《信息资源管理》PPT课件.ppt

第七章 信息资源的安全管理,在信息资源的开发、管理和利用过程中，安全问题是一个十分重要的问题。信息资源安全包括了从信息的采集、传输、加工、存储和利用的全过程中以及与这一过程相关的信息及其载体、各类硬件设备和软件等被非法破坏、窃取和使用。 信息资源的安全，通常可以从技术安全和管理安全两个方面加以保证。其中，技术安全是一种被动的安全保护措施，是在信息资源受到攻击的情况下发挥作用。而管理安全则是一种相对主动的安全预防措施，在信息资源的安全保护体系中，往往占有更重要的地位。在实际工作中，我们必须两种方法并举。,信息资源的安全管理,一.系统授权 系统授权是用户存取权限的定义。利用系统授权来控制主体（用户）对客体（存取对象）的访问，可以有效地提高系统的安全性。系统授权是保护系统安全运行的一项重要技术措施。通常系统将授权清单经编译后存储在系统的数据字典中，每当用户发出存取数据的请求后，系统查找数据字典，根据用户授权表对用户请求进行合法权检查，若用户的请求超过了定义的权限，系统拒绝用户的请求。授权编译程序和合法权检查机制一起组成了授权安全子系统。,信息资源的安全管理,二.数据加密 数据加密，就是按照预先约定的变换规则（加密算法）对需要保护的数据（明文）进行转换，使其成为难以识读的数据（密文）。由密文按对应的解密变换方法（解密算法）恢复出明文的过程称为数据解密。 数据加密技术在体制上分为单密钥体制（常规密钥密码体制 ）和双密钥体制（公开密钥密码体制）。单密钥体制的加密密钥和解密密钥是相同的，最常用的加密算法是由IBM公司研制的DES；双密钥体制的加密和解密使用不同的密钥，最有名的是由美国麻省理工学院提出的RSA 。,信息资源的安全管理,三.防范计算机犯罪 计算机犯罪是一种新的社会犯罪现象，它具有犯罪方法新、作案时间短、不留痕迹、内部人员犯罪的比例在增加、犯罪区域广、利用保密制度不健全和存取控制机制不严的漏洞作案等明显特征。进入九十年代以来，计算机犯罪已严重的威胁到信息资源的安全，造成许多重大损失，现已成为日益严重的社会问题。 防范计算机犯罪，要从数据输入控制、通信控制、数据处理控制、数据存储控制、访问控制等各个环节上加强安全控制。,信息资源的安全管理,四.计算机病毒防范 计算机病毒是一种特殊形式的计算机犯罪，它是人为制造的、能够通过某一途径潜伏在计算机的存储介质（或可执行程序、数据文件）中，达到某种条件具备后即被激活，对信息资源具有破坏作用的一种程序或指令的集合。计算机病毒具有可传染性、潜伏性、可触发性、欺骗性、衍生性和破坏性等特征。 预防计算机病毒的技术手段主要包括软件预防和硬件预防。软件预防采用防病毒软件来防御病毒的入侵，它是病毒防御系统的第一道防线,其任务是使病毒无法进行传染和破坏。硬件预防采用防病毒卡等硬件来防御病毒的入侵。,信息资源的安全管理,五.信息资源安全管理与审计 实现信息资源安全，不仅靠先进的技术，而且也要靠严格的安全管理、安全教育和法律约束。要实现严格的安全管理，应建立相应的信息资源安全管理办法，加强内部管理，建立合理的安全管理系统，建立安全审计和跟踪体系，提高整体安全意识。 审计是记录用户使用系统进行所有活动的过程，是提高安全性的重要措施。入侵检测是一种信息识别与检测技术。一般将审计跟踪、攻击检测系统作为信息安全的最后一道防线。,信息资源的安全管理,六.计算机软件的安全管理 在信息资源安全中，软件具有二重性：软件既是安全保护的对象，是安全控制的措施，同时又是危害安全的途径和手段。因此，软件的安全是保证信息资源安全的重要内容。 软件安全的基本要求是要禁止非法的拷贝和使用以及防止非法阅读和修改。为设计安全软件而采取的技术措施应实现防拷贝、防静态分析和防动态跟踪，它们是每一个加密软件都必须具备的三个基本功能。这三个功能是相互依存、相辅相成的。