管理信息系统中的关键问题-(第5章)

第5章

管理信息系统中的关键问题

5.1信息安全及系统开发关键环节一、信息安全管理体系（1）信息安全管理体系标准

BS7799定义的信息安全CIA三原则:机密性（Confidentiality）：信息只允许授权用户使用完整性（Integrity）：信息在处理、使用过程中保持原有的完整和精确可用性（Availability）：授权用户在需要时能可靠而及时地访问所需信息信息的可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等原则是对CIA原则的细化和补充。

5.1信息安全及系统开发关键环节（2）信息安全管理过程

5.1信息安全及系统开发关键环节（3）信息安全体系结构

5.1信息安全及系统开发关键环节二、信息安全管理的实施

（1）信息安全管理的内容①资源硬件资源软件数据用户演示程序支持设备5.1信息安全及系统开发关键环节②威胁威胁的类型示例计算机环境自然和物理火灾、水灾、高温、风暴、地震、停电无意的不知情的员工、不知情的客户的错误操作故意的黑客、间谍、恶意代码等人为破坏网络偶然的网线接头接触不良导致无法正常通讯，系统管理员偶然操作失误导致网络不通等有意图的安装木马、安装监听程序等安全漏洞物理的未锁门窗、安防系统失灵自然的灭火系统失灵等硬件和软件防病毒软件过期媒介及通信电干扰，通信过程中信息未加密人为不可靠的技术支持5.1信息安全及系统开发关键环节③信息安全的内容计算机系统安全网络安全数据库安全病毒防护访问控制加密

5.1信息安全及系统开发关键环节（2）信息安全措施①计算机安全审计软件跟踪和记录跟踪和记录操作者的操作行为在计算机中安装软件防火墙对硬盘进行加密关闭端口，避免向移动硬盘或优盘拷贝文件为计算机设定密码口令，并定期更换在计算机操作系统中进行安全设置，如对注册表的管理、设置帐号及口令并定期更换、安装杀毒软件及其它安全防护软件对应用软件本身进行安全保密

5.1信息安全及系统开发关键环节②网络安全——防火墙包过滤（Packetfiltering）型防火墙：过滤数据包，即根据数据包发送的源地址、目的地址、端口号和协议类型等标志确定是否允许这个数据包通过；应用代理（ApplicationProxy）型防火墙：也叫应用网关（ApplicationGateway），它是一个监控程序，运用它能够监视并控制每种使用网络的应用软件的通信流的状态，从而起到有效“阻隔”可疑软件进行网络访问的作用。

5.1信息安全及系统开发关键环节③数据库安全最外层的安全防护是用户标识和鉴别

中间层的安全防护是存取控制机制最底层的安全机制是对存储在数据库中的数据实施加密

5.1信息安全及系统开发关键环节④物理和环境安全防火防水防雷监控门禁温度湿度5.1信息安全及系统开发关键环节（3）安全管理①提出安全管理的需求

②安全管理体系总体设计③制定安全管理制度④信息安全监督⑤信息安全管理的评审与改进5.1信息安全及系统开发关键环节三、系统开发与运行过程的关键环节（1）需求的分析和确认5.1信息安全及系统开发关键环节（2）数据库的运用①数据的组织结构②数据的完整性约束

③数据的分类体系5.1信息安全及系统开发关键环节（3）信息系统开发和运行过程的管理①开发文档②CMM与CMMI③信息系统工程监理5.2个人信息保护一、个人信息保护概述（1）个人信息的类型①个人的自然属性②个人生活及活动信息③网络虚拟社区中的个人信息5.2个人信息保护（2）个人信息保护现状个人信息具有可识别特性，通过了解个人的喜好、生活习惯、消费习惯、个人需求等等，为商家的产品市场定位、市场细分、个性化服务等提供依据，进而创造获得利润的机会，因此个人信息是有价值的资源个人信息实际上就是一个人的“国家机密”

5.2个人信息保护（3）个人信息保护的范畴①电子政务

②电子商务③业务系统④外包业务5.2个人信息保护（4）个人信息保护原则①收集限制原则（CollectionLimitationPrinciple）

②数据质量原则（DataQualityPrinciple）

③目的明确化原则（PurposeSpecificationPrinciple）

④利用限制原则（UseLimitationPrinciple）

⑤安全保护原则（SecuritySafeguardsPrinciple）⑥公开原则（OpennessPrinciple）

⑦个人参与原则（IndividualParticipationPrinciple）

⑧责任原则（AccountabilityPrinciple）

5.2个人信息保护二、个人信息保护的应用

（1）电子政务中的个人信息保护①电子政务中的个人信息

②个人信息面临的危害与冲突——“管制型”转为“服务型”③电子政务系统中的个人信息保护策略基于公共利益的个人信息优先公开基于商业利益的个人信息限制公开

基于个人利益的个人信息适当公开5.2个人信息保护（2）电子商务中的个人信息保护

①个人信息的来源②个人信息的威胁③个人信息的保护策略网站自律声明个人信息的使用限制，避免过多地收集那些与注册、购物等商务活动无关的个人背景信息，避免过度开发和利用个人信息个人信息管理的说明，包括信息的拥有权、使用权、控制权

个人信息共享限制5.2个人信息保护三、个人信息保护评价（1）个人信息保护评价与认证（2）个人信息保护评价指标

①管理机构②管理机制

③过程管理④个人信息安全⑤个人信息保护监察5.2个人信息保护（3）个人信息保护的评价过程评价前要确定评价指标和权重，制定评价规则，实施评价后还要对评价结果进行分析和评判，对评价过程要实施有效的管理评价流程包括评价前的准备、资格申报、现场评价、评价结果公示等阶段

5.3数据维护与信息管理者的职业道德

一、数据维护（1）数据维护的内容维护数据库的数据和以文件形式存储的数据对存储介质进行维护（2）数据的内容维护

①数据的备份与恢复机制②数据库的安全性与完整性控制机制③数据库性能监测和改善④数据库的重组和重构5.3数据维护与信息管理者的职业道德（3）数据维护的管理

①数据维护流程②数据维护文档5.3数据维护与信息管理者的职业道德二、