《信息資源管理》PPT課件.ppt

信息資源管理,一、信息資源管理概論 1. 信息資源管理的目標(biāo) 信息資源管理的目標(biāo)，總的說來就是通過人們的計劃、組織、協(xié)調(diào)等活動，實現(xiàn)對信息資源的科學(xué)的開發(fā)、合理的配置和有效的利用，以促進(jìn)社會經(jīng)濟(jì)的發(fā)展。 對社會或某個國家來說，信息資源的豐裕程度、信息產(chǎn)業(yè)的發(fā)展?fàn)顩r，是衡量經(jīng)濟(jì)發(fā)展水平和國力的重要標(biāo)志。因此信息資源管理的目標(biāo)，還要結(jié)合特定的國家或地區(qū)社會經(jīng)濟(jì)發(fā)展的現(xiàn)狀、目標(biāo)和戰(zhàn)略，提出更具針對性的目標(biāo)。,我國屬于發(fā)展中國家，經(jīng)濟(jì)發(fā)展水平和信息資源豐裕度不高，但發(fā)展速度快。現(xiàn)在正在實現(xiàn)從計劃經(jīng)濟(jì)向社會主義市場經(jīng)濟(jì)的轉(zhuǎn)變，還要實現(xiàn)經(jīng)濟(jì)增長方式從粗放型到集約型的轉(zhuǎn)變，信息資源管理要為實現(xiàn)這兩個轉(zhuǎn)變服務(wù)，要為我國經(jīng)濟(jì)持續(xù)、高速、穩(wěn)定發(fā)展服務(wù),以信息化帶動工業(yè)化。 我國地域遼闊、但各地區(qū)各行業(yè)發(fā)展不平衡。在信息資源的開發(fā)與利用上，我們必須突出重點，使較發(fā)達(dá)地區(qū)與行業(yè)通過推進(jìn)信息化，在經(jīng)濟(jì)活動中更好地與國際社會接軌，增強(qiáng)我國經(jīng)濟(jì)的國際競爭能力，并以此帶動欠發(fā)達(dá)地區(qū)與行業(yè)的發(fā)展。,對于一個組織，特別是企業(yè)組織來說，信息資源管理的目標(biāo)是為實現(xiàn)組織的整體目標(biāo)服務(wù)的。當(dāng)前，企業(yè)面臨的環(huán)境復(fù)雜多變，市場競爭十分激烈，經(jīng)濟(jì)活動全球化、市場國際化的趨勢加速，信息資源的開發(fā)、配置與利用，要為提高企業(yè)的應(yīng)變能力和競爭能力服務(wù)。,2、信息資源管理的類型,從信息資源涉及的經(jīng)濟(jì)活動類型來分，有 信息資源的生產(chǎn)與創(chuàng)新管理； 信息資源的分配與流通管理； 信息基礎(chǔ)設(shè)施的建設(shè)與運用管理（即信息資源的配置與運用的管理）； 信息服務(wù)的管理。,從信息資源管理的目的來分有 面向一般社會組織（包括企業(yè)）信息資源的管理，目的在于促進(jìn)組織目標(biāo)的實現(xiàn)； 面向信息產(chǎn)品生產(chǎn)與信息服務(wù)業(yè)的信息資源管理，目的在于滿足社會上廣大用戶的對信息產(chǎn)品和信息服務(wù)的需求； 面向政府部門的信息資源管理。目的在于使政府部門更好地實施其宏觀調(diào)控和信息服務(wù)的職能。,3. 信息資源管理的內(nèi)容,一個現(xiàn)代社會組織的信息資源主要有： 計算機(jī)和通信設(shè)備； 計算機(jī)系統(tǒng)軟件與應(yīng)用軟件； 數(shù)據(jù)及其存儲介質(zhì)； 非計算機(jī)信息處理存儲裝置； 技術(shù)、規(guī)章、制度、法律； 從事信息活動的人 一個信息系統(tǒng)就是這些信息資源為實現(xiàn)某類目標(biāo)的有序組合，因此信息系統(tǒng)的建設(shè)與管理就成了組織內(nèi)信息資源配置與運用的主要手段。,面向組織的信息資源管理的主要內(nèi)容有：, 信息系統(tǒng)的管理 包括信息系統(tǒng)開發(fā)項目的管理、信息系統(tǒng) 運行與維護(hù)的管理、信息系統(tǒng)的評價等； 信息資源開發(fā)、利用的標(biāo)準(zhǔn)、規(guī)范、法律制度的制訂與實施； 信息產(chǎn)品與服務(wù)的管理； 信息資源的安全管理； 信息資源管理中的人力資源管理,4. 信息資源管理的組織概述,信息資源作為一種重要的國家戰(zhàn)略資源，其豐裕程度已成為衡量一個國家國力和經(jīng)濟(jì)發(fā)展水平的重要技術(shù)指標(biāo)。因此，各國政府都將信息資源的開發(fā)和管理納入重要的議事日程。但信息資源的開發(fā)和使用過程涉及的人員和范圍較廣，內(nèi)容龐雜，為了防止信息資源的浪費和濫用，最大限度地提高信息資源的效用，需要國家各級政府機(jī)構(gòu)、民間組織、企業(yè)等各方面的共同努力，尤其需要建立和健全完善的組織機(jī)構(gòu)強(qiáng)化對信息資源開發(fā)、利用的管理和控制。