信息資源管理系統(tǒng)的基本概論

信息資源管理系統(tǒng)的基本(jīběn)概論第一頁，共60頁。1信息資源管理系統(tǒng)的基本概論5/8/2024我國屬于發(fā)展中國家，經(jīng)濟發(fā)展水平和信息資源豐裕度不高，但發(fā)展速度快?，F(xiàn)在正在實現(xiàn)從計劃經(jīng)濟向社會主義市場經(jīng)濟的轉(zhuǎn)變，還要實現(xiàn)經(jīng)濟增長方式從粗放型到集約型的轉(zhuǎn)變，信息資源管理要為實現(xiàn)這兩個轉(zhuǎn)變服務，要為我國經(jīng)濟持續(xù)、高速、穩(wěn)定發(fā)展服務,以信息化帶動工業(yè)化。

我國地域遼闊、但各地區(qū)各行業(yè)發(fā)展不平衡。在信息資源的開發(fā)與利用(lìyòng)上，我們必須突出重點，使較發(fā)達地區(qū)與行業(yè)通過推進信息化，在經(jīng)濟活動中更好地與國際社會接軌，增強我國經(jīng)濟的國際競爭能力，并以此帶動欠發(fā)達地區(qū)與行業(yè)的發(fā)展。第二頁，共60頁。2信息資源管理系統(tǒng)的基本概論5/8/2024對于一個組織，特別是企業(yè)組織來說，信息資源管理的目標是為實現(xiàn)組織的整體目標服務的。當前，企業(yè)面臨的環(huán)境復雜多變，市場競爭十分激烈，經(jīng)濟活動全球化、市場國際化的趨勢加速，信息資源的開發(fā)(kāifā)、配置與利用，要為提高企業(yè)的應變能力和競爭能力服務。第三頁，共60頁。3信息資源管理系統(tǒng)的基本概論5/8/20242、信息資源管理的類型(lèixíng)從信息資源涉及的經(jīng)濟活動類型(lèixíng)來分，有①信息資源的生產(chǎn)與創(chuàng)新管理；②信息資源的分配與流通管理；③信息基礎(chǔ)設(shè)施的建設(shè)與運用管理（即信息資源的配置與運用的管理）；④信息服務的管理。第四頁，共60頁。4信息資源管理系統(tǒng)的基本概論5/8/2024從信息資源管理的目的來分有①面向一般社會(shèhuì)組織（包括企業(yè)）信息資源的管理，目的在于促進組織目標的實現(xiàn)；②面向信息產(chǎn)品生產(chǎn)與信息服務業(yè)的信息資源管理，目的在于滿足社會(shèhuì)上廣大用戶的對信息產(chǎn)品和信息服務的需求；③面向政府部門的信息資源管理。目的在于使政府部門更好地實施其宏觀調(diào)控和信息服務的職能。第五頁，共60頁。5信息資源管理系統(tǒng)的基本概論5/8/20243.信息資源管理的內(nèi)容(nèiróng)一個現(xiàn)代社會組織的信息資源主要有：①計算機和通信設(shè)備；②計算機系統(tǒng)軟件與應用軟件；③數(shù)據(jù)及其存儲介質(zhì)；④非計算機信息處理存儲裝置；⑤技術(shù)、規(guī)章、制度、法律；⑥從事信息活動的人一個信息系統(tǒng)就是這些信息資源為實現(xiàn)某類目標的有序組合，因此信息系統(tǒng)的建設(shè)與管理就成了組織內(nèi)信息資源配置與運用(yùnyòng)的主要手段。第六頁，共60頁。6信息資源管理系統(tǒng)的基本概論5/8/2024面向組織的信息資源管理的主要(zhǔyào)內(nèi)容有：①信息系統(tǒng)的管理包括信息系統(tǒng)開發(fā)項目的管理、信息系統(tǒng)運行與維護的管理、信息系統(tǒng)的評價等；②信息資源開發(fā)、利用的標準、規(guī)范、法律制度(zhìdù)的制訂與實施；③信息產(chǎn)品與服務的管理；④信息資源的安全管理；⑤信息資源管理中的人力資源管理第七頁，共60頁。7信息資源管理系統(tǒng)的基本概論5/8/20244.信息資源管理的組織(zǔzhī)概述信息資源作為一種重要的國家戰(zhàn)略資源，其豐裕程度已成為衡量一個國家國力和經(jīng)濟發(fā)展水平的重要技術(shù)指標。因此，各國政府都將信息資源的開發(fā)和管理納入重要的議事日程。但信息資源的開發(fā)和使用過程涉及的人員和范圍較廣，內(nèi)容龐雜，為了防止信息資源的浪費和濫用，最大限度地提高(tígāo)信息資源的效用，需要國家各級政府機構(gòu)、民間組織、企業(yè)等各方面的共同努力，尤其需要建立和健全完善的組織機構(gòu)強化對信息資源開發(fā)、利用的管理和控制。第八頁，共60頁。8信息資源管理系統(tǒng)的基本概論5/8/2024目前在我國，信息資源管理的組織機構(gòu)主要分布在以下(yǐxià)層次上：(1)各級政府的有關(guān)部門，如政府所屬的各級信息中心、科技、教育、宣傳、文化、統(tǒng)計、標準、技術(shù)監(jiān)督等管理部門，它們在信息資源管理過程中的主要職責是：相應開發(fā)標準、法律、法規(guī)的審查與制訂，規(guī)劃與組織信息基礎(chǔ)設(shè)施的建設(shè)，向企業(yè)及其他各類社會組織和公眾提供必要的信息服務，從政策上指導信息資源的合理開發(fā)和有效應用，并從宏觀角度上促進和加強(jiāqiáng)國際間信息資源的交流與合作。(2)民間團體和組織，如學會、協(xié)會、學術(shù)社團等，它們在信息資源管理過程中的主要職責是：配合政府和企業(yè)，研究與制訂信息資源開發(fā)的標準和規(guī)范，促進新技術(shù)的交流與推廣。第九頁，共60頁。9信息資源管理系統(tǒng)的基本概論5/8/2024(3)信息服務機構(gòu)，如圖書、情報、影視、電臺(diàntái)、網(wǎng)站等，其主要職責是面向各類不同消費者提供所需的信息服務與支持。(4)企業(yè)。由于市場競爭激烈和經(jīng)濟的全球化趨勢加劇，越來越多的企業(yè)和組織已經(jīng)并開始建立自己的管理信息系統(tǒng)，把信息作為一種重要的資源進行開發(fā)與利用，因此，各類企業(yè)實際上已成為對信息資源開發(fā)和利用最重要的地方。第十頁，共60頁。10信息資源管理系統(tǒng)的基本概論5/8/20245.