第一章信息化发展

1.1 信息与信息化

1.1.1 信息

1.信息

信息是物质、能量及其属性的标示的集合，是确定性的增加。

是用来消除随机不确定性的东西，不是物质，也不是能力。

2.信息的特征与质量

客观性
普遍性
无限性
动态性
相对性
依附性
变换性
传递性
层次性
系统性
转化性

依据信息的质量属性，主要包括

完整性
精确性
可靠性
及时性
经济型
可验证性
安全性

1.1.2 信息系统

1.信息系统及其特性

信息系统是管理模型、信息处理模型和系统实现条件的结合。

管理模型：又称对象的处理模型，偏业务
信息处理模型：在该模型中转化为信息获取、存储、传输、加工和使用的规则
系统实现条件：如技术、人员等

2.信息系统的生命周期

信息系统的产生、建设、运行和完善构成一个循环的过程，因为信息系统建设周期长、投资大、风险大，比一般技术工程有更大的难度和复杂性。

可以借用软件的生命周期来表示信息系统的生命周期，主要包括：

可行性分析与项目开发计划
需求分析
概要设计
详细设计
编码
测试
维护

可以简化为系统规划（可行性分析与项目开发计划）、系统分析（需求分析）、系统设计（概要设计、详细设计）、系统实施（编码、测试）、系统运行和维护。

1.1.3 信息化

1.信息化的内涵

信息网络体系：包括信息资源、各种信息系统、公用通信网络平台等
信息产业基础：包括信息科学技术研究与开发、信息装备制造、信息咨询服务等
社会运行环境：包括现代工农业、管理体制、政策法律、规章制度、文化教育、道德观念等生产关系与上层建筑
效用积累过程：包括劳动者素质、国家现代化水平和人民生活质量的不断提高，精神文明和物质文明建设不断进步等

2.信息化体系

信息技术应用
信息资源
信息网络
信息技术和产业
信息化人才
信息化政策法规和标准规范

3.信息化趋势

（1）组织信息化趋势

呈现出产品信息化、产业信息化、社会生活信息化、国民经济信息化等趋势和方向。

（2）国家信息化趋势

建设网络强国三步走战略。

1.2 现代化基础设施

1.2.1 新型基础设施建设

5G基建
特高压
城际高速铁路和城际轨道交通
新能源汽车充电桩
大数据中心
人工智能
工业互联网

1.概念定义

新型基础设施是以新发展理念为引领、以技术创新为驱动、以信息网络为基础，面向高质量发展需要，提供数字转型、智能升级、融合创新等服务。

（1）信息基础设施

信息基础设施凸显“技术新”。

以5G 、物联网、工互、卫星互联网为代表的通信网络基础设施
以AI 、云计算、区块链等为代表的新技术基础设施
以数据中心、智能计算中心为代表的算力基础设施

（2）融合基础设施

包括智能交通、智能能源等，重在“应用新”。

（3）创新基础设施

包括重大科技基础设施、科教基础设施、产业技术创新基础设施，强调“平台新”。

1.2.2 工业互联网

2.平台体系

具有四大层级：以网络为基础、平台为中枢、数据为要素、安全为保障。

（1）网络是基础

工业互联网网络体系包括网络互联、数据互通、标识解析三部分。

（2）平台是中枢

工业互联网平台系统包括边缘层、IaaS、PaaS、SaaS四个层级，相当于工业互联网的“操作系统”。

（3）数据是要素

工业互联网数据有三个特性：重要性、专业性、复杂性。

（4）安全是保障

工业互联网安全有三大特点：涉及范围广、造成影响大、企业防护基础弱。

3.融合应用

六大类典型应用模式：

平台化设计
智能化制造
网络化协同
个性化定制
服务化延伸
数字化管理

1.2.3 车联网（IoV，Internet of Vehicles）

1.体系框架

“端、管、云”三层体系。

2.链接方式

车联网是车与云平台、车与车、车与人、车内设备之间的全方位网络链接。

1.3 现代化创新发展

1.3.2 两化融合与智能制造

1.两化融合

信息化与工业化主要在技术、产品、业务、产业四个方面进行融合。

2.智能制造

具有自感知、自学习、自决策、自执行、自适应等功能的新型生产方式。

成熟度模型：

一级（规划级）：开始规划
二级（规范级）：进行改造和规范，实现单一业务活动的数据共享
三级（集成级）：开展集成，实现跨业务活动间的数据共享
四级（优化级）：对核心业务活动的精准预测和优化
五级（引领级）：衍生新的制造模式和商业模式

1.3.3 消费互联网

以个人为用户，本质是个人虚拟化，增强个人生活消费体验。

1.基本属性

媒体属性、产业属性

1.4 数字中国

1.4.1 数字经济

从整体构成上看，包括数字产业化、产业数字化、数字化治理、数据价值化四个部分。

1.数字产业化

发展重点包括：云计算、大数据、物联网、工业互联网、区块链、人工智能、虚拟现实和增强现实。

2.产业数字化

典型特征：

以数字科技变革生产工具
以数据资源为关键生产要素
以数字内容重构产品结构
以信息网络为市场配置纽带
以服务平台为产业生态载体
以数字善治为发展机制条件

3.数字化治理

治理机制：数据说话、用数据决策、用数据管理、用数据创新。

4.数据价值化

以数据资源化为起点，经历数据资产化、数据资本化阶段，实现数据价值化的经济过程。

数据资源化：无序、混乱的原始数据成为有序、有使用价值的数据资源
数据资产化：数据通过流通交易给使用者或所有者带来经济利益的过程
数据资本化：数据信贷融资与数据证券化

