首頁 >
				文章中心 >
				管理信息系統案例及分析
			
          
		
          
		
		
          
			
          
				
				
          
					
          
						
          管理信息系統案例及分析
          
						
          
					
          					
					 
           
          前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇管理信息系統案例及分析范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
           
          管理信息系統案例及分析
           
          管理信息系統案例及分析范文第1篇
           
           【關鍵詞】計算機;信息管理系統;安全性
           
           盡管計算機信息管理系統被廣泛的應用到各個領域之中,并且發揮著非常重要的作用。但與此同時,我們也在為計算機信息管理系統的安全性所擔憂,害怕計算機信息管理系統遭受到黑客的入侵或病毒的侵害,導致重要的信息丟失,直接產生一系列的損失。與其不斷擔憂,不如致力于計算機信息管理系統的威脅因素的分析,探究切實有效措施來強化計算機信息管理系統的安全性,以便放心的使用計算機信息管理系統。基于此,筆者參考相關資料對計算機信息管理系統的安全性這一課題予以研究。
           
           1計算機信息管理系統安全的重要性及特點
           
           1.1計算機信息管理系統安全的重要性相關調查研究顯示,計算機信息管理系統的應用越來越廣泛,已經被廣泛應用到諸多領域之中,并且發揮重要作用,尤其是在重要信息保管方面。通過對計算機信息系統使用情況的了解與分析,確定某些計算機信息管理系統的安全性并不是很高,在具體應用的過程中,黑客或病毒可能攻破防火墻或安全鑰匙,進而盜取信息、篡改信息、損壞信息,致使用戶生產活動或者工作將受到嚴重影響,甚至造用戶的巨大損失。要想避免此種情況的發生,就要保證計算機信息管理系統的安全。只有保證了計算機信息管理系統的安全,才能有效防范一切危險隱患,避免信息被盜或被損壞[1]。由此可以確定,保證計算機信息管理系統安全是非常重要的。1.2計算機信息管理系統安全的特點通過對計算機信息管理系統使用情況的分析,確定此系統的有效應用與網絡、軟件有著密切的關系,其中網絡是支持計算機信息管理系統有效應用的介質,而軟件是具體操作計算機信息管理系統的工具。從這一點來說,只有保證網絡路徑良好,軟件操作,計算機信息管理系統就能高效的、有效的、安全的運作,為用戶提供信息或管理信息。所以,計算機信息管理系統安全的特點是,網絡路徑良好、軟件操作性強。
           
           2威脅計算機信息管理系統的因素
           
           著重分析計算機信息管理系統安全性,確定系統安全問題的出現與人為因素、自身因素有很大關系。以下具體說明威脅計算機信息管理系統的因素,即:2.1非法入侵非法入侵是入侵方出于完成截獲信息、或盜取信息、或損壞信息目的,利用病毒來侵害擁護者的計算機信息管理系統,致使病毒侵入到計算機信息管理系統當中,直接非法占用系統資源,導致系統服務無法發揮作用,甚至整個系統服務癱瘓,如此入侵方能夠很輕松的損壞或盜取信息。2.2黑客攻擊這里所說的黑客,是指計算機科學、編程、設計方面具有高度理解能力的人,利用公共通信網路在未經許可的情況下,載入對方系統。某些網絡黑客常常會通過特定的手段來攻克計算機信息管理系統,從而獲取用戶信息或破壞用戶信息,給用戶帶來巨大的損失。其實,近些年黑客攻擊的情況屢見不鮮,這在破壞用戶信息的同時,也算是給我們以警示,讓我們正確認識計算機信息管理系統安全問題,積極探尋切實有效的措施來不斷強化計算機信息管理系統的安全性[2]。2.3人為失誤人為失誤也可能造成計算機信息管理系統安全性較低。之所以這么說是因為用戶不規范操作計算機信息管理系統,此時可能導致系統存在安全漏洞,降低計算機信息管理系統的安全性。用戶不了解系統安全流程,未能做好計算機信息管理系統的安全設置,致使系統的安全程度不高,病毒容易入侵、黑客容易攻破。
           
           3強化計算機信息管理系統安全性的措施
           
           基于上文分析,確定當前計算機信息管理系統的安全性不高,容易受到病毒、黑客等侵害,導致信息被盜或被損壞,給用戶帶來巨大的損失。為了避免此種情況的持續發生,應當注意強化計算機信息管理系統的安全性。筆者參考相關資料及自身工作經驗總結,提出的建議是:3.1優化設計計算機信息管理系統提高計算機信息管理系統的安全性,首先就要保證系統本身是安全的。要想做到這一點,需要相關設計人員結合計算機信息管理系統實際情況,明確其存在的安全風險,進而優化設計,減少計算機信息管理系統的漏。通過對計算機信息系統安全方面的分析,建議優化設計計算機信息管理系統,應當注意控制物理分段和邏輯分段,同時還要優化局域網。3.2加強防火墻和殺毒軟件的建設上文已經提及計算機信息管理系統使用的過程中容易受到病毒或黑客的侵入,致使系統信息被損壞或盜取。為了避免此種情況發生,提高計算機信息管理系統的安全性,還要加強對于系統防火墻和殺毒軟件的使用。因為在使用計算機信息系統的過程中難以避免地會發生系統漏洞和信息侵入和信息盜取的現象。而加強計算機信息管理系統的防火墻的建設,可以有效的防范黑客的入侵;科學合理的應用殺毒軟件,能夠在病毒入侵系統予以消除,從而保證計算機信息管理系統的安全。所以,防火墻和殺毒軟件的建設,能夠減少黑客和不法分子對于系統以及信息的損害,在很大程度上提升計算機信息系統的安全性。3.3定期備份和恢復系統內的文件定期備份和恢復系統內的文件,最大的目的是有效防止系統內信息被盜取之后使用,如此可以大大降低對用戶正常使用的影響。當然,為了實現這一目的,需要將備份技術符合數據恢復技術應用于計算機信息管理系統之中,使計算機信息管理系統具有定期備份和數據恢復的功能,相應的用戶信息失竊的可能性降低,并且還能提高用戶有效使用計算機信息管理系統的體驗。
           
           4結語
           
           在計算機信息管理系統應用越來越廣泛、有效的情況下,人們對計算機信息管理系統的依賴程度不斷提高。但是,計算機信息管理系統真的值得人們依賴嗎?答案是否定的,因為目前計算機信息管理系統還存在安全風險,可能遭受到病毒或黑客的入侵,致使重要信息被盜取或損壞。對此,筆者建議通過優化設計計算機信息管理系統、加強防火前和殺毒軟件的建設、定期備份和恢復系統內的文件等做法來提高計算機信息管理系統的安全性,此時我們在依賴計算機信息管理系統。
           
           參考文獻:
           
           [1]遲成家.計算機信息管理系統的安全性探討[J].中國科技投資,2016(11):233.
           
