标准的基本概念
标准的本质特征
统一是标准的本质特征
不同级别的标准是在不同范围内进行统一的,不同类型的标准是从不同角度,不同侧面进行统一的,
同意并不意味着全部一样,标准的作用归根结底来源于统一。
标准的级别
国家标准 行业标准 地方标准 企业标准
我国对信息资源管理标准的指定采用统一管理和分工管理相结合的管理体制,在这种管理体制下形成的
标准体系根据适应范围和级别可以分为四个层次,试论述这四个层次,简单题
1.对需要在全国范围内统一的技术要求,应当指定国际标准,国家标准由国家标准管理局负责组织指定。
2.对额米有国家标准而又需要在全国某个行业范围内统一的技术要求,可以制定行业标准,行业标准由
国家有关行政只管部门指定,并报国家标准局备案,在公布国家标准之后,该行业标准即行废止。
3.对没有国家标准和行业标准而又需要在地方范围内统一的信息资源产品的安全,技术要求,可以制定相应
的地方标准,地方标准由各地标准化行政只管部门组织制定,并报国家标准局和国家上级行政主管部门备案
在公布国家标准和行业标准之后,该地方标准即行废止
4 企业生产的产品没有国家标准和行业标准的,应当指定企业标准,企业产品的标准需要报当地政府标准化
行政部门和有关行政主管部门备案,已有国家行业标准的,国家鼓励企业指定严于国家标准或行业标准对的
企业标注,在企业内部适用。
1.标准化的作用
标准化:为了在一定范围内获得最佳秩序,对现实问题或潜在问题指定共同的和重复使用的条款的活动
活动:编制 发布及实施标准的过程
标准化只要作用:在于为了其预期目的改进产品,过程和服务的适用性,防止贸易壁垒 并促进技术合作
术语标准化遵循的原则
有限原则 简化原则 灵活性原则 广义性原则
什么是术语标准化,属于标准化应遵循那些原则
术语标准化是指对信息资源活动中某一事务或过程的称谓或代号的标准化,其目的是为了使国际和国内标准统一,
同一术语表达同一概念 避免二义性,保持一致性
术语标准化应遵循以下四条原则
1.优先原则:术语标准化先于技术标准化
2 简化原则 进行术语标准化应使用简练的语言
3 灵活性原则 在术语标准化过程中,应采用灵活的方针。
4 广义性原则 术语标准化要以集体方式进行。
信息资源管理标准化的指导原则
效益原则 为了取得经济社会效益标准化的具体体现
优化原则 运用最优化方法实施 可采用系统工程方法
系统原则 系统思想为指导,整体观念 互相联系思想
协商原则 共同协商 取得一致
动态原则 随着科技发展 生产力水平提高 需修订相关标准
结合实际论述信息资源管理标准化指导原则
1.效益原则是其标准化目的的具体体现,效益原则使得信息资源管理标准化的实施始终坚持以
实用为目的
2.系统原则即以系统思想为指导,运用系统的理论和方法,以整体理念 互相联系的观念来分析和解决问题
3.动态原则 信息资源管理的标准随着科学技术的发展,生产力水平的提高和时间的推移,会发生相应的变化,
因此,要注意时间因素和阶段性,研究标准化发展的趋势,随时修订和重订有关的标准和规范
4.优化原则 是指在某个动态阶段,为了达到最佳的标准化效益,运用最优化的方法实施标准化,具体实施步骤
可采用系统工程方法。
5 协商原则,在指定和执行标准是要注意共同协商,取得一致,其一致性不仅包括对标准化内容的理解,
还包括时机的选择,贯彻实施步骤的安排等
简述标准化的只要作用和过程
标准化的只要作用是改善产品,生产过程和服务对于预定目标的适应性,消除贸易壁垒,便于技术协作
标准化不是一个孤立的事物,而是一个活动过程,只要是指定标准,贯彻标准 进而修订标准,此过程不是
一次就完结,而是一个不断循环,螺旋式上升的运动过程
简述信息法律的主体和客体。
信息法律的主体是指在信息法律关系中依法享有权利并承担相应义务的人或组织,如政府部门,经济组织
非盈利组织及个人
信息法律的客体是指一定的行为以及在特定环境中的物化或非物化财产,包括信息资源,信息技术,
各相关主体的信息行为三个方面
1. W企业可不可以指定M产品的企业标准
W企业可以为M产品制定自己的企业标准。
2.相关法律依据是什么?
《中华人民共和国标准化法》
3.该法律的适用范围如何?