企業(yè)(qǐyè)信息資源管理的組織由于(yóuyú)信息資源是企業(yè)的戰(zhàn)略資源，信息資源管理已成為企業(yè)管理的重要支柱。一般的大中型企業(yè)均設(shè)有專門的組織機構(gòu)和專職人員從事信息資源管理工作。這些專門組織機構(gòu)如：信息中心（或計算中心）、圖書資料館（室）、企業(yè)檔案館（室），企業(yè)中還有一些組織機構(gòu)也兼有重要的信息資源管理任務如：計劃、統(tǒng)計部門、產(chǎn)品與技術(shù)的研究與開發(fā)部門、市場研究與銷售部門、生產(chǎn)與物資部門、標準化與質(zhì)量管理部門、人力資源管理部門、宣傳與教育部門、政策研究與法律咨詢部門等。第十一頁，共60頁。11信息資源管理系統(tǒng)的基本概論5/8/2024在有關(guān)信息資源管理的各類組織中，企業(yè)信息中心是基于現(xiàn)代信息技術(shù)的信息資源管理機構(gòu)，其管理手段與管理對象(duìxiàng)多與現(xiàn)代計算機技術(shù)、通訊與網(wǎng)絡技術(shù)有關(guān)?，F(xiàn)代信息技術(shù)本身是信息資源的重要組成部分。利用現(xiàn)代信息技術(shù)開發(fā)、利用信息資源是現(xiàn)代信息資源管理的主要內(nèi)容。第十二頁，共60頁。12信息資源管理系統(tǒng)的基本概論5/8/2024大中型企業(yè)(qǐyè)的信息中心的主要職能包括：(1)在企業(yè)主要負責人的主持下制訂企業(yè)信息資源開發(fā)、利用、管理的總體規(guī)劃，其中包括信息系統(tǒng)建設(shè)規(guī)劃；(2)企業(yè)管理信息系統(tǒng)的開發(fā)、維護與運行管理；(3)信息資源管理的標準、規(guī)范、規(guī)章制度(ɡuīzhānɡzhìdù)的制訂、修訂和執(zhí)行；(4)信息資源開發(fā)與管理專業(yè)人員的專業(yè)技能培訓、企業(yè)廣大職工信息管理與信息技術(shù)知識的教育培訓和新開發(fā)的信息系統(tǒng)用戶培訓；(5)企業(yè)內(nèi)部和外部的宣傳與信息服務；(6)為企業(yè)信息技術(shù)推廣應用其他項目如計算機輔助設(shè)計CAD、計算機輔助制造CAM等提供技術(shù)支持。第十三頁，共60頁。13信息資源管理系統(tǒng)的基本概論5/8/2024大中型企業(yè)信息中心的組織(zǔzhī)結(jié)構(gòu)示意圖企業(yè)信息中心系統(tǒng)開發(fā)部系統(tǒng)運行部技術(shù)支持部信息服務部培訓部綜合管理部系統(tǒng)分析與設(shè)計編程、測試、系統(tǒng)集成系統(tǒng)文檔應用系統(tǒng)各子系統(tǒng)運行支持數(shù)據(jù)準備錄入計算機操作軟件技術(shù)支持數(shù)據(jù)庫技術(shù)支持多媒體技術(shù)支持客戶服務供應商服務高層信息支持職工服務專業(yè)培訓普及培訓專題培訓新系統(tǒng)用戶培訓人員管理資金管理檔案管理質(zhì)量管理標準化管理安全管理通信與計算機網(wǎng)絡技術(shù)支持企業(yè)建模與優(yōu)化技術(shù)支持第十四頁，共60頁。14信息資源管理系統(tǒng)的基本概論5/8/2024企業(yè)(qǐyè)信息資源管理的人員(1)信息主管由于信息資源管理在組織中的重要作用和戰(zhàn)略地位，企業(yè)主要高層管理人員必須從企業(yè)的全局和整體需要出發(fā)，直接領(lǐng)導與主持全企業(yè)的信息資源管理工作(gōngzuò)。擔負這一職責的企業(yè)高層領(lǐng)導人就是企業(yè)的信息主管（ChiefInformationOfficer,CIO）。......第十五頁，共60頁。15信息資源管理系統(tǒng)的基本概論5/8/2024企業(yè)(qǐyè)信息主管（CIO）的主要職責是：在企業(yè)主管（總經(jīng)理、總裁）的領(lǐng)導下，主持制訂、修訂企業(yè)信息資源開發(fā)、利用和管理的全面規(guī)劃；在企業(yè)主管（總經(jīng)理、總裁）的領(lǐng)導下，主持企業(yè)管理信息系統(tǒng)的開發(fā)；直接領(lǐng)導企業(yè)內(nèi)信息資源管理職能部門如信息中心、圖書資料館（室）、企業(yè)檔案館（室）的工作，統(tǒng)一領(lǐng)導與協(xié)調(diào)企業(yè)其他部門信息資源的開發(fā)、利用與管理工作，主持信息資源開發(fā)、利用與管理的對外交流與合作(hézuò)；審批企業(yè)信息資源管理有關(guān)規(guī)章制度、標準、規(guī)范并監(jiān)督實施；負責信息管理與信息技術(shù)人才的招聘、選拔與培養(yǎng)；負責企業(yè)信息資源開發(fā)、利用與管理所需資金的預算與籌措；參與企業(yè)高層決策。由此可見，信息主管對企業(yè)的信息資源管理負有全面責任。由于信息資源管理關(guān)系企業(yè)全局，信息主管一般應由相當于企業(yè)副總經(jīng)理或副總裁的高層管理人員擔任。第十六頁，共60頁。16信息資源管理系統(tǒng)的基本概論5/8/2024(2)中、基層(jīcéng)管理人員主要有：企業(yè)信息資源管理的中、基層管理人員包括信息中心（或計算中心）、圖書資料館（室）、企業(yè)檔案館（室）等組織機構(gòu)的負責人，這些機構(gòu)的分支機構(gòu)的負責人，企業(yè)中兼有重要的信息資源管理任務組織機構(gòu)如：計劃、統(tǒng)計、產(chǎn)品與技術(shù)的研究與開發(fā)、市場研究與銷售、生產(chǎn)與物資(wùzī)管理、標準化與質(zhì)量管理、人力資源管理、宣傳與教育、政策研究與法律咨詢等部門分管信息資源（含信息系統(tǒng)與信息技術(shù)）的負責人。：第十七頁，共60頁。17信息資源管理系統(tǒng)的基本概論5/8/2024(3)企業(yè)管理信息系統(tǒng)的專業(yè)(zhuānyè)人員主要有：l

