《管理信息系统》cha7

本章内容信息技术的扩散和渗透风险与安全问题道德、伦理和法律第一页，共42页。第一页，共42页。众多新技术无线领域变化的因特网人机交互技术软件即服务推技术语音识别虚拟现实生物测量技术GPS射频技术第二页，共42页。第二页，共42页。软件即服务SaaS（Software–as-aservice）是一种软件的支付模式，你可以按使用次数支付应用软件的费用，而不必完全买下软件优点随时随地使用软件（借助PDA，手机）成本低；隐私；可靠性缺点信息安全和服务的可靠性第三页，共42页。第三页，共42页。SaaS与传统模式比较SaaS模式传统模式付费方式定期为订购的服务支付费用一次性购买软件使用权，投资大设备部署计算机设备、个人数字助理等需要构建复杂的IT系统服务模式由应用软件提供商提供专业维护和服务需要培养专业的维护人员使用方式任何可接入Internet的地方在指定的设备上升级更新软件提供商负责更新软件版本客户自定义更新第四页，共42页。第四页，共42页。SaaS提供商专业供应商Saleforce,rightnow传统软件商微软，SAP,Oracle第五页，共42页。第五页，共42页。推技术和个性化什么是拉技术用户通过查询找到所需信息什么是推技术(未来的重点)PushTechnology企业根据个人情况主动提供服务和信息不是无目的的群发广告结论数据库和数据仓库是推技术的支撑技术第六页，共42页。第六页，共42页。信息传递技术clientWebserver数据库请求响应交互clientWebserver数据库推信息交互拉技术推技术第七页，共42页。第七页，共42页。推技术的特点主动性、个性化及智能性

高效性在网络空闲时启动

灵活性用户根据自己的方便和需要设置综合性

搜寻软件、分类标引软件等多种技术的综合第八页，共42页。第八页，共42页。射频识别技术RFID什么是射频识别技术使用条码存储信息被正确频率的无线电波射到时就发送、写入信息应用超市购物图书跟踪防偷盗的车钥匙供应链护照第九页，共42页。第九页，共42页。射频识别技术RFID（RadioFrequencyIdentification）

—采用标签的芯片存储信息，通过射频波读取信息。RFID的工作原理第十页，共42页。第十页，共42页。全球定位系统GlobalPositioningSystem,GPS授时、测距、导航定位系统使用美国国防部的24颗卫星和多个地面接收器来确定支持GPS设备的准确位置特点全球，全天候工作定位精度高功能多，应用广第十一页，共42页。第十一页，共42页。自动语音识别ASRAutomaticSpeechRecognition系统功能不仅能够捕获你所说的单词，还能够分辨出单词组成的句子工作步骤特征分析 语音数字信号音节模式分类 将实际的和存储的音节信号做匹配语言处理 和语言模式数据库比较，构建句子ASR的应用Office2003命令输入的语音识别功能第十二页，共42页。第十二页，共42页。生物特征识别技术身份识别的方式你知道什么你拥有什么你是谁可用生物特征指纹、手型静脉、虹膜、视网膜第十三页，共42页。第十三页，共42页。虚拟现实按功能分类桌面虚拟现实系统沉浸虚拟现实系统分布式虚拟现实系统增强现实接口设备传感手套头盔显示设备步行靴第十四页，共42页。第十四页，共42页。Cave系统CAVE(CaveAutomaticVirtualEnvironment) 是一个特殊的三维虚拟现实环境，在该环境中能够显示位于全世界任何地方的其他所有CAVE中的人和物的三维图像第十五页，共42页。第十五页，共42页。可穿戴计算机特点移动性解放双手持续工作性无线通信能力人机融合组成计算机显示器摄像头定位器耳机话筒无线通信设备手写输入板电池第十六页，共42页。第十六页，共42页。移动商务移动商务利用移动设备和移动通信技术，随时随地存储、传输和交流商业信息,进行商业活动的创新业务模式特点移动性、即时性、私人性、方便性

第十七页，共42页。第十七页，共42页。移动商务的优势开拓更大自由尺度的商务环境人群覆盖面更广更高效、更准确更紧密的用户对位关系第十八页，共42页。第十八页，共42页。移动商务的应用移动商务信息服务移动定位服务移动商务支持服务移动支付移动娱乐第十九页，共42页。第十九页，共42页。信息安全信息安全为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然或恶意的原因而遭到时破坏、更改和泄露信息、软硬件、环境安全内涵保密性、完整性、可用性、可控性、不可否认性

第二十页，共42页。第二十页，共42页。信息安全标准

美国可信计算机系统安全评价标准

TCSEC欧洲信息安全标准

ITSEC国际通用标准CC第二十一页，共42页。第二十一页，共42页。美国可信计算机系统安全评价标准

D级（最小保护级）只为文件和用户提供安全保护，整个计算机是不可信任的，硬件及操作系统极容易被入侵C级能提供审慎的保护，并为用户的行动和责任提供审计功能C1级（酌情的安全保护）--硬件有一定的安全保护措施，用户必须登录验证C2级（访问控制保护）--在C1级基础上，引入了受控访问环境第二十二页，共42页。第二十二页，共42页。美国可信计算机系统安全评价标准B级具有强制性保护功能B1级（被标签的安全性），支持多级安全B2级（结构化保护），给设备分配安全级别B3级（安全域机制），具有很强的监视托管访问能力及抗干扰能力A级（核查保护）包括了前面提到的各级别的全部特性第二十三页，共42页。第二十三页，共42页。欧洲信息安全标准

