信息系统安全技术
2013年底中央成立了网络安全与信息化领导小组,集中领导和规划我国的信息化发展和信息安全保障。
信息安全强调信息本身的安全属性,主要包括一下内容:
- 秘密性:信息不被未授权者知晓的属性。
- 完整性:信息是正确的、真实的、未被篡改的、完整无缺的信息。
- 可用性:信息可以随时正常使用的属性。
信息必须依赖其存储、传输、处理及应用的载体而存在,因此信息系统的安全可以划分为设备安全、数据安全、内容安全、行为安全四个层面。
IDS为入侵检测系统,IPS入侵防护系统。
《信息安全等级保护管理办法》将信息系统的安全保护等级分为一下五级:
- 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
- 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级别信息系统安全等级保护工作进行指导。
- 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级别信息系统安全等级保护工作进行监督、检查。
- 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级别信息系统安全等级保护工作进行监督、检查。
- 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家制定专门部门对该级别信息系统安全等级保护工作进行专门监督、检查。
数据加密技术分为两类,对称加密技术和非对称加密技术。
信息系统工程监理工作的主要内容可以概括为“四控、三管、一协调”,即投资控制、进度控制、质量控制、变更控制、合同管理、信息管理、安全管理和协调沟通。
信息系统工程监理的使用范围如下:
- 国家级、省部级、地市级的信息系统工程。
- 使用国家政策性银行或者国有商业银行贷款,规定需要实施监理的信息系统工程。
- 使用国家财政性资金的信息系统工程。
- 涉及国家安全、生产安全的信息系统工程。
- 国家法律、法规规定的应当实施监理的其他信息系统工程。
信息系统规划流程:1.分析企业信息化现状;2.制定企业信息化战略;3.信息系统规划方案拟定和总体构架设计。
信息系统规划(ISP),企业系统规划(BSP)
信息系统的规划工具:
- 在制订计划时,可以利用PERT图和甘特图;
- 访谈时,可以应用各种调查表和调查提纲;
- 在确定各部门、各层管理人员的需求,梳理流程时,可以采用会谈和正式会议的方法。
- 为把企业组织结构与企业过程联系起来,说明每个过程与组织的联系,指出过程决策人,可以采用建立过程/组织(P/O)矩阵的方法;
- 为定义数据类,在调查研究和访谈的基础上,可以采用实体法归纳出数据类。实体法首先列出企业资源,再列出一个资源/数据(R/D)矩阵。
- 功能法也称为过程法,它利用所识别的企业过程,分析每个过程的输入数据类和输出数据类,与RD矩阵进行比较并调整,最后归纳出系统的数据类。功能法可以利用IPO图表示;
- CU矩阵,企业过程和数据类定义好后,可以业务i过程为行,以数据类为列,按照企业过程生成数据类关系填写C,使用数据类关系填写U,形成CU矩阵。
CIO首席信息官;CFO首席财务官、CTO首席技术官、COO首席运营官