管理信息系统- 课件 第8-10章 管理信息系统管理、管理信息系统安全、信息道德和社会责任

第8章管理信息系统管理8.4信息系统的评价8.1信息系统的开发管理8.3信息系统的安全管理8.2信息系统的运行管理学习目标-3-1．了解管理信息系统管理的十大知识领域及过程2．了解管理信息系统管理的日常运行管理内容及维护3．了解管理信息系统的安全管理的需求及管理策略4．了解管理信息系统评价的主要内容以及指标体系1.项目管理的概念项目管理是指在一定资源如时间、资金、人力、设备、材料、能源、动力等约束条件下，为了高效率地实现项目的既定目标（即到项目竣工时计划达到的质量、投资、进度），按照项目的内在规律和程序，对项目的全过程进行有效地计划、组织、协调、领导和控制的系统管理活动8.1.1项目管理概述8.1.1项目管理概述2.管理信息系统项目的特点3.信息系统开发项目管理的意义可以进行系统的思考，进行切合实际的全局性安排可为项目人力资源的需求提供确切的依据通过合理的计划安排对项目进行最优化控制能够提供准确、一致、标准的文档数据8.1.1项目管理概述项目管理整体包括六个过程：（1）制定项目章程；（2）制订项目管理计划；

（3）指导和管理项目执行；（4）监控项目工作；

（5）整体变更控制；（6）结束项目或阶段，执行、监控收尾；8.1.2项目整体管理（1）制定项目章程项目章程包括的内容（直接列入或援引其他文件）8.1.2项目整体管理总体里程碑进度计划总体预算项目审批要求委派的项目经理及其职责和职权发起人或其他批准项目章程的人员的姓名和职权项目目的或批准项目的原因可测量的项目目标和相关的成功标准项目的总体要求概括性的项目描述项目的主要风险（2）制定项目管理计划制定项目管理计划的依据（1）项目章程（2）其他过程的输出结果（3）事业环境因素（4）组织过程资产8.1.2项目整体管理-9-8.1.2项目整体管理-10-（3）指导与管理项目

此过程要求项目经理和项目团队采取多种行动执行项目管理计划,这些行动包括：开展活动实现项目目标付出努力与资金，实现项目目标配备、培训并管理分派到本项目上的项目团队成员根据具体情况取得报价、标书、要约或建议书......（4）监控项目工作监视和控制项目工作过程是监视和控制启动、规划、执行和结束项目所需的各个过程监视包括收集、测量并散发绩效信息，并评价测量结果和实施过程改进的趋势8.1.2项目整体管理-11-（5）整体变更控制过程包括的变更管理活动确定是否需要变更或变更是否已发生对妨碍整体变更控制的因素施加影响审查和批准请求的变更控制申请变更的流程，在发生变更时管理批准的变更审查与批准所有的纠正与预防措施建议......8.1.2项目整体管理-12-（6）结束项目或阶段结束项目或阶段是完结所有项目管理过程组的所有活动，以正式结束项目或阶段的过程主要作用：总结经验教训，正式结束项目工作，为开展新工作而释放组织资源8.1.2项目整体管理-13-项目范围管理（ScopeManagement）就是要做范围内的事，而且只做范围内的事，既不少做也不多做8.1.3项目范围管理-14-1.项目范围的重要性项目范围管理及控制的有效性，是衡量项目是否达到成功的一个必要标准有利于项目实施中的变更控制和推进项目发展，减少责任不清的事情发生范围管理能够提高对项目成本、进度和资源估算的准确性项目范围管理影响到项目的成功8.1.3项目范围管理-15-2.项目范围管理的过程8.1.3项目范围管理-16-8.1.3项目范围管理-17-3.项目范围管理各过程的输入、输出、工具与技术进度管理方法进度管理方法——甘特图8.1.4项目时间管理-18-横轴表示时间，纵轴表示要安排的活动，线条表示在整个期间计划的和实际的活动完成情况甘特图直观地表明任务计划在什么时候进行，以及实际进展与计划要求的对比8.1.4项目时间管理-19-甘特图制作步骤进度管理方法——网络图网络图是项目活动排序的一个输出，用于展示项目中的各个活动以及活动之间的逻辑关系，表明项目任务将如何以什么顺序进行常用的网络图有PDM图、ADM图、CDM图等8.1.4项目时间管理-20-PDM（PrecedenceDiagrammingMethod）网络图称优先图法或单代号网络图构成PDM网络图的基本特点是节点，节点表示任务，箭头表示任务之间的逻辑关系8.1.4项目时间管理-21-ADM（ArrowDiagrammingMethod）网络图也称双代号网络图

