tǒng)內(nèi)部數(shù)據(jù)、通信線路和網(wǎng)絡(luò)可能被搭線竊聽或破壞等。這種威脅增加了通信和網(wǎng)絡(luò)不安全性。信息資源管理系統(tǒng)的基本概論第25頁3.信息系統(tǒng)面臨威脅和攻擊

（1）對實(shí)體威助和攻擊對實(shí)體威脅和攻擊主要指對計算機(jī)及其外部設(shè)備、網(wǎng)絡(luò)威脅和攻擊，如各種自然災(zāi)害與人為破壞、場地和環(huán)境原因影響、電磁場干擾或電磁泄露、戰(zhàn)爭破壞、各種媒體被盜和散失等。

據(jù)悉，在1991年海灣戰(zhàn)爭暴發(fā)前，美軍計算機(jī)教授利用伊拉克從法國進(jìn)口計算機(jī)打印機(jī)用于其防空系統(tǒng)機(jī)會，在伊拉克打印機(jī)內(nèi)換裝了有計算機(jī)病毒一套芯片。海灣戰(zhàn)爭暴發(fā)后，美軍將其激活，使伊拉克防空系統(tǒng)癱瘓，從而確保了空襲成功。信息資源管理系統(tǒng)的基本概論第26頁（2）對信息威脅和攻擊

對信息威脅和攻擊主要有兩種：一個是信息泄露，另一個是信息破壞。信息泄露信息泄露是指偶然地或有意地取得（偵收、截獲、竊取或分析破譯）目標(biāo)系統(tǒng)中信息，尤其是敏感信息，造成泄露事件。

信息泄露事件是很多。比如，1988年，德國漢諾威大學(xué)計算機(jī)系24歲學(xué)生馬蒂亞斯·斯佩爾將自己計算機(jī)同美國軍方和軍工承包商30臺計算機(jī)連接，在兩年時間內(nèi)搜集了美國國防部大量機(jī)密信息。其中相關(guān)于“星球大戰(zhàn)”計劃、北美戰(zhàn)略防空司令部核武器和通信衛(wèi)星等方面資料，震驚了美國國防部和聯(lián)邦調(diào)查局。信息資源管理系統(tǒng)的基本概論第27頁

信息破壞信息破壞是指因?yàn)榕既皇鹿驶蛉藶槠茐?，使系統(tǒng)信息被修改，刪除、添加、偽造或非法復(fù)制，造成信息正確性、完整性和可用性受到破壞。人為破壞有以下幾個伎倆：①濫用特權(quán)身份；②不正當(dāng)?shù)厥褂?；③修改或非法?fù)制系統(tǒng)中數(shù)據(jù)。偶然事故有以下幾個可能：①軟、硬件故障引發(fā)安全策略失效；②工作人員誤操作使信息嚴(yán)重破壞或無意中讓他人看到了機(jī)密信息；③自然災(zāi)害破壞，如洪水、地震、風(fēng)暴、泥石流、雷擊等，使計算機(jī)系統(tǒng)受到嚴(yán)重破壞；④環(huán)境原因突然改變造成系統(tǒng)信息犯錯、丟失或破壞。信息資源管理系統(tǒng)的基本概論第28頁例：1994年12月，美國海軍學(xué)院計算機(jī)系統(tǒng)被不著名黑客所攻擊。攻擊者是從英國、芬蘭、加拿大和美國堪薩斯大學(xué)和亞拉巴馬大學(xué)發(fā)動進(jìn)攻。他們攻擊了24個服務(wù)器，在其中8個植入了“嗅探程序”（這是一個植入計算機(jī)系統(tǒng)后能夠截取其數(shù)據(jù)，如密碼等程序）。1個主要路由器被破壞，1個系統(tǒng)名字和地址被改變，使得正當(dāng)用戶無法進(jìn)入該系統(tǒng)。除此之外，1個系統(tǒng)備份文件和來自其它4個系統(tǒng)文件被刪除，其它6個系統(tǒng)被破壞，2個加密密碼文件被破壞，1多個密碼被竄改，海軍無法預(yù)計損失終究有多大，也沒能抓住作案者。信息資源管理系統(tǒng)的基本概論第29頁對信息攻擊方法可分為被動攻擊和主動攻擊：

