《信息安全原理与技术ch04-公钥密码技术.pptx》由会员分享,可在线阅读,更多相关《信息安全原理与技术ch04-公钥密码技术.pptx(72页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全原理与技术信息安全原理与技术第2版郭亚军 宋建华 李莉 董慧慧清华大学出版社 2024/3/111Ch1-公钥密码技术第4章 公钥密码技术主要知识点主要知识点:-公钥密码体制 -RSA密码 -ElGamal密码 -椭圆曲线密码 -公钥分配 -利用公钥密码分配对称密钥 -Diffie-Hellman 密钥交换 2024/3/112Ch1-公钥密码技术公钥密码技术是为了解决对称密码技术中最难解决的两个问题而提出的一是对称密码技术的密钥分配问题二是对称密码不能实现数字签名Diffie和Hellmna于1976年在密码学的新方向中首次提出了公钥密码的观点,标志着公钥密码学研究的开始1977年由
2、Rviest,Shmair和Adlmena提出了第一个比较完善的公钥密码算法,即RSA算法。从那时候起,人们基于不同的计算问题提出了大量的公钥密码算法 2024/3/113Ch1-公钥密码技术公钥密码体制 公钥密码体制公钥密码体制(Public-Key Cryptosystem)也称非对称密码非对称密码体制体制(Asymmetric Cryptosystem)或者双钥密码体制双钥密码体制(Two-Key Cryptosystem)公钥密码算法是基于数学函数(如单向陷门函数数学函数(如单向陷门函数)而不是基于代换和置换公钥密码是非对称非对称的,它使用两个独立的密钥,即公钥和私钥,任何一个都可以用
3、来加密,另一个用来解密 公钥可以被任何人知道,用于加密消息以及验证签名;私钥仅仅自己知道的,用于解密消息和签名加密和解密会使用两把不同的密钥,因此称为非对称2024/3/114Ch1-公钥密码技术一个公钥密码体制有6个部分构成:明文,加密算法,公钥和私钥,密文,解密算法可以构成两种基本的模型:加密模型和认证模型在加密模型加密模型中,发送方用接收方的公钥作为加密密钥,用接收方私钥作解密密钥,由于该私钥只有接收方拥有,因此即只有接收者才能解密密文得到明文在认证模型认证模型中,发送方用自己的私钥对消息进行变换,产生签名。接收者用发送者的公钥对签名进行验证以确定签名是否有效。只有拥有私钥的发送者才能对
4、消息产生有效的签名,任何人均可以用签名人的公钥来检验该签名的有效性 2024/3/115Ch1-公钥密码技术消息加密算法解密算法消息MMC攻击者接收方B发送方A密钥源PRBPUB图4.1 公钥加密模型2024/3/116Ch1-公钥密码技术消息加密算法解密算法消息MMC攻击者接收方B发送方A密钥源PUAPRA图4.2 公钥认证模型2024/3/117Ch1-公钥密码技术消息加密算法解密算法消息MXC接收方B发送方A密钥源PUAPRA图4.3 公钥密码体制的保密和认证加密算法X解密算法M密钥源PRBPUB2024/3/118Ch1-公钥密码技术公钥密码系统满足的要求同一算法用于加密和解密,但加密
5、和解密使用不同的密钥。两个密钥中的任何一个都可用来加密,另一个用来解密,加密和解密次序可以交换。产生一对密钥(公钥和私钥)在计算上是可行的。已知公钥和明文,产生密文在计算上是容易的。接收方利用私钥来解密密文在计算上是可行的。仅根据密码算法和公钥来确定私钥在计算上不可行。已知公钥和密文,在不知道私钥的情况下,恢复明文在计算上是不可行的。2024/3/119Ch1-公钥密码技术上面要求的实质是要找一个单向陷门函数单向陷门函数单向函数单向函数指计算函数值是容易的,而计算函数的逆是不可行的陷门单向函数陷门单向函数则存在一个附加信息,当不知道该附加信息时,从函数逆是困难的,但当知道该附加信息时,求函数逆
