信息系统项目管理师学习笔记4——信息化与信息系统4

1.6 信息系统安全技术

1.6.1 信息安全的有关概念

1.信息安全概念

1）安全属性

• 秘密性：信息不被未授权者知晓属性
• 完整性：信息是正确的，真是的，未被篡改的，完整无缺的属性
• 可用性：信息可以随时正常使用的属性

2）安全分层

设备安全：

• 设备的稳定性：在一定时间内不出现故障的概率
• 设备的可用性：随时可以正常使用的概率
• 设备的可靠性：在一定时间内正常执行任务的概率

数据安全：

• 安全属性：秘密性、完整性、可用性
• 一种静态安全

内容安全：

是信息安全在政治、法律上、道德层次的要求

行为安全：

• 安全属性：秘密性、完整性、可控性
• 一种动态安全

2.信息安全技术

• 硬件系统安全技术、操作系统安全技术：信息系统安全的基础
• 数据安全技术、软件安全技术
• 网络安全技术：是关键技术，包含防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计、网络隔离
• 密码技术：是关键技术
• 恶意软件防止技术、信息隐藏技术、信息设备可靠性技术

3.信息安全法律法规

• 网络安全法
• 信息安全法
• 网络安全审查办法
  （不是考试重点）

4.信息安全等级

1、信息系统的安全保护等级

1. 第一级：对公民、法人和其他组织的合法权益造成伤害，但不损害国家安全、社会秩序和公共利益。
2. 第二级：对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但是不损害国家安全。
3. 第三级：会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
4. 第四级：会对社会秩序和公共利益造成特别严重的损害，或者对国家安全造成严重损害。
5. 第五级：会对国家造成特别严重损害。

2、安全保护能力等级

• 用户自主保护级：普通内联网用户。
• 系统审计级：该级使用通过内联网或国际网进行商务活动，需要保密的非重要单位。
• 安全标记保护级：该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通、大型工商与信息技术企业、重点工程建设等单位。
• 结构化保护等级：该级适用于中央级国家机关、广播电视部门、重点物资存储单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
• 访问验证保护级：该级适用于国家关键部门和依法需要对计算机信息系统实时特殊隔离的单位。

5. 人员管理

首选要求加强人员审查。

信息安全教育对象：

• 与信息安全相关的所有人员
• 如领导和管理人员，信息系统工程师，一般用户

1.6.2 信息加密、解密和常用方法

1.信息加密概念

1.加密技术两个元素：

1. 算法
2. 密钥

2.加密技术：

1. 对称加密
2. 非对称加密

2.对称加密技术

特点：

• 加密密钥和解密密钥是相同的
• 使用起来简单快捷，密钥较短，破解相对容易
• 适用于一对一的场景

算法：

• DES/56位
• 3DES/112位
• IDEA/128位
• AES/128位或192或256位

3.非对称加密技术

特点：

• 加密密钥和解密密钥不同
• 公钥用来加密，公开
• 私钥用来解密，非公开
• 适用于一对多的场景

算法：

• RSA

4.Hash函数概念

将任意长度的报文M映射成定长的Hash码h，Hash函数可提供保密性、报文认证以及数据签名功能

5.数字签名概念

• 作用：签名是证明当事人的身份和数据真实性的一种方式
• 条件：签名者时候不能抵赖自己的签名；任何其他人不能伪造签名；如果当事的双方关于签名发生争执，能够在公正的仲裁者面前通过验证签名来确认其真伪
• 方法：利用RSA密码可以同时实现数据签名和数据加密

6.认证的概念

定义：又称为鉴别、确认，证实某事是名副其实或是否有效地一个过程
与加密的区别：

1. 加密用以确保数据的保密性，阻止对手的被动攻击，如截取、窃听等
2. 而认证用以确保报文发送者和接受者的真实性以及报文的完整性，组织对手的主动攻击，如冒充、篡改、重播等
3. 认证往往是许多应用系统中安全保护的第一设防，因而极为重要

与数字签名的区别：

1. 认证总是基于某种收发双方共享的秘密数据来认证被鉴别对象的真实性，而数字签名中用于验证签名的数据是公开的
2. 认证允许书法双方相互验证真实性，不允许第三者验证，而数字签名允许收发方和第三方都进行验证。
3. 数字签名具有发送方不能抵赖、接收方不能伪造和具有在公证人前解决纠纷的能力，而认证不一定具备。