系統(tǒng)分析員l

系統(tǒng)設(shè)計人員(rényuán)l

程序員l

系統(tǒng)文檔管理人員(rényuán)l

數(shù)據(jù)采集人員(rényuán)l

數(shù)據(jù)錄入人員(rényuán)l

計算機硬件操作與維護人員(rényuán)l

數(shù)據(jù)庫管理人員(rényuán)l

網(wǎng)絡管理人員(rényuán)l

通信技術(shù)(jìshù)人員l

結(jié)構(gòu)化布線與系統(tǒng)安裝技術(shù)人員l

承擔培訓任務的教師及教學輔助人員l

圖書資料與檔案管理人員l

網(wǎng)站的編輯與美工人員l

從事標準化管理、質(zhì)量管理、安全管理、技術(shù)(jìshù)管理、計劃、統(tǒng)計等人員第十八頁，共60頁。18信息資源管理系統(tǒng)的基本概論5/8/2024二、信息系統(tǒng)的安全管理(guǎnlǐ)

1.概述隨著信息技術(shù)的發(fā)展，信息系統(tǒng)的應用范圍不斷擴大，無論是在運行操作、管理控制，還是經(jīng)營管理計劃、戰(zhàn)略決策等社會經(jīng)濟活動的各個方面，都發(fā)揮著越來越大的作用。然而，由于信息系統(tǒng)中處理和存儲的，既有日常業(yè)務處理信息、技術(shù)經(jīng)濟信息，又有涉及到有關(guān)國家安全的政治、經(jīng)濟和軍事情況以及一些工商企業(yè)單位和人的機密和敏感信息，因此它成為國家和某些部門的寶貴財富，同時也成為敵對國家和組織以及一些非法用戶、別有用心(biéyǒuyòngxīn)者威脅和攻擊的主要對象。第十九頁，共60頁。19信息資源管理系統(tǒng)的基本概論5/8/2024信息系統(tǒng)社會信息化的趨勢，一方面體現(xiàn)了信息系統(tǒng)在現(xiàn)代化建設(shè)中的重要作用和戰(zhàn)略地位，顯示了它的巨大生命力；另一方面也體現(xiàn)了人類及社會的各個方面對信息系統(tǒng)的依賴性越來越強。本身的脆弱性和易于攻擊的弱點，使得信息系統(tǒng)的安全問題越來越受到人們的廣泛重視。一旦信息系統(tǒng)的任何破壞或故障，都將對用戶以至整個社會產(chǎn)生重大的影響。近年來世界范圍內(nèi)的計算機犯罪、計算機病毒泛濫等問題，使信息系統(tǒng)安全上的脆弱性表現(xiàn)得越來越明顯。信息系統(tǒng)的安全問題已成為(chéngwéi)全球性的社會問題，是當前信息資源管理面臨的主要挑戰(zhàn)，也是信息系統(tǒng)建設(shè)和管理的主要瓶頸。第二十頁，共60頁。20信息資源管理系統(tǒng)的基本概論5/8/20242.信息系統(tǒng)安全(ānquán)的基本概念信息(xìnxī)系統(tǒng)安全的基本要求：在信息(xìnxī)系統(tǒng)采集、存儲、加工、傳輸與利用信息(xìnxī)的過程中，各物理設(shè)備、通信線路、軟件、數(shù)據(jù)及其存儲介質(zhì)、規(guī)章制度和有關(guān)人員應具備抵御來自系統(tǒng)內(nèi)部或外部對信息(xìnxī)及有關(guān)設(shè)施有意攻擊、破壞、竊取或無意損害、泄露的能力以保證信息(xìnxī)的機密性、完整性、可用性、可審查性和抗抵賴性。第二十一頁，共60頁。21信息資源管理系統(tǒng)的基本概論5/8/2024