,目前在我國，信息資源管理的組織機(jī)構(gòu)主要分布在以下層次上：,(1) 各級政府的有關(guān)部門，如政府所屬的各級信息中心、科技、教育、宣傳、文化、統(tǒng)計、標(biāo)準(zhǔn)、技術(shù)監(jiān)督等管理部門，它們在信息資源管理過程中的主要職責(zé)是：相應(yīng)開發(fā)標(biāo)準(zhǔn)、法律、法規(guī)的審查與制訂，規(guī)劃與組織信息基礎(chǔ)設(shè)施的建設(shè)，向企業(yè)及其他各類社會組織和公眾提供必要的信息服務(wù)，從政策上指導(dǎo)信息資源的合理開發(fā)和有效應(yīng)用，并從宏觀角度上促進(jìn)和加強(qiáng)國際間信息資源的交流與合作。 (2) 民間團(tuán)體和組織，如學(xué)會、協(xié)會、學(xué)術(shù)社團(tuán)等，它們在信息資源管理過程中的主要職責(zé)是：配合政府和企業(yè)，研究與制訂信息資源開發(fā)的標(biāo)準(zhǔn)和規(guī)范，促進(jìn)新技術(shù)的交流與推廣。,(3) 信息服務(wù)機(jī)構(gòu)，如圖書、情報、影視、電臺、網(wǎng)站等，其主要職責(zé)是面向各類不同消費者提供所需的信息服務(wù)與支持。 (4) 企業(yè)。由于市場競爭激烈和經(jīng)濟(jì)的全球化趨勢加劇，越來越多的企業(yè)和組織已經(jīng)并開始建立自己的管理信息系統(tǒng)，把信息作為一種重要的資源進(jìn)行開發(fā)與利用，因此，各類企業(yè)實際上已成為對信息資源開發(fā)和利用最重要的地方。,5. 企業(yè)信息資源管理的組織,由于信息資源是企業(yè)的戰(zhàn)略資源，信息資源管理已成為企業(yè)管理的重要支柱。一般的大中型企業(yè)均設(shè)有專門的組織機(jī)構(gòu)和專職人員從事信息資源管理工作。這些專門組織機(jī)構(gòu)如：信息中心（或計算中心）、圖書資料館（室）、企業(yè)檔案館（室），企業(yè)中還有一些組織機(jī)構(gòu)也兼有重要的信息資源管理任務(wù)如：計劃、統(tǒng)計部門、產(chǎn)品與技術(shù)的研究與開發(fā)部門、市場研究與銷售部門、生產(chǎn)與物資部門、標(biāo)準(zhǔn)化與質(zhì)量管理部門、人力資源管理部門、宣傳與教育部門、政策研究與法律咨詢部門等。,在有關(guān)信息資源管理的各類組織中，企業(yè)信息中心是基于現(xiàn)代信息技術(shù)的信息資源管理機(jī)構(gòu)，其管理手段與管理對象多與現(xiàn)代計算機(jī)技術(shù)、通訊與網(wǎng)絡(luò)技術(shù)有關(guān)。現(xiàn)代信息技術(shù)本身是信息資源的重要組成部分。利用現(xiàn)代信息技術(shù)開發(fā)、利用信息資源是現(xiàn)代信息資源管理的主要內(nèi)容。,大中型企業(yè)的信息中心的主要職能包括：,(1)在企業(yè)主要負(fù)責(zé)人的主持下制訂企業(yè)信息資源開發(fā)、利用、管理的總體規(guī)劃，其中包括信息系統(tǒng)建設(shè)規(guī)劃； (2)企業(yè)管理信息系統(tǒng)的開發(fā)、維護(hù)與運行管理； (3)信息資源管理的標(biāo)準(zhǔn)、規(guī)范、規(guī)章制度的制訂、修訂和執(zhí)行； (4)信息資源開發(fā)與管理專業(yè)人員的專業(yè)技能培訓(xùn)、企業(yè)廣大職工信息管理與信息技術(shù)知識的教育培訓(xùn)和新開發(fā)的信息系統(tǒng)用戶培訓(xùn)； (5)企業(yè)內(nèi)部和外部的宣傳與信息服務(wù)； (6)為企業(yè)信息技術(shù)推廣應(yīng)用其他項目如計算機(jī)輔助設(shè)計CAD、計算機(jī)輔助制造CAM等提供技術(shù)支持。,大中型企業(yè)信息中心的組織結(jié)構(gòu)示意圖,企業(yè)信息資源管理的人員,(1)信息主管 由于信息資源管理在組織中的重要作用和戰(zhàn)略地位，企業(yè)主要高層管理人員必須從企業(yè)的全局和整體需要出發(fā)，直接領(lǐng)導(dǎo)與主持全企業(yè)的信息資源管理工作。擔(dān)負(fù)這一職責(zé)的企業(yè)高層領(lǐng)導(dǎo)人就是企業(yè)的信息主管（Chief Information Officer, CIO）。