箭头表示活动；节点表示前一个任务的结束，同时也表示后一个任务的开始8.1.4项目时间管理-22-CDM（ConditionalDiagrammingMethod）网络图也称条件箭线图法

允许活动序列相互循环与反馈，如一个环（如某试验需重复多次）或条件分支（例如，一旦在检查中发现错误，就要修改设计），从而在绘制网络图的过程中会形成许多条件分支。8.1.4项目时间管理-23-进度管理方法——里程碑图

8.1.4项目时间管理-24-

里程碑图显示项目进展中的重大工作的完成情况，由一系列的里程碑事件组成，是一个标志性的事件

里程碑仅仅表示事件的标记，不消耗资源和时间1.成本估算和成本估算方法项目成本的估算应该以系统项目管理、需求分析、设计、编码、测试等过程所花费的代价作为依据8.1.5项目成本管理-25-2.成本预算成本预算是将总的成本安排到各个任务中，这些任务项是基于管理信息系统功能结构划分的结果，每个任务的成本估算、进度、资源日历等可以作为成本预算的输入成本预算提供了对实际成本的一种控制机制，为项目管理者控制项目提供了一把有效的尺度8.1.5项目成本管理-26-

质量模型

质量模型,用来描述影响系统质量的特性

常见的四个质量模型:Boehm质量模型

McCall质量模型

ISO/IEC9126质量模型

ISO/IEC25010质量模型8.1.6项目质量管理-27-8.1.6项目质量管理-28-8.1.7项目人力资源管理-29-1.职能型组织机构适用于主要由一个部门完成的项目或技术比较成熟的项目8.1.7项目人力资源管理-30-2.项目型组织机构项目型组织结构中部门完全是按照项目进行设置，是一种单目标的垂直组织方式8.1.7项目人力资源管理-31-既具有职能型组织的特点，又具有项目型组织结构的特征。适用于管理规范、分工明确的公司或者跨职能部门的项目。3.矩阵型组织机构

项目沟通管理包括为确保项目信息及时且恰当地规划、收集、生成、发布、存储、检索、管理、控制、监督和最终处置所需的各个过程。

项目沟通管理的各个过程包括：（1）规划沟通管理

（2）管理沟通

（3）控制沟通8.1.8项目沟通管理-32-1.规划沟通管理规划沟通管理是根据干系人的信息需要和要求及组织的可用资产情况，制订合适的项目沟通方式和计划的过程识别和记录与干系人的最具效率且最有效果的沟通方式8.1.8项目沟通管理-33-8.1.8项目沟通管理-34-规划沟通管理：输出①项目文件更新②沟通管理计划规划沟通管理：输入①项目管理计划②干系人登记册③事业环境因素④组织过程资产2.管理沟通管理沟通是根据沟通管理计划，生成、收集、分发、储存、检索及最终处置项目信息的过程。本过程的主要作用是：促进项目干系人之间实现有效率且有效果的沟通。8.1.8项目沟通管理-35-8.1.8项目沟通管理-36-管理沟通：输出①项目沟通②项目管理计划更新③项目文件更新④组织过程资产更新管理沟通：输入①沟通管理计划②工作绩效报告③事业环境因素④组织过程资产3.控制沟通控制沟通是在整个项目生命周期中对沟通进行监督和控制的过程，以确保满足项目干系人对信息的需求。本过程的主要作用是：随时确保所有沟通参与者之间的信息流动的最优化。8.1.8项目沟通管理-37-8.1.8项目沟通管理-38-控制沟通：输出①工作绩效信息②变更请求③项目管理计划更新④项目文件更新⑤组织过程资产更新控制沟通：输入①项目管理计划②项目沟通③问题日志④工作绩效数据⑤组织过程资产项目风险管理的过程:8.1.9项目风险管理的过程（1）风险管理规划（2）风险识别（3）定性风险分析（4）定量风险分析（5）风险应对规划（6）风险监控项目风险管理的目标：增加积极事件的概率和影响，降低项目消极事件的概率和影响。

