管理信息系統(tǒng)- 課件 第8-10章 管理信息系統(tǒng)管理、管理信息系統(tǒng)安全、信息道德和社會責任

第8章管理信息系統(tǒng)管理8.4信息系統(tǒng)的評價8.1信息系統(tǒng)的開發(fā)管理8.3信息系統(tǒng)的安全管理8.2信息系統(tǒng)的運行管理學習目標-3-1．了解管理信息系統(tǒng)管理的十大知識領域及過程2．了解管理信息系統(tǒng)管理的日常運行管理內(nèi)容及維護3．了解管理信息系統(tǒng)的安全管理的需求及管理策略4．了解管理信息系統(tǒng)評價的主要內(nèi)容以及指標體系1.項目管理的概念項目管理是指在一定資源如時間、資金、人力、設備、材料、能源、動力等約束條件下，為了高效率地實現(xiàn)項目的既定目標（即到項目竣工時計劃達到的質(zhì)量、投資、進度），按照項目的內(nèi)在規(guī)律和程序，對項目的全過程進行有效地計劃、組織、協(xié)調(diào)、領導和控制的系統(tǒng)管理活動8.1.1項目管理概述8.1.1項目管理概述2.管理信息系統(tǒng)項目的特點3.信息系統(tǒng)開發(fā)項目管理的意義可以進行系統(tǒng)的思考，進行切合實際的全局性安排可為項目人力資源的需求提供確切的依據(jù)通過合理的計劃安排對項目進行最優(yōu)化控制能夠提供準確、一致、標準的文檔數(shù)據(jù)8.1.1項目管理概述項目管理整體包括六個過程：（1）制定項目章程；（2）制訂項目管理計劃；

（3）指導和管理項目執(zhí)行；（4）監(jiān)控項目工作；

（5）整體變更控制；（6）結(jié)束項目或階段，執(zhí)行、監(jiān)控收尾；8.1.2項目整體管理（1）制定項目章程項目章程包括的內(nèi)容（直接列入或援引其他文件）8.1.2項目整體管理總體里程碑進度計劃總體預算項目審批要求委派的項目經(jīng)理及其職責和職權發(fā)起人或其他批準項目章程的人員的姓名和職權項目目的或批準項目的原因可測量的項目目標和相關的成功標準項目的總體要求概括性的項目描述項目的主要風險（2）制定項目管理計劃制定項目管理計劃的依據(jù)（1）項目章程（2）其他過程的輸出結(jié)果（3）事業(yè)環(huán)境因素（4）組織過程資產(chǎn)8.1.2項目整體管理-9-8.1.2項目整體管理-10-（3）指導與管理項目

此過程要求項目經(jīng)理和項目團隊采取多種行動執(zhí)行項目管理計劃,這些行動包括：開展活動實現(xiàn)項目目標付出努力與資金，實現(xiàn)項目目標配備、培訓并管理分派到本項目上的項目團隊成員根據(jù)具體情況取得報價、標書、要約或建議書......（4）監(jiān)控項目工作監(jiān)視和控制項目工作過程是監(jiān)視和控制啟動、規(guī)劃、執(zhí)行和結(jié)束項目所需的各個過程監(jiān)視包括收集、測量并散發(fā)績效信息，并評價測量結(jié)果和實施過程改進的趨勢8.1.2項目整體管理-11-（5）整體變更控制過程包括的變更管理活動確定是否需要變更或變更是否已發(fā)生對妨礙整體變更控制的因素施加影響審查和批準請求的變更控制申請變更的流程，在發(fā)生變更時管理批準的變更審查與批準所有的糾正與預防措施建議......8.1.2項目整體管理-12-（6）結(jié)束項目或階段結(jié)束項目或階段是完結(jié)所有項目管理過程組的所有活動，以正式結(jié)束項目或階段的過程主要作用：總結(jié)經(jīng)驗教訓，正式結(jié)束項目工作，為開展新工作而釋放組織資源8.1.2項目整體管理-13-項目范圍管理（ScopeManagement）就是要做范圍內(nèi)的事，而且只做范圍內(nèi)的事，既不少做也不多做8.1.3項目范圍管理-14-1.項目范圍的重要性項目范圍管理及控制的有效性，是衡量項目是否達到成功的一個必要標準有利于項目實施中的變更控制和推進項目發(fā)展，減少責任不清的事情發(fā)生范圍管理能夠提高對項目成本、進度和資源估算的準確性項目范圍管理影響到項目的成功8.1.3項目范圍管理-15-2.項目范圍管理的過程8.1.3項目范圍管理-16-8.1.3項目范圍管理-17-3.項目范圍管理各過程的輸入、輸出、工具與技術進度管理方法進度管理方法——甘特圖8.1.4項目時間管理-18-橫軸表示時間，縱軸表示要安排的活動，線條表示在整個期間計劃的和實際的活動完成情況甘特圖直觀地表明任務計劃在什么時候進行，以及實際進展與計劃要求的對比8.1.4項目時間管理-19-甘特圖制作步驟進度管理方法——網(wǎng)絡圖網(wǎng)絡圖是項目活動排序的一個輸出，用于展示項目中的各個活動以及活動之間的邏輯關系，表明項目任務將如何以什么順序進行常用的網(wǎng)絡圖有PDM圖、ADM圖、CDM圖等8.1.4項目時間管理-20-PDM（PrecedenceDiagrammingMethod）網(wǎng)絡圖稱優(yōu)先圖法或單代號網(wǎng)絡圖構(gòu)成PDM網(wǎng)絡圖的基本特點是節(jié)點，節(jié)點表示任務，箭頭表示任務之間的邏輯關系8.1.4項目時間管理-21-ADM（ArrowDiagrammingMethod）網(wǎng)絡圖也稱雙代號網(wǎng)絡圖