实现软件的加密保护，必须从这三方面入手，综合运用，才能有效地保护软件被非法扩散。,信息资源的安全管理,1.系统软件的安全 大多数系统软件中普遍采用的安全措施是安全控制。从技术上讲安全控制主要有三种方法：访问控制、隔离控制、和存储保护。访问控制和隔离控制可以防止对被保护对象的未经许可的接触；存储保护主要是避免多任务之间的互不干扰。 2.应用软件的安全 应用软件是直接面对用户的，所以其安全设计是目前信息资源安全中最重要却又最薄弱的部分，因此在应用软件的开发过程中，需要特别注意。,信息资源的安全管理,七.数据库的安全管理 一个数据库的安全受到侵犯，主要是指未经授权的读、写和修改数据库中的数据，或者破坏这些存储在数据库中的信息。由于数据库中存放大量的信息，可供众多的用户访问，数据库的安全问题日益突出。 数据库安全的基本要求是数据库完整、数据元素的完整、可审计、存取控制、用户认证及并发控制。 数据库安全运行的保护机制有操作系统和数据库管理系统两个层次。操作系统从外部为数据库提供安全运行的环境，而数据库管理系统则从内部强化数据库的安全操作功能。 数据库的安全控制技术主要有：口令保护、数据加密、数据库加密、数据验证等。,信息资源的安全管理,八.计算机网络的安全管理 网络提供了资源的共享性，通过分散工作负荷提高了工作效率和信息系统的可扩充性，因此网络安全问题越来越突出。 网络系统的安全功能是达到安全目标所需具备的功能和规定。OSI定义了五种安全功能：对象认证、访问控制、数据保密、数据可审查、不可抵赖。 网络安全管理是网络安全、高效、稳定运行的必要手段。它通过规划、监视、分析、扩充和控制网络来保证网络服务的有效实现，是整个网络系统不可缺少的重要部分。目前较常用的保证网络安全的措施主要有：数据加密、网络中密钥的管理、网络中的访问控制、鉴别机制、数字签名、防火墙技术、网络的安全管理等。,信息资源的安全管理,九.信息系统的安全 信息系统具有的开放特性和资源共享特性，使它存在潜在的威胁和容易受到攻击。这主要表现在两个方面：对实体的威胁和攻击；对信息的威胁和攻击。 信息系统采取的安全策略主要包括四个方面：法规保护、行政管理、安全教育和技术措施，其中技术措施是信息系统安全的重要保障。信息系统的安全技术主要包括实体安全、数据安全、软件安全、运行安全、防病毒破坏或干扰、防计算机犯罪等。安全技术措施应贯穿于系统分析、设计、运行和维护及管理的各个阶段。,信息资源的安全管理,十.电子商务安全 电子商务是利用电子数据交换、电子邮件、电子资金转账及Internet技术在个人、企业间和政府间进行无纸化的业务信息的交换。电子商务的重要技术特征是利用IT技术来传输和处理商业信息。因此，电子商务安全从整体上可分为两大部分：交易环境的安全和交易过程安全。 交易环境是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。交易过程安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行，即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。因此，电子商务对安全的要求有：有效性 、保密性 、完整性 、不可抵赖性/可鉴别性 、审查能力 。,信息资源的安全管理,1.安全交易协议标准 安全套接层协议SSL是Netscape公司提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术，它提供加密、认证服务和报文完整性管理。 安全电子交易协议SET涵盖了信用卡在电子商务交易中的交易协定、信息加密、资料完整管理、数字凭证、数字认证及数字签名等内容。SET协议是针对开放网络上安全、有效的银行卡交易，为Internet上卡支付交易提供高层的安全和反欺诈保证。