軟件和應(yīng)用系統(tǒng)安全管理

1、軟件和應(yīng)用系統(tǒng)軟件和應(yīng)用系統(tǒng)安全管理安全管理 13.1 軟件安全管理軟件安全管理v軟件安全是指保證計(jì)算機(jī)軟件的完整性及軟件不會(huì)被破壞或泄露，這里所說(shuō)的軟件包括系統(tǒng)軟件、數(shù)據(jù)庫(kù)管理軟件、應(yīng)用軟件及相關(guān)資料。v如果軟件發(fā)生故障或受到侵害，計(jì)算機(jī)系統(tǒng)就不能正常運(yùn)行。 13.1.1 影響軟件安全的因素影響軟件安全的因素v影響計(jì)算機(jī)軟件安全的因素很多，大體可分為技術(shù)因素和管理因素兩大類(lèi)。v從技術(shù)性因素來(lái)看，軟件是用戶(hù)進(jìn)行信息傳遞和交流的工具；軟件可存儲(chǔ)和移植；軟件可非法入侵載體和計(jì)算機(jī)系統(tǒng)；軟件具有可激發(fā)性，v即可接受外部或內(nèi)部的條件刺激或被激活；因此軟件具有破壞性。 13.1.1 影響軟件安全的因素影

2、響軟件安全的因素v一個(gè)專(zhuān)門(mén)設(shè)計(jì)的特定軟件可以破壞用戶(hù)計(jì)算機(jī)內(nèi)編制好的程序或數(shù)據(jù)文件，具有攻擊性。v軟件和信息很容易受到電腦病毒、網(wǎng)絡(luò)蠕蟲(chóng)、特洛伊木馬和邏輯炸彈等攻擊性軟件的侵害。v因此要保證軟件的安全，就必須防范上述各類(lèi)軟件的入侵。 13.1.2 軟件安全管理的措施軟件安全管理的措施v軟件管理是一項(xiàng)十分重要的工作，應(yīng)當(dāng)建立專(zhuān)門(mén)的軟件管理機(jī)構(gòu)，從事軟件管理工作。v軟件管理包括法制管理、經(jīng)濟(jì)管理及安全管理等各個(gè)方面，各方面的管理是相互聯(lián)系的，彼此影響，因此各項(xiàng)管理需要綜合進(jìn)行。v對(duì)于企業(yè)來(lái)說(shuō)，做好軟件管理工作會(huì)帶來(lái)巨大的經(jīng)濟(jì)效益，軟件管理不善，則有可能造成經(jīng)濟(jì)損失。 13.1.2 軟件安全管理的措

3、施軟件安全管理的措施v要進(jìn)行軟件安全管理就必須制定有效的軟件管理政策。每一個(gè)與計(jì)算機(jī)有關(guān)的單位都應(yīng)制定一項(xiàng)或多項(xiàng)軟件管理政策。v包括軟件使用方面的政策、軟件安全政策、保護(hù)軟件的知識(shí)產(chǎn)權(quán)政策。v軟件管理政策可以是一個(gè)單獨(dú)的政策文件，也可以是涉及許多工作流程組成的多個(gè)文件的集合體，它們都是指導(dǎo)軟件管理的重要文件。 13.1.2 軟件安全管理的措施軟件安全管理的措施v國(guó)際標(biāo)準(zhǔn)化組織起草了一個(gè)有關(guān)信息安全管理的國(guó)際標(biāo)準(zhǔn)，其中就包括軟件的管理。v如何制定軟件政策在我國(guó)還沒(méi)有統(tǒng)一規(guī)定，在英國(guó)有一個(gè)英國(guó)國(guó)家標(biāo)準(zhǔn)英國(guó)信息安全標(biāo)準(zhǔn)bs7799信息安全管理規(guī)程，它強(qiáng)調(diào)軟件政策要符合法律的規(guī)定。13.1.2 軟件安

4、全管理的措施軟件安全管理的措施v提高知識(shí)產(chǎn)權(quán)意識(shí)，需要對(duì)軟件使用者進(jìn)行為什么必須慎重地對(duì)待軟件的教育。v一個(gè)軟件的特許只授予使用者使用軟件的權(quán)力，并不是授予使用者擁有軟件的權(quán)力，v單位是軟件的使用管理者，因此單位有責(zé)任保護(hù)軟件的知識(shí)產(chǎn)權(quán)，強(qiáng)調(diào)這一點(diǎn)，在我國(guó)有著重要的意義。v軟件的安全性和可靠性與軟件的使用管理有關(guān)。軟件的安全管理必須貫穿于軟件使用的全過(guò)程。 13.1.2 軟件安全管理的措施軟件安全管理的措施v在選購(gòu)軟件時(shí)必須認(rèn)真地從經(jīng)濟(jì)、技術(shù)等諸多角度對(duì)軟件選型及購(gòu)置進(jìn)行審查。v在軟件使用過(guò)程中，必須隨時(shí)對(duì)軟件進(jìn)行安全檢測(cè)和安全審查，v同時(shí)進(jìn)行安全性跟蹤，必須對(duì)軟件進(jìn)行經(jīng)常性的定期維護(hù)，以保證

5、軟件的正常使用。 13.1.2 軟件安全管理的措施軟件安全管理的措施v對(duì)軟件的版本必須進(jìn)行嚴(yán)格的管理和控制。v為了發(fā)揮軟件的效益，必須在軟件的整個(gè)使用期間（包括軟件的購(gòu)置、安裝、儲(chǔ)藏、獲得、使用和處理）進(jìn)行有效的管理。v軟件安全管理的目的就是要確保軟件的可靠性和安全性，v保證所有的軟件是合法的，符合版權(quán)法和軟件特許協(xié)議，v保證使用這些軟件的系統(tǒng)的安全性。 13.1.2 軟件安全管理的措施軟件安全管理的措施v軟件安全管理方面，應(yīng)該強(qiáng)調(diào)以下幾個(gè)方面的問(wèn)題：v（1）正確地選擇軟件，必須使用正版軟件，禁止使用盜版軟件；v（2）采取防范措施，減少使用外來(lái)軟件或文件可能產(chǎn)生的風(fēng)險(xiǎn)；v（3）安裝檢測(cè)軟件和修

6、復(fù)軟件，用它來(lái)掃描計(jì)算機(jī)，檢查、預(yù)防病毒、修復(fù)被破壞的程序等 并使之制度化； 13.1.2 軟件安全管理的措施軟件安全管理的措施v（4）對(duì)于支持關(guān)鍵業(yè)務(wù)程序的系統(tǒng)軟件和數(shù)據(jù)，應(yīng)該進(jìn)行定期檢測(cè)；v（5）防止非法文件或?qū)τ?jì)算機(jī)系統(tǒng)中的軟件或數(shù)據(jù)進(jìn)行非法修改或調(diào)查；v（6）在使用軟件前，應(yīng)對(duì)來(lái)源不詳?shù)能浖跋嚓P(guān)文件或從不可靠的網(wǎng)站上下載的軟件及有關(guān)文件進(jìn)行必要的檢查。 13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v在進(jìn)行軟件選型時(shí)，可考慮組織一個(gè)軟件選型小組，由提出采購(gòu)請(qǐng)求的部門(mén)及商業(yè)業(yè)務(wù)部門(mén)的有關(guān)人員組成。v1軟件選型應(yīng)考慮的因素軟件選型應(yīng)考慮的因素v（1）軟件的適用性v考察軟件是否

7、適合本系統(tǒng)的技術(shù)需要，是否適合計(jì)算機(jī)系統(tǒng)的規(guī)模等。v（2）軟件的開(kāi)放性v包括計(jì)算機(jī)操作系統(tǒng)的開(kāi)發(fā)性，本軟件與其他系統(tǒng)軟件、應(yīng)用軟件的接口，是否適合用戶(hù)的多種開(kāi)發(fā)、應(yīng)用平臺(tái)的需要等。 13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v（3）軟件的先進(jìn)性v包括軟件所使用的開(kāi)發(fā)語(yǔ)言是否先進(jìn)，軟件是否有便利的開(kāi)發(fā)工具，數(shù)據(jù)庫(kù)的先進(jìn)程度和通用程度等。v（4）軟件的商品化程度及使用的效果v包括軟件開(kāi)發(fā)商的進(jìn)一步開(kāi)發(fā)的技術(shù)能力，軟件開(kāi)發(fā)商可能對(duì)用戶(hù)提供的支持程度和軟件使用的方便性。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v（5）軟件的可靠性及可維護(hù)性v所謂軟件的可靠性是指軟件在指

8、定的條件下和在規(guī)定的時(shí)間內(nèi)不發(fā)生故障的性能，v也就是軟件在指定的條件下和規(guī)定的時(shí)間內(nèi)，正常運(yùn)行并執(zhí)行其功能的性能。v所謂軟件的可維護(hù)性是指軟件在使用階段發(fā)生故障和缺陷時(shí)，用戶(hù)可以對(duì)它進(jìn)行修正的性能，v一個(gè)可靠性和可維護(hù)性很低的軟件，很難談到使用中的安全性，因此應(yīng)選用可靠性和可維護(hù)性高的軟件。 13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v（6）軟件的性?xún)r(jià)比v軟件的性能價(jià)格比于整個(gè)具體的軟件的購(gòu)置、開(kāi)發(fā)、使用費(fèi)用有著密切的關(guān)系。v購(gòu)置、開(kāi)發(fā)和使用費(fèi)用包括購(gòu)買(mǎi)軟件費(fèi)用，購(gòu)買(mǎi)后的開(kāi)發(fā)、維護(hù)費(fèi)用等。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v2軟件選型、購(gòu)置與儲(chǔ)藏的實(shí)施軟