信息系統(tǒng)的脆弱性信息系統(tǒng)各個環(huán)節(jié)的不安全因素：數(shù)據(jù)輸入部分：數(shù)據(jù)通過輸入設(shè)備進入系統(tǒng)，輸入數(shù)據(jù)容易被篡改或輸入假數(shù)據(jù)；數(shù)據(jù)處理部分：數(shù)據(jù)處理部分的硬件容易被破壞或盜竊，并且(bìngqiě)容易受電磁干擾或因電磁輻射而造成信息泄漏；通信線路：通信線路上的信息容易被截獲，線路容易被破壞或盜竊；軟件：操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和程序容易被修改或破壞；輸出部分：輸出信息的設(shè)備容易造成信息泄漏或被竊取第二十二頁，共60頁。22信息資源管理系統(tǒng)的基本概論5/8/2024信息系統(tǒng)的下列(xiàliè)特點引起的不安全因素：（1）介質(zhì)存儲密度高在一張磁盤或一盤磁帶中可以存儲大量信息，而軟盤常隨身攜帶出去。這些存儲介質(zhì)也很容易受到意外損壞。不管哪種情況，都會造成大量信息的丟失。（2）數(shù)據(jù)可訪問性數(shù)據(jù)信息可以很容易地被拷貝下來而不留痕跡。一臺遠程(yuǎnchéng)終端上的用戶可以通過計算機網(wǎng)絡連接到信息中心的計算機上。在一定條件下，終端用戶可以訪問到系統(tǒng)中的所有數(shù)據(jù)，并可以按其需要把它拷貝、刪改或破壞掉。（3）信息聚生性當信息以分離的小塊形式出現(xiàn)時，它的價值往往不大，但當大量相關(guān)信息聚集在一起時，則顯示出它的重要性。信息系統(tǒng)的特點之一，就是能將大量信息收集在一起，進行自動、高效的處理，產(chǎn)生很有價值的結(jié)果。信息的這種聚生性與其安全密切相關(guān)。第二十三頁，共60頁。23信息資源管理系統(tǒng)的基本概論5/8/2024（4）保密困難性信息系統(tǒng)內(nèi)的數(shù)據(jù)都是可用的，盡管可以采用許多方法在軟件內(nèi)設(shè)置一些關(guān)卡，但是對那些掌握計算機技術(shù)的專業(yè)人士，很可能會突破這些關(guān)卡，故要保密很困難。特別是許多信息系統(tǒng)與互聯(lián)網(wǎng)（Internet）相聯(lián)，由于互聯(lián)網(wǎng)應用的公開性和廣泛性，也增加了安全保密的難度。（5）介質(zhì)的剩磁效應存儲介質(zhì)中的信息有時(yǒushí)是擦除不干凈或不能完全擦除掉，會留下可讀信息的痕跡，一旦被利用，就會泄露。另外，在許多信息系統(tǒng)中，有時(yǒushí)刪除文件僅僅是將文件的文件名刪除，并相應地釋放存儲空間，而文件的真正內(nèi)容還原封不動地保留在存儲介質(zhì)上。利用這一些特性，可以竊取機密信息。第二十四頁，共60頁。24信息資源管理系統(tǒng)的基本概論5/8/2024（6）電磁泄露性計算機設(shè)備工作時能夠輻射出電磁波，任何人都可以借助儀器設(shè)備在一定的范圍內(nèi)收到它，尤其是利用高靈敏度儀器可以清晰地看到計算機正在處理的機密信息。（7）通信網(wǎng)絡的弱點連接信息系統(tǒng)的通信網(wǎng)絡有不少弱點：如通過未受保護的外部線路可以從外界訪問到系統(tǒng)內(nèi)部的數(shù)據(jù)、通信線路和網(wǎng)絡可能被搭線竊聽(qiètīnɡ)或破壞等。這種威脅增加了通信和網(wǎng)絡的不安全性。第二十五頁，共60頁。25信息資源管理系統(tǒng)的基本概論5/8/20243.信息系統(tǒng)面臨(miànlíng)的威脅和攻擊（1）對實體的威助和攻擊對實體的威脅和攻擊主要指對計算機及其外部設(shè)備、網(wǎng)絡的威脅和攻擊，如各種自然災害與人為的破壞、場地和環(huán)境因素的影響、電磁場的干擾或電磁泄露、戰(zhàn)爭(zhànzhēng)的破壞、各種媒體的被盜和散失等。據(jù)悉，在1991年海灣戰(zhàn)爭(zhànzhēng)爆發(fā)前，美軍計算機專家利用伊拉克從法國進口計算機打印機用于其防空系統(tǒng)的機會，在伊拉克的打印機內(nèi)換裝了有計算機病毒的一套芯片。海灣戰(zhàn)爭(zhànzhēng)爆發(fā)后，美軍將其激活，使伊拉克防空系統(tǒng)癱瘓，從而保證了空襲的成功。第二十六頁，共60頁。26信息資源管理系統(tǒng)的基本概論5/8/2024（2）對信息(xìnxī)的威脅和攻擊對信息的威脅和攻擊主要有兩種：一種是信息泄露，另一種是信息破壞。信息泄露信息泄露是指偶然地或故意地獲得（偵收、截獲、竊取或分析破譯）目標系統(tǒng)中的信息，特別是敏感信息，造成泄露事件(shìjiàn)。