箭頭表示活動；節(jié)點表示前一個任務的結(jié)束，同時也表示后一個任務的開始8.1.4項目時間管理-22-CDM（ConditionalDiagrammingMethod）網(wǎng)絡圖也稱條件箭線圖法

允許活動序列相互循環(huán)與反饋，如一個環(huán)（如某試驗需重復多次）或條件分支（例如，一旦在檢查中發(fā)現(xiàn)錯誤，就要修改設計），從而在繪制網(wǎng)絡圖的過程中會形成許多條件分支。8.1.4項目時間管理-23-進度管理方法——里程碑圖

8.1.4項目時間管理-24-

里程碑圖顯示項目進展中的重大工作的完成情況，由一系列的里程碑事件組成，是一個標志性的事件

里程碑僅僅表示事件的標記，不消耗資源和時間1.成本估算和成本估算方法項目成本的估算應該以系統(tǒng)項目管理、需求分析、設計、編碼、測試等過程所花費的代價作為依據(jù)8.1.5項目成本管理-25-2.成本預算成本預算是將總的成本安排到各個任務中，這些任務項是基于管理信息系統(tǒng)功能結(jié)構(gòu)劃分的結(jié)果，每個任務的成本估算、進度、資源日歷等可以作為成本預算的輸入成本預算提供了對實際成本的一種控制機制，為項目管理者控制項目提供了一把有效的尺度8.1.5項目成本管理-26-

質(zhì)量模型

質(zhì)量模型,用來描述影響系統(tǒng)質(zhì)量的特性

常見的四個質(zhì)量模型:Boehm質(zhì)量模型

McCall質(zhì)量模型

ISO/IEC9126質(zhì)量模型

ISO/IEC25010質(zhì)量模型8.1.6項目質(zhì)量管理-27-8.1.6項目質(zhì)量管理-28-8.1.7項目人力資源管理-29-1.職能型組織機構(gòu)適用于主要由一個部門完成的項目或技術比較成熟的項目8.1.7項目人力資源管理-30-2.項目型組織機構(gòu)項目型組織結(jié)構(gòu)中部門完全是按照項目進行設置，是一種單目標的垂直組織方式8.1.7項目人力資源管理-31-既具有職能型組織的特點，又具有項目型組織結(jié)構(gòu)的特征。適用于管理規(guī)范、分工明確的公司或者跨職能部門的項目。3.矩陣型組織機構(gòu)

項目溝通管理包括為確保項目信息及時且恰當?shù)匾?guī)劃、收集、生成、發(fā)布、存儲、檢索、管理、控制、監(jiān)督和最終處置所需的各個過程。

項目溝通管理的各個過程包括：（1）規(guī)劃溝通管理

（2）管理溝通

（3）控制溝通8.1.8項目溝通管理-32-1.規(guī)劃溝通管理規(guī)劃溝通管理是根據(jù)干系人的信息需要和要求及組織的可用資產(chǎn)情況，制訂合適的項目溝通方式和計劃的過程識別和記錄與干系人的最具效率且最有效果的溝通方式8.1.8項目溝通管理-33-8.1.8項目溝通管理-34-規(guī)劃溝通管理：輸出①項目文件更新②溝通管理計劃規(guī)劃溝通管理：輸入①項目管理計劃②干系人登記冊③事業(yè)環(huán)境因素④組織過程資產(chǎn)2.管理溝通管理溝通是根據(jù)溝通管理計劃，生成、收集、分發(fā)、儲存、檢索及最終處置項目信息的過程。本過程的主要作用是：促進項目干系人之間實現(xiàn)有效率且有效果的溝通。8.1.8項目溝通管理-35-8.1.8項目溝通管理-36-管理溝通：輸出①項目溝通②項目管理計劃更新③項目文件更新④組織過程資產(chǎn)更新管理溝通：輸入①溝通管理計劃②工作績效報告③事業(yè)環(huán)境因素④組織過程資產(chǎn)3.控制溝通控制溝通是在整個項目生命周期中對溝通進行監(jiān)督和控制的過程，以確保滿足項目干系人對信息的需求。本過程的主要作用是：隨時確保所有溝通參與者之間的信息流動的最優(yōu)化。8.1.8項目溝通管理-37-8.1.8項目溝通管理-38-控制溝通：輸出①工作績效信息②變更請求③項目管理計劃更新④項目文件更新⑤組織過程資產(chǎn)更新控制溝通：輸入①項目管理計劃②項目溝通③問題日志④工作績效數(shù)據(jù)⑤組織過程資產(chǎn)項目風險管理的過程:8.1.9項目風險管理的過程（1）風險管理規(guī)劃（2）風險識別（3）定性風險分析（4）定量風險分析（5）風險應對規(guī)劃（6）風險監(jiān)控項目風險管理的目標：增加積極事件的概率和影響，降低項目消極事件的概率和影響。

