第9章-信息系统的安全与运行管理教案.pptVIP

中南大学医药信息系 编码与测试 三、信息系统的运行制度 中南大学医药信息系 编码与测试 （1）各类机房安全运行管理制度 ① 身份登记与验证出入 ② 带入带出物品检查 ③ 参观中心机房必须经过审查 ④ 专人负责启动、关闭计算机系统 ⑤ 对系统运行状况进行监视，跟踪并详细记录运行信息 ⑥ 对系统进行定期保养和维护 ⑦ 操作人员在指定的计算机或终端上操作，对操作内容按规定进行登记 ⑧ 不做与工作无关的操作，不运行来历不明的软件 ⑨ 不越权运行程序，不查阅无关参数 ⑩ 操作异常，立即报告 １、建立和健全信息系统的运行制度 中南大学医药信息系 编码与测试 （2）信息系统的其他管理制度 ① 必须有重要的系统软件、应用软件管理制度 ② 必须有数据管理制度 ③ 必须有密码口令管理制度，做到口令专管专用，定期更改并在失密后立即报告 ④ 必须有网络通信安全管理制度，实行网络电子公告系统的用户登记和对外信息交流的管理制度 ⑤ 必须有病毒的防治管理制度及时检测、清除计算机病毒，并备有检测、清除记录 ⑥建立安全培训制度，进行计算机安全法律教育、职业道德教育和计算机安全技术教育。对关键岗位的人员进行定期考核⑦必须有人员调离的安全管理制度⑧ 建立合作制度 中南大学医药信息系 编码与测试 ２、信息系统的日常运行管理 （1）系统运行情况的记录 内容：开机、应用系统的进入、功能项的选择与执行 数据备份、存档、关机等 运行情况有正常、不正常与无法运行三种情况 通常对正常情况不予记录，对于不正常情况和无法运行情况则应将所见的现象、发生的时间及可能的原因做尽量详细的记录。 中南大学医药信息系 编码与测试 （2）审计踪迹 审计踪迹（audit trail）就是指系统中设置了自动记录功能，能通过自动记录的信息发现或判明系统的问题和原因。 　在审计踪迹系统中，建立审计日志是一种基本的方法。 中南大学医药信息系 编码与测试 （3）审查应急措施的落实 首先要制定应付突发性事件的应急计划，然后每日要审查应急措施的落实情况。 中南大学医药信息系 编码与测试 （4）系统资源的管理 在维护信息系统正常运行过程中还有一个常见的问题，那就是如何管理系统的资源。例如对计算机的使用及打印机纸、墨粉的消耗等，都要制定合理的管理方法。 中南大学医药信息系 编码与测试 四、信息系统的维护与升级 中南大学医药信息系 编码与测试 １、信息系统的维护 （1）系统维护的类型 硬件设备的维护 应用软件的维护 数据的维护 中南大学医药信息系 编码与测试 应有专职硬件维护人员负责 维护活动主要有两种类型： 定期保养性维护（一周或一个月不等） 如例行的设备检查与保养、易耗品的更换与安装等； 突发性故障维修 当设备出现突发性故障时，由专职人员或请厂方技术人员来排除故障。 ① 硬件维护 中南大学医药信息系 编码与测试 　软件维护主要是指根据需求变化或硬件环境的变化对应用程序进行部分或全部的修改。 软件维护的类型： 改正性维护 适应性维护 完善性维护 预防性维护 ② 软件维护 中南大学医药信息系 编码与测试 ③ 数据维护 由数据库管理员来负责 主要责任： 数据库的安全性和完整性以及进行并发性控制 数据库中数据的维护 如当数据库中的数据类型、长度等发生变化时、或者需要添加某个数据项、数据库时，要负责修改相关的数据库、数据字典，并通知有关人员。 定期出版数据字典文件及一些其他的数据管理文什，以保留系统运行和修改的轨迹 当出现硬件故障并得到排除后负责数据库的恢复工作 中南大学医药信息系 编码与测试 1）系统维护应执行以下步骤： ① 提出维护或修改要求 ② 领导审查并做出答复，如修改则列入维护计划 ③ 领导分配任务，维护人员执行修改 ④ 验收维护成果并登记修改信息 （2）系统维护的管理 中南大学医药信息系 编码与测试 修改程序代码时可能发生灾难性错误。 为了避免这类错误，要在修改工作完成后进行测试，直至确认和复审无错为止； 修改数据库中的一些数据时可能导致某些应用软件不再适应变化了的数据而产生错误。 为了避免这类错误，一是要有严密的数据描述文件，即数据字典系统；二是要严格记录这些修改并进行修改后的测试工作。 2）系统维护的副作用 中南大学医药信息系 编码与测试 升级与维护的区别： 升级：计划性和目标性、里程碑性和质的飞跃 维护：应急性、日常性和量的积累。 ２、信息系统的升级 中南大学医药信息系 编码与测试 1、阐述信息系统安全的影响因素，列举两个影响信息系统安全的例子。 2、机房在进行安全设计时应注意哪些问题？ 3、在设计和开发应用程序时，应考虑哪些安全策略和措施？ 4、信息系统安全有哪些控制方法？在系统授权时应考虑哪些原则？ 5、系