【正文】 生性與其安全密切相關 。 ? 信息系統(tǒng)的脆弱性 ? 信息系統(tǒng)各個環(huán)節(jié)的不安全因素： ? 數(shù)據(jù)輸入部分：數(shù)據(jù)通過輸入設備進入系統(tǒng) ， 輸入數(shù)據(jù)容易被篡改或輸入假數(shù)據(jù)； ? 數(shù)據(jù)處理部分：數(shù)據(jù)處理部分的硬件容易被破壞或盜竊 ， 并且容易受電磁干擾或因電磁輻射而造成信息泄漏； ? 通信線路：通信線路上的信息容易被截獲 ，線路容易被破壞或盜竊； ? 軟件：操作系統(tǒng) 、 數(shù)據(jù)庫系統(tǒng)和程序容易被修改或破壞； ? 輸出部分：輸出信息的設備容易造成信息泄漏或被竊取 ?信息系統(tǒng)的下列特點引起的不安全因素： （ 1） 介質存儲密度高 在一張磁盤或一盤磁帶中可以存儲大量信息 ， 而軟盤常隨身攜帶出去 。 ： (3) 企業(yè)管理信息系統(tǒng)的專業(yè)人員主要有： l 系統(tǒng)分析員 l 系統(tǒng)設計人員 l 程序員 l 系統(tǒng)文檔管理人員 l 數(shù)據(jù)采集人員 l 數(shù)據(jù)錄入人員 l 計算機硬件操作與維護人員 l 數(shù)據(jù)庫管理人員 l 網(wǎng)絡管理人員 l 通信技術人員 l 結構化布線與系統(tǒng)安裝技 術人員 l 承擔培訓任務的教師及教學輔助人員 l 圖書資料與檔案管理人員 l 網(wǎng)站的編輯與美工人員 l 從事標準化管理 、 質量管理 、安全管理 、 技術管理 、 計劃 、 統(tǒng)計等人員 二、信息系統(tǒng)的安全管理 1. 概述 ? 隨著信息技術的發(fā)展，信息系統(tǒng)的應用范圍不斷擴大，無論是在運行操作、管理控制，還是經(jīng)營管理計劃、戰(zhàn)略決策等社會經(jīng)濟活動的各個方面，都發(fā)揮著越來越大的作用。 利用現(xiàn)代信息技術開發(fā) 、 利用信息資源是現(xiàn)代信息資源管理的主要內容 。 (3) 信息服務機構 ， 如圖書 、 情報 、 影視 、 電臺 、 網(wǎng)站等 ， 其主要職責是面向各類不同消費者提供所需的信息服務與支持 。 從信息資源管理的目的來分有 ① 面向一般社會組織 （ 包括企業(yè) ） 信息資源的管理 ， 目的在于促進組織目標的實現(xiàn)； ② 面向信息產(chǎn)品生產(chǎn)與信息服務業(yè)的信息資源管理 ， 目的在于滿足社會上廣大用戶的對信息產(chǎn)品和信息服務的需求； ③ 面向政府部門的信息資源管理 。因此信息資源管理的目標，還要結合特定的國家或地區(qū)社會經(jīng)濟發(fā)展的現(xiàn)狀、目標和戰(zhàn)略，提出更具針對性的目標。 我國地域遼闊、但各地區(qū)各行業(yè)發(fā)展不平衡。 ? 面向組織的信息資源管理的主要內容有： ① 信息系統(tǒng)的管理 包括信息系統(tǒng)開發(fā)項目的管理 、 信息系統(tǒng) 運行與維護的管理 、 信息系統(tǒng)的評價等； ② 信息資源開發(fā) 、 利用的標準 、 規(guī)范 、 法律制度的制訂與實施； ③ 信息產(chǎn)品與服務的管理； ④ 信息資源的安全管理； ⑤ 信息資源管理中的人力資源管理 4. 信息資源管理的組織概述 ? 信息資源作為一種重要的國家戰(zhàn)略資源 ， 其豐裕程度已成為衡量一個國家國力和經(jīng)濟發(fā)展水平的重要技術指標 。 5. 企業(yè)信息資源管理的組織 ? 由于信息資源是企業(yè)的戰(zhàn)略資源 ， 信息資源管理已成為企業(yè)管理的重要支柱 。擔負這一職責的企業(yè)高層領導人就是企業(yè)的信息主管（ Chief Information Officer, CIO）。 ?本身的脆弱性和易于攻擊的弱點 ， 使得信息系統(tǒng)的安全問題越來越受到人們的廣泛重視 。 （ 2） 數(shù)據(jù)可訪問性 數(shù)據(jù)信息可以很容易地被拷貝下來而不留痕跡 。 （ 5） 介質的剩磁效應 存儲介質中的信息有時是擦除不干凈或不能完全擦除掉 ，會留下可讀信息的痕跡 ， 一旦被利用 ， 就會泄露 。 