           [2]潘峰.淺談計算機信息管理系統的安全性[J].數字化用戶,2013(15):149.
           
          管理信息系統案例及分析范文第2篇
           
           關鍵詞:電力自動化通信技術;信息安全;分析
           
           中圖分類號:C35文獻標識碼: A
           
           引言
           
           電力是我國國民經濟中的重要組成部分,對于社會經濟的發展有著重要的作用。所以保證電力系統的安全運行十分重要。電力系統運行的安全對社會經濟的發展和社會的穩定有著很大程度的影響。我國電力自動化的發展,自動化通信水平不斷的提高需要電力企業采取一定的措施,加強對電力自動化通信的安全防護保證電力系統的正常運行。
           
           1.電力通信系統的安全管理重要意義
           
           1.1電力通信實時數據的基本特點
           
           在電力通信的過程中,無線網絡中主要采用的是實時數據的傳播方式,也就是說無限網絡的主要應用特點就是可以實現對實時數據的傳播,而且值得注意的是在實時數據的傳播過程中,對于數據的時間的要求是非常嚴格的,即不可以出現較大的時間延遲現象,也就是說要保證實時數據的有效傳輸。此外,在無線網絡傳輸的過程中,數據的流量相對較小,所以除了保證數據傳輸的速度外,還要對數據的穩定性進行分析,以更好的實現數據的安全運行。一般來說,在數據的穩定性的控制方面,數據可以分為上行數據和下行數據兩種,對待這兩種數據的穩定性的措施是不同的。1)對于下行數據來說,要想實現穩定性的管理,就必須要實現對相關無線設備的安全管理,即對現有的無線自動裝置和網絡遙控設備進行安全管理;2)對于上行數據的傳輸過程,要做好相關的信息檢測和事件記錄,也就是說要根據現有的電網調度的相關信息,對數據的穩定性進行綜合分析,即對其使用過程中的可靠性和、安全性進行分析。
           
           1.2電力通信非實時數據的基本特點
           
           對于電力通信過程中的非實時數據來說,其最大的傳輸特點就是在傳輸過程中,要同時處理數量較大的信息,也就是說對于數據的傳輸量的要求比較高,但是值得注意的是對于時間的要求相對較為寬松,也就是說可以允許一定的數據延遲現象的產生。另外,還要注意的是要對數據進行嚴格的加密處理,因為非實時數據的保密性通常要求也比較高。
           
           2.電力自動化系統數據加密技術和方法
           
           2.1數據加密技術
           
           (1)傳統數據加密技術
           
           傳統數據加密技術指的是基于某個字母表或者密碼譜對文字書信的內容進行重新編碼。文字一般是由字母表中的字母一個個組成,所以可以按照一定既定排列順序來進行文字編碼,將字母前前后后都使用數字來進行表示。大部分數據加密算法都具有數學屬性,傳統數據加密算法表示通過字母進行算術運算從而形成相應的代數碼。
           
           (2)現代數據加密技術
           
           信息數據加密技術可以大致分為對稱式和非對稱式兩類。對稱式密碼加密算法又稱之為單鑰密碼算法,簡單而言就是加密密匙和解密密匙為同一密匙。這意味著信息的發送者以及接受者在進行信息交互過程中必須共同持有該秘鑰。而對于非對稱式加密算法,簡而言之就是加密密匙和解密密匙是兩個不同的密匙,一個被用來加密信息,另一個用來解密,這意味著通信的雙方不需事先交換密匙,就可以順利進行通信工作。
           
           2.2典型數據加密算法
           
           (1)數據加密標準算法(DES)
           
           目前,數據機密標準算法(DES)主要用于POS機、ATM機、IC卡、磁卡以及高速公路收費站等重要領域。通過對這些領域的一些關鍵數據進行加密,來實現通信信息的安全保障。DES算法具有極高的保密性和安全性,具體來說密碼的明文長為64bit,密匙組長56bit,處理過程主要有三個階段:首先初始置換一個IP,重新組合64bit的數據,然后進行16輪相同功能的置換和代換運算,最后再通過逆置換生產加密數據。對DES算法進行破密,到目前為止除了窮舉法對其進行攻擊解密外,沒有發現其他更有效的破密手段。由此可見,DES算法對信息傳輸的安全性是有足夠保障的。
           
           (2)公開密匙算法(RSA)
           
           公開密匙(RSA)算法屬于現代數據加密技術,又稱之為非對稱密匙算法,由兩對密匙共同組成:公共密匙和專用密匙;用戶專用秘鑰的加密數據信息只能用公共秘鑰來解密,所以用戶必須要著重保障專用密匙的安全性。公共密匙的使用不需要聯機密匙服務器,并且分配協議相對簡單,所以一般對密匙的管理比較簡單。
           
           (3)DES算法與RSA算法的比較
           
           如前面所述,DES算法的安全性好,目前為止沒有有效地技術手段對其進行破密攻擊,但是隨著計算機處理能力的提升,加上并行以及分布式處理方式的引進,DES算法的抗破能力會逐漸下降。而RAS算法的加密安全性依賴于大整數因式分解,有些RAS加密方程的變體被證明同樣難以分解,目前存在的攻擊手段只是針對RAS算法的協議而不是算法本身。因此,對于那些保密級別不是很高的電力系統數據一般使用DES加密算法就能滿足要求。
           