风险管理与项目管理其他过程的关系（1）风险管理与项目管理目标一致（2）风险管理为项目计划的制订提供了依据（3）通过风险分析识别、估计和评价不确定性，向项目范围管理提出任务（4）风险管理是项目成本管理的一部分（5）项目风险管理的另一内容是对风险实行有效地控制（6）项目风险管理通过风险分析，指出哪些风险同人有关8.1.9项目风险管理的过程-40-

实施完善的风险管理对项目的作用（1）了解风险对项目的影响，以便减少或分散风险（2）明确项目的各有关前提和假设（3）提高项目各种计划的可信度（4）编制应急计划时更有针对性（5）为以后的规划和设计工作提供反馈（6）为项目施工、运营选择合同形式和制订应急计划提供依据（7）从总体上使项目减少风险，保证项目目标的实现8.1.9项目风险管理的过程-41-

项目采购管理四个过程8.1.10项目采购管理-42-1.规划采购管理

输入：项目管理计划、需求文件、风险登记册、活动资源需求、项目进度计划、活动成本估算、干系人登记册、事业环境因素、组织过程资产

工具和技术：自制或外购分析、专家判断、市场调研、会议等

输出：采购管理计划、采购工作说明书、采购文件、供方选择标准、自制或外购决策、变更请求、项目文件更新等8.1.10项目采购管理-43-2.实施采购管理

输入：项目管理计划、采购文件、供方选择标准、卖方建议书、项目文件、自制或外购决策、采购工作说明书、组织过程资产

工具和技术：投标人会议、建议书评价技术、独立估算、专家判断、广告、分析技术、采购谈判

输出：选定的卖方、协议、资源日历、变更请求、项目管理计划更新、项目文件更新8.1.10项目采购管理-44-3.控制采购管理

输入：项目管理计划、采购文件、协议、批准的变更请求、工作绩效报告、工作绩效数据

工具和技术：合同变更控制系统、采购绩效审查、检查与审计、报告绩效、交付系统、索赔管理、记录管理系统

输出：工作绩效信息、变更请求、项目管理计划更新、项目文件更新、组织过程资产更新8.1.10项目采购管理-45-4.结束采购

输入：

项目管理计划、采购文件

工具和技术：

采购审计、采购谈判、记录管理系统

输出：

结束的采购、组织过程资产更新8.1.10项目采购管理-46-8.1.11项目干系人管理-47-1.识别干系人识别干系人：输入①项目章程②采购文件③环境因素④组织过程资产识别干系人：输出干系人登记手册项目干系人管理是指对项目干系人需求、希望和期望的识别，并通过沟通上的管理来满足其需要、解决其问题的过程。规划干系人管理：输入①项目管理计划②干系人登记手册③事业环境因素④组织过程资产

