管理信息系統(tǒng)中的關(guān)鍵問題-(第5章)

第5章

管理信息系統(tǒng)中的關(guān)鍵問題

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)一、信息安全管理體系（1）信息安全管理體系標(biāo)準(zhǔn)

BS7799定義的信息安全CIA三原則:機(jī)密性（Confidentiality）：信息只允許授權(quán)用戶使用完整性（Integrity）：信息在處理、使用過程中保持原有的完整和精確可用性（Availability）：授權(quán)用戶在需要時(shí)能可靠而及時(shí)地訪問所需信息信息的可追溯性（Accountability）、抗抵賴性（Non-repudiation）、真實(shí)性（Authenticity）、可控性（Controllable）等原則是對(duì)CIA原則的細(xì)化和補(bǔ)充。

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)（2）信息安全管理過程

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)（3）信息安全體系結(jié)構(gòu)

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)二、信息安全管理的實(shí)施

（1）信息安全管理的內(nèi)容①資源硬件資源軟件數(shù)據(jù)用戶演示程序支持設(shè)備5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)②威脅威脅的類型示例計(jì)算機(jī)環(huán)境自然和物理火災(zāi)、水災(zāi)、高溫、風(fēng)暴、地震、停電無意的不知情的員工、不知情的客戶的錯(cuò)誤操作故意的黑客、間諜、惡意代碼等人為破壞網(wǎng)絡(luò)偶然的網(wǎng)線接頭接觸不良導(dǎo)致無法正常通訊，系統(tǒng)管理員偶然操作失誤導(dǎo)致網(wǎng)絡(luò)不通等有意圖的安裝木馬、安裝監(jiān)聽程序等安全漏洞物理的未鎖門窗、安防系統(tǒng)失靈自然的滅火系統(tǒng)失靈等硬件和軟件防病毒軟件過期媒介及通信電干擾，通信過程中信息未加密人為不可靠的技術(shù)支持5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)③信息安全的內(nèi)容計(jì)算機(jī)系統(tǒng)安全網(wǎng)絡(luò)安全數(shù)據(jù)庫安全病毒防護(hù)訪問控制加密

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)（2）信息安全措施①計(jì)算機(jī)安全審計(jì)軟件跟蹤和記錄跟蹤和記錄操作者的操作行為在計(jì)算機(jī)中安裝軟件防火墻對(duì)硬盤進(jìn)行加密關(guān)閉端口，避免向移動(dòng)硬盤或優(yōu)盤拷貝文件為計(jì)算機(jī)設(shè)定密碼口令，并定期更換在計(jì)算機(jī)操作系統(tǒng)中進(jìn)行安全設(shè)置，如對(duì)注冊(cè)表的管理、設(shè)置帳號(hào)及口令并定期更換、安裝殺毒軟件及其它安全防護(hù)軟件對(duì)應(yīng)用軟件本身進(jìn)行安全保密

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)②網(wǎng)絡(luò)安全——防火墻包過濾（Packetfiltering）型防火墻：過濾數(shù)據(jù)包，即根據(jù)數(shù)據(jù)包發(fā)送的源地址、目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許這個(gè)數(shù)據(jù)包通過；應(yīng)用代理（ApplicationProxy）型防火墻：也叫應(yīng)用網(wǎng)關(guān)（ApplicationGateway），它是一個(gè)監(jiān)控程序，運(yùn)用它能夠監(jiān)視并控制每種使用網(wǎng)絡(luò)的應(yīng)用軟件的通信流的狀態(tài)，從而起到有效“阻隔”可疑軟件進(jìn)行網(wǎng)絡(luò)訪問的作用。

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)③數(shù)據(jù)庫安全最外層的安全防護(hù)是用戶標(biāo)識(shí)和鑒別

中間層的安全防護(hù)是存取控制機(jī)制最底層的安全機(jī)制是對(duì)存儲(chǔ)在數(shù)據(jù)庫中的數(shù)據(jù)實(shí)施加密

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)④物理和環(huán)境安全防火防水防雷監(jiān)控門禁溫度濕度5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)（3）安全管理①提出安全管理的需求

②安全管理體系總體設(shè)計(jì)③制定安全管理制度④信息安全監(jiān)督⑤信息安全管理的評(píng)審與改進(jìn)5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)三、系統(tǒng)開發(fā)與運(yùn)行過程的關(guān)鍵環(huán)節(jié)（1）需求的分析和確認(rèn)5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)（2）數(shù)據(jù)庫的運(yùn)用①數(shù)據(jù)的組織結(jié)構(gòu)②數(shù)據(jù)的完整性約束