被動攻擊：是指一切竊密攻擊。它是在不干擾系統(tǒng)正常工作情況下進(jìn)行偵收、截獲、竊取系統(tǒng)信息，方便破譯分析；利用觀察信息、控制信息內(nèi)容來取得目標(biāo)系統(tǒng)位置、身份；利用研究機(jī)密信息長度和傳遞頻度取得信息性質(zhì)。被動攻擊不輕易被用戶覺察出來，所以它攻擊連續(xù)性和危害性都很大。信息資源管理系統(tǒng)的基本概論第30頁被動攻擊主要方法有：·直接偵收利用電磁傳感器或隱藏收發(fā)信息設(shè)備直接偵收或搭線偵收信息系統(tǒng)中央處理機(jī)、外圍設(shè)備、終端設(shè)備、通信設(shè)備或線路上信息；·截獲信息系統(tǒng)及設(shè)備在運(yùn)行時，散射寄生信號輕易被截獲。如離計算機(jī)顯示終端百米左右，能夠在那里接收到穩(wěn)定、清楚可辨信息圖像。另外，短波、超短波、微波和衛(wèi)星等無線電通信設(shè)備有相當(dāng)大輻射面，市話線路、長途架空明線等電磁輻射也相當(dāng)嚴(yán)重，所以可利用系統(tǒng)設(shè)備電磁輻射截獲信息；·正當(dāng)竊取利用正當(dāng)用戶身份，設(shè)法竊取未被授權(quán)信息。比如，在統(tǒng)計數(shù)據(jù)庫中，利用屢次查詢數(shù)據(jù)正當(dāng)操作，推導(dǎo)出不該了解機(jī)密信息；·破譯分析對于已經(jīng)加密機(jī)要信息，利用各種破譯分析伎倆，取得機(jī)密信息；·從遺棄媒體中分析獲取信息如從信息中心遺棄打印紙、各種統(tǒng)計和統(tǒng)計報表、竊取或丟失軟盤片中取得有用信息。信息資源管理系統(tǒng)的基本概論第31頁主動攻擊：

是指能夠篡改信息攻擊。它不但能竊密，而且威脅到信息完整性和可靠性。它以各種方式有選擇地修改、刪除、添加、偽造、重排信息內(nèi)容，造成信息破壞。主動攻擊主要方法有：·竊取并干擾通信線路上信息；·返回滲透，有選擇地截取系統(tǒng)中央處理機(jī)信息，然后將偽信息返回系統(tǒng)用戶；·線間插入當(dāng)正當(dāng)用戶已占用信道，不過終端設(shè)備還沒有動作時，插入信道進(jìn)行竊聽或信息破壞活動；·非法冒充采取非常規(guī)方法和伎倆，竊取正當(dāng)用戶口令，冒充正當(dāng)用戶進(jìn)行竊取或信息破壞活動；·系統(tǒng)內(nèi)部人員竊密和毀壞系統(tǒng)數(shù)據(jù)、信息活動等。信息資源管理系統(tǒng)的基本概論第32頁（3）計算機(jī)犯罪計算機(jī)犯罪是指針對和利用信息系統(tǒng)，經(jīng)過非法操作或以其它伎倆有意泄露、竊取或破壞系統(tǒng)中機(jī)密信息，并造成重大經(jīng)濟(jì)損失或嚴(yán)重社會、政治不良影響，危害了系統(tǒng)實(shí)體和信息安全，對信息系統(tǒng)完整性或正常運(yùn)行造成危害后果不法行為。如利用計算機(jī)技術(shù)知識及其它技術(shù)篡改銀行系統(tǒng)帳戶數(shù)據(jù)以謀私利，給銀行和客戶造成巨額經(jīng)濟(jì)損失。近年來，這種利用信息系統(tǒng)脆弱性進(jìn)行破壞活動計算機(jī)犯罪事件正逐年增多，嚴(yán)重威脅和危害到信息系統(tǒng)安全，并給社會經(jīng)濟(jì)造成越來越大損失。信息資源管理系統(tǒng)的基本概論第33頁㎏（4）計算機(jī)病毒

