陈佳-管理信息系统-管理信息系统中的关键问题 （第5章）.pptVIP

第 5章管理信息系统中的关键问题 5.1 信息安全及系统开发关键环节 一、信息安全管理体系 （1）信息安全管理体系标准 BS7799定义的信息安全CIA三原则: 机密性（Confidentiality）：信息只允许授权用户使用 完整性（Integrity）：信息在处理、使用过程中保持原有的完整和精确 可用性（Availability）：授权用户在需要时能可靠而及时地访问所需信息 信息的可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等原则是对CIA 原则的细化和补充。 5.1 信息安全及系统开发关键环节 （2）信息安全管理过程 5.1 信息安全及系统开发关键环节 （3）信息安全体系结构 5.1 信息安全及系统开发关键环节 二、信息安全管理的实施 （1）信息安全管理的内容 ①资源 硬件资源 软件 数据 用户 演示程序 支持设备 5.1 信息安全及系统开发关键环节 ②威胁 5.1 信息安全及系统开发关键环节 ③信息安全的内容 计算机系统安全 网络安全 数据库安全 病毒防护 访问控制 加密 5.1 信息安全及系统开发关键环节 （2）信息安全措施 ①计算机安全 审计软件 跟踪和记录跟踪和记录操作者的操作行为 在计算机中安装软件防火墙 对硬盘进行加密 关闭端口，避免向移动硬盘或优盘拷贝文件 为计算机设定密码口令，并定期更换 在计算机操作系统中进行安全设置，如对注册表的管理、设置帐号及口令并定期更换、安装杀毒软件及其它安全防护软件 对应用软件本身进行安全保密 5.1 信息安全及系统开发关键环节 ②网络安全——防火墙 包过滤（Packet filtering）型防火墙：过滤数据包，即根据数据包发送的源地址、目的地址、端口号和协议类型等标志确定是否允许这个数据包通过； 应用代理（Application Proxy）型防火墙：也叫应用网关（Application Gateway），它是一个监控程序，运用它能够监视并控制每种使用网络的应用软件的通信流的状态，从而起到有效“阻隔”可疑软件进行网络访问的作用。 5.1 信息安全及系统开发关键环节 ③数据库安全 最外层的安全防护是用户标识和鉴别 中间层的安全防护是存取控制机制 最底层的安全机制是对存储在数据库中的数据实施加密 5.1 信息安全及系统开发关键环节 ④物理和环境安全 防火 防水 防雷 监控 门禁 温度 湿度 5.1 信息安全及系统开发关键环节 （3）安全管理 ①提出安全管理的需求 ②安全管理体系总体设计 ③制定安全管理制度 ④信息安全监督 ⑤信息安全管理的评审与改进 5.1 信息安全及系统开发关键环节 三、系统开发与运行过程的关键环节 （1）需求的分析和确认 5.1 信息安全及系统开发关键环节 （2）数据库的运用 ①数据的组织结构 ②数据的完整性约束 ③数据的分类体系 5.1 信息安全及系统开发关键环节 （3）信息系统开发和运行过程的管理 ①开发文档 ②CMM与CMMI ③信息系统工程监理 5.2 个人信息保护 一、个人信息保护概述 （1）个人信息的类型 ①个人的自然属性 ②个人生活及活动信息 ③网络虚拟社区中的个人信息 5.2 个人信息保护 （2）个人信息保护现状 个人信息具有可识别特性，通过了解个人的喜好、生活习惯、消费习惯、个人需求等等，为商家的产品市场定位、市场细分、个性化服务等提供依据，进而创造获得利润的机会，因此个人信息是有价值的资源 个人信息实际上就是一个人的“国家机密” 5.2 个人信息保护 （3）个人信息保护的范畴 ①电子政务 ②电子商务 ③业务系统 ④外包业务 5.2 个人信息保护 （4）个人信息保护原则 ①收集限制原则（Collection Limitation Principle） ②数据质量原则（Data Quality Principle） ③目的明确化原则（Purpose Specification Principle） ④利用限制原则（Use Limitation Principle） ⑤安全保护原则（Security Safeguards Principle） ⑥公开原则（Openness Principle） ⑦个人参与原则（Individual Participation Principle） ⑧责任原则（Accountability Principle） 5.2 个人信息保护 二、个人信息保护的应用 （1）电子政务中的个人信息保护 ①电子政务中的个人信息 ②个人信息面临的危害与冲突——“管制型”转为“服务型” ③电子政务系统中的个人信息保护策略 基于公共利益的个人信息