导图社区第1章信息与信息系统

第1章信息与信息系统

信息系统项目管理师，属于计算机技术与软件（高级）专业技术资格。通过本考试的合格人员能够掌握信息系统项目管理的知识体系，具备管理大型、复杂信息系统项目和多项目的经验和能力；能根据需求组织制订可行的项目管理计划；能够组织项目实施，对项目的人员、资金、设备、进度和质量等进行管理，并能根据实际情况及时做出调整，系统地监督项目实施过程的绩效，保证项目在一定的约束条件下达到既定的项目目标

编辑于2022-09-16 09:46:21 安徽

信息与信息系统

ED0Y4SAP

他的近期作品查看更多>>

第1章信息与信息系统

社区模板帮助中心，点此进入>>

ED0Y4SAP

他的近期作品查看更多>>

相似推荐
大纲

项目时间管理6大步骤
- 17.2k
- 345
- 887
- 126
MindMaster
互联网9大思维
- 33.7k
- 905
- 2.4k
- 389
MindMaster
项目管理的五个步骤
- 46.4k
- 1.9k
- 2.5k
- 486
MindMaster
电商部人员工作结构
- 7.6k
- 173
- 245
- 16
issen
组织架构-单商户商城webAPP 思维导图。
- 14.6k
- 3
- 184
- 10
Kacyun
暮尚正常运转导图
- 7.6k
- 690
- 43
- 0
宋林鉴
域控上线
- 1.6k
- 162
- 11
- 4
jackrao
产品经理如何做好项目管理
- 6.9k
- 48
- 209
- 10
issen
车队管理
- 3.4k
- 12
- 78
- 4
嘻嘻哈哈
python思维导图
- 5.4k
- 522
- 242
- 7
(*^▽^*)

