信息系统的安全与运行维护培训教程.pptVIP

信息系统的安全与运行维护;一、信息系统的安全管理 二、系统转换与信息系统运行的组织 三、信息系统的运行制度 四、信息系统的维护与升级 ;一、信息系统的安全管理;信息系统安全的定义： 指采取技术和非技术手段，通过对信息系统建设中的安全设计和运行中的安全管理，使运行在计算机网络中的信息系统有保护，没有危险。 ;数据的输入、输出、存取与备份，源程序以及应用软件、数据库、操作系统等方面的漏洞或缺陷 硬件、通信部分的漏洞、缺陷或者是遗失 电磁辐射 环境保障系?? 企业内部人的因素 软件的非法复制 “黑客” 计算机病毒 经济(信息)间谍等 ;物理实体安全的设计 硬件系统和通信网络的安全设计 软件系统和数据的安全设计等;(1)物理实体安全环境的设计;信息系统机房规划要考虑的安全技术要求：;（2）软件和数据安全的设计 ;a)选择安全可靠的操作系统和数据库管理系统 ;b)设计、开发安全可靠的应用程序 ;c)信息系统中数据安全的设计 ;加密 作用：防止数据信息泄漏，保障数据秘密性、真实性 抵抗计算机病毒感染破坏 方式：序列密码（处理单元：一个元素（字母或比特）) 分组密码（处理单元：一组元素（分组）) 公开密钥密码 磁盘文件数据信息加密;数据备份 作用：备份数据，以备意外情况下恢复数据 注意：数据备份应登记，妥善保管，防止被盗，防止被破坏，防止被误用。重要数据备份定期检查，定期复制，保证备份数据的完整性、使用性和时效性。 方法： 全盘备份 增量备份 基本备份;(3)硬件系统和通信网络的安全设计;（1）常用的安全技术： “防火墙”软件或设备 实时网络审计跟踪工具或入侵检测软件 采用安全传输层协议(Secure Socket Layer，SSL)和使用安全超文本传输协议(secure HTTP) 采用安全电子交易协议(Secure Electronic Transaction，SET)和电子数字签名技术进行安全交易;　　　对信息系统施加相应的控制是确保信息系统安全的有效方法，包括物理控制、电子控制、软件控制和管理控制四种。 　 ; 　 物理控制：门锁、键盘锁、防火门和积水排除泵。 电子控制：移动传感器、热敏传感器和湿度传感器。 也可包括诸如标记和指纹、语音与视网膜录入控制等入侵者检验与生物进入控制。 　　软件控制：指在信息系统应用中为确定、防止或恢复错误、非法访问和其他威胁而使用的程序代码控制。 如ActiveX控件、脚本程序的运行。; 存取控制是指依靠系统的物理、电子、软件及管理等多种控制类型来实现对系统的监测，完成对用户的识别，对用户存取数据的权限确认工作，保证信息系统中数据的完整性、安全性、正确性，防止合法用户有意或无意的越权防问，防止非法用户的入侵等。 存取控制的任务主要是进行系统授权。 ;　　　例如在Windows Server中，系统设置的用户组分为：管理员组、服务器操作员组、记账操作员组、打印操作员组、备份操作员组、用户组等。每一个组中的成员都有该组的权限，可以对特定的资源进行该组成员所被允许的操作。 　　　DBMS中角色(role)是多种权限（Owner、Create、Drop、Select、Update、Insert、Delete、…）的一个组合，可以授予某个用户，也可以授予一组用户；也可以从用户处回收。 实现授权的方法有授权矩阵（authorization matrix）、用户权限表(user profile)、对象权限表(object profile)等。; 　　系统授权应遵循的原则： ;;（1）试运行阶段的主要工作： 对系统进行初始化、输入各种原始数据记录； 记录系统运行的数据和状况；核对新系统输出和老系统（人工或计算机系统）输出的结果； 对实际系统输入方式进行考查（是否方便、效率如何、安全可靠性、误操作保护等）； 对系统实际运行、响应速度（包括运算速度、传输速度、查询速度、输出速度等）进行实际测试。;（2）系统转换方式：;（1）系统管理与维护的组织有四种形式（系统在企业中的地位）：;负责信息系统的正常运行和维护 建立和实施对企业内信息系统使用的指南和制度 向企业中的各业务部门提供信息技术服务 有实力的还可以开展对于新项目的学习、研究和开发;（3）运行期间的信息系统管理部门内部人员 大致可以分为三大类： 　　　 系统维护人员或系统管理员 　　　 管理人员 　　　 系统操作人员;——戴维斯;三、信息系统的运行制度;（1）各类机房安全运行管理制度 ① 身份登记与验证出入 ② 带入带出物品检查 ③ 参观中心机房必须经过审查 ④ 专人负责启动、关闭计算机系统 ⑤ 对系统运行状况进行监视，跟踪并详细记录运行信息 ⑥ 对系统进行定期保养和维护