8.1.11项目干系人管理-48-此过程为项目干系人的互动提供清晰且可操作的计划，以支持项目利益2.规划干系人管理规划干系人管理：输出①干系人管理计划②项目文件更新3.管理干系人此过程帮助项目经理提升来自干系人的支持，并把干系人的抵制降到最低管理干系人：输入①干系人管理计划②沟通管理计划③变更日志④组织过程资产8.1.11项目干系人管理-49-管理干系人：输出①问题日志②变更请求③项目管理计划更新④项目文件更新⑤组织过程资产更新4.控制干系人参与本过程的作用是维持并提升干系人参与活动的效率和效果控制干系人参与：输入①项目管理计划②问题日志③工作绩效数据④项目文件8.1.11项目干系人管理-50-控制干系人参与：输出①工作绩效信息②变更请求③项目管理计划更新④项目文件更新⑤组织过程资产更新8.4信息系统的评价8.1信息系统的开发管理8.3信息系统的安全管理8.2信息系统的运行管理1.系统运行的组织(1)信息中心在组织中的地位与其他部门平行8.2.1运行管理制度-52-优点：信息资源可以为整个企业共享缺点：信息处理的决策能力较弱，系统运行中有关的协调和决策工作将受到影响8.2.1运行管理制度-53-(2)信息中心在组织中的地位为参谋中心优点：有利于信息资源的共享，并且在系统运行过程中便于协调和决策缺点：容易造成脱离管理或服务较差的现象2.人员配置建立项目的组织机构－项目组所有的人员必须不断提高自身素质，充实业务知识建立和健全信息系统管理体制，有效地利用运行日志等对运行的系统实行监督和控制8.2.1运行管理制度-54-1.日常运行的管理日常运行的管理工作：（1）数据的收录。包括数据收集、数据校验及数据录入（2）完成例行的信息处理及信息服务工作（3）确保各种设备始终处于正常运行的状态之下（4）系统的安全管理8.2.2日常运行管理-55-2.系统运行情况的记录在信息系统的运行过程中，需要收集和积累的资料包括的内容：有关工作数量的信息工作的效率系统所提供的信息服务的质量系统的维护修改情况系统的故障情况8.2.2日常运行管理-56-3.应急措施落实的审查制定应付突发事件的应急计划资源备份，包括数据备份和设备备份，数据备份是必需的，在关键的领域中还必须对设备进行备份数据备份的方法有：全盘备份，增量备份，基本备份8.2.2日常运行管理-57-8.2.3系统维护-58-1.系统维护的内容2.系统维护的类型依据信息系统需要维护的原因不同，可分为四种类型:8.2.3系统维护-59-3.系统维护管理系统的修改必须通过一定的批准手续，通常对系统的修改应执行以下步骤：8.2.3系统维护-60-8.4信息系统的评价8.1信息系统的开发管理8.3信息系统的安全管理8.2信息系统的运行管理

8.3.1信息系统面临的威胁信息系统根据重要程度，遭到破坏后的危害程度由低到高划分为五级:第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益第二级，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全第三极，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害第四级，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害第五级，会对国家安全造成特别严重损害8.3.2信息系统的保护等级及安全管理需求8.3.2信息系统的保护等级及安全管理需求-64-1.安全管理原则

2.安全管理的实现信息系统的安全管理部门制定相应的管理制度或采用相应的规范，具体工作如下：（1）根据工作的重要程度，确定该系统的安全等级（2）根据确定的安全等级，确定安全管理的范围（3）制定相应的机房出入管理制度（4）制定严格的操作规程（5）制定完备的系统维护制度（6）制定应急措施8.3.2信息系统的保护等级及安全管理需求-65-

8.3.3信息系统的安全策略安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则，安全策略包括三个重要组成部分

8.4信息系统的评价8.1信息系统的开发管理8.3信息系统的安全管理8.2信息系统的运行管理1.系统技术性能的评价对系统的技术性能的评价主要针对系统的目标、功能、性能及运行方式进行评价,性能的评价是系统评价的主要工作部分，在评价中通常从如下几方面进行：8.4.1系统评价的主要内容-68-（1）系统的完整性（2）系统的可靠性（3）系统的效率（4）系统的工作质量（5）系统的灵活性（6）系统的通用性（7）系统的实用性（8）系统文档的完备性2.系统经济效益的评价（1）直接经济效益评价直接经济效益，指使企业收入增加和成本下降的收益评价内容：

①系统的投资额

②系统运行费用

③系统运行所带来的新增效益

④投资回收期8.4.1系统评价的主要内容-69-2.系统经济效益的评价（2）间接经济效益评价系统对提高企业科学管理水平，增强企业竞争力以及提高管理人员素质等带来的收益评价内容：

①对企业形象的改观、员工素质的提高所起的作用

②对企业的体制与组织机构的改革、管理流程的优化所起的作用

③对企业各部门间、人员间协作精神的加强所起的作用8.4.1系统评价的主要内容-70-3.系统管理水平的评价管理水平是指对系统认识和管理工作的检查系统评价内容：①领导和各级管理人员对系统的认识水平②使用者对系统的态度③管理机构是否健全④规章制度的建立和执行情况⑤外部环境对系统的评价8.4.1系统评价的主要内容-71-系统评价的主要指标：系统性能指标和经济效益指标1.系统性能指标8.4.2系统性能指标-72-2.经济效益指标经济效益指标分为两大类：直接经济效益指标和间接经济效益指标（1）直接经济效益指标8.4.2系统评价的指标体系-73-