9、件選型、購(gòu)置與儲(chǔ)藏的實(shí)施v從理論上來(lái)講，需要一個(gè)標(biāo)準(zhǔn)的軟件選型和購(gòu)置過(guò)程，該過(guò)程應(yīng)該包括下列步驟中一部分或全部。v（1）軟件選購(gòu)過(guò)程v軟件使用者從業(yè)務(wù)角度提出所需軟件的采購(gòu)請(qǐng)求；v軟件使用者所在部門(mén)的主管從業(yè)務(wù)的角度正式批準(zhǔn)這個(gè)采購(gòu)請(qǐng)求。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v（2）需提供的文件v在采購(gòu)過(guò)程中需要提供下列文件中的部分或全部。v 軟件發(fā)展方針和方向。符合發(fā)展需要的首要問(wèn)題是軟件的發(fā)展方向，這個(gè)問(wèn)題主要應(yīng)由信息技術(shù)部門(mén)考慮。v 業(yè)務(wù)需要文件。很明顯，任何單位都想購(gòu)買(mǎi)對(duì)推進(jìn)業(yè)務(wù)有幫助的軟件。 13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v 預(yù)算文件。

10、作為采購(gòu)過(guò)程的一部分，軟件選型小組必須有一個(gè)包括軟件費(fèi)用在內(nèi)的充分的預(yù)算。v 采購(gòu)審核。當(dāng)確定軟件的需求后，軟件使用者或軟件使用者所在部門(mén)主管必須審核該項(xiàng)目采購(gòu)。v 標(biāo)準(zhǔn)化要求。由于產(chǎn)品的類(lèi)型不同，因此需要符合的標(biāo)準(zhǔn)也不同。v 系統(tǒng)的兼容性。軟件使用部門(mén)應(yīng)以書(shū)面形式說(shuō)明需要采購(gòu)的軟件是否與現(xiàn)有的系統(tǒng)匹配。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v 選型訂購(gòu)小組的批準(zhǔn)書(shū)。v評(píng)估需要采購(gòu)軟件的實(shí)用性和可行性，提出是否批準(zhǔn)購(gòu)買(mǎi)的意見(jiàn)，以文件方式提供給上級(jí)主管領(lǐng)導(dǎo)等待批準(zhǔn)。v當(dāng)這些文件都已具備，并得到有關(guān)負(fù)責(zé)人批準(zhǔn)后，就可以開(kāi)始進(jìn)行采購(gòu)，并獲得該軟件。13.1.3 軟件的選型、購(gòu)置與

11、儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v（3）軟件及供應(yīng)商的選擇v單位所使用的軟件一部分是從商業(yè)渠道采購(gòu)得到的，而另一部分是定制的，v采購(gòu)軟件和采購(gòu)其他商品的目標(biāo)是一致的，目標(biāo)如下：v 購(gòu)買(mǎi)一個(gè)價(jià)廉物美的符合單位需求且價(jià)格合理的軟件；v 符合采購(gòu)單位訂貨要求，并符合該單位操作環(huán)境的軟件；13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v 如果需要，可以審查該項(xiàng)采購(gòu)是否合適；v 在預(yù)算經(jīng)費(fèi)范圍之內(nèi)。v如果采購(gòu)工作是由單位內(nèi)的一個(gè)部門(mén)負(fù)責(zé)集中進(jìn)行，則能夠得到最大的采購(gòu)量的折扣，能更好地降低成本。v選擇購(gòu)置軟件時(shí)，最好選擇幾種軟件加以對(duì)比，經(jīng)過(guò)比較后，再對(duì)初步選擇的兩三種軟件進(jìn)行功能測(cè)試。13.1.3

12、 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v在確定采購(gòu)軟件的同時(shí)，應(yīng)對(duì)軟件供應(yīng)商有所考慮，可在廣泛的供應(yīng)商中選擇。選擇軟件的供應(yīng)商時(shí)應(yīng)遵循以下原則：v 在具有同樣功能的條件下，尋找價(jià)格最便宜的供應(yīng)商；v 向信譽(yù)較好的軟件供應(yīng)商訂貨；v 軟件供應(yīng)商可以提供所需要的軟件和其他相關(guān)物品；v 軟件供應(yīng)商應(yīng)該是一個(gè)專(zhuān)業(yè)的軟件供應(yīng)商；v 軟件供應(yīng)商可以提供完整的軟件、軟件的銷(xiāo)售以及相應(yīng)的技術(shù)支持服務(wù)；13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v在購(gòu)置軟件時(shí)，由于供應(yīng)商企業(yè)規(guī)模不同，可提供的服務(wù)、支持能力可能會(huì)有不同。v即軟件商對(duì)軟件升級(jí)以提高需要的能力及支持人員的實(shí)際支持能力，需要把可

13、支持的程度與軟件解決方案進(jìn)行綜合評(píng)定，v再?gòu)能浖?yīng)商選擇一兩種軟件進(jìn)行試用，把測(cè)試及試用情況報(bào)告本系統(tǒng)的技術(shù)負(fù)責(zé)人，由技術(shù)負(fù)責(zé)人來(lái)決定軟件的選購(gòu)。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v（4）軟件的送達(dá)v所有采購(gòu)的軟件應(yīng)該送到單位內(nèi)部負(fù)責(zé)集中采購(gòu)的部門(mén)，v以確保提出采購(gòu)要求的部門(mén)可以得到所采購(gòu)的軟件，v絕對(duì)不允許將軟件直接送到軟件使用者手中或送到本單位以外的其他地方。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v（5）軟件預(yù)安裝v從軟件送貨的領(lǐng)域來(lái)說(shuō)，應(yīng)該立即送到所需部門(mén)進(jìn)行預(yù)安裝，應(yīng)建立軟件檔案。v應(yīng)該用存儲(chǔ)控制和配置管理來(lái)加強(qiáng)對(duì)軟件安裝工作的管理，以確保

14、不會(huì)發(fā)生問(wèn)題。v安裝人員當(dāng)然應(yīng)該對(duì)安裝軟件的行為負(fù)責(zé)，并且應(yīng)該認(rèn)真進(jìn)行記錄（記錄軟件的預(yù)安裝及下載情況）和檢驗(yàn)。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v（6）軟件的登記v軟件使用者在進(jìn)行軟件預(yù)安裝或正式安裝的同時(shí)，v還應(yīng)該負(fù)責(zé)更新軟件登記數(shù)據(jù)庫(kù)（該數(shù)據(jù)庫(kù)應(yīng)在建立軟件管理系統(tǒng)時(shí)建立），記錄預(yù)安裝軟件的情況。v在軟件登記數(shù)據(jù)庫(kù)中，應(yīng)該記錄下列數(shù)據(jù)：v 軟件的出版者、軟件的名稱(chēng)、軟件的版本和軟件的系列號(hào)；v 軟件的許可證和軟件介質(zhì)存放的地方；v 軟件使用者的姓名、合同細(xì)節(jié)和存放位置；13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v 計(jì)算機(jī)的財(cái)產(chǎn)編號(hào)，即安裝軟件的計(jì)算機(jī)

15、機(jī)構(gòu)編號(hào)；v 裝載軟件者的姓名和裝載軟件的日期；v 其他相關(guān)信息。v用該數(shù)據(jù)庫(kù)來(lái)進(jìn)行軟件管理，當(dāng)發(fā)生軟件糾紛時(shí)，可以以該數(shù)據(jù)庫(kù)中的數(shù)據(jù)作為依據(jù)，進(jìn)行調(diào)解和處理。v所以該數(shù)據(jù)庫(kù)是軟件管理中的重要部分，必須得到妥善的保護(hù)。 13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v（7）避免采購(gòu)不合法的軟件v在采購(gòu)軟件時(shí)，必須杜絕采購(gòu)不合法的軟件。如何避免采購(gòu)不合法的軟件，可注意以下幾點(diǎn)：v 從聲譽(yù)較好的軟件提供商處購(gòu)買(mǎi)軟件；v 要求軟件提供商提供一份書(shū)面的報(bào)價(jià)單，報(bào)價(jià)單上應(yīng)列舉出軟件所需要的硬件配置、軟件的技術(shù)規(guī)范和版本號(hào)；v 注意軟件提供商報(bào)出的價(jià)格，價(jià)格太便宜的有可能是盜版軟件；13.1.

