信息系統(tǒng)的安全與運行維護培訓(xùn)教材

信息系統(tǒng)安全與運行維護信息系統(tǒng)的安全與運行維護培訓(xùn)教材第1頁一、信息系統(tǒng)安全管理二、系統(tǒng)轉(zhuǎn)換與信息系統(tǒng)運行組織三、信息系統(tǒng)運行制度

四、信息系統(tǒng)維護與升級

主要內(nèi)容中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第2頁一、信息系統(tǒng)安全管理中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第3頁信息系統(tǒng)安全定義：

指采取技術(shù)和非技術(shù)伎倆，經(jīng)過對信息系統(tǒng)建設(shè)中安全設(shè)計和運行中安全管理，使運行在計算機網(wǎng)絡(luò)中信息系統(tǒng)有保護，沒有危險。中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第4頁數(shù)據(jù)輸入、輸出、存取與備份，源程序以及應(yīng)用軟件、數(shù)據(jù)庫、操作系統(tǒng)等方面漏洞或缺點硬件、通信部分漏洞、缺點或者是遺失電磁輻射環(huán)境保障系統(tǒng)企業(yè)內(nèi)部人原因軟件非法復(fù)制“黑客”計算機病毒經(jīng)濟(信息)間諜等

2.影響系統(tǒng)安全常見原因中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第5頁物理實體安全設(shè)計硬件系統(tǒng)和通信網(wǎng)絡(luò)安全設(shè)計軟件系統(tǒng)和數(shù)據(jù)安全設(shè)計等3.信息系統(tǒng)安全設(shè)計中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第6頁(1)物理實體安全環(huán)境設(shè)計盡管信息系統(tǒng)分散在各個科室、部門，但服務(wù)器普通集中在某個較安全地方(機房或中心機房)機房分級管理中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第7頁信息系統(tǒng)機房規(guī)劃要考慮安全技術(shù)要求：

合理規(guī)劃中心機房與各科室、車間機房位置對出入機房進行控制機房應(yīng)進行一定內(nèi)部裝修選擇適當其它設(shè)備和輔助材料安裝空調(diào)系統(tǒng)防火、防水防磁防靜電防電磁波干擾和泄露電源中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第8頁（2）軟件和數(shù)據(jù)安全設(shè)計

軟件是確保信息系統(tǒng)正常運行、促進信息技術(shù)普及應(yīng)用主要原因和伎倆。數(shù)據(jù)是信息系統(tǒng)中心，數(shù)據(jù)安全管理是信息系統(tǒng)安全關(guān)鍵。怎樣確保它們安全？ 選擇安全可靠操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng) 設(shè)計、開發(fā)安全可靠應(yīng)用程序 信息系統(tǒng)中數(shù)據(jù)安全設(shè)計中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第9頁a)選擇安全可靠操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)

選擇一個安全可靠操作系統(tǒng)，是軟件安全中最基本要求。 在進行數(shù)據(jù)庫管理系統(tǒng)選擇時，一定要考慮它本身安全策略和安全能力。

為何政府不采取Win8?中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第10頁b)設(shè)計、開發(fā)安全可靠應(yīng)用程序

安全策略和辦法： 設(shè)置安全保護子程序或存取控制子程序 提升軟件產(chǎn)品標準化、工程化、系列化水平 采取面向?qū)ο箝_發(fā)方法和模塊化思想 采取成熟軟件安全技術(shù)中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第11頁c)信息系統(tǒng)中數(shù)據(jù)安全設(shè)計

方法包含：數(shù)據(jù)存取控制預(yù)防數(shù)據(jù)信息泄漏（如加密）預(yù)防計算機病毒感染和破壞數(shù)據(jù)備份方法等中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第12頁加密

作用：預(yù)防數(shù)據(jù)信息泄漏，保障數(shù)據(jù)秘密性、真實性 抵抗計算機病毒感染破壞

方式：序列密碼（處理單元：一個元素（字母或比特）) 分組密碼（處理單元：一組元素（分組）) 公開密鑰密碼 磁盤文件數(shù)據(jù)信息加密中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第13頁數(shù)據(jù)備份

作用：備份數(shù)據(jù)，以備意外情況下恢復(fù)數(shù)據(jù)

注意：數(shù)據(jù)備份應(yīng)登記，妥善保管，預(yù)防被盜，預(yù)防被破壞，預(yù)防被誤用。主要數(shù)據(jù)備份定時檢驗，定時復(fù)制，確保備份數(shù)據(jù)完整性、使用性和時效性。

方法：全盤備份增量備份基本備份中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第14頁(3)硬件系統(tǒng)和通信網(wǎng)絡(luò)安全設(shè)計硬件安全（芯片、硬件備份、凈化電源、電磁屏蔽、…)網(wǎng)絡(luò)安全（防火墻、防竊聽、…)中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第15頁（1）慣用安全技術(shù)：“防火墻”軟件或設(shè)備實時網(wǎng)絡(luò)審計跟蹤工具或入侵檢測軟件采取安全傳輸層協(xié)議(SecureSocketLayer，SSL)和使用安全超文本傳輸協(xié)議(secureHTTP)采取安全電子交易協(xié)議(SecureElectronicTransaction，SET)和電子數(shù)字署名技術(shù)進行安全交易4、信息系統(tǒng)安全技術(shù)和控制方法中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第16頁