第一章信息与信息系统

一、信息系统及其开发方法

信息系统基础

信息

概念：信息是用来消除不确定型的东西。

质量属性（7）：精确性、完整性、可靠性、及时性、经济性、可验证性、安全性

传输模型：

信息技术的核心是传输技术（通常指通信、网络等）

信息系统

概念：输入数据，经过加工处理产生信息的系统。

显著特点

面向管理

支持生产

信息系统类型：

信息系统突出特性（3）:开放性（指系统的可访问性）、脆弱性（与稳定性相对，隐藏不易被外界感知）、健壮性（能够抵御出现非预期状况的特性，也称鲁棒性）

信息系统图：

信息系统包括：

软件、硬件、数据库、存储、网络、感知设备、人员、规程、外设

信息系统集成的概念：

以现代管理理论为计划、设计、控制的方法论，将硬件、存储网络设备按照事先确定的结构和顺序，有机地整合到一个有清晰边界的系统中，以达到预期目标的行为。

信息系统生命周期模型

立项（系统规划、可行性分析、项目开发计划）

编写《可行性研究报告》、《系统设计任务书》

开发

分析（系统分析、需求分析）

设计逻辑模型，编写《系统说明书》

设计（概要设计+详细设计）

实现逻辑模型，设计物理模型，编写《系统设计说明书》

实施（包括设备购置、安装和调试、程序编写和测试、人员培训、数据文件转换、系统调试与转换等）

实现物理模型

系统验收

运维（维护和评价，记录系统运行情况）

消亡

信息化

五个层次：产品信息化→企业信息化→产业信息化→国民经济信息化→社会生活信息化

一站两网四库十二金

一站：政府门户网站

两网：政务内网、政务外网

四库：人口库、法人库、宏观经济库、空间和自然资源库

十二金

金宏、办公业务资源

金关、金税、金财、金审、金融监管

金农、金水、金质、金盾、金保

国家信息化体系图：

信息资源开发利用：核心任务、关键、薄弱环节、衡量信息化水平的重要标志。

信息技术应用：龙头、主阵地、体现了需求和效益

信息化人才：成功之本，核心和关键

信息技术和产业：物质基础

信息网络：基础设施

法规规范：保障

软件维护类型（4）

更正性维护

有错误

预防性维护

可能有错误

适应性维护

没有错误，适应环境

完善性维护

没有错误，完善功能

信息系统设计和开发方法

结构化方法

精髓：自顶向下、逐步求精、模块化设计

优点

开发目标清晰化

开发工作阶段化

开发文档规范化

设计方法结构化

缺点

开发周期长、很难适应需求变化、很少考虑数据结构

面向对象方法

优点

具有更好的复用性

符合人类思维习惯

缺点

大型复杂系统难以使用

原型法

原则：集成原则、最小系统原则

分类

从是否实现功能划分

水平原型：又称行为原型，用于实现界面设计

垂直原型：又称结构化原型，用于复杂算法实现

从最终结果划分

抛弃型原型：又称探索式原型，适用于需求不清的情形

演化型原型：适用于易于优化升级的场合，特别适用于web项目。

优点

周期短、进度快、成本效益好

用户参与开发过程，能够增加满意度、提高项目成功率

用户参与开发过程，易于交付和运维

缺点

开发环境要求高、管理水平要求高

适用于需求不明确，分析层面难度大，技术层面难度不大的项目

面向服务的方法

将接口的定义与实现解耦，提高可复用性、互操作性、资源共享

常用信息系统集成技术

网络

网络协议三要素：语法、语义、时序

OSI七层模型（从上往下）

应用层

作用：提供接口

代表协议：FTP（21端口控制、20端口数据，建立在TCP上）、 Telnet（23端口，建立在TCP上）、HTTP（建立在TCP上）、DHCP（建立在UDP上，分为固定分配、动态分配、自动分配）、SMTP、DNS、SNMP

表示层

作用：对数据进行压缩、处理、格式化

代表协议：MPEG、JPG、GIF、DES

会话层

作用：两点之间建立维持通信

代表协议：RPC、SQL

传输层

作用：保证数据准确、可靠、有序传输

代表协议：TCP（可靠、面向连接、全双工）、UDP（不可靠、无连接）、SPX

TCP、UDP协议的作用：错误校验、排序服务、流量控制

网络层

作用：将网路地址转化为物理地址

代表协议：IP、ICMP（发送差错报文）、IGMP（多播）、IPX、ARP、RARP

数据链路层

作用：将数据分割成帧，以便在物理层传输

代表协议：IEEE802.3

物理层

作用：产生和检测电压

代表协议：RS232、RJ45、PPP、

网络设备

物理层----集线器、中继器

数据链路层----网桥、二层交换机

网络层----路由器、三层交换机

传输层----网关、多层路由器

无线网络设备：无线网卡、无线AP、无线网桥、无线路由器

网络存储技术

DAS（直接附加存储）

使用SCSI接口连接存储设备和服务器

NAS（网络附加存储）

使用网络接口连接

支持即插即用

SAN（存储区域网络，通过专用高速网连接）

IP SAN

成本低、配置技术简单

FC SAN

热插拔性、高速带宽、远程连接、连接设备数量大

IB SAN

结构设计紧密、提高系统性能、可靠性、有效性

网络接入技术

有线网络：PSTN（共用交换电话网，速度低于６４ｋｂ／ｓ，用于传真和POS）、ISDN（用于传输Ｘ.２５资料）、ADSL、FTTｘ+LAN（APON、EPON）、HFC（６４QAM调制，上行１０Ｍｂ／ｓ）