風險管理與項目管理其他過程的關系（1）風險管理與項目管理目標一致（2）風險管理為項目計劃的制訂提供了依據(jù)（3）通過風險分析識別、估計和評價不確定性，向項目范圍管理提出任務（4）風險管理是項目成本管理的一部分（5）項目風險管理的另一內(nèi)容是對風險實行有效地控制（6）項目風險管理通過風險分析，指出哪些風險同人有關8.1.9項目風險管理的過程-40-

實施完善的風險管理對項目的作用（1）了解風險對項目的影響，以便減少或分散風險（2）明確項目的各有關前提和假設（3）提高項目各種計劃的可信度（4）編制應急計劃時更有針對性（5）為以后的規(guī)劃和設計工作提供反饋（6）為項目施工、運營選擇合同形式和制訂應急計劃提供依據(jù)（7）從總體上使項目減少風險，保證項目目標的實現(xiàn)8.1.9項目風險管理的過程-41-

項目采購管理四個過程8.1.10項目采購管理-42-1.規(guī)劃采購管理

輸入：項目管理計劃、需求文件、風險登記冊、活動資源需求、項目進度計劃、活動成本估算、干系人登記冊、事業(yè)環(huán)境因素、組織過程資產(chǎn)

工具和技術：自制或外購分析、專家判斷、市場調(diào)研、會議等

輸出：采購管理計劃、采購工作說明書、采購文件、供方選擇標準、自制或外購決策、變更請求、項目文件更新等8.1.10項目采購管理-43-2.實施采購管理

輸入：項目管理計劃、采購文件、供方選擇標準、賣方建議書、項目文件、自制或外購決策、采購工作說明書、組織過程資產(chǎn)

工具和技術：投標人會議、建議書評價技術、獨立估算、專家判斷、廣告、分析技術、采購談判

輸出：選定的賣方、協(xié)議、資源日歷、變更請求、項目管理計劃更新、項目文件更新8.1.10項目采購管理-44-3.控制采購管理

輸入：項目管理計劃、采購文件、協(xié)議、批準的變更請求、工作績效報告、工作績效數(shù)據(jù)

工具和技術：合同變更控制系統(tǒng)、采購績效審查、檢查與審計、報告績效、交付系統(tǒng)、索賠管理、記錄管理系統(tǒng)

輸出：工作績效信息、變更請求、項目管理計劃更新、項目文件更新、組織過程資產(chǎn)更新8.1.10項目采購管理-45-4.結(jié)束采購

輸入：

項目管理計劃、采購文件

工具和技術：

采購審計、采購談判、記錄管理系統(tǒng)

輸出：

結(jié)束的采購、組織過程資產(chǎn)更新8.1.10項目采購管理-46-8.1.11項目干系人管理-47-1.識別干系人識別干系人：輸入①項目章程②采購文件③環(huán)境因素④組織過程資產(chǎn)識別干系人：輸出干系人登記手冊項目干系人管理是指對項目干系人需求、希望和期望的識別，并通過溝通上的管理來滿足其需要、解決其問題的過程。規(guī)劃干系人管理：輸入①項目管理計劃②干系人登記手冊③事業(yè)環(huán)境因素④組織過程資產(chǎn)

8.1.11項目干系人管理-48-此過程為項目干系人的互動提供清晰且可操作的計劃，以支持項目利益2.規(guī)劃干系人管理規(guī)劃干系人管理：輸出①干系人管理計劃②項目文件更新3.管理干系人此過程幫助項目經(jīng)理提升來自干系人的支持，并把干系人的抵制降到最低管理干系人：輸入①干系人管理計劃②溝通管理計劃③變更日志④組織過程資產(chǎn)8.1.11項目干系人管理-49-管理干系人：輸出①問題日志②變更請求③項目管理計劃更新④項目文件更新⑤組織過程資產(chǎn)更新4.控制干系人參與本過程的作用是維持并提升干系人參與活動的效率和效果控制干系人參與：輸入①項目管理計劃②問題日志③工作績效數(shù)據(jù)④項目文件8.1.11項目干系人管理-50-控制干系人參與：輸出①工作績效信息②變更請求③項目管理計劃更新④項目文件更新⑤組織過程資產(chǎn)更新8.4信息系統(tǒng)的評價8.1信息系統(tǒng)的開發(fā)管理8.3信息系統(tǒng)的安全管理8.2信息系統(tǒng)的運行管理1.系統(tǒng)運行的組織(1)信息中心在組織中的地位與其他部門平行8.2.1運行管理制度-52-優(yōu)點：信息資源可以為整個企業(yè)共享缺點：信息處理的決策能力較弱，系統(tǒng)運行中有關的協(xié)調(diào)和決策工作將受到影響8.2.1運行管理制度-53-(2)信息中心在組織中的地位為參謀中心優(yōu)點：有利于信息資源的共享，并且在系統(tǒng)運行過程中便于協(xié)調(diào)和決策缺點：容易造成脫離管理或服務較差的現(xiàn)象2.人員配置建立項目的組織機構(gòu)－項目組所有的人員必須不斷提高自身素質(zhì)，充實業(yè)務知識建立和健全信息系統(tǒng)管理體制，有效地利用運行日志等對運行的系統(tǒng)實行監(jiān)督和控制8.2.1運行管理制度-54-1.日常運行的管理日常運行的管理工作：（1）數(shù)據(jù)的收錄。包括數(shù)據(jù)收集、數(shù)據(jù)校驗及數(shù)據(jù)錄入（2）完成例行的信息處理及信息服務工作（3）確保各種設備始終處于正常運行的狀態(tài)之下（4）系統(tǒng)的安全管理8.2.2日常運行管理-55-2.系統(tǒng)運行情況的記錄在信息系統(tǒng)的運行過程中，需要收集和積累的資料包括的內(nèi)容：有關工作數(shù)量的信息工作的效率系統(tǒng)所提供的信息服務的質(zhì)量系統(tǒng)的維護修改情況系統(tǒng)的故障情況8.2.2日常運行管理-56-3.應急措施落實的審查制定應付突發(fā)事件的應急計劃資源備份，包括數(shù)據(jù)備份和設備備份，數(shù)據(jù)備份是必需的，在關鍵的領域中還必須對設備進行備份數(shù)據(jù)備份的方法有：全盤備份，增量備份，基本備份8.2.2日常運行管理-57-8.2.3系統(tǒng)維護-58-1.系統(tǒng)維護的內(nèi)容2.系統(tǒng)維護的類型依據(jù)信息系統(tǒng)需要維護的原因不同，可分為四種類型:8.2.3系統(tǒng)維護-59-3.系統(tǒng)維護管理系統(tǒng)的修改必須通過一定的批準手續(xù)，通常對系統(tǒng)的修改應執(zhí)行以下步驟：8.2.3系統(tǒng)維護-60-8.4信息系統(tǒng)的評價8.1信息系統(tǒng)的開發(fā)管理8.3信息系統(tǒng)的安全管理8.2信息系統(tǒng)的運行管理