1.4.2 数字政府

1.数字新特征

协同化：强调组织的互联互通
云端化：政务上云，政府整体转型的必要条件
智能化：智能化治理，关键手段
数据化：建立在政务数据整合共享基础上
动态化：数字政府在数字驱动下动态发展、不断演进

关键词：共享、互通、便利。

2.主要内容

加快政务数据开放共享和开发利用，深化推进“一网通办”“跨省通办”“一网统管”。

1.4.3 数字社会

1.数字民生

建设重点通常强调：普惠、赋能、利民

2.智慧城市

实现城市各系统间信息资源共享和业务协同。

核心能力要素包括：数据治理、数字孪生、边际决策、多元融合、态势感知。

智慧城市成熟度等级：

规划级：围绕智慧城市的发展进行策划，初步开展数据采集和应用
管理级：实现信息系统单项应用
协同级：实施对业务、多层级、跨领域业务系统的集成，实现跨领域的协同改进
优化级：聚焦智慧城市与城市经济社会发展深度融合，推进城市竞争力持续提升
引领级：引领城市集群治理联动

3.数字乡村

4.数字生活

主要体现在：生活工具数字化、生活方式数字化、生活内容数字化

1.5.1 数字化转型

3.智慧转移

通过对象数字化实现对各类对象的数字化表达
通过孪生虚拟化完成物理对象到信息空间的映射
通过架构可视化实现业务知识模型与经验沉淀的复用和创新
通过计算智能化实现多元条件下的调度和决策

1.5.2 元宇宙(Metaverse)

元宇宙是利用科技手段进行链接与创造的，与现实世界映射与交互的虚拟世界，具备新型社会体系的数字生活空间。

基于扩展现实技术提供沉浸式体验，以及数字孪生技术生成现实世界的镜像，通过区块链技术搭建经济体系，将虚拟世界与现实世界在经济系统、社交系统、身份系统上密切融合，并且允许每个用户进行内容生产和编辑。

1.主要特征

沉浸式体验
虚拟身份
虚拟经济
虚拟社会治理

第二章信息技术发展

2.1 信息技术及其发展

信息技术可分为硬技术（物化技术）与软技术（非物化技术）。

2.1.2 计算机网络

1.网络标准协议

OSI七层：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。

TCP/IP四层：应用层、传输层、网络层、网络接口层

应用层：FTP、TFTP、HTTP、SMTP、DHCP、Telnet、DNS、SNMP

传输层：TCP、UDP

网络层：IP、ICMP（网际控制报文协议）、IGMP（网际组管理协议）、ARP、RARP

2.软件定义网络(SDN)

SDN的整体架构由下到上分为数据平面、控制平面和应用平面。数据平面由交换机等硬件组成，控制平面是SDN控制器，应用平面包含各种应用。

SDN中的接口具有开放性，以控制器为逻辑中心，南向接口负责与数据平面进行通信，北向接口负责与应用平面进行通信，东西向接口负责多控制器之间的通信。最主流的南向接口CDPI采用的是OpenFlow协议。

3.第五代移动通信技术(5G)

具有高速率、低时延、大连接特点。

三大应用场景：移动增强宽带、超高可靠低时延通信、海量机器类通信。

2.1.3 存储和数据库

1. 存储技术

直连式存储（DAS）、网络化存储（FAS）。

网络化存储根据传输协议分为网络接入存储（NAS）、存储区与网络（SAN）。

存储虚拟化是“云存储”的核心技术之一，提高了存储利用率，降低了存储成本，简化了大型、复杂、异构的存储环境的管理工作。

2.数据结构模型

常见的数据模型结构有三种：层次模型、网状模型、关系模型。

3.常用数据库类型

可分为关系型数据库（SQL）、非关系型数据库（NoSQL）。

（1）关系型数据库

支持ACID原则（原子性、一致性、隔离性、持久性）。

（2）非关系型数据库

键值数据库
列存储数据库
面向文档数据库
图形数据库

4.数据仓库

数据仓库是一个面向主题的、集成的、非易失的且随时间变化的数据集合，用于支持管理决策。

2.1.4 信息安全

1.信息安全基础

信息安全主要包括保密性、完整性、可用性。

信息安全可以划分为四个层次：设备安全、数据安全、内容安全、行为安全。

信息系统安全主要包括计算机设备安全、网络安全、操作系统安全、数据库系统安全、应用系统安全。

网络安全技术主要包括：防火墙、入侵检测与防护、VPN、安全扫描、网络蜜罐技术、用户和实体行为分析技术等。

2.加密解密

分为对称加密（DES）、非对称加密（RSA）。

3.安全行为分析技术

用户和实体行为分析（UEBA，User and Behavior Analytics）以用户和实体为对象，利用大数据，结合规则以及机器学习模型，并通过定义此类基线，对用户和实体行为进行分析和异常检测，尽可能快速地感知内部用户和实体的可疑或非法行为。

UEBA系统通常包括数据获取层、算法分析层、场景应用层。

4.网络安全态势感知

安全态势感知的前提是安全大数据，使用数据可视化技术，关键技术包括海量多元异构数据的汇聚融合技术、面向对类型的网络安全威胁评估技术、网络安全态势评估与决策支撑技术、网络安全态势可视化等。

