信息系统项目管理师学习笔记总结

信息系统项目管理师学习笔记【2015年3月by:Noodles】一．基本概念部分1.信息的基本概念（什么是信息？）控制论的创始人维纳（NorbertWiener）认为：信息就是信息，既不是物质也不是能量。信息论的奠基者香农（ClaudeE.Shannon）认为：信息就是能够用来消除不确定性的东西。比较流行的另一种说法认为：信息是事先不知道的报导。哲学界认为：信息是事物普遍联系的方式。总的来说，信息的概念存在两个基本的层次，即本体论层次和认识论层次。事物的本体论信息，就是事物的运动状态和状态变化方式的自我表述。认识论信息，就是主体对于该事物的运动状态以及状态变化方式的具体描述，包括对于它的“状态和方式”的形式、含义和价值的描述。2.信息化的概念1997年召开的首届全国信息化工作会议，对信息化和国家信息化定义为：“信息化是指培育、发展以智能化工具为代表的新的生产力并使之造福于社会的历史过程。国家信息化就是在国家统一规划和组织下，在农业、工业、科学技术、国防及社会生活各个方面应用现代信息技术，深入开发广泛利用信息资源，加速实现国家现代化进。”信息化的其他定义：信息化就是计算机、通信和网络技术的现代化；信息化就是从物质生产占主导地位的社会向信息产业占主导地位社会转变的发展过程；信息化就是从工业社会向信息社会演进的过程；3.什么是信息系统？信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。4.项目的定义项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。5.项目管理的定义项目管理的定义是：指在项目活动中运用专门的知识、技能、工具和方法，使项目能够在有限资源限定条件下，实现或超过设定的需求和期望的过程。项目管理是对一些与成功地达成一系列目标相关的活动（譬如任务）的整体监测和管控。这包括策划、进度计划和维护组成项目的活动的进展。6.电子政务的概念电子政务是指政府机构在其管理和服务职能中运用现代信息技术，实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，建成一个精简、高效、廉洁、公平的政府运作模式。电子政务：运用计算机、网络和通信等现代信息技术手段，实现政府组织结构和工作流程的优化重组，超越时间、空间和部门分隔的限制，建成一个精简、高效、廉洁、公平的政府运作模式，以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务。7.信息安全保障系统定义信息安全保障系统是一个在网络上，集成各种硬件、软件和密码设备，以保障其他业务应用信息系统正常运行的专用的信息应用系统，以及与之相关的岗位、人员、策略、制度和规程的总和。二．知识点识记部分1.项目的特点(1)临时性；（2）独特性（独特的产品、服务或成果）；（3）渐进性（渐进明细）；2.典型的信息系统项目特点（1）目标不明确；（2）需求变化频繁；（3）智力密集型；（4）设计队伍庞大；（5）设计人员高度专业化；（6）涉及的承包商多；（7）各级承包商分布在各地，相互联系复杂；（8）系统集成项目中需研制开发大量的软硬件系统；（9）项目生命期通常较短；（10）通常要采用大量的新技术；（11）使用与维护的要求非常复杂。3.国家信息化体系的六个要素信息技术应用，信息资源，信息网络，信息技术和产业，信息化人才，信息化法规政策和标准规范4.信息安全系统三维空间安全空间的五大要素（五大属性）：认证、权限、完整、加密和不可否认。X轴：安全机制Y轴：OSI网络参考模型Z轴：安全服务安全机制包括的方面：1）基础设施实体安全；2）平台安全；3）数据安全；4）通信安全；5）应用安全；6）运行安全；7）管理安全；8）授权和审计安全；9）安全防范体系；安全服务包括的方面：1）对等实体认证服务；2）数据保密服务；3）数据完整性服务；4）数据源点认证服务；5）禁止否认服务；6）犯罪证据提供服务；5.安全技术包括的内容：加密技术、数字签名技术、访问控制技术、数据完整性技术、认证技术、数据挖掘技术6.信息安全系统架构体系三种不同系统架构：MIS+S、S-MIS和S2-MIS1)基本信息安全保障系统：MIS+S=ManagementInformationSystem+Security特点：业务应用系统基本不变；硬件和系统软件通用；安全设备基本不带密码。2）标准信息安全保障系统S-MIS=Security-ManagementInfomationSystem特点：硬件和系统软件通用；PKI/CA安全保障系统必须带密码；业务应用系统必须根本改变；主要的通用的硬件、软件也要通过PKI/CA认证。3）超安全的信息安全保障系统S2-MIS=SuperSecurity-ManagementInformationSystem特点：硬件和系统软件都专用；PKI/CA安全基础设施必须带密码；业务应用系统必须根本改变；主要的硬件和系统软件需要PKI/CA认证7．信息系统应用项目管理时可能遇到的风险：缺少战略方向缺少开发标准缺少正规开发程序组织环境差资源可用性差缺少终端用户的参与缺少管理者的承诺项目开发工作量大项目规模风险开发者的技术经验差采用新硬件、软件技术采用不成熟的技术用户的知识和经验缺乏8.安全策略的核心内容就是“七定”：定方案、定岗、定位、定员、定目标、定制度、定工作流程。9.对称加密算法种类常见的对称密钥算法有：SDBI、IDEA、RC4、DES、3DES等其中：DES（DigitalEncryptionStandard）1975年由IBM研制，采用分组乘积密码（Productcipher）。