           2.3物理隔離技術
           
           物理隔離可以分為縱向隔離和橫向隔離,橫向隔離主要安裝在管理信息大區和生產控制大區之間,目的在于實現兩個安全區域的物理隔離,禁止網絡服務和數據庫之間的穿越以及訪問等,縱向隔離裝置主要是采用加密以及數字認證的方式,是一種專門用于電力系統的認證裝置,保證大區縱向數據傳輸的安全性。
           
           2.4VPN 技術
           
           VPN 技術又可以稱之為虛擬專用網絡,采用加密以及隧道技術等建立安全數據專用通道,使用戶和企業能夠利用互聯網連接到其他遠程服務器,VPN 技術具有靈活性強以及安全性高的特點,此技術能夠加密跨地區的數據傳輸以及關鍵業務信息跨部門數據傳輸,在采用VPN 技術中需要注意的是,必須保著能夠協議與現有網絡相一致,同時還必須保證每個VPN的電力行業具有自己的密匙技術、加密方法等,保證安全性與網絡負載處于平衡狀態。
           
           2.5IPSee 技術
           
           IPSee 技術全稱為 Internet 協議安全性,主要是為 IPv6 和 IPv4 提供加密安全服務,安全性主要是依靠網絡認證協議以及封裝安全荷載協議來實現,達到密匙的管理、交換以及加密通訊協商等。IPSee 技術安全服務內容主要包括無連接數據完整性、數據機密性以及控制訪問量等,訪問控制是通過身份認證機制進行認證,無連接完整是通過數據源驗證機制實現,IPSee 使用消息鑒別機制來實現數據源認證服務,發送用戶使用消息鑒別計算信息驗證碼,保存在驗證數據字段中,使用算法計算驗證數據,在 IPSee 技術中也使用了隧道模式封裝 IP,保證數據的安全性。
           
           2.6SSL 技術
           
           SSL 技術又稱為安全套接層協議,主要是用來保護網絡傳輸信息,通過加密傳輸保證數據的機密性,信息的完整性通過MAC技術保護,接受者的身份通過數字正數進行認證,在信息安全防護體系的SSL安全通報道中,完全依照透明性、可移植性的建設原則實現客戶端的身份認證。
           
           3.3.通信技術網絡管理措施
           
           3.1完善通信網絡系統,加強信息安全監督。隨著科學技術的發展,電力運行管理系統不斷呈現高智能化發展,極大的提高了系統運行效率。但由于受多方面因素的影響,通信網絡系統在電力中的建立仍然存在一定缺陷,導致電力信息傳輸安全性受到威脅。因此,電力部門應當與時俱進,不斷應用新技術,更新和升級現有的通信系統,全面提高通信設備設施的使用性能和抵御風險能力,確保電力系統通信環境的安全性。
           
           3.2構建科學管理機制,增強內部管理能力。電力系統內部應當根據行業標準,結合通信技術特點和信息安全要求,制定有效的管理制度,并執行安全管理責任制,將電力通信安全管理責任精細化,實現管理責任落到實處。當前,電力通信網絡管理對技術廠家依賴程度比較大,內部管理能力欠缺,信息安全維護不全面。
           
           3.3遵循一定的原則。在電力通信網絡管理系統中,受到的影響因素主要是通信系統的規模、技術經濟指標和通信網絡結構等。在實際的電力通信網絡系統管理中加強管理,需要堅持“不同問題選用不同方案”的原則針對不同的問題采取相應的措施。例如電力通信網絡系統管理的過程中廈視實時監控設備就須做好監控工作。針對這種問題,電力企業可以建立監控系統和通信系統,組成網元管理系統,實現對整個電力自動化通信系統的實時監控。
           
           3.4建立全面的管理系統。目前俄國電力網絡管理系統的相關設備和技術莊要是依靠生產廠家和設計廠家,相對來說比較片面會對電力自動化的通信信息造成一定的安全威脅。因此在電力自動化通信系統的管理過程中,建立系統、全面的網絡管理系統十分重要。建立的網絡管理系統莊要的內容包括網元數據采集層、網元管理層和業務管理層等不同的內容,具有全自動拓撲發現技術、故障智能檢測和分析、支持分布式管理、多維度監控和支持多操作平臺等特點,不僅可以實現對電力自動化通信信息數據的實時采集和傳輸還可以在線對防護體系中出現的故障進行預測和分析保證了電力自動化通信信息技術的安全。
           
           3.5提高網絡反病毒技術能力。通過安裝病毒防火墻來進行實時過濾,然后再利用網絡的入侵檢測技術對網絡服務器中的文件進行頻繁掃描和監測,在工作站上采用防病毒卡,加強網絡目錄和文件訪問權限的設置,在網絡的正常運行過程中,限制只能由服務器才允許執行的文件,對于一些被感染的硬盤以及電腦要進行徹底的殺毒,對于一些不知來歷的優盤以及不明來歷的程序不能輕易使用,對一些可疑的信息也不要輕易下載。最后就是要在計算機網絡安全的管理方面要加強計算機用戶的安全教育,在管理功能方面也要得到加強,完善計算機網絡安全的相關法律規范,從而構建和諧安全的網絡社會。
           
           結束語
           
           隨著電力自動化無線通信技術的快速發展,對網絡信息安全的要求也不斷提高。無線通信技術有著其自身的特點,因此必須結合其自身特點和信息安全的需要,開發出新的技術和方案,以提高電力自動化無線通信系統的安全。
           
           參考文獻:
           
           [1]汪方方.變電站自動化系統通信信息安全研究[D].華東理工大學,2014.
           