2.2 新一代信息技术及应用

2.2.1 物联网

物联网架构可分为感知层、网络层、应用层。关键技术主要涉及传感器技术、传感网和应用系统框架等。

2.2.2 云计算

1.技术基础

云计算实现了“快速、按需、弹性”的服务，用户可以随时通过宽度网络接入“云”并获得服务。

按照云计算服务提供的资源层次，可以分为技术设施即服务、平台即服务和软件及服务三种服务类型。

2.关键技术

云计算的关键技术主要涉及虚拟化技术、云存储技术、多租户和访问控制管理、云安全技术等。

2.2.3 大数据

1.技术基础

一般来说，大数据主要特征包括：

数据海量
数据类型多样：一般分为结构化数据和非结构化数据
数据价值密度低
数据处理速度快

2.关键技术

（1）大数据获取技术

大数据获取的研究主要集中在数据采集、整合和清洗三个方面。

（2）分布式数据处理技术

Hadoop、Spark、Storm

（3）大数据管理技术

主要集中在大数据存储、大数据协同和安全隐私等方面。

（4）大数据应用和服务技术

主要包含分析应用技术和可视化技术。

2.2.4 区块链

1.技术基础

以非对称加密算法为基础，以改进的默克尔树为数据结构，使用共识机制、点对点网络、智能合约等技术结合而成的一种分布式存储数据库技术。

区块链分为公有链、联盟链、私有链、混合链四大类。

区块链的典型特征包括：

多中心化：依赖分布式系统结构，在多个分布式节点之间构建信任关系
多方维护：所有节点均可参与数据区块的验证过程，通过共识机制选择特定节点将新产生的区块加入到区块链中
时序数据：用带有时间戳信息的链式结构来存储结构信息，为数据信息添加时间维度的属性，从而实现数据信息的可追溯性。
智能合约：提供灵活可变的脚本代码，支持创建新型智能合约
不可篡改：相邻区块的后续区块可对前序区块进行验证
开放共识：任意节点可自由加入且拥有一份完整的数据库拷贝
安全可信：基于非对称加密技术对链上数据进行加密，具有较高的保密性、可信性和安全性

2.关键技术

包括分布式账本、加密算法、共识机制。

2.2.5 人工智能

人工智能的关键技术主要涉及机器学习、自然语言处理、专家系统等技术。

2.2.6 元宇宙

1.技术基础

虚拟现实技术的主要特征包括沉浸性、交互性、多感知性、构想性（想象性）、自主性。

2.关键技术

虚拟现实的关键技术主要涉及人机交互技术、传感器技术、动态环境建模技术和系统集成技术等。

第三章信息系统治理

3.1 IT治理

3.1.1 IT治理基础

2.IT治理的目标价值

IT治理的主要目标包括：与业务目标一致、有效利用信息与数据资源、风险管理。

3.IT治理的管理层次

管理层次大致可分为三层：

最高管理层：证实IT战略与业务战略是否一致；证实通过明确的期望和衡量手段交付IT价值；指导IT 战略、平衡支持组织当前和未来的投资；指导信息和数据资源的分配。
执行管理层：制定IT的目标；分析新技术的机遇和风险；建设关键过程与核心竞争力；分配责任、定义规程、衡量业绩；管理风险和获得可靠保证等。
业务与服务执行层：信息和数据服务的提供和支持；IT基础设施的建设和维护；IT需求的提出和响应。

3.1.2 IT治理体系

IT治理的核心是关注IT定位和信息化建设与数字化转型的权责利划分。

1.IT治理关键决策

五项关键决策：IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。

2.IT治理体系框架

IT治理体系框架包括：IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准、IT绩效目标。

3.IT治理核心内容

IT治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理、绩效管理。

4.IT治理机制经验

建立IT治理机制的原则包括：简单、透明、适合。

3.1.3 IT治理任务

主要任务聚焦在五个方面：全局统筹、价值导向、机制保障、创新发展、文化助推。

3.1.4 IT治理方法与标准

1.ITSS中的IT服务治理

（1）IT治理通用要求

GB/T 34960.1《信息技术服务治理第1部分：通用要求》可用于：

建立组织的IT治理体系，并实施自我评价。
开展信息技术审计
研发、选择和评价IT治理相关的软件或解决方案
第三方对组织的IT治理能力进行评价

该标准定义的IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域。

（2）IT治理实施指南

GB/T 34960.2《信息技术服务治理第2部分：实施指南》可用于：

建立组织的IT治理实施框架，明确实施方法和过程
组织内部开展IT治理的实施
IT治理相关软件或解决方案实施落地的指导
第三方开展IT治理评价的指导

2.信息和技术治理框架

管理目标分为四个领域：

调整、规划和组织：针对IT的整体组织、战略和支持活动
内部构建、外部采购和实施：针对IT解决方案的定义、采购和实施以及它们到业务流程的整合
交付、服务和支持：针对IT服务的运营交付和支持，包括安全
监控、评价和评估：针对IT的新能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。