16、3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v 需要軟件提供商提供一張附有詳細(xì)目錄的發(fā)票；v 檢查軟件提供商是否具有銷(xiāo)售軟件的軟件特許證明，保證購(gòu)買(mǎi)的軟件的合法性；v 不允許軟件提供商在非特殊情況下直接將軟件裝入到計(jì)算機(jī)內(nèi)；v 軟件必須經(jīng)過(guò)一段試用后才可正式購(gòu)買(mǎi)； 13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏 3v 如果可能，應(yīng)使用從軟件生產(chǎn)商建議的軟件提供商處購(gòu)買(mǎi)軟件。v當(dāng)訂購(gòu)的軟件送到軟件收貨點(diǎn)以后，應(yīng)該對(duì)送來(lái)的軟件進(jìn)行檢查，以阻止任何非訂購(gòu)的軟件進(jìn)入軟件收貨點(diǎn)，這對(duì)防止任何非訂購(gòu)軟件或破壞性軟件的進(jìn)入十分重要。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v

17、另外一些軟件可能有特殊的需要，因此妥善地儲(chǔ)藏軟件v以保證購(gòu)買(mǎi)的軟件不會(huì)收到潮濕的條件、磁場(chǎng)、靜電等物理環(huán)境的損害是十分重要的。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v3軟件安全檢測(cè)與驗(yàn)收軟件安全檢測(cè)與驗(yàn)收v軟件安全檢測(cè)的目的是為了發(fā)現(xiàn)軟件的安全隱患，并針對(duì)安全隱患對(duì)現(xiàn)行軟件進(jìn)行必要的改進(jìn)，確保軟件的安全。v一般說(shuō)來(lái)，一旦軟件安裝到計(jì)算機(jī)上，有關(guān)人員就應(yīng)該對(duì)該計(jì)算機(jī)所安裝的軟件定期進(jìn)行檢查，v將檢查的結(jié)果記錄下來(lái)，并根據(jù)檢查結(jié)果，更新該單位的軟件登記數(shù)據(jù)庫(kù)。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v在任何單位內(nèi)部都會(huì)發(fā)生工作人員流動(dòng)的情況，軟件管理部門(mén)應(yīng)該隨

18、時(shí)了解這種情況，否則將會(huì)產(chǎn)生混亂。v如果使用軟件單位可能受到惡意的攻擊，則應(yīng)該安裝掃描設(shè)備，對(duì)包裝內(nèi)的物品（如軟件介質(zhì)）進(jìn)行檢查、處理。v在任何情況下，應(yīng)該對(duì)訂單上所訂購(gòu)的物品與發(fā)貨記錄進(jìn)行核對(duì)，以確保收到所有訂購(gòu)的物品均有正確無(wú)誤的包裝號(hào)。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v當(dāng)對(duì)包裝完成完整性檢驗(yàn)后，應(yīng)通知有關(guān)部門(mén)訂購(gòu)的軟件已經(jīng)到貨。v被通知的部門(mén)應(yīng)該包括：采購(gòu)部門(mén)（以確認(rèn)該訂單不再是未交貨的），會(huì)計(jì)部門(mén)（告訴他們訂購(gòu)的軟件已經(jīng)到貨，同時(shí)應(yīng)提供發(fā)票）；軟件使用部門(mén)（由他們安排軟件的收集和安裝）。v在軟件收貨點(diǎn)進(jìn)行檢測(cè)的過(guò)程應(yīng)該記錄下來(lái)，該記錄是對(duì)軟件管理的第一次記錄，

19、后將會(huì)進(jìn)行一系列更詳細(xì)的記錄。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v在這些記錄中，應(yīng)該記錄下列內(nèi)容：v（1）軟件產(chǎn)品的名稱(chēng)、版本號(hào)和系列號(hào)；v（2）收到的軟件產(chǎn)品的數(shù)量；v（3）軟件出版商的有關(guān)信息；v（4）收到訂購(gòu)軟件的日期；v（5）有關(guān)購(gòu)買(mǎi)合同的詳細(xì)情況（如使用者、使用者所在部門(mén)和軟件功能的等）。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v4軟件安裝工作規(guī)程軟件安裝工作規(guī)程v軟件管理中的關(guān)鍵部分是不讓未被授權(quán)人員進(jìn)行軟件的安裝、移植或刪除。v這一點(diǎn)對(duì)于以微機(jī)為基礎(chǔ)的環(huán)境特別重要，因?yàn)樵谶@個(gè)環(huán)境中，存在如下可能性：軟件可能具有計(jì)算機(jī)病毒或其他惡意的代碼；

20、v軟件的安裝幾乎都是在軟件使用環(huán)境中進(jìn)行的，私自安裝不良的軟件或受限制的程序，可能對(duì)軟件使用環(huán)境中的所有其他用戶(hù)產(chǎn)生很大的影響。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v因此，政策和工作規(guī)程應(yīng)該確保不允許用戶(hù)自行加載沒(méi)有經(jīng)過(guò)批準(zhǔn)的軟件或從網(wǎng)上下載軟件。v這些規(guī)定應(yīng)該嚴(yán)格執(zhí)行，可以采用物理的管理辦法，v例如使用不能移動(dòng)的介質(zhì)驅(qū)動(dòng)器或裝置一個(gè)硬件管制系統(tǒng)，以防止加載未授權(quán)的軟件。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v目前，很多機(jī)構(gòu)對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)服務(wù)依賴(lài)性的增加使它們比較容易受到安全的影響，v很多機(jī)構(gòu)由于商務(wù)貿(mào)易的關(guān)系使他們對(duì)其他計(jì)算機(jī)的訪問(wèn)機(jī)會(huì)增多，

21、也使他們更易受到安全的影響，v因此更應(yīng)該強(qiáng)調(diào)工作人員必須嚴(yán)格執(zhí)行軟件安全政策。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v5軟件安全管理環(huán)境軟件安全管理環(huán)境v為了建立良好的軟件安全管理環(huán)境，高級(jí)管理人員應(yīng)該做到：v確定需要實(shí)施的良好的安全管理措施，并促使有關(guān)人員接受這些觀念和措施；v制定符合安全需要的政策、規(guī)程和工作細(xì)則，供管理人員使用。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v沒(méi)有成文的有關(guān)軟件的安全政策和詳細(xì)規(guī)定將產(chǎn)生下列缺陷：v（1）管理層不能?chē)?yán)肅地對(duì)待軟件安全問(wèn)題；v（2）不能確保工作人員一定擁有有關(guān)軟件安全的文件；v（3）不能保證對(duì)所采取的保護(hù)軟件安

22、全的行動(dòng)進(jìn)行有效的監(jiān)督；v（4）沒(méi)有供工作人員和軟件使用者的安全規(guī)定；v（5）沒(méi)有可以實(shí)施的安全標(biāo)準(zhǔn)；v（6）當(dāng)發(fā)生違背軟件安全政策、侵犯公司利益的行為時(shí)，很難采取紀(jì)律措施。13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏軟件的選型、購(gòu)置與儲(chǔ)藏v每一個(gè)工作人員包括臨時(shí)工和合同工都應(yīng)樹(shù)立必須遵守安全政策的觀念，并有義務(wù)遵守安全政策。v安全政策中必須說(shuō)明工作人員可以做或不可以做的事，并要求他們簽字確認(rèn)，且把這些內(nèi)容作為聘用工作人員的合同的組成部分。 13.1.4 軟件安全檢測(cè)方法軟件安全檢測(cè)方法v一般在正式加載軟件前，用戶(hù)應(yīng)該對(duì)該軟件進(jìn)行檢驗(yàn)或試驗(yàn)，以確定該軟件與常見(jiàn)的應(yīng)用軟件、其他常用的軟件之間的相容性。v

23、在更新、升級(jí)之前，也應(yīng)該進(jìn)行這種安全性的預(yù)驗(yàn)收。這種檢驗(yàn)可以用雙份比較法來(lái)進(jìn)行。v雙份比較法是將軟件在計(jì)算機(jī)中安裝兩份，正常狀態(tài)下只運(yùn)行一份，另一份留著做備份。 13.1.4 軟件安全檢測(cè)方法軟件安全檢測(cè)方法v當(dāng)正在運(yùn)行的軟件出問(wèn)題影響計(jì)算機(jī)系統(tǒng)安全時(shí)，運(yùn)行備份軟件，將兩者的結(jié)果進(jìn)行比較。v如果備份軟件的運(yùn)行結(jié)果影響計(jì)算機(jī)系統(tǒng)安全，就說(shuō)明該軟件確實(shí)存在導(dǎo)致計(jì)算機(jī)系統(tǒng)故障的隱患；v檢測(cè)軟件安全的另一種方法是使用軟件安全設(shè)置支持系統(tǒng)檢測(cè)軟件是否存在安全隱患。 13.1.4 軟件安全檢測(cè)方法軟件安全檢測(cè)方法v軟件安全設(shè)置支持系統(tǒng)對(duì)軟件安全隱患自動(dòng)進(jìn)行測(cè)試，并找出軟件中存在的潛在問(wèn)題。v一個(gè)能夠有效地

24、進(jìn)行軟件安全檢測(cè)的系統(tǒng)應(yīng)該具備以下功能：v（1）自動(dòng)生成測(cè)試數(shù)據(jù)；v（2）能夠以人機(jī)對(duì)話方式進(jìn)行軟件安全性能的測(cè)試；v（3）能夠提供相應(yīng)的模擬程序；v（4）能夠提供多種方式自動(dòng)查詢(xún)和比較不同方案的實(shí)施結(jié)果；v（5）使進(jìn)行的測(cè)試標(biāo)準(zhǔn)化和自動(dòng)化，并能夠?qū)y(cè)試結(jié)果自動(dòng)進(jìn)行分析。 13.1.5 軟件安全跟蹤與報(bào)告軟件安全跟蹤與報(bào)告v由于計(jì)算機(jī)數(shù)量的劇增，軟件價(jià)格昂貴及軟件的可攜帶性，軟件跟蹤自然成為軟件管理的一個(gè)關(guān)鍵內(nèi)容。v軟件生產(chǎn)商和軟件供應(yīng)商所進(jìn)行的軟件跟蹤的目的、方法與軟件使用者所進(jìn)行的系統(tǒng)或單位中進(jìn)行的軟件跟蹤的目的、方法不完全相同。v這里介紹的軟件跟蹤主要是指軟件使用者在指定的系統(tǒng)或單位中進(jìn)