,企業(yè)信息主管（CIO）的主要職責(zé)是：,在企業(yè)主管（總經(jīng)理、總裁）的領(lǐng)導(dǎo)下，主持制訂、修訂企業(yè)信息資源開發(fā)、利用和管理的全面規(guī)劃； 在企業(yè)主管（總經(jīng)理、總裁）的領(lǐng)導(dǎo)下，主持企業(yè)管理信息系統(tǒng)的開發(fā)； 直接領(lǐng)導(dǎo)企業(yè)內(nèi)信息資源管理職能部門如信息中心、圖書資料館（室）、企業(yè)檔案館（室）的工作，統(tǒng)一領(lǐng)導(dǎo)與協(xié)調(diào)企業(yè)其他部門信息資源的開發(fā)、利用與管理工作，主持信息資源開發(fā)、利用與管理的對外交流與合作； 審批企業(yè)信息資源管理有關(guān)規(guī)章制度、標(biāo)準(zhǔn)、規(guī)范并監(jiān)督實施； 負(fù)責(zé)信息管理與信息技術(shù)人才的招聘、選拔與培養(yǎng)； 負(fù)責(zé)企業(yè)信息資源開發(fā)、利用與管理所需資金的預(yù)算與籌措； 參與企業(yè)高層決策。 由此可見，信息主管對企業(yè)的信息資源管理負(fù)有全面責(zé)任。由于信息資源管理關(guān)系企業(yè)全局，信息主管一般應(yīng)由相當(dāng)于企業(yè)副總經(jīng)理或副總裁的高層管理人員擔(dān)任。,(2) 中、基層管理人員主要有：,企業(yè)信息資源管理的中、基層管理人員包括信息中心（或計算中心）、圖書資料館（室）、企業(yè)檔案館（室）等組織機(jī)構(gòu)的負(fù)責(zé)人，這些機(jī)構(gòu)的分支機(jī)構(gòu)的負(fù)責(zé)人，企業(yè)中兼有重要的信息資源管理任務(wù)組織機(jī)構(gòu)如：計劃、統(tǒng)計、產(chǎn)品與技術(shù)的研究與開發(fā)、市場研究與銷售、生產(chǎn)與物資管理、標(biāo)準(zhǔn)化與質(zhì)量管理、人力資源管理、宣傳與教育、政策研究與法律咨詢等部門分管信息資源（含信息系統(tǒng)與信息技術(shù)）的負(fù)責(zé)人。,：,(3) 企業(yè)管理信息系統(tǒng)的專業(yè)人員主要有：,l 系統(tǒng)分析員 l 系統(tǒng)設(shè)計人員 l 程序員 l 系統(tǒng)文檔管理人員 l 數(shù)據(jù)采集人員 l 數(shù)據(jù)錄入人員 l 計算機(jī)硬件操作與維護(hù)人員 l 數(shù)據(jù)庫管理人員 l 網(wǎng)絡(luò)管理人員,l 通信技術(shù)人員 l 結(jié)構(gòu)化布線與系統(tǒng)安裝技 術(shù)人員 l 承擔(dān)培訓(xùn)任務(wù)的教師及教學(xué)輔助人員 l 圖書資料與檔案管理人員 l 網(wǎng)站的編輯與美工人員 l 從事標(biāo)準(zhǔn)化管理、質(zhì)量管理、安全管理、技術(shù)管理、計劃、統(tǒng)計等人員,二、信息系統(tǒng)的安全管理 1. 概述,隨著信息技術(shù)的發(fā)展，信息系統(tǒng)的應(yīng)用范圍不斷擴(kuò)大，無論是在運行操作、管理控制，還是經(jīng)營管理計劃、戰(zhàn)略決策等社會經(jīng)濟(jì)活動的各個方面，都發(fā)揮著越來越大的作用。然而，由于信息系統(tǒng)中處理和存儲的，既有日常業(yè)務(wù)處理信息、技術(shù)經(jīng)濟(jì)信息，又有涉及到有關(guān)國家安全的政治、經(jīng)濟(jì)和軍事情況以及一些工商企業(yè)單位和人的機(jī)密和敏感信息，因此它成為國家和某些部門的寶貴財富，同時也成為敵對國家和組織以及一些非法用戶、別有用心者威脅和攻擊的主要對象。,信息系統(tǒng)社會信息化的趨勢，一方面體現(xiàn)了信息系統(tǒng)在現(xiàn)代化建設(shè)中的重要作用和戰(zhàn)略地位，顯示了它的巨大生命力；另一方面也體現(xiàn)了人類及社會的各個方面對信息系統(tǒng)的依賴性越來越強(qiáng)。 本身的脆弱性和易于攻擊的弱點，使得信息系統(tǒng)的安全問題越來越受到人們的廣泛重視。一旦信息系統(tǒng)的任何破壞或故障，都將對用戶以至整個社會產(chǎn)生重大的影響。 近年來世界范圍內(nèi)的計算機(jī)犯罪、計算機(jī)病毒泛濫等問題，使信息系統(tǒng)安全上的脆弱性表現(xiàn)得越來越明顯。信息系統(tǒng)的安全問題已成為全球性的社會問題，是當(dāng)前信息資源管理面臨的主要挑戰(zhàn)，也是信息系統(tǒng)建設(shè)和管理的主要瓶頸。,2. 信息系統(tǒng)安全的基本概念,信息系統(tǒng)安全的基本要求： 在信息系統(tǒng)采集、存儲、加工、傳輸與利用信息的過程中，各物理設(shè)備、通信線路、軟件、數(shù)據(jù)及其存儲介質(zhì)、規(guī)章制度和有關(guān)人員應(yīng)具備抵御來自系統(tǒng)內(nèi)部或外部對信息及有關(guān)設(shè)施有意攻擊、破壞、竊取或無意損害、泄露的能力以保證信息的機(jī)密性、完整性、可用性、可審查性和抗抵賴性。