治理流程通常由董事会和执行管理层负责，而管理流程则在高级和中级管理层的职责范围内。

建议流程：

了解组织环境和战略
确定治理系统的初步范围
优化治理系统的范围
最终确定治理系统的设计

3.IT治理国际标准

ISO/IEC 38500 规定治理机构应通过评估、指导和监督三个主要任务来治理IT。

3.2 IT审计

3.2.1 IT审计基础

2.IT审计的目的

IT审计的目的是指通过开展IT审计工作，了解组织IT系统与IT活动的总体状况，对组织是否实现IT目标进行审查和评价，充分识别与评估相关IT风险，提出评价意见及改进建议，促进组织实现IT目标。

组织的IT目标主要包括

组织的IT战略应与业务保持一致
保护信息资产的安全及数据的完整、可靠、有效
提高信息系统的安全性、可靠性及有效性
合理保证信息系统及其运用符合有关法律、法规及标准等的要求

3.IT审计范围

IT审计范围的确定方式：

IT审计范围	说明
总体范围	需要根据审计目的和投入的审计成本来确定
组织范围	明确审计涉及的组织机构、主要流程、活动及人员等
物理范围	具体的物理地点与边界
逻辑范围	涉及的信息系统和逻辑边界
其他相关内容	......

5.IT审计风险

包括固有风险、控制风险、检查风险和总体审计风险。

3.2.2 审计方法与技术

2.IT审计常用方法

包括：访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。

3.IT审计技术

常用的IT审计技术包括：

风险评估技术：包括风险识别技术、风险缝隙技术、风险评价技术、风险应对技术
审计抽样技术
计算机辅助审计技术：包括通用审计软件、测试数据、实用工具软件、专家系统等
大数据审计技术：包括大数据智能分析技术、大数据可视化分析技术、大数据多数据源综合分析技术等

4.IT审计证据

审计证据的特性：充分性、客观性、相关性、可靠性、合法性。

5.IT审计底稿

审计底稿的作用：

是形成审计结论、发表审计意见的直接依据
是评价考核审计人员的主要依据
是审计质量控制与监督的基础
对未来审计业务具有参考备查作用

审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿。

审计工作底稿三级复核制度：审计机构负责人、部门负责人、项目负责人为复核人。

3.2.3 审计流程

一般分为审计准备、审计实施、审计终结和后续审计四个阶段。

3.2.4 审计内容

通常分为IT内部控制审计和IT专项审计。

第四章信息系统管理

4.1 管理方法

4.1.1 管理基础

1.层次结构

信息系统是由人、技术、流程和数据资源组成的人机系统。

信息系统之上是管理，并以恰当的人员、技术、流程和数据组合加以实现。

2.系统管理

信息系统管理覆盖四大领域：

规划和组织
设计和实施
运维和服务
优化和持续改进

4.1.2 规划和组织

1.规划模型

信息系统战略是业务战略、信息系统和组织机制之间的必要一致，成功的组织有一个压倒一切的业务战略，可以推动组织机制和信息系统的有机融合。

2.组织模型

（1）业务战略

业务战略阐明了组织寻求的业务目标以及期望如何达成的路径，描述业务战略的静电框架是迈克尔·波特提出的竞争力优势模型。

总成本领先战略：目标是成为市场上成本最低的生产者

差异性战略：以一种在市场上显得独特的方式，定义其产品和服务

专注化战略：将范围限制在更狭窄的细分市场（专注成本、专注差异化）

（2）组织机制战略

组织机制战略包括组织的设计以及为定义、设置、协调和控制其工作流程而做出的选择。理解组织设计的经典框架是哈罗德·莱维特提出的钻石模型。

（3）信息系统战略

信息系统战略是组织用来提供信息服务的计划。用一个基本矩阵来理解组织必须做出的与信息系统相关的决策。

	有什么	谁使用	在哪里
硬件	信息系统的物理组件清单	系统用户和管理者	组件的物理位置（云端、数据中心等）
软件	程序、应用和工具的清单	系统用户和管理者	软件驻留的硬件，以及硬件的物理位置
网络	硬件和软件组件如何联接的图表	系统用户和管理者；提供服务的组织	节点、线路和其他传输介质所在地
数据	系统中存储的信息位	数据所有者；数据管理者	信息所在地

4.1.3 设计和实施

1.设计方法

（1）从战略到系统架构

组织必须从业务战略开始，使用该战略制定更具体的目标，然后从每个目标派生出详细的也无需求，再将也无需求转换为信息系统架构的系统要求、标准和流程的更详细视图。

（2）从系统架构到系统设计

信息系统架构被转换为功能规格（可以分为硬件、软件、存储、接口、网络规格）。

（3）转换框架

转换框架提出了三类问题：内容、人员、位置。

2.架构模式

三种常见架构模式：集中式架构、分布式架构、面向服务的架构。

4.1.4 运维和服务

主要包括运行管理和控制、IT服务管理、运行与监控、终端侧管理、程序库管理、安全管理、介质控制和数据管理等。

1.运行管理和控制

主要活动包括：过程开发、标准制定、资源分配、过程管理。

2.IT服务管理

IT服务管理由若干不同活动组成：

服务台：服务中与服务干系人沟通和交互的重要界面
事件管理：必须具备快速解决事件的能力
问题管理：当发生了几个看起来具有相同或相似根本原因的事件时就会启动问题管理
变更管理
配置管理
发布管理
服务级别管理
财务管理
容量管理：业务容量管理、服务容量管理、资源容量管理
服务连续性管理
可用性管理

