第六章 企业信息系统的安全保障与质量管理.pptVIP

南京电大开放教学部 学习内容 1、信息系统的脆弱性 2、信息系统的安全保障 3、信息系统的质量管理 教学重点 信息系统的质量与安全保证技术 学习要求 1．了解信息系统易发生的问题 2．熟悉信息系统安全保障措施 3．熟悉信息系统的质量管理方法 第一节 信息系统的脆弱性 本节主要知识点： 1、信息系统中几种常见的安全脆弱点； 2、影响信息系统安全的几种主要因素； 3、信息系统的质量问题。 系统的安全性 系统安全指的是MIS的各组成部分都处于安全状态，包括计算机安全、网络安全与数据安全。 对信息系统的安全产生影响的主要因素有物理因素（主要指意外灾害如火灾、停电等）、软硬件质量和人为因素。 影响计算机化信息系统安全的主要因素 一、几种常见信息系统的安全脆弱点： （一）在线连接的信息系统或通过电信网络（电缆或光缆）连接的信息系统。 安全脆弱点：容易受到非法使用或滥用。 这种信息系统的终端十分分散，比较难以管理。下图说明了这种信息系统安全方面的脆弱点。 （二）无线数据网络 无线数据网络通过空中传送无线电波实现数据的收发。 安全脆弱点：数据安全保密性是最差的，任何人只要利用适当的接收设备都能截获到这些信号。 （三）客户/服务器模式的网络 安全脆弱点： 有更多的网络接入点可用，通过这些接入点很容易对系统文件级的内容动手脚，造成破坏性的损失。 局域网络中存在的问题：缺乏备份措施、疏于安全防范。 出错的可能性有：服务器停止工作、硬盘故障、网络操作系统出问题、应用软件错误等等。 （四）Internet 网络 安全脆弱点： 利用TCP/IP这种通用的网络存取协议加上一些的技术技巧，在很多情况下，可以在任何地点未经授权获得所需要的信息。 人类能够利用计算机来实现信息化的社会，同时，利用计算机犯罪，非法闯入计算机网络信息系统获取个人利益或者散播有害病毒也会应运而生。这对计算机化的信息系统的安全保障问题提出了更高的要求。 二、计算机犯罪、黑客、计算机病毒和计算机商业间谍 信息系统的安全方面最大的隐患来自系统本身和偶发的意外事故及人为的错误，但其主要目标应该是防范利用计算机犯罪和防止非法的未经授权的用户进入计算机系统。 （一）计算机犯罪 计算机犯罪的法律定义是：“行为人以计算机为工具，或以计算机资产为攻击对象而实施的危害社会并应处以刑罚的行为。” 计算机犯罪包括故意偷窃或毁坏数据，使系统不能正常实现其服务功能；或利用计算机硬件、软件、数据等进行非法的活动。 比较常见的是，利用计算机盗窃用户的信用卡帐号谋取钱财；盗用他人的密码免费获得需要付费的服务、信息或软件；篡改数据、删改文件、损坏文件等。 利用计算机犯罪的一个显著特点是罪犯与组织内部的工作人员合伙作案。从技术上来说，内部工作人员熟悉企业或公司内部的业务，往往给罪犯的行为带来方便。因此如何防范企业内部员工利用工作职务之便监守自盗，也是信息系统的安全保障所要考虑的问题之一。 磁卡犯罪 电话卡、信用卡 票据犯罪 金融单据、合同 程序犯罪 特洛亚木马、意大利香肠、逻辑炸弹 磁卡犯罪 伪造他人的信用卡、磁卡、存折等。如我国1986年发现的首例计算机犯罪。1986年7月22日，港商李某前往深圳人民银行和平路支行取款，微机显示，其存款少了两万元人民币。两个月后，迎春路支行也发生了类似情况，某省驻深圳办事处赵某存入银行的三万元港币，经微机检索也已不翼而飞。经侦查认定，上述存款均被同一犯罪分子利用计算机知识伪造存折和隐形印鉴诈骗而去。这类犯罪极为常见，举不胜举。 [返回] 特洛伊木马术 特洛伊木马术是借用公无前1200年古希腊特洛伊战争中，把士兵隐藏在木马腹中进入敌方城堡，出其不意而攻占城堡的故事，来表示以软件程序为基础进行欺骗和破坏的方法。这种方法是在一个计算机程序中先指定任务的情况下，执行非授权的功能进行犯罪活动。 在日本发生的PC—VAN事件是一例。PC—VAN是日本最大的个人计算机通讯网络。但在1988年8月中旬， 网络中成员都可以屏幕上看到意义不明的文章。经过跟踪调查，确认这一意义不明的文章是一种暗号，是“罪犯”用以盗窃其他成员口令（密码文字）的一个手段。“罪犯”通过电子邮件把带有“机关”的程序从网络中发送给用户，网络成员只要一启动个人计算机，这一“机关”便立即潜入该机的操作系统，并在屏幕上出现意义不明的文章。为了弄清其含义，用户往往输入自己的密码，以寻求系统的帮助。这样，“罪犯”便能窃取到对方的密码了。这是计算机犯罪中典型的特洛伊木马术。 [返回] 意大利香肠术 这种犯罪是采用不易觉察的手段，使对方自动作出一连串的细小让步，最后达到犯罪的目的。如美国的