計算機(jī)病毒是計算機(jī)犯罪是一個新衍化形式，它是經(jīng)過運(yùn)行一段程序干擾或破壞系統(tǒng)正常工作一個伎倆，其產(chǎn)生和蔓延給信息系統(tǒng)安全帶來嚴(yán)重威脅和巨大損失。實(shí)踐證實(shí)，計算機(jī)病毒已成為威脅信息系統(tǒng)安全最危險原因。這些病毒，有只干擾屏幕，有則封鎖鍵盤或打印機(jī)，有修改或破壞硬、軟盤上數(shù)據(jù)，有封鎖軟盤驅(qū)動器，有破壞磁盤引導(dǎo)扇區(qū)、硬盤引導(dǎo)扇區(qū)和文件分配表，有駐留內(nèi)存、修改中止向量表或格式化硬盤，有則大量占用磁盤空間，降低系統(tǒng)運(yùn)行效率或使系統(tǒng)癱瘓。計算機(jī)病毒泛濫和蔓延客觀效果，危害或破壞信息系統(tǒng)資源，中止或干擾信息系統(tǒng)正常運(yùn)行，給社會造成危害越來越大。有些人預(yù)言，今后在當(dāng)代化戰(zhàn)爭中能夠利用傳染病毒來破壞對方軍事指揮通信系統(tǒng)，使其處于癱瘓狀態(tài)。因而，對計算機(jī)病毒危害決不能掉以輕心。信息資源管理系統(tǒng)的基本概論第34頁（5）威脅與攻擊伎倆非法訪問（非法用戶進(jìn)入系統(tǒng)，正當(dāng)用戶未授權(quán)操作）破壞信息完整性（篡改、刪除、插入）假冒、詐騙（假冒管理著或主機(jī)、網(wǎng)絡(luò)控制程序、正當(dāng)用戶）破壞系統(tǒng)可用性截收和輻射偵測重放抵賴信息資源管理系統(tǒng)的基本概論第35頁（6）威脅與攻擊起源計算機(jī)犯罪分子（內(nèi)部、外部）黑客（Hackers)計算機(jī)病毒源（內(nèi)部、外部；磁盤、光盤、網(wǎng)絡(luò)）電磁泄露與輻射設(shè)備故障造成安全辦法失靈內(nèi)部操作失誤安全管理失控災(zāi)害（自然、人為）信息資源管理系統(tǒng)的基本概論第36頁4.信息系統(tǒng)安全管理策略與辦法

信息系統(tǒng)安全策略（1）最小特權(quán)（2）縱深防御（多層、多面防御，必要冗余和備份）（3）阻塞點(diǎn)（如防火墻）（4）檢測微弱步驟（5）失效保護(hù)（6）普遍參加（7）防御多樣化（8）簡練（9）依法治理信息資源管理系統(tǒng)的基本概論第37頁