3.运行与监控

应对信息系统、应用程序和基础设施进行监控，并把安全监控作为整体策略的一部分。

4.终端侧管理

对终端进行一定的限制，最终用户会将此类限制视为不变，但这些限制不仅有助于确保最终用户的设备和整个组织的IT环境具有更高的安全性，还促进了更高的一致性，从而降低了支持成本。

5.程序库管理

访问控制、程序签出、程序签入、版本控制和代码分析。

6.安全管理

7.介质控制

通过物理和逻辑安全控制充分保护所需的数据，同时有效丢弃和擦除不再需要的数据。

8.数据管理

是数据的获取、处理、存储、使用、处置相关的一组活动

4.1.5 优化和持续改进

常用方法是戴明环（PDCA）：计划（Plan）、执行（Do）、检查（Check）、处理（Act）

六西格玛倡导的五阶段方法（DMAIC/DMADV）是对戴明环的延伸，包括定义（Define）、度量（Measure）、分析（Analysis）、改进/设计（Improve/Design）、控制/验证（Control/Verify）。

1.定义阶段

目标包括待优化信息系统的定义、核心流程定义和团队组建。

2.度量阶段

目标包括流程定义、指标定义、流程基线和度量系统分析。

3.分析阶段

目标包括价值流分析、信息系统异常的源头分析和确定优化改进的驱动因素。

4.设计/改进阶段

目标包括：

向发起人提出一个或多个解决方案；量化每种方法的收益；就解决方案达成共识并实施
定义新的操作/设计条件
为新工艺/设计提供定义和缓解故障模式

5.控制/验证阶段

目标包括标准化新程序/新系统功能的操作控制要素、持续验证优化的信息系统的可交付成果、记录经验教训。

4.2 管理要点

4.2.1 数据管理

数据管理是指通过规划、控制与提供数据和信息资产的职能，包括开发、执行和监督有关数据的计划、策略、方案、项目、流程、方法和程序，以获取、控制、保护、交付和提高数据和信息资产价值。

数据管理能力成熟度评估模型（DCMM）定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期8个核心能力域。

1.数据战略

包括数据战略规划、数据战略实施、数据战略评估三个能力项。

2.数据治理

包括数据治理组织、数据制度建设、数据治理沟通三个能力项。

3.数据架构

包括数据模型、数据分布、数据集成与共享、元数据管理四个能力项。

4.数据应用

包括数据分析、数据开放共享、数据服务三个能力项。

5.数据安全

包括数据安全策略、数据安全管理、数据安全审计三个能力项。

6.数据质量

包括数据质量需求、数据质量检查、数据质量分析、数据质量提升四个能力项。

7.数据标准

包括业务术语、参考数据和主数据、数据元、指标数据四个能力项。

8.数据生存周期

包括数据需求、数据设计和开发、数据运维、数据退役四个能力项。

9.理论框架与成熟度

DCMM将成熟度划分为5个等级：

初始级：数据需求的管理主要在项目级体现，没有统一的管理流程
受管理级：组织意识到数据是资产，指定了相关人员进行初步管理
稳健级：数据已被当做实现组织绩效目标的重要资产，在组织层面制定了系列的标准化管理流程，促进数据管理的规范化
量化管理级：数据被认为是获取竞争优势的重要资源，数据管理的效率能量化分析和监控。
优化级：数据被认为是组织生存和发展的基础，相关管理流程能实时优化，能在行业内进行最佳实践分享。

4.2.2 运维管理

1.能力模型

国家标准GB/T 28827.1《信息技术服务运行维护第1部分通用要求》定义了IT运维能力模型，该模型包含治理要求、运行维护服务能力体系和价值实现.

治理要求是为实现运行维护服务绩效、风险控制和服务合规性的组织目标，提出的关于最高管理层领导作用及承诺的能力体系建设要求。

运行维护服务能力体系(MCS)是组织依据运行维护服务方针和目标，策划并制定运行维护服务能力方案，确保组织交付的运行维护服务内容符合相关规定，并满足质量要求，对运行维护服务交付过程、结果以及运行维护服务能力体系进行监督、量、分析和评审，以实现运行维护服务能力的持续提升。

价值实现是组织结合业务对信息系统的网络化、字化和智能化要求，识别内部和外部用户对服务的需求或期望，定义多样化的服务场景，并通过服务能力要素、活动的组合完成服务的提供，直接或间接地为服务需求方和利益相关者实现服务价值。

（1）能力建设

围绕人员、过程、技术、资源能力四要素，策划、实施、检查和改进运行维护能力体系，针对能力建设、人员、过程、技术、资源建立关键指标。

在价值实现方面，组织需要在不同的服务场景中识别服务需求，通过服务提供，满足用户需求，实现服务价值。

（2）人员能力

选人做事

（3）资源能力

保障做事

（4）技术能力

高效做事

（5）过程

正确做事

2.智能运维

通过场景分析、场景构建、场景交付、效果评估四个过程，提升智能运维水平，实现质量可靠、安全可控、效率提升、成本降低。

通过场景分析、能力构建、服务交付、迭代调优四个关键环节，使运维场景具备智能特征。

根据复杂程度，运维场景分为单一场景、复合场景和全局场景。

智能运维具备的智能特征包括：能感知、会描述、自学习、会诊断、可决策、自执行、自适应。

4.2.3 信息安全管理

1.CIA三要素

保密性、完整性、可用性。

2.信息安全管理体系

具体步骤

配备安全管理人员
建立安全职能部门
成立安全领导小组
主要负责人出任领导
建立信息安全保密管理部门

3.网络安全等级保护

（1）安全保护等级划分

第一级：不危害国家安全、社会秩序和公共利益
第二级：对社会秩序和公共利益造成危害，但不危害国家安全
第三级：对社会秩序和公共利益造成严重危害，或对国家安全造成危害
第四级：对社会秩序和公共利益造成特别严重危害，或对国家安全造成严重危害
第五级：对国家安全造成特别严重危害