          管理信息系統案例及分析范文第3篇
           
           關鍵詞:醫院管理 信息系統 故障分級 應急管理預案
           
           中圖分類號:TP39 文獻標識碼:A 文章編號:1672-3791(2012)07(b)-0241-01
           
           醫院的信息系統平臺,是醫療機構規范運作、高效服務的基礎。而在系統的運行過程中,難免會因為人為的或者自然的原因而引發故障。為了避免系統故障給醫院的正常工作帶來嚴重影響。我們應當對故障形式進行分析把握,再采取有效的應爭管理預案。
           
           1 信息系統中常見故障
           
           對于現代化的綜合醫院來講,信息系統對其的重要技術支撐功能是毋庸置疑的,其已覆蓋了醫院所有的管理層面乃至病人就診的所有環節。它是醫院現代化模式管理的一個極重要標志。就當前來講,醫院信息系統在各科室都有分布,若按科室來劃分的話,信息系統可分成門診系統、校驗系統、急診掛號系統、醫學影像系統、檔案管理系統、傳輸系統、收費系統等。各個系統都是醫院信息系統中的重要構成部分,可以給臨床醫生和病人提供更為準確、快速的信息,信息含量也非常大,使得醫院的數據質量大幅度提高,讓醫院形成了微機網絡化管理。在對信息系統發生故障進行排除時,我們應當做到兩點。
           
           1.1 深入了解網絡系統故障,明確具體的故障分類
           
           同時分別設計出解決方案,這樣做方便于故障的排除。常見故障原因有以下幾種。
           
           (1)風災、地震、雷電等不可抗自然災害的威脅。這中間風災和雷擊較為常見。通常的做法是在安裝有交換設施的地區加裝防雷裝置,而位于樓和樓間的接線則要應用地下光纖,這樣做,可以有效的減少風災給系統帶來的損害。
           
           (2)人為原因帶來的故障。如工作人員因為疏忽大意形成的計算機網絡病毒侵入事故等。采取的辦法是給使用計算機設置嚴密的程序及完善的防范病毒機制。此外,信息管理的操作失誤、失職,都會造成信息丟失事故的發生。采取的辦法是加強思想道德建設以及計算機知識的教育培訓。
           
           (3)意外事故。這里所說的意外事故主要是指火災。可以采取的應對策略是強化培訓消防知識,配全消防設備。如果有電壓不穩或是其他特殊情況發生時,及時切斷可能的危險因素。
           
           (4)數據安全故障。數據庫損壞及服務器癱瘓造成的數據錯誤與丟失。
           
           1.2 針對常見網絡故障,采取積極的應對措施
           
           (1)應用分布式的系統設計方法。使中心機房、門診處、住院處等多個數據庫服務器能夠組成主、從式的服務器結構。這樣的方法可以定期由主服務器進行讀取數據工作。讓主、從系統中的數據庫數據具有一致性。而不必要采用其余的硬件與軟件設備。當然,這種類型的結構系統有一定弊病,例如二級門診或者二級住院部交換機發生損壞,就會給住院部甚至整個門診系統產生負面影響。讓其難以正常工作。
           
           (2)使用冗余網絡設備,對交換設備施行備份,同時配備功能完善的備份類軟件。對于醫院內的網絡信息系統數據給以靈活備份,使得數據多一重安全保障。
           
           該方法不用采取任何的防范舉措就可以實現系統的保護,然而其成本較高,也不能很好地防范服務器故障。
           
           2 信息系統故障分級主應級管理預案具體實施方法
           
           醫院的分級應急管理預案是把醫院的不同崗位,按照應用信息架構來劃分為不同級別。各工作崗位分別有各自不同的應急預案,但是若有系統故障發生,其多樣性的表現形式是很難解決的。醫院只有在進行科學化管理與主控制的前提下,才可以讓信息系統分級預案完好地解決各種類型的問題。詳細言之,就是在受到故障影響的崗位,應急預案做出有經驗的反應、迅速應對故障發生處的不良影響。醫院的分級主應急管理預案根據信息系統與故障的分級分類,可以劃分為四個層次,就是在中心機房、門診、住院等多臺數據庫的服務器中進行信息結構建設,形成主從式的系統服務器結構。主服務器統籌全局,從服務器分管各部門。由主服務器進行定期的數據同步讀取。其優勢在于因為數據庫的一致性,而不再需要額外的軟件系統。這里僅以醫院實驗室的信息系統為例,可以使用的應急預案有下列四種模式。
           
           2.1 經典檢驗模式
           
           這種模式是指在受到嚴重的全局性網絡故障影響時,計算機工作站沒辦法正常工作,應急系統可以對實驗室狀態、原始校驗科報告方式給以拯救性恢復。當病毒入侵讓全部計算機系統造成癱瘓時,檢驗工作人員可以應用手工填寫的辦法把全部數據進行簽字保存,等系統修復后再重新錄入,這是最簡單最原始的應急檢驗模式,簡單易實現,可是弊端在于工作量非常大,給醫院的相關工作人員帶來很大麻煩,也不利于保證工作效率。
           
           2.2 單機模式
           
           這種模式把實驗室的信息系統劃分成免疫、臨檢、生化幾個板塊。一部分板塊應用經典模式進行手工檢驗檢測,與此同時把數據由手工方式進行錄入。另外一部分板塊由擁有計算機接口設備的儀器實行檢驗檢測。由計算機接口把數據導入到計算機中,借以達到原始數據留存。
           
           2.3 數據庫模式
           
           在實驗室信息系統內的檢校科工作站,選用與主系統相互連接的管理數據庫的工作系統,通過下載服務器上的數據,實現全新工程鏡像庫的目標。
           
           2.4 本系統獨立服務器模式
           
           這種模式又叫做局域網模式,它把實驗室的信息系統設置成獨立的服務器,以期保證受檢驗信息的準確性及高效性。并且在醫院信息系統應用峰值期,不占用其數據流量資源。同時,讓計費系統能在醫院信息系統主服務器的閑暇時段工作運行。此外,這種模式能存儲檢驗信息的容量非常大,可以有效減少醫院信息系統信息量的儲存負擔。且可實現數據的隨時查詢與分析。
           
           3 結語
           
           醫院內的信息系統安全,不僅要依托技術支撐,更要求各部門的相互協作配合。醫院一定要定期檢查監督主應急管理預案的準備與落實情況,強化應急演練,以便在演練中發現問題、解決問題。讓應急預案更好地為醫院服務、為病人服務、為社會服務。
           
           參考文獻
           
           [1] 朱連峰.醫院信息系統的有效管理與升級[J].企業管理,2007(6).
           
           [2] 楊德文.醫院信息安全方案的設計與實現[J].中國醫院統計,2006(3).
           