6、就变得容易了陷门单向函数在附加信息未知时是单向函数,而当附加信息已知时,就不再是单向函数了通常把附加信息称为陷门信息陷门信息,陷门信息作为私钥,公钥密码体制就是基于这一原理而设计的其安全强度取决于它所依据的问题的计算复杂度。2024/3/1110Ch1-公钥密码技术公钥密码分析 和对称密码体制一样,如果密钥太短,公钥密码体制也易受到穷举搜索攻击但公钥密码体制所使用的可逆函数的计算复杂性与密钥长度是比线性函数增大更快函数。密钥长度太大又会使得加密和解密运算太慢而不实用目前提出的公钥密码体制的密钥长度已经足够抵抗穷举攻击,但也使它加密和解密速度变慢,因此公钥密码体制一般用于加密小数据,如会话钥,目
7、前主要用于密钥管理和数字签字。对公钥密码算法的第二种攻击是从公钥计算出私钥。目前为止,还没有在数学上证明这个方面是不可行的。2024/3/1111Ch1-公钥密码技术RSA密码 RSA算法是1977年由Rivest、Shamir、Adleman提出的非常著名的公钥密码算法它是基于大合数的质因子分解问题的困难性RSA算法是一种分组密码,明文和密文是0到n-1之间的整数,通常n的大小为1024位二进制数或309位十进制数.2024/3/1112Ch1-公钥密码技术算法描述 1.密钥的产生密钥的产生 随机选择两个大素数 p,q 计算 n=pq计算秘密的欧拉函数(n)=(p-1)(q-1)选择 e使得
8、1e(n),且gcd(e,(n)=1 解下列方程求出 d ed 1 mod(n),且 0dn 公开公钥:PU=e,N 保存私钥:PR=d,p,q 2024/3/1113Ch1-公钥密码技术2.加密过程加密过程加密时明文以分组为单位进行加密,每个分组m的二进制值均小于n,对明文分组m作加密运算:c=me mod n,且0mn3解密过程解密过程 密文解密m=cd mod n 4.签名过程签名过程 计算签名 s=md mod n5签名验证过程签名验证过程 签名验证m=se mod n2024/3/1114Ch1-公钥密码技术 例例4.1选择素数:p=47 和 q=71。计算 n=pq=4771=33
9、37,(n)=(p1)(q-1)=4670=3220。选择e:使gcd(e,3220)=1,选取e=79;决定d:de1 mod 3220,得d=1019公开公钥 79,3337,保存私钥 1019,47,71;假设消息为 M=6882326879666683,进行分组,分组的位数比n要小,我们选取M1=688,M2=232,M3=687,M4=966,M5=668,M6=003。M1的密文为C1=68879 mod 3337=1570,继续进行类似计算,可得到最终密文为 C=1570275620912276158解密时计算M1=15701019 mod 3337=688,类似可以求出其他明文
10、。2024/3/1115Ch1-公钥密码技术RSA算法的安全性 RSA密码体制的安全性是基于分解大整数的困难性假设RSA算法的加密函数c=me mod n是一个单向函数,所以对于攻击者来说,试图解密密文是计算上不可行的对于接收方解密密文的陷门陷门是分解n=pq,由于接收方知道这个分解,他可以计算(n)=(p-1)(q-1),然后用扩展欧几里德算法来计算解密私钥d。对RSA算法的攻击有下面几个方法:穷举攻击,穷举攻击,数学攻击,选择密文攻击,公共模数攻击,计时数学攻击,选择密文攻击,公共模数攻击,计时攻击攻击 2024/3/1116Ch1-公钥密码技术最基本的攻击是穷举攻击穷举攻击,也就是尝试所
11、有可能的私钥数学攻击数学攻击的实质是试图对两个素数乘积的分解 计时攻击计时攻击也可以用于对RSA算法的攻击。计时攻击是攻击者通过监视系统解密消息所花费的时间来确定私钥。时间攻击方式比较独特,它是一种只用到密文的攻击方式 2024/3/1117Ch1-公钥密码技术ElGamal密码 ElGamal是1985年由T.EIGamal提出的一个著名的公钥密码算法该算法既能用于数据加密也能用于数字签名其安全性是依赖于计算有限域上离散对数这一难题 2024/3/1118Ch1-公钥密码技术1.密钥产生密钥产生任选一个大素数p,使得p-1有大素因子,g是模p的一个本原根,公开p与g。使用者任选一私钥x,x0