,信息系統(tǒng)的脆弱性,信息系統(tǒng)各個環(huán)節(jié)的不安全因素： 數(shù)據(jù)輸入部分：數(shù)據(jù)通過輸入設(shè)備進(jìn)入系統(tǒng)，輸入數(shù)據(jù)容易被篡改或輸入假數(shù)據(jù)； 數(shù)據(jù)處理部分：數(shù)據(jù)處理部分的硬件容易被破壞或盜竊，并且容易受電磁干擾或因電磁輻射而造成信息泄漏； 通信線路：通信線路上的信息容易被截獲，線路容易被破壞或盜竊； 軟件：操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和程序容易被修改或破壞； 輸出部分：輸出信息的設(shè)備容易造成信息泄漏或被竊取,信息系統(tǒng)的下列特點引起的不安全因素：,（1）介質(zhì)存儲密度高 在一張磁盤或一盤磁帶中可以存儲大量信息，而軟盤常隨身攜帶出去。這些存儲介質(zhì)也很容易受到意外損壞。不管哪種情況，都會造成大量信息的丟失。 （2） 數(shù)據(jù)可訪問性 數(shù)據(jù)信息可以很容易地被拷貝下來而不留痕跡。一臺遠(yuǎn)程終端上的用戶可以通過計算機(jī)網(wǎng)絡(luò)連接到信息中心的計算機(jī)上。在一定條件下，終端用戶可以訪問到系統(tǒng)中的所有數(shù)據(jù)，并可以按其需要把它拷貝、刪改或破壞掉。 （3） 信息聚生性 當(dāng)信息以分離的小塊形式出現(xiàn)時，它的價值往往不大，但當(dāng)大量相關(guān)信息聚集在一起時，則顯示出它的重要性。信息系統(tǒng)的特點之一，就是能將大量信息收集在一起，進(jìn)行自動、高效的處理，產(chǎn)生很有價值的結(jié)果。信息的這種聚生性與其安全密切相關(guān)。,（4）保密困難性 信息系統(tǒng)內(nèi)的數(shù)據(jù)都是可用的，盡管可以采用許多方法在軟件內(nèi)設(shè)置一些關(guān)卡，但是對那些掌握計算機(jī)技術(shù)的專業(yè)人士，很可能會突破這些關(guān)卡，故要保密很困難。特別是許多信息系統(tǒng)與互聯(lián)網(wǎng)（Internet）相聯(lián)，由于互聯(lián)網(wǎng)應(yīng)用的公開性和廣泛性，也增加了安全保密的難度。 （5）介質(zhì)的剩磁效應(yīng) 存儲介質(zhì)中的信息有時是擦除不干凈或不能完全擦除掉，會留下可讀信息的痕跡，一旦被利用，就會泄露。另外，在許多信息系統(tǒng)中，有時刪除文件僅僅是將文件的文件名刪除，并相應(yīng)地釋放存儲空間，而文件的真正內(nèi)容還原封不動地保留在存儲介質(zhì)上。利用這一些特性，可以竊取機(jī)密信息。,（6） 電磁泄露性 計算機(jī)設(shè)備工作時能夠輻射出電磁波，任何人都可以借助儀器設(shè)備在一定的范圍內(nèi)收到它，尤其是利用高靈敏度儀器可以清晰地看到計算機(jī)正在處理的機(jī)密信息。 （7） 通信網(wǎng)絡(luò)的弱點 連接信息系統(tǒng)的通信網(wǎng)絡(luò)有不少弱點：如通過未受保護(hù)的外部線路可以從外界訪問到系統(tǒng)內(nèi)部的數(shù)據(jù)、通信線路和網(wǎng)絡(luò)可能被搭線竊聽或破壞等。這種威脅增加了通信和網(wǎng)絡(luò)的不安全性。,3. 信息系統(tǒng)面臨的威脅和攻擊,（1）對實體的威助和攻擊 對實體的威脅和攻擊主要指對計算機(jī)及其外部設(shè)備、網(wǎng)絡(luò)的威脅和攻擊，如各種自然災(zāi)害與人為的破壞、場地和環(huán)境因素的影響、電磁場的干擾或電磁泄露、戰(zhàn)爭的破壞、各種媒體的被盜和散失等。 據(jù)悉，在1991年海灣戰(zhàn)爭爆發(fā)前，美軍計算機(jī)專家利用伊拉克從法國進(jìn)口計算機(jī)打印機(jī)用于其防空系統(tǒng)的機(jī)會，在伊拉克的打印機(jī)內(nèi)換裝了有計算機(jī)病毒的一套芯片。海灣戰(zhàn)爭爆發(fā)后，美軍將其激活，使伊拉克防空系統(tǒng)癱瘓，從而保證了空襲的成功。,（2）對信息的威脅和攻擊,對信息的威脅和攻擊主要有兩種：一種是信息泄露，另一種是信息破壞。 信息泄露 信息泄露是指偶然地或故意地獲得（偵收、截獲、竊取或分析破譯）目標(biāo)系統(tǒng)中的信息，特別是敏感信息，造成泄露事件。 信息泄露的事件是很多的。例如，1988年，德國漢諾威大學(xué)計算機(jī)系24歲的學(xué)生馬蒂亞斯斯佩爾將自己的計算機(jī)同美國軍方和軍工承包商的30臺計算機(jī)連接，在兩年時間內(nèi)收集了美國國防部的大量機(jī)密信息。其中有關(guān)于“星球大戰(zhàn)”計劃、北美戰(zhàn)略防空司令部核武器和通信衛(wèi)星等方面的資料，震驚了美國國防部和聯(lián)邦調(diào)查局。