③數(shù)據(jù)的分類體系5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)（3）信息系統(tǒng)開發(fā)和運(yùn)行過程的管理①開發(fā)文檔②CMM與CMMI③信息系統(tǒng)工程監(jiān)理5.2個(gè)人信息保護(hù)一、個(gè)人信息保護(hù)概述（1）個(gè)人信息的類型①個(gè)人的自然屬性②個(gè)人生活及活動(dòng)信息③網(wǎng)絡(luò)虛擬社區(qū)中的個(gè)人信息5.2個(gè)人信息保護(hù)（2）個(gè)人信息保護(hù)現(xiàn)狀個(gè)人信息具有可識(shí)別特性，通過了解個(gè)人的喜好、生活習(xí)慣、消費(fèi)習(xí)慣、個(gè)人需求等等，為商家的產(chǎn)品市場(chǎng)定位、市場(chǎng)細(xì)分、個(gè)性化服務(wù)等提供依據(jù)，進(jìn)而創(chuàng)造獲得利潤(rùn)的機(jī)會(huì)，因此個(gè)人信息是有價(jià)值的資源個(gè)人信息實(shí)際上就是一個(gè)人的“國家機(jī)密”

5.2個(gè)人信息保護(hù)（3）個(gè)人信息保護(hù)的范疇①電子政務(wù)

②電子商務(wù)③業(yè)務(wù)系統(tǒng)④外包業(yè)務(wù)5.2個(gè)人信息保護(hù)（4）個(gè)人信息保護(hù)原則①收集限制原則（CollectionLimitationPrinciple）

②數(shù)據(jù)質(zhì)量原則（DataQualityPrinciple）

③目的明確化原則（PurposeSpecificationPrinciple）

④利用限制原則（UseLimitationPrinciple）

⑤安全保護(hù)原則（SecuritySafeguardsPrinciple）⑥公開原則（OpennessPrinciple）

⑦個(gè)人參與原則（IndividualParticipationPrinciple）

⑧責(zé)任原則（AccountabilityPrinciple）

5.2個(gè)人信息保護(hù)二、個(gè)人信息保護(hù)的應(yīng)用

（1）電子政務(wù)中的個(gè)人信息保護(hù)①電子政務(wù)中的個(gè)人信息

②個(gè)人信息面臨的危害與沖突——“管制型”轉(zhuǎn)為“服務(wù)型”③電子政務(wù)系統(tǒng)中的個(gè)人信息保護(hù)策略基于公共利益的個(gè)人信息優(yōu)先公開基于商業(yè)利益的個(gè)人信息限制公開

基于個(gè)人利益的個(gè)人信息適當(dāng)公開5.2個(gè)人信息保護(hù)（2）電子商務(wù)中的個(gè)人信息保護(hù)

①個(gè)人信息的來源②個(gè)人信息的威脅③個(gè)人信息的保護(hù)策略網(wǎng)站自律聲明個(gè)人信息的使用限制，避免過多地收集那些與注冊(cè)、購物等商務(wù)活動(dòng)無關(guān)的個(gè)人背景信息，避免過度開發(fā)和利用個(gè)人信息個(gè)人信息管理的說明，包括信息的擁有權(quán)、使用權(quán)、控制權(quán)

個(gè)人信息共享限制5.2個(gè)人信息保護(hù)三、個(gè)人信息保護(hù)評(píng)價(jià)（1）個(gè)人信息保護(hù)評(píng)價(jià)與認(rèn)證（2）個(gè)人信息保護(hù)評(píng)價(jià)指標(biāo)

①管理機(jī)構(gòu)②管理機(jī)制

③過程管理④個(gè)人信息安全⑤個(gè)人信息保護(hù)監(jiān)察5.2個(gè)人信息保護(hù)（3）個(gè)人信息保護(hù)的評(píng)價(jià)過程評(píng)價(jià)前要確定評(píng)價(jià)指標(biāo)和權(quán)重，制定評(píng)價(jià)規(guī)則，實(shí)施評(píng)價(jià)后還要對(duì)評(píng)價(jià)結(jié)果進(jìn)行分析和評(píng)判，對(duì)評(píng)價(jià)過程要實(shí)施有效的管理評(píng)價(jià)流程包括評(píng)價(jià)前的準(zhǔn)備、資格申報(bào)、現(xiàn)場(chǎng)評(píng)價(jià)、評(píng)價(jià)結(jié)果公示等階段

5.3數(shù)據(jù)維護(hù)與信息管理者的職業(yè)道德

一、數(shù)據(jù)維護(hù)（1）數(shù)據(jù)維護(hù)的內(nèi)容維護(hù)數(shù)據(jù)庫的數(shù)據(jù)和以文件形式存儲(chǔ)的數(shù)據(jù)對(duì)存儲(chǔ)介質(zhì)進(jìn)行維護(hù)（2）數(shù)據(jù)的內(nèi)容維護(hù)

①數(shù)據(jù)的備份與恢復(fù)機(jī)制②數(shù)據(jù)庫的安全性與完整性控制機(jī)制③數(shù)據(jù)庫性能監(jiān)測(cè)和改善④數(shù)據(jù)庫的重組和重構(gòu)5.3數(shù)據(jù)維護(hù)與信息管理者的職業(yè)道德（3）數(shù)據(jù)維護(hù)的管理

①數(shù)據(jù)維護(hù)流程②數(shù)據(jù)維護(hù)文檔5.3數(shù)據(jù)維護(hù)與信息管理者的職業(yè)道德二、