信息系統(tǒng)安全辦法（ 一）行政管理辦法（１）組織及人員制度加強(qiáng)各種機(jī)構(gòu)（如安全審查、安全管理等機(jī)構(gòu)）、人員安全意識和技術(shù)培訓(xùn)及人員選擇，嚴(yán)格操作守則，嚴(yán)格分工標(biāo)準(zhǔn)。禁止程序設(shè)計人員同時擔(dān)任系統(tǒng)操作員，嚴(yán)格區(qū)分系統(tǒng)管理員、終端操作員和程序設(shè)計人員，不允許工作交叉。（２）運(yùn)行維護(hù)和管理制度包含設(shè)備維護(hù)制度、軟件維護(hù)制度、用戶管理制度、密鑰管理制度、出入門管理、值班守則、操作規(guī)程、行政領(lǐng)導(dǎo)定時檢驗(yàn)和監(jiān)督等制度。（３）計算機(jī)處理控制與管理制度包含編程流程及控制、程序和數(shù)據(jù)管理，拷貝及移植、存放介質(zhì)管理，文件標(biāo)準(zhǔn)化以及通信和網(wǎng)絡(luò)管理。信息資源管理系統(tǒng)的基本概論第38頁

（４）機(jī)房保衛(wèi)制度機(jī)要機(jī)房應(yīng)要求雙人進(jìn)出制度，禁止單人在機(jī)房操作計算機(jī)。機(jī)房門可加雙鎖，且只有兩把鑰匙同時使用時門才能打開。（５）對各種憑證、帳表、資料要妥善保管，嚴(yán)格控制（６）記帳要交叉復(fù)核，各類人員所掌握資料要與其身份相適應(yīng)（７）做信息處理用機(jī)器要專機(jī)專用，不允許兼作其它用機(jī)（9）人員安全教育（10）依法治理信息資源管理系統(tǒng)的基本概論第39頁（二）技術(shù)、物理辦法（1）實(shí)體安全信息系統(tǒng)實(shí)體安全是指在全部計算機(jī)和通信環(huán)境內(nèi)，為確保信息系統(tǒng)安全運(yùn)行，確保系統(tǒng)在信息采集、傳輸、存放、處理、顯示、分發(fā)和利用過程中，不致受到人為或自然原因危害而使信息丟失、泄漏和破壞，對計算機(jī)系統(tǒng)設(shè)備、通信和網(wǎng)絡(luò)設(shè)備、存放媒體和人員所采取物理、技術(shù)辦法。實(shí)體安全，是確保信息系統(tǒng)安全前提。實(shí)體安全主要包含場地環(huán)境安全、設(shè)備安全和存放介質(zhì)安全信息資源管理系統(tǒng)的基本概論第40頁場地環(huán)境安全信息系統(tǒng)主場地，主要是機(jī)房等中心區(qū)域選擇，應(yīng)遠(yuǎn)離有害氣體源及存放腐蝕、易燃、易爆物品地方；遠(yuǎn)離強(qiáng)動力設(shè)備和機(jī)械，避開高壓線、雷達(dá)站、無線電發(fā)射臺和微波中繼線路；遠(yuǎn)離強(qiáng)振動源和噪聲源；有很好防風(fēng)、防火、防水、防地震及防雷擊條件等。信息資源管理系統(tǒng)的基本概論第41頁