（2）间接经济效益指标

间接经济效益是通过改进组织结构及运行方式，提高企业科学管理水平，增加企业竞争力以及提高管理人员素质等途径，使企业成本降低、利润增加而逐渐地间接地获得的效益

特点是成因复杂，难于计算，一般只能定性分析

8.4.2系统评价的指标体系-74-与间接经济效益有关的指标①在推动组织为适应环境而进行组织结构、管理制度与管理模式的变革中所起的作用；②改善企业形象，提高在客户心目中的信任度，增强企业的行业竞争力；③树立不断学习、不断创新的企业文化环境，全面提高员工的素质；④加强企业内部各职能部门间的联系与信息共享，树立团队精神和协作精神；⑤提高企业对市场的适应能力；8.4.2系统评价的指标体系-75-第9章管理信息系统安全学习目标-78-1．理解信息安全的基本内容2．熟悉信息安全的主流技术3．了解信息安全的法律和法规9.1信息安全的基本概念9.3信息安全法律和法规9.2信息安全技术信息安全是指保证信息系统资源不受自然和人为等有害因素的威胁和危害由于管理信息系统既是一个技术系统，又是一个社会系统，因此，其安全问题不仅涉及到技术，还涉及到社会人文环境，如法律法规建设、社会道德、伦理、文化管理等多方面的问题9.1.1信息安全的基本概念管理信息系统安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断管理信息系统的安全包括有两部分的内容系统自身的安全系统的安全保护9.1.1信息安全的基本概念管理信息系统安全管理的目标：信息的真实性：系统的信息资源真实、可靠信息的保密性：信息资源必须按照拥有者的要求保密，防止信息在没有授权的情况下被访问信息的完整性：信息在存储和传输过程中，不能被非法地篡改、破坏，也不能被偶然、无意地修改信息的可用性：指在任何情况下，经过授权的用户能存取所需的信息，并能够享受到系统提供的服务，保证合法用户对信息资源的使用不会被不正当地拒绝不可否认性：信息的发送方不能否认已发送的信息，接收方不能否认已接收到的信息信息的可控制性：信息的可控制性是指对信息的传播及内容具有控制能力信息的可审查性：对出现的网络安全问题提供调查的依据和手段9.1.1信息安全的基本概念影响管理信息系统安全的因素环境、自然条件的影响：如水灾、火灾、地震、雷电、强磁场、强电子脉冲等危害通信网络的原因：搭线窃听，远程监控、攻击破坏，有可能来自与网络相通的任何地点、任何终端信息技术本身的不完善信息技术犯罪手段日趋先进敌对势力的攻击9.1.1信息安全的基本概念个人信息安全是指公民身份、财产等个人信息的安全状况。个人信息主要包括以下类别：基本信息：为了完成大部分网络行为，消费者会根据服务商要求提交包括姓名、性别、年龄、身份证号码、电话号码、Email地址及家庭住址等在内的个人基本信息，有时甚至会包括婚姻、信仰、职业、工作单位、收入等相对隐私的个人基本信息设备信息：消费者所使用的各种计算机终端设备（包括移动和固定终端）的基本信息，如位置信息、WiFi列表信息、Mac地址、CPU信息、内存信息、SD卡信息、操作系统版本等账户信息：包括网银帐号、第三方支付帐号，社交帐号和重要邮箱帐号等隐私信息：包括通讯录信息、通话记录、短信记录、IM应用软件聊天记录、个人视频、照片等社会关系信息：包括好友关系、家庭成员信息、工作单位信息等网络行为信息：上网行为记录，消费者在网络上的各种活动行为，如上网时间、上网地点、输入记录、聊天交友、网站访问行为、网络游戏行为等个人信息9.1.2信息系统与个人信息安全加密技术是实现信息保密性的一种重要手段，目的是防止合法接受者之外的人获取信息系统的机密信息。所谓信息加密技术就是采用数学方法对原始信息（明文M）进行重新编码（加密），使得加密后的信息在网上公开传输的内容对于非法接收者是一种不可理解的形式（密文Mˊ）。而对于合法接收者可用掌握的正确密钥对密文进行加密逆运算过程（解密），即将密文还原成原始信息（明文）。9.2.1信息加密技术加密技术包括两个元素：算法和密钥。