软考学习笔记|1-6 信息系统规划、服务管理及安全技术

1、信息系统规划

【信息系统规划 (也称为信息系统战略规划) 】是一个组织有关信息系统建设与应用的全局性谋划，主要包括战略目标、策略和部署等内容。

它的地位可以从两个方面来考察：一是与企业战略规划的关系；二是与企业信息化规划的关系。信息系统的规划和实现过程大体是一个自顶向下规划，自底向上实现的过程。

【大型信息系统】是指以信息技术和通信技术为支撑，规模庞大，分布广阔，采用多级网络结构，跨越多个安全域，处理海量的，复杂且形式多样的数据，提供多种类型应用的大系统。

例如，全球范围的B2C电子商务系统，媒体社交系统，企业内部生产管理系统等等。

【大型信息系统六大特点】规模庞大；跨地域性；网络结构复杂；业务种类多；数据量大；用户多

【信息系统规划三大流程】1）分析企业信息化现状及信息技术在行业发展趋势、应用；2）制定企业信息化战略；3）信息系统规划方案拟定和总体构架设计。

【信息系统规划ISP方法】经历了三个主要阶段，各个阶段所使用的方法也不一样。

第一个阶段主要以数据处理为核心，围绕职能部门需求的信息系统规划，主要方法包括企业系统规划法、关键成功因素法和战略集合转化法；

第二个阶段主要以企业内部管理信息系统为核心，围绕企业整体需求进行的信息系统规划，主要方法包括战略数据规划法、信息工程法和战略栅格法；

第三个阶段的方法在综合考虑企业内外环境的情况下，以集成为核心，围绕企业战略需求进行的信息系统规划，主要的方法包括价值链分析法和战略一致性模型。

2、信息系统服务管理

本书中述及的信息系统服务管理属于软件与服务业范畴，主要指的是针对信息系统建设所进行的咨询顾问、规划评估、项目管理、监理、运行维护等工作。

其中信息技术咨询服务是信息系统服务的前端环节，为企业提供信息化建设规划和解决方案。而根据信息化建设方案选择合适的软硬件产品搭建信息化平台，根据企业的业务流程和管理要求进行软件和应用开发，以及系统建成后的长期维护和升级换代等，属于信息系统服务的中间及下游环节。

【典型的信息系统项目的五大特点】

1）项目初期目标往往不太明确；需求变化频繁。

2）智力密集型；系统分析和设计所需人员层次高，专业化强；通常要采用大量的新技术。

3）涉及的软硬件厂商和承包商多，联系、协调复杂。

4）软件和硬件常常需要个性化定制；使用与维护的要求高。

5）项目生命期通常较短；项目绩效难以评估和量化。

【信息系统工程监理工作主要内容】可以概括为“四控、三管、一协调”，即投资控制、进度控制、质量控制、变更控制、合同管理、信息管理、安全管理和沟通协调。

在GB/T 29264-2012中，将运行维护服务分成基础环境运维、硬件运维服务、软件运维服务、安全运维服务、运维管理服务和其他运行维护服务六类。

信息技术服务标准(ITSS)体系的提出主要从产业发展、服务管控、业务形态、实现方式、服务安全、内容特征和行业应用七个方面考虑，分为基础标准、服务管控标准、服务业务标准、服务外包标准、服务安全标准、服务对象特征和行业应用标准，包含了信息技术服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准，涉及咨询设计、集成实施、运行维护、服务管控、服务运营和服务外包等业务领域。

3、信息系统安全技术

信息安全强调信息(数据)本身的安全属性，主要包括私密性、完整性、可用性。

信息必须依赖其存储、传输、处理及应用的载体(媒介)而存在，因此针对信息系统安全四个层次划分：设备安全、数据安全、内容安全、行为安全。其中数据安全即是传统的信息安全。

1）设备安全主要包括稳定性、可靠性、可用性；

2）数据安全（静态安全）主要包括私密性、完整性、可用性；

3）行为安全（动态安全）主要包括秘密性、完整性、可控性

【信息安全的技术】包括硬件系统安全技术、操作系统安全技术（基础）、数据库安全技软件安全技术、网络安全技术、密码技术（关键）、恶意软件防治技术、信息隐藏技术、信息设备可靠性技术等。

【网络安全技术】主要包括防火墙、VPN、防病毒、身份认证、数据加密、安全审计、网络隔离等。

【信息安全等级保护-五级】第一级信息安全等级最高，依次降低。

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害、但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

加密技术两个元素：算法和密钥。对数据加密的技术分为两类，即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。

根据信息系统的组成，信息系统安全主要包括计算机设备安全、网络安全、操作系统安全、数据库系统安全和应用系统安全等。