SET协议为电子交易提供的安全措施。SET协议保证了电子交易的保密性、可审查性、身份的合法性和抗否认性。,信息资源的安全管理,2.安全交易技术 一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上，应该还具备以下特点：强大的加密保证、使用者和数据的识别和鉴别、存储和加密数据的保密、联网交易和支付的可靠、方便的密钥管理、数据的完整和防止抵赖。 数字认证可用电子方式证明信息发送者和接收者身份、文件的完整性、以及数据媒体的有效性。 建立安全的认证中心（CA）是电子商务的中心环节。其目的是加强数字证书和密钥的管理工作，增强网上交易各方的互相信任，提高网上购物和网上交易的安全，控制交易的风险。 虚拟专用网（VPN）是用于Internet交易的一种专用网络，可以在两个系统之间建立安全的信道（或隧道），用于电子数据交换。VPN中双方的数据通信量非常大，通信双方彼此很熟悉，可以使用复杂的专用加密和认证技术，不必为所有的VPN进行统一的加密和认证。,第八章 信息系统的管理,信息资源中的信息、信息技术、信息人员等要素不能单独发挥作用，必须按一定的原则加以配置构成一个有机的整体信息系统，才能显现其价值。信息系统是以信息基础设施为基本运行环境，由人、信息技术设备、运行规程组成，目的是及时、正确地收集、加工、存储、传递和提供信息，实现组织中各项活动的管理、调节和控制。 人类开发信息系统的目的，就是为了实现组织的目标，对整个组织的信息资源进行综合管理、合理配置和有效利用，进而提高管理决策的水平。,信息系统的管理,一. 信息系统与信息资源的关系 信息资源管理是对包括信息、信息技术、信息设备和信息人员等在内的信息资源的管理，其实质是以信息资源和信息活动为对象的管理。 人类开发信息系统的目的，是为了更好地利用信息资源，提高管理决策的水平。管理决策者借助于信息系统获得各级管理决策必需的信息，又通过信息系统对管理对象进行控制，实施决策。因此信息系统是开发和利用信息资源的有效的系统化手段，是实现信息资源管理的表现形式。,信息系统的管理,二. 信息系统开发管理 信息系统的建设是一项复杂的系统工程，涉及面广，技术难度大，需要投入大量的人力、物力、财力、时间，对整个组织的改革与发展会产生很大的影响。对信息系统的整个建设过程按照系统的观点使用项目管理的思想、方法进行控制，可以以较小的投入，得到较好的效果。,信息系统的管理,1.项目管理 项目管理是保证整个项目顺利、高效的完成的一种过程管理技术，贯穿于系统开发的整个生命周期。信息系统开发的项目管理分为两个阶段：立项与可行性论证阶段、项目实施管理阶段。 保证信息系统开发工作的顺利开始，首先要建立一个项目组。项目组可以由负责项目管理和开发的不同方面的人员组成，由项目组长或项目经理领导。可以根据项目规模、复杂程度和周期长短来确定过程管理小组、项目支持小组、质量保证小组、系统工程小组、系统开发与测试小组、系统集成与测试小组等。,信息系统的管理,2.文档管理 信息系统的文档是描述系统从无到有整个发展与演变过程各个状态的文字资料。信息系统实际上由系统实体及与此对应的文档两大部分组成，系统的开发要以文档的描述为依据，系统实体的运行与维护更需要文档来支持。为了保证系统建设的质量必须充分重视文档的地位和作用，并在信息系统建设中强化文档的管理。 文档管理应从以下几个方面着手进行：文档标准化、规范化；维护文档的一致性；维持文档的可追踪性；文档管理的制度化。,信息系统的管理,三. 信息系统的运行管理 运行管理工作是对信息系统的运行进行控制，记录其运行状态，进行必要的修改与扩充，使信息系统在其生命周期内保持良好的可运行状态，保证其功能的发挥，真正符合管理决策的需要，为管理决策者服务。 