25、行的軟件跟蹤， 13.1.5 軟件安全跟蹤與報(bào)告軟件安全跟蹤與報(bào)告v對(duì)于軟件使用者來(lái)說(shuō)，軟件的跟蹤主要是通過(guò)良好的軟件版本管理來(lái)實(shí)現(xiàn)的。v為了進(jìn)行軟件管理與軟件跟蹤，計(jì)算機(jī)系統(tǒng)應(yīng)該指定一名技術(shù)官員v負(fù)責(zé)向上級(jí)主管部門(mén)提交本機(jī)構(gòu)遵守軟件管理政策和實(shí)施軟件管理情況的報(bào)告，v同時(shí)對(duì)軟件的使用情況進(jìn)行管理和跟蹤。 13.1.5 軟件安全跟蹤與報(bào)告軟件安全跟蹤與報(bào)告v他們負(fù)責(zé)組織和完善對(duì)系統(tǒng)所擁有的有效特許的各種軟件的拷貝目錄和拷貝數(shù)量，檢查和清點(diǎn)以下內(nèi)容：v（1）銷(xiāo)毀或刪除超出有效特許所規(guī)定的擁有的數(shù)量以外的拷貝。v（2）建立和保存適當(dāng)?shù)奈臋n來(lái)記錄首次和每年軟件管理和清理的結(jié)果，并在以后跟蹤新增加的軟

26、件的拷貝安裝與使用，存入檔案，并將新增加的所有軟件的特許證明文件放在一起。 13.1.5 軟件安全跟蹤與報(bào)告軟件安全跟蹤與報(bào)告 5v（3）將所有的軟件購(gòu)置申請(qǐng)集中起來(lái)。v（4）對(duì)安全系統(tǒng)所使用的計(jì)算機(jī)定期進(jìn)行檢查，以保證系統(tǒng)所使用的軟件的合法性和安全性，并檢查文檔的完整性和正確性。v（5）為機(jī)構(gòu)所有的工作人員制定培訓(xùn)計(jì)劃以進(jìn)行必須使用合法軟件的教育，并對(duì)不使用合法軟件的行為進(jìn)行處罰。v（6）建立一套有效的接口程序，以確保計(jì)算機(jī)軟件得到的正當(dāng)管理使用和處置軟件的政策和程序，尊重軟件的知識(shí)產(chǎn)權(quán)，以確保計(jì)算機(jī)系統(tǒng)使用合法的計(jì)算機(jī)軟件。 13.1.6 軟件版本控制軟件版本控制v軟件版本控制是指對(duì)軟件的

27、選型、購(gòu)買(mǎi)、保存、存取和更新升級(jí)等情況進(jìn)行記錄、存檔，并定期對(duì)軟件版本進(jìn)行檢查。v軟件版本控制的目的是保證所用的軟件的合法性和安全性；保證所用的軟件都是正版軟件；保證軟件運(yùn)行過(guò)程中不會(huì)發(fā)生故障和軟件錯(cuò)誤。v計(jì)算機(jī)系統(tǒng)的高層管理人員必須定期參與版本控制活動(dòng)。版本控制對(duì)計(jì)算機(jī)軟件的開(kāi)發(fā)和應(yīng)用有很大幫助。 13.1.6 軟件版本控制軟件版本控制v1軟件版本控制規(guī)程軟件版本控制規(guī)程v要進(jìn)行軟件版本控制，必須按照軟件版本控制規(guī)程進(jìn)行。該規(guī)程主要規(guī)定以下內(nèi)容：v（1）版本的構(gòu)成方法；v（2）軟件的標(biāo)識(shí)方法；v（3）軟件的購(gòu)置、存取、審批權(quán)限及其手續(xù)；v（4）版本管理人員的職責(zé)；v（5）版本升級(jí)、更新的審批

28、權(quán)限及其手續(xù)；v（6）定期審查版本的有效性和一致性。 13.1.6 軟件版本控制軟件版本控制v2進(jìn)行軟件版本控制應(yīng)具備的條件進(jìn)行軟件版本控制應(yīng)具備的條件v為了保證版本控制能正常進(jìn)行，必須具備以下條件：v（1）配備專(zhuān)門(mén)負(fù)責(zé)軟件版本控制的工作人員；v（2）為負(fù)責(zé)軟件版本控制的專(zhuān)職人員和所有有關(guān)人員提供必要的工作環(huán)境、版本控制工具等。v（3）對(duì)負(fù)責(zé)軟件版本控制的專(zhuān)職人員和所有有關(guān)人員進(jìn)行必要的有關(guān)軟件版本控制的培訓(xùn)，并提供相關(guān)的軟件。 13.1.6 軟件版本控制軟件版本控制v3軟件版本控制的實(shí)施軟件版本控制的實(shí)施v在開(kāi)始進(jìn)行軟件版本控制時(shí)，必須收集本單位全部計(jì)算機(jī)所裝全部軟件、v所有的使用這些軟件的

29、特許協(xié)議的原件及與這些軟件有關(guān)的證明文件。v在以后定期檢查軟件版本時(shí)，應(yīng)該完成以下工作：v（1）查明計(jì)算機(jī)上加載的全部軟件；v（2）查明并清除計(jì)算機(jī)加載的非法軟件和不予支持的軟件；v（3）查明并清除計(jì)算機(jī)上加載的違反版本法和特許協(xié)議的軟件；v（4）查明并清除本系統(tǒng)不予支持的軟件。 13.1.6 軟件版本控制軟件版本控制v4軟件標(biāo)識(shí)軟件標(biāo)識(shí)v為了對(duì)軟件的版本進(jìn)行控制，應(yīng)對(duì)所有的軟件進(jìn)行標(biāo)識(shí)。v軟件標(biāo)識(shí)是指對(duì)各種軟件成分，即源代碼、目標(biāo)代碼、可執(zhí)行代碼以及各種文檔進(jìn)行標(biāo)識(shí)。v要求軟件中所有被標(biāo)識(shí)的成分都是惟一的，并且是清晰的。 13.1.6 軟件版本控制軟件版本控制v軟件的狀態(tài)報(bào)告應(yīng)該包括軟件成分

30、的標(biāo)識(shí)符、當(dāng)前的版本號(hào)、軟件的生成日期和生產(chǎn)者等。v若軟件已經(jīng)更新，則應(yīng)寫(xiě)明進(jìn)行更新的日期、更新的原因和進(jìn)行更新的人員等。v5軟件處理軟件處理v一個(gè)單位要保護(hù)它所用軟件的安全，則軟件處理過(guò)程將是它必須做的最后一項(xiàng)工作，v要保證正確地進(jìn)行這項(xiàng)工作，并使這項(xiàng)工作受到控制和監(jiān)督，v這項(xiàng)工作就應(yīng)該包括在軟件安全管理的檢查計(jì)劃之內(nèi)。v因?yàn)樘幚聿缓?，就可能將隱患的巨大危險(xiǎn)引發(fā)出來(lái)。 13.1.6 軟件版本控制軟件版本控制v當(dāng)不再需要該軟件時(shí)，首先應(yīng)該從計(jì)算機(jī)中卸載該軟件，以確保該軟件不致丟失并釋放所占的計(jì)算機(jī)硬盤(pán)空間。v當(dāng)進(jìn)行這項(xiàng)工作時(shí)，應(yīng)該在軟件登記數(shù)據(jù)庫(kù)中進(jìn)行記錄，以顯示該軟件已被卸載。v當(dāng)該軟件從計(jì)

31、算機(jī)中卸載完畢后，應(yīng)該再進(jìn)行一次檢查，以確保該軟件確已從計(jì)算機(jī)中卸載。 13.1.6 軟件版本控制軟件版本控制v假如決定要處理軟件，則應(yīng)該把處理情況寫(xiě)成文字材料，并更新軟件登記數(shù)據(jù)庫(kù)，v原來(lái)的介質(zhì)和特許文件應(yīng)該從特許數(shù)據(jù)庫(kù)記錄儲(chǔ)存的介質(zhì)中取出，并加以銷(xiāo)毀；v假定已決定要出售所用軟件，則必須事先征得軟件版權(quán)所有者的同意，v得到版權(quán)所有者的批準(zhǔn)書(shū)，然后將原來(lái)的特許和介質(zhì)同時(shí)交給新的軟件擁有者。 13.1.7 軟件使用與維護(hù)軟件使用與維護(hù)v目前，由于我國(guó)的軟件研制和開(kāi)發(fā)還缺乏科學(xué)化制度，v也就是說(shuō)軟件的研制和開(kāi)發(fā)技術(shù)尚未完全成熟，再加上軟件的研制和開(kāi)發(fā)還缺乏一套科學(xué)的管理制度，v因此開(kāi)發(fā)出來(lái)的軟件可