,信息破壞,信息破壞是指由于偶然事故或人為破壞，使系統(tǒng)的信息被修改，刪除、添加、偽造或非法復(fù)制，導(dǎo)致信息的正確性、完整性和可用性受到破壞。 人為破壞有以下幾種手段： 濫用特權(quán)身份；不合法地使用；修改或非法復(fù)制系統(tǒng)中的數(shù)據(jù)。 偶然事故有以下幾種可能： 軟、硬件的故障引起安全策略失效； 工作人員的誤操作使信息嚴(yán)重破壞或無意中讓別人看到了機(jī)密信息； 自然災(zāi)害的破壞，如洪水、地震、風(fēng)暴、泥石流、雷擊等，使計算機(jī)系統(tǒng)受到嚴(yán)重破壞； 環(huán)境因素的突然變化造成系統(tǒng)信息出錯、丟失或破壞。,例：1994年12月，美國海軍學(xué)院的計算機(jī)系統(tǒng)被不知名的黑客所襲擊。襲擊者是從英國、芬蘭、加拿大和美國的堪薩斯大學(xué)和亞拉巴馬大學(xué)發(fā)動進(jìn)攻的。他們攻擊了24個服務(wù)器，在其中的8個植入了“嗅探程序”（這是一種植入計算機(jī)系統(tǒng)后可以截取其數(shù)據(jù)，如密碼等的程序）。1個主要路由器被破壞，1個系統(tǒng)的名字和地址被改變，使得合法用戶無法進(jìn)入該系統(tǒng)。除此之外，1個系統(tǒng)的備份文件和來自其他4個系統(tǒng)的文件被刪除，其它6個系統(tǒng)被破壞，2個加密密碼文件被破壞，12000多個密碼被竄改，海軍無法估計損失究竟有多大，也沒能抓住作案者。,對信息攻擊的方法可分為被動攻擊和主動攻擊：,被動攻擊：是指一切竊密的攻擊。它是在不干擾系統(tǒng)正常工作的情況下進(jìn)行偵收、截獲、竊取系統(tǒng)信息，以便破譯分析；利用觀察信息、控制信息的內(nèi)容來獲得目標(biāo)系統(tǒng)的位置、身份；利用研究機(jī)密信息的長度和傳遞的頻度獲得信息的性質(zhì)。被動攻擊不容易被用戶察覺出來，因此它的攻擊持續(xù)性和危害性都很大。,被動攻擊的主要方法有：,直接偵收 利用電磁傳感器或隱藏的收發(fā)信息設(shè)備直接偵收或搭線偵收信息系統(tǒng)的中央處理機(jī)、外圍設(shè)備、終端設(shè)備、通信設(shè)備或線路上的信息； 截獲信息 系統(tǒng)及設(shè)備在運行時，散射的寄生信號容易被截獲。如離計算機(jī)顯示終端百米左右，可以在那里接收到穩(wěn)定、清晰可辨的信息圖像。此外，短波、超短波、微波和衛(wèi)星等無線電通信設(shè)備有相當(dāng)大的輻射面，市話線路、長途架空明線等電磁輻射也相當(dāng)嚴(yán)重，因此可利用系統(tǒng)設(shè)備的電磁輻射截獲信息； 合法竊取 利用合法用戶身份，設(shè)法竊取未被授權(quán)的信息。例如，在統(tǒng)計數(shù)據(jù)庫中，利用多次查詢數(shù)據(jù)的合法操作，推導(dǎo)出不該了解的機(jī)密信息； 破譯分析 對于已經(jīng)加密的機(jī)要信息，利用多種破譯分析手段，獲得機(jī)密信息； 從遺棄的媒體中分析獲取信息 如從信息中心遺棄的打印紙、各種記錄和統(tǒng)計報表、竊取或丟失的軟盤片中獲得有用信息。,主動攻擊：,是指可以篡改信息的攻擊。它不僅能竊密，而且威脅到信息的完整性和可靠性。它以各種方式有選擇地修改、刪除、添加、偽造、重排信息內(nèi)容，造成信息破壞。 主動攻擊的主要方法有： 竊取并干擾通信線路上的信息； 返回滲透，有選擇地截取系統(tǒng)中央處理機(jī)的信息，然后將偽信息返回系統(tǒng)用戶； 線間插入 當(dāng)合法用戶已占用信道，但是終端設(shè)備還沒有動作時，插入信道進(jìn)行竊聽或信息破壞活動； 非法冒充 采取非常規(guī)的方法和手段，竊取合法用戶的口令，冒充合法用戶進(jìn)行竊取或信息破壞活動； 系統(tǒng)內(nèi)部人員的竊密和毀壞系統(tǒng)數(shù)據(jù)、信息的活動等。,（3）計算機(jī)犯罪,計算機(jī)犯罪是指針對和利用信息系統(tǒng)，通過非法操作或以其他手段故意泄露、竊取或破壞系統(tǒng)中的機(jī)密信息，并造成重大的經(jīng)濟(jì)損失或嚴(yán)重的社會、政治不良影響，危害了系統(tǒng)實體和信息安全，對信息系統(tǒng)的完整性或正常運行造成危害后果的不法行為。如利用計算機(jī)技術(shù)知識及其它技術(shù)篡改銀行系統(tǒng)的帳戶數(shù)據(jù)以謀私利，給銀行和客戶造成巨額經(jīng)濟(jì)損失。 近年來，這種利用信息系統(tǒng)的脆弱性進(jìn)行破壞活動的計算機(jī)犯罪事件正逐年增多，嚴(yán)重威脅和危害到信息系統(tǒng)的安全，并給社會經(jīng)濟(jì)造成越來越大的損失。,（4）計算機(jī)病毒,計算機(jī)病毒是計算機(jī)犯罪的是一種新的衍化形式，它是通過運行一段程序干擾或破壞系統(tǒng)正常工作的一種手段，其產(chǎn)生和蔓延給信息系統(tǒng)的安全帶來嚴(yán)重威脅和巨大的損失。