信息系统的运行管理工作是系统研制工作的继续，主要包括日常运行的管理、运行情况的记录以及对系统的运行情况进行检查与评价。做好运行管理工作，信息系统就能够如预期的那样，为管理工作提供所需的信息。反之，系统就不能如预期的那样发挥作用，而且系统本身也会崩溃而无法使用。,信息系统的管理,1.信息系统运行的组织 有效地组织好系统运行对提高管理信息系统的运行效率是十分重要的。系统运行组织的建立是与信息系统在企业中的地位分不开的。目前我国各企业、组织中负责系统运行的大多是信息中心、计算中心、信息处等信息管理职能部门。 为了进一步加强对信息资源的管理和利用，目前许多大的企业或集团的信息中心主任往往由组织中的高层领导直接担任。人员配置包括：系统主管人员；数据收集人员；数据校验人员（或数据控制人员）；录入人员；系统操作人员；程序员等。,信息系统的管理,2.信息系统的评价 信息系统建成并运行一段时间后，要对其进行技术性能及经济效益等方面的评价。评价的目的是检查系统是否达到预期的目标，技术性能是否达到设计要求，系统的各种资源是否得到充分利用，经济效益是否理想，指出系统的长处与不足，为以后的改进与扩展提出意见。 对信息系统的评价可以从定性和定量两个方面进行，目前一般采用多指标评价体系，这种方法先提出信息系统的若干评价指标，然后对各指标评出表示系统优劣程度的值，最后用加权等方法将各指标进行综合。,信息系统的管理,四.信息系统的审计 信息系统审计是指按一定的标准（开发的成本、进度和绩效计划等）对信息系统项目的进展和表现进行比较，以发现存在的问题，从而为系统管理中的各种决策提供依据。 信息系统审计应该尽量做到：能够充分地分析和考虑那些所有与系统有关的事实（或数据），全面、系统、客观地评价系统。系统审计的结果必须让系统的主管机构（系统发包单位）和所有系统参与者都感到具有可信性。因此，信息系统审计必须与系统本身一样小心谨慎地进行全过程控制。,信息系统的管理,1.信息系统审计的对象 主要包括以下四个方面：,对信息系统的经济性审计： 对信息系统的可靠性审计； 对信息系统的效率性审计； 对信息系统效益性的审计；,信息系统的管理,2.信息系统审计的范围 信息系统项目审计不同于一般的财务审计。财务审计的范围有限，它主要集中在机构资产的使用和维持保值方面。而信息系统项目审计的范围却几乎涉及到了系统的所有方面。 信息系统项目审计可能会涉及系统开发管理的各个方面，但它不是传统的管理审计。管理审计主要在于确保某一机构的管理系统到位并运行正常。而项目审计则超出了此范围，它将项目的财务、管理、技术、人员等方面作为一个整体，对于具体发包机构的具体项目，进行具体的分析研究。,信息系统的管理,3.信息系统审计的方法 信息系统审计的方法应该尽量做到：能够充分地分析和考虑那些所有与系统有关的事实（或数据），全面、系统、客观地评价系统。系统审计的结果必须让系统的主管机构（系统发包单位）和所有系统参与者都感到具有可信性。因此，信息系统审计必须与系统本身一样小心谨慎地进行全过程控制。 信息系统审计的方法主要有三种：检验、评估、咨询。,信息系统的管理,五.信息系统的项目控制 随着信息技术的高度发展，管理信息系统的规模越来越大，内容也越来越复杂，由于信息系统项目的风险性和艰巨性，在项目开发与运行过程中实行有效的控制，是实现系统目标的基本前提和保证。控制的目的是使系统按预定的目标运行和实现。考虑到管理信息系统项目的系统性、开放性、协调性和复杂性，在对项目进行控制管理时应坚持以系统科学理论为指导的思想。,信息系统的管理,1. 项目控制的原理 信息系统项目控制，是指在项目按预先制定的计划朝着最终目标前进的过程中，由于前期系统分析阶段工作的不确定性和系统实施过程中各种因素的干扰，项目的开发和运行会偏离预期的轨道。为此，项目管理者根据项目跟踪所提供的信息，对比原计划（或既定目标）找出偏差，分析原因