          管理信息系統案例及分析范文第4篇
           
           關鍵詞:靈敏度分析;信息安全;性能評估;綜合權衡
           
           中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2009)33-9230-04
           
           隨著信息化程度的逐步深入,生產、存儲、處理和傳遞信息的信息系統和通訊網絡日益復雜。依靠網絡管理系統對授權機制、訪問控制、加密和加密關鍵字進行管理及維護,應用防火墻、VPN、入侵監測系統、防病毒系統等安全產品進行安全防御,這些都不能非常有效地解決信息時代的信息安全問題。只有建立集中的信息安全管理系統,通過一個控制和操作平臺對各個信息系統和通訊網絡進行透視,充分了解信息在這些系統中的生產、存儲、處理、傳遞和使用等各個環節,才能很好地解決當今時代的信息安全問題。隨著計算機網絡的復雜性愈來愈大,要求信息安全管理的性能愈來愈高,信息安全管理正朝著層次化、集成化、WEB化和智能化的方向發展。
           
           近年來,我國信息安全技術研究開發和產業化工作已經取得了初步進展,包括在全國啟動了863計劃信息安全特別項目,在上海組建了863國家信息安全成果產業化東部基地等。但是,關于國家或地區信息安全保障體系建設和信息安全管理模式的研究仍處于探索階段。本文采用靈敏度分析和綜合權衡分析方法,研究信息安全管理系統的評估問題。通過本文的研究,一方面可以總結信息安全管理系統評估的相關理論和方法;另一方面可以有效地指導我國信息安全管理系統的建設工作。
           
           1 相關研究概述
           
           1.1 信息安全管理系統
           
           信息安全管理系統(Information Security Management System,ISMS)的主要用途就是保證信息資源的合法獲取途徑,即使在遭遇黑客、病毒攻擊時,還能提供一個完整的、未受干擾的信息系統運行環境。早在1998年,美國國家通訊安全和信息系統安全委員會就啟動了一些小規模的實驗計劃,開始研究ISMS的相關問題[1]。1998年5月,美國聯邦航空局(Federal Aviation Administration,FAA)開發了FAA通訊基礎設施(FAA Telecommunication Infrastructure,FTI)信息保障系統。2000年9月,FAA已經將基礎安全服務、增強安全服務和ISO/IEC 21827 ISMS評估模型等概念集成到第一版的FTI安全指南[2]。文獻[3]給出了ISMS風險組件的流程和關系(ISO/IEC TR 13335-1),如圖1所示。基于圖1的資產、威脅和隱患之間的關系,通用準則(Common Criteria,CC)給出了評估對象(Target of Evaluation,TOE)安全目標和安全功能需求之間的關系[4]。文獻[2]給出了ISMS的框架(圖2)和TOE規范(圖3),該框架和規范皆側重于信息資產運作過程中的隱患管理和信息系統潛在威脅的結構管理等。
           
           1.2 綜合權衡分析
           
           在系統體系評價中,廣大學者提出了許多不同的綜合權衡分析方法,其中比較著名的包括體系綜合權衡分析方法(Architecture Tradeoff Analysis Method,ATAM)[5]、費效分析方法(Cost Benefit Analysis Method,CBAM)[6]、非功能需求框架(Non-Functional Requirements,NFR)下不同設計方案間的目標滿意分析方法[7]、多準則決策過程中的層次分析方法[8]等。
           
           體系綜合權衡分析方法。體系綜合權衡分析方法是一種基于想定的體系評估方法。它通過對諸如性能、可修改性、可靠性、安全性等多個品質屬性的分析來確定體系結構設計中的折衷點,從而降低設計的風險。該方法提供了一種方式來理解系統體系結構對多個競爭的品質屬性的適合程度。ATAM是關于系統體系結構品質屬性的分析技術。ATAM能夠檢測系統體系結構潛在的危險,它反映出體系結構滿足實際系統目標的程度。ATAM是一種體系結構設計的螺旋模型。ATAM的每次迭代都使評價人員對系統有了更深入的理解,并相應地提出修改建議,以降低風險。
           
           非功能需求框架。非功能需求也就是通常所說的品質屬性需求。多倫多大學的學者曾應用目標建模技術獲取非功能需求并進行決策[9]。在目標模型中,設計變量可以被看作是一個任務,不同層次的非功能需求可以被看作是一個目標或子目標。設計變量與非功能需求之間成正相關或負相關關系。為了將NFR目標建模成功地應用到決策過程中,評價者需要對單個品質屬性的影響程度有一個比較可靠的理解。在同時考慮多個品質屬性的情況下,NFR提供了一個鞏固和平衡這些理解的有效方式。為了找到最滿意的目標,設計變量與非功能需求之間的相關關系可以通過目標圖(goal graph)進行計算和傳遞[10]。
           
           層次分析法。很多學者曾嘗試將AHP方法應用到體系評估中[11-12]。文獻[11]給出了將AHP方法應用于體系評估中的標準形式。該文獻不但提出了一種獲取體系排序(根據它們滿足特定品質屬性的程度)的品質屬性框架(Framework for Quality Attribute,FQA),而且給出了得到每個體系品質屬性排序的體系結構框架(Framework for Architecture Structures,FAS)。類同于普通AHP方法中用于檢查成對比較結果的一致性檢查,FAS提供了對體系品質屬性的一致性檢查和進一步判斷。該方法還提供了一種靈敏度計算框架(Framework for Variance Calculation,FVC),用來計算最終排序結果的置信度水平。在文獻[12]中,研究者提出了一個用于評價分布式應用軟件的基于AHP方法的品質驅動體系評估方法。
           
           2 信息安全管理系統評估
           
           2.1 評估原理
           
           為了解ISMS的安全保障能力,通常需要對數百個指標進行評估或測試。在這些指標中,每個指標都從一定的側面反映了系統的安全特征或對系統特征的影響,但任何一個指標都無法完全反映系統的整體安全保障特性。對于一個實際存在的待評估系統來說,必須將全體評估指標的評估結果進行綜合,從而得到關于整個系統的安全保障特性的最終評價。為達到這一目的,除需要準確地評估每個指標外,還必須仔細考察指標間的關系,從而確定綜合評估結果。綜合評價必須盡可能客觀,盡可能減少主觀判斷造成的影響。
           