无线网络：wifi、2G、3G、4G、5G

网络规划与设计

规划：需求分析、可行性分析、现有网络分析与描述

设计

包括：确定网络总体目标和设计原则、网络总体设计和拓扑结构设计、确定网络选型、进行网络安全设计等内容

分层设计模型

接入层：允许终端用户接入到网络

汇聚层：是核心层和接入层的分界面，完成网络访问策略控制，数据包处理、过滤、寻址等任务

核心层：通过高速转发通信，提供优化、可靠的骨干传输结构

网络设计工作

网络拓扑结构设计：考虑地理环境、传输介质、传输距离以及可靠性等因素

主干网络（核心层）设计：根据用户方网络规模大小、网上传输信息种类、用户方可投入的资金等因素考虑

汇聚层和接入层设计：汇聚层存在与否，取决于网络规模的大小

广域网连接和远程访问设计：根据网络规模大小、网络用户数量，选择对外连接通道技术和带宽

无线网络设计：适用于很难布线或者经常需要变动布线结构的地方，也适用于城市范围内的网络接入

网络安全设计：制定安全策略、用户验证、加密、访问控制、审计和管理

信息安全基本要素：机密性、完整性、可靠性、可用性、可审查性

设备选型：核心交换机选型、汇聚层／接入层交换机选型、远程接入与访问设备选型、网络安全设备选型（防火墙、入侵检测测设备、信息加密设备、身份认证设施等选型）

网络实施

数据库技术

关系型数据库

Oracle

MySQL

SQL　Server

４个基本服务器组件：Open　Data　Services、 MS　SQL　Server、SQL　Server　Agent、MSDTC

非关系型数据库

MongoDB

数据仓库技术

概念：数据仓库是一个面向主题的、集成的、非易失的、且随时间变化的数据集合，用于支持管理决策

体系结构

数据源：数据仓库系统的基础、整个系统数据源泉

数据存储与管理：整个数据仓库系统的核心

OLAP服务器

ROLAP：基本数据和聚合数据均存放在RDBMS中

MOLAP：基本数据和聚合数据均存放在多维数据库中

HOLAP：基本数据存放在RDNBMS中，聚合数据存放在多维数据库中

前端工具：查询工具、报表工具、分析工具、数据挖掘工具、应用开发工具

数据仓库有关概念

ETL：数据清洗、转换、加载，

元数据：是关于数据的数据，包括：数据仓库表结构、数据仓库表属性等

ODS（操作数据存储）：基本特点：面向主题的、集成的、可变的、当前或接近当前的

中间件技术

定义：

在一个分布式系统环境中，处于操作系统和应用程序之间的软件

一种独立的系统软件或服务程序

分类

底层型中间件：主流技术（JVM，CLR，ACE、JDBC、ODBC），代表产品（SUN　JVM，Microsoft　CLR）

通用型中间件：主流技术（CORBA、J２EE、MOM、COM），代表产品（IONA　Ｏｒｂｉｘ、BEA　ＷebLogic、IBM MQSeries）

集成型中间件：主流技术（WorkFlow、EAI），代表产品（BEA WebLogic、IBM WebSphere）

典型应用

为了完成系统底层传输层集成，采用CORBA技术

为了完成不同系统的信息传递，采用消息中间件

为了完成不同硬件和操作系统集成，采用J2EE中间件

可靠性与可用性

可用性：系统保持正常运行时间的百分比。MTTF/（MTTF+MTTR）*100%

可靠性：在错误面前维持软件系统功能性的基本能力

系统可用应越好，平均无故障时间（MTTF）越长，系统可维护性越好，平均维修时间（MTTR）越短

可用性战术

错误检测：命令/响应，心跳、异常

错误恢复：表决、主动冗余、被动冗余

错误预防：引入进程监视器、将可能出错的组件从服务中删除

商业智能系统主要功能

数据仓库

数据ETL

数据统计输出（报表）

分析功能

软件工程

软件工程组成：方法、工具、过程

需求分析

需求相关概念：

软件需求：是指用户对新系统在功能、性能、行为、设计约束等方面的期望

需求层次

业务需求：反应企业或客户对系统高层次的目标要求

用户需求：描述用户的具体目标或者用户要求系统必须能完成的任务

系统需求:从系统角度说明软件需求

功能需求：也称行为需求，规定系统必须实现的软件功能，通过系统特性的描述表现（特性：一组逻辑上相关的功能需求）

非功能需求：系统必须具备的属性或品质

设计约束：也称限制条件或补充规约

质量功能部署（QFD）概念：将客户需要转化成软件需求的一种技术

常规需求：用户认为系统应该做到的功能或性能，实现越多，用户越满意

期望需求：用户想当然认为系统应具备的功能或性能，但并不能正确描述。如果期望需求没有得到实现，会让用户感到不满意。

意外需求：也称兴奋需求，用户要求范围外的功能或性能，实现了客户会高兴，未实现也不影响其购买决策

需求开发活动流程

需求获取：

获取需求方法：访谈、问卷调查、采样、情节串联版、联合需求计划

需求分析

结构化分析（SA）方法

核心：建立一个数据字典

围绕数据字典创建三个模型

数据模型--使用实体联系图（E-R图）表示

功能模型--使用数据流图（DFD图）表示

行为模型--使用状态转换图（STD图）表示

面向对象分析（OOA）方法（核心工作是创建用例模型和分析模型）

用例模型：识别参与者--合并需求获得用例--细化用例描述--调整用例模型

分析模型：定义概念类--确定类之间的关系--为类添加职责--建立交互图

类之间的关系

关联关系

提供了不同类的对象之间的结构关系，体现的是对象实例之间的关系，而不表示两个类之间的关系。

依赖关系

两个类A和B，如果B的变化可能会引起A的变化。

泛化关系

描述了一般事物与该事物中的特殊种类之间的关系。

共享聚集

简称聚合，表示类之间的整体与部分的关系，

组合聚集