算法（如：T(M，K)）是将明文（M）加密或解密的一步一步的过程。这个过程需要一串数字的结合，这串数字就是密钥（如：K）。算法和密钥在加密和解密过程中缺一不可。由于设计加密算法是很困难的，不可能给出大量的加密算法，但是我们可以通过密钥的变化来达到向多个信息接收方发送密文的需要，也就是说加密技术的关键是密钥。如果密文被破译，也只需换一个密钥就能解决问题。9.2.1信息加密技术密码体制分类私钥加密系统又称为对称密钥系统，即私钥加密的加密密钥和解密密钥是相同，加密算法与解密算法互为逆运算。私钥加密体制的典型代表是美国的数据加密标准（DataEncryptionStandard，DES）。9.2.1信息加密技术密码体制分类公钥和私钥加密系统（又称为非对称密钥系统）。该系统使用两个钥匙，其中一个用于加密（称为公钥），另一个用于解密（称为私钥）。非对称加密算法以RSA算法最为代表性，是由Rivest、Shamir、Ad1eman发明的。非对称的密钥是成对出现的两个巨大的质数，用其中的一个质数（公钥）与原信息相乘，对信息加密形成密文。可以用另一个质数（私钥）与收到的信息（密文）相乘来解密。而任何一个人都不能由一个质数求出另一个质数，也就是说非对称算法是不可逆的。9.2.1信息加密技术认证与认证系统是为了防止消息被篡改、删除、重放和伪造的一种有效方法，使接收者能够识别和确认消息的真伪认证是信息安全的一个重要方面，加密保证了交易信息的机密性，认证则保证了信息的真实性、完整性和不可否认性一个安全的认证系统应满足防伪造、防抵赖、防窃听、防篡改的要求9.2.2认证技术用户的身份认证可以通过三种基本方式或其组合的方式来实现个人所掌握的密码、口令等。个人的身份证、护照、信用卡、钥匙等个人特征：包括容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律，以及在外界刺激下的反应等9.2.2认证技术信息摘要技术信息摘要方法也称安全Hash编码法或MD5，用来验证信息的完整性信息摘要是单向Hash加密算法对一个信息作用的结果，它有固定的长度，且是唯一对应该消息的值发送端将信息和摘要一同发送，接收端收到后，用Hash函数对收到的信息加密产生一个摘要，再与收到的摘要对比，若相同，则说明收到的信息是完整的，在传送的过程中没有被修改，否则，就是被修改过，不是原信息9.2.2认证技术数字签名技术数字签名必须保证以下三点：接收者能够核实发送者对报文的签名；发送者事后不能抵赖对报文的签名；接收者不能伪造对报文的签名。数字签名技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要，然后用Hash函数对收到的原文产生一个摘要，与解密的摘要对比，若相同，则说明收到的信息是完整的，在传送的过程中没有被修改，否则，就是被修改过，不是原信息。同样，也证明发送者不能否认自己发送了信息9.2.2认证技术数字时间戳技术交易文件中，时间和签名一样是十分重要的证明文件有效性的内容数字时间戳就是用来证明消息的收发时间的数字时间戳的形成过程是：首先用户将需要加时间戳的文件用Hash函数加密生成摘要，然后将摘要发送到专门提供数字时间戳服务的权威机构，该机构对原摘要加上时间后进行数字签名（用私钥加密），并发送给原用户9.2.2认证技术数字证书技术认证中心（CA）：认证中心构建一套由公开密钥技术、数字证书、证书发放机构和关于公开密钥的安全策略基本成分共同组成的安全技术系统，这套系统称之为公钥基础设施（PublicKeyInfrastructure，PKI）。PKI采用数字证书管理公钥，它把用户的公钥和用户的其它标记信息捆绑在一起，在Internet上验证用户的身份认证中心的数字认证系统主要由以下三部分组成：在客户端面向证书用户的数字证书申请、查询和下载系统；在注册审批（RA）部门由RA管理员对证书申请进行审批的证书授权系统；在认证部门的控制台，签发用户证书的证书签发系统。