           2.2 評估過程
           
           通常的評估過程及其相互關系如圖4所示。這里的評估對象是指需要進行評估的物體;評估標準是指待評估對象的主要特征(評估者關注的主要性能);理想方案是指用來和真實評估對象進行比較的一個理想物體;數據收集是指獲取相關數據來分析每個評估標準;綜合集成是指綜合考慮每個評估標準,最后得到評估對象的最終評估結果。正如圖4所示,所有的評估過程是緊密相連的。
           
           為完成綜合評估,首先要從最低層的指標入手,確定每個評估項的狀況;然后由低到高,確定出每個層次指標的評估結果;最后將第一層指標的評估結果綜合在一起,得出系統的綜合評估結果。為進行每個層次的評估,評估員在評估活動中可能采用現場測試、實驗室測試、資料審核、管理審核、交流與提問等多種方式,但無論采用什么樣的方式,最終都將以定性或定量的兩種形式給出對具體評估項的評價。
           
           2.3 評估標準
           
           圖5給出了一個比較完善的ISMS評估的指標體系[13]。從完整的評估角度來看,該指標體系未必全面,并且指標的細分大部分還停留在比較粗的層次上。對于實際的系統評估來說,指標的劃分將還有更多的層次。但是,圖5的目的在于說明問題,盡可能包括有代表性的一級指標,以簡化后續說明。實際評估工作可將圖5細化,并將下面討論的方法推而廣之。因而以圖5所示的指標體系來說明系統評估的綜合評價方法,不失一般性。
           
           2.4 評估框架
           
           本文的信息安全管理系統評估框架如圖6所示。在該框架中,ISMS評估主要包括三個層面的含義:1) ISMS的整體評估,即通過評估給定ISMS的可用資源條件、系統安全工程、生命周期支持、風險管理能力、安全管理能力、特種保障能力和系統獲取能力等每個指標的評估結果,采用綜合權衡方法將這些評估結果綜合在一起,得出系統的綜合評估結果;2) ISMS的優化,即綜合采用綜合權衡分析方法,通過較小地調整給定ISMS的相關指標值,最終找到一個經過優化的切實可行的比較經濟的ISMS優化方案。
           
           3 評估實例
           
           為了便于后續進一步的分析和描述,本章先給出一些簡單的ISMS評估實例。假設有四個不同的ISMS,分別稱之為ISMS1、ISMS2、ISMS3、ISMS4;且當前評估只考慮第一層的七個指標,即可用資源條件、系統安全工程、生命周期支持、風險管理能力、安全管理能力、特種保障能力和系統獲取能力。假設聘請若干專家,采用兩兩比較方法,已經獲得了這四個待評估ISMS的七個品質屬性各自的層次單排序(表1)。這些層次單排序,反映了給定ISMS對特定品質屬性的支持程度。后面兩章將以本部分的評估實例為基礎,詳細討論如何利用綜合權衡分析方法和靈敏度分析方法完成對ISMS的評估。
           
           4 ISMS評估中的綜合權衡分析
           
           4.1 不考慮指標權重的綜合權衡
           
           在不考慮指標權重的綜合權衡中,可以在二維平面圖中畫出所有待評估對象的任意兩個品質屬性的層次單排序結果。圖7給出了本文實例中四個待評估ISMS的系統安全工程和特種保障能力這兩個品質屬性的層次單排序結果。不難看出,圖7以一種可視化的方式給出了待評估對象各個品質屬性的相對大小及它們之間的關系。對于本文的4個待評估對象7個品質屬性的評估實例,總共需要繪制21個權衡圖(7個品質屬性兩兩繪制權衡圖)。在這些權衡圖中,總共有36次需要比較慎重地進行多次綜合權衡(在權衡圖中,方案距離左上角和右下角距離比較近)的情況。
           
           4.2 考慮指標權重的綜合權衡
           
           在考慮指標權重的綜合權衡中,待評估ISMS的品質屬性的層次單排序乘以各自的權重,就得到了考慮指標權重下的待評估ISMS的品質屬性的層次單排序(表2)。在這種情況下,圖7的待評估ISMS的系統安全工程和特種保障能力的權衡圖就變成圖8的情形。
           
           4.3 評估結果的分析與評估
           
           在不考慮指標權重的綜合權衡中,圖7中任意一點都代表了一種不同的方案權衡。筆者將圖7中的區域根據品質屬性值的相對大小分成四個區間。這種劃分方法實際上是將各種各樣的方案權衡分成四組。在圖7中,對于落入左上區間的待評估對象ISMS2,非常側重于系統安全工程這個品質屬性;而對于落入右下區間的待評估對象ISMS4,則非常則重于特種保障能力這個品質屬性。在權衡圖中,距離左上角和右下角距離比較近的點(方案權衡),在進行優劣選擇時需要比較慎重地進行多次綜合權衡。落入左下區間的點(方案權衡),意味著該方案的兩個質量屬性都比較差;落入右上區間的點(方案權衡),意味著該方案的兩個質量屬性都比較優。通過繪制權衡圖和確定方案權衡,評估者就可以根據待評估方案在權衡圖中的位置完成對方案的評估。
           
           在考慮指標權重的綜合權衡中,可用資源條件是一個主導的品質屬性,因此就出現了相對于可用資源條件,其他品質屬性的層次單排序銳減的情況。在四個待評估對象中,由于ISMS1在可用資源條件這個品質屬性上具有很大的優勢,因此它就擴大了可用資源條件與其他品質屬性之間權衡圖的范圍(圖9)。
           
           顯然,將考慮指標權重的權衡圖和不考慮指標權重的權衡圖有效地結合起來,可以幫助評估者在不同的評估對象之間方便地做出最終權衡。
           
           5 結束語
           
           該文的主要創新點:1) 構建了一個比較實用的信息安全管理系統評估框架,在該框架中ISMS評估主要包括ISMS的整體評估和ISMS的優化兩個層面的含義,這個評估框架完全符合評價、分析及優化的系統工程思想;2) 提出了用于信息安全管理系統評估的基于綜合權衡分析方法一套方法集,這些方法一方面實現了評估過程的可視化,另一方面實現了定性定量相結合的評估思路。
           
           參考文獻:
           
           [1] NSTISSC (National Security Telecommunications and Information System Security Committee). National Information Assurance Certification and Accreditation Process (NIACAP) [R]. New York. NSTISSC, 2000.
           
