软考_信息系统项目管理师_信息化与信息系统（五）

一、信息系统与信息化
二、信息系统开发方法
三、常规信息系统集成技术
四、软件工程
五、新一代信息技术
以上内容见
软考_信息系统项目管理师_信息化与信息系统（一）
软考_信息系统项目管理师_信息化与信息系统（二）
软考_信息系统项目管理师_信息化与信息系统（三）
软考_信息系统项目管理师_信息化与信息系统（四）

六、信息系统安全技术

6.1 信息安全概念

6.1.1 安全属性

1. 秘密性：信息不被未授权者知晓属性
2. 完整性：信息是正确的，真实的，未被篡改的，完整无缺的属性
3. 可用性：信息可以随时正常使用的属性

6.1.2 安全分层

6.1.2.1 设备安全

1. 设备的稳定性：在一定时间内不出现故障的概率
2. 设备的可用性：随时可以正常使用的概率
3. 设备的可靠性：在一定时间内正常执行任务的概率

6.1.2.2 数据安全

6.1.2.2.1 安全属性

1. 秘密性
2. 完整性
3. 可用性

数据安全是一种静态安全

6.1.2.3 内容安全

是信息安全在政治、法律、道德层次的要求

6.1.2.4 行为安全

6.1.2.4.1安全属性

1. 秘密性
2. 完整性
3. 可控性

行为安全是一种动态安全

6.1.3 信息安全技术

6.1.4 信息安全等级

6.1.4.1 信息系统的安全保护等级

6.1.4.1.1 第一级

对公民、法人和其他组织的合法权益造成伤害，但不损害国家安全、社会秩序和公共利益

6.1.4.1.2 第二级

对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但是不损害国家安全

6.1.4.1.3 第三级

会对社会秩序和公共利益造成严重损失，或者对国家安全造成损害

6.1.4.1.4 第四级

会对社会秩序和公共利益造成特别严重的损害，或者对国家安全造成严重损害

6.1.4.1.5 第五级

会对国家造成特别严重损害

6.1.4.2 安全保护能力等级

1. 用户自主保护级：普通内联网用户
2. 系统审计级：该级适用通过内联网或国际网进行商务活动，需要保密的非重要单位
3. 安全标记保护级：该级适用于地方各级国家机关、金融单位机构、邮电通信、能源于水源供给部门、交通、大型工商与信息技术企业、重点工程建设等单位
4. 结构化保护等级：该级使用于中央级国家机关、广播电视部门、重点物资存储单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门
5. 访问验证保护级：该级适用于国家关键部门和依法需要对计算机信息系统实时特殊隔离的单位

6.2 信息加密、解密常用算法

6.2.1 对称加密技术

6.2.1.1 特点

• 加密密钥和解密密钥是相同的
• 使用起来简单快捷，密钥较短，破解相对容易
• 适用于一对一的场景

6.2.1.2 算法

DES/56位
3DES/112位
IDEA/128位
AES/128位或192或256位

6.2.2 非对称加密技术

6.2.2.1 特点

• 加密密钥和解密密钥不同
• 公钥用来加密，公开
• 私钥用来解密，非公开
• 适用于一对多的场景

6.2.2.2 算法

RSA

6.2.3 Hash函数概念

将任意长度的报文M映射成定长的Hash码h，Hash函数可提供保密性、报文认证以及数据签名功能

6.2.4 数字签名概念

6.2.4.1 作用

签名是证明当事人的身份和数据真实性的一种方式

6.2.4.2 条件

• 签名者事后不能抵赖自己的签名
• 任何其他人不能伪造签名
• 如果当事的双方关于签名发生争执，能够在公正的仲裁者面前通过验证签名来确认其真伪

6.2.4.3 方法

利用RSA密码可以同时实现数据签名和数据加密

6.2.认证

又称为鉴别、确认，证实某事是名副其实或是有效的一个过程

6.2.1 与加密的区别

• 加密用以确保数据的保密性，阻止对手的被动攻击，如截取、窃听等
• 认证用以确保报文发送者和接收者的真实性以及报文的完整性，阻止对手的主动攻击如冒充、篡改、重播等
• 认证往往是许多应用系统种安全保护的第一设防，因而极为重要

6.2.2 与数字签名的区别

• 认证总是基于某种收发双方共享的保密数据来认证被鉴别对象的真实性，而数字签名中用于验证签名的数据是公开的
• 认证允许收发双方相互验证真实性，不准许第三者验证，而数字签名允许收发方和第三者都进行验证
• 数字签名具有发送方不能抵赖、接收方不能伪造和具有在公证人前解决纠纷的能力，而认证不一定具备

6.3 信息系统安全

6.3.1 网络安全

6.3.1.1 防火墙

• 用于逻辑隔离外部网络与受保护的内部网络
• 主要是实现网络安全策略，策略是预先定义好的，是一种静态安全技术
• 在策略中涉及的网络行为可以实施有效的管理，而策略之外的网络行为则无法控制
• 防火墙的安全策略由安全规则表示