《中华人民共和国标准化法》适用于在中国境内的一切企业,事业单位,相关 科研机构和学术团体
1.建立标准化系统的基本目标包括
建立最佳秩序
取得最佳效益
2.指定标准的对象,已经从技术领域延伸到经济领域和人类生活的其他领域,对象的内涵缩小为有限的特征
即 重复性事物
3.信息资源管理标准的本质特征是 统一
4. 以DB开始的标准代号表示这种标准是 地方标准
5.标准化工作需要横向深入到各个专业的技术领域以及每一专业技术领域的各个环节,这称为标准化的
横向综合性
6.术语标准化应遵循的原则只要是 优先原则 简化原则 灵活性原则 广义性原则
6.1 信息资源安全管理内涵
2. 信息安全技术
本质上,信息资源安全管理问题是指信息可用性和权属受到威胁
信息安全技术:是信息资源免受威胁的方法和措施,关注如下问题
可用性:有权限者,随时可以用;
保密性:机密信息不被窃取,或窃取后不能了解真实含义;
认证性:对信息来源进行判断(身份认证),伪造来源的信息予以鉴别
一致性:内容不被非法用户篡改 信息内容认证
简述信息资源管理中的技术安全管理内容
信息资源安全管理更多的从技术的角度,利用各种信息安全技术,解决信息资源(网络 软件 信息等资源)
的可用性,保密性,人整形,一致性等安全管理问题
包括通信网络,软件系统和数据信息等层面的安全管理,即技术安全管理,以保证信息系统安全工作,
最终实现信息的有效开发和利用。
3.信息资源安全管理的主要任务
1. 采取技术和管理措施,保证信息资源可用,即让信息和信息系统在任何时候可被合法用户使用。
2.采用数据加密技术,使信息在其处理过程中,内容不被非法者获得。
3.建立有效的责任机制,防止用户否认其行为
4.建立可审查的机制,实现责任追究性。
简述信息资源安全管理的只要任务
信息资源安全管理的只要任务有:
采取技术和管理措施,保证信息资源可用。
采取数据和加密技术,使信息在其处理过程中,内容不被非法者获得。
建立有效的责任机制,防止用户否认其行为
建立可查询的机制,实现责任追究性
2. 信息安全技术
本质上,信息资源安全管理问题是指信息可用性和权属受到威胁
信心安全技术:是信息资源免受威胁的方法和措施,关注如下问题,
可用性:有权限者,随时可以用
保密性:机密信息不被窃取,或窃取互不能了解真实含义;
认证性:对信息来源进行判断,伪造来源的信息予以鉴别
一致性:内容不被非法用户篡改
结合以上材料,论述如何利用信息安全技术,解决信息资源的可用性,保密性,认证性 一致性等问题
1.利用防火墙 vpn 等网络资源访问控制技术保证企业内外网络的安全
2.通过各种身份认证 和权限管理手段,实现网络,系统数据的访问控制和身份安全
3.采取十一的加密技术,保证网络,软件,数据的安全
4.建立企业级的病毒防范系统,防御和最大限度的减低病毒侵害
5 利用ids 入侵检测系统 网络监控 系统日志等手段 建立和完善日常的管理体系 防御 追踪和处理
潜在的和已发生的各类安全问题
1.软件安全问题
1.管理手段:软件安全管理既依赖于 道德 法律和实体保护等非技术手段
2.技术手段
软件资产的安全管理措施:软件备份安全管理和软件代码安全管理。
磁盘或光盘备份的软件:软件指纹, 软件加密
安装使用的软件:软件狗 电子锁 时间炸弹
代码安全:数字签名 反动态跟踪
1.结合上述案例,分析如何使用防火墙,入侵检测 防病毒软件,实时异地备份保障信息的安全
1.将防火墙部署在校园信息系统与外网的边界上
2.将入侵检测系统部署在校园内关键网络系统上
3.将防病毒软件部署在校园内部的主机系统,用以保护主机安全。
4.采取 数据备份 安全措施,建立并完善备份系统。
1. 在不影响校园信息系统正常使用的前提下,将防火墙部署在校园信息系统与外网的边界上,设定合理的防火墙策略
,使得外部访问被限制在合法范围内,从而阻止外部黑客的入侵。
2.将入侵检测系统部署在校园内关键网络系统上,实时获取和分析数据,并检测可能的外部和内部黑客入侵行为
3.将防病毒软件部署在校园内部的主机系统,用于保护知己安全。
4.采取 数据备份 安全措施,建立并完善备份系统。
上述技术可以提供一个较为完善的深度保护方案。
一旦黑客发起入侵,首先由防火墙提供初步的保护,如果防火墙被突破,则有入侵检测系统和防病毒软件保护
内部网络和主机系统,甚至入侵检测系统和防病毒软件的保护被突破,系统遭到破坏,备份系统可以将
关键数据恢复,避免发生 用户储值记录丢失 的恶性事故。
1. 信息系统安全层次模型
行为规范层 实体安全层 技术安全层
1 法律道德纪律
2 管理制度措施
3, 物理实体安全
4 硬件系统安全
5 通信网络安全
6 软件系统安全
7 数据信息安全
主观题
实体安全只要涉及信息系统的硬件及其运行环境,其安全与否对已网络,软件 数据等安全有着
