第5章

管理信息系統(tǒng)中的關(guān)鍵問題

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)一、信息安全管理體系（1）信息安全管理體系標(biāo)準

BS7799定義的信息安全CIA三原則:機密性（Confidentiality）：信息只允許授權(quán)用戶使用完整性（Integrity）：信息在處理、使用過程中保持原有的完整和精確可用性（Availability）：授權(quán)用戶在需要時能可靠而及時地訪問所需信息信息的可追溯性（Accountability）、抗抵賴性（Non-repudiation）、真實性（Authenticity）、可控性（Controllable）等原則是對CIA原則的細化和補充。

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)（2）信息安全管理過程

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)（3）信息安全體系結(jié)構(gòu)

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)二、信息安全管理的實施

（1）信息安全管理的內(nèi)容①資源硬件資源軟件數(shù)據(jù)用戶演示程序支持設(shè)備5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)②威脅威脅的類型示例計算機環(huán)境自然和物理火災(zāi)、水災(zāi)、高溫、風(fēng)暴、地震、停電無意的不知情的員工、不知情的客戶的錯誤操作故意的黑客、間諜、惡意代碼等人為破壞網(wǎng)絡(luò)偶然的網(wǎng)線接頭接觸不良導(dǎo)致無法正常通訊，系統(tǒng)管理員偶然操作失誤導(dǎo)致網(wǎng)絡(luò)不通等有意圖的安裝木馬、安裝監(jiān)聽程序等安全漏洞物理的未鎖門窗、安防系統(tǒng)失靈自然的滅火系統(tǒng)失靈等硬件和軟件防病毒軟件過期媒介及通信電干擾，通信過程中信息未加密人為不可靠的技術(shù)支持5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)③信息安全的內(nèi)容計算機系統(tǒng)安全網(wǎng)絡(luò)安全數(shù)據(jù)庫安全病毒防護訪問控制加密

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)（2）信息安全措施①計算機安全審計軟件跟蹤和記錄跟蹤和記錄操作者的操作行為在計算機中安裝軟件防火墻對硬盤進行加密關(guān)閉端口，避免向移動硬盤或優(yōu)盤拷貝文件為計算機設(shè)定密碼口令，并定期更換在計算機操作系統(tǒng)中進行安全設(shè)置，如對注冊表的管理、設(shè)置帳號及口令并定期更換、安裝殺毒軟件及其它安全防護軟件對應(yīng)用軟件本身進行安全保密

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)②網(wǎng)絡(luò)安全——防火墻包過濾（Packetfiltering）型防火墻：過濾數(shù)據(jù)包，即根據(jù)數(shù)據(jù)包發(fā)送的源地址、目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許這個數(shù)據(jù)包通過；應(yīng)用代理（ApplicationProxy）型防火墻：也叫應(yīng)用網(wǎng)關(guān)（ApplicationGateway），它是一個監(jiān)控程序，運用它能夠監(jiān)視并控制每種使用網(wǎng)絡(luò)的應(yīng)用軟件的通信流的狀態(tài)，從而起到有效“阻隔”可疑軟件進行網(wǎng)絡(luò)訪問的作用。

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)③數(shù)據(jù)庫安全最外層的安全防護是用戶標(biāo)識和鑒別

中間層的安全防護是存取控制機制最底層的安全機制是對存儲在數(shù)據(jù)庫中的數(shù)據(jù)實施加密

5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)④物理和環(huán)境安全防火防水防雷監(jiān)控門禁溫度濕度5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)（3）安全管理①提出安全管理的需求

②安全管理體系總體設(shè)計③制定安全管理制度④信息安全監(jiān)督⑤信息安全管理的評審與改進5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)三、系統(tǒng)開發(fā)與運行過程的關(guān)鍵環(huán)節(jié)（1）需求的分析和確認5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)（2）數(shù)據(jù)庫的運用①數(shù)據(jù)的組織結(jié)構(gòu)②數(shù)據(jù)的完整性約束