简称组合，表示类之间的整体与部分的关系

实现关系

将说明和实现联系起来。

需求规格说明书（SRS）

SRS是需求开发活动的产物，目的是使项目干系人和开发团队对系统的初始规定有一个共同的理解。

内容包括（8）：范围、引用文件、需求、合格性规定、需求可追踪性、尚未解决的问题、注解、附录

好需求的特征（8）：无二义性、完整性、一致性、可测试性、确定性、可追踪性、正确性、必要性

需求验证

需求验证的内容

SRS正确描述预期的、满足干系人需求的系统行为和特征

SRS中的软件需求是从系统需求、业务规格和其他来源中正确推导而来的

需求是完整的和高质量的

需求的表示在所有地方都是一致的

需求为继续进行系统设计、实现和测试提供了足够的基础

实际工作中一般通过需求评审和需求测试对需求进行验证

需求评审就是对SRS进行技术评审

UML（一种定义良好、易于表达、功能强大、普遍使用的建模语言）

UML结构包括构造块（三种基本构造块：事务、关系、图）、规则、公共机制三部分

UML中的关系（4）：

关联：描述一组对象之间连接的结构关系。

依赖：是两个事物之间的语义关系，其中一个事物发生变化会影响另一个事物的语义。

泛化：是一般化和特殊化的关系，描述特殊元素的对象可替换一般元素的对象。

实现：是类之间的语义关系，其中的一个类指定了由另一个类保证执行的契约。

UML2.0中的图

类图：描述一组类、接口、协作和他们之间的关系

对象图：描述一组对象及它们之间的关系

构件图：描述一个封装的类和它的接口、端口以及由内嵌的构件和连接件构成的内部结构。

组合结构图：描述结构化类的内部结构

用例图：描述一组用例、参与者及它们之间的关系

顺序图：是一种交互图

通信图：是一种交互图，强调收发信息的对象或参与者的组织结构。

定时图：是一种交互图，强调信息跨越不同对象或参与者的实际时间。

状态图：描述一个状态机，它由状态、转移、事件和活动组成。

活动图：将进程或其他计算结构展示为计算内部一步步的控制流和数据流。

部署图：描述对运行时的处理节点及在其中生存的构件的配置。

制品图：描述计算机中一个系统的物理结构。制品包括文件、数据库和类似的物理比特集合。

包图：描述由模型本身分解而成的组织单元，以及它们之间的依赖关系。

交互概览图：是活动图和顺序图的混合物。

UML视图（5）

逻辑视图：也称设计视图，表示了设计模式中在架构方面具有重要意义的部分，即类、子系统、包和用例实现的子集。

进程视图：是可执行线程或进程作为活动类的建模，是逻辑视图的一次执行实例，描述了并发于同步结构。

实现视图：对组成基于系统的物理代码的文件和构件进行建模。

部署视图：把构件部署到一组物理节点上，表示软件到硬件的映射和分布结构。

用例视图：是最基本的需求分析模型。

软件架构设计

软件架构设计的核心问题是能否达到架构级的软件复用，即能否在不同系统中使用同一软件架构。

软件架构风格

数据流风格：批处理、管道/过滤器

调用/返回风格：包括主程序/子程序、数据抽象和面向对象、层次结构

独立构件风格：包括进程通信和事件驱动的系统

虚拟机风格：包括解释器和基于规则的系统

仓库风格：包括数据库系统、黑板系统和超文本系统

软件架构评估

架构评估过程中，评估人员所关注的的是系统的质量属性

两个概念

敏感点：一个或多个构件（和/或构件之间的关系）的特性

权衡点：影响多个质量属性的特性，是多个质量属性的敏感点

评估方式

基于调查问卷

基于场景（最常用）

采用刺激、环境、响应三方面对场景进行描述

包括三种方法

架构权衡分析法

软件架构分析法

成本效益分析法

基于度量

软件设计

结构化设计（SD）

SD是一种面向数据流的方法，它以SRS和SA阶段所产生的DFD和数据字典等文档为基础

结构化设计是一个自顶向下、逐步求精和模块化的过程

基本原则：高内聚（模块内部各程序之间联系程度）、低耦合（模块之间联系的程度）

面向对象设计（OOD）

OOD是OOA方法的延续，其基本思想包括抽象、封装和可扩展性，其中可扩展性主要通过继承和多态来实现

面向对象（OO）系统三个明显特征：封装性、继承性与多态性

设计模式

设计模式是前人经验的总结，它使人们能够方便的复用成功的软件设计

分类

根据处理范围不同分为

类模式

对象模式

根据目的和用途不同分为

创建型模式：用于创建对象，

结构型模式：用于处理类或对象的组合

行为型模式：用于描述类或对象的交互以及职责的分配，包括解释器模式和中继者模式

软件工程过程管理

能力成熟度模型集成

阶段式模型

连续式模型

软件测试及其管理

测试的方法

静态测试

被测程序不在机器上运行，而采用人工检测和计算机辅助动态分析的手段对程序进行检测

分类

对文档的静态测试：主要以检查单形式进行

对代码的静态测试：一般采用桌前检查、代码走查、代码审查

动态测试

指在计算机上实际运行程序进行软件测试

分类

白盒测试

也称结构测试，主要用于软件单元测试中

主要思想：将程序看作是一个透明的白盒，测试人员完全清楚程序的结构和处理算法，按照程序内部逻辑设计测试用例，检测程序中的主要执行通路是否能按预定的要求正确工作

测试方法：控制流测试、数据流测试、程序变异测试

最常用技术：逻辑覆盖

主要的覆盖标准有：语句覆盖、判定覆盖、条件覆盖、条件/判定覆盖、条件组合覆盖、修正的条件/判定覆盖、路径覆盖。

黑盒测试

也称功能测试，主要用于集成测试、确认测试和系统测试中

主要思想：将程序看成一个不透明的黑盒，完全不考虑程序内部结构和处理算法，而只检查程序功能是否能按照SRS的要求正常使用，程序是否适当的接收输入数据并产生正确的输出信息，程序运行过程中能否保持外部信息的完整性。