設(shè)備安全信息系統(tǒng)應(yīng)依據(jù)實(shí)際需要選擇設(shè)備，并考慮設(shè)備本身穩(wěn)定可靠；對環(huán)境條件要求盡可能低；設(shè)備能抗震防潮；本身電磁輻射小，抗電磁輻射干擾和抗靜電能力強(qiáng)；有過壓、欠壓、過流等電沖擊自動防護(hù)能力；有良好安全接地。(1)防電磁泄露①采取電子屏蔽技術(shù)來掩飾計算機(jī)工作狀態(tài)和保護(hù)信息；②采取物理抑制技術(shù)，一個方法是對線路單元、設(shè)備乃至系統(tǒng)進(jìn)行屏蔽，以阻止電磁波傳輸；一個方法是從線路和元器件入手，從根本上處理計算機(jī)及外部設(shè)備各外輻射電磁波，消除產(chǎn)生較強(qiáng)電磁波根源。通常將兩種方法結(jié)合作用，以起雙保險作用。信息資源管理系統(tǒng)的基本概論第42頁(2)抗電磁干擾通常，抑制電磁干擾基本方法主要有：①電磁屏蔽：凡受電磁場干擾地方，可用屏蔽方法減弱干擾，以確保信息系統(tǒng)正常運(yùn)行。不一樣干擾場采取不一樣屏蔽方法，如電屏蔽、磁屏蔽或電磁屏蔽，并將屏蔽體良好接地。②接地系統(tǒng)：采取接地系統(tǒng)，不但能夠消除多電路之間流經(jīng)公共阻抗時所產(chǎn)生共阻抗干擾，防止計算機(jī)電路受磁場和電位差影響，而且能夠確保設(shè)備及人身安全。對于系統(tǒng)內(nèi)交流地、直流地、防雷地和安全地，接地線要分開，不要互連。進(jìn)入計算機(jī)電源線、信號線均要采取金屬屏蔽線穿在鐵套管內(nèi)，并在屏蔽層兩端接地，以防干擾及雷電入侵。信息資源管理系統(tǒng)的基本概論第43頁③電源系統(tǒng)：電源電壓波動或負(fù)載幅度改變引發(fā)瞬態(tài)電壓、電流沖擊，會經(jīng)過電源進(jìn)入計算機(jī)，不但會使計算機(jī)信息犯錯，還會威脅計算機(jī)及其器件壽命與安全。為了確保信息系統(tǒng)穩(wěn)定性和安全，系統(tǒng)主機(jī)機(jī)房應(yīng)采取雙路供電或一級供電；應(yīng)配有不間斷電源（UPS），其容量最好能維持主機(jī)設(shè)備在短暫跳閘或斷電后連續(xù)工作30分鐘以上，以確保設(shè)備和人身安全；系統(tǒng)電源不應(yīng)與其它電器設(shè)備，尤其是強(qiáng)力和沖擊電力設(shè)備共用，以防止過壓、欠壓沖擊、電壓波動和瞬時尖峰；電器系統(tǒng)應(yīng)接地良好。要完全防止和預(yù)防電磁干擾是不現(xiàn)實(shí)，上述辦法能夠?qū)㈦姶鸥蓴_控制在一定范圍內(nèi)，以致不影響和破壞系統(tǒng)正常工作。信息資源管理系統(tǒng)的基本概論第44頁

存放介質(zhì)安全信息系統(tǒng)中信息都存在存放介質(zhì)中，而存放介質(zhì)安全是確保數(shù)據(jù)安全主要一環(huán)，應(yīng)引發(fā)足夠重視。當(dāng)前存放介質(zhì)主要有磁盤、磁帶、光盤等，應(yīng)分門別類，以一套嚴(yán)密科學(xué)管理制度和方法進(jìn)行管理。存放介質(zhì)主要防護(hù)要求有防火、防高溫、防潮、防霉、防水、防震、防電磁場和防盜等。對存放介質(zhì)要定時檢驗(yàn)和清理。信息資源管理系統(tǒng)的基本概論第45頁終端用戶終端放置在不安全環(huán)境使信息被竊聽終端用戶隱瞞身份進(jìn)行不正確輸入應(yīng)用程序員設(shè)計“特洛伊木馬”軟件設(shè)計者回避安全功效安裝不安全系統(tǒng)授權(quán)者制訂了不正確數(shù)據(jù)庫安全策略軟件保護(hù)功效失效造成信息泄露硬件失效造成信息破壞未授權(quán)用戶非法存?。ㄍ蹈`，篡改，刪除）計算機(jī)系統(tǒng)串音輻射存取規(guī)則數(shù)據(jù)庫圖5-1威脅數(shù)據(jù)庫安全起源信息資源管理系統(tǒng)的基本概論第46頁（2）數(shù)據(jù)安全

