【正文】 脅增加了通信和網(wǎng)絡(luò)的不安全性 。 信息的這種聚生性與其安全密切相關(guān) 。 ? 信息系統(tǒng)的脆弱性 ? 信息系統(tǒng)各個(gè)環(huán)節(jié)的不安全因素： ? 數(shù)據(jù)輸入部分：數(shù)據(jù)通過(guò)輸入設(shè)備進(jìn)入系統(tǒng) ， 輸入數(shù)據(jù)容易被篡改或輸入假數(shù)據(jù)； ? 數(shù)據(jù)處理部分：數(shù)據(jù)處理部分的硬件容易被破壞或盜竊 ， 并且容易受電磁干擾或因電磁輻射而造成信息泄漏； ? 通信線路：通信線路上的信息容易被截獲 ，線路容易被破壞或盜竊； ? 軟件：操作系統(tǒng) 、 數(shù)據(jù)庫(kù)系統(tǒng)和程序容易被修改或破壞； ? 輸出部分：輸出信息的設(shè)備容易造成信息泄漏或被竊取 ?信息系統(tǒng)的下列特點(diǎn)引起的不安全因素： （ 1） 介質(zhì)存儲(chǔ)密度高 在一張磁盤或一盤磁帶中可以存儲(chǔ)大量信息 ， 而軟盤常隨身攜帶出去 。 ： (3) 企業(yè)管理信息系統(tǒng)的專業(yè)人員主要有： l 系統(tǒng)分析員 l 系統(tǒng)設(shè)計(jì)人員 l 程序員 l 系統(tǒng)文檔管理人員 l 數(shù)據(jù)采集人員 l 數(shù)據(jù)錄入人員 l 計(jì)算機(jī)硬件操作與維護(hù)人員 l 數(shù)據(jù)庫(kù)管理人員 l 網(wǎng)絡(luò)管理人員 l 通信技術(shù)人員 l 結(jié)構(gòu)化布線與系統(tǒng)安裝技 術(shù)人員 l 承擔(dān)培訓(xùn)任務(wù)的教師及教學(xué)輔助人員 l 圖書資料與檔案管理人員 l 網(wǎng)站的編輯與美工人員 l 從事標(biāo)準(zhǔn)化管理 、 質(zhì)量管理 、安全管理 、 技術(shù)管理 、 計(jì)劃 、 統(tǒng)計(jì)等人員 二、信息系統(tǒng)的安全管理 1. 概述 ? 隨著信息技術(shù)的發(fā)展，信息系統(tǒng)的應(yīng)用范圍不斷擴(kuò)大，無(wú)論是在運(yùn)行操作、管理控制，還是經(jīng)營(yíng)管理計(jì)劃、戰(zhàn)略決策等社會(huì)經(jīng)濟(jì)活動(dòng)的各個(gè)方面，都發(fā)揮著越來(lái)越大的作用。 利用現(xiàn)代信息技術(shù)開發(fā) 、 利用信息資源是現(xiàn)代信息資源管理的主要內(nèi)容 。 (3) 信息服務(wù)機(jī)構(gòu) ， 如圖書 、 情報(bào) 、 影視 、 電臺(tái) 、 網(wǎng)站等 ， 其主要職責(zé)是面向各類不同消費(fèi)者提供所需的信息服務(wù)與支持 。 從信息資源管理的目的來(lái)分有 ① 面向一般社會(huì)組織 （ 包括企業(yè) ） 信息資源的管理 ， 目的在于促進(jìn)組織目標(biāo)的實(shí)現(xiàn)； ② 面向信息產(chǎn)品生產(chǎn)與信息服務(wù)業(yè)的信息資源管理 ， 目的在于滿足社會(huì)上廣大用戶的對(duì)信息產(chǎn)品和信息服務(wù)的需求； ③ 面向政府部門的信息資源管理 。因此信息資源管理的目標(biāo)，還要結(jié)合特定的國(guó)家或地區(qū)社會(huì)經(jīng)濟(jì)發(fā)展的現(xiàn)狀、目標(biāo)和戰(zhàn)略，提出更具針對(duì)性的目標(biāo)。 