12、,p-1计算公钥公开公钥:y,p,g保密私钥:x2024/3/1119Ch1-公钥密码技术2.加密过程加密过程对于明文m,选取一个r,r0,p-1计算则密文为 3.解密过程解密过程先计算再计算出明文2024/3/1120Ch1-公钥密码技术4.签名过程签名过程假设对消息m签名,任选一个随机数k,使k0,p-1计算签名为(5)签名验证过程签名验证过程 2024/3/1121Ch1-公钥密码技术需要说明的是,为了避免选择密文攻击,ElGamal是对消息m的hash值进行签名,而不是对m签名与RSA方法比较,ElGamal方法具有以下优点:(1)系统不需要保存秘密参数,所有的系统参数均可公开;(2)
13、同一个明文在不同的时间由相同加密者加密会产生不同的密文但ElGamal方法的计算复杂度比RSA方法要大。2024/3/1122Ch1-公钥密码技术椭圆曲线密码 大多数公钥密码系统都使用具有非常大数目的整数或多项式,计算量大人们发现椭圆曲线是克服此困难的一个强有力的工具椭圆曲线密码体制椭圆曲线密码体制(Elliptic curve cryptosystem,ECC)的依据是定义在椭圆曲线点群上的离散对数问题的难解性椭圆曲线系统第一次应用于密码学上是于1985年由Koblitz与Miller分别提出两个较著名的椭圆曲线密码系统;一是利用ElGamal的加密法,二是Menezes-Vanstone的
14、加密法 2024/3/1123Ch1-公钥密码技术椭圆曲线的定义 在实数系中,椭圆曲线可定义成所有满足方程E:y2=x3+ax+b的点(x,y)所构成的集合若x3+ax+b没有重复的因式或4a3+27b2 0,则E:y2=x3+ax+b能定义成为一个群椭圆曲线是连续的,并不适合用于加密必须把椭圆曲线变成离散的点离散的点,即将椭圆曲线定义在有限域上密码学中关心的是有限域上的椭圆曲线有限域上的椭圆曲线 2024/3/1124Ch1-公钥密码技术椭圆曲线密码体制中使用的变元变元和系数系数均为有限域有限域中元素的椭圆曲线密码应用中所使用的两类椭圆曲线两类椭圆曲线是定义在素域素域Zp上的素曲线上的素曲线
15、(prime curve)和在GF(2m)上构造的二元曲线上构造的二元曲线对于素域素域Zp上的素曲线上的素曲线,我们使用三次方程,其中的变量和系数在集合0,1,2,p-1上取值,运算为模p运算对于在GF(2m)上的二元曲线上的二元曲线,变量和系数在GF(2m)内取值,且运算为GF(2m)里的运算2024/3/1125Ch1-公钥密码技术密码系统在素域素域Zp或者或者GF(2m)下下定义为椭圆曲线E:y2=x3+ax+b,其中 4a3+27b2 0,a和b是小于p(p为素数)的非负数。在GF(2m)下定义为椭圆曲线E:y2+xy=x3+ax+b,其中b 0,2024/3/1126Ch1-公钥密码
16、技术椭圆曲线有一个特殊的点,记为O,它并不在椭圆曲线上,此点称为无限远的点无限远的点或零点零点用E(K)表示在K上椭圆曲线E所有的点所构成的集合,如E(Zp)表示在素域Zp上椭圆曲线E所有的点所构成的集合,而E(GF(2m)则表示在GF(2m)上椭圆曲线E所有的点所构成的集合椭圆曲线上的所有点E(K)集合通过定义一个加法运算,满足一定的运算规则可以构成一个Abel群群点P=(x,y)对X坐标轴反射的点为-P=(x,-y),而称-P为点P的负点负点。若nP=O,且n为最小的正整数,则n为椭圆曲线E上点的阶阶除了无限远的点O之外,椭圆曲线E上任何可以生成所有点的点都可视为是E的生成数生成数(gen
