南京电大开 _放教学部.pptVIP

* 南京电大 杨文珊 * 一、总体安全保障 （三）文档资料在信息系统中的重要性。 文档资料从用户和技术支持两个角度明确地说明信息系统如何使用和如何工作。 文档资料通常有三类：系统文档、用户文档和操作文档。 1．系统文档。系统文档描述的是信息系统解决方案的设计、结构和软件特征。主要包括： (1)系统工作流程图； (2)系统结构图； (3)文件和记录设计图； (4)程序列表清单。 * 南京电大 杨文珊 * 一、总体安全保障 2．用户文档。站在使用者的角度，着重说明怎样解决用户的需求，用户要实现所需功能的操作方法和步骤。主要包括： （1）系统功能或业务说明； （2）数据输入方法； （3）用户权利说明； （4）数据输入格式实例或在线帮助； （5）用户服务网点列表； （6）用户问题报告方法和实例； （7）常见错误处理方法。 3．操作文档。操作文档主要说明如何使信息系统运转起来，如何安装，出现问题后如何处理以及如何备份及恢复系统等。主要包括： （1）信息系统任务的设置方法； （2）运行控制管理的方法； （3）备份和恢复方法； （4）对硬件和操作系统的要求； （5）灾难性事故的恢复计划。 * 南京电大 杨文珊 * 二、应用安全保障 应用安全保障控制单个用户对信息系统的应用，保障个体应用信息系统时处理过程的准确、完整和有效。 应用保障确保具体的系统应用的安全。按照信息系统运行进程，即输入、处理、输出三个步骤，应用保障分为输入保障、处理保障和输出保障三部分。 输入保障确保向信息系统输入的数据完整和准确； 处理保障保证处理过程中被更新的数据和文件的完整和准确； 输出控制则保证计算机处理后输出的结果完整、准确并且分布恰当。 最重要的应用保障措施包括输入输出授权认证、程序化的例行编辑检查以及总量控制技术。 * 南京电大 杨文珊 * （一）输入输出授权认证 输入输出的授权认证是指信息系统中的部分内容，仅允许某些有权用户输入数据和得到输出数据。 * 南京电大 杨文珊 * （二）程序化的例行编辑检查 程序化的例行编辑检查是在原始数据被正式处理之前，利用预先编好的预处理程序对输入的数据进行错误检查，不满足标准的数据一律报告出来。系统拒绝对有疑问的数据文件作进一步的处理。 编辑检查程序 更新后的数据文件 拒绝交易的数据文件 在线输出 合格输出报告 原始对比数据文件 数据问题报告 交易数据输入数据 程序化的编辑检查应用控制技术示意图 * 南京电大 杨文珊 * 程序化的例行编辑检查技术列表 编辑检查技术 说明 格式检查 检查输入数据的格式、大小、内容、符号等。如长途电话号码格式应固定分为国家号——区号——电话号码三个区域。 存在检查 通过与预先已知的代码表进行比较，确定输入的代码字段是否有效。比如省或直辖市的代码是固定的，如果输入的数据中该项在已知的代码表中不存在，则大致可以确定输入有误。 合理检查 检查输入数据的值是否落入合理范围内。如员工的月工资不应超过六位数。 数字检查 将输入的数字与系统中预定好的某个数字进行运算，结果符合条件，则认为输入的数字正确。如某账户的输入数字是29675，与9减运算后的结果是29666。 * 南京电大 杨文珊 * （三）总量控制技术 总量控制技术可适用于信息处理过程中的任何阶段，其作用是确保数据总量的完整和准确。 总量控制技术的基本思想是：在信息系统数据的输入、处理和输出过程中，某些位置可以通过不同的手段对信息字段中可计算的数据进行统计，走不同的统计路径统计出来的数据总量应该是完全一致的，如果出现不同，说明某个环节出现问题。 * 南京电大 杨文珊 * 三、安全保障的三个重要环节 1、信息系统安全保障的三个重要环节是人、组织和技术。 人 组织 技术 防范内部和外部人员利用计算机进行犯罪活动。 组织内部设立超级系统管理机构，负责信息系统的总体安全保障。 降低硬件失灵的次数和影响 对信息系统管理人员进行培训，提高管理水平。 把信息系统不同的功能分开进行分工管理，各负其责，减少系统之间的相互干扰。 减少软件错误。 减少信息系统用户错误 注意通信环节的安全性 简化控制技术的复杂性，使人们操作起来更加方便。 数据库的安全性 应用程序存放安全性 * 南京电大 杨文珊 * 三、安全保障的三个重要环节 2、在信息系统设计和建立过程中的针对各个步骤的安全问题采用相应的安全保障技术。 第一步 分析问题 第三步做出方案 第四步方案实现 第二步 理解问题 现有的安全保障措施有哪些？ 在技术、组织与资金上影响安全措施实施的因素有哪些？ 1、数据输入、处理、输出是否是完整和准确的？ 2、有否有关键的数据及所在位置需要精心保护？ 3、从技术的观点来看需要什么样的安全措施来保证系统输入、处理和输