我國(guó)地域遼闊、但各地區(qū)各行業(yè)發(fā)展不平衡。 ? 面向組織的信息資源管理的主要內(nèi)容有： ① 信息系統(tǒng)的管理 包括信息系統(tǒng)開發(fā)項(xiàng)目的管理 、 信息系統(tǒng) 運(yùn)行與維護(hù)的管理 、 信息系統(tǒng)的評(píng)價(jià)等； ② 信息資源開發(fā) 、 利用的標(biāo)準(zhǔn) 、 規(guī)范 、 法律制度的制訂與實(shí)施； ③ 信息產(chǎn)品與服務(wù)的管理； ④ 信息資源的安全管理； ⑤ 信息資源管理中的人力資源管理 4. 信息資源管理的組織概述 ? 信息資源作為一種重要的國(guó)家戰(zhàn)略資源 ， 其豐裕程度已成為衡量一個(gè)國(guó)家國(guó)力和經(jīng)濟(jì)發(fā)展水平的重要技術(shù)指標(biāo) 。 5. 企業(yè)信息資源管理的組織 ? 由于信息資源是企業(yè)的戰(zhàn)略資源 ， 信息資源管理已成為企業(yè)管理的重要支柱 。擔(dān)負(fù)這一職責(zé)的企業(yè)高層領(lǐng)導(dǎo)人就是企業(yè)的信息主管（ Chief Information Officer, CIO）。 ?本身的脆弱性和易于攻擊的弱點(diǎn) ， 使得信息系統(tǒng)的安全問(wèn)題越來(lái)越受到人們的廣泛重視 。 （ 2） 數(shù)據(jù)可訪問(wèn)性 數(shù)據(jù)信息可以很容易地被拷貝下來(lái)而不留痕跡 。 （ 5） 介質(zhì)的剩磁效應(yīng) 存儲(chǔ)介質(zhì)中的信息有時(shí)是擦除不干凈或不能完全擦除掉 ，會(huì)留下可讀信息的痕跡 ， 一旦被利用 ， 就會(huì)泄露 。 海灣戰(zhàn)爭(zhēng)爆發(fā)后 ， 美軍將其激活 ， 使伊拉克防空系統(tǒng)癱瘓 ， 從而保證了空襲的成功 。 人為破壞有以下幾種手段： ① 濫用特權(quán)身份； ② 不合法地使用； ③ 修改或非法復(fù)制系統(tǒng)中的數(shù)據(jù) 。它是在不干擾系統(tǒng)正常工作的情況下進(jìn)行偵收、截獲、竊取系統(tǒng)信息，以便破譯分析；利用觀察信息、控制信息的內(nèi)容來(lái)獲得目標(biāo)系統(tǒng)的位置、身份；利用研究機(jī)密信息的長(zhǎng)度和傳遞的頻度獲得信息的性質(zhì)。例如 ， 在統(tǒng)計(jì)數(shù)據(jù)庫(kù)中 ， 利用多次查詢數(shù)據(jù)的合法操作 ， 推導(dǎo)出不該了解的機(jī)密信息； ? 返回滲透 ， 有選擇地截取系統(tǒng)中央處理機(jī)的信息 ， 然后將偽信息返回系統(tǒng)用戶； 實(shí)踐證明，計(jì)算機(jī)病毒已成為威脅信息系統(tǒng)安全的最危險(xiǎn)的因素。 （ ３ ） 計(jì)算機(jī)處理的控制與管理制度 包括編程流程及控制 、 程序和數(shù)據(jù)的管理 ， 拷貝及移植 、存儲(chǔ)介質(zhì)的管理 ， 文件的標(biāo)準(zhǔn)化以及通信和網(wǎng)絡(luò)的管理 。 通常將兩種方法結(jié)合作用 ， 以起雙保險(xiǎn)的作用 。 要完全避免和防止電磁干擾是不現(xiàn)實(shí)的 ， 上述措施可以將電磁干擾控制在一定范圍內(nèi) ， 以致不影響和破壞系統(tǒng)的正常工作 。 ② 進(jìn)行用戶識(shí)別和訪問(wèn)控制 ， 即能進(jìn)行用戶身份的識(shí)別和驗(yàn)證 ， 限制用戶只能訪問(wèn)他所授權(quán)的數(shù)據(jù) ， 對(duì)不同的用戶限制在不同的狀態(tài)下進(jìn)行訪問(wèn) 。 數(shù)據(jù)加密技術(shù)是信息系統(tǒng)安全中最重要的技術(shù)措施之一 ， 具有廣泛的用途 。 通常 ， 加密和解密算法的操作都是在一組密鑰的控制下進(jìn)行的 ， 分別稱為加密密鑰和解密密鑰 。它包括口令的控制與鑒別技術(shù)、軟件加密技術(shù)、軟件防拷貝和防動(dòng)態(tài)跟蹤技術(shù)等。 計(jì)算機(jī)網(wǎng)絡(luò)中的各種資源 （ 如文件 、 數(shù)據(jù)庫(kù)等 ） 需要認(rèn)證機(jī)制的保護(hù) ， 以確保這些資源被應(yīng)該使用的人使用 。但是 ， 當(dāng)信息的收 /發(fā)方對(duì)信息內(nèi)容及發(fā)送源點(diǎn)產(chǎn)生爭(zhēng)執(zhí)時(shí) ，只有鑒別技術(shù)就不夠了 。 篡改 ， 接接收方對(duì)收到的信息進(jìn)行篡改 。 防火墻技術(shù) 防火墻是一道隔離網(wǎng)絡(luò)內(nèi)外的屏蔽 ， 其特點(diǎn)是不妨礙正常信息的流通 ， 對(duì)那些不外流的信息進(jìn)行嚴(yán)格把守 ， 是一種控制性質(zhì)的技術(shù) 。 對(duì)網(wǎng)絡(luò)中通信流分析的安全控制包括：掩蓋通信的頻度；掩蓋報(bào)文的長(zhǎng)度；掩蓋報(bào)文的形式；掩蓋報(bào)文的地址 （ 協(xié)議信息 ） 。 在實(shí)現(xiàn)數(shù)據(jù)保護(hù)的過(guò)程中 ， 該技術(shù)需要特殊的封閉的網(wǎng)絡(luò)拓樸結(jié)構(gòu)給予支持 ， 相應(yīng)的網(wǎng)絡(luò)開銷也比較大 。 由于這份報(bào)文有 B 方的簽名 ， 所以 ， 事后 B方是不能抵賴他所收到的報(bào)文的 。 偽造 ， 接接收方偽造一份文件 ， 聲稱它來(lái)自發(fā)送方 。 鑒別系統(tǒng)常用的參數(shù)有口令 、 標(biāo)識(shí)符 、密鑰 、 信物 、 指紋 、 視網(wǎng)紋等 。 大體上有以下幾種： ? 在主機(jī)內(nèi)或擴(kuò)充槽里裝入特殊硬件裝置 ? 采用特殊標(biāo)記的磁盤 ? “ 軟件指紋 ” ? 限制技術(shù) (“ 時(shí)間炸彈” ) ? 軟件加密 ? 反動(dòng)態(tài)跟蹤技術(shù) （ 4） 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全是指為保證網(wǎng)絡(luò)及其節(jié)點(diǎn)安全而采用的技術(shù)和方法。 記為 Y=Eke(x) 數(shù)據(jù)解密是用解密算法 D和解密密鑰 Ka將密文 Y變換成原來(lái)易于識(shí)讀的明文 X， 記為 X=Dka(Y) 在信息系統(tǒng)中 ， 對(duì)某信息除意定的授權(quán)接收者之外 ， 還有非授權(quán)者 ， 他們通過(guò)各種辦法來(lái)竊取信息 ， 稱其為截取者 。 ? 數(shù)據(jù)加密 數(shù)據(jù)加密就是按確定的加密變換方法 （ 加密算法 ） 對(duì)需要保護(hù)的數(shù)據(jù) （ 明文 ） 作處理 ， 使其成為難以識(shí)讀的數(shù)據(jù) （ 密文 ） 。 對(duì)數(shù)據(jù)庫(kù)的不同功能塊應(yīng)設(shè)置不同的