数字认证中心具有五种基本功能：证书的颁发、更新、查询、归档和作废，解决网上用户身份认证和信息安全传输的问题9.2.2认证技术数字证书数字证书又称为数字标识，是标识证书持有者信息的一系列数据。它提供了一种在互联网上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件。通俗地讲，数字证书就是个人或单位在互联网的身份证。数字证书包含以下的内容：证书拥有者的姓名证书拥有者的公钥公钥的有效期颁发数字证书的单位颁发数字证书的单位的签名数字证书序列号9.2.2认证技术按照数字证书的颁发对象不同，数字证书主要分为：个人数字证书：仅仅为某个用户提供凭证，以帮助其个人在网络上进行安全交易操作。个人数字证书主要用于标识证书所有人的身份，包含了个人的身份信息及其公钥，如用户姓名、证件号码、身份类型等，可用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动机构数字证书：用于标识数字证书机构所有者的身份，包含机构的相关信息及其公钥，如：企业名称、组织机构代码等，可用于机构在电子商务、电子政务应用中进行合同签订、网上支付、行政审批、网上办公等各类活动设备数字证书：用于在网络应用中标识网络设备的身份，主要包含了设备的相关信息及其公钥，如：域名、网址等，可用于VPN服务器、WEB服务器等各种网络设备在网络通讯中标识和验证设备身份软件（开发者）数字证书：它是签发给软件提供者的数字证书，包含了软件提供者的身份信息及其公钥，主要用于证明软件发布者所发行的软件代码来源于一个真实软件发布者，可以有效防止软件代码被篡改9.2.2认证技术为了保护企业内部信息资源的安全，一般如下三方面采取措施：防止外部入侵，控制和监督外部用户对企业的内部网的非法访问控制、监督和管理企业内部对外部Internet的访问检测、记录网络内部用户的未授权活动9.2.3防火墙技术防火墙技术就是用来保护内部的网络不受来自外界的侵害，主要用来实现网络路由的安全性。网络路由的安全性包括两个方面：限制外部网对内部网的访问，从而保护内部网特定资源免受非法侵害。限制内部网对外部网的访问，主要是针对一些不健康信息及敏感信息的访问。防火墙，是指一个由软件和硬件设备组合而成的，在内部网和外部网之间的界面上构造的一个保护层，并强制所有的连接都必须在这个保护层上进行检查和连接。9.2.3防火墙技术防火墙可以划分为两种类型：一种是基于包过滤，另一种是基于代理服务包过滤防火墙：包过滤防火墙可以动态检查流过的TCP/IP报文头，检查报文头中的报文类型、源IP地址、目的IP地址、源端口号等域，根据规则决定哪些报文允许通过，哪些报文禁止通过9.2.3防火墙技术代理服务型防火墙：代理服务型防火墙使用一个客户程序与特定的中间结点（防火墙）连接，然后中间结点与服务器进行连接，在内部网和外部网之间建立一个物理屏障。9.2.3防火墙技术复合型防火墙：这种防火墙是把前两类防火墙结合起来，形成新的产品，以发挥各自的优势，克服各自的缺点，来满足更高安全性的要求。防火墙技术的优点保护那些易受攻击的服务控制对特殊站点的访问集中化的安全管理对网络访问进行记录9.2.3防火墙技术美国：1946年《原子能法》1947年《国家安全法》1966年《信息自由法》2000年《关于保护信息系统的国家计划》2009年《美国网络安全评估》2011年《可信网络空间身份标识国家战略》（正式稿）和《网络空间国际战略》9.3.1国外相关法律与法规日本：2010年《保卫国民信息安全战略2010-2013》欧盟：通过立法强调防范恐怖袭击和网络犯罪，保护信息基础设施等俄罗斯：明确建立信息安全保障体系，在国际上协同相关国家制定信息安全国际规则韩国：《国家网络安全总体规划》要求建立“三线防御体系”。联合国：从国际安全层面关注信息安全，成立政府专家组，强调各国的协同合作。