數(shù)據(jù)安全主要是指為確保信息系統(tǒng)中數(shù)據(jù)庫中數(shù)據(jù)免遭破壞、修改、泄露和竊取等威脅和攻擊而采取技術(shù)方法。它包含口令保護(hù)、存取控制技術(shù)、數(shù)據(jù)加密技術(shù)等。安全數(shù)據(jù)庫管理系統(tǒng)（DBMS）可供運(yùn)行安全DBMS應(yīng)做到：①確保數(shù)據(jù)具備抗攻擊性，能抵抗物理破壞（如突然斷電或者其它災(zāi)害造成損失）。②進(jìn)行用戶識別和訪問控制，即能進(jìn)行用戶身份識別和驗(yàn)證，限制用戶只能訪問他所授權(quán)數(shù)據(jù)，對不一樣用戶限制在不一樣狀態(tài)下進(jìn)行訪問。③確保正當(dāng)用戶能順利地訪問數(shù)據(jù)庫中授權(quán)數(shù)據(jù)和普通數(shù)據(jù)，不會出現(xiàn)拒絕服務(wù)情況，并能進(jìn)行安全通信。信息資源管理系統(tǒng)的基本概論第47頁數(shù)據(jù)庫安全性控制普通方法數(shù)據(jù)庫安全技術(shù)主要有三種：口令保護(hù)、數(shù)據(jù)加密、存取控制。口令保護(hù)口令設(shè)置是信息系統(tǒng)第一道屏障，所以口令保護(hù)就顯得尤其主要。對數(shù)據(jù)庫不一樣功效塊應(yīng)設(shè)置不一樣口令，對存取它人設(shè)置不一樣口令級別，各種模塊如讀模塊、寫模塊、修改模塊等之間口令應(yīng)彼此獨(dú)立，并應(yīng)將口令表進(jìn)行不為他人所知加密，以保護(hù)數(shù)據(jù)安全。數(shù)據(jù)加密加密是對信息存放和傳輸過程中保護(hù)伎倆，并使之含有一定抗攻擊強(qiáng)度。數(shù)據(jù)加密就是按確定加密變換方法對未經(jīng)加密數(shù)據(jù)（明文）進(jìn)行處理，使之成為難以識讀數(shù)據(jù)（密文）。加密變換不但能夠用于數(shù)據(jù)保密性保護(hù)，也能夠用于數(shù)據(jù)完整性檢測。數(shù)據(jù)加密技術(shù)是信息系統(tǒng)安全中最主要技術(shù)辦法之一，含有廣泛用途。信息資源管理系統(tǒng)的基本概論第48頁存取控制對于取得機(jī)器使用權(quán)用戶，還要依據(jù)預(yù)先定義好用戶操作權(quán)限進(jìn)行存取控制，確保用戶只能存取他有權(quán)存取數(shù)據(jù)。通常將存取權(quán)限定義（稱授權(quán)）經(jīng)編譯后存放在數(shù)據(jù)字典中，每當(dāng)用戶發(fā)出存取數(shù)據(jù)庫操作請求后，DBMS查找數(shù)據(jù)字典，依據(jù)用戶權(quán)限進(jìn)行正當(dāng)權(quán)檢驗(yàn)，若用戶操作請求超出了定義權(quán)限，系統(tǒng)拒絕執(zhí)行此操作。授權(quán)編譯程序和正當(dāng)權(quán)檢驗(yàn)機(jī)制一起組成了安全子系統(tǒng)。信息資源管理系統(tǒng)的基本概論第49頁

