企业信息系统安全保障与质量管理.ppt

第六章 企业信息系统的安全保障与质量管理 第六章 企业信息系统的安全保障与质量管理 第一节 信息系统的脆弱性 第二节 信息系统的安全保障 第三节 信息系统的质量管理 第一节 信息系统的脆弱性 一、信息系统中几种常见的安全脆弱点 二、计算机犯罪、黑客、计算机病毒和计算机商业间谍 三、信息系统的质量问题：软件和数据的质量 一、信息系统中几种常见的安全脆弱点 在线连接的信息系统或通过电信网络(电缆或光缆)连接的信息系统 无线数据网络 客户／服务器模式的网络 Internet网络 二、计算机犯罪、黑客、计算机病毒和计算机商业间谍 计算机犯罪 黑客 计算机病毒 计算机商业间谍 （一）计算机犯罪 计算机犯罪包括故意偷窃或毁坏数据，使系统不能正常实现其服务功能；或利用计算机硬件、软件、数据等进行非法的活动。 （二）黑客 计算机黑客是人们对那些利用所掌握的技术未经授权而进入一个计算机信息网，以获取个人利益、故意捣乱或寻求刺激为目的的人的总称。 （三）计算机病毒 计算机病毒是一些电脑发烧友编制出一段程序在系统文件或应用文件之间漫无目的的广泛传播，或者附着在正常文件的末尾或者加在正常文件的中间，就像人身体当中的病毒被正常体细胞携带一样。 降低计算机病毒的措施 (1)每当新购得一套软件包后都要备份一套，并将其中一套保留在安全之处。 (2)安装之前，仔细的检查新得到的软件，尤其是从网上得到的软件，看是否有病毒感染。如果条件允许，最好用一台单独的计算机隔离检查。 (3)限制对文件的存取权限，仅在需要用到的时候才放开权限。 降低计算机病毒的措施 (4)定期的利用杀毒软件检查系统有否病毒感染。 (5)小心防范那些标有“免费软件(shareware)”的软件，它们经常是病毒携带者。 (6)购买正版软件。 (7)多重备份重要的数据文件。 （四）计算机商业间谍 信息化的浪潮使得越来越多的大大小小的公司、银行、企业等经济实体加入了上网的行列。他们把越来越多的秘密信息保存在计算机上，其中包括经营战略计划、销售数据、产品配方甚至秘密的信件、备忘录等等。计算机商业间谍可以直接进入商家的电脑获得这些信息。 三、信息系统的质量问题：软件和数据的质量 (一)软件质量问题 (二)数据质量问题 (一)软件质量问题 所谓质量可以定义为“与一个产品或服务是否能够满足其指定的或蕴涵的需求有关的性质与特征的总和”。 软件失效在整个信息系统安全故障中占有的比重很大，这是由许多原因所形成的。 (二)数据质量问题 信息系统产生故障原因有时是由于输入数据的错误所造成的。 第二节 信息系统的安全保障 一、总体安全保障 二、应用安全保障 三、安全保障的三个重要环节 四、信息系统的安全保障措施 一、总体安全保障 总体保障就像为企业的信息系统的安全提供了一把保护伞，总体保障措施实施后可以促进下列需求的实现： 1．信息系统硬件安全和可靠； 2．信息系统软件安全和可靠； 3．数据文件的安全； 4．信息系统运行操作管理的正确； 5．信息系统能够按部就班的得以开发。 信息系统文档资料所应有的具体内容： 1．系统文档 (1)系统工作流程图； (2)系统结构图； (3)文件和记录设计图； (4)程序列表清单。 信息系统文档资料所应有的具体内容： 2．用户文档 (1)系统功能或业务说明； (2)数据输入方法； (3)用户权利说明； (4)数据输入格式实例或在线帮助； (5)用户服务网点列表； (6)用户问题报告方法和实例； (7)常见错误处理方法。 信息系统文档资料所应有的具体内容： 3．操作文档 (1)信息系统任务的设置方法； (2)运行控制管理的方法； (3)备份和恢复方法； (4)对硬件和操作系统的要求； (5)灾难性事故的恢复计划。 二、应用安全保障 应用保障和总体保障结合在一起共同保证信息系统更加安全和可靠。应用保障确保具体的系统应用的安全。 按照信息系统运行进程，即输入、处理、输出三个步骤，应用保障分为输入保障制、处理保障和输出保障三部分。 输入保障确保向信息系统输入的数据完整和准确； 处理保障保证处理过程中被更新的数据和文件的完整和准确； 输出控制则保证计算机处理后输出的结果完整、准确并且分布恰当。 最重要的应用保障措施包括输入输出授权认证、程序化的例行编辑检查以及总量控制技术。 (一)输入输出授权认证 输入输出的授权认证是指信息系统中部分内容，仅允许某些有权用户输入数据和得到输出数据。 (二)程序化的例行编辑检查