32、能會(huì)存在軟件錯(cuò)誤。v所以，在軟件使用過(guò)程中特別要注意下面介紹的一些問(wèn)題，以便進(jìn)行軟件的維護(hù)工作。 13.1.7 軟件使用與維護(hù)軟件使用與維護(hù)v1軟件錯(cuò)誤軟件錯(cuò)誤v軟件錯(cuò)誤是指由于軟件中存在的缺陷，使軟件的部分或全部功能中斷或失敗。v造成軟件錯(cuò)誤的原因主要是由于在軟件設(shè)計(jì)過(guò)程中，軟件提供者對(duì)于用戶(hù)的要求理解得不確切、不完善，v對(duì)軟件實(shí)現(xiàn)目標(biāo)的方法、方式考慮不周到。v軟件錯(cuò)誤可分為設(shè)計(jì)、編制和調(diào)試中發(fā)生的錯(cuò)誤及在軟件移植、修改過(guò)程中發(fā)生的錯(cuò)誤。 13.1.7 軟件使用與維護(hù)軟件使用與維護(hù)v軟件錯(cuò)誤的來(lái)源有以下兩種：v（1）設(shè)計(jì)、編寫(xiě)代碼和調(diào)試過(guò)程中發(fā)生的錯(cuò)誤；v（2）軟件移植、軟件修改過(guò)程中發(fā)生的

33、錯(cuò)誤。v軟件錯(cuò)誤是使軟件發(fā)生故障的根本原因，軟件錯(cuò)誤有以下基本特征：v（1）再現(xiàn)性。若程序中不含隨機(jī)函數(shù)變量，那么只要包含相同的輸入，錯(cuò)誤就可再現(xiàn)。 13.1.7 軟件使用與維護(hù)軟件使用與維護(hù)v（2）穩(wěn)定性。有些軟件錯(cuò)誤在相當(dāng)長(zhǎng)的時(shí)間內(nèi)具有相對(duì)穩(wěn)定性。除程序中有隨機(jī)變量和函數(shù)外，不可能在某時(shí)刻表現(xiàn)為這個(gè)錯(cuò)誤，在另一時(shí)刻表現(xiàn)為那個(gè)錯(cuò)誤或無(wú)錯(cuò)。v（3）波動(dòng)性。波動(dòng)性是指程序中某處錯(cuò)誤對(duì)程序的某個(gè)地方有影響，可以傳播到其他地方影響其他程序。v（4）可傳播性。在程序中某處可以有目的地安排一些可以產(chǎn)生系統(tǒng)錯(cuò)誤的程序段，讓它在特定的條件或特定的時(shí)間產(chǎn)生程序錯(cuò)誤，這就是人們常說(shuō)的“特洛伊木馬”法、邏輯炸彈法

34、。v（5）可分類(lèi)性。任一錯(cuò)誤對(duì)某種特性總是存在某種程序的類(lèi)屬關(guān)系，這就決定了軟件的可分類(lèi)性。 13.1.7 軟件使用與維護(hù)軟件使用與維護(hù)v（6）可發(fā)現(xiàn)性。一切軟件錯(cuò)誤遲早會(huì)被發(fā)現(xiàn)的，或者在程序開(kāi)發(fā)過(guò)程中發(fā)現(xiàn)，或者利用精心設(shè)計(jì)的測(cè)試程序加以發(fā)現(xiàn)，也可能在實(shí)現(xiàn)運(yùn)行中發(fā)現(xiàn)。v（7）可掩蓋性。若出現(xiàn)兩個(gè)以上的條件，那么當(dāng)分支一發(fā)生錯(cuò)誤，就可以抑制程序其他地方的錯(cuò)誤，或程序中某處的致命錯(cuò)誤導(dǎo)致系統(tǒng)非正常中止而屏蔽了后續(xù)程序中的錯(cuò)誤。 13.1.7 軟件使用與維護(hù)軟件使用與維護(hù) 9v（8）負(fù)載特性。在負(fù)載增加時(shí)，錯(cuò)誤出現(xiàn)的頻率便增加。有些錯(cuò)誤則只在高負(fù)載時(shí)發(fā)生。高負(fù)載比低負(fù)載更容易使系統(tǒng)發(fā)生故障。v（9）

35、危害向?qū)?。有的軟件錯(cuò)誤可以容忍、可以默認(rèn)，有的軟件錯(cuò)誤卻嚴(yán)重到導(dǎo)致系統(tǒng)崩潰。v（10）隨機(jī)發(fā)生性。有些軟件錯(cuò)誤的出現(xiàn)具有很大的隨機(jī)突發(fā)性，這往往是由于軟件存在多處錯(cuò)誤所致。 13.1.7 軟件使用與維護(hù)軟件使用與維護(hù)v2惡意代碼惡意代碼v惡意代碼可以通過(guò)網(wǎng)絡(luò)和軟盤(pán)上的文件、軟件入侵系統(tǒng)，v如果不采用適當(dāng)?shù)陌踩胧?，那么可能只有在惡意代碼發(fā)作并報(bào)告后，才能發(fā)現(xiàn)它。v惡意代碼的類(lèi)型有：病毒、蠕蟲(chóng)、特洛伊木馬等，它們可以攜帶在可執(zhí)行軟件、數(shù)據(jù)文件、網(wǎng)頁(yè)上的活動(dòng)內(nèi)容中，v通?？梢酝ㄟ^(guò)軟盤(pán)、便攜式媒體、電子郵件、網(wǎng)絡(luò)下載進(jìn)行傳播。 13.1.7 軟件使用與維護(hù)軟件使用與維護(hù)v通過(guò)以下措施可以有效防止惡

36、意代碼。v（1）掃描裝置。專(zhuān)門(mén)的掃描軟件能檢測(cè)出各種惡意代碼，并能將其消滅。不過(guò)，由于新的惡意代碼不斷出現(xiàn)，因此掃描裝置并不能保證檢測(cè)出所有的惡意代碼。v（2）完整性檢查。在很多時(shí)候，必須采取其他形式的安全措施，以增大掃描裝置所提供的安全性。完整性檢查器是可以用來(lái)防止惡意代碼的技術(shù)性安全措施的有機(jī)組成部分。 13.1.7 軟件使用與維護(hù)軟件使用與維護(hù)v（3）可移動(dòng)媒體的傳遞控制。如果不對(duì)可移動(dòng)媒體的傳遞進(jìn)行控制，就會(huì)使計(jì)算機(jī)系統(tǒng)受惡意代碼攻擊的風(fēng)險(xiǎn)加大。通過(guò)專(zhuān)業(yè)軟件方式和程序上的安全措施對(duì)媒體的傳遞進(jìn)行有效的控制。v（4）管理程序方面的安全措施。應(yīng)為使用人員和管理人員制定指導(dǎo)方針，這些指導(dǎo)方針

37、概括了能使系統(tǒng)被惡意代碼攻擊的可能性降至最低的程序和操作規(guī)定。 13.1.7 軟件使用與維護(hù)軟件使用與維護(hù)v3軟件的可靠性和可維護(hù)性軟件的可靠性和可維護(hù)性v軟件的可靠性是指軟件在特定的條件及規(guī)定的時(shí)間內(nèi)不發(fā)生任何故障且v可以正常地運(yùn)行，完成其規(guī)定的功能，不發(fā)生差錯(cuò)。v軟件的可靠性與軟件錯(cuò)誤、軟件故障和軟件功能無(wú)效等的概率有關(guān)。 13.1.7 軟件使用與維護(hù)軟件使用與維護(hù)v軟件錯(cuò)誤主要發(fā)生在以下幾個(gè)方面：v（1）軟件設(shè)計(jì)、編制和調(diào)試中發(fā)生的錯(cuò)誤；v（2）軟件移植、修改中產(chǎn)生的錯(cuò)誤；v（3）參數(shù)設(shè)置有誤，使算法的結(jié)果不夠精確；v（4）數(shù)據(jù)結(jié)構(gòu)的描述有缺陷造成與程序中所用的數(shù)據(jù)結(jié)構(gòu)不一致；v（5）程

38、序中出現(xiàn)未在測(cè)試條件范圍內(nèi)的斷點(diǎn)； 13.1.7 軟件使用與維護(hù)軟件使用與維護(hù) 13v（6）硬件故障所造成的軟件錯(cuò)誤；v（7）外界或內(nèi)部實(shí)體環(huán)境存在的干擾，造成軟件錯(cuò)誤；v（8）操作系統(tǒng)或應(yīng)用系統(tǒng)環(huán)境發(fā)生變化時(shí)，軟件因不能適應(yīng)變化而出現(xiàn)的錯(cuò)誤；v（9）用戶(hù)操作性錯(cuò)誤造成軟件被破壞或產(chǎn)生操作性錯(cuò)誤。 13.1.7 軟件使用與維護(hù)軟件使用與維護(hù)v軟件的可維護(hù)性是指軟件維護(hù)的難易程度。它與軟件的可理解性、可測(cè)試性和可修改性等因素有關(guān)。v可通過(guò)對(duì)軟件組成部分（即軟件文檔、軟件源代碼和計(jì)算機(jī)支持資源）進(jìn)行綜合評(píng)價(jià)來(lái)評(píng)價(jià)軟件的可維護(hù)性。v軟件維護(hù)任務(wù)可分為改正性維護(hù)、適應(yīng)性維護(hù)和提高性維護(hù)等。v當(dāng)軟件發(fā)生