9.3.1国外相关法律与法规相关法律2000年《全国人民代表大会常务委员会关于维护互联网安全的决定》2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》2016年《中华人民共和国网络安全法》2018年《中华人民共和国电子商务法》2019年《中华人民共和国电子签名法》（2019年修正）9.3.2国内相关法律与法规行政法规《中华人民共和国计算机信息网络国际联网管理暂行规定》《中华人民共和国无线电管制规定》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《互联网信息服务管理办法》《计算机软件保护条例》《信息网络传播权保护条例》《中华人民共和国电信条例》《互联网上网服务营业场所管理条例》9.3.2国内相关法律与法规阅读案例：信息系统安全案例根据提供的背景资料，收集相关数据和资料，对下面的问题的进行分析。1．查阅相关资料，分析信息系统运行安全威胁来自那些方面？2．从技术和非技术两方面分析产生信息安全威胁的原因。3．查阅相关资料，分析和汇总当前防范信息系统安全的措施有哪些？我们应当如何应对信息系统的安全问题？4.部分网站要求你同意同意或接受其Cookie的使用，你如何看待Cookie？5.根据案例谈谈你对个人信息安全的认识，如何保护个人信息。案例分析-106-1．影响管理信息系统安全的主要因素2．信息安全的主流技术3.国内信息安全的主要法律规范本章重点-107-习题1.什么是信息安全？信息安全的主要内容有哪些？2.为保证个人信息安全，我们可以采取哪些技术？3.通过互联网查找资料，应用实例分析影响管理信息系统的安全因素。4.防火墙技术的基本思路、技术特点和应用特征是什么？5.描述信息加密技术的基本原理及传输过程。6.信息系统中的认证技术的作用是什么?7.查阅“中国裁判文书网”某个有关个人信息安全的案件，谈谈你对信息安全的认识。第10章信息道德和社会责任学习目标-111-1．理解信息道德的含义2．理解隐私保护的基本概念3．了解知识产权的基本内容4．理解信息系统与企业社会责任的关系10.4信息系统与企业社会责任10.1管理信息系统与道德10.3知识产权与计算机犯罪10.2隐私保护与职业道德信息道德的含义信息道德是指在信息的采集、加工、存储、传播和利用等信息活动各个环节中，用来规范其间产生的各种社会关系的道德意识、道德规范和道德行为的总和10.1管理信息系统与道德信息系统引发的道德问题信息的权利和义务：个体和组织相对于他们自己来讲具有什么样的信息权利？他们能保护什么？财产的权利和义务：即对于传统的知识产权，在数字社会中如何进行保护？系统质量：为保护个人的权利和社会的安全，我们需要什么样的数据标准与系统质量？生活质量：在以信息和知识为基础的社会中，应当保留什么样的价值观？责任和控制：对于个体和集体的信息、产权的伤害。谁能以及谁要负起责任和义务？10.1管理信息系统与道德隐私保护一般而言，隐私是指个人不愿为他人所知晓和干预的私人生活隐私是指私人生活安宁不受他人非法干扰，私人信息保密不受他人非法搜集、刺探和公开隐私包括私生活安宁和私生活秘密两个方面10.2隐私保护与职业道德职业道德人们在进行职业活动过程中，一切符合职业要求的心理意识、行为准则和行为规范的总和一种内在的、非强制性的约束机制。是用来调整职业个人、职业主体和社会成员之间关系的行为准则和行为规范广义的职业道德是指从业人员在职业活动中应该遵循的行为准则，涵盖了从业人员与服务对象、职业与职工、职业与职业之间的关系狭义的职业道德是指在一定职业活中应遵循的、体现一定职业特征的、调整一定职业关系的职业行为准则和规范不同的职业人员在特定的职业活动中形成了特殊的职业关系，包括了职业主体与职业服务对象之间的关系、职业团体之间的关系、同一职业团体内部人与人之间的关系，以及职业劳动者、职业团体与国家之间的关系10.2隐私保护与职业道德知识产权民事主体对其创造性的智力劳动成果、商业标志及其他具有商业价值的信息依法所享有的专有权