（2）安全保护能力等级划分

第一级：防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击
第二级：防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击
第三级：防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击
第四级：防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击
第五级：？

第五章信息系统工程

5.1 软件工程

5.1.1 架构设计

1.软件架构风格

软件架构设计的一个核心问题能否达到架构级的软件复用。

软件架构风格：

数据流风格：包括批处理序列和管道/过滤器
调用/返回风格：包括主程序/主程序、数据抽象和面向对象、层次结构。
独立构件风格：进程通信和事件驱动的系统。
虚拟机风格：包括解释器和基于规则的系统。
仓库风格：包括数据库系统、黑板系统和超文本系统。

2.软件架构评估

评估人员关注的是系统的质量属性。

敏感点是一个或多个构件的特性，权衡点是影响多个质量属性的特性，是多个质量属性的敏感点。

评估方式主要有基于调查问卷（检查表）的方式、基于场景的方式、基于度量的方式。

5.1.2 需求分析

1.需求的层次

需求是多层次的，包括业务需求、用户需求和系统需求。

质量功能部署（QFD）将软件需求分为：常规需求、期望需求、意外需求。

（1）需求获取

常见的需求获取方法包括用户访谈、问卷调查、采样、情节串联板、联合需求计划等。

（2）需求分析

使用结构化分析（SA）方法进行需求分析，其建立的模型的核心是数据字典。围绕这个核心，有三个层次的模型：数据模型、功能模型、行为模型（状态模型）。

一般用实体关系图（E-R图）表示数据模型，用数据流图（DFD）表示功能模型，用状态转换图（STD）表示行为模型。

面向对象的分析（OOA）模型包括用例模型和分析模型。

（3）需求规格说明书编制

软件需求规格说明书（SRS）是需求开发活动的产物，是使项目干系人与开发团队对系统的初始规定有一个共同的理解，使之成为整个开发工作的基础。

（4）需求验证与确认

一般通过需求评审和需求测试工作来对需求进行验证。

3.UML

统一建模语言（UML）的结构包括构造块、规则、公共机制三个部分。

（1）UML中的事物

UML中的事物也称为建模元素，包括结构事物、行为事物（动作事物）、分组事物、注释事物（注解事物）。

（2）UML中的关系

UML用关系把事物结合在一起，主要有依赖、关联、泛化、实现四种关系。

（3）UML 2.0中的图

包括类图、对象图、构件图、组合结构图、用例图、顺序图（序列图）、通信图、定时图（计时图）、状态图、活动图、部署图、制品图、包图、交互概览图。

（4）UML视图

逻辑视图、进程视图、实现视图、部署视图、用例视图。

4.面向对象分析

（1）用例模型

构件用例模型一般需要经历四个阶段：识别参与者、合并需求获得用例、细化用例描述、调整用例模型。

（2）分析模型

建立分析模型的过程大概包括：定义概念类、确定类之间的关系、为类添加职责、建立交互图等。

类之间的主要关系有关联、依赖、泛化、聚合、组合和实现等。

5.1.3 软件设计

1.结构化设计

结构化设计（SD）分为概要设计和详细设计两个阶段，需要遵循高内聚、低耦合的基本原则。

2.面向对象设计

面向对象设计（OOD）是OOA方法的延续，其基本思想包括抽象、封装、可扩展性。可扩展性主要通过集成和多态来实现。

常用的OOD原则：

单职原则：设计功能单一的类
开闭原则：对扩展开放，对修改关闭
李氏替换原则：子类可以替换父类
依赖倒置原则：要依赖于抽象，而不是具体实现；要针对接口编程，不要针对实现编程。
接口隔离原则：使用多个专门的接口比使用单一的总接口要好
组合重用原则：要尽量使用组合，而不是继承关系达到重用目的
迪米特原则（最少知识原则）：一个对象应当对其他对象有尽可能少的了解

3.设计模式

根据处理范围不同，可以分为类模式和对象模式。

根据目的和用途不同，可以分为创建型、结构性和行为型三种。

创建型模式主要用于创建对象，包括工厂方法模式、抽象工厂模式、原型模式、单例模式、建造者模式。

结构性模式主要用于处理类或对象的组合，包括适配器模式、桥接模式、组合模式、装饰模式、外观模式、享元模式、代理模式。

行为型模式主要用于描述类或对象的交互以及职责的分配，包括职责链模式、命令模式、解释器模式、迭代器模式、中介者模式、备忘录模式、观察者模式、状态模式、策略模式、模板方法模式、访问者模式。

5.1.4 软件实现

1.软件配置管理

软件配置管理活动包括软件配置管理计划、软件配置标识、软件配置控制、软件配置状态记录、软件配置审计、软件发布管理与交付等活动。

3.软件测试

软件测试方法可分为静态测试和动态测试

静态测试包括对文档的静态测试和对代码的静态测试。对文档的静态测试主要以检查单的形式进行，对代码的静态测试一般采用桌前检查(DeskChecking)、代码走查和代码审查。