E0级为不能充分满足安全保证E1为功能测试E2为数学化测试E3为数学化测试和分析E4为半形式化测试E5为形式化分析E6则是形式化验证第二十四页，共42页。第二十四页，共42页。国际通用标准保护轮廓（ProtectProfile,PP）功能、开发保证、评价十一个公认的安全功能类安全审计类、通信类、加密支持类、用户数据保护类、身份识别与鉴别类、安全管理类、隐私类、安全功能件保护类、资源使用类、安全产品访问类和可信路径或通信类七个公认的安全保障需求类配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性七个安全确信度等级EAL1~EAL7。

第二十五页，共42页。第二十五页，共42页。CC的优势和局限性CC的优势结构适合信息技术和信息安全的发展易于用户、开发者、评估者间相互沟通与理解完备性和实用性CC的局限性重点关注人为的威胁组织、人员、环境、设备、网络等方面的具体安全措施没有涉及第二十六页，共42页。第二十六页，共42页。计算机信息系统安全等级划分准则

第一级：用户自主保护级第二级：安全审计保护级第三级：安全标记保护级第四级：结构化保护级第五级：访问验证保护级

第二十七页，共42页。第二十七页，共42页。信息系统面临的威胁信息系统实体自然灾难的破坏

组织内部管理外部入侵系统穿透违反授权原则通信监视。拒绝服务植入第二十八页，共42页。第二十八页，共42页。植入计算机病毒蠕虫(worm)特洛伊木马(Trojanhorse)间谍软件第二十九页，共42页。第二十九页，共42页。安全控制技术备份防病毒软件防火墙身份确认加密技术入侵探测和安全审核软件第三十页，共42页。第三十页，共42页。防火墙第三十一页，共42页。第三十一页，共42页。防火墙过滤技术静态分组过滤状态检测网络地址转换应用代理过滤

第三十二页，共42页。第三十二页，共42页。加密技术公钥和私钥方法作用消息完整性和认证的问题 保证传输的消息未经复制和修改到达正确目的地数字签名 在传输消息上附加的一串用于验证消息来源和内容的数字代码数字证书用来建立用户身份和电子资产的数据文件

第三十三页，共42页。第三十三页，共42页。入侵检测和安全审核入侵检测在网络系统上寻找不速之客或者形迹可疑的人

安全审核检查你的计算机或网络的潜在隐患

第三十四页，共42页。第三十四页，共42页。信息技术与隐私权隐私权保证当事人按照个人意愿不受别人干扰，或者独立控制个人财产而不受他人随意查看的权利

隐私权与政府

隐私权与员工

互联网中的隐私问题第三十五页，共42页。第三十五页，共42页。信息技术与知识产权

知识产权具有物质载体的无形产品 生产计划、报表…版权是对于有创意的表现形式的法律保护拥有版权：别人未经允许不得使用第三十六页，共42页。第三十六页，共42页。常见的十种网络版权侵权行为

未经作品权利人许可，擅自发表其作品；未经合作作者许可，将与他人合作创作的作品当作个人单独创作的作品发表；为谋取个人利益，在他人作品上署名；歪曲、篡改他人作品；剽窃他人作品；未经许可擅自以复制、展览、发行、放映、改编、翻译、注释、汇编、摄制电影和类似摄制电影等方式将作品用于网络传播；将他人作品用于网络传播，未按规定支付报酬；侵犯版权邻接权的行为；规避或破坏保护作品版权的技术措施；破坏作品的权利管理信息

第三十七页，共42页。第三十七页，共42页。对域名的侵权行为擅自使用他人注册商标、单词、字母注册域名的行为；擅自运用他人注册商标的图形、图像并入自己的网页，或将他人商标的图形设计成自己网页的图标的行为；在自己的网页上使用他人商标建立连接，足以使消费者产生混淆的行为；将他人商标埋置在自己网页的原代码中的行为。对于隐私权和知识产权等的侵权行为，必须出台相关法律进行规范

第三十八页，共42页。第三十八页，共42页。美国信息安全立法

1966年，《信息自由法案》1976年，《阳光政府法》2001年，《爱国者法》2002年，《联邦信息安全管理法案》

萨班斯-奥克斯利法案

第三十九页，共42页。第三十九页，共42页。欧盟信息安全立法

1992年，《信息安全框架决议》1995年，《关于合法拦截电子通讯的决议》《电子欧洲2002行动计划》《电子欧洲2003行动计划》《电子欧洲2005行动计划》《网络犯罪公约》第四十页，共42页。第四十页，共42页。我国的信息安全立法

宪法一