信息泄露的事件(shìjiàn)是很多的。例如，1988年，德國漢諾威大學計算機系24歲的學生馬蒂亞斯·斯佩爾將自己的計算機同美國軍方和軍工承包商的30臺計算機連接，在兩年時間內(nèi)收集了美國國防部的大量機密信息。其中有關(guān)于“星球大戰(zhàn)”計劃、北美戰(zhàn)略防空司令部核武器和通信衛(wèi)星等方面的資料，震驚了美國國防部和聯(lián)邦調(diào)查局。第二十七頁，共60頁。27信息資源管理系統(tǒng)的基本概論5/8/2024信息(xìnxī)破壞信息破壞是指由于偶然事故或人為(rénwéi)破壞，使系統(tǒng)的信息被修改，刪除、添加、偽造或非法復制，導致信息的正確性、完整性和可用性受到破壞。人為(rénwéi)破壞有以下幾種手段：①濫用特權(quán)身份；②不合法地使用；③修改或非法復制系統(tǒng)中的數(shù)據(jù)。偶然事故有以下幾種可能：①軟、硬件的故障引起安全策略失效；②工作人員的誤操作使信息嚴重破壞或無意中讓別人看到了機密信息；③自然災害的破壞，如洪水、地震、風暴、泥石流、雷擊等，使計算機系統(tǒng)受到嚴重破壞；④環(huán)境因素的突然變化造成系統(tǒng)信息出錯、丟失或破壞。第二十八頁，共60頁。28信息資源管理系統(tǒng)的基本概論5/8/2024例：1994年12月，美國海軍學院的計算機系統(tǒng)被不知名的黑客所襲擊。襲擊者是從英國、芬蘭(fēnlán)、加拿大和美國的堪薩斯大學和亞拉巴馬大學發(fā)動進攻的。他們攻擊了24個服務器，在其中的8個植入了“嗅探程序”（這是一種植入計算機系統(tǒng)后可以截取其數(shù)據(jù)，如密碼等的程序）。1個主要路由器被破壞，1個系統(tǒng)的名字和地址被改變，使得合法用戶無法進入該系統(tǒng)。除此之外，1個系統(tǒng)的備份文件和來自其他4個系統(tǒng)的文件被刪除，其它6個系統(tǒng)被破壞，2個加密密碼文件被破壞，12000多個密碼被竄改，海軍無法估計損失究竟有多大，也沒能抓住作案者。第二十九頁，共60頁。29信息資源管理系統(tǒng)的基本概論5/8/2024對信息攻擊(gōngjī)的方法可分為被動攻擊(gōngjī)和主動攻擊(gōngjī)：被動攻擊：是指一切竊密的攻擊。它是在不干擾系統(tǒng)正常工作的情況下進行偵收、截獲、竊取系統(tǒng)信息，以便破譯分析；利用觀察信息、控制信息的內(nèi)容(nèiróng)來獲得目標系統(tǒng)的位置、身份；利用研究機密信息的長度和傳遞的頻度獲得信息的性質(zhì)。被動攻擊不容易被用戶察覺出來，因此它的攻擊持續(xù)性和危害性都很大。第三十頁，共60頁。30信息資源管理系統(tǒng)的基本概論5/8/2024被動(bèidòng)攻擊的主要方法有：·直接(zhíjiē)偵收利用電磁傳感器或隱藏的收發(fā)信息設(shè)備直接(zhíjiē)偵收或搭線偵收信息系統(tǒng)的中央處理機、外圍設(shè)備、終端設(shè)備、通信設(shè)備或線路上的信息；·截獲信息系統(tǒng)及設(shè)備在運行時，散射的寄生信號容易被截獲。如離計算機顯示終端百米左右，可以在那里接收到穩(wěn)定、清晰可辨的信息圖像。此外，短波、超短波、微波和衛(wèi)星等無線電通信設(shè)備有相當大的輻射面，市話線路、長途架空明線等電磁輻射也相當嚴重，因此可利用系統(tǒng)設(shè)備的電磁輻射截獲信息；·合法竊取利用合法用戶身份，設(shè)法竊取未被授權(quán)的信息。例如，在統(tǒng)計數(shù)據(jù)庫中，利用多次查詢數(shù)據(jù)的合法操作，推導出不該了解的機密信息；·破譯分析對于已經(jīng)加密的機要信息，利用多種破譯分析手段，獲得機密信息；·從遺棄的媒體中分析獲取信息如從信息中心遺棄的打印紙、各種記錄和統(tǒng)計報表、竊取或丟失的軟盤片中獲得有用信息。第三十一頁，共60頁。31信息資源管理系統(tǒng)的基本概論5/8/2024主動攻擊：是指可以篡改信息的攻擊。它不僅能竊密，而且威脅到信息的完整性和可靠性。它以各種方式有選擇地修改、刪除、添加、偽造、重排信息內(nèi)容，造成信息破壞。主動攻擊的主要方法有：·竊取并干擾通信線路上的信息；·返回滲透，有選擇地截取系統(tǒng)中央處理機的信息，然后將偽信息返回系統(tǒng)用戶；·線間插入當合法用戶已占用信道(xìndào)，但是終端設(shè)備還沒有動作時，插入信道(xìndào)進行竊聽或信息破壞活動；·非法冒充采取非常規(guī)的方法和手段，竊取合法用戶的口令，冒充合法用戶進行竊取或信息破壞活動；·系統(tǒng)內(nèi)部人員的竊密和毀壞系統(tǒng)數(shù)據(jù)、信息的活動等。第三十二頁，共60頁。32信息資源管理系統(tǒng)的基本概論5/8/2024（3）計算機犯罪計算機犯罪是指針對(zhēnduì)和利用信息系統(tǒng)，通過非法操作或以其他手段故意泄露、竊取或破壞系統(tǒng)中的機密信息，并造成重大的經(jīng)濟損失或嚴重的社會、政治不良影響，危害了系統(tǒng)實體和信息安全，對信息系統(tǒng)的完整性或正常運行造成危害后果的不法行為。如利用計算機技術(shù)知識及其它技術(shù)篡改銀行系統(tǒng)的帳戶數(shù)據(jù)以謀私利，給銀行和客戶造成巨額經(jīng)濟損失。近年來，這種利用信息系統(tǒng)的脆弱性進行破壞活動的計算機犯罪事件正逐年增多，嚴重威脅和危害到信息系統(tǒng)的安全，并給社會經(jīng)濟造成越來越大的損失。第三十三頁，共60頁。33信息資源管理系統(tǒng)的基本概論5/8/2024㎏（4）計算機病毒計算機病毒是計算機犯罪的是一種新的衍化形式，它是通過運行一段程序干擾或破壞系統(tǒng)正常工作的一種手段，其產(chǎn)生和蔓延給信息系統(tǒng)的安全帶來嚴重威脅和巨大的損失。實踐證明，計算機病毒已成為威脅信息系統(tǒng)安全的最危險的因素。這些(zhèxiē)病毒，有的只干擾屏幕，有的則封鎖鍵盤或打印機，有的修改或破壞硬、軟盤上的數(shù)據(jù)，有的封鎖軟盤驅(qū)動器，有的破壞磁盤的引導扇區(qū)、硬盤引導扇區(qū)和文件分配表，有的駐留內(nèi)存、修改中斷向量表或格式化硬盤，有的則大量占用磁盤空間，降低系統(tǒng)運行效率或使系統(tǒng)癱瘓。計算機病毒泛濫和蔓延的客觀效果，危害或破壞信息系統(tǒng)的資源，中斷或干擾信息系統(tǒng)的正常運行，給社會造成的危害越來越大。有人預言，今后在現(xiàn)代化戰(zhàn)爭中可以利用傳染病毒來破壞對方的軍事指揮通信系統(tǒng)，使其處于癱瘓狀態(tài)。因而，對計算機病毒的危害決不能掉以輕心。第三十四頁，共60頁。34信息資源管理系統(tǒng)的基本概論5/8/2024（5）威脅與攻擊(gōngjī)的手段非法訪問（非法用戶(yònghù)進入系統(tǒng)，合法用戶(yònghù)未授權(quán)操作）破壞信息的完整性（篡改、刪除、插入）假冒、詐騙（假冒管理著或主機、網(wǎng)絡控制程序、合法用戶(yònghù)）破壞系統(tǒng)的可用性截收和輻射偵測重放抵賴第三十五頁，共60頁。35信息資源管理系統(tǒng)的基本概論5/8/2024（6）威脅與攻擊(gōngjī)的來源計算機犯罪分子（內(nèi)部、外部）黑客（Hackers)計算機病毒源（內(nèi)部、外部；磁盤、光盤、網(wǎng)絡）電磁泄露與輻射設(shè)備故障(gùzhàng)造成安全措施失靈內(nèi)部操作失誤安全管理失控災害（自然、人為）第三十六頁，共60頁。36信息資源管理系統(tǒng)的基本概論5/8/20244.信息系統(tǒng)安全管理的策略(cèlüè)與措施信息系統(tǒng)安全策略（1）最小特權(quán)（2）縱深防御（多層、多面防御，必要的冗余和備份）（3）阻塞點（如防火墻）（4）檢測薄弱環(huán)節(jié)（5）失效保護（6）普遍(pǔbiàn)參與（7）防御多樣化（8）簡潔（9）依法治理第三十七頁，共60頁。37信息資源管理系統(tǒng)的基本概論5/8/2024