动态测试一般采用白盒测试和黑盒测试方法。

白盒测试也称为结构测试，主要用于软件单元测试中。白盒测试方法主要有控制流测试、数据流测试和程序变异测试等。白盒测试方法中，最常用的技术是逻辑覆盖，主要的覆盖标准有语句覆盖、判定覆盖、条件覆盖、条件/判定覆盖、条件组合覆盖、修正的条件/判定覆盖和路径覆盖等。

黑盒测试也称为功能测试，主要用于集成测试、确认测试和系统测试中。黑盒测试根据SRS所规定的功能来设计测试用例，一般包括等价类划分、边界值分析、判定表、因果图、状态图、随机测试、猜错法和正交试验法等。

5.1.5 部署交付

蓝绿部署是指在部署的时候准备新旧两个部署版本，通过域名解析切换的方式将用户使用环境切换到新版本中，当出现问题的时候，可以快速地将用户环境切回旧版本，并对新版本进行修复和调整。

金丝雀部署是指当有新版本发布的时候，先让少量用户使用新版本，并且观察新版本是否存在问题。如果出现问题，就及时处理并重新发布:如果一切正常，就稳步地将新版本适配给所有的用户。

5.1.6 过程管理

软件过程能力包括治理能力、开发与交付能力、管理与支持能力、组织管理能力等方面。

1.成熟度模型

软件过程能力成熟度模型（CSMM）由4个能力域、20个能力子域、161个能力要求组成：

治理:包括战略与治理、目标管理能力子域
开发与交付:包括需求、设计、开发、测试、部署、服务、开源应用能力子域
管理与支持:包括项目策划、项目监控、项目结项、质量保证、风险管理、配置管理、供应商管理能力子域
组织管理:包括过程管理、人员能力管理、组织资源管理、过程能力管理能力子域

2.成熟度等级

初始级：软件过程和结果具有不确定性
项目规范级：基本可按计划实现预期的结果
组织改进级：在组织范围内能够稳定地实现预期的项目目标
量化提升级：在组织范围内能够量化的管理和实现预期的组织和项目目标
创新引领级：通过技术和管理的创新，实现组织业务目标的持续提升，引领行业发展

5.2 数据工程

5.2.1 数据建模

1.数据模型

根据模型应用目的不同，可以将数据模型划分为概念模型、逻辑模型和物理模型。

逻辑模型目前主要的数据结构有层次模型、网状模型、关系模型、面向对象模型、对象关系模型。

物理模型的基本元素包括表、字段、视图、索引、存储过程、触发器等。

2.数据建模过程

数据建模过程包括数据需求分析、概念模型设计、逻辑模型设计和物理模型设计等过程。

5.2.2 数据标准化

数据标准化的主要内容包括元数据标准化、数据元标准化、数据模式标准化、数据分类与编码标准化和数据标准化管理。

1.元数据标准化

元数据是关于数据的数据

2.数据元标准化

数据元是数据库、文件和数据交换的基本数据单元。目前常用的数据元提取方法有自上而下提取法（新建系统）和自下而上提取法（已建系统）。

3.数据模式标准化

数据模式是数据的概念、组成、结构和相互关系的总称。数据模式的描述方式主要有图描述方法和数据字典方法。

4.数据分类与编码标准化

5.数据标准化管理

数据标准化阶段的具体过程包括确定数据需求、制定数据标准、批准数据标准和实施数据标准四个阶段。

5.2.3 数据运维

2.数据备份

常见的数据备份结构可以分为四种:DAS备份结构、基于LAN的备份结构、LANFREE备份结构和SERVER-FREE备份结构。

常见的备份策略主要有三种:完全备份、差分备份和增量备份。

3.数据容灾

容灾系统分为应用容灾和数据容灾两类。

4.数据质量评价与控制

数据质量可以通过数据质量元素来描述，分为数据质量定量元素和数据质量非定量元素。

数据质量评价方法分为直接评价法与间接评价法。

数据清理主要包括数据分析、数据检测和数据修正三个步骤。

5.2.4 数据开发利用

数据只有得到充分的开发利用才能发挥出它的作用。通过数据集成、数据挖掘和数据服务(目录服务、查询服务、浏览和下载服务、数据分发服务)、数据可视化、信息检索等技术手段,帮助数据用户从数据资源中找到所需要的数据，并将数据以一定的方式展现出来，实现对数据的开发利用。

1.数据集成

2.数据挖掘

数据挖掘与传统数据分析的不同点:

分析对象的数据量有差异，数据挖掘所需的数据量比传统数据分析所需的数据量大，数据量越大，数据挖掘的效果越好
运用的分析方法有差异，传统数据分析主要运用统计学的方法、手段对数据进行分析，而数据挖掘综合运用数据统计、人工智能、可视化等技术对数据进行分析
分析侧重有差异，传统数据分析通常是回顾型和验证型的，通常分析已经发生了什么，而数据挖掘通常是预测型和发现型的，预测未来的情况，解释发生的原因
成熟度不同，传统数据分析由于研究较早，其分析方法相当成熟，而数据挖掘除基于统计学等方法外，部分方法仍处于发展阶段。

