精彩书摘:
第1章企业信息系统和信息系统安全
随着计算机和网络等技术的快速发展与广泛应用,信息系统正成为越来越多企业运营管理必备的工具。本章首先明确企业信息系统的内涵及其在企业中的主要应用,其次分析企业信息和信息资产的内涵及其特征,进一步明确信息安全和信息系统安全的概念,分析企业信息系统安全的发展,*后讨论企业信息系统自身的脆弱性和所面临的安全威胁。
1.1企业信息系统
1.1.1企业信息系统内涵及其发展
1.企业信息系统的内涵
企业信息系统是用以实现数据收集、存储和处理等功能,满足企业业务处理和管理决策等需求的计算机及相关技术的应用系统。企业信息系统由信息技术和人的活动两方面要素组成,其目的是完成数据收集、存储、处理、传递、管理等功能,服务于企业的管理、决策、协调和控制,协助管理者或员工分析问题、开发新产品,进而提升企业的运行效率、经济效益和竞争力(肯尼斯 C.劳顿和简 P.劳顿,2018)。
企业信息系统的内涵可以从技术和管理两个视角理解。从技术角度看,企业信息系统由一系列相互关联的部件组成,如计算机硬件和软件、网络和通信系统、数据存储和处理系统等,其共同完成企业内外部数据收集、存储、处理、传递和发布等,为企业的业务处理、管理和决策等提供支持。从管理角度看,企业信息系统是企业利用信息技术支持企业更好地解决业务和管理问题,有效应对外部环境给企业带来的挑战。可见,企业信息系统应用涉及组织、管理和技术三方面因素的共同作用。组织上,企业信息系统应用需要考虑与各类员工、小组或部门之间的相互作用、相互影响,需要考虑企业各个管理层次、不同业务功能的用户对信息系统的不同需求,同时还需要考虑企业文化对信息技术应用的影响;管理上,企业信息系统应用需要考虑管理者所面临的各种情境,支持管理者洞察环境所带来的挑战,并制定相应的应对策略和进行相关资源配置,需要考虑信息系统应用与管理模式和管理流程之间的匹配,需要考虑如何利用信息系统帮助管理者进行企业的定位和设计等;技术上,企业信息系统应用涉及一系列相互关联的技术,主要包括计算机硬件和软件技术、网络技术、数据库技术和安全技术等。
人是企业信息系统应用的主动和能动要素,信息系统不是纯粹的技术系统,而是一个复杂的社会技术系统。一方面,信息系统不等同于信息技术,信息技术更多强调的是技术的原理和构成等,信息系统注重的是从企业目标出发科学选取信息技术在企业高效应用。企业信息系统的应用涉及业务流程、组织架构、人的权利和责任等多个方面的组织因素,还受到企业文化的直接影响。另一方面,信息系统也有别于管理人员的商业决策,管理人员的商业决策会考虑除信息系统提供的信息之外的其他重要的决策环境和决策变量,信息系统则是通过数据收集、存储、处理、传递和管理等功能支持和辅助管理人员进行管理和决策。总之,信息系统不但包含数据库、软件和硬件等各种技术设施,还包含进行各种活动的人,如技术专家和管理人员等,是人和技术共同作用的社会技术系统。
由于信息系统是一个社会技术系统,企业信息系统应用不仅需要技术投资,还需要相关的互补性资产,包括组织资产、管理资产和社会资产。组织资产包括企业中重视效率和效益的企业文化、与信息技术应用相匹配的高效的业务流程、与信息系统应用相适应的权利和责任分配体系与决策体系以及强大的信息系统应用开发和管理团队等;管理资产包括企业管理者特别是高层管理者对信息技术投资和信息系统应用所需要管理变革的强烈支持、企业对管理创新的激励、企业运用信息系统进行管理决策的技能培训等;社会资产包括全社会的互联网和通信基础设施、劳动者的计算机素养和能力、信息系统应用的相关标准和法律法规以及企业信息系统技术应用所需要的管理咨询、系统开发与技术支持等相关服务等。企业信息系统应用过程中同时考虑技术投资和所需要的互补性投资是成功应用信息系统的基础性保障。
2.企业信息系统应用的发展历程
随着计算机和网络等信息技术的快速发展,人们对信息资源价值的认知不断提升,企业信息系统应用不断发展。自20世纪40年代计算机技术诞生以来,从技术视角看,企业信息系统应用经历了5个阶段,分别为通用主机及小型计算机、个人计算机、客户机/服务器、企业计算以及云计算与移动计算阶段。
(1)通用主机及小型计算机阶段(1959年至今)
1959年IBM晶体管计算机的出现标志着主机型(mainframe)计算机在企业中开始广泛应用。主机型计算机拥有非常强大的功能,能支持数千个远程终端,通过专用通信协议和数据线与中央主机远程连接。
主机中心结构是一种高度集中的计算模式,计算机系统都是由专业的程序员和系统操作员集中控制,各种软件和硬件基础设施往往由同一家生产商供应。但在1965年数据设备公司(Digital Equipment Corporation,DEC)推出小型计算机(minicomputer)后,分散式计算模式开始在企业中应用,企业可以按独立部门或相关的业务部门实施分散计算,不必再采用分时的方式共享一台大型主机。