信息系統(tǒng)的安全措施（ 一）行政管理措施（１）組織及人員制度加強各種機構(gòu)（如安全審查、安全管理等機構(gòu)）、人員的安全意識和技術(shù)培訓及人員選擇，嚴格操作守則，嚴格分工原則。嚴禁程序設(shè)計人員同時擔任系統(tǒng)操作員，嚴格區(qū)分(qūfēn)系統(tǒng)管理員、終端操作員和程序設(shè)計人員，不允許工作交叉。（２）運行維護和管理制度包括設(shè)備維護制度、軟件維護制度、用戶管理制度、密鑰管理制度、出入門管理、值班守則、操作規(guī)程、行政領(lǐng)導定期檢查和監(jiān)督等制度。（３）計算機處理的控制與管理制度包括編程流程及控制、程序和數(shù)據(jù)的管理，拷貝及移植、存儲介質(zhì)的管理，文件的標準化以及通信和網(wǎng)絡的管理。第三十八頁，共60頁。38信息資源管理系統(tǒng)的基本概論5/8/2024

（４）機房保衛(wèi)制度機要機房應規(guī)定雙人進出的制度，嚴禁單人在機房操作計算機。機房門可加雙鎖，且只有兩把鑰匙同時使用時門才能打開。（５）對各種憑證、帳表、資料要妥善保管，嚴格控制（６）記帳要交叉復核，各類人員所掌握的資料要與其身份相適應（７）做信息處理用的機器要專機專用，不允許兼作其它用機（9）人員的安全(ānquán)教育（10）依法治理第三十九頁，共60頁。39信息資源管理系統(tǒng)的基本概論5/8/2024（二）技術(shù)、物理(wùlǐ)措施（1）實體安全信息系統(tǒng)的實體安全是指在全部計算機和通信環(huán)境內(nèi)，為保證信息系統(tǒng)安全運行，確保系統(tǒng)在信息的采集、傳輸、存儲、處理、顯示、分發(fā)和利用的過程中，不致受到人為的或自然因素的危害而使信息丟失、泄漏和破壞，對計算機系統(tǒng)設(shè)備、通信和網(wǎng)絡設(shè)備、存儲媒體和人員所采取的物理(wùlǐ)、技術(shù)措施。實體安全，是確保信息系統(tǒng)安全的前提。實體安全主要包括場地環(huán)境安全、設(shè)備安全和存儲介質(zhì)安全第四十頁，共60頁。40信息資源管理系統(tǒng)的基本概論5/8/2024場地環(huán)境安全信息系統(tǒng)的主場地，主要是機房等中心區(qū)域的選擇，應遠離有害的氣體源及存放腐蝕、易燃、易爆物品的地方；遠離強的動力設(shè)備和機械，避開高壓線、雷達站、無線電發(fā)射臺和微波中繼線路；遠離強振動源和噪聲源；有較好的防風(fánɡfēnɡ)、防火、防水、防地震及防雷擊的條件等。第四十一頁，共60頁。41信息資源管理系統(tǒng)的基本概論5/8/2024