8.3.1信息系統(tǒng)面臨的威脅信息系統(tǒng)根據(jù)重要程度，遭到破壞后的危害程度由低到高劃分為五級:第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益第二級，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全第三極，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害第四級，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害第五級，會對國家安全造成特別嚴重損害8.3.2信息系統(tǒng)的保護等級及安全管理需求8.3.2信息系統(tǒng)的保護等級及安全管理需求-64-1.安全管理原則

2.安全管理的實現(xiàn)信息系統(tǒng)的安全管理部門制定相應的管理制度或采用相應的規(guī)范，具體工作如下：（1）根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級（2）根據(jù)確定的安全等級，確定安全管理的范圍（3）制定相應的機房出入管理制度（4）制定嚴格的操作規(guī)程（5）制定完備的系統(tǒng)維護制度（6）制定應急措施8.3.2信息系統(tǒng)的保護等級及安全管理需求-65-

8.3.3信息系統(tǒng)的安全策略安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則，安全策略包括三個重要組成部分

8.4信息系統(tǒng)的評價8.1信息系統(tǒng)的開發(fā)管理8.3信息系統(tǒng)的安全管理8.2信息系統(tǒng)的運行管理1.系統(tǒng)技術性能的評價對系統(tǒng)的技術性能的評價主要針對系統(tǒng)的目標、功能、性能及運行方式進行評價,性能的評價是系統(tǒng)評價的主要工作部分，在評價中通常從如下幾方面進行：8.4.1系統(tǒng)評價的主要內(nèi)容-68-（1）系統(tǒng)的完整性（2）系統(tǒng)的可靠性（3）系統(tǒng)的效率（4）系統(tǒng)的工作質(zhì)量（5）系統(tǒng)的靈活性（6）系統(tǒng)的通用性（7）系統(tǒng)的實用性（8）系統(tǒng)文檔的完備性2.系統(tǒng)經(jīng)濟效益的評價（1）直接經(jīng)濟效益評價直接經(jīng)濟效益，指使企業(yè)收入增加和成本下降的收益評價內(nèi)容：

①系統(tǒng)的投資額

②系統(tǒng)運行費用

③系統(tǒng)運行所帶來的新增效益

④投資回收期8.4.1系統(tǒng)評價的主要內(nèi)容-69-2.系統(tǒng)經(jīng)濟效益的評價（2）間接經(jīng)濟效益評價系統(tǒng)對提高企業(yè)科學管理水平，增強企業(yè)競爭力以及提高管理人員素質(zhì)等帶來的收益評價內(nèi)容：

①對企業(yè)形象的改觀、員工素質(zhì)的提高所起的作用

②對企業(yè)的體制與組織機構(gòu)的改革、管理流程的優(yōu)化所起的作用

③對企業(yè)各部門間、人員間協(xié)作精神的加強所起的作用8.4.1系統(tǒng)評價的主要內(nèi)容-70-3.系統(tǒng)管理水平的評價管理水平是指對系統(tǒng)認識和管理工作的檢查系統(tǒng)評價內(nèi)容：①領導和各級管理人員對系統(tǒng)的認識水平②使用者對系統(tǒng)的態(tài)度③管理機構(gòu)是否健全④規(guī)章制度的建立和執(zhí)行情況⑤外部環(huán)境對系統(tǒng)的評價8.4.1系統(tǒng)評價的主要內(nèi)容-71-系統(tǒng)評價的主要指標：系統(tǒng)性能指標和經(jīng)濟效益指標1.系統(tǒng)性能指標8.4.2系統(tǒng)性能指標-72-2.經(jīng)濟效益指標經(jīng)濟效益指標分為兩大類：直接經(jīng)濟效益指標和間接經(jīng)濟效益指標（1）直接經(jīng)濟效益指標8.4.2系統(tǒng)評價的指標體系-73-