6.3.1.2 入侵检测（IDS）

• 注重的是网络安全状况的监管，通过监视网络或系统的资源寻找违反安全策略的行为或者攻击迹象，并发出告警
• 大多是IDS系统都是被动

6.3.1.3 入侵检测（IPS）

• 倾向于提供主动防护，注重入侵行为的控制
• 设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失
• 通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可以内容后，再通过另外一个端口将它传送到内部系统中

6.3.1.4 虚拟专用网络

• 在公共的网络中建立专用的，安全的数据通信通道的技术
• 网络连接由客户机、传输介质和服务器三部分组成
• 常见的隧道技术：点对点隧道协议（PPTP）、二层隧道协议（L2TP）和IP安全协议（IPSec）

6.3.1.5 安全扫描

漏洞扫描、端口扫描、密码类扫描（发现弱口令密码）等

6.3.1.6 网络蜜罐

• 主动防御技术
• 入侵检测技术的另外重要发展方向，也是一个“诱捕”攻击者的陷阱

6.3.1.7 无线网络安全技术

无线公开密钥基础设施（WPKI）、有线对等加密协议（WEP）、WIFI网络安全接入（WPA/WPA2）、无线局域网鉴别与保密体系（WAPI）、802.11i（802.11工作组为新一代WLAN制定的安全标准）

6.3.2 操作系统安全

6.3.2.1 威胁分类

6.3.2.1.1 按行为方式

1. 切断：对可用性的威胁
2. 截取：对机密性的威胁
3. 篡改：对完整性的攻击
4. 伪造：对合法性的威胁

6.3.3 应用系统安全

6.3.3.1 Web访问控制技术

• IP地址、子网或域名
• 用户名/口令
• 通过公钥加密体系PKI（CA）认证

6.3.3.2 单点登录（SSO）技术

一次认证，多次访问

6.3.3.3 网络防篡改技术

• 时间轮询技术
• 核心内嵌技术
• 事件触发技术
• 文件过滤驱动技术

6.3.3.4 Web内容安全

• 电子邮件过滤
• 网页过滤
• 反间谍软件

七、信息化发展与应用

7.1 电子政务

电子政务并不是要完全取代传统政务，也不是简单的将传统的政务原封不动地搬到Internet上

7.1.1 应用模式

1. 政府对政府：G2G（Government to Government）
2. 政府对企业：G2B（Government to Business）
3. 政府对公众：G2C（Government to Citizen）
4. 政府对公务员：G2E（Government to employee）

7.2 电子商务

7.2.1 应用模式

1. 企业与企业之间的电子商务：B2B（Business to Business）
2. 企业与消费者之间的电子商务：B2C（Business to Consumer）
3. 消费者与消费者之间的电子商务：C2C（Consumer to Consumer）
4. 线上购买线下的商品和服务，实体店提货或者享受服务：O2O（Online to Online）
5. 企业对政府的电子商务：B2G（Business to Government），B2A（Business to Administrations）
6. 个人对企业的电子商务：C2B（Consumer to Business）
7. 个人对政府的电子商务：C2G（Consumer to Government）

7.3 工业与信息化融合

7.3.1 两化融合

1. 工业化
2. 信息化

7.3.1.1 方向

“中国制造2025”：促进两化深度融合，加快从制造大国转向制造强国，需要电子信息产业有力支撑，大力发展新一代信息技术，加快发展智能制造和工业互联网

7.3.1.2 含义

1. 信息化与工业化发展战略的融合
2. 信息资料与材料、能源等工业资源的融合
3. 虚拟经济与工业实体经济融合
4. 信息技术与工业技术、IT设备与工业装备的融合

八、信息系统服务管理

8.1 典型的信息系统项目的特点

1. 项目初期目标往往不太明确
2. 需求变化频繁
3. 智力密集型
4. 系统分析和设计所需人员层次高、专业化强
5. 设计的软硬件厂商和承包商多、联系、协调复杂
6. 软件与硬件常常需要个性化定制
7. 项目生命周期通常较短
8. 通常采用大量的新技术
9. 使用与维护的要求高
10. 项目绩效难以评估与量化

8.2 信息系统工程监理的概念和发展

依法设立且具备相应资质的信息系统工程监理单位，受业主单位（建设单位）委托，依照国家有关法律法规、技术标准和信息系统工程合同、建设合同，对信息系统工程项目实施的监督管理

8.2.1 信息系统工程监理的内容

8.2.1.1 四控

1. 投资控制
2. 进度控制
3. 质量控制
4. 变更控制

8.2.1.2 三管

1. 合同管理
2. 信息管理
3. 安全管理

8.2.1.3 一协调

沟通协调

8.3 系统运行维护

运行维护是信息系统生命周期中最重要的，也是最长的一个阶段

8.3.1 IT服务管理

核心思想：1、提供低成本、高质量的IT服务；2、IT服务的质量和成本则需从IT服务的客户（IT服务）方和用户（使用IT服务）方加以判断；3、以服务为中心的IT管理