設(shè)備安全信息系統(tǒng)應根據(jù)實際需要選擇設(shè)備，并考慮設(shè)備本身穩(wěn)定可靠；對環(huán)境條件的要求盡可能低；設(shè)備能抗震防潮；本身電磁輻射小，抗電磁輻射干擾和抗靜電能力強；有過壓、欠壓、過流等電沖擊的自動防護能力；有良好的安全接地。(1)防電磁泄露①采用電子屏蔽技術(shù)來掩飾計算機的工作狀態(tài)和保護信息；②采用物理抑制技術(shù)，一種方法是對線路單元、設(shè)備乃至系統(tǒng)進行(jìnxíng)屏蔽，以阻止電磁波的傳播；一種方法是從線路和元器件入手，從根本上解決計算機及外部設(shè)備各外輻射的電磁波，消除產(chǎn)生較強電磁波的根源。通常將兩種方法結(jié)合作用，以起雙保險的作用。第四十二頁，共60頁。42信息資源管理系統(tǒng)的基本概論5/8/2024(2)抗電磁干擾通常，抑制電磁干擾的基本方法主要有：①電磁屏蔽：凡受電磁場干擾的地方，可用屏蔽的辦法削弱干擾，以確保信息系統(tǒng)正常運行。不同干擾場采用不同的屏蔽方法，如電屏蔽、磁屏蔽或電磁屏蔽，并將屏蔽體良好接地。②接地系統(tǒng)：采用接地系統(tǒng)，不僅可以消除多電路之間流經(jīng)公共阻抗時所產(chǎn)生的共阻抗干擾，避免計算機電路受磁場和電位差的影響，而且可以保證設(shè)備及人身安全。對于系統(tǒng)內(nèi)的交流地、直流地、防雷地和安全地，接地線要分開(fēnkāi)，不要互連。進入計算機的電源線、信號線均要采用金屬屏蔽線穿在鐵套管內(nèi)，并在屏蔽層兩端接地，以防干擾及雷電入侵。第四十三頁，共60頁。43信息資源管理系統(tǒng)的基本概論5/8/2024③電源系統(tǒng)：電源電壓波動或負載幅度變化引起的瞬態(tài)電壓、電流沖擊，會通過電源進入計算機，不但會使計算機信息出錯，還會威脅計算機及其器件的壽命與安全。為了保證信息系統(tǒng)的穩(wěn)定性和安全，系統(tǒng)的主機機房應采用雙路供電或一級供電；應配有不間斷電源（UPS），其容量最好能維持主機設(shè)備在短暫跳閘或斷電后持續(xù)工作30分鐘以上，以確保設(shè)備和人身安全；系統(tǒng)電源不應與其他電器設(shè)備，特別是強力和沖擊電力設(shè)備共用，以避免(bìmiǎn)過壓、欠壓沖擊、電壓波動和瞬時尖峰；電器系統(tǒng)應接地良好。要完全避免(bìmiǎn)和防止電磁干擾是不現(xiàn)實的，上述措施可以將電磁干擾控制在一定范圍內(nèi)，以致不影響和破壞系統(tǒng)的正常工作。第四十四頁，共60頁。44信息資源管理系統(tǒng)的基本概論5/8/2024