（2）間接經(jīng)濟效益指標

間接經(jīng)濟效益是通過改進組織結(jié)構(gòu)及運行方式，提高企業(yè)科學管理水平，增加企業(yè)競爭力以及提高管理人員素質(zhì)等途徑，使企業(yè)成本降低、利潤增加而逐漸地間接地獲得的效益

特點是成因復雜，難于計算，一般只能定性分析

8.4.2系統(tǒng)評價的指標體系-74-與間接經(jīng)濟效益有關的指標①在推動組織為適應環(huán)境而進行組織結(jié)構(gòu)、管理制度與管理模式的變革中所起的作用；②改善企業(yè)形象，提高在客戶心目中的信任度，增強企業(yè)的行業(yè)競爭力；③樹立不斷學習、不斷創(chuàng)新的企業(yè)文化環(huán)境，全面提高員工的素質(zhì)；④加強企業(yè)內(nèi)部各職能部門間的聯(lián)系與信息共享，樹立團隊精神和協(xié)作精神；⑤提高企業(yè)對市場的適應能力；8.4.2系統(tǒng)評價的指標體系-75-第9章管理信息系統(tǒng)安全學習目標-78-1．理解信息安全的基本內(nèi)容2．熟悉信息安全的主流技術3．了解信息安全的法律和法規(guī)9.1信息安全的基本概念9.3信息安全法律和法規(guī)9.2信息安全技術信息安全是指保證信息系統(tǒng)資源不受自然和人為等有害因素的威脅和危害由于管理信息系統(tǒng)既是一個技術系統(tǒng)，又是一個社會系統(tǒng)，因此，其安全問題不僅涉及到技術，還涉及到社會人文環(huán)境，如法律法規(guī)建設、社會道德、倫理、文化管理等多方面的問題9.1.1信息安全的基本概念管理信息系統(tǒng)安全是指信息網(wǎng)絡的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷管理信息系統(tǒng)的安全包括有兩部分的內(nèi)容系統(tǒng)自身的安全系統(tǒng)的安全保護9.1.1信息安全的基本概念管理信息系統(tǒng)安全管理的目標：信息的真實性：系統(tǒng)的信息資源真實、可靠信息的保密性：信息資源必須按照擁有者的要求保密，防止信息在沒有授權的情況下被訪問信息的完整性：信息在存儲和傳輸過程中，不能被非法地篡改、破壞，也不能被偶然、無意地修改信息的可用性：指在任何情況下，經(jīng)過授權的用戶能存取所需的信息，并能夠享受到系統(tǒng)提供的服務，保證合法用戶對信息資源的使用不會被不正當?shù)鼐芙^不可否認性：信息的發(fā)送方不能否認已發(fā)送的信息，接收方不能否認已接收到的信息信息的可控制性：信息的可控制性是指對信息的傳播及內(nèi)容具有控制能力信息的可審查性：對出現(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段9.1.1信息安全的基本概念影響管理信息系統(tǒng)安全的因素環(huán)境、自然條件的影響：如水災、火災、地震、雷電、強磁場、強電子脈沖等危害通信網(wǎng)絡的原因：搭線竊聽，遠程監(jiān)控、攻擊破壞，有可能來自與網(wǎng)絡相通的任何地點、任何終端信息技術本身的不完善信息技術犯罪手段日趨先進敵對勢力的攻擊9.1.1信息安全的基本概念個人信息安全是指公民身份、財產(chǎn)等個人信息的安全狀況。個人信息主要包括以下類別：基本信息：為了完成大部分網(wǎng)絡行為，消費者會根據(jù)服務商要求提交包括姓名、性別、年齡、身份證號碼、電話號碼、Email地址及家庭住址等在內(nèi)的個人基本信息，有時甚至會包括婚姻、信仰、職業(yè)、工作單位、收入等相對隱私的個人基本信息設備信息：消費者所使用的各種計算機終端設備（包括移動和固定終端）的基本信息，如位置信息、WiFi列表信息、Mac地址、CPU信息、內(nèi)存信息、SD卡信息、操作系統(tǒng)版本等賬戶信息：包括網(wǎng)銀帳號、第三方支付帳號，社交帳號和重要郵箱帳號等隱私信息：包括通訊錄信息、通話記錄、短信記錄、IM應用軟件聊天記錄、個人視頻、照片等社會關系信息：包括好友關系、家庭成員信息、工作單位信息等網(wǎng)絡行為信息：上網(wǎng)行為記錄，消費者在網(wǎng)絡上的各種活動行為，如上網(wǎng)時間、上網(wǎng)地點、輸入記錄、聊天交友、網(wǎng)站訪問行為、網(wǎng)絡游戲行為等個人信息9.1.2信息系統(tǒng)與個人信息安全加密技術是實現(xiàn)信息保密性的一種重要手段，目的是防止合法接受者之外的人獲取信息系統(tǒng)的機密信息。所謂信息加密技術就是采用數(shù)學方法對原始信息（明文M）進行重新編碼（加密），使得加密后的信息在網(wǎng)上公開傳輸?shù)膬?nèi)容對于非法接收者是一種不可理解的形式（密文Mˊ）。而對于合法接收者可用掌握的正確密鑰對密文進行加密逆運算過程（解密），即將密文還原成原始信息（明文）。9.2.1信息加密技術加密技術包括兩個元素：算法和密鑰。算法（如：T(M，K)）是將明文（M）加密或解密的一步一步的過程。