企业信息系统的安全保障与质量管理.pptVIP

总量控制技术可适用于信息处理过程中的任何阶段，其作用是确保数据总量的完整和准确。01总量控制技术的基本思想是：在信息系统数据的输入、处理和输出过程中，某些位置可以通过不同的手段对信息字段中可计算的数据进行统计，走不同的统计路径统计出来的数据总量应该是完全一致的，如果出现不同，说明某个环节出现问题。02（三）总量控制技术三、安全保障的三个重要环节信息系统安全保障的三个重要环节是人、组织和技术。第一步分析问题第三步做出方案第四步方案实现第二步理解问题现有的安全保障措施有哪些？在技术、组织与资金上影响安全措施实施的因素有哪些？1、数据输入、处理、输出是否是完整和准确的？2、有否有关键的数据及所在位置需要精心保护？3、从技术的观点来看需要什么样的安全措施来保证系统输入、处理和输出的准确和完整？4、采用安全技术措施所得到的回报是否与其投入相一致？在信息系统设计和建立过程中的针对各个步骤的安全问题采用相应的安全保障技术。计算机化的信息系统的安全包括计算机硬件使用环境的安全和软件的安全。防止硬件设备受到无端损坏，防止无关人员在未被授权的情况下使用计算机，防止在未经授权的情况下修改计算机程序和数据。概括起来信息系统的安全保障措施可以分为三个主要方面:即数据的安全；计算机和网络的安全；灾难性故障发生后系统的恢复。12四、信息系统的安全保障措施（一）设置数据存取权限保障数据的安全数据的安全包括禁止无权用户存取数据和防止有权用户随意修改数据或在不经意的情况下破坏数据。对于数据的存储和数据的使用必须保证各种应用环境情况下都能做到安全可靠。只允许用户有权存取那些他们工作上需要使用的数据。尤其是那些敏感的数据，比如雇员工资，病人病历等。措施:1、采用用户密码或安全字。主要的数据安全措施是用户密码或安全字。用户要想进入某个信息系统读取信息或改动数据，必须提供其注册登记的用户密码。2、采用多级保护的方法。数据的安全措施经常是采用多级保护的方法，对于不同安全级别的数据设置不同密码。3、加密措施。为了加强保密，需要通过远距离传送的数据被传送前，可以采取加密措施。在信息数据中加入扰码，破坏原排列顺序，称为加密码。接收端进行去扰工作，称为解码。这也是一种提高信息系统安全措施的方法。（二）PC机和网络计算机的安全连接在网络上的PC机的安全问题更加重要。特别是那些可以接触到网上关键数据的PC机。下面列出了安全使用PC机需要考虑的内容。这些内容同样适用于由PC机组成的计算机网络。1．PC机房是否未上锁？是否容易搬动？2．PC机硬盘是否单独上锁？存放重要数据的PC机是否具有防火防盗措施？3．存有重要数据的硬盘是否经常定期备份？4．是否允许用户使用的各台PC机和禁止用户使用的PC机已经严格分开？5．是否每台PC的用户使用权限已经设置？6．是否已经制定了从网上下载数据时的标准，密码和警告信息？7．用户使用PC机时是否有密码登录的要求？8．是否制定了PC机使用培训和安全操作规程？灾难性事故是指突发的或人们无法抗拒的意外事件的发生对信息系统的正常工作所造成的中断影响。比如，火灾、水灾、电力供应中断、人为的对硬件设备的毁坏等。01灾难性事故的恢复：为了尽量减少灾难性事故对信息系统的影响，提前考虑到可能发生的事故并制定一个周密的应急计划。该计划中应明确备用系统的启动和软件数据的恢复方法并指明通信设备恢复措施。02（三）灾难性事故的恢复一个典型的应急恢复计划1．找出信息系统中最关键最重要的需要保护的业务数据及其易损原因。2．列出恢复系统运行所需要的最基本的硬件、软件和系统管理者姓名清单，联系方法。3．培训人员掌握系统恢复方法和步骤，必要时进行模拟训练。4．列出灾难性事故发生后一步步处理的具体步骤。信息系统中关键的内容是包含重要信息的应用数据文件，其它的硬件软件都是为使其正常工作的支持部分，所以应尽快恢复这一部分内容。五、Internet网络站点安全措施Web站点安全隐患列表安全隐患具体表现1数据损毁偶然或恶意操作造成服务器数据丢失以及截取流入流出服务器数据。2干扰利用不适当的流量控制方法有意重置路由或改变从服务器流出的数据流向造成服务器效率降低或崩溃。3文件被修改/替换在网络发送或接收端改动数据。这种改变无论是有意还是无意都比较难于发现。4错换/错用数据提供错误信息、密码或其它数据。用假文件或假网页置换原来的网页。5拒绝执行当输入在线命令或执行开始后发生拒绝情况。6无心错用合法用户偶然但无心的动作造成的情况。7无权修改/下载未经授权的人修改、更新、拷贝或下载网站文件或数据。8无权处理未经同意对网站的任何使用。9无权泄露未经明确同意看到并