17、erator)2024/3/1127Ch1-公钥密码技术椭圆曲线上的两个相异的点相加相加与双倍双倍(doubling)的点P的几何含义如下。两个相异的点相加两个相异的点相加:假设P和Q是椭圆曲线上两个相异的点,而且P不等于-Q。若P+Q=R,则点R是经过P、Q两点的直线与椭圆曲线相交的唯一交点的负点。如图4.5所示。双倍的点双倍的点P:令P+P=2P,则点2P是经过P的切线与椭圆曲线相交之唯一交点的负点。如图4.6所示。2024/3/1128Ch1-公钥密码技术两个相异点相加和双倍点 2024/3/1129Ch1-公钥密码技术椭圆曲线运算规则 1.椭圆曲线在素域椭圆曲线在素域Zp上的运算规则上
18、的运算规则 说明一点,在椭圆曲线运算中,大写参数表示点,小写参数表示数值。加法规则:加法规则:2024/3/1130Ch1-公钥密码技术其中乘法规则乘法规则:2024/3/1131Ch1-公钥密码技术椭圆曲线在GF(2m)上的运算规则 加法规则:加法规则:2024/3/1132Ch1-公钥密码技术乘法规则乘法规则:2024/3/1133Ch1-公钥密码技术椭圆曲线密码算法 椭圆曲线上所有的点外加一个叫做无穷远点的特殊点构成的集合,连同一个定义的加法运算构成一个Abel群群在等式kP=P+P+P=Q中,已知k和点P求点Q比较容易,反之已知点Q和点P求k却是相当困难的,这个问题称为椭圆曲线上点群的
19、离散对椭圆曲线上点群的离散对数问题数问题(Elliptic Curve Discrete Logarithm Problem,ECDLP)椭圆曲线密码算法正是利用这个困难问题而设计的 2024/3/1134Ch1-公钥密码技术ElGamal的椭圆曲线密码算法(1)密钥产生假设系统公开参数为一个椭圆曲线E及模数p。使用者执行:任选一个整数k,任选一个点 ,并计算公钥为 ,私钥为k。2024/3/1135Ch1-公钥密码技术(2)加密过程令明文M为E上的一点 。首先任选一个整数,然后计算密文密文为两个点。(3)解密过程计算明文2024/3/1136Ch1-公钥密码技术Menezes-Vanston
20、e椭圆曲线密码算法 Menezes-Vanstone椭圆曲线密码算法是效率比较高的椭圆曲线加密法其明文没有限制一定要落于椭圆曲线E上 2024/3/1137Ch1-公钥密码技术2024/3/1138Ch1-公钥密码技术椭圆曲线密码的性能 椭圆曲线密码体制的安全性是建立在椭圆曲线离散对数的数学难题之上椭圆曲线离散对数问题被公认为要比整数分解问题(RSA方法的基础)和模p离散对数问题(DSA算法的基础)难解得多目前解椭圆曲线上的离散对数问题的最好算法是Pollard rho方法,其计算复杂度上是完全指数级的,而目前对于一般情况下的因数分解的最好算法的时间复杂度是亚指数级的ECC算法在安全强度、加密
21、速度以及存储空间方面都有巨大的优势。如161位的ECC算法的安全强度相当于RSA算法1024位的强度2024/3/1139Ch1-公钥密码技术公钥分配 公钥密码体制的密钥分配与对称密码体制的密钥分配有着本质的差别对称密码体制的密钥分配中必须同时确保密钥的秘密性、真实性和完整性秘密性、真实性和完整性公开密钥密码体制中有两个密钥,私钥由自己保管,不需要进行分配公钥密码体制不需要保证公钥的秘密性,只需确保确保公钥的真实性和完整性公钥的真实性和完整性,这样就能保证公钥没有被攻击者替换或篡改公钥的分配方法可归纳为四种:公开发布、公用目录表、公钥授权和公钥证书。2024/3/1140Ch1-公钥密码技术公