数据挖掘流程一般包括确定分析对象、数据准备、数据挖掘、结果评估与结果应用五个阶段。

3.数据服务

数据服务主要包括数据目录服务、数据查询与浏览及下载服务、数据分发服务。

4.数据可视化

5.信息检索

主要方法有全文检索、字段检索、基于内容的多媒体检索、数据挖掘。

信息检索的常用技术包括布尔逻辑检索技术、截词检索技术、临近检索技术、限定字段检索技术、限制检索技术等。

5.2.5 数据库安全

2.数据库安全对策

常见的对策：防止非法访问、防止推导、保证完整性、保证操作完整性、保证语义完整性、审计和日志、标识和认证、机密数据管理、多级保护、限界。

5.3 系统集成

5.3.1 集成基础

基本原则：开放性、结构化、先进化、主流化。

5.3.2 网络集成

5.3.3 数据集成

1.数据集成层次

数据集成可以分为基本数据集成、多级视图集成、模式集成和多粒度集成。

2.异构数据集成

（1）异构数据集成的方法

异构数据集成的方法主要有过程式方法和声明式方法，还有另一类方法是利用中间件集成异构数据库。

（2）开放数据库互联标准

实现异构数据源的数据集成，首先要解决的问题是原始数据的提取。

5.3.4 软件集成

软件构件标准：公共对象请求代理结构（CORBA）、COM、DCOM、COM+、.NET、J2EE等。

5.3.5 应用集成

应用集成的技术要求：

具有应用间的互操作性
具有分布式环境中应用的可移植性
具有系统中应用分布的透明性

可以帮助协调连接各种应用的组件：

应用编程接口（API）
事件驱动型操作
数据映射

5.4 安全工程

5.4.1 工程概述

X轴是“安全机制”。安全机制可以理解为提供某些安全服务，利用各种安全技术和技巧，所形成的一个较为完善的结构体系。如“平台安全”机制，实际上就是指安全操作系统、安全数据库、应用开发运营的安全平台以及网络安全管理监控系统等。
Y轴是“OSI网络参考模型”。信息安全系统的许多技术、技巧都是在网络的各个层面上实施的，离开网络信息系统的安全也就失去意义。
Z轴是“安全服务”。安全服务就是从网络中的各个层次提供给信息应用系统所需要的安全服务支持。如对等实体认证服务、访问控制服务、数据保密服务等。
由X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。随着网络的逐层扩展，这个空间不仅范围逐步加大，安全的内涵也就更丰富，达到具有认证、权限、完整、加密和不可否认五大要素，也叫作“安全空间”的五大属性。

1.安全机制

安全机制包括：基础设施实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权和审计安全、安全防范体系等。

基础设施实体安全:主要包括机房安全、场地安全、设施安全、动力系统安全、灾难预防与恢复等。
平台安全:主要包括操作系统洞检测与修复、网络基础设施漏洞检测与修复、通用基础应用程序漏洞检测与修复、网络安全产品部署等。
数据安全：主要包括介质与载体安全保护、数据访问控制、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全等。
通信安全：主要包括通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞等。
应用安全：主要包括业务软件的程序安全性测试(Bug分析)、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查，以及业务数据的唯一性与一致性及防冲突检测、业务数据的保密性测试、业务系统的可靠性测试、业务系统的可用性测试等。
运行安全：主要包括应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞及通报、灾难恢复机制与预防、系统改造管理、网络安全专业技术咨询服务等。
管理安全：主要包括人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理、机房管理等。
授权和审计安全：向用户和应用程序提供权限管理和授权服务为目标主要负责向业务应用系统提供授权服务管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的，与具体应用系统开发和管理无关的访问控制机制。
安全防范体系：发挥以下六项能力:预警(Wam)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack)。

2.安全服务

安全服务包括对等实体认证服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务和犯罪证据提供服务等。

5.4.4 工程体系架构

1.信息安全系统工程能力成熟度模型（ISSE-CMM）基础

主要适用于：

工程组织:包含系统集成商、应用开发商、产品提供商和服务提供商
获取组织:包含采购系统、产品以及从外部/内部资源和最终用户处获取服务的组织
评估组织:包含认证组织、系统授权组织、系统和产品评估组织

2.ISSE过程

实施过程分解为工程过程、风险过程、保证过程三个基本的部分。

3.ISSE-CMM体系结构

第一级（非正规实施级）：执行基本实施
第二级（规划和跟踪级）：规划执行、规范化执行、验证执行、跟踪执行
第三级（充分定义级）：定义标准化过程、执行已定义的过程、协调安全实施
第四级（量化控制级）：建立可测度的质量目标、对执行情况实施客观管理
第五级（持续改进级）：改进组织能力、改进过程的效能

第六章项目管理概论

6.2 项目基本要素

6.2.1 项目基础

项目是为创造独特的产品、服务或成果而进行的临时性工作。

促进项目创建的因素大致可以分为四个类别：①符合法律或社会需求②满足干系人要求或需求③创造、改进或修复产品、过程或服务④执行、变更业务或技术战略。

6.2.4 项目、项目集、项目组合和运营管理之间的关系

项目组合、项目集和项目都需要符合组织战略，由组织战略驱动，并以不同的方式服务于战略目标的实现:①项目组合管理通过选择适当的项目集或项目，对工作进行优先级排序，并提供所需资源，与组织战略保持一致:②项目集管理通过对其组成部分进行协调，对它们之间的依赖关系进行控制，从而实现既定收益:③项目管理使组织的目标得以实现。