设计测试用例的方法：等价类划分、边界值分析、判定表、因果图、状态图、随机测试、猜错法和正交实验法。

测试的类型

根据国家标准GB/T 15532/2008分类

单元测试：也称模块测试，测试对象是模块、构件或类

集成测试：检查模块之间，以及模块和已集成软件之间的接口关系，并验证已集成的软件是否符合设计要求。

确认测试

用于验证软件的功能、性能和其它特性是否与用户需求一致

包括

内部确认测试：由软件开发组织按照SRS进行测试

Alpha测试和Beta测试：Alpha测试是指由用户在开发环境下的测试；Beta测试是指用户在实际使用环境下进行的测试。一般通过Beta测试后，才能把产品发布或交付给用户。

验收测试：测试对象是完整的、集成的计算机系统；目的是在真实用户环境下检验软件系统是否满足开发技术合同或SRS；结论是用户确定是否接收该软件的主要依据。

系统测试：测试对象是完整的、集成的计算机系统；目的是在真实系统工作环境下验证完整的软件配置项能否和系统正确连接，并满足系统/子系统设计文档和软件开发合同规定的要求。

配置项测试：测试对象是软件配置项；目的是检验软件配置项于SRS的一致性。

回归测试：目的是测试软件变更后变更部分的正确性和对变更需求的复合型，以及软件原有的、正确的功能、性能、和其他规定的要求的不损害性。

未通过软件单元测试的软件，变更后，对其进行单元测试。

未通过配置项测试的软件，变更后，先对变更的软件单元进行测试，然后进行相关集成测试和配置项测试。

未通过系统测试的软件，变更后，先对变更的软件单元进行测试，然后进行相关集成测试、配置项测试和系统测试。

因其他原因进行变更之后的软件单元，首先对变更的软件单元进行测试，然后再进行相关的软件测试。

软件调试与测试的区别

测试的目的是找出存在的错误，调试的目的是定位错误并修改程序以修正错误。

调试是测试之后的活动，测试和调试在目标、方法、思路上都有所不同。

测试从一个已知的条件开始，使用预先定义的过程，有预知的结果；调试从一个未知的条件开始，结束过程不可预计。

测试过程可以事先设计，进度可以事先确定；调试不能描述过程或持续时间。

软件测试管理

过程管理

测试活动管理

测试资源管理

配置管理

评审

测试就绪评审

测试评审

软件集成技术

企业应用集成（EAI）

表示集成：也称界面集成，是比较原始和最浅层次的集成，是一种黑盒集成，集成点位于显示界面

数据集成：集成前必须对数据进行标识并编成目录，是一种白盒集成，集成点位于中间件

控制集成：也称功能集成或应用集成，集成点在业务逻辑层

业务流程集成：也称过程集成，这种集成超越了数据和系统，由一系列基于标准的、统一数据格式的工作流组成。

企业应用之间的集成：适用于大多数要实施电子商务的企业，以及企业之间的应用集成

新一代信息技术

物联网

两项关键技术

嵌入式技术

传感器技术

物联网架构

应用层

数据传输层

物联感知层

云计算

服务类型

IAAS（基础设施及服务）：提供计算机能力、存储空间等基础设施方面的服务。

PAAS（平台即服务）：提供虚拟操作系统、数据库管理系统、Web应用等平台化服务。

SAAS（软件即服务）：提供软件、组件、工作流等虚拟化软件服务。

特征：宽带网络连接；快速、按需、弹性；提供动态易扩展且经常是虚拟化的资源。

大数据

大数据是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合，是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。