22、开发布 公开发布指用户将自己的公钥发给其他用户,或广播给某一团体这种方法虽然简单,但有一个较大的缺点,即任何人都可伪造这种公开发布如果某个用户假装是用户A并以A的名义向另一用户发送或广播自己的公开钥,则在A发现假冒者以前,这一假冒者可解读所有意欲发向A的加密消息,而且假冒者还能用伪造的密钥获得认证。2024/3/1141Ch1-公钥密码技术公用目录表 公用目录表指一个公用的公钥动态目录表公用目录表的建立、维护以及公钥的分布由某个可信的实体或组织承担,称这个实体或组织为公用目录的管理员与第一种分配方法相比,这种方法的安全性更高 该方法有以下一些组成部分:(1)管理员为每个用户在目录表中建立一个目
23、录,目录中有两个数据项:一是用户名,二是用户的公开钥。2024/3/1142Ch1-公钥密码技术 (2)每一用户都亲自或以某种安全的认证通信在管理者那里为自己的公开钥注册。(3)用户可以随时用新密钥替换现有的密钥。这可能由于自己的公钥用过的次数太多或由于与公钥相关的私钥已泄漏。(4)管理员定期公布或定期更新目录表。例如,像电话号码本一样公布目录表或在发行量很大的报纸上公布目录表的更新。(5)用户可通过电子手段访问目录表。此时,从管理员到用户必须有安全的认证通信。这种方案的安全性明显高于公开发布的安全性,但仍易受到攻击。如果敌手成功地获得管理员的私人密钥,就可伪造一个公钥目录表,以后既可以假冒任
24、一用户又可以监听发往任一用户的消息。2024/3/1143Ch1-公钥密码技术公钥授权 与公用目录表类似,假定有一个公钥管理机构来为用户建立、维护动态的公钥目录但同时对系统提出以下要求,即:每个用每个用户都可靠地知道管理机构的公钥,而只有户都可靠地知道管理机构的公钥,而只有管理机构自己知道相应的私钥管理机构自己知道相应的私钥图4.7是典型的公钥分配方案,在这个分配方案中完成了两个功能,一是获得需要的公钥;二是双方相互认证 2024/3/1144Ch1-公钥密码技术2024/3/1145Ch1-公钥密码技术公钥证书 公钥授权中的管理机构有可能成为系统的瓶颈,而且由管理机构维护的公钥目录表也易被攻
25、击者篡改。分配公钥的另一方法是公钥证书公钥证书用户通过交换公钥证书来互相交换自己的公钥公钥证书类似人们使用的纸类证书,如驾驶执照、毕业证等,两者都包括拥有者的属性,可以验证证书一般由第三方发行证书一般由第三方发行,这个第三方称为证书权威中心(certificate authority,CA)。证书由CA签名表明证书的拥有者所具有的公钥等信息。证书由CA用它的私钥签名,其他用户可以用CA的公钥验证证书的真假。2024/3/1146Ch1-公钥密码技术使用公钥证书分配公钥过程非常简单事先由CA对用户的证书签名,证书中包含有与该用户的私钥相对应的公钥及用户的身份等信息所有的数据项经CA用自己的私钥签
26、名后就形成证书用户可将自己的公钥通过公钥证书发给另一用户,接收方可用CA的公钥对证书加以验证,这样接收方就能知道发送方的公钥由于证书是由CA私钥加密,任何其他人不能伪造该证书。2024/3/1147Ch1-公钥密码技术利用公钥密码分配对称密钥 由于公钥算法速度很慢,在通信中一般不使用公钥加密消息,而是使用会话钥(对称密码密钥)因此一般的做法是用会话钥加密消息,用公钥来实现会话钥的分配。一种简单的会话钥分配方法如下:-A产生一对公私钥PUa和PRa,将公钥PUa和自己的身份标识IDA传给B -B产生一个会话钥Ks,用A的公钥PUa加密后EPUa(Ks)传给A -由于只有A有私钥PRa,所以A能够
27、得到会话钥Ks。随后双方用会话钥Ks加密双方需要传输的消息。2024/3/1148Ch1-公钥密码技术Diffie-Hellman 密钥交换 Diffie-Hellman密钥交换是W.Diffie和M.Hellman于1976年提出的第一个公开密钥算法已在很多商业产品中得以应用算法的惟一目的是使得两个用户能够安全地交换密钥交换密钥,得到一个共享的会话密钥算法本身不能用于加、解密该算法的安全性基于求离散对数求离散对数的困难性。2024/3/1149Ch1-公钥密码技术假定p是一个素数,是其本原根,将p和公开。假设A和B之间希望交换会话钥。-用户A:-用户B:2024/3/1150Ch1-公钥密码