(2)个人计算机阶段(1981年至今)
1981年IBM个人计算机的出现标志着个人计算机时代的开始,随着个人计算机的普及,涌现出了大量的个人桌面软件工具,如文字处理软件、电子制表软件、电子演示软件以及小型数据管理软件等,这些软件得到个人用户和企业用户的广泛应用。
(3)客户机/服务器阶段(1983年至今)
在客户机/服务器计算(client/server computing)中,被称为客户机(client)的台式机或便携计算机通过网络与功能强大的服务器连接。服务器响应客户服务请求。相关处理任务被分配在这两类设备上,客户机是用户输入终端和输出结果端,服务器主要对共享数据进行处理和存储。在这种模式的系统中,企业根据需要设计多层客户机/服务器架构,将不同任务分布在不同服务器,如应用程序服务器进行企业应用程序管理和运行,邮件服务器进行企业邮件管理,数据库服务器进行数据存储和管理等。
(4)企业计算阶段(1992年至今)
20世纪90年代初期企业开始基于网络标准和工具构建覆盖整个企业的信息技术基础设施(information technology infrastructure),1995年之后传输控制协议/网间协议(transmission control protocol/internet protocol,TCP/IP)的出现使得网络在企业中的应用快速发展,企业可以将不同的计算机硬件和较小的计算机网络连接成覆盖全企业的网络,实现企业内部和企业之间的信息快速传输和共享,企业信息系统应用跨入网络时代,集成化企业应用快速发展。
(5)云计算与移动计算阶段(2000年至今)
互联网的快速发展推动客户机/服务器模式向“云计算模式”方向发展。云计算(cloud computing)使得计算机、存储、应用和服务等计算资源可以高效方便共享。云服务提供商远程为企业提供并维护信息技术基础设施,为企业提供计算能力、数据存储和高速互联网连接等服务,而SAP(system applications and products)、Oracle等软件生产商提供应用软件服务。在移动网络和云计算的支持下,企业信息系统具有了更强的灵活性和可维护性,可以以更低成本实施更强大的专业化信息系统应用。
信息技术的发展推动企业信息技术基础设施不断发展,企业信息资源利用能力越来越强。信息技术基础设施的变化主要是由于计算机处理能力、内存芯片、存储设备、通信和网络以及软件等方面的快速发展,这些技术的发展推动计算能力呈指数级上升,成本却呈指数级下降。同时云计算、移动网络计算和移动终端设备等的发展,使得信息系统应用不再受时间和地点的限制。技术的发展也使企业信息系统应用有了更多选择,可根据自己的需要选择适合的信息技术基础设施,如一些企业会使用传统的主机系统,或将主机用来支持大型网站和企业级应用的服务器。
另外,在信息技术不断发展的同时,企业对信息资源价值的认知也在不断发展,从企业不得不处理的数据,到可以支持管理和决策的资源,再到企业的战略资源,伴随着对信息价值认知的改变,企业中信息系统的应用经历了从利用计算机的计算能力提高数据处理效率,到应用数据分析服务于管理和决策,再到应用信息系统提升竞争力和加强合作伙伴关系。
1.1.2企业信息系统应用类型
目前,信息系统已经在企业各个管理层次、各个功能领域广泛应用,渗透到企业的各个方面。
企业横向上可分为采购、生产制造、营销和销售、人力资源、财务等多个功能领域,纵向上可分为运行层、管理控制层和战略层等多个管理层次。从支持管理层次的角度,企业信息系统分为运行层的事务处理系统(transaction processing system,TPS)、管理控制层的管理信息系统(management information system,MIS)和决策支持系统(decision support system,DSS)以及战略层的经理信息系统(executive information system,EIS)。不同层次的管理人员面临不同的管理问题,问题解决所需要的数据和数据处理方式也存在明显差别,因此,服务于不同管理层的信息系统输入、处理和输出均存在很大差别。事务处理系统实时记录企业各个功能领域发生的事务,系统将实时数据生成详细报表;管理信息系统(狭义上的管理信息系统)将来自运行层的详细数据按照一定管理周期生成例行化的统计报表,系统具有简单的数据分析功能;决策支持系统则是针对特定决策问题,运用复杂的数据处理或模型分析,对管理者的决策提供支持,但系统不能代替决策者进行决策;经理信息系统服务于企业高层管理人员,高层管理在企业中扮演着多种角色,这就意味着经理信息系统的功能更具有多样性和复杂性,既需要满足经理日程安排和企业内外部信息检索与筛选等需求,又需要满足经理挖掘和分析内外部环境信息以及制定战略规划等决策支持的要求。
