【正文】 說，信息資源管理的目標是為實現(xiàn)組織的整體目標服務的。 目的在于使政府部門更好地實施其宏觀調控和信息服務的職能 。 但信息資源的開發(fā)和使用過程涉及的人員和范圍較廣 ， 內容龐雜 ， 為了防止信息資源的浪費和濫用 ， 最大限度地提高信息資源的效用 ， 需要國家各級政府機構 、 民間組織 、企業(yè)等各方面的共同努力 ， 尤其需要建立和健全完善的組織機構強化對信息資源開發(fā) 、利用的管理和控制 。 (4) 企業(yè) 。 這些專門組織機構如：信息中心 （ 或計算中心 ） 、 圖書資料館（ 室 ） 、 企業(yè)檔案館 （ 室 ） ， 企業(yè)中還有一些組織機構也兼有重要的信息資源管理任務如：計劃 、 統(tǒng)計部門 、 產品與技術的研究與開發(fā)部門 、 市場研究與銷售部門 、 生產與物資部門 、 標準化與質量管理部門 、 人力資源管理部門 、 宣傳與教育部門 、 政策研究與法律咨詢部門等 。 ?大中型企業(yè)的信息中心的主要職能包括： (1)在企業(yè)主要負責人的主持下制訂企業(yè)信息資源開發(fā) 、利用 、 管理的總體規(guī)劃 ， 其中包括信息系統(tǒng)建設規(guī)劃； (2)企業(yè)管理信息系統(tǒng)的開發(fā) 、 維護與運行管理； (3)信息資源管理的標準 、 規(guī)范 、 規(guī)章制度的制訂 、 修訂和執(zhí)行； (4)信息資源開發(fā)與管理專業(yè)人員的專業(yè)技能培訓 、 企業(yè)廣大職工信息管理與信息技術知識的教育培訓和新開發(fā)的信息系統(tǒng)用戶培訓； (5)企業(yè)內部和外部的宣傳與信息服務； (6)為企業(yè)信息技術推廣應用其他項目如計算機輔助設計CAD、 計算機輔助制造 CAM等提供技術支持 。 由此可見，信息主管對企業(yè)的信息資源管理負有全面責任。然而，由于信息系統(tǒng)中處理和存儲的，既有日常業(yè)務處理信息、技術經濟信息，又有涉及到有關國家安全的政治、經濟和軍事情況以及一些工商企業(yè)單位和人的機密和敏感信息，因此它成為國家和某些部門的寶貴財富，同時也成為敵對國家和組織以及一些非法用戶、別有用心者威脅和攻擊的主要對象。 ?近年來世界范圍內的計算機犯罪 、 計算機病毒泛濫等問題 ， 使信息系統(tǒng)安全上的脆弱性表現(xiàn)得越來越明顯 。 這些存儲介質也很容易受到意外損壞 。在一定條件下 ， 終端用戶可以訪問到系統(tǒng)中的所有數(shù)據(jù) ， 并可以按其需要把它拷貝 、 刪改或破壞掉 。 （ 4） 保密困難性 信息系統(tǒng)內的數(shù)據(jù)都是可用的 ， 盡管可以采用許多方法在軟件內設置一些關卡 ， 但是對那些掌握計算機技術的專業(yè)人士 ， 很可能會突破這些關卡 ， 故要保密很困難 。 利用這一些特性 ， 可以竊取機密信息 。 3. 信息系統(tǒng)面臨的威脅和攻擊 （ 1） 對實體的威助和攻擊 對實體的威脅和攻擊主要指對計算機及其外部設備 、 網絡的威脅和攻擊 ， 如各種自然災害與人為的破壞 、 場地和環(huán)境因素的影響 、 電磁場的干擾或電磁泄露 、 戰(zhàn)爭的破壞 、 各種媒體的被盜和散失等 。 ? 信息泄露 信息泄露是指偶然地或故意地獲得 （ 偵收 、 截獲 、 竊取或分析破譯 ） 目標系統(tǒng)中的信息 ， 特別是敏感信息 ， 造成泄露事件 。其中有關于“星球大戰(zhàn)”計劃、北美戰(zhàn)略防空司令部核武器和通信衛(wèi)星等方面的資料，震驚了美國國防部和聯(lián)邦調查局。 例： 1994年 12月，美國海軍學院的計算機系統(tǒng)被不知名的黑客所襲擊。除此之外， 1個系統(tǒng)的備份文件和來自其他 4個系統(tǒng)的文件被刪除，其它 6個系統(tǒng)被破壞， 2個加密密碼文件被破壞， 12023多個密碼被竄改，海軍無法估計損失究竟有多大，也沒能抓住作案者。 被動攻擊的主要方法有： ? 