這個過程需要一串數(shù)字的結(jié)合，這串數(shù)字就是密鑰（如：K）。算法和密鑰在加密和解密過程中缺一不可。由于設計加密算法是很困難的，不可能給出大量的加密算法，但是我們可以通過密鑰的變化來達到向多個信息接收方發(fā)送密文的需要，也就是說加密技術的關鍵是密鑰。如果密文被破譯，也只需換一個密鑰就能解決問題。9.2.1信息加密技術密碼體制分類私鑰加密系統(tǒng)又稱為對稱密鑰系統(tǒng)，即私鑰加密的加密密鑰和解密密鑰是相同，加密算法與解密算法互為逆運算。私鑰加密體制的典型代表是美國的數(shù)據(jù)加密標準（DataEncryptionStandard，DES）。9.2.1信息加密技術密碼體制分類公鑰和私鑰加密系統(tǒng)（又稱為非對稱密鑰系統(tǒng)）。該系統(tǒng)使用兩個鑰匙，其中一個用于加密（稱為公鑰），另一個用于解密（稱為私鑰）。非對稱加密算法以RSA算法最為代表性，是由Rivest、Shamir、Ad1eman發(fā)明的。非對稱的密鑰是成對出現(xiàn)的兩個巨大的質(zhì)數(shù)，用其中的一個質(zhì)數(shù)（公鑰）與原信息相乘，對信息加密形成密文?？梢杂昧硪粋€質(zhì)數(shù)（私鑰）與收到的信息（密文）相乘來解密。而任何一個人都不能由一個質(zhì)數(shù)求出另一個質(zhì)數(shù)，也就是說非對稱算法是不可逆的。9.2.1信息加密技術認證與認證系統(tǒng)是為了防止消息被篡改、刪除、重放和偽造的一種有效方法，使接收者能夠識別和確認消息的真?zhèn)握J證是信息安全的一個重要方面，加密保證了交易信息的機密性，認證則保證了信息的真實性、完整性和不可否認性一個安全的認證系統(tǒng)應滿足防偽造、防抵賴、防竊聽、防篡改的要求9.2.2認證技術用戶的身份認證可以通過三種基本方式或其組合的方式來實現(xiàn)個人所掌握的密碼、口令等。個人的身份證、護照、信用卡、鑰匙等個人特征：包括容貌、膚色、發(fā)質(zhì)、身材、姿勢、手印、指紋、腳印、唇印、顱相、口音、腳步聲、體味、視網(wǎng)膜、血型、遺傳因子、筆跡、習慣性簽字、打字韻律，以及在外界刺激下的反應等9.2.2認證技術信息摘要技術信息摘要方法也稱安全Hash編碼法或MD5，用來驗證信息的完整性信息摘要是單向Hash加密算法對一個信息作用的結(jié)果，它有固定的長度，且是唯一對應該消息的值發(fā)送端將信息和摘要一同發(fā)送，接收端收到后，用Hash函數(shù)對收到的信息加密產(chǎn)生一個摘要，再與收到的摘要對比，若相同，則說明收到的信息是完整的，在傳送的過程中沒有被修改，否則，就是被修改過，不是原信息9.2.2認證技術數(shù)字簽名技術數(shù)字簽名必須保證以下三點：接收者能夠核實發(fā)送者對報文的簽名；發(fā)送者事后不能抵賴對報文的簽名；接收者不能偽造對報文的簽名。數(shù)字簽名技術是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要，然后用Hash函數(shù)對收到的原文產(chǎn)生一個摘要，與解密的摘要對比，若相同，則說明收到的信息是完整的，在傳送的過程中沒有被修改，否則，就是被修改過，不是原信息。同樣，也證明發(fā)送者不能否認自己發(fā)送了信息9.2.2認證技術數(shù)字時間戳技術交易文件中，時間和簽名一樣是十分重要的證明文件有效性的內(nèi)容數(shù)字時間戳就是用來證明消息的收發(fā)時間的數(shù)字時間戳的形成過程是：首先用戶將需要加時間戳的文件用Hash函數(shù)加密生成摘要，然后將摘要發(fā)送到專門提供數(shù)字時間戳服務的權威機構(gòu)，該機構(gòu)對原摘要加上時間后進行數(shù)字簽名（用私鑰加密），并發(fā)送給原用戶9.2.2認證技術數(shù)字證書技術認證中心（CA）：認證中心構(gòu)建一套由公開密鑰技術、數(shù)字證書、證書發(fā)放機構(gòu)和關于公開密鑰的安全策略基本成分共同組成的安全技術系統(tǒng)，這套系統(tǒng)稱之為公鑰基礎設施（PublicKeyInfrastructure，PKI）。PKI采用數(shù)字證書管理公鑰，它把用戶的公鑰和用戶的其它標記信息捆綁在一起，在Internet上驗證用戶的身份認證中心的數(shù)字認證系統(tǒng)主要由以下三部分組成：在客戶端面向證書用戶的數(shù)字證書申請、查詢和下載系統(tǒng)；在注冊審批（RA）部門由RA管理員對證書申請進行審批的證書授權系統(tǒng)；在認證部門的控制臺，簽發(fā)用戶證書的證書簽發(fā)系統(tǒng)。數(shù)字認證中心具有五種基本功能：證書的頒發(fā)、更新、查詢、歸檔和作廢，解決網(wǎng)上用戶身份認證和信息安全傳輸?shù)膯栴}9.2.2認證技術數(shù)字證書數(shù)字證書又稱為數(shù)字標識，是標識證書持有者信息的一系列數(shù)據(jù)。