9输出和用户界面设计要点.pptVIP

输入/输出和用户界面设计 Jin Bo jb21cn@zju.edu.cn College of Computer Science and Technology Zhejiang University 概述 系统输入/输出接口是系统和用户交互的界面，其设计成功与否，将直接影响到系统开发的成功与否 如今越来越多的计算机系统存在于一个开放的系统环境中，如何确保系统运行期间的安全，系统控制设计显得十分重要 因为，他们是允许组织内和组织外的人对系统进行访问的网络和配置策略的一部分 设计者需要考虑的一个重要问题是：如何提供对系统所需信息的访问，又同时保证系统及其信息免遭有意或无意的破坏 上述问题的有效解决，需要通过对系统接口的体系结构设计来完成 完整性控制 完整性控制是系统内部队机制和程序，用来保护系统和系统内的信息 由于大多数的破坏是来源于对系统不合规范的访问，所以为保证系统的完整性，在系统设计时，必须仔细考虑机制问题 完整性控制并不仅仅局限于输入/输出，它还涉及到系统更广泛的与完整性控制相关的问题 完整性控制目标 完整性控制的目标是： 确保只有一个合适并正确的商业交易发生 确保交易被正确地记录和处理 保护组织的资产(包括信息) 第一个目标的重点是识别和获得输入的交易，完整性控制必须确保包括所有重要的商业交易 第二个目标是为了确保正确地记录和处理交易，避免错误和欺骗行为。控制需要进行检测，对用户发出告警通知输入及处理中产生问题的错误。如果用户私自改变一个有效数据，就是欺骗行为 第三个目标是为了保护组织的资产，记录由于计算机崩溃或异常灾害丢失的信息，同时保护受到恶意破坏的重要信息 这是由于系统开发者往往将注意力集中到系统设计上，而忽略了开发必要的控制，使得系统缺乏起码的抗拒风险的能力 系统访问控制 对系统的访问范围控制已经是目前系统开发者的普遍共识 作为一种机制，系统访问控制被用来限制和控制用户能够使用计算机系统、使用系统功能和访问系统数据的能力 有了一个好的设计和实现，信息系统就可以使用内嵌的访问控制功能，并使其成为一个一致的控制策略而应用到整个系统平台或网络上的所有资源 面向系统的完整访问控制机制通常将用户分为三类： 未授权用户：无权或只能浏览的用户 注册用户：可以使用系统授权功能的用户。注册用户根据其申请，可以分为多个级别 特权用户：对系统有特殊安全访问权限的用户。系统对这类用户往往是完全敞开的，但有时根据系统特点和需要，特权用户也可以分成若干不同级别 不同类型用户的区分是设计访问控制的基础 输出设计 在进行输出设计前，首先要考虑以下几个问题： 输出的目的是什么？ 谁需要这些信息，为什么需要这些信息以及怎样使用这些信息？ 需要包含哪些特殊的信息？ 输出是打印还是仅仅显示在屏幕上，或者是两种形式都需要？输出的设备类型是什么？ 何时提供信息？向谁提供？ 如何经常更新输出信息？由谁更新？ 是否涉及安全性、机密性等问题？ 这些问题通常需要在给出确切答案后，才进入到输出设计的相关工作 再一个，与客户的交流也可以很好地帮助理解、获取准确的输出类型需求 输出完整性控制 输出完整性控制的目的是，确保输出的信息被输送到正确接受者，并且这些输出是正确、精确、适用和完整的 尤其重要的是，保证具有敏感信息的内容到达正确的目的地，且不被未授权用户访问 一个有效的方法就是实施目的地控制 目的地控制：确保将输出信息输送到正确接受者的完整性控制 目的地控制的常用方法是在设计过程中，包含设计目的地代码和路由功能，用来把不同的输出信息分配到不同路径的输出设备上 除了打印输出，联机交易输出和具有成批数据输出的单个数据文件，也是常用的电子输出形式，它们往往是通过对交易码和校验位的确认，来确保传输和接收的有效性 通常，除了军用和其它安全领域，对计算机屏幕作为输出目的地控制的应用并不很普遍 输出完整性控制 对输出信息完整性控制还包括正确性、精确性和完整性控制 这是指系统内部处理功能需要满足的一个目标，而非任何一组控制策略 通常是通过建立打印输出报表的控制域，来确保输出内容的完整性和精确性的 例如，应该被打印到报表中的控制项： 报表打印的日期和时间 报表中数据的日期和时间 报表覆盖的时间段 具有报表定义和描述的开始报头 目的地或路由信息 控制总数和交叉计算 表格上的页数标记“第 页，共 页” “报表结束”尾注 报表版本号和版本日期 输出类型 目前，除了人们习以为常的、传统的屏幕输出和打印输出外，随着新技术、新介质的推陈出新，系统信息输出还可以有更多输出类型可供选择 系统需求文档可能已经给出了用户的各种输出要求，在系统设计阶段，设计师必须设计实际的输出形式 如果需求文档文档没有给出用户具体的输出需求，那么在具体的设计过程中，还需要和用户确定输出的需求和输出的类型、介