實踐證明，計算機(jī)病毒已成為威脅信息系統(tǒng)安全的最危險的因素。這些病毒，有的只干擾屏幕，有的則封鎖鍵盤或打印機(jī)，有的修改或破壞硬、軟盤上的數(shù)據(jù)，有的封鎖軟盤驅(qū)動器，有的破壞磁盤的引導(dǎo)扇區(qū)、硬盤引導(dǎo)扇區(qū)和文件分配表，有的駐留內(nèi)存、修改中斷向量表或格式化硬盤，有的則大量占用磁盤空間，降低系統(tǒng)運行效率或使系統(tǒng)癱瘓。計算機(jī)病毒泛濫和蔓延的客觀效果，危害或破壞信息系統(tǒng)的資源，中斷或干擾信息系統(tǒng)的正常運行，給社會造成的危害越來越大。有人預(yù)言，今后在現(xiàn)代化戰(zhàn)爭中可以利用傳染病毒來破壞對方的軍事指揮通信系統(tǒng)，使其處于癱瘓狀態(tài)。因而，對計算機(jī)病毒的危害決不能掉以輕心。,（5）威脅與攻擊的手段,非法訪問（非法用戶進(jìn)入系統(tǒng)，合法用戶未授權(quán)操作） 破壞信息的完整性（篡改、刪除、插入） 假冒、詐騙（假冒管理著或主機(jī)、網(wǎng)絡(luò)控制程序、合法用戶） 破壞系統(tǒng)的可用性 截收和輻射偵測 重放 抵賴,（6）威脅與攻擊的來源,計算機(jī)犯罪分子（內(nèi)部、外部） 黑客（Hackers) 計算機(jī)病毒源（內(nèi)部、外部；磁盤、光盤、網(wǎng)絡(luò)） 電磁泄露與輻射 設(shè)備故障造成安全措施失靈 內(nèi)部操作失誤 安全管理失控 災(zāi)害（自然、人為）,4. 信息系統(tǒng)安全管理的策略與措施,信息系統(tǒng)安全策略 （1）最小特權(quán) （2）縱深防御（多層、多面防御，必要的冗余和備份） （3）阻塞點（如防火墻） （4）檢測薄弱環(huán)節(jié) （5）失效保護(hù) （6）普遍參與 （7）防御多樣化 （8）簡潔 （9）依法治理,信息系統(tǒng)的安全措施,（ 一）行政管理措施 （）組織及人員制度 加強(qiáng)各種機(jī)構(gòu)（如安全審查、安全管理等機(jī)構(gòu)）、人員的安全意識和技術(shù)培訓(xùn)及人員選擇，嚴(yán)格操作守則，嚴(yán)格分工原則。嚴(yán)禁程序設(shè)計人員同時擔(dān)任系統(tǒng)操作員，嚴(yán)格區(qū)分系統(tǒng)管理員、終端操作員和程序設(shè)計人員，不允許工作交叉。 （）運行維護(hù)和管理制度 包括設(shè)備維護(hù)制度、軟件維護(hù)制度、用戶管理制度、密鑰管理制度、出入門管理、值班守則、操作規(guī)程、行政領(lǐng)導(dǎo)定期檢查和監(jiān)督等制度。 （）計算機(jī)處理的控制與管理制度 包括編程流程及控制、程序和數(shù)據(jù)的管理，拷貝及移植、存儲介質(zhì)的管理，文件的標(biāo)準(zhǔn)化以及通信和網(wǎng)絡(luò)的管理。,（）機(jī)房保衛(wèi)制度 機(jī)要機(jī)房應(yīng)規(guī)定雙人進(jìn)出的制度，嚴(yán)禁單人在機(jī)房操作計算機(jī)。機(jī)房門可加雙鎖，且只有兩把鑰匙同時使用時門才能打開。 （）對各種憑證、帳表、資料要妥善保管，嚴(yán)格控制 （）記帳要交叉復(fù)核，各類人員所掌握的資料要與其身份相適應(yīng) （）做信息處理用的機(jī)器要專機(jī)專用，不允許兼作其它用機(jī) （9）人員的安全教育 （10）依法治理,（二）技術(shù)、物理措施,（1）實體安全 信息系統(tǒng)的實體安全是指在全部計算機(jī)和通信環(huán)境內(nèi)，為保證信息系統(tǒng)安全運行，確保系統(tǒng)在信息的采集、傳輸、存儲、處理、顯示、分發(fā)和利用的過程中，不致受到人為的或自然因素的危害而使信息丟失、泄漏和破壞，對計算機(jī)系統(tǒng)設(shè)備、通信和網(wǎng)絡(luò)設(shè)備、存儲媒體和人員所采取的物理、技術(shù)措施。實體安全，是確保信息系統(tǒng)安全的前提。實體安全主要包括 場地環(huán)境安全、設(shè)備安全和存儲介質(zhì)安全,場地環(huán)境安全 信息系統(tǒng)的主場地，主要是機(jī)房等中心區(qū)域的選擇，應(yīng)遠(yuǎn)離有害的氣體源及存放腐蝕、易燃、易爆物品的地方；遠(yuǎn)離強(qiáng)的動力設(shè)備和機(jī)械，避開高壓線、雷達(dá)站、無線電發(fā)射臺和微波中繼線路；遠(yuǎn)離強(qiáng)振動源和噪聲源；有較好的防風(fēng)、防火、防水、防地震及防雷擊的條件等。