1.6 信息系统安全技术
1.6.1 信息安全的有关概念
(1) 包含内容:私密性(Confidentiality)、完整性(Integrity)、可用性(Availability)
(2) 划分层次:设备安全、数据安全、内容安全、行为安全
(3) 安全等级:
1) 第一级:对公民、法人和其他组织的合法性权益造成损害,但不损害国家安全、社会秩序和公共利益
2) 第二级:对社会秩序和公共利益造成损害,但不损害国家安全
3) 第三级:会对社会秩序和公共利益造成严重损害,或对国家安全造成损害
4) 第四级:对国家安全造成严重损害
5) 第五级:对国家安全造成特别严重损害
(4) 安全保护等级:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级
1.6.2 信息加密、解密与常用算法
加密技术的基本思想是伪装信息,使未授权者不能理解它的真实含义。
明文 – M
密文 – C
加密 (明文 -> 密文) Encryption
解密 (密文 -> 明文) Decryption
加密算法:
(1) 对称加密技术:加密和解密秘钥相同
DES:56位 数据加密标准(简单快捷,秘钥较短,且破译困难)
3DES:112位
IDEA:128位 国际数据加密算法
AES:256位 数据加密标准算法
(2) 非对称加密技术:加密和解密秘钥不同,加密秘钥可以公开,解密秘钥需要保密
RSA:任意长度,512位,既可用于加密,又可用于数字签名
Hash函数:提供保密性、报文认证以及数字签名
数字签名:证明当事者身份和数据真实性的一种信息
(3) 认证:确保真实性和完整性,阻止对手的主动攻击,如冒充、篡改、重播等;
加密:确保保密性,阻止对手的被动攻击,如截取、窃取等;
1.6.3 信息系统安全
防火墙:阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全威胁,主要用于逻辑隔离外部网络与受保护的内部网络(静态安全技术)
入侵检测与防护:
(1) 入侵检测系统(IDS):注重网络安全状况的监管(被动)
(2) 入侵防护系统(IPS):注重对入侵行为的控制(主动)
常见的无线网路技术包括:WPKI、WEP、WPA/WPA2、WAPI、802.11i等
操作系统安全威胁划分:切断、截取、篡改、伪造
1.7 信息化发展与应用
1.7.1 信息化发展与应用的新特点
1.7.2 国家信息化发展战略
口诀:经政文社基开竞安用
- 推进国民经济信息化
- 推进电子政务
- 建设先进网络文化
- 推进社会信息化
- 完善综合信息基础设施
- 加强信息资源的开发利用
- 提高信息产业竞争力
- 建设国家信息安全保障体系
- 提高国民信息技术应用能力
1.7.3 电子政务
电子政务应用模式:
(1) G2G:政府对政府
(2) G2B:政府对企业
(3) G2C:政府对公众
(4) G2E:政府对公务员
1.7.4 电子商务
电子商务的应用类型:
(1) B2B:企业对企业
(2) B2C:企业对消费者
(3) C2C:消费者对消费者
(4) B2A(B2G):企业对政府
(5) O2O:线上对线下
1.7.5 工业和信息化融合
1.7.6 智慧化
1.8 信息系统服务管理
1.8.1 信息系统服务业及发展
中国特色的信息系统集成及服务管理体系:
(1) 信息系统集成、运维服务和信息系统监理及其管理;
(2) 项目管理、运维服务和信息系统监理人员的水平评价;
(3) 国家计划部门对规范的、具备信息系统项目管理能力的企业和人员的建议性要求;
(4) 信息系统用户对规范的、具备信息系统项目管理能力的企业和人员市场性需求。
1.8.2 信息系统工程监理的概念和发展
工程监理内容:四控三管一协调
(1) 四控:投资控制、进度控制、质量控制、变更控制
(2) 三管:合同管理、信息管理、安全管理
(3) 一协调:沟通协调
1.8.3 信息系统运行维护的概念和发展
运行维护是信息系统生命周期中最重要、也是最长的一个阶段。
1.8.4 信息技术服务管理的标准和框架
信息资源管理标准化的指导原则:效益原则、系统原则、动态原则、优化原则、协商原则。
业务流程分为:管理流程、操作流程、支持流程