重要影响,试结合机房应用,阐述实体安全应该采取的各种防护策略
1. 场地环境安全 包括机房场地安全,如远离易燃易爆的地点
2 硬件安全 包括硬件设备的档案管理,防电磁干扰,防电磁泄露,电源安全,一般电功率要
超过所有设备负载的123%
3 介质安全 重要数据要加密保存,分门别类存放介质,保证不被破坏
数据库管理员可以利用什么语句进行授权
数据库管理员可以利用 GRANT <权限表> ON <数据库元素> TO <用户表> <WITH option>
语句进行授权
2.1999年 五个等级
1 用户自主保护级
2 系统审计保护级
3 安全标记保护级
4 结构化保护级
5 访问验证保护级
关于公钥基础设施 PKI
PKI 是一个基于公钥加密技术的安全技术体系,是硬件产品,软件产品,策略和过程的综合体
2.KPI的核心任务是什么
KPI的核心任务是创建 管理 存储 分配和吊销用户的数字证书。
要求:分析如何应用密码学技术和管理方法解决上述案例中的身份验证和电子证据问题。
首先必须让信息系统 的账号和现实世界中人实现1对1或者多对1的映射
2 其次,必须建立完善的PKI系统,使得每个安全邮件系统的用户都具有至少一对公钥和对应的私钥
并确保用户能够保持私钥不被泄露,用户在接入邮件系统中,必须进行身份认证。
3.再次,让这些较为重要的邮件使用发送者的私钥进行签名,防止恶意用户伪造信息,接受者应当使用发送者
的公钥进行签名验证,验证邮件的完整性,
4.最后,依据2005年4月1日实施的中华人民共和国电子签名法,等相关法律,根据数据签名为法庭上处理数字纠纷
提供可靠的数字证据。
分析如何应对密码学技术和管理方法解决上述案例中的身份验证和电子证据问题
1 实现1对1或者多对1的映射
2 完善的PKI系统,用户有至少一对公钥和对应的私钥,保持私钥不被泄露,进行身份认证
3.使用发送者的私钥进行签名,接受者应当使用发送者的公钥进行签名验证
4 根据数据签名为提供可靠的数字证据
1.为保障安全,信息系统中的每个用户应尽可能的 配置最小特权
windows2000的安全级别可以达到 C2
windows server 2003 是 系统软件
4.数据库的日志文件用来记录数据库的每一次 更新活动
5.独立CA之间可以互联并可交叉认证,从而形成庞大的分级,交叉认证体系,最终实现大型网络的
信息信任模型
从时效性看,企业信息的分类有哪些?
沉淀信息,长时间不变动的,作用时效长的信息;
累积信息,有较长作用时效,变化周期较长的信息
即时信息,变化迅速的,作用时间短的信息。
S公司开展电子商务项目的步骤
1. 电子商务战略规划
2.系统开发方式选择
3.系统开发与测试
4.安装 培训与试运行
5. 系统运行与维护
1. 请结合信息资源管理的过程论述该电子商务项目各个阶段的具体工作
1 电子商务战略规划阶段 只要是企业战略规划和信息化指导下,研究开展电子商务项目的必要性
实施什么样的电子商务以及何时实施电子商务等问题。
2. 系统开发方式选择,是根据企业商务特点,实际情况和安全性等情况,从外包 购买 自主研发
进入行业电子市场等方式中选择合适的开发模式。
3.系统开发与测试阶段是指通过详细调查分析系统需求,利用选择的系统开发模式开发系统,经过多次此时
修改,才能上线使用
4. 安装 培训与试运行阶段指上线前的各种准备工作, 包括实体准备数据准备 新旧系统交接 培训准备等
5.系统运行与维护阶段指记录系统运行的情况,经常进行系统的维护和评价。根据一定的标准和规格对系统
进行必要的修改,评价系统的工作质量和经济效益
简述政府信息资源管理的特点
管理目标的多样性:政府信息资源管理必须为政府决策当好参谋,宣传政治 军事 科技 经济或文化思想
实现相应的目的,树立政府的形象提升其社会影响力;实现办公自动化
管理模式的灵活性;要因地制宜,具体问题具体分析,实现政府信息资源管理。
管理手段的多维性:在进行政府信息资源管理时,技术手段是必不可少的,此外,又必须与行政和法律手段结合
如何理解 信息化建设是典型的一把手工程
1 战略 信息化支持企业战略的实现
2 内部运作,优化甚至变革传统的业务流程,并可能引发组织变革,牵扯组织的责任权利的重新分配
3.配合:信息化建设是系统工程,需要公司各部门之间的整体协调和配合在关键时刻
需要一把手利用其权威调动和协调公司各方面的力量推动项目实施。
1. 在信息资源管理时代,企业信息资源管理的手段是 企业组织战略
2.企业信息资源管理强调
管理策略与技术手段融合
一下属于按生产,产品以及销售形态进行分类的企业是 虚拟企业
1.企业信息化是一个循序渐进持续不断的过程,同时也是一个 高投入 高产出且高风险的过程
2.企业信息化提供的各种手段涵盖了先进经营管理理念和行业最佳实践