管理信息系统基础和开发技术 第10章 管理信息系统安全保障.pptVIP

第10章 管理信息系统的安全保障 ;（1）管理信息系统软件在使用过程中会出现一些无法预料的缺陷，软件质量存在着这样或那样的不足。 （2）对投入运行的管理信息系统的管理和操作的不当，造成系统工作状况不够理想。 （3）计算机犯罪、网络黑客、计算机病毒借助于Internet到处进行故意破坏或非法盗用，使管理信息系统的安全和质量保障受到巨大的挑战。 ;10.1 管理信息系统的安全隐患 ;2．硬件与物理因素 （1）硬件的失灵、破坏和被盗 （2）电源失效;3．环境与灾害因素 （1）管理信息系统需要一个良好的运行环境。 （2）意外的灾害。 （3）空间的电磁波对系统产生电磁干扰，影响系统的正常运行。;4．人为与管理因素 （1）用户使用不当 （2）人为的恶意攻击 ? 计算机犯罪 ? 计算机黑客 ? 计算机病毒 ? 计算机商业间谍 （3）企业或组织内部的管理不善或内部人员的违法犯罪;10.2 管理信息系统的安全保障措施 ;（3）要满足预定的质量标准。 （4）管理信息系统要建立相应的系统和业务操作文档资料。;2．硬件的安全保障措施 选用的硬件设备或机房辅助设备本身应稳定可靠、性能优良、电磁辐射小，对环境条件的要求尽可能低，设备能抗震防潮、抗电磁辐射干扰、抗静电，有过压、欠压、过流等电冲击的自动防护能力，有良好的接地保护措施等。;3．环境的安全保障措施 （1）合理规划中心机房与各部门机房的位置，力求减少无关人员进入的机会。 （2）机房内采取了防火、防水、防潮、防磁、防尘、防雷击、防盗窃等措施，机房内设置火警装置。 （3）供电安全，电源稳定。 ;（4）安装空调设备，调节室内的温度、湿度和洁净度。 （5）防静电、防辐射。;4．通信网络的安全保障措施 （1）采用安全传输层协议和安全超文本传输协议，从而保证数据和信息传递的安全性。 （2）使用防火墙技术。 （3）采用加密这种主动的防卫手段。 （4）采用VPN（Virtual Private Network）技术。;5．软件的安全保障措施 软件是保证管理信息系统正常运行的主要因素和手段。 （1）选择安全可靠的操作系统和数据库管理系统。 （2）设立安全保护子程序或存取控制??程序，充分运用操作系统和数据库管理系统提供的安全手段，加强对用户的识别检查及控制用户的存取权限。;（3）尽量采用面向对象的开发方法和模块化的设计思想，将某类功能封装起来，使模块之间、子系统之间能较好地实现隔离，避免错误发生后的错误漫延。 （4）对所有的程序都进行安全检查测试，及时发现不安全因素，逐步进行完善。 （5）采用成熟的软件安全技术，软件安全技术包括软件加密技术、软件固化技术、安装高性能的防毒卡、防毒软件、硬盘还原卡等，以提高系统安全防护能力。;6．数据的安全保障措施 数据的安全管理是管理信息系统安全的核心。 （1）数据存取的控制 存取控制常采用以下两种措施。 ① 识别与验证访问系统的用户。 ② 决定用户访问权限。 （2）数据加密;10.2.2 系统运行过程的安全保障措施 1．系统运行的管理制度 2．硬件与环境的安全保障措施 3．通信网络的安全保障措施 （1）采用加密技术对网络中传输的信息进行加密处理。;（2）对网络和用户的行为进行动态监测、审计和跟踪，对网络和系统的安全性进行评估，发现并找出所存在的安全问题和安全隐患。 （3）通过使用网络安全监测工具，帮助系统管理员发现系统的漏洞，监测系统的异常行为，追查安全事件。 （4）对访问的用户进行身份鉴别和验证，以防止非法用户采用冒名的方法入侵系统，从而保证数据完整性。 ;4．软件的安全保障措施 （1）建立软件或系统使用登录制度，操作人员在指定的计算机或终端上操作，对操作内容按规定进行登记。 （2）限制未被授权用户使用本系统，不越权运行程序，不查阅无关参数。 （3）加强软件的维护，妥善管理软件，按照严格的操作规程运行软件。;（4）对系统运行状况进行监视，跟踪并详细记录运行信息，出现操作异常时立即报告有关部门。 （5）不做与工作无关的操作，不运行来历不明的软件。;5．数据的安全保障措施 （1）建立用户密码体系 （2）数据备份 （3）建立用户对数据文件中数据的查询、增加、修改、删除、更新分级权限制度 （4）数据输入控制;（5）程序化的例行编辑检查 程序化的例行编辑检查是在原始数据被正式处理之前，利用预先编好的预处理程序对输入的数据进行错误检查，不满足预定条件的数据反馈提示信息，系统拒绝对有疑问的数据作进一步的处理。 （6）总量控制技术 总量控制以确保数据总量的完整和准确。 ;6．灾难性事故的恢复措施 灾难性事故是指突发的或人们无法抗拒的意??事件的发生对管理信息系统的正常工作所造成的破坏性影响。