28、技术Diffie-Hellman密钥交换协议很容易受到中间人攻中间人攻击击一个主动的窃听者C可能截取A发给B的消息以及B发给A的消息,他用自己的消息替换这些消息并分别与A和B完成一个Diffie-Hellman密钥交换密钥交换协议完毕后,A实际上和C建立了一个会话密钥,B和C建立了一个会话密钥当A加密一个消息发送给B时,C能解密它而B不能。类似地,当B加密一个消息发送给A时,C能解密它而A不能防止Diffie-Hellman密钥交换协议中间人攻击的一个方法是让A和B分别对消息签名。2024/3/1151Ch1-公钥密码技术演讲完毕,谢谢观看!附录资料:不需要的可以自行删除53信息化规划与管理信
29、息化规划与管理建立企业模型 54第一节第一节 信息化规划项目的规划信息化规划项目的规划 制定大、中型企业的信息化规划本身就是一个庞大的项目,必须对这个信息化信息化规规划划项项目目进进行行规规划划,这是制定信息化规划阶段的第一第一项项任任务务,在这一项任务中应该完成以下三个子任三个子任务务:55一、确定信息战略规划的边界 q确定信息化规划的范围信息化规划的范围,是对企业制定整体(或全局)规划,还是制定企业一个部门的规划(局部规划);q确定IT规划的信息技术边界信息技术边界,即信息系统应用哪些信息技术;q确定信息化规划的时间限制时间限制,一般应在3 3 6 6个个月之内月之内完成,时间太短,结果比
30、较肤浅;q时间太长了,规划过于详细,可能过时。56二、建立制定信息化规划项目的组织 n项目发起人项目发起人,他是主管项目的高级行政官员,他能与其他高层管理人员进行交流;n项目小组项目小组,即前面所述的核心小组;n咨询小组咨询小组,其作用是提供项目小组不具备的专业技术,审查可交付的报告,以确保能正确反映业务现实。n是否一定需要咨询小组,可以根据企业的具体情况来决定,所以,咨询小组是任选的咨询小组是任选的。57三、制定项目进度表 q制定企业的信息化规划要完成信息化规划要完成7 7项任务项任务,而每一项任务又包含一些子任务,有的子任务仍需分解成为更小的任务。q为此,需要制定一个详细的任务表一个详细的
31、任务表,规定各个任务的优先次序和完成任务的时间安排。q给项目组成员分配具体任务和确定任务完成的时间,并绘制详细的进度表详细的进度表,便于及时检查和掌握工作进度。58第二节第二节 初始的企业模型初始的企业模型 n信息化规划阶段的第二个任务第二个任务是建立一个初始的高层次的企业模型初始的高层次的企业模型。n高层次的企业模型应包括业务处理的主要数据(称为主题域主题域)和这些数据之间的关系,以及企业的高层高层业务功能业务功能。n首先要求识别企业的组织结构组织结构,确定企业的任务、目标和关键成功因企业的任务、目标和关键成功因素素及其信息需求信息需求,进行业务战略规划。59一、建立组织层次图 n首先,识别
32、企业的组织机构,建立企业的组首先,识别企业的组织机构,建立企业的组织层次图。织层次图。n信息来源:从得到的组织结构的文档中获得。信息来源:从得到的组织结构的文档中获得。n信息输入:组织结构图,组织手册或指南,信息输入:组织结构图,组织手册或指南,组织文件或数据库报表。组织文件或数据库报表。n信息输出:信息输出:组织层次图组织层次图和组织单元的和组织单元的信息记信息记录表录表。60n信息输入信息输入n步骤步骤1 1:利用:利用ITIT规划工具箱的组织层次图表规划工具箱的组织层次图表来表来表示层次形式的组织结构,或用缩进形式图表表示。示层次形式的组织结构,或用缩进形式图表表示。n步骤步骤2 2:记