从企业信息系统的功能角度,可分为计划功能、控制功能、预测功能和决策功能等类型。计划功能的应用是企业根据自己的发展需要制订不同类型的计划,
内容简介:
《企业信息系统安全技术配置和投资策略》基于信息系统及其安全管理相关理论,从管理视角系统研究企业信息系统安全技术配置和投资策略。首先界定信息、信息系统和信息系统安全等相关概念,构建信息系统安全体系,明确信息系统安全技术配置和投资策略等的内涵。其次,一方面结合企业常用的信息系统安全技术,研究相关技术参数及多种技术组合优化配置策略;另一方面考虑企业内外部诸多影响因素,如黑客攻击、企业信息资产与信息系统安全需求等,研究信息系统安全投资策略。
目录:
目录
第一部分基础理论和基本概念
第1章企业信息系统和信息系统安全3
1.1企业信息系统3
1.2信息和信息资产7
1.3企业信息系统安全及其发展11
1.4企业信息系统脆弱性和安全威胁15
第2章企业信息系统安全体系和管理策略22
2.1企业信息系统安全需求22
2.2企业信息系统安全体系结构和组成25
2.3企业信息系统安全管理和安全信息系统建立29
第3章企业信息系统安全技术配置和投资问题39
3.1信息系统安全技术39
3.2企业信息系统安全技术组合50
3.3企业信息系统安全管理策略制定的影响要素55
第二部分企业信息系统安全技术配置策略
第4章IDS和IPS的选择及其配置策略71
4.1问题提出和模型假设71
4.2模型构建和分析75
4.3IPS替代价值和配置策略83
4.4主要结论和管理启示93
第5章诱骗与IDS技术组合配置策略96
5.1IDS和蜜罐组合运用策略96
5.2拟态式蜜罐配置策略108
5.3主要结论和管理启示120
第6章考虑合法用户权限和奖惩机制的IDS配置策略123
6.1考虑合法用户权限的IDS配置策略123
6.2考虑合法用户奖惩机制的IDS配置策略136
6.3主要结论和管理启示149
第7章考虑风险偏好的IDS和拟态式蜜罐配置策略152
7.1考虑企业和非法用户双方风险偏好的IDS配置策略152
7.2考虑企业和非法用户双方风险偏好的拟态式蜜罐配置策略159
7.3主要结论和管理启示165
第三部分企业信息系统安全投资策略
第8章考虑信息资产特点的企业信息系统安全投资策略169
8.1信息资产独立情境下的企业信息系统安全投资策略169
8.2信息资产互补情境下的企业信息系统安全投资策略181
8.3主要结论和管理启示192
第9章考虑黑客特性的企业信息系统安全投资策略195
9.1黑客知识扩散情境下的企业信息系统安全投资策略195
9.2黑客不同攻击方式下的企业信息系统安全投资策略208
9.3主要结论和管理启示213
第10章考虑竞争方式和安全需求的企业信息系统安全投资策略215
10.1同类产品价格竞争和产量竞争下的企业信息系统安全投资策略215
10.2多寡头差异性产品市场企业信息系统安全投资策略225
10.3安全等级约束下的企业信息系统安全投资策略230
10.4主要结论和管理启示233
参考文献236
附录A第4章相关结论证明243
附录B第5章相关结论证明246
附录C第6章相关结论证明248
附录D第8章8.1节相关结论证明250
D.1当企业自行决定安全投资水平和信息分享水平时的均衡250
D.2当安全服务协调者仅控制企业安全投资水平时的均衡252
D.3当安全服务协调者仅控制企业信息分享水平时的均衡253
D.4当安全服务协调者同时控制企业安全投资水平和信息共享水平时的均衡254
附录E第8章8.2节相关结论证明257
E.1当企业自行决定安全投资水平和信息分享水平时的均衡257
E.2安全服务协调者干预下的均衡259
附录F第9章9.1节相关结论证明261
F.1一个引理261
F.2结论9.1的证明262
F.3结论9.2的证明263
F.4结论9.3的证明264
F.5结论9.4的证明265
F.6结论9.5的证明265
附录G第9章9.2节相关结论证明268
G.1两个引理268
G.2结论9.6的证明269
G.3结论9.7的证明270
G.4结论9.8的证明270
附录H第10章10.1节和10.2节相关结论证明272
H.1Bertrand竞争下的均衡272
H.2Cournot竞争下的均衡273
H.3两种竞争方式下的期望消费者收益275
附录I第10章10.3节相关结论证明278
I.1结论10.8的证明278
I.2结论10.9的证明279
I.3结论10.10的证明280
I.4结论10.11的证明281
好评度