它提供了一種在互聯(lián)網(wǎng)上身份驗證的方式，是用來標志和證明網(wǎng)絡通信雙方身份的數(shù)字信息文件。通俗地講，數(shù)字證書就是個人或單位在互聯(lián)網(wǎng)的身份證。數(shù)字證書包含以下的內(nèi)容：證書擁有者的姓名證書擁有者的公鑰公鑰的有效期頒發(fā)數(shù)字證書的單位頒發(fā)數(shù)字證書的單位的簽名數(shù)字證書序列號9.2.2認證技術按照數(shù)字證書的頒發(fā)對象不同，數(shù)字證書主要分為：個人數(shù)字證書：僅僅為某個用戶提供憑證，以幫助其個人在網(wǎng)絡上進行安全交易操作。個人數(shù)字證書主要用于標識證書所有人的身份，包含了個人的身份信息及其公鑰，如用戶姓名、證件號碼、身份類型等，可用于個人在網(wǎng)上進行合同簽定、定單、錄入審核、操作權限、支付信息等活動機構(gòu)數(shù)字證書：用于標識數(shù)字證書機構(gòu)所有者的身份，包含機構(gòu)的相關信息及其公鑰，如：企業(yè)名稱、組織機構(gòu)代碼等，可用于機構(gòu)在電子商務、電子政務應用中進行合同簽訂、網(wǎng)上支付、行政審批、網(wǎng)上辦公等各類活動設備數(shù)字證書：用于在網(wǎng)絡應用中標識網(wǎng)絡設備的身份，主要包含了設備的相關信息及其公鑰，如：域名、網(wǎng)址等，可用于VPN服務器、WEB服務器等各種網(wǎng)絡設備在網(wǎng)絡通訊中標識和驗證設備身份軟件（開發(fā)者）數(shù)字證書：它是簽發(fā)給軟件提供者的數(shù)字證書，包含了軟件提供者的身份信息及其公鑰，主要用于證明軟件發(fā)布者所發(fā)行的軟件代碼來源于一個真實軟件發(fā)布者，可以有效防止軟件代碼被篡改9.2.2認證技術為了保護企業(yè)內(nèi)部信息資源的安全，一般如下三方面采取措施：防止外部入侵，控制和監(jiān)督外部用戶對企業(yè)的內(nèi)部網(wǎng)的非法訪問控制、監(jiān)督和管理企業(yè)內(nèi)部對外部Internet的訪問檢測、記錄網(wǎng)絡內(nèi)部用戶的未授權活動9.2.3防火墻技術防火墻技術就是用來保護內(nèi)部的網(wǎng)絡不受來自外界的侵害，主要用來實現(xiàn)網(wǎng)絡路由的安全性。網(wǎng)絡路由的安全性包括兩個方面：限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問，從而保護內(nèi)部網(wǎng)特定資源免受非法侵害。限制內(nèi)部網(wǎng)對外部網(wǎng)的訪問，主要是針對一些不健康信息及敏感信息的訪問。防火墻，是指一個由軟件和硬件設備組合而成的，在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的一個保護層，并強制所有的連接都必須在這個保護層上進行檢查和連接。9.2.3防火墻技術防火墻可以劃分為兩種類型：一種是基于包過濾，另一種是基于代理服務包過濾防火墻：包過濾防火墻可以動態(tài)檢查流過的TCP/IP報文頭，檢查報文頭中的報文類型、源IP地址、目的IP地址、源端口號等域，根據(jù)規(guī)則決定哪些報文允許通過，哪些報文禁止通過9.2.3防火墻技術代理服務型防火墻：代理服務型防火墻使用一個客戶程序與特定的中間結(jié)點（防火墻）連接，然后中間結(jié)點與服務器進行連接，在內(nèi)部網(wǎng)和外部網(wǎng)之間建立一個物理屏障。9.2.3防火墻技術復合型防火墻：這種防火墻是把前兩類防火墻結(jié)合起來，形成新的產(chǎn)品，以發(fā)揮各自的優(yōu)勢，克服各自的缺點，來滿足更高安全性的要求。防火墻技術的優(yōu)點保護那些易受攻擊的服務控制對特殊站點的訪問集中化的安全管理對網(wǎng)絡訪問進行記錄9.2.3防火墻技術美國：1946年《原子能法》1947年《國家安全法》1966年《信息自由法》2000年《關于保護信息系統(tǒng)的國家計劃》2009年《美國網(wǎng)絡安全評估》2011年《可信網(wǎng)絡空間身份標識國家戰(zhàn)略》（正式稿）和《網(wǎng)絡空間國際戰(zhàn)略》9.3.1國外相關法律與法規(guī)日本：2010年《保衛(wèi)國民信息安全戰(zhàn)略2010-2013》歐盟：通過立法強調(diào)防范恐怖襲擊和網(wǎng)絡犯罪，保護信息基礎設施等俄羅斯：明確建立信息安全保障體系，在國際上協(xié)同相關國家制定信息安全國際規(guī)則韓國：《國家網(wǎng)絡安全總體規(guī)劃》要求建立“三線防御體系”。聯(lián)合國：從國際安全層面關注信息安全，成立政府專家組，強調(diào)各國的協(xié)同合作。