特点：5V（大量、多样、价值、高速、真实性）

大数据是具有体量大、结构复杂、时效性强等特征的数据

主要环节：数据准备、数据存储与管理、计算处理、数据分析和知识展现。

大数据涉及到数据模型、处理模型、计算理论，与之相关的分布计算、分布存储平台技术、数据清洗与挖掘技术、流式计算、增量处理等技术。

移动互联

移动互联网的核心是互联网，是桌面互联网的补充和延伸，应用和内容仍是移动互联网的根本。

移动化联网的特点（4）：终端移动性、业务使用私密性、终端和网络局限性、业务与终端网络强关联性。

在市场和应用开发领域的特点（3）：重视对传感器技术的应用、有效地实现人与人的连接、浏览器竞争和孤岛问题突出。

区块链

概念：比特币是一种数字货币，本质是不可篡改、不可伪造的分布式账本，是分布式账本、共识机制、密码学、智能合约技术的新型应用模式。

系统构成：数据层、网络层、共识层、激励层、合约层、应用层

四个技术创新：分布式账本、共识机制、密码学、智能合约

区块链分类：公有链、私有链、联盟链

二、信息系统安全技术

信息安全有关概念

信息安全概念

信息的安全属性：私密性、完整性、可靠性

四个层次

设备安全（信息系统安全的首要问题）：

设备稳定性：设备在一定时间内不出现故障的概率。

设备可靠性：设备能在一定时间内正常执行任务的概率。

设备可用性：设备随时可以正常使用的概率。

数据安全（是一种静态安全）：其安全属性包括秘密性、完整性和可用性。

内容安全：是信息安全在政治、法律、道德层次上的要求。

信息内容在政治上是健康的。

信息内容符合国家的法律法规。

信息内容符合中华名族优良的道德规范。

行为安全（是一种动态安全）

行为秘密性：行为的过程和结果不能危害数据的秘密性，必要时行为的过程和结果也是秘密的。

行为完整性：行为的过程和结果不能危害数据的完整性，行为的过程和结果是预期的。

行为的可控性：当行为的过程出现偏离预期时，能够发现、控制或纠正。

信息安全技术

包括：硬件系统安全技术、操作系统安全技术、数据库安全技术、软件安全技术、网络安全技术、密码技术、恶意软件防治技术、信息隐藏技术、信息设备可靠性技术等。

其中硬件系统安全和操作系统安全是信息系统安全的基础，密码和网络安全等是关键技术。

网络安全技术包括：防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计、网络隔离等。

信息安全等级保护

第一级（会对公民、法人和其他组织的合法权益造成损害）：用户自主保护级

第二级（会对公民、法人和其他组织的合法权益造成严重损害，或对社会秩序和公共利益造成严重损害）：系统审计保护级。

第三级（会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害）：安全标记保护级。

第四级（会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害）：结构化保护级。

第五级（会对国家安全造成特别严重损害）：访问验证保护级

人员管理

首先要加强人员审查，其次信息安全教育对象应当包括与信息安全相关的所有人员。

信息加密、解密和常用算法

加密技术

对称加密技术：文件加密和解密使用相同的密钥，如IEDA、DES

非对称加密技术：文件加密和解密使用不同的密钥，如RSA、HASH函数

数字签名（证明当事者身份和数据真实性的一种信息）

完整的数字签名体系应满足的三个条件

签名者事后不能抵赖自己的签名

任何其他人不能伪造签名

如果当时双方关于签名的真伪发生争执，能够在公正的仲裁者面前通过验证签名来确认其真伪。

注：利用RSA算法可以同时实现数字签名和数据加密。

认证又称鉴别、确认，它是证实某事是否名副其实或是否有效的一个过程

认证与加密的区别

加密是用以确保数据的保密性，阻止对手的被动攻击，如截取、窃听等。

认证是用以确保报文发送者和接收者的真实性以及报文的完整性，阻止对手主动攻击，如冒充、篡改、重播等。