對信息系統(tǒng)施加對應(yīng)控制是確保信息系統(tǒng)安全有效方法，包含物理控制、電子控制、軟件控制和管理控制四種。 （2）安全控制方法中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第17頁

物理控制：門鎖、鍵盤鎖、防火門和積水排除泵。

電子控制：移動傳感器、熱敏傳感器和濕度傳感器。 也可包含諸如標識和指紋、語音與視網(wǎng)膜錄入控制等入侵者檢驗與生物進入控制。

軟件控制：指在信息系統(tǒng)應(yīng)用中為確定、預(yù)防或恢復(fù)錯誤、非法訪問和其它威脅而使用程序代碼控制。

如ActiveX控件、腳本程序運行。中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第18頁

存取控制是指依靠系統(tǒng)物理、電子、軟件及管理等各種控制類型來實現(xiàn)對系統(tǒng)監(jiān)測，完成對用戶識別，對用戶存取數(shù)據(jù)權(quán)限確認工作，確保信息系統(tǒng)中數(shù)據(jù)完整性、安全性、正確性，預(yù)防正當用戶有意或無意越權(quán)防問，預(yù)防非法用戶入侵等。

存取控制任務(wù)主要是進行系統(tǒng)授權(quán)。中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第19頁比如在WindowsServer中，系統(tǒng)設(shè)置用戶組分為：管理員組、服務(wù)器操作員組、記賬操作員組、打印操作員組、備份操作員組、用戶組等。每一個組中組員都有該組權(quán)限，能夠?qū)μ囟ㄙY源進行該組組員所被允許操作。

DBMS中角色(role)是各種權(quán)限（Owner、Create、Drop、Select、Update、Insert、Delete、…）一個組合，能夠授予某個用戶，也能夠授予一組用戶；也能夠從用戶處回收。

實現(xiàn)授權(quán)方法有授權(quán)矩陣（authorizationmatrix）、用戶權(quán)限表(userprofile)、對象權(quán)限表(objectprofile)等。中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第20頁

系統(tǒng)授權(quán)應(yīng)遵照標準：

（1）最小特權(quán)標準（2）最小泄漏標準（3）最大共享策略（4）推理控制策略中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第21頁二、系統(tǒng)轉(zhuǎn)換與信息系統(tǒng)運行組織中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第22頁（1）試運行階段主要工作：對系統(tǒng)進行初始化、輸入各種原始數(shù)據(jù)統(tǒng)計；統(tǒng)計系統(tǒng)運行數(shù)據(jù)和情況；查對新系統(tǒng)輸出和老系統(tǒng)（人工或計算機系統(tǒng)）輸出結(jié)果；對實際系統(tǒng)輸入方式進行考查（是否方便、效率怎樣、安全可靠性、誤操作保護等）；對系統(tǒng)實際運行、響應(yīng)速度（包含運算速度、傳輸速度、查詢速度、輸出速度等）進行實際測試。１、試運行與系統(tǒng)轉(zhuǎn)換中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第23頁（2）系統(tǒng)轉(zhuǎn)換方式：

直接轉(zhuǎn)換老系統(tǒng)新系統(tǒng)老系統(tǒng)新系統(tǒng)老系統(tǒng)新系統(tǒng)并行轉(zhuǎn)換分段轉(zhuǎn)換中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第24頁（1）系統(tǒng)管理與維護組織有四種形式（系統(tǒng)在企業(yè)中地位）：２、運行期間信息系統(tǒng)部門組織中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第25頁信息系統(tǒng)的安全與運行維護培訓(xùn)教材第26頁負責信息系統(tǒng)正常運行和維護建立和實施對企業(yè)內(nèi)信息系統(tǒng)使用指南和制度向企業(yè)中各業(yè)務(wù)部門提供信息技術(shù)服務(wù)有實力還能夠開展對于新項目標學(xué)習(xí)、研究和開發(fā)（2）信息系統(tǒng)部門主要工作職責：中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第27頁（3）運行期間信息系統(tǒng)管理部門內(nèi)部人員 大致能夠分為三大類： 系統(tǒng)維護人員或系統(tǒng)管理員 管理人員 系統(tǒng)操作人員中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第28頁信息系統(tǒng)的安全與運行維護培訓(xùn)教材第29頁——戴維斯信息系統(tǒng)的安全與運行維護培訓(xùn)教材第30頁三、信息系統(tǒng)運行制度中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第31頁（1）各類機房安全運行管理制度

