第六章 企业信息系统的安全保障与质量管理.pptVIP

南京电大开放教学部 学习内容 1、信息系统的脆弱性 2、信息系统的安全保障 3、信息系统的质量管理 教学重点 信息系统的质量与安全保证技术 学习要求 1．了解信息系统易发生的问题 2．熟悉信息系统安全保障措施 3．熟悉信息系统的质量管理方法 第一节 信息系统的脆弱性 本节主要知识点： 1、信息系统中几种常见的安全脆弱点； 2、影响信息系统安全的几种主要因素； 3、信息系统的质量问题。 系统的安全性 系统安全指的是MIS的各组成部分都处于安全状态，包括计算机安全、网络安全与数据安全。 对信息系统的安全产生影响的主要因素有物理因素（主要指意外灾害如火灾、停电等）、软硬件质量和人为因素。 影响计算机化信息系统安全的主要因素 一、几种常见信息系统的安全脆弱点： （一）在线连接的信息系统或通过电信网络（电缆或光缆）连接的信息系统。 安全脆弱点：容易受到非法使用或滥用。 这种信息系统的终端十分分散，比较难以管理。下图说明了这种信息系统安全方面的脆弱点。 （二）无线数据网络 无线数据网络通过空中传送无线电波实现数据的收发。 安全脆弱点：数据安全保密性是最差的，任何人只要利用适当的接收设备都能截获到这些信号。 （三）客户/服务器模式的网络 安全脆弱点： 有更多的网络接入点可用，通过这些接入点很容易对系统文件级的内容动手脚，造成破坏性的损失。 局域网络中存在的问题：缺乏备份措施、疏于安全防范。 出错的可能性有：服务器停止工作、硬盘故障、网络操作系统出问题、应用软件错误等等。 （四）Internet 网络 安全脆弱点： 利用TCP/IP这种通用的网络存取协议加上一些的技术技巧，在很多情况下，可以在任何地点未经授权获得所需要的信息。 利用计算机犯罪，非法闯入计算机网络信息系统获取个人利益或者散播有害病毒就会应运而生。这对计算机化的信息系统的安全保障问题提出了更高的要求。 二、计算机犯罪、黑客、计算机病毒和计算机商业间谍 信息系统的安全方面最大的隐患来自系统本身和偶发的意外事故及人为的错误，但其主要目标应该是防范利用计算机犯罪和防止非法的未经授权的用户进入计算机系统。 （一）计算机犯罪 计算机犯罪包括故意偷窃或毁坏数据，使系统不能正常实现其服务功能；或利用计算机硬件、软件、数据等进行非法的活动。 比较常见的是，利用计算机盗窃用户的信用卡帐号谋取钱财；盗用他人的密码免费获得需要付费的服务、信息或软件；篡改数据、删改文件、损坏文件等。 利用计算机犯罪的一个显著特点是罪犯与组织内部的工作人员合伙作案。从技术上来说，内部工作人员熟悉企业或公司内部的业务，往往给罪犯的行为带来方便。因此如何防范企业内部员工利用工作职务之便监守自盗，也是信息系统的安全保障所要考虑的问题之一。 （二）黑客 计算机黑客是人们对那些利用所掌握的技术未经授权而进入一个计算机信息网，以获取个人利益、故意捣乱或寻求刺激为目的的人的总称。 利用PC机潜入公用电话网络，偷听别人的通话、将自己的通话话单记在别人的帐单上、或者毁掉数据，或者干扰电话交换机的正常工作。 著名的黑客凯文·米特尼克（Kevin Mitnick）于1995年2月被联邦调查局逮捕，他非法闯入各种计算机网络系统长达十年之久。仅从1992年到1995年期间他从这些系统当中盗走了成千上万个数据文件和软件程序，并得到了全美国范围内至少2万个以上的信用卡账号。米特尼克经常使用Internet和其他的在线服务进入这些网络内部获取使用权并把盗来的软件和数据存放在其中。他进入别人的网络就象进入自家的后花园一样随心所欲。 计算机黑客和计算机犯罪之间的界限不能很严格的区分开来，但黑客的主要特征是寻求网上猎奇、故意毁坏他人数据、散播病毒，而计算机犯罪以从网上获取钱财为目的。 （三）计算机病毒 计算机病毒的作者往往是一些电脑发烧友，他们有的是出于搞恶作剧的目的，有的是出于破坏别人以报复为目的。他们编制出一段程序在系统文件或应用文件之间漫无目的的广泛传播，或者附著在正常文件的末尾或者加在正常文件的中间，就象人身体当中的病毒被正常体细胞携带一样。在网络信息系统当中，病毒被广泛传播之后，系统就会变得拥塞，反映缓慢或失灵。轻则出现象“节日快乐”之类的问候语；重则丢失硬盘，数据全部被毁，必须重新格式化后才能再用。 最著名的病毒发作事件发生在1988年11月，大学生罗伯特·塔朋·莫利斯（Robert Tappan Morris）将其编制的称为蠕虫的病毒放在美国国防部ARPANET数据网上，该网连接了研究中心，大学和军事基地等重要部门，这种病毒以很快的速度在网上复制。网络安全专家通过研究发现这种病毒没有潜在有害特征并且对留下的数据文件也无害。但是大量的复制造成网络拥堵，最后导致网络瘫痪，6000多台计算机受到了感染。 计算机用户降低病毒风险的措施 (1