认证和数字签名技术的区别

认证总是基于mou'zhong某种收发双方共享的保密数据来认证被鉴别对象的真实性，而数字签名中用于验证签名的数据是公开的。

认证允许收发双方互相认证其真实性，不允许第三者验证，而数字签名允许收发双方和第三者都能验证。

数字签名具有发送方不能抵赖，接收方不能伪造和具有在公证人前解决纠纷的能力，而认证则不一定具备。

信息系统安全

计算机设备安全

计算机设备安全关键因素：完整性、机密性、抗否认性、可用性、可审计性、可靠性

子主题

物理安全：主要包括场地安全（环境安全）；是指系统所在环境安全，主要是场地和机房。

设备安全：包括设备防盗防毁、防止电磁信息泄露、防止线路截获、抗电磁干扰以及电源的保护。

存储介质安全：指介质本身和介质上存储数据的安全，包括介质的防盗和介质的防毁。

可靠性技术：一般采用容错系统实现

容错主要依靠冗余设计来实现，以增加资源换取可靠性。

网络安全

防火墙

定义：防火墙是一种较早使用、实用性很强的网络安全防御技术，它阻挡对网络的非法访问和不安全数据的传递使得本地系统和网络免于受到许多网络安全威胁。

作用：用于逻辑隔离外部网络和受保护的内部网络，实现网络安全策略，而这种策略是预先定义好的，是一种静态安全技术。

缺点：策略中涉及的网络访问行为可以实施有效管理，而策略之外的网络访问行为则无法控制。

防火墙的安全策略由安全规则表示。

入侵检测与防护

入侵检测系统（IDS）：注重网络安全状况监管，通过监视网络或系统资源，寻找违反安全策略的行为和攻击迹象，并发出报警。绝大多数IDS系统是被动的。

入侵防护系统（IPS）：倾向于主动防护，注重对入侵行为的控制。

VPN

VPN网络连接由客户机、服务器、传输介质三部分组成。

VPN连接以“隧道”技术作为传输介质，常用隧道技术：

点对点隧道协议（PPTP）

第2层隧道协议（L2TP）

IP安全协议（IPSec）

安全扫描

包括漏洞扫描、端口扫描、密码类扫描，通过扫描器来完成。

网络蜜罐技术

是一种主动防御技术。蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机和服务，给攻击者提供一个容易攻击的目标。

常用无线网络安全技术：WPKI、WEP、WPA／WPA２、８０２.１１ｉ等

操作系统安全

按照行为划分

切断：对可用性的威胁

截取：对机密性的威胁

篡改：对完整性的威胁

伪造：对合法性的威胁

按照威胁表现形式划分

计算机病毒

逻辑炸弹

特洛伊木马

后门

后门指的是嵌在操作系统中的一段非法代码，渗透着可以利用这段代码侵入系统。安装好后门就是为了渗透。

隐蔽通道

系统中不受安全策略控制的、违反安全策略、非公开的信息泄露路径。

安全机制

身份认证机制

访问控制机制

数据保密性

数据完整性

系统可用性

审计

数据库系统安全

主要指数据库管理系统安全，可认为是用于存储而非传输的数据安全问题。

技术包括：数据库访问控制技术、数据库加密技术、多健全数据库技术、数据库的推理控制问题和数据库的备份与恢复等。

应用系统安全

应用系统安全是以计算机设备安全、网络安全和数据库安全为基础的。

Web威胁防护技术

Web访问控制技术

单点登录（SSO）技术

网页防篡改技术

包括：事件轮询、核心内嵌、事件触发、文件过滤驱动等技术。

Web内容安全

包括电子邮件过滤、网页过滤、反间谍软件三项技术。

三、信息化发展应用

信息技术发展趋势和新技术应用

高速度大容量

集成化和平台化

智能化

虚拟计算

通信技术

遥感和传感技术

传感和识别技术是“物联网”应用的重要基础，也是工业化和信息化深度融合的关键技术之一。

移动智能终端

以人为本

信息安全

电子政务

特点：电子政务与传统政务相比，在办公手段、业务流程以及与公众沟通的方式上都存在很大区别，但并不是完全取代传统政务，也不是简单的将传统政务原封不动地搬到Internet上。