39、故障時(shí)，首先應(yīng)該分清是系統(tǒng)軟件的故障還是應(yīng)用軟件的故障。 13.2 應(yīng)用系統(tǒng)安全管理應(yīng)用系統(tǒng)安全管理v13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v1應(yīng)用系統(tǒng)分類(lèi)應(yīng)用系統(tǒng)分類(lèi)v根據(jù)系統(tǒng)完成目標(biāo)及類(lèi)型的不同，系統(tǒng)服務(wù)的對(duì)象也不同。應(yīng)用系統(tǒng)主要分為以下幾種類(lèi)型。v（1）業(yè)務(wù)處理系統(tǒng)：業(yè)務(wù)處理系統(tǒng)是支持或替代工作人員完成某種具體工作業(yè)務(wù)所使用的系統(tǒng)，如pos業(yè)務(wù)終端、自動(dòng)柜員機(jī)等，v其處理方式分為批處理和實(shí)時(shí)處理（也叫做聯(lián)機(jī)處理）。13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v（2）職能信息系統(tǒng)：職能信息系統(tǒng)是應(yīng)用于完成部門(mén)職能工作所使用的系統(tǒng)，如市場(chǎng)信息系統(tǒng)、財(cái)務(wù)信息系統(tǒng)等。v（3）組織信息系

40、統(tǒng)：組織信息系統(tǒng)是應(yīng)用于行政管理部門(mén)或某一行業(yè)領(lǐng)域的信息管理系統(tǒng)，如政府機(jī)關(guān)信息系統(tǒng)等。v（4）決策支持系統(tǒng)：決策支持系統(tǒng)是一個(gè)含有知識(shí)型、智能化處理程序的系統(tǒng)，v用于支持、輔助用戶(hù)的決策管理，如專(zhuān)家系統(tǒng)等。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v2應(yīng)用系統(tǒng)開(kāi)發(fā)生命周期應(yīng)用系統(tǒng)開(kāi)發(fā)生命周期v應(yīng)用系統(tǒng)的整個(gè)開(kāi)發(fā)過(guò)程劃分為5個(gè)階段，每個(gè)階段都會(huì)有相應(yīng)的期限，直至系統(tǒng)正式安裝并實(shí)際應(yīng)用。v當(dāng)一個(gè)系統(tǒng)需要進(jìn)行超出維護(hù)概念的應(yīng)用更改時(shí)，會(huì)因設(shè)備更新和新技術(shù)的產(chǎn)生而要求系統(tǒng)重置，v或者用戶(hù)需求的重大改變和調(diào)整，這預(yù)示著原應(yīng)用系統(tǒng)的生命周期趨于結(jié)束。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述

41、v應(yīng)用系統(tǒng)開(kāi)發(fā)生命周期各階段的主要工作如下。v（1）系統(tǒng)規(guī)劃階段：是根據(jù)用戶(hù)的系統(tǒng)開(kāi)發(fā)需求報(bào)告，進(jìn)入用戶(hù)工作的實(shí)體環(huán)境，進(jìn)行初步調(diào)查，明確需求問(wèn)題，v確定系統(tǒng)實(shí)現(xiàn)目標(biāo)和總體結(jié)構(gòu)，合理劃分各個(gè)階段和實(shí)施進(jìn)度，進(jìn)行可行性研究，完成系統(tǒng)的目標(biāo)規(guī)劃報(bào)告。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v（2）系統(tǒng)分析階段：具體任務(wù)是分析用戶(hù)的業(yè)務(wù)工作流程，分析用戶(hù)數(shù)據(jù)信息與流程，分析系統(tǒng)組成功能及數(shù)據(jù)關(guān)系，v提出系統(tǒng)的物理設(shè)計(jì)和邏輯設(shè)計(jì)，完成系統(tǒng)的實(shí)施方案和詳細(xì)的需求分析報(bào)告。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v（3）系統(tǒng)設(shè)計(jì)階段：最終完成系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)、編碼設(shè)計(jì)、數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)、輸入輸

42、出設(shè)計(jì)、模塊結(jié)構(gòu)和功能設(shè)計(jì)，同時(shí)根據(jù)系統(tǒng)的總體設(shè)計(jì)要求，配置系統(tǒng)所需的硬件環(huán)境，完成系統(tǒng)的詳細(xì)技術(shù)設(shè)計(jì)報(bào)告。v（4）系統(tǒng)實(shí)施階段：由程序員進(jìn)行編程工作，用戶(hù)進(jìn)行數(shù)據(jù)準(zhǔn)備，培訓(xùn)用戶(hù)系統(tǒng)管理人員和操作者，投入試運(yùn)行，編制用戶(hù)手冊(cè)，完成系統(tǒng)測(cè)試報(bào)告。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述 17v（5）系統(tǒng)運(yùn)行維護(hù)階段：系統(tǒng)開(kāi)發(fā)者完成系統(tǒng)運(yùn)行最終報(bào)告，同時(shí)提供系統(tǒng)維護(hù)管理技術(shù)及方法，提供系統(tǒng)運(yùn)行安全標(biāo)準(zhǔn)和要求，安裝并啟動(dòng)系統(tǒng)。v用戶(hù)進(jìn)行應(yīng)用系統(tǒng)的日常運(yùn)行管理、評(píng)價(jià)、監(jiān)理、安全等工作，實(shí)時(shí)分析系統(tǒng)運(yùn)行結(jié)果，對(duì)系統(tǒng)進(jìn)行日常維護(hù)和局部調(diào)整。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v3應(yīng)用系

43、統(tǒng)的安全問(wèn)題應(yīng)用系統(tǒng)的安全問(wèn)題v計(jì)算機(jī)應(yīng)用系統(tǒng)在實(shí)際使用中，存在一些潛在的社會(huì)問(wèn)題和道德問(wèn)題。v（1）計(jì)算機(jī)的浪費(fèi)和失誤v計(jì)算機(jī)的浪費(fèi)和失誤是造成計(jì)算機(jī)問(wèn)題的一個(gè)主要原因，也是系統(tǒng)安全管理的一個(gè)方面。v計(jì)算機(jī)浪費(fèi)存在于各類(lèi)用戶(hù)中，會(huì)直接影響用戶(hù)的投入產(chǎn)出效益比。v導(dǎo)致浪費(fèi)的主要原因是用戶(hù)對(duì)應(yīng)用系統(tǒng)和資源的管理不善。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v計(jì)算機(jī)失誤主要是指人為因素造成的系統(tǒng)失敗、錯(cuò)誤和其他與系統(tǒng)有關(guān)的計(jì)算機(jī)問(wèn)題。v（2）計(jì)算機(jī)犯罪v利用計(jì)算機(jī)犯罪比較獨(dú)特，難以防范，它具有雙重性，計(jì)算機(jī)既是犯罪的工具又是犯罪的目標(biāo)。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v（3

44、）信息系統(tǒng)的道德問(wèn)題v信息技術(shù)對(duì)社會(huì)影響所產(chǎn)生的道德問(wèn)題主要涉及隱私問(wèn)題、正確性問(wèn)題和存取權(quán)問(wèn)題等。v在所有這些方面，信息技術(shù)均有有利的一面和不利的一面。v作為管理者或安全負(fù)責(zé)人，應(yīng)當(dāng)使負(fù)面影響降低到最小，而使受益盡量提高。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v道德問(wèn)題和法律問(wèn)題不同，法律問(wèn)題一方面要加強(qiáng)法律觀念教育，一方面要嚴(yán)格按照法律條文執(zhí)行；v道德問(wèn)題只能通過(guò)長(zhǎng)期的潛移默化的教育來(lái)實(shí)現(xiàn)，經(jīng)過(guò)長(zhǎng)期的發(fā)展形成一致觀念后，再通過(guò)立法以法律形式固定下來(lái)。v在處理信息系統(tǒng)以及其他信息技術(shù)所帶來(lái)的道德問(wèn)題時(shí)，有5項(xiàng)道德原則。v 勻稱(chēng)原則：信息系統(tǒng)所采取的新技術(shù)及其他信息技術(shù)所帶來(lái)的利益必

45、須超過(guò)其損壞程度或風(fēng)險(xiǎn)程度。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v 獲許原則：應(yīng)事先知道信息系統(tǒng)所采用的新技術(shù)及其他信息技術(shù)對(duì)社會(huì)及個(gè)人的影響，v不損壞他人利益，并同意接受風(fēng)險(xiǎn)。v 公正原則：必須公平地分配利益，并根據(jù)利益分配的大小，合理地承擔(dān)風(fēng)險(xiǎn)。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v 風(fēng)險(xiǎn)最小原則：即使以上原則均被執(zhí)行接受，信息系統(tǒng)所采用的新技術(shù)及其他信息技術(shù)的實(shí)現(xiàn)也應(yīng)盡可能地避免不必要的風(fēng)險(xiǎn)。v 不沖突原則：是指上述原則的執(zhí)行不能與現(xiàn)行法律發(fā)生沖突或違法。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v4應(yīng)用系統(tǒng)安全管理的實(shí)現(xiàn)應(yīng)用系統(tǒng)安全管理的實(shí)現(xiàn)v應(yīng)用系統(tǒng)安全

46、管理的內(nèi)容主要包括運(yùn)行系統(tǒng)的安全管理（保證計(jì)算機(jī)系統(tǒng)硬件環(huán)境和相關(guān)實(shí)體環(huán)境安全）、v軟件的安全管理（保證系統(tǒng)軟件、開(kāi)發(fā)軟件及其他與系統(tǒng)相關(guān)應(yīng)用軟件的安全）、關(guān)鍵技術(shù)管理（保證系統(tǒng)開(kāi)發(fā)及應(yīng)用關(guān)鍵技術(shù)安全保密）和人員的安全管理。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v應(yīng)用系統(tǒng)安全管理涉及系統(tǒng)的各個(gè)方面，根據(jù)安全管理任務(wù)及管理對(duì)象的不同，系統(tǒng)安全管理又可分為技術(shù)管理和行政管理。v技術(shù)管理主要有運(yùn)行設(shè)備及運(yùn)行系統(tǒng)環(huán)境的安全、軟件應(yīng)用管理、信息密鑰的管理和關(guān)鍵技術(shù)管理。v行政管理主要是指安全組織機(jī)構(gòu)、責(zé)任和監(jiān)督、系統(tǒng)實(shí)現(xiàn)和運(yùn)行安全、規(guī)章制度、人員管理、應(yīng)急計(jì)劃和措施等。 13.2.1 應(yīng)用系統(tǒng)