,設(shè)備安全 信息系統(tǒng)應(yīng)根據(jù)實際需要選擇設(shè)備，并考慮設(shè)備本身穩(wěn)定可靠；對環(huán)境條件的要求盡可能低；設(shè)備能抗震防潮；本身電磁輻射小，抗電磁輻射干擾和抗靜電能力強(qiáng)；有過壓、欠壓、過流等電沖擊的自動防護(hù)能力；有良好的安全接地。 (1) 防電磁泄露 采用電子屏蔽技術(shù)來掩飾計算機(jī)的工作狀態(tài)和保護(hù)信息； 采用物理抑制技術(shù)，一種方法是對線路單元、設(shè)備乃至系統(tǒng)進(jìn)行屏蔽，以阻止電磁波的傳播；一種方法是從線路和元器件入手，從根本上解決計算機(jī)及外部設(shè)備各外輻射的電磁波，消除產(chǎn)生較強(qiáng)電磁波的根源。通常將兩種方法結(jié)合作用，以起雙保險的作用。,(2) 抗電磁干擾 通常，抑制電磁干擾的基本方法主要有： 電磁屏蔽：凡受電磁場干擾的地方，可用屏蔽的辦法削弱干擾，以確保信息系統(tǒng)正常運行。不同干擾場采用不同的屏蔽方法，如電屏蔽、磁屏蔽或電磁屏蔽，并將屏蔽體良好接地。 接地系統(tǒng)：采用接地系統(tǒng)，不僅可以消除多電路之間流經(jīng)公共阻抗時所產(chǎn)生的共阻抗干擾，避免計算機(jī)電路受磁場和電位差的影響，而且可以保證設(shè)備及人身安全。對于系統(tǒng)內(nèi)的交流地、直流地、防雷地和安全地，接地線要分開，不要互連。進(jìn)入計算機(jī)的電源線、信號線均要采用金屬屏蔽線穿在鐵套管內(nèi)，并在屏蔽層兩端接地，以防干擾及雷電入侵。, 電源系統(tǒng)：電源電壓波動或負(fù)載幅度變化引起的瞬態(tài)電壓、電流沖擊，會通過電源進(jìn)入計算機(jī)，不但會使計算機(jī)信息出錯，還會威脅計算機(jī)及其器件的壽命與安全。為了保證信息系統(tǒng)的穩(wěn)定性和安全，系統(tǒng)的主機(jī)機(jī)房應(yīng)采用雙路供電或一級供電；應(yīng)配有不間斷電源（UPS），其容量最好能維持主機(jī)設(shè)備在短暫跳閘或斷電后持續(xù)工作30分鐘以上，以確保設(shè)備和人身安全；系統(tǒng)電源不應(yīng)與其他電器設(shè)備，特別是強(qiáng)力和沖擊電力設(shè)備共用，以避免過壓、欠壓沖擊、電壓波動和瞬時尖峰；電器系統(tǒng)應(yīng)接地良好。 要完全避免和防止電磁干擾是不現(xiàn)實的，上述措施可以將電磁干擾控制在一定范圍內(nèi)，以致不影響和破壞系統(tǒng)的正常工作。,存儲介質(zhì)安全 信息系統(tǒng)中的信息都存在存儲介質(zhì)中，而存儲介質(zhì)的安全是保證數(shù)據(jù)安全的重要一環(huán)，應(yīng)引起足夠的重視。目前的存儲介質(zhì)主要有磁盤、磁帶、光盤等，應(yīng)分門別類，以一套嚴(yán)密的科學(xué)管理制度和方法進(jìn)行管理。存儲介質(zhì)的主要防護(hù)要求有防火、防高溫、防潮、防霉、防水、防震、防電磁場和防盜等。對存儲介質(zhì)要定期檢查和清理。,（2）數(shù)據(jù)安全 數(shù)據(jù)安全主要是指為保證信息系統(tǒng)中數(shù)據(jù)庫中的數(shù)據(jù)免遭破壞、修改、泄露和竊取等威脅和攻擊而采取的技術(shù)方法。它包括口令保護(hù)、存取控制技術(shù)、數(shù)據(jù)加密技術(shù)等。 安全的數(shù)據(jù)庫管理系統(tǒng)（DBMS） 可供運行的安全的DBMS應(yīng)做到： 保證數(shù)據(jù)具備抗攻擊性，能抵御物理破壞（如突然斷電或者其它災(zāi)害造成的損失）。 進(jìn)行用戶識別和訪問控制，即能進(jìn)行用戶身份的識別和驗證，限制用戶只能訪問他所授權(quán)的數(shù)據(jù)，對不同的用戶限制在不同的狀態(tài)下進(jìn)行訪問。 保證合法用戶能順利地訪問數(shù)據(jù)庫中授權(quán)的數(shù)據(jù)和一般的數(shù)據(jù)，不會出現(xiàn)拒絕服務(wù)的情況，并能進(jìn)行安全的通信。,數(shù)據(jù)庫安全性控制的一般方法 數(shù)據(jù)庫的安全技術(shù)主要有三種：口令保護(hù)、數(shù)據(jù)加密、存取控制。 口令保護(hù) 口令設(shè)置是信息系統(tǒng)的第一道屏障，因此口令保護(hù)就顯得尤其重要。對數(shù)據(jù)庫的不同功能塊應(yīng)設(shè)置不同的口令，對存取它的人設(shè)置不同的口令級別，各種模塊如讀模塊、寫模塊、修改模塊等之間的口令應(yīng)彼此獨立，并應(yīng)將口令表進(jìn)行不為他人所知的加密，以保護(hù)數(shù)據(jù)安全。 數(shù)據(jù)加密 加密是對信息存儲和傳輸過程中的保護(hù)手段，并使之具有一定的抗攻擊強(qiáng)度。數(shù)據(jù)加密就是按確定的加密變換方法對未經(jīng)加密的數(shù)據(jù)（明文）進(jìn)行處理，使之成為難以識讀的數(shù)據(jù)（密文）。