           [2] JEAN K.J., LIN S.H., FUNG A.R.W.. A study on information security management system evaluation - assets, threat and vulnerability [J]. Computer Standards & Interfaces. 2004, (26): 501-513
           
           [3] ISO (International Organization for Standardization). Information technology - guidelines for the management of IT security - Part 1: concepts and models for IT security [R]. Geneva. ISO, 1996.
           
           [4] HERMAN D., KEITH S. Application of the common criteria to a system: a case study [J]. Computer Security Journal. 2001, 17(2): 21-28.
           
           [5] KAZMAN R., BARBACCI M., KLEIN M., et al. Experience with performing architecture tradeoff analysis [A]. In Proceedings of the 21st International Conferences on Software Engineering (ICSE’99) [C]. 1999, pp. 54C63.
           
           [6] KAZMAN R., ASUNDI J., KLEIN M. Quantifying the costs and benefits of architectural decision [A]. In Proceedings of the 23rd International Conference on Software Engineering (ICSE) [C]. 2001, pp. 297C306.
           
           [7] GROSS D., YU E.S.K. From non-functional requirements to design through patterns [J]. Requirement Engineering. 2001, 6(1): 18-36.
           
           [8] SVAHNBERG M., WOHLIN C., LUNDBERG L., et al. A quality-driven decision-support method for identifying software architecture candidates [J]. International Journal of Software Engineering and Knowledge. 2003, 13(5): 547-573.
           
           [9] CHUNG L., NIXON B.A., YU E., et al. Non-Functional Requirements in Software Engineering [M]. Dordrecht: Kluwer Academic Publishers. 2000
           
           [10] GIORGINI P., MYLOPOULOS J., NICCHIARELLI E., et al. Formal reasoning techniques for goal models [J]. Journal on Data Semantics. 2004, (1): 1-20.
           
           [11] SVAHNBERG M., WOHLIN C., LUNDBERG L., et al. A quality-driven decision-support method for identifying software architecture candidates [J]. International Journal of Software Engineering and Knowledge Engineering. 2003, 13(5): 547-573.
           
          管理信息系統案例及分析范文第5篇
           
           案例教學法作為管理類課程教學中的一種方法,既有助于培養學生分析和解決實際問題的能力,又能提高學生學習的主動性。分析了目前案例教學中的一些問題,并提出了幾點注意事項,實施案例教學的實踐意義。
           
           [關鍵詞]
           
           案例教學,管理類,學生
           
           教學改革與方式是人才培養模式的關鍵點,同時還是教學改革的重中之重。由于受傳統教學范式的長期影響,高校工商管理類課程在教學內容與方法上存在很多問題,嚴重制約了學生創造性思維的發展與創新能力的培養,沒有辦法順應知識信息經濟時代對人才特殊的要求。
           
           一、管理信息系統課程的理論基礎與體系結構
           
           本研究結合管理信息系統課程的理論基礎和體系結構,結合現有文獻提出的管理信息系統改革方法,提出以下改革建議。根據工商管理類專業的特點,減少MIS開發方法和開發過程內容所占的比例,添加MIS與企業競爭優勢、MIS管理、經管領域MIS應用等知識模塊。工商管理類專業MIS理論教學內容主要包括以下四部分:
           