數(shù)據(jù)加密數(shù)據(jù)加密就是按確定加密變換方法（加密算法）對需要保護(hù)數(shù)據(jù)（明文）作處理，使其成為難以識讀數(shù)據(jù)（密文）。其逆過程，即由密文按對應(yīng)解密變換方法（解密算法）恢復(fù)出明文過程稱為數(shù)據(jù)解密。在加密處理過程中又引入了一個可變量——加密密鑰。這么，不改變加密算法，只要按照需要改變密鑰，能夠?qū)⑾嗤魑募用艹刹灰粯用芪?。通常，加密和解密算法操作都是在一組密鑰控制下進(jìn)行，分別稱為加密密鑰和解密密鑰。密鑰是加密體系關(guān)鍵，其形式能夠是一組數(shù)字、符號、圖形或代表它們?nèi)魏涡问诫娦盘?。密鑰產(chǎn)生和改變規(guī)律必須嚴(yán)格保密。信息資源管理系統(tǒng)的基本概論第50頁數(shù)據(jù)加密是用加密算法E和加密密鑰Ke，將明文X變換成不易識讀密文Y。記為Y=Eke(x)數(shù)據(jù)解密是用解密算法D和解密密鑰Ka將密文Y變換成原來易于識讀明文X，記為X=Dka(Y)在信息系統(tǒng)中，對某信息除意定授權(quán)接收者之外，還有非授權(quán)者，他們經(jīng)過各種方法來竊取信息，稱其為截取者。數(shù)據(jù)加密模型如圖所表示。數(shù)據(jù)加密兩種體制依據(jù)加密密鑰Ke和解密密鑰Ka是否相同，數(shù)據(jù)加密技術(shù)在體制上分為兩大類：單密鑰體制和雙密鑰體制。信息資源管理系統(tǒng)的基本概論第51頁E

加密算法D解密算法發(fā)端收端明文X解密密鑰Kd密文Y=Eke(x)明文X加密密鑰Ke圖5-3數(shù)據(jù)加密管理截取者信息資源管理系統(tǒng)的基本概論第52頁密鑰CIPHER――――――――――――次序145326――――――――――――明文attackbeginsatfour

明文：attackbeginsatfour

密文：abachuaiotettgfksr

信息資源管理系統(tǒng)的基本概論第53頁（3）軟件安全

軟件安全主要是指為確保信息系統(tǒng)中軟件免遭破壞、非法拷貝、非法使用而采取技術(shù)和方法。它包含口令控制與判別技術(shù)、軟件加密技術(shù)、軟件防拷貝和防動態(tài)跟蹤技術(shù)等。軟件技術(shù)保護(hù)對軟件開發(fā)者、經(jīng)營者來說，技術(shù)保護(hù)方式是法律保護(hù)方式必要補(bǔ)充。技術(shù)保護(hù)目標(biāo)有兩個，一是預(yù)防對軟件非法復(fù)制、發(fā)行和使用，二是預(yù)防對軟件本身跟蹤分析解讀和修改。軟件技術(shù)保護(hù)方法普通有軟件辦法、硬件辦法和軟硬件結(jié)合辦法三種。大致上有以下幾個：信息資源管理系統(tǒng)的基本概論第54頁

在主機(jī)內(nèi)或擴(kuò)充槽里裝入特殊硬件裝置采取特殊標(biāo)識磁盤“軟件指紋”限制技術(shù)(“時間炸彈”

)

軟件加密反動態(tài)跟蹤技術(shù)信息資源管理系統(tǒng)的基本概論第55頁（4）網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指為確保網(wǎng)絡(luò)及其節(jié)點(diǎn)安全而采取技術(shù)和方法。它主要包含數(shù)據(jù)加密技術(shù)、訪問控制技術(shù)、數(shù)字鑒名技術(shù)、密鑰管理技術(shù)、防火墻技術(shù)、通信流分析控制技術(shù)等，方便及時發(fā)覺網(wǎng)絡(luò)中不正常狀態(tài)，并采取對應(yīng)辦法。網(wǎng)絡(luò)中存取控制

--判別（認(rèn)證）技術(shù)判別又稱為確認(rèn)或認(rèn)證。它是證實(shí)某人或某事是否名副其實(shí)或是否有效一個過程，用以確保數(shù)據(jù)