建设原则

统一规划，加强领导

需求主导、突出重点

整合资源，拉动产业

统一标准，保障安全

应用模式

政府对政府（G２G）

政府对企业（G２B）

政府对公众（G２C）

政府对公务员（G２E）

电子商务

类型

按依托网络类型分为EDI（电子数据交换）商务、Internet（互联网）商务、Intranet（企业内部网）商务、Extranet（企业外部网）商务

按交易的内容分为直接电子商务和间接电子商务。

按交易对象分为

B２B（企业对企业）

B２C（企业对消费者）

Ｃ２C（消费者对消费者）

Ｏ２Ｏ（线上对线下）

系统的结构和要点

电子商务包括信息技术、交易规则、法律法规和各种技术规范

电子商务的基础设施

网络基础设施

多媒体内容和网络出版的基础设施

报文和信息传播的基础设施

商业服务的基础设施

标准：确定用户接口、基本功能、数据及客体的定义与编码三个领域的标准。

工业化和信息化融合

技术

中国智造２０２５

互联网＋

含义

信息化与工业化发展战略融合

信息资源与材料、能源等工业资源融合

虚拟经济与工业实体经济融合

信息技术与工业技术、IT设备与工业装备融合

智慧化

智能的特点

一是具有感知能力，二是具有记忆和思维能力，三是具有学习能力和自适应能力，四是具有行为决策能力。

智慧城市

定义：利用新一代信息技术来感知、监测、分析、整合城市资源，对各种需求做出迅速、灵活、准确的反应为公众创造绿色、和谐环境，提供泛在、便捷、高效服务的城市形态。

建设内容

首先通过传感器或信息采集设备全方位地获取城市系统数据；

其次，通过网络将城市数据关联、融合、处理、分析为信息；

第三，通过充分共享、智能挖掘将信息变成知识；

最后，结合信息技术，把知识应用到各行各业形成智慧。

参考模型

五层功能层

物联感知层

通信网络层

计算与存储层

数据及服务支撑层

智慧应用层

三个支撑体系

安全保障体系

建设和运营管理体系

标准规范体系

四、信息系统服务管理

典型信息系统项目的特点：

项目初期目标不明确

需求变化频繁

智力密集型

所需人员层次高，专业化强

涉及外部厂商多、沟通复杂

软件和硬件通常需要个性化定制

项目生命周期通常较短

通常要采用大量新技术

使用与维护要求高

项目绩效难以评估和量化

中国特色信息系统集成及服务管理体系主要内容：

信息系统集成、运维服务和信息系统监理及其管理。

项目管理、运维服务和信息系统监理人员的水平评价。

国家计划（投资）部门对规范的、具备信息系统项目管理能力的企业和人员的建设性要求。

信息系统用户对规范的、具备信息系统项目管理能力的企业和人员市场性需求。

信息系统工程监理

概念：信息系统工程监理是指依法设立且具有相应资质的信息系统工程监理单位，受业主单位委托，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程实施的监督管理。

监理内容

“四控、三管、一协调”即投资控制、进度控制、质量控制、变更控制、合同管理、信息管理、安全管理、沟通协调

应当实施监理的信息系统工程

国家级、省部级、地市级的信息系统工程

使用国家政策性银行或者国有商业银行贷款，规定需要实施监理的信息系统工程

使用国家财政性资金的信息系统工程

涉及国家安全、生产安全的信息系统工程

国家法律法规规定的应当实施监理的其他信息系统工程

监理单位应当编制的文件

《监理大纲》

《监理规划》

《监理实施细则》

不得交由总监代表进行的工作

主持编写项目监理规划、审批项目实施细则

签发工程开工、复共、暂停令，工程款支付证书，工程竣工报验单

审核签认竣工结算

调解建设单位与承包商的合同争议、处理索赔、审批工程延期

监理人员调配，调换不称职的监理人员

信息系统运行维护

IT服务管理（ITSM）

概念：是一套帮助组织对IT系统的规划、研发、实施和运营进行有效管理的方法，是一套方法论，是一种以服务为中心的IT办理。

核心思想：提供低成本高质量的IT服务

分类

基础环境运维服务

硬件运维服务

软件运维服务

安全运维服务

运维管理服务

信息技术服务（ITSS）标准体系框架

基础标准

服务管控标准

服务业务标准

面向IT服务标准

IT驱动服务标准

服务外包标准

服务安全标准

服务对象：按照对象类型分为数据中心和终端

行业应用标准

五、信息系统规划

大型信息系统

概念：以信息技术和通信技术为支撑，规模庞大、分布广阔，采用多级网络结构，跨越多个安全域，处理海量、多样且形势复杂的数据，提供多种类型应用的大系统。

特点：规模庞大、数据量大、业务种类多、用户多、跨地域性、网络结构复杂

信息系统规划

信息系统规划原则

规划要支持企业的战略目标

规划整体上着眼于高层管理，兼顾各管理层、各业务层的要求

规划中涉及的各信息系统结构要有好的整体性和一致性

信息系统应能适应企业组织结构和管理体制的改变，提高信息系统应变能力

信息系统规划流程

分析企业信息化现状

制定企业信息化战略

信息系统规划方案拟定和总体架构设计

信息系统规划方法

信息系统规划（ISP）方法的三个阶段

第一阶段以数据处理为核心，围绕职能部门需求的信息系统规划，主要方法包括

企业系统规划法（BSP）

本方法主要用于大型信息系统的开发，采取自上而下的系统规划，自下而上分布实现

BSP方法步骤

关键成功因素法

战略集合转化法

第二阶段以企业内部管理信息系统为核心，围绕企业整体需求进行规划，主要方法包括

战略数据规划法

战略栅格法

信息工程法

第三阶段以集成为核心，围绕企业战略需求进行规划，主要方法包括

价值链分析法

战略一致性模型

信息系统规划工具

PERT图或甘特图：制定计划

调查表和调查提纲：访谈

会谈和会议：确定需求

过程/组织（P/O）矩阵：将企业组织结构与企业过程联系起来

资源/数据（R/D）矩阵：定义数据类

CU矩阵：

IPO图：分析每个过程的输入数据类和输出数据类

六、企业首席信息官（ITO）及其职责

三个专家：业务专家、IT专家、管理专家

职责

提供信息，帮助企业决策

帮助企业制定中长期发展战略

有效管理IT部门

制定信息系统发展规划

建立积极的IT文化

备用

子主题

第1章 信息与信息系统

第1章 信息与信息系统

第1章信息与信息系统

第1章信息与信息系统