③數(shù)據(jù)的分類體系5.1信息安全及系統(tǒng)開發(fā)關(guān)鍵環(huán)節(jié)（3）信息系統(tǒng)開發(fā)和運行過程的管理①開發(fā)文檔②CMM與CMMI③信息系統(tǒng)工程監(jiān)理5.2個人信息保護一、個人信息保護概述（1）個人信息的類型①個人的自然屬性②個人生活及活動信息③網(wǎng)絡(luò)虛擬社區(qū)中的個人信息5.2個人信息保護（2）個人信息保護現(xiàn)狀個人信息具有可識別特性，通過了解個人的喜好、生活習(xí)慣、消費習(xí)慣、個人需求等等，為商家的產(chǎn)品市場定位、市場細分、個性化服務(wù)等提供依據(jù)，進而創(chuàng)造獲得利潤的機會，因此個人信息是有價值的資源個人信息實際上就是一個人的“國家機密”

5.2個人信息保護（3）個人信息保護的范疇①電子政務(wù)

②電子商務(wù)③業(yè)務(wù)系統(tǒng)④外包業(yè)務(wù)5.2個人信息保護（4）個人信息保護原則①收集限制原則（CollectionLimitationPrinciple）

②數(shù)據(jù)質(zhì)量原則（DataQualityPrinciple）

③目的明確化原則（PurposeSpecificationPrinciple）

④利用限制原則（UseLimitationPrinciple）

⑤安全保護原則（SecuritySafeguardsPrinciple）⑥公開原則（OpennessPrinciple）

⑦個人參與原則（IndividualParticipationPrinciple）

⑧責(zé)任原則（AccountabilityPrinciple）

5.2個人信息保護二、個人信息保護的應(yīng)用

（1）電子政務(wù)中的個人信息保護①電子政務(wù)中的個人信息

②個人信息面臨的危害與沖突——“管制型”轉(zhuǎn)為“服務(wù)型”③電子政務(wù)系統(tǒng)中的個人信息保護策略基于公共利益的個人信息優(yōu)先公開基于商業(yè)利益的個人信息限制公開

基于個人利益的個人信息適當(dāng)公開5.2個人信息保護（2）電子商務(wù)中的個人信息保護

①個人信息的來源②個人信息的威脅③個人信息的保護策略網(wǎng)站自律聲明個人信息的使用限制，避免過多地收集那些與注冊、購物等商務(wù)活動無關(guān)的個人背景信息，避免過度開發(fā)和利用個人信息個人信息管理的說明，包括信息的擁有權(quán)、使用權(quán)、控制權(quán)

個人信息共享限制5.2個人信息保護三、個人信息保護評價（1）個人信息保護評價與認證（2）個人信息保護評價指標(biāo)

①管理機構(gòu)②管理機制

③過程管理④個人信息安全⑤個人信息保護監(jiān)察5.2個人信息保護（3）個人信息保護的評價過程評價前要確定評價指標(biāo)和權(quán)重，制定評價規(guī)則，實施評價后還要對評價結(jié)果進行分析和評判，對評價過程要實施有效的管理評價流程包括評價前的準備、資格申報、現(xiàn)場評價、評價結(jié)果公示等階段

5.3數(shù)據(jù)維護與信息管理者的職業(yè)道德

一、數(shù)據(jù)維護（1）數(shù)據(jù)維護的內(nèi)容維護數(shù)據(jù)庫的數(shù)據(jù)和以文件形式存儲的數(shù)據(jù)對存儲介質(zhì)進行維護（2）數(shù)據(jù)的內(nèi)容維護

①數(shù)據(jù)的備份與恢復(fù)機制②數(shù)據(jù)庫的安全性與完整性控制機制③數(shù)據(jù)庫性能監(jiān)測和改善④數(shù)據(jù)庫的重組和重構(gòu)5.3數(shù)據(jù)維護與信息管理者的職業(yè)道德（3）數(shù)據(jù)維護的管理

①數(shù)據(jù)維護流程②數(shù)據(jù)維護文檔5.3數(shù)據(jù)維護與信息管理者的職業(yè)道德二、