①身份登記與驗證出入②帶入帶出物品檢驗③參觀中心機房必須經(jīng)過審查④專員負責開啟、關(guān)閉計算機系統(tǒng)⑤對系統(tǒng)運行情況進行監(jiān)視，跟蹤并詳細統(tǒng)計運行信息⑥對系統(tǒng)進行定時保養(yǎng)和維護⑦操作人員在指定計算機或終端上操作，對操作內(nèi)容按要求進行登記⑧不做與工作無關(guān)操作，不運行來歷不明軟件⑨不越權(quán)運行程序，不查閱無關(guān)參數(shù)⑩操作異常，馬上匯報１、建立和健全信息系統(tǒng)運行制度中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第32頁（2）信息系統(tǒng)其它管理制度

①必須有主要系統(tǒng)軟件、應(yīng)用軟件管理制度 ②必須有數(shù)據(jù)管理制度 ③必須有密碼口令管理制度，做到口令專管專用，定時更改并在失密后馬上匯報 ④必須有網(wǎng)絡(luò)通信安全管理制度，實施網(wǎng)絡(luò)電子公告系統(tǒng)用戶登記和對外信息交流管理制度 ⑤必須有病毒防治管理制度及時檢測、去除計算機病毒，并備有檢測、去除統(tǒng)計 ⑥建立安全培訓(xùn)制度，進行計算機安全法律教育、職業(yè)道德教育和計算機安全技術(shù)教育。對關(guān)鍵崗位人員進行定時考評

⑦必須有些人員調(diào)離安全管理制度

⑧建立合作制度中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第33頁２、信息系統(tǒng)日常運行管理（1）系統(tǒng)運行情況統(tǒng)計

內(nèi)容：開機、應(yīng)用系統(tǒng)進入、功效項選擇與執(zhí)行 數(shù)據(jù)備份、存檔、關(guān)機等 運行情況有正常、不正常與無法運行三種情況 通常對正常情況不予統(tǒng)計，對于不正常情況和無法運行情況則應(yīng)將所見現(xiàn)象、發(fā)生時間及可能原因做盡可能詳細統(tǒng)計。中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第34頁（2）審計蹤跡

審計蹤跡（audittrail）就是指系統(tǒng)中設(shè)置了自動統(tǒng)計功效，能經(jīng)過自動統(tǒng)計信息發(fā)覺或判明系統(tǒng)問題和原因。在審計蹤跡系統(tǒng)中，建立審計日志是一個基本方法。中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第35頁（3）審查應(yīng)急辦法落實

首先要制訂應(yīng)付突發(fā)性事件應(yīng)急計劃，然后每日要審查應(yīng)急辦法落實情況。中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第36頁（4）系統(tǒng)資源管理在維護信息系統(tǒng)正常運行過程中還有一個常見問題，那就是怎樣管理系統(tǒng)資源。比如對計算機使用及打印機紙、墨粉消耗等，都要制訂合理管理方法。中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第37頁四、信息系統(tǒng)維護與升級

中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第38頁１、信息系統(tǒng)維護（1）系統(tǒng)維護類型

硬件設(shè)備維護 應(yīng)用軟件維護 數(shù)據(jù)維護中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第39頁應(yīng)有專職硬件維護人員負責維護活動主要有兩種類型：定時保養(yǎng)性維護（一周或一個月不等）如例行設(shè)備檢驗與保養(yǎng)、易耗品更換與安裝等；突發(fā)性故障維修當設(shè)備出現(xiàn)突發(fā)性故障時，由專職人員或請廠方技術(shù)人員來排除故障。①硬件維護中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第40頁軟件維護主要是指依據(jù)需求改變或硬件環(huán)境改變對應(yīng)用程序進行部分或全部修改。 軟件維護類型：更正性維護(CorrectiveMaintenance)預(yù)防性維護(PreventiveMaintenance)適應(yīng)性維護(AdaptiveMaintenance)完善性維護(PerfectiveMaintenance)②軟件維護中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第41頁③數(shù)據(jù)維護由數(shù)據(jù)庫管理員來負責主要責任：數(shù)據(jù)庫安全性和完整性以及進行并發(fā)性控制數(shù)據(jù)庫中數(shù)據(jù)維護 如當數(shù)據(jù)庫中數(shù)據(jù)類型、長度等發(fā)生改變時、或者需要添加某個數(shù)據(jù)項、數(shù)據(jù)庫時，要負責修改相關(guān)數(shù)據(jù)庫、數(shù)據(jù)字典，并通知相關(guān)人員。定時出版數(shù)據(jù)字典文件及一些其它數(shù)據(jù)管理文什，以保留系統(tǒng)運行和修改軌跡當出現(xiàn)硬件故障并得到排除后負責數(shù)據(jù)庫恢復(fù)工作中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)的安全與運行維護培訓(xùn)教材第42頁 1）系統(tǒng)維護應(yīng)執(zhí)行以下步驟：①提出維護或修改要求②領(lǐng)導(dǎo)審查并做出回復(fù)，如修改則列入維護計劃③領(lǐng)導(dǎo)分配任務(wù)，維護