47、安全概述應(yīng)用系統(tǒng)安全概述v應(yīng)用系統(tǒng)安全管理的主要措施包括安全防范設(shè)施和安全保障機(jī)制，以有效降低系統(tǒng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)，并預(yù)防計(jì)算機(jī)犯罪。v建立安全管理組織，負(fù)責(zé)制定計(jì)算機(jī)信息技術(shù)安全管理制度，v廣泛開(kāi)展計(jì)算機(jī)信息技術(shù)安全教育，定期或不定期進(jìn)行系統(tǒng)安全檢查，保證系統(tǒng)安全運(yùn)行。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v要有專(zhuān)門(mén)的安全防范組織和安全員，同時(shí)建立相應(yīng)的健全的計(jì)算機(jī)系統(tǒng)安全委員會(huì)、安全小組。v安全組織成員應(yīng)當(dāng)由主管領(lǐng)導(dǎo)、公安、保衛(wèi)、計(jì)算機(jī)系統(tǒng)管理、人事、審計(jì)等部門(mén)的工作人員組成，必要時(shí)可聘請(qǐng)相關(guān)部門(mén)的專(zhuān)家參與。v安全組織也可成立專(zhuān)門(mén)的獨(dú)立機(jī)構(gòu)，對(duì)安全組織的成立、成員的變動(dòng)等應(yīng)定期向計(jì)

48、算機(jī)安全監(jiān)察管理部門(mén)報(bào)告。 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全概述v總之，保障系統(tǒng)的安全是一項(xiàng)技術(shù)性相當(dāng)強(qiáng)的管理工作。它集技術(shù)與管理于一體，兩者缺一不可。v根據(jù)計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)家的觀點(diǎn)，技術(shù)和管理的比例為37，即三分技術(shù)，七分管理。v所以，我們既不能脫離技術(shù)，也不能一味地依賴(lài)技術(shù)，不能認(rèn)為只要花大價(jià)錢(qián)安裝最好的軟件，就可以高枕無(wú)憂。 13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v應(yīng)用系統(tǒng)安全的具體含義和側(cè)重點(diǎn)會(huì)隨著使用者或觀察者的角度變化而不斷變化。v從系統(tǒng)開(kāi)發(fā)者的角度來(lái)說(shuō)，應(yīng)用系統(tǒng)安全就是如何保證開(kāi)發(fā)過(guò)程中所應(yīng)遵循的原則是否實(shí)現(xiàn)，是否滿足用戶(hù)的需求。v從用戶(hù)的角度來(lái)說(shuō)，

49、應(yīng)用系統(tǒng)安全就是如何保證有關(guān)用戶(hù)利益的信息在各種訪問(wèn)操作中受到保密性、完整性的保護(hù)。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v應(yīng)用系統(tǒng)安全的本質(zhì)是保護(hù)系統(tǒng)的合法操作和正常運(yùn)行，保護(hù)系統(tǒng)信息內(nèi)容的完整性，v在安全期內(nèi)保證信息在交換、存儲(chǔ)時(shí)不被非法訪問(wèn)，保護(hù)用戶(hù)的利益和隱私。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v安全管理機(jī)構(gòu)是系統(tǒng)啟動(dòng)安全管理的基礎(chǔ)，是進(jìn)行系統(tǒng)啟動(dòng)安全管理的重要保證。v1應(yīng)用系統(tǒng)開(kāi)發(fā)管理應(yīng)用系統(tǒng)開(kāi)發(fā)管理v應(yīng)用系統(tǒng)開(kāi)發(fā)的目的是為了創(chuàng)建一個(gè)具有一定性能的計(jì)算機(jī)應(yīng)用系統(tǒng)，用于完成或輔助用戶(hù)的關(guān)鍵任務(wù)，支持用戶(hù)任務(wù)目標(biāo)實(shí)現(xiàn)。13.2.2 系統(tǒng)啟動(dòng)安全審查管理

50、系統(tǒng)啟動(dòng)安全審查管理v應(yīng)用系統(tǒng)開(kāi)發(fā)應(yīng)遵循以下原則：v（1）主管參與。系統(tǒng)的開(kāi)發(fā)是一項(xiàng)復(fù)雜龐大的工作，它涉及各個(gè)方面，包括開(kāi)發(fā)過(guò)程中的安全問(wèn)題，領(lǐng)導(dǎo)組織開(kāi)發(fā)力量并協(xié)調(diào)各方面的關(guān)系，決策開(kāi)發(fā)方案等。v（2）優(yōu)化與創(chuàng)新。系統(tǒng)的開(kāi)發(fā)必須根據(jù)實(shí)際情況分析研究先進(jìn)的管理模式和處理過(guò)程，按科學(xué)管理的具體要求加以?xún)?yōu)化與創(chuàng)新。v（3）充分利用信息資源。減少系統(tǒng)的輸入輸出操作，共享信息資源，深層次開(kāi)發(fā)、加工信息，充分發(fā)揮系統(tǒng)信息的作用。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理 19v（4）實(shí)用和時(shí)效。要求系統(tǒng)開(kāi)發(fā)從方案設(shè)計(jì)到最終應(yīng)用都是實(shí)用的、及時(shí)的、有效的。v（5）規(guī)范化。要求開(kāi)發(fā)按照規(guī)范標(biāo)準(zhǔn)，工

51、程化、結(jié)構(gòu)化的技術(shù)與方法進(jìn)行。v（6）安全控制。要求參與開(kāi)發(fā)人員提高安全意識(shí)，加強(qiáng)保密工作，防止關(guān)鍵技術(shù)、關(guān)鍵信息的泄露，及時(shí)糾正處理開(kāi)發(fā)過(guò)程中存在的違法、違紀(jì)事件。v（7）發(fā)展變化。要求系統(tǒng)開(kāi)發(fā)充分考慮到未來(lái)可能發(fā)生的變化，使系統(tǒng)具有合理的、科學(xué)的發(fā)展性，且具有一定的適應(yīng)性。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v2可行性評(píng)估分析可行性評(píng)估分析v可行性評(píng)估分析是指在當(dāng)前實(shí)體環(huán)境下，應(yīng)用系統(tǒng)開(kāi)發(fā)工作必須具備的資源和條件，評(píng)估其是否滿足系統(tǒng)目標(biāo)的實(shí)現(xiàn)。v應(yīng)用系統(tǒng)開(kāi)發(fā)可行性研究包括目標(biāo)和方案、實(shí)現(xiàn)技術(shù)、經(jīng)濟(jì)投入、社會(huì)影響4個(gè)方面。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管

52、理v可行性評(píng)估分析是應(yīng)用系統(tǒng)實(shí)施安全管理必須遵循的最基本的條件。它包括如下一些內(nèi)容。v（1）目標(biāo)和方案的可行性v目標(biāo)和方案的可行性是指系統(tǒng)目標(biāo)是否明確，是否符合實(shí)際，能否實(shí)現(xiàn)，實(shí)施方案是否切實(shí)可行，v是否滿足用戶(hù)的實(shí)際及發(fā)展要求等，此項(xiàng)研究也就是評(píng)估分析系統(tǒng)的邏輯設(shè)計(jì)。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v（2）實(shí)現(xiàn)技術(shù)方面的可行性v實(shí)現(xiàn)技術(shù)方面的可行性就是根據(jù)目標(biāo)和方案的評(píng)估分析，依據(jù)現(xiàn)有的技術(shù)條件，研究所提出的要求能否達(dá)到。v此項(xiàng)研究完成系統(tǒng)物理設(shè)計(jì)的評(píng)估分析。一般說(shuō)來(lái)，實(shí)現(xiàn)技術(shù)方面的可行性評(píng)估分析包括如下幾個(gè)方面：v 人員和技術(shù)力量：現(xiàn)有人員及技術(shù)力量能否承擔(dān)系統(tǒng)的開(kāi)發(fā)

53、工作，能否利用其他有實(shí)力的開(kāi)發(fā)單位或技術(shù)人員。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v 組織管理：能否合理地組織人、財(cái)、物和技術(shù)進(jìn)行實(shí)施，現(xiàn)有的管理制度、措施能否滿足系統(tǒng)開(kāi)發(fā)的要求。v 計(jì)算機(jī)軟、硬件：計(jì)算機(jī)硬件設(shè)備及相關(guān)實(shí)體環(huán)境、性能指標(biāo)、運(yùn)行安全能否保障，v能否充分發(fā)揮效益，各種軟件是否安全可靠，開(kāi)發(fā)及使用技術(shù)能否掌握等。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v（3）社會(huì)及經(jīng)濟(jì)可行性v社會(huì)方面的可行性是指一些社會(huì)各方面的因素或者人的因素對(duì)應(yīng)用系統(tǒng)的影響，如法律條例、管理制度、安全保密等，v經(jīng)濟(jì)方面的可行性評(píng)價(jià)項(xiàng)目在財(cái)務(wù)上是否有意義，評(píng)價(jià)其實(shí)現(xiàn)所帶來(lái)的經(jīng)濟(jì)利益