1.6.3 信息系统安全

1.计算机设备安全

1.设备安全内容

1. 计算机实体
2. 信息的：完整性、机密性、抗否认性、可审计性、可靠性

2、设备安全分类

1. 物理安全：场地安全（环境安全）：主要是场地与机房
2. 设备安全：指设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等
3. 存储介质安全：指介质本身和介质上存储的数据安全：介质防盗，介质的防毁（防霉、防砸）
4. 可靠技术：一般采用容错系统实现：冗余设计来实现，以增加资源换取可靠性

2.网络安全

防火墙：

• 一种较早使用、实用性很强的网络安全防御技术，他阻挡对网络的非法访问和不安全数据的传递，使得本地系统和网络免于收到许多网络安全威胁
• 用于逻辑隔离外部网络与受保护的内部网络
• 主要是实现网络安全策略，而这种策略是预先定义好的，所以是一种静态安全技术
• 在策略中涉及的网络行为可以实施有效地管理，而策略之外的网络行为则无法控制
• 防火墙的安全策略由安全规则表示

入侵检测（IDS）：

• 注重的是网络安全状况的监管，通过监视网络或系统的资源寻找违反安全策略的行为或者攻击迹象，并发出告警
• 大多数IDS系统都是被动

入侵防护（IPS）：

• 倾向于提供主动防护，注重入侵行为的控制
• 其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成的损失
• IPS是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包括异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中

VPN（虚拟专用网络）：

• 在公共的网络中建立专用的，安全的数据通信通道的技术：与DDN的区别
• VPN网络连接由客户机，传输介质和服务器三部分组成
• 常见的隧道技术：点对点隧道协议（PPTP）、第2层隧道协议（L2TP）和IP安全协议（IPSec）

安全扫描：

• 包括漏洞扫描、端口扫描、密码类扫描（发现弱口令密码）等

网络蜜罐：

• 是一种主动防御技术，是入侵检测技术的另外重要的发展方向，也是一个“诱捕”攻击者的陷阱

无线网络安全技术：

• 无线公开密钥基础设施（WPKI）、有线对等加密协议（WEP）、WiFi网络安全接入（WPA/WPA2）、无线局域网鉴别与保密体系（WAPI）、802.11i（802.11工作组为新一代WLAN制定的安全标准）

3.操作系统安全

1）威胁分类：

按行为方式：

• 切断：这是对可用性的威胁：系统的资源被破坏或变得不可用或不能用，如破坏硬盘、切断通信线路或使文件管理失效。
• 截取：这是对机密性的威胁：未经授权的用户、程序或计算机系统获得了对某资源的访问，如在网络中窃取数据及非法拷贝文件和程序
• 篡改：这是对完整性的攻击：未授权的用户不仅获得类对某资源的访问，而且进行篡改，如修改数据文件中的值，修改网络中正在传送的消息内容
• 伪造：这是对合法性的威胁：未经授权的用户将伪造的对象插入到系统中，如非法用户把伪造的消息加到网络中或向当前文件加入记录