输入64bit明文，在64bit的密钥控制下，经过16次加密变换，最后通过逆初始变换，得到64bit的密文。在加密变换过程中，64bit密钥里包含了8bit的奇偶校验位，所以实际密钥长度仅为56bit。3DES就是三重DES,其密钥长度只能是128bit。IDEA(InternationalDataEncryptionAlgorithm)国际数据加密算法，PGP中采用，算法中明文和密文分组长旗是64bit,但密钥长度为128bit。10.对称密钥算法的优点：加解密速度快；密钥管理简单；适宜一对一的信息加密传输过程；11.对称加密算法的缺点：加密算法简单，密钥长度有限（56/128bit），加密强度不高；密钥分发困难，不适宜一对多的加密信息传输。12.非对称密钥算法常见非对称密钥算法：RSA(RivestShamirAdleman，基于大数分解)、ECC(EllipticCurveCryptography,椭圆曲线)等。13.非对称密钥算法优缺点优点：加密算法复杂，密钥长度任意（1024bit/2048bit）加密强度很高；适宜一对多的信息加密交换。尤其适宜互联网上信息加密交换。缺点：加/解密速度慢；密钥管理复杂。明文攻击很脆弱，不适用于数据的加密传。14.哈希算法常见哈希算法HASH有：SDH(国家密码办公室批准的HASH算法)、SHA、MD5等。哈希算法在数字签名中就可以解决验证签名和用户身份验证、不可抵赖性的问题。15.信息摘要算法实际上就是一个单向散列函数。数据块的HASH值又称为数据块的“数字指纹”。16.数字时间戳技术数字时间戳技术就是数字签名技术的一个变种应用。数字时间戳服务（digitaltimestampservice,DTS）是网上电子商务安全服务项目之一，由专门的单位机构提供电子文件的日期和时间信息的安全保护。时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：（1）需加时间戳的文件的摘要（digest）。（2）DTS收到文件的日期和时间。（3）DTS的数字签名。17.密码等级及适用范围我国实行密码分级管理制度，密码等级及适用范围如下：（1）商用密码：国内企业、事业单位（2）普用密码：政府、党政部门（3）绝密密码：中央和机要部门（4）军用密码：军队18.IPSecVPN的优点：（1）在IP层提供服务，能被更高层所利用；（2）对于应用程序和终端用户来说是透明的；（3）对现有网络的改动最小。IPSec使用两个协议来保障IP上的安全传输：AH(认证头)协议和ESP（封装安全载荷）协议。IPSec提供了两种不同的模式来传输加密数据即传输模式和隧道模式。19.MPLSVPN最大的特点：是对QOS和VPN的支持。20.公钥基础设施PKI(PublicKeyInfrastructure,公开密钥基础设施)一个网络的PKI包括以下几个基本构件：数字证书、认证中心（CA）、数字签名、双证书体系。PKI可以作为支持安全5要素的技术基础设施，从技术体系上解决网上身份认证、权限管理、信息完整性、机密性和抗抵赖等安全问题。21.CA的主要职责（1）数字证书管理；（2）证书和证书库；（3）密钥备份及恢复；（4）密钥和证书的更新；（5）证书历史档案；（6）客户端软件；（7）交叉认证22.PKI/CA的应用范围（1）电子商务应用[包括：买方、卖方、银行、作为中介的电子交易市场]（2）电子政务[主要内容：网上信息发布、办公自动化、网上办公、信息资源共享]（3）网上银行（4）网上证券（5）其他应用：网上看病、网上学习、网上联合开发、网上游戏、网上点播等23.访问控制的两个重要过程（1）认证过程，通过“鉴别（authentication）”来检验主体的合法身份。（2）授权管理，通过“授权（authorization）”来赋于用户对某项资源的访问权限。24.访问控制机制分类：（1）强制访问控制（MandatoryAccessControl,MAC），特征：访问者包含等级列表的许可，其中定义了可以访问哪些级别的目标；（2）自主访问控制（DiscretionaryAccessControl,DAC）,特征：针对每个用户指明每个用户能够访问的资源，不在其中的不允许访问；（3）访问控制列表（ACL）:目标资源拥有访问权限列表，指明允许哪些用户可以访问；（4）基于角色的访问控制（RBAC）:先定义一些角色，然后分配相应的权限，按后给每个人分配一个或多个角色。25.PMI的定义PMI(PrivilegeManagementInfrastructure)即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。PMI主要进行授权管理，PKI主要进行身份鉴别。26.将计算机系统的安全可信度从低到高分为D、C、B、A四类共七个级别：D级，C1级，C2级，B1级，B2级，B3级，A1级。（最小保护）D级：该级的计算机系统除了物理上的安全设施外没有任何安全措施，任何人只要启动系统就可以访问系统的资源和数据，如DOS，WINDOWS的低版本和DBASE均是这一类（指不符合安全要求的系统，不能在多用户环境中处理敏感信息）。（自主保护类）C1级：具有自主访问控制机制、用户登录时需要进行身份鉴别。（自主保护类）C2级：具有审计和验证机制（（对TCB）可信计算机进行建立和维护操作，防止外部人员修改）。如多用户的UNIX和ORACLE等系统大多具有C类的安全设施。（强制安全保护类）B1级：引入强制访问控制机制，能够对主体和客体的安全标记进行管理。B2级：具有形式化的安全模型，着重强调实际评价的手段，能够对隐通道进行限制。（主要是对存储隐通道）B3级：具有硬而后支持的安全域分离措施，从而保证安全域中软件和硬而后的完整性，提供可信通道。对时间隐通道的限制。A1级：