54、。v（4）操作和進(jìn)度可行性v操作可行性主要是通過(guò)邏輯和主觀上的考慮，評(píng)價(jià)項(xiàng)目能否實(shí)施于客觀現(xiàn)實(shí)中；v進(jìn)度可行性評(píng)價(jià)項(xiàng)目完成所要求的合理時(shí)間期限。 13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v3項(xiàng)目管理項(xiàng)目管理v項(xiàng)目管理是在項(xiàng)目實(shí)施過(guò)程中實(shí)現(xiàn)其計(jì)劃、組織、人員及相關(guān)數(shù)據(jù)的管理與配置，v進(jìn)行項(xiàng)目運(yùn)行狀態(tài)的監(jiān)視，完成計(jì)劃的反饋。v項(xiàng)目管理是建立在開(kāi)發(fā)過(guò)程管理基礎(chǔ)之上的一種管理。v項(xiàng)目管理應(yīng)建立科學(xué)的管理模型，利用模型反映提供開(kāi)發(fā)過(guò)程活動(dòng)的狀態(tài)信息。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v項(xiàng)目管理即對(duì)系統(tǒng)的項(xiàng)目組織進(jìn)行管理，包括項(xiàng)目自身信息的定義、修改以及與項(xiàng)目相關(guān)的信息，

55、如狀態(tài)、組織等信息的管理。v項(xiàng)目管理模型的組成包括目標(biāo)和任務(wù)的描述、研制階段的狀態(tài)，項(xiàng)目管理模型應(yīng)提供人員、項(xiàng)目研制開(kāi)發(fā)過(guò)程。v項(xiàng)目管理包括如下基本內(nèi)容：v（1）項(xiàng)目范圍管理v是為了實(shí)現(xiàn)項(xiàng)目的目標(biāo)，對(duì)項(xiàng)目的工作內(nèi)容進(jìn)行控制的管理過(guò)程。它包括范圍的界定，范圍的規(guī)劃，范圍的調(diào)整等。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v（2）項(xiàng)目時(shí)間管理v是為了確保項(xiàng)目最終的按時(shí)完成的一系列管理過(guò)程。它包括具體活動(dòng)界定，活動(dòng)排序，時(shí)間估計(jì)，進(jìn)度安排及時(shí)間控制等項(xiàng)工作。v（3）項(xiàng)目成本管理v是為了保證完成項(xiàng)目的實(shí)際成本、費(fèi)用不超過(guò)預(yù)算成本、費(fèi)用的管理過(guò)程。它包括資源的配置，成本、費(fèi)用的預(yù)算以及費(fèi)用的

56、控制等工作。v（4）項(xiàng)目質(zhì)量管理v是為了確保項(xiàng)目達(dá)到客戶(hù)所規(guī)定的質(zhì)量要求所實(shí)施的一系列管理過(guò)程。它包括質(zhì)量規(guī)劃，質(zhì)量控制和質(zhì)量保證等。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v（5）人力資源管理v是為了保證所有項(xiàng)目關(guān)系人的能力和積極性都得到最有效地發(fā)揮和利用所做的一系列管理措施。它包括組織的規(guī)劃、團(tuán)隊(duì)的建設(shè)、人員的選聘和項(xiàng)目的班子建設(shè)等一系列工作。v（6）項(xiàng)目溝通管理v是為了確保項(xiàng)目的信息的合理收集和傳輸所需要實(shí)施的一系列措施，它包括溝通規(guī)劃，信息傳輸和進(jìn)度報(bào)告等。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v（7）項(xiàng)目風(fēng)險(xiǎn)管理v涉及項(xiàng)目可能遇到各種不確定因素。它包括風(fēng)

57、險(xiǎn)識(shí)別，風(fēng)險(xiǎn)量化，制訂對(duì)策和風(fēng)險(xiǎn)控制等。v（8）項(xiàng)目采購(gòu)管理v是為了從項(xiàng)目實(shí)施組織之外獲得所需資源或服務(wù)所采取的一系列管理措施。它包括采購(gòu)計(jì)劃，采購(gòu)與征購(gòu)，資源的選擇以及合同的管理等項(xiàng)目工作。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理 23v（9）項(xiàng)目集成管理v是指為確保項(xiàng)目各項(xiàng)工作能夠有機(jī)地協(xié)調(diào)和配合所展開(kāi)的綜合性和全局性的項(xiàng)目管理工作和過(guò)程。v它包括項(xiàng)目集成計(jì)劃的制定，項(xiàng)目集成計(jì)劃的實(shí)施，項(xiàng)目變動(dòng)的總體控制等。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v4加強(qiáng)系統(tǒng)開(kāi)發(fā)可靠性管理加強(qiáng)系統(tǒng)開(kāi)發(fā)可靠性管理v加強(qiáng)系統(tǒng)開(kāi)發(fā)可靠性主要是在系統(tǒng)開(kāi)發(fā)的各個(gè)環(huán)節(jié)中，建立以可靠性為核心

58、的質(zhì)量標(biāo)準(zhǔn)。v這個(gè)質(zhì)量標(biāo)準(zhǔn)包括實(shí)現(xiàn)的功能、可靠性、可維護(hù)性、可移植性、安全性和吞吐率等。v質(zhì)量標(biāo)準(zhǔn)要求在軟件項(xiàng)目規(guī)劃和需求分析階段就要建立。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v根據(jù)檢測(cè)系統(tǒng)的目標(biāo)及結(jié)果，也可將質(zhì)量標(biāo)準(zhǔn)分為動(dòng)態(tài)和靜態(tài)兩種。v靜態(tài)質(zhì)量通過(guò)審查開(kāi)發(fā)過(guò)程的成果來(lái)確認(rèn)，主要包括設(shè)計(jì)結(jié)構(gòu)化程度、運(yùn)行及操作簡(jiǎn)易程度、結(jié)果完整程度等內(nèi)容。v動(dòng)態(tài)質(zhì)量是通過(guò)檢測(cè)運(yùn)行狀況來(lái)確認(rèn)的質(zhì)量，主要包括平均故障間隔時(shí)間、軟件故障修復(fù)時(shí)間、可用資源的利用率和系統(tǒng)運(yùn)行安全保障率等。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v根據(jù)系統(tǒng)開(kāi)發(fā)確定的質(zhì)量標(biāo)準(zhǔn)，開(kāi)發(fā)過(guò)程管理首先要明確劃分各開(kāi)

59、發(fā)階段，并通過(guò)實(shí)時(shí)質(zhì)量檢測(cè)來(lái)確保差錯(cuò)能及時(shí)排除，保證各階段開(kāi)發(fā)的質(zhì)量；v其次，在各開(kāi)發(fā)過(guò)程中實(shí)施嚴(yán)格的進(jìn)度管理，撰寫(xiě)階段質(zhì)量評(píng)價(jià)報(bào)告，根據(jù)評(píng)價(jià)報(bào)告及現(xiàn)實(shí)反映出的情況進(jìn)一步調(diào)整質(zhì)量標(biāo)準(zhǔn)。v在建立質(zhì)量標(biāo)準(zhǔn)之后，應(yīng)設(shè)計(jì)質(zhì)量報(bào)告及評(píng)價(jià)表，同時(shí)要求在整個(gè)開(kāi)發(fā)過(guò)程中嚴(yán)格實(shí)施并及時(shí)做出質(zhì)量評(píng)價(jià)，填寫(xiě)報(bào)告表。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v對(duì)影響質(zhì)量的管理、實(shí)現(xiàn)和驗(yàn)證工作的所有人員，v特別是對(duì)需獨(dú)立行使權(quán)力開(kāi)展下述工作的人員應(yīng)規(guī)定其職責(zé)，這些工作包括：v（1）采取措施，防止出現(xiàn)不合格產(chǎn)品；v（2）確認(rèn)和記錄產(chǎn)品質(zhì)量問(wèn)題；v（3）確認(rèn)規(guī)定的渠道，提出、采取或推薦解決辦法；v（4）驗(yàn)證解決

60、辦法的實(shí)施效果；v（5）對(duì)不合格產(chǎn)品的進(jìn)一步加工、交付或安裝采取必要的控制措施，直到缺陷或不滿意的情況得到糾正。13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v5應(yīng)用軟件開(kāi)發(fā)中面臨的問(wèn)題及解決方法應(yīng)用軟件開(kāi)發(fā)中面臨的問(wèn)題及解決方法v（1）軟件開(kāi)發(fā)中面臨的問(wèn)題v 在有限的時(shí)間、資金內(nèi)，要滿足不斷增長(zhǎng)的軟件產(chǎn)品質(zhì)量要求；v 開(kāi)發(fā)的環(huán)境日益復(fù)雜，代碼共享日益困難，需跨越的平臺(tái)增多；13.2.2 系統(tǒng)啟動(dòng)安全審查管理系統(tǒng)啟動(dòng)安全審查管理v 程序的規(guī)模越來(lái)越大；v 軟件的重用性需要提高；v 軟件的維護(hù)越來(lái)越困難。v（2）解決方法v要解決軟件開(kāi)發(fā)過(guò)程中的諸多問(wèn)題，v目前業(yè)界認(rèn)可的方法即是采用工程學(xué)