           第一部分:管理信息系統基礎理論篇
           
           (1)管理信息系統基本概念:信息、系統、信息系統以及管理信息系統的概念,管理信息系統的發展歷程。
           
           (2)管理信息系統理論基礎:管理理論、信息論、系統論、控制論、行為科學、數學以及運籌學等基礎理論學科的把握。
           
           (3)管理信息系統的分類:基于管理層次的分類、基于管理職能結構的分類、信息資源的空間分類以及技術架構分類。
           
           (4)管理信息系統的系統結構:概念結構、層次結構、功能結構、軟件結構和硬件結構。
           
           第二部分:管理信息系統的開發基礎篇
           
           (1)管理信息系統的技術基礎:計算機硬件系統、計算機軟件系統。
           
           (2)管理信息系統的開發條件:企業業務流程分析與企業業務改革,領導的支持與參與。
           
           (3)系統的開發方法:結構化開發方法、原型法、面向對象的開發方法和計算機輔助工程。
           
           (4)數據庫技術基礎:概念模型、關系模型、概念模型和關系模型的轉換、關系模型的規范化。
           
           (5)通信與網絡:數據通信與計算機網絡。
           
           第三部分:系統開發與管理篇
           
           (1)管理信息系統規劃:管理信息系統規劃的必要性、目標、內容與組織管理,管理信息系統規劃模型,系統規劃的主要方法。
           
           (2)管理信息系統的分析:系統分析的目標、任務及步驟,系統詳細調查與分析,新系統邏輯方案的建立。
           
           (3)管理信息系統的設計:系統設計的任務與原則,系統功能結構設計,系統配置方案的設計,系統流程設計,代碼設計,數據庫設計。
           
           (4)管理信息系統的實施:系統設計的任務與原則,系統功能結構設計,系統配置方案的設計,系統流程設計,代碼設計,數據庫設計。
           
           第四部分:典型應用篇
           
           (1)生產管理信息系統:生產管理系統的發展、物料需求計劃、制造資源計劃、企業資源計劃。
           
           (2)決策支持系統:決策支持系統的概述,決策支持系統的發展歷程,決策支持系統功能與支持,智能決策支持系統,群體決策支持系統。
           
           (3)電子商務:電子商務的概念、分類,電子商務的應用框架,電子商務中的支付,電子商務的安全問題。管理信息系統的理論體系如圖所示。
           
           二、管理信息系統案例教學的現狀
           
           (一)課程之間差異性小,知識創新速度緩慢在知識經濟時代,學生必須通過最新的、最快的信息快速填補自己的知識儲備量。然而,由于管理類知識理論來源于早期的理論觀點,因此學生所掌握的知識一直局限于此。盡管一些管理理論和觀點堪稱經典,但理論也許與時俱進。很多高校學者們也在不斷地通過學術論文推陳出新,不斷創新。但這些觀點和想法卻不能及時通過教材更新,理論界的最新研究成果及觀點不能在課堂上得到運用。學生所用的教材與任課教師的課件一直沿用很多年,幾乎不更換。教學內容與時展脫節,學生所掌握的專業知識難以滿足社會和時展的要求。工商管理類課程,如管理信息系統課程,由于實踐性較強,知識點和內容重復性較高。但由于課程設置對優化整合關注少,致使同一內容通常在不同的學科中出現,比如會計信息系統、人力資源信息系統、ERP系統等課程會重復出現在課堂上。由于講解管理信息系統的教師一般是管理類教師,他們缺乏計算機和信息論等方面的知識,對知識點講解不夠深刻。這些現象不但會使學生掌握知識不夠系統,而且會使學生產生厭倦,上課不專心聽講、困倦等。
           
           (二)理論講解比重大,實踐少目前,管理信息系統的本科階段教學一般以講解理論知識為主。任課教師將知識點灌輸給學生,學生對于抽象的概念及知識無法理解。
           
           (三)教師的教學方式單調盡管現在教學可以通過多媒體的教學手段展現教學內容,但教師經常對多媒體中展現的文字和理論知識進行簡單的講解,每節課灌輸給學生的知識量很大,學生之前的知識點還未理解,教師已經提出了新的知識點,如此循環,學生對知識點的掌握不深入,理解不透徹。管理信息系統課程是一門實踐性較強的課程,理論知識點抽象模糊,盡管通過簡單的多媒體進行演示,但是學生仍不能透徹理解,只有通過實踐真實體會,才能悟出其中的道理。但是,高校本科的教學大部分實踐集中在理論講解上,給學生的實踐課時極少。在這種教學體制下,為了讓學生更加透徹地理解知識點,教師必須精心準備與所講知識點密切相關的案例作為支撐。通過案例的討論、講解與總結使學生理解抽象之后的奧秘。
           
           (四)案例稀少調查表明,教師不是不愿意使用案例教學,而是與所講知識點密切相關的案例較少。而且很多學校把案例教學當成是教師個人的事情。經費少,案例開發人員力量薄弱,組織上也不給予重視。因此,教學案例不能進行有效開發。盡管國外優秀的案例很多,但適合于中國本土教學的案例少之甚少。近幾年來,很多高校也在不斷投入經費,組織教師開發本土化案例,也收到了一定的效果,但還處在開發階段。管理信息系統設計的領域較多,案例的綜合性較強,例如一個完善的案例會涉及信息領域、網絡組織、通訊領域以及電子商務等方面的研究。綜上所述,案例教學作為一種實踐性的教學手段,將成為未來高校課堂教學的趨勢。
           
           三、管理信息系統案例教學的引入
           
           鑒于管理信息系統的課程體系和課程性質,引入“案例教學法”能提高學生對其知識點更深入的理解和把握。為了能夠較好地將案例引入與管理信息系統的理論體系相結合,本研究提出以下應注意的問題。
           
           (一)案例分析與理論知識點的有效銜接在教學過程中,教師需要處理案例引入與理論知識點的銜接,有效銜接兩者之間的關系,既要注重案例教學,但又不能完全取論講授。通過案例的引入輔助學生了解知識點,通過企業實際的背景資料了解企業實際,在有企業情景的背景下學習管理信息系統中錯綜復雜的知識銜接關系。
           
           (二)合理安排案例教學的比例現實教學中,由于教師授課的風格和講授的方式不同,引入案例教學的比例也不盡相同。而且在不同的高校實踐案例教學的比重差異很大,很難找到一個統一標準的范式指導教學。因此,教師應該靈活地引入案例,通過案例引入輔助學生對知識點的掌握。
           
           (三)建設案例庫在中國,現階段很多高校在開發自己的案例庫,同時也有鼓勵教師編寫案例的平臺。大連理工大學組建全國百篇優秀案例的投稿平臺,通過評選,選出百篇優秀案例,并裝訂成冊,供各高校老師使用。同時,也會將投稿的案例經過評審入選到優秀案例集里。教師在教學過程中可以挑選適合課程教學目標的案例,實現案例資源的共享。
           
           四、管理信息系統課程案例教學實施的流程
           
           案例教學可以作為專門的案例討論課來進行,根據案例的長短合理安排預習時間,讓學生提前了解案例的背景資料,熟悉案例。較長的案例建議提前將案例發給學生,使學生有足夠的時間學習和了解相關知識。案例中未能全部提供的信息,學生可以借助于網絡查詢了解。一般在案例討論環節應按以下環節進行。
           
           (一)教師明確討論主題根據教學計劃的要求,教師對問題適當的篩選,明確案例中所提到的思考題中的一個或幾個作為主題。
           
           (二)小組討論案例在課堂討論前就教師提出的問題進行充分的小組討論,最后形成小組意見。
           
           (三)課堂討論小組討論結束后,每組的組長向全班陳述本組的討論結果。教師應及時引導學生就分析結果進行交流、討論和爭辯。
           
           (四)教師點評最后教師就案例所涉及的知識點進行講解,就每組的意見總結歸納。案例教學流程:案例教學的準備案例教學的組織與實施過程中的評價與反饋課后的評價與反饋。案例教學是一種工商管理類課程必不可少的教學手段,當前正處在推進階段。目前我國所面臨的管理案例教學中的困難是如何借鑒國外案例教學模式,將國外案例轉換為國產化和本地化的案例,最終形成完整的中國管理案例教學體系。要實現管理案例本土化和國產化,最根本的是要有一大批懂得如何去寫作案例、進行案例分析和使用案例組織教學的教師隊伍。同時,從案例的編寫、選取以及教學環節的把握力求嚴謹、科學,力爭最大限度地提高案例教學法在管理類課程中的教學效果。
           
           參考文獻:
           
           [1]付俊紅.論案例教學法在高校管理類課程中的應用[J].高教研究,2007(1).