33、录每一组织单元的下列信息,并建立:记录每一组织单元的下列信息,并建立组织单元信息记录表组织单元信息记录表。u 名称;名称;u 负责人的姓名和职务;负责人的姓名和职务;u 组织单元的任务;组织单元的任务;u 组织单元之间的关系。组织单元之间的关系。n信息输出:信息输出:u组织层次图、组织层次图、u组织单元的信息记录表组织单元的信息记录表61二、识别企业的任务、目标、战略重点和关键的成功因素 n为了获取企业的信息需求,应该识别企业的任务、为了获取企业的信息需求,应该识别企业的任务、目标、战略重点和关键的成功因素目标、战略重点和关键的成功因素 。n信息来源:从审查的书面文档中提取有关业务的材信息来源
34、:从审查的书面文档中提取有关业务的材料。料。n信息输入:正式的业务计划、年底报告、战略备忘信息输入:正式的业务计划、年底报告、战略备忘录、组织层次图。录、组织层次图。n信息输出:信息输出:u任务说明书任务说明书u组织单元的目标、战略和关键成功因素列表组织单元的目标、战略和关键成功因素列表u企业目标组织单元目标矩阵企业目标组织单元目标矩阵u企业和主要单元的初始目标层次列表企业和主要单元的初始目标层次列表 62n信息输入信息输入n步骤步骤1 1:考察全部提供的可用文件,确定并列出企业的任务、目标、战略和关键成功因素,在确定企业的关键成功因素时,应注意它们总是与确保企业竞争能力的因素相关。关键成功因
35、素关键成功因素是由企业的是由企业的关键关键信息信息、关键假设关键假设和和关键的决策关键的决策组成的组成的。n步骤步骤2 2:将任务、目标和关键成功因素组成一个任务说明书。n步骤步骤3 3:记录组织层次图中与企业有直接关系的组织单元的目标、战略和关键成功因素。n步骤步骤4 4:建立企业目标组织单元目标矩阵,n步骤步骤5 5:产生一份初始的目标层次列表,n信息输出:信息输出:同前同前 63三、阐述信息需求和性能度量 n在信息输出的基础上,必须识别出支持每个目在信息输出的基础上,必须识别出支持每个目标和关键成功因素所需要的信息,这称为标和关键成功因素所需要的信息,这称为“信信息需求息需求”;给出的评
36、价每个目标完成的方法,;给出的评价每个目标完成的方法,称为称为“性能度量性能度量”。n信息输入:书面文件,上一节的信息输出、组信息输入:书面文件,上一节的信息输出、组织层次图。织层次图。n信息输出:信息输出:u信息需求列表信息需求列表u信息需求组织矩阵信息需求组织矩阵u性能度量组织矩阵性能度量组织矩阵 64n信息输入信息输入n步骤步骤1 1:识别和记录信息需求及其特征,建立信息需求列表。(表6-2)n步骤步骤2 2:建立信息需求组织单元矩阵,其元素表示一组织单元的信息需求。(表6-3)n步骤步骤3 3:建立性能度量组织单元矩阵,其元素表示一个组织单元通过一个或多个性能度量来监测它的目标。n信息
37、输出:同上信息输出:同上65四、分析信息技术的潜在影响 n通过分析信息技术对企业业务的潜在影响,找通过分析信息技术对企业业务的潜在影响,找出使业务可能获益的信息技术,出使业务可能获益的信息技术,这里的信息技这里的信息技术是指用于创建新的业务机会的计算机硬件、术是指用于创建新的业务机会的计算机硬件、软件、数据库和网络通信产品软件、数据库和网络通信产品。n信息输入:与信息技术最新发展和应用有关的信息输入:与信息技术最新发展和应用有关的出版物,发行的目前流行的技术环境的业务文出版物,发行的目前流行的技术环境的业务文件,有可能依赖于信息技术的业务战略。件,有可能依赖于信息技术的业务战略。n信息输出:是
38、一个有关信息技术对该企业业务信息输出:是一个有关信息技术对该企业业务产生潜在影响的产生潜在影响的简短说明简短说明。66n信息输入信息输入n步步骤骤1 1:重新审查可用的技术资料,以确定信息技术在企业内部使用的范围。n步步骤骤2 2:根据规划者的经验和从出版物中得到的信息,列出使业务可能获益的技术,这些技术包括四类:u转转化化为为产产品品或或服服务务的的技技术术,或或转转化化为为部部分分产产品品或部分服务的技术,或部分服务的技术,u银行所关心的产品或服务的技术,银行所关心的产品或服务的技术,u用于市场销售的技术,用于市场销售的技术,u提高企业竞争优势的技术提高企业竞争优势的技术n信信息息输输出出