按表现形式：

• 计算机病毒：熊猫烧香
• 逻辑炸弹
• 特洛伊木马
• 后门
• 隐秘通道

2）防范手段

• 身份认证机制
• 访问控制机制
• 数据保密性
• 数据完整性
• 系统可用性
• 审计

4.数据库安全

其安全问题可以认为是用于存储而非传输的数据安全问题
防范技术：

• 数据库访问控制技术
• 数据库加密技术
• 多级安全数据库技术
• 数据库推理控制问题
• 数据库的备份与恢复

5.应用系统安全

Web威胁防护技术：
1）Web访问控制技术：

• IP地址、子网或域名
• 用户名/口令
• 通过公钥加密体系PKI（CA）认证

2）单点登录（SSO）技术：

• 一次认证，多出访问

3）网页防篡改技术：

• 时间轮询技术
• 核心内嵌技术
• 事件触发技术
• 文件过滤驱动技术

4）Web内容安全

• 电子邮件过滤
• 网页过滤
• 反间谍软件

1.7信息化发展与应用

1.7.1 信息化发展与应用的新特点

1.“十三五”规划

（“十四五”规划后面补充）
将培育人工智能、移动智能终端、第五代移动通信（5G）、先进传感器等作为新一代信息技术产业穿心重点发展，扩展新兴产业发展空间。

2. 发展趋势和新技术

1. 高速度大容量
2. 集成化和平台化
3. 智能化
4. 虚拟计算：是一种虚拟化、网络、云计算等技术的融合为核心的一种计算平台，存储平台和应用系统的共享管理技术
5. 通信技术
6. 遥感和传感技术
7. 移动智能终端
8. 以人为本
9. 信息安全

1.7.2 国家信息化发展的战略

1. 促进工业领域信息化深度应用
2. 加快推进服务业信息化
3. 积极提高中小企业信息化应用水平
4. 协力推进农业农村信息化
5. 全面深化电子政务应用
6. 稳步提供社会事业信息化水平
7. 统筹城镇化与信息化互动发展
8. 加强信息资源开发利用
9. 构件下一代国家综合信息基础设施
10. 促进重要领域基础设施 智能化改造升级
11. 着力提高国民信息能力

1.7.3 电子政务

特点：

• 在办公手段、业务流程与公众的沟通的方式上都存在很大的却别
• 电子政务并不是要完全取代传统政务，也不是简单的将传统的政务原封不动的搬到Internet上

应用模式：

• 政府对政府：G2G，Goverment to Goverment
• 政府对企业：G2B，Goverment to Business
• 政府对公众：G2C，Goverment to Citizen
• 政府对公务员：G2E，Goverment to employee

1.7.4 电子商务

特征：

• 普遍性：将生产企业、流通企业、消费者以及金融企业和监管者集成到类数据化的网络经济中
• 便利性：参与电子商务的各方不受地域、环境、交易时间的限制
• 整体性：将人工操作和电子信息处理集成为一个不可分割的整体
• 安全性：采用加密，身份认证，防入侵、数据签名、防病毒等技术手段
• 协调性：有序的协作，共同配合来完成交易

按网络类型划分：

• EDI（电子数据交换）商务
• Internet（互联网）商务
• Intranet（企业内部网）商务
• Extranet（企业外部网）商务

模式：

• 企业与企业之间的电子商务：B2B Business to Business
• 企业与消费者之间的电子商务：B2C Business to Consumer
• 消费者与消费者之间的电子商务：C2C Consumer to Consumer
• 线上购买线下的商品和服务，实体店提货或者享受服务： O2O Online to Offline
• 企业对政府的电子商务：B2G Government 或B2A Administrator
• 个人对企业的电子商务：C2B
• 个人对政府的电子商务：C2G

基础设施：

• 网络基础设施
• 多媒体内容
• 网络出版的基础设施
• 报文和信息传播的基础设施
• 商业服务的基础设施
• 技术标准、政策、法律

标准体系：

• 用户接口：主要包括用户界面、图像、对话设计原则
• 基本功能：包括交易协议、支付方式、安全机制、签名与鉴别、记录的核查与保留
• 数据与客体的定义与解码：信息技术标准、定义报文语义的技术、EDI本地化、注册机构、电子商务中所需的值域

1.7.5 工业与信息化融合

1.两化融合

1. 工业化
2. 信息化

2.方向

• “中国制造2025”：促进两化深度融合，加快从制造大国转向制造强国，需要电子信息产业的有力支撑，大力发展新一代信息技术，加快发展智能制造和工业互联网
• 制定“互联网+”行动计划，推动移动互联网、云计算、大数据、物联网等应用
• 云计算、物联网、移动互联网、大数据、3D打印

3.含义

1. 信息化与工业化发展战略的融合
2. 信息资源与材料、能源等工业资源的融合
3. 虚拟经济与工业实体经济融合
4. 信息技术与工业技术、IT设备与工业装备的融合

最后

以上就是默默嚓茶为你收集整理的信息系统项目管理师学习笔记4——信息化与信息系统4的全部内容，希望文章能够帮你解决信息系统项目管理师学习笔记4——信息化与信息系统4所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。