海灣戰(zhàn)爭爆發(fā)后 ， 美軍將其激活 ， 使伊拉克防空系統(tǒng)癱瘓 ， 從而保證了空襲的成功 。 人為破壞有以下幾種手段： ① 濫用特權身份； ② 不合法地使用； ③ 修改或非法復制系統(tǒng)中的數(shù)據(jù) 。它是在不干擾系統(tǒng)正常工作的情況下進行偵收、截獲、竊取系統(tǒng)信息，以便破譯分析；利用觀察信息、控制信息的內容來獲得目標系統(tǒng)的位置、身份；利用研究機密信息的長度和傳遞的頻度獲得信息的性質。例如 ， 在統(tǒng)計數(shù)據(jù)庫中 ， 利用多次查詢數(shù)據(jù)的合法操作 ， 推導出不該了解的機密信息； ? 返回滲透 ， 有選擇地截取系統(tǒng)中央處理機的信息 ， 然后將偽信息返回系統(tǒng)用戶； 實踐證明，計算機病毒已成為威脅信息系統(tǒng)安全的最危險的因素。 （ ３ ） 計算機處理的控制與管理制度 包括編程流程及控制 、 程序和數(shù)據(jù)的管理 ， 拷貝及移植 、存儲介質的管理 ， 文件的標準化以及通信和網(wǎng)絡的管理 。 通常將兩種方法結合作用 ， 以起雙保險的作用 。 要完全避免和防止電磁干擾是不現(xiàn)實的 ， 上述措施可以將電磁干擾控制在一定范圍內 ， 以致不影響和破壞系統(tǒng)的正常工作 。 ② 進行用戶識別和訪問控制 ， 即能進行用戶身份的識別和驗證 ， 限制用戶只能訪問他所授權的數(shù)據(jù) ， 對不同的用戶限制在不同的狀態(tài)下進行訪問 。 數(shù)據(jù)加密技術是信息系統(tǒng)安全中最重要的技術措施之一 ， 具有廣泛的用途 。 通常 ， 加密和解密算法的操作都是在一組密鑰的控制下進行的 ， 分別稱為加密密鑰和解密密鑰 。它包括口令的控制與鑒別技術、軟件加密技術、軟件防拷貝和防動態(tài)跟蹤技術等。 計算機網(wǎng)絡中的各種資源 （ 如文件 、 數(shù)據(jù)庫等 ） 需要認證機制的保護 ， 以確保這些資源被應該使用的人使用 。但是 ， 當信息的收 /發(fā)方對信息內容及發(fā)送源點產(chǎn)生爭執(zhí)時 ，只有鑒別技術就不夠了 。 篡改 ， 接接收方對收到的信息進行篡改 。 防火墻技術 防火墻是一道隔離網(wǎng)絡內外的屏蔽 ， 其特點是不妨礙正常信息的流通 ， 對那些不外流的信息進行嚴格把守 ， 是一種控制性質的技術 。 對網(wǎng)絡中通信流分析的安全控制包括：掩蓋通信的頻度；掩蓋報文的長度；掩蓋報文的形式；掩蓋報文的地址 （ 協(xié)議信息 ） 。 在實現(xiàn)數(shù)據(jù)保護的過程中 ， 該技術需要特殊的封閉的網(wǎng)絡拓樸結構給予支持 ， 相應的網(wǎng)絡開銷也比較大 。 由于這份報文有 B 方的簽名 ， 所以 ， 事后 B方是不能抵賴他所收到的報文的 。 偽造 ， 接接收方偽造一份文件 ， 聲稱它來自發(fā)送方 。 鑒別系統(tǒng)常用的參數(shù)有口令 、 標識符 、密鑰 、 信物 、 指紋 、 視網(wǎng)紋等 。 大體上有以下幾種： ? 在主機內或擴充槽里裝入特殊硬件裝置 ? 采用特殊標記的磁盤 ? “ 軟件指紋 ” ? 限制技術 (“時間炸彈” ) ? 軟件加密 ? 反動態(tài)跟蹤技術 （ 4） 網(wǎng)絡安全 網(wǎng)絡安全是指為保證網(wǎng)絡及其節(jié)點安全而采用的技術和方法。 記為 Y=Eke(x) 數(shù)據(jù)解密是用解密算法 D和解密密鑰 Ka將密文 Y變換成原來易于識讀的明文 X， 記為 X=Dka(Y) 在信息系統(tǒng)中 ， 對某信息除意定的授權接收者之外 ， 還有非授權者 ， 他們通過各種辦法來竊取信息 ， 稱其為截取者 。 ? 數(shù)據(jù)加密 數(shù)據(jù)加密就是按確定的加密變換方法 （ 加密算法 ） 對需要保護的數(shù)據(jù) （ 明文 ） 作處理 ， 使其成為難以識讀的數(shù)據(jù) （ 密文 ） 。 對數(shù)據(jù)庫的不同功能塊應設置不同的口令 ， 對存取它的人設置不同的口令級別 ， 各種模塊如讀模塊 、 寫