39、:是一个有关信息技术对该企业业务产生潜在影响的简短说明简短说明。67五、创建企业模型初级信息结构 n企业模型企业模型是企业是企业信息结构的基础信息结构的基础,是企业所具,是企业所具有的业务功能和所涉及的有的业务功能和所涉及的主要数据(主题域)主要数据(主题域)的宏观表示的宏观表示。n信息输入:公司年度报告,企业先前开发的任信息输入:公司年度报告,企业先前开发的任何模型,组织层次图。何模型,组织层次图。n信息输出:信息输出:u主题域列表主题域列表u主题域图表主题域图表u初始化的功能层次图(三层)初始化的功能层次图(三层)它们共同组成了它们共同组成了初始的企业模型初始的企业模型。68n信息输入信息
40、输入n步骤步骤1 1:确定业务处理的主题域(Subject Areas)。一个主题域是企业感兴趣的一些事物的概括,是业务处理的主要数据,每一主题域可以被分解成与该主题有关的一些基本的数据对象。在此,规划者只尝试确定大范围的概念,记录每一主题域的名称和简要描述。n步骤步骤2 2:使用IT规划工具箱的数据模型化(数据建模)工具的主题域图表,描述不同主题域之间的联系。n步骤步骤3 3:确定高层次的业务功能,记录有关信息,并使用IT规划工具箱的功能层次图表工具来建立企业的功能层次图(只两层)。n步骤步骤4 4:分解高层业务功能为较低层业务功能(即业务过程),产生三层的企业功能层次图。n信息输出:同上信
41、息输出:同上69六、对信息进行补充、检验和确认 n这项子任务的这项子任务的目的目的是规划小组成员对高级、中级管是规划小组成员对高级、中级管理人员进行采访,互相交换意见,以理人员进行采访,互相交换意见,以补充和检验补充和检验规规划小组的工作,并提供一个交流机会,增加管理层划小组的工作,并提供一个交流机会,增加管理层对对ITIT规划的赞成度规划的赞成度。n加深对下列分类信息的认识加深对下列分类信息的认识:组织单元,组织结构。:组织单元,组织结构。n听取对下列分类信息的建议听取对下列分类信息的建议:业务功能,主题域。:业务功能,主题域。n向管理层报告运用信息技术的潜力向管理层报告运用信息技术的潜力:
42、硬件设备、软:硬件设备、软件和数据库产品、网络通信产品。件和数据库产品、网络通信产品。70n信息输入:信息输入:前面子任务中输出的所有信息,包括:u组织层次图表和文本记录,组织层次图表和文本记录,u任务说明书,任务说明书,u组织单元的目标、战略、关键成功因素列表,组织单元的目标、战略、关键成功因素列表,u企业组织单元的目标矩阵,企业组织单元的目标矩阵,u初始目标层次列表,初始目标层次列表,u信息技术潜在影响的说明,信息技术潜在影响的说明,u主题域列表,主题域列表,u主题域图表,主题域图表,u初始的功能层次图。初始的功能层次图。n信息输出:信息输出:u如同信息输入,只是经过了调整、充实和修改。如
43、同信息输入,只是经过了调整、充实和修改。71访问步骤:访问步骤:先访问高层管理者,后访问中层管理者。(1)准备好访问的主要问题列表,主要问题应集中在下列几个方面:u被被采采访访者者对对企企业业全全局局和和所所负负责责的的组组织织单单元元的的任任务务、目目标、战略和关键成功因素的理解;标、战略和关键成功因素的理解;u被采访者对业务目标优先级的理解;被采访者对业务目标优先级的理解;u被采访者对企业未来发展方向的理解;被采访者对企业未来发展方向的理解;u信息技术对企业现在和将来的影响力。信息技术对企业现在和将来的影响力。(2)进行采访,采访时应特别注意有关该子任务的信息分类。(3)分析采访结果,通过调整来反映新的信息。(4)收集到所有数据后,应在访问中级管理层之前将访问结果与调整的输出结合起来。(5)访问中级管理层,进一步精化所获得的信息。72