加密變換不僅可以用于數(shù)據(jù)保密性的保護(hù)，也可以用于數(shù)據(jù)的完整性檢測。數(shù)據(jù)加密技術(shù)是信息系統(tǒng)安全中最重要的技術(shù)措施之一，具有廣泛的用途。,存取控制 對于獲得機(jī)器使用權(quán)的用戶，還要根據(jù)預(yù)先定義好的用戶操作權(quán)限進(jìn)行存取控制，保證用戶只能存取他有權(quán)存取的數(shù)據(jù)。通常將存取權(quán)限的定義（稱授權(quán)）經(jīng)編譯后存儲在數(shù)據(jù)字典中，每當(dāng)用戶發(fā)出存取數(shù)據(jù)庫的操作請求后，DBMS查找數(shù)據(jù)字典，根據(jù)用戶權(quán)限進(jìn)行合法權(quán)檢查，若用戶的操作請求超過了定義的權(quán)限，系統(tǒng)拒絕執(zhí)行此操作。授權(quán)編譯程序和合法權(quán)檢查機(jī)制一起組成了安全子系統(tǒng)。,數(shù)據(jù)加密 數(shù)據(jù)加密就是按確定的加密變換方法（加密算法）對需要保護(hù)的數(shù)據(jù)（明文）作處理，使其成為難以識讀的數(shù)據(jù)（密文）。其逆過程，即由密文按對應(yīng)的解密變換方法（解密算法）恢復(fù)出明文的過程稱為數(shù)據(jù)解密。在加密處理過程中又引入了一個可變量加密密鑰。這樣，不改變加密算法，只要按照需要改變密鑰，可以將相同的明文加密成不同的密文。通常，加密和解密算法的操作都是在一組密鑰的控制下進(jìn)行的，分別稱為加密密鑰和解密密鑰。密鑰是加密體系的核心，其形式可以是一組數(shù)字、符號、圖形或代表它們的任何形式的電信號。密鑰的產(chǎn)生和變化規(guī)律必須嚴(yán)格保密。,數(shù)據(jù)加密是用加密算法E和加密密鑰Ke，將明文X變換成不易識讀的密文Y。記為 Y=Eke(x) 數(shù)據(jù)解密是用解密算法D和解密密鑰Ka將密文Y變換成原來易于識讀的明文X，記為 X=Dka(Y) 在信息系統(tǒng)中，對某信息除意定的授權(quán)接收者之外，還有非授權(quán)者，他們通過各種辦法來竊取信息，稱其為截取者。數(shù)據(jù)加密模型如圖所示。 數(shù)據(jù)加密的兩種體制 根據(jù)加密密鑰Ke和解密密鑰Ka是否相同，數(shù)據(jù)加密技術(shù)在體制上分為兩大類：單密鑰體制和雙密鑰體制。,密鑰 C I P H E R 次序 1 4 5 3 2 6 明文 a t t a c k b e g i n s a t f o u r 明文：attackbeginsatfour 密文：abachuaiotettgfksr,（3）軟件安全 軟件安全主要是指為保證信息系統(tǒng)中的軟件免遭破壞、非法拷貝、非法使用而采取的技術(shù)和方法。它包括口令的控制與鑒別技術(shù)、軟件加密技術(shù)、軟件防拷貝和防動態(tài)跟蹤技術(shù)等。 軟件的技術(shù)保護(hù) 對軟件開發(fā)者、經(jīng)營者來說，技術(shù)保護(hù)方式是法律保護(hù)方式的必要補充。技術(shù)保護(hù)的目的有兩個，一是防止對軟件的非法復(fù)制、發(fā)行和使用，二是防止對軟件本身的跟蹤分析解讀和修改。軟件的技術(shù)保護(hù)方法一般有軟件措施、硬件措施和軟硬件結(jié)合措施三種。大體上有以下幾種：,在主機(jī)內(nèi)或擴(kuò)充槽里裝入特殊硬件裝置 采用特殊標(biāo)記的磁盤 “軟件指紋” 限制技術(shù)(“時間炸彈” ) 軟件加密 反動態(tài)跟蹤技術(shù),（4） 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全是指為保證網(wǎng)絡(luò)及其節(jié)點安全而采用的技術(shù)和方法。它主要包括數(shù)據(jù)加密技術(shù)、訪問控制技術(shù)、數(shù)字鑒名技術(shù)、密鑰管理技術(shù)、防火墻技術(shù)、通信流分析控制技術(shù)等，以便及時發(fā)現(xiàn)網(wǎng)絡(luò)中的不正常狀態(tài)，并采取相應(yīng)措施。 網(wǎng)絡(luò)中的存取控制 - 鑒別（認(rèn)證）技術(shù) 鑒別又稱為確認(rèn)或認(rèn)證。它是證實某人或某事是否名副其實或是否有效的一個過程，用以確保數(shù)據(jù)的真實性，阻止對手的主動攻擊，如篡改或冒充等。計算機(jī)網(wǎng)絡(luò)中的各種資源（如文件、數(shù)據(jù)庫等）需要認(rèn)證機(jī)制的保護(hù)，以確保這些資源被應(yīng)該使用的人使用。驗證一個主體涉及兩個因素，一個是該主體獨自具有、難以偽造的信息，另一