存儲介質(zhì)安全信息系統(tǒng)中的信息都存在存儲介質(zhì)中，而存儲介質(zhì)的安全是保證數(shù)據(jù)安全的重要一環(huán)，應引起足夠的重視。目前的存儲介質(zhì)主要有磁盤、磁帶、光盤等，應分門別類，以一套嚴密(yánmì)的科學管理制度和方法進行管理。存儲介質(zhì)的主要防護要求有防火、防高溫、防潮、防霉、防水、防震、防電磁場和防盜等。對存儲介質(zhì)要定期檢查和清理。第四十五頁，共60頁。45信息資源管理系統(tǒng)的基本概論5/8/2024終端用戶終端放置在不安全環(huán)境使信息被竊聽終端用戶隱瞞身份進行不正確的輸入應用程序員設(shè)計“特洛伊木馬”軟件設(shè)計者回避安全功能安裝不安全系統(tǒng)授權(quán)者制定了不正確的數(shù)據(jù)庫安全策略軟件保護功能失效造成信息泄露硬件失效造成信息破壞未授權(quán)用戶的非法存?。ㄍ蹈`，篡改，刪除）計算機系統(tǒng)串音輻射存取規(guī)則數(shù)據(jù)庫圖5-1威脅數(shù)據(jù)庫安全的來源第四十六頁，共60頁。46信息資源管理系統(tǒng)的基本概論5/8/2024（2）數(shù)據(jù)安全數(shù)據(jù)安全主要是指為保證信息系統(tǒng)中數(shù)據(jù)庫中的數(shù)據(jù)免遭破壞、修改、泄露和竊取等威脅和攻擊而采取的技術(shù)方法。它包括口令保護、存取控制技術(shù)、數(shù)據(jù)加密技術(shù)等。安全的數(shù)據(jù)庫管理系統(tǒng)（DBMS）可供運行的安全的DBMS應做到：①保證數(shù)據(jù)具備抗攻擊性，能抵御物理破壞（如突然斷電或者其它災害造成的損失）。②進行用戶(yònghù)識別和訪問控制，即能進行用戶(yònghù)身份的識別和驗證，限制用戶(yònghù)只能訪問他所授權(quán)的數(shù)據(jù)，對不同的用戶(yònghù)限制在不同的狀態(tài)下進行訪問。③保證合法用戶(yònghù)能順利地訪問數(shù)據(jù)庫中授權(quán)的數(shù)據(jù)和一般的數(shù)據(jù)，不會出現(xiàn)拒絕服務的情況，并能進行安全的通信。第四十七頁，共60頁。47信息資源管理系統(tǒng)的基本概論5/8/2024數(shù)據(jù)庫安全性控制的一般方法數(shù)據(jù)庫的安全技術(shù)主要有三種：口令保護、數(shù)據(jù)加密、存取控制?？诹畋Ｗo口令設(shè)置是信息系統(tǒng)的第一道屏障，因此口令保護就顯得尤其重要。對數(shù)據(jù)庫的不同功能塊應設(shè)置不同的口令，對存取它的人設(shè)置不同的口令級別，各種模塊如讀模塊、寫模塊、修改模塊等之間的口令應彼此獨立(dúlì)，并應將口令表進行不為他人所知的加密，以保護數(shù)據(jù)安全。數(shù)據(jù)加密加密是對信息存儲和傳輸過程中的保護手段，并使之具有一定的抗攻擊強度。數(shù)據(jù)加密就是按確定的加密變換方法對未經(jīng)加密的數(shù)據(jù)（明文）進行處理，使之成為難以識讀的數(shù)據(jù)（密文）。加密變換不僅可以用于數(shù)據(jù)保密性的保護，也可以用于數(shù)據(jù)的完整性檢測。數(shù)據(jù)加密技術(shù)是信息系統(tǒng)安全中最重要的技術(shù)措施之一，具有廣泛的用途。第四十八頁，共60頁。48信息資源管理系統(tǒng)的基本概論5/8/2024存取控制對于獲得機器使用權(quán)的用戶，還要根據(jù)預先定義好的用戶操作權(quán)限進行存取控制，保證用戶只能存取他有權(quán)存取的數(shù)據(jù)。通常將存取權(quán)限的定義（稱授權(quán)）經(jīng)編譯后存儲在數(shù)據(jù)字典(zìdiǎn)中，每當用戶發(fā)出存取數(shù)據(jù)庫的操作請求后，DBMS查找數(shù)據(jù)字典(zìdiǎn)，根據(jù)用戶權(quán)限進行合法權(quán)檢查，若用戶的操作請求超過了定義的權(quán)限，系統(tǒng)拒絕執(zhí)行此操作。授權(quán)編譯程序和合法權(quán)檢查機制一起組成了安全子系統(tǒng)。第四十九頁，共60頁。49信息資源管理系統(tǒng)的基本概論5/8/2024數(shù)據(jù)加密數(shù)據(jù)加密就是按確定的加密變換方法（加密算法）對需要保護的數(shù)據(jù)（明文）作處理，使其成為難以識讀的數(shù)據(jù)（密文）。其逆過程，即由密文按對應的解密變換方法（解密算法）恢復出明文的過程稱為數(shù)據(jù)解密。在加密處理過程中又引入了一個可變量——加密密鑰。這樣，不改變加密算法，只要按照需要改變密鑰，可以將相同的明文加密成不同的密文。通常，加密和解密算法的操作都是在一組密鑰的控制下進行的，分別稱為加密密鑰和解密密鑰。密鑰是加密體系的核心，其形式(xíngshì)可以是一組數(shù)字、符號、圖形或代表它們的任何形式(xíngshì)的電信號。密鑰的產(chǎn)生和變化規(guī)律必須嚴格保密。第五十頁，共60頁。50信息資源管理系統(tǒng)的基本概論5/8/2024數(shù)據(jù)加密是用加密算法E和加密密鑰Ke，將明文X變換成不易識讀的密文Y。記為Y=Eke(x)數(shù)據(jù)解密是用解密算法D和解密密鑰Ka將密文Y變換成原來(yuánlái)易于識讀的明文X，記為X=Dka(Y)在信息系統(tǒng)中，對某信息除意定的授權(quán)接收者之外，還有非授權(quán)者，他們通過各種辦法來竊取信息，稱其為截取者。數(shù)據(jù)加密模型如圖所示。數(shù)據(jù)加密的兩種體制根據(jù)加密密鑰Ke和解密密鑰Ka是否相同，數(shù)據(jù)加密技術(shù)在體制上分為兩大類：單密鑰體制和雙密鑰體制。第五十一頁，共60頁。51信息資源管理系統(tǒng)的基本概論5/8/2024E

加密算法D解密算法發(fā)端收端明文X解密密鑰Kd密文Y=Eke(x)明文X加密密鑰Ke圖5-3數(shù)據(jù)加密管理截取者第五十二頁，共60頁。52信息資源管理系統(tǒng)的基本概論5/8/2024密鑰CIPHER――――――――――――次序(cìxù)145326――――――――――――明文attackbeginsatfour明文：attackbeginsatfour密文：abachuaiotettgfksr第五十三頁，共60頁。53信息資源管理系統(tǒng)的基本概論5/8/2024（3）軟件安全軟件安全主要是指為保證信息系統(tǒng)中的軟件免遭破壞、非法拷貝、非法使用(shǐyòng)而采取的技術(shù)和方法。它包括口令的控制與鑒別技術(shù)、軟件加密技術(shù)、軟件防拷貝和防動態(tài)跟蹤技術(shù)等。軟件的技術(shù)保護對軟件開發(fā)者、經(jīng)營者來說，技術(shù)保護方式是法律保護方式的必要補充。技術(shù)保護的目的有兩個，一是防止對軟件的非法復制、發(fā)行和使用(shǐyòng)，二是防止對軟件本身的跟蹤分析解讀和修改。軟件的技術(shù)保護方法一般有軟件措施、硬件措施和軟硬件結(jié)合措施三種。大體上有以下幾種：第五十四頁，共60頁。54信息資源管理系統(tǒng)的基本概論5/8/2024在主機內(nèi)或擴充槽里裝入特殊硬件裝置采用特殊標記的磁盤“軟件(ruǎnjiàn)指紋”限制技術(shù)(“時間炸彈”)軟件(ruǎnjiàn)加密反動態(tài)跟蹤技術(shù)第五十五頁，共60頁。55信息資源管理系統(tǒng)的基本概論5/8/2024（4）網(wǎng)絡安全網(wǎng)絡安全是指為保證網(wǎng)絡及其節(jié)點安全