此外 ， 短波 、 超短波 、 微波和衛(wèi)星等無線電通信設備有相當大的輻射面 ， 市話線路 、 長途架空明線等電磁輻射也相當嚴重 ， 因此可利用系統(tǒng)設備的電磁輻射截獲信息； ? 從遺棄的媒體中分析獲取信息 如從信息中心遺棄的打印紙 、各種記錄和統(tǒng)計報表 、 竊取或丟失的軟盤片中獲得有用信息 。 主動攻擊的主要方法有： 非法冒充 采取非常規(guī)的方法和手段 ， 竊取合法用戶的口令 ， 冒充合法用戶進行竊取或信息破壞活動； 近年來 ， 這種利用信息系統(tǒng)的脆弱性進行破壞活動的計算機犯罪事件正逐年增多 ， 嚴重威脅和危害到信息系統(tǒng)的安全 ， 并給社會經濟造成越來越大的損失 。計算機病毒泛濫和蔓延的客觀效果，危害或破壞信息系統(tǒng)的資源，中斷或干擾信息系統(tǒng)的正常運行，給社會造成的危害越來越大。 嚴禁程序設計人員同時擔任系統(tǒng)操作員 ， 嚴格區(qū)分系統(tǒng)管理員 、 終端操作員和程序設計人員 ， 不允許工作交叉 。 機房門可加雙鎖 ， 且只有兩把鑰匙同時使用時門才能打開 。 設備安全 信息系統(tǒng)應根據(jù)實際需要選擇設備 ， 并考慮設備本身穩(wěn)定可靠；對環(huán)境條件的要求盡可能低；設備能抗震防潮；本身電磁輻射小 ， 抗電磁輻射干擾和抗靜電能力強；有過壓 、 欠壓 、 過流等電沖擊的自動防護能力；有良好的安全接地 。 不同干擾場采用不同的屏蔽方法 ， 如電屏蔽 、 磁屏蔽或電磁屏蔽 ， 并將屏蔽體良好接地 。 ③ 電源系統(tǒng)：電源電壓波動或負載幅度變化引起的瞬態(tài)電壓 、 電流沖擊 ， 會通過電源進入計算機 ， 不但會使計算機信息出錯 ， 還會威脅計算機及其器件的壽命與安全 。目前的存儲介質主要有磁盤、磁帶、光盤等，應分門別類，以一套嚴密的科學管理制度和方法進行管理。它包括口令保護、存取控制技術、數(shù)據(jù)加密技術等。 ? 數(shù)據(jù)庫安全性控制的一般方法 數(shù)據(jù)庫的安全技術主要有三種：口令保護 、 數(shù)據(jù)加密 、 存取控制 。 數(shù)據(jù)加密就是按確定的加密變換方法對未經加密的數(shù)據(jù) （ 明文 ） 進行處理 ， 使之成為難以識讀的數(shù)據(jù) （ 密文 ） 。通常將存取權限的定義（稱授權）經編譯后存儲在數(shù)據(jù)字典中，每當用戶發(fā)出存取數(shù)據(jù)庫的操作請求后，DBMS查找數(shù)據(jù)字典，根據(jù)用戶權限進行合法權檢查，若用戶的操作請求超過了定義的權限，系統(tǒng)拒絕執(zhí)行此操作。 在加密處理過程中又引入了一個可變量 —— 加密密鑰 。密鑰的產生和變化規(guī)律必須嚴格保密 。 數(shù)據(jù)加密的兩種體制 根據(jù)加密密鑰 Ke和解密密鑰 Ka是否相同 ， 數(shù)據(jù)加密技術在體制上分為兩大類：單密鑰體制和雙密鑰體制 。 技術保護的目的有兩個 ， 一是防止對軟件的非法復制 、 發(fā)行和使用 ， 二是防止對軟件本身的跟蹤分析解讀和修改 。 ? 網絡中的存取控制 鑒別 （ 認證 ） 技術 鑒別又稱為確認或認證 。 鑒別往往是許多應用系統(tǒng)中安全保護的第二道防線 ， 利用它可以驗證對方的真實性和報文的真實性 。目前廣泛應用的是基于密碼的鑒別技術 。 否認 ， 發(fā)送方不承認自己發(fā)送過某一文件 。 冒充 ， 網絡上的某個用戶冒充另一個用戶接收或發(fā)送信息 。 如果發(fā)送方事后擔心接收方否認接收到了他所發(fā)送的報文 ， 那么發(fā)送方應能請求獲得報文證明 ， 即由接收方對發(fā)送方提供收到報文的證據(jù) 。安全性檢測可防止來自非法用戶的主動攻擊和跟蹤 ， 包括計算機病毒對系統(tǒng)和文件的修改以及內部人員對系統(tǒng)數(shù)據(jù)的惡意篡改 。 防火墻技術的原理是：在比較明確的網絡邊界上通過最大限度的對外屏蔽來保護信息和結構的安全 。 主要用戶是那些與 Inter有接口的企業(yè)信息系統(tǒng) 。 ? 各種安全保護措施所占比例 物理安全措施 法律安全措施 技術安全措施 行政安全措施