9.3.1國外相關法律與法規(guī)相關法律2000年《全國人民代表大會常務委員會關于維護互聯(lián)網(wǎng)安全的決定》2012年《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》2016年《中華人民共和國網(wǎng)絡安全法》2018年《中華人民共和國電子商務法》2019年《中華人民共和國電子簽名法》（2019年修正）9.3.2國內(nèi)相關法律與法規(guī)行政法規(guī)《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》《中華人民共和國無線電管制規(guī)定》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》《互聯(lián)網(wǎng)信息服務管理辦法》《計算機軟件保護條例》《信息網(wǎng)絡傳播權保護條例》《中華人民共和國電信條例》《互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所管理條例》9.3.2國內(nèi)相關法律與法規(guī)閱讀案例：信息系統(tǒng)安全案例根據(jù)提供的背景資料，收集相關數(shù)據(jù)和資料，對下面的問題的進行分析。1．查閱相關資料，分析信息系統(tǒng)運行安全威脅來自那些方面？2．從技術和非技術兩方面分析產(chǎn)生信息安全威脅的原因。3．查閱相關資料，分析和匯總當前防范信息系統(tǒng)安全的措施有哪些？我們應當如何應對信息系統(tǒng)的安全問題？4.部分網(wǎng)站要求你同意同意或接受其Cookie的使用，你如何看待Cookie？5.根據(jù)案例談談你對個人信息安全的認識，如何保護個人信息。案例分析-106-1．影響管理信息系統(tǒng)安全的主要因素2．信息安全的主流技術3.國內(nèi)信息安全的主要法律規(guī)范本章重點-107-習題1.什么是信息安全？信息安全的主要內(nèi)容有哪些？2.為保證個人信息安全，我們可以采取哪些技術？3.通過互聯(lián)網(wǎng)查找資料，應用實例分析影響管理信息系統(tǒng)的安全因素。4.防火墻技術的基本思路、技術特點和應用特征是什么？5.描述信息加密技術的基本原理及傳輸過程。6.信息系統(tǒng)中的認證技術的作用是什么?7.查閱“中國裁判文書網(wǎng)”某個有關個人信息安全的案件，談談你對信息安全的認識。第10章信息道德和社會責任學習目標-111-1．理解信息道德的含義2．理解隱私保護的基本概念3．了解知識產(chǎn)權的基本內(nèi)容4．理解信息系統(tǒng)與企業(yè)社會責任的關系10.4信息系統(tǒng)與企業(yè)社會責任10.1管理信息系統(tǒng)與道德10.3知識產(chǎn)權與計算機犯罪10.2隱私保護與職業(yè)道德信息道德的含義信息道德是指在信息的采集、加工、存儲、傳播和利用等信息活動各個環(huán)節(jié)中，用來規(guī)范其間產(chǎn)生的各種社會關系的道德意識、道德規(guī)范和道德行為的總和10.1管理信息系統(tǒng)與道德信息系統(tǒng)引發(fā)的道德問題信息的權利和義務：個體和組織相對于他們自己來講具有什么樣的信息權利？他們能保護什么？財產(chǎn)的權利和義務：即對于傳統(tǒng)的知識產(chǎn)權，在數(shù)字社會中如何進行保護？系統(tǒng)質(zhì)量：為保護個人的權利和社會的安全，我們需要什么樣的數(shù)據(jù)標準與系統(tǒng)質(zhì)量？生活質(zhì)量：在以信息和知識為基礎的社會中，應當保留什么樣的價值觀？責任和控制：對于個體和集體的信息、產(chǎn)權的傷害。誰能以及誰要負起責任和義務？10.1管理信息系統(tǒng)與道德隱私保護一般而言，隱私是指個人不愿為他人所知曉和干預的私人生活隱私是指私人生活安寧不受他人非法干擾，私人信息保密不受他人非法搜集、刺探和公開隱私包括私生活安寧和私生活秘密兩個方面10.2隱私保護與職業(yè)道德職業(yè)道德人們在進行職業(yè)活動過程中，一切符合職業(yè)要求的心理意識、行為準則和行為規(guī)范的總和一種內(nèi)在的、非強制性的約束機制。是用來調(diào)整職業(yè)個人、職業(yè)主體和社會成員之間關系的行為準則和行為規(guī)范廣義的職業(yè)道德是指從業(yè)人員在職業(yè)活動中應該遵循的行為準則，涵蓋了從業(yè)人員與服務對象、職業(yè)與職工、職業(yè)與職業(yè)之間的關系狹義的職業(yè)道德是指在一定職業(yè)活中應遵循的、體現(xiàn)一定職業(yè)特征的、調(diào)整一定職業(yè)關系的職業(yè)行為準則和規(guī)范不同的職業(yè)人員在特定的職業(yè)活動中形成了特殊的職業(yè)關系，包括了職業(yè)主體與職業(yè)服務對象之間的關系、職業(yè)團體之間的關系、同一職業(yè)團體內(nèi)部人與人之間的關系，以及職業(yè)勞動者、職業(yè)團體與國家之間的關系10.2隱私保護與職業(yè)道德知識產(chǎn)權民事主體對其創(chuàng)造性的智力勞動成果、商業(yè)標志及其他具有商業(yè)價值的信息依法所享有的專有權