信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材

信息系統(tǒng)安全與運(yùn)行維護(hù)信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第1頁(yè)一、信息系統(tǒng)安全管理二、系統(tǒng)轉(zhuǎn)換與信息系統(tǒng)運(yùn)行組織三、信息系統(tǒng)運(yùn)行制度

四、信息系統(tǒng)維護(hù)與升級(jí)

主要內(nèi)容中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第2頁(yè)一、信息系統(tǒng)安全管理中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第3頁(yè)信息系統(tǒng)安全定義：

指采取技術(shù)和非技術(shù)伎倆，經(jīng)過(guò)對(duì)信息系統(tǒng)建設(shè)中安全設(shè)計(jì)和運(yùn)行中安全管理，使運(yùn)行在計(jì)算機(jī)網(wǎng)絡(luò)中信息系統(tǒng)有保護(hù)，沒(méi)有危險(xiǎn)。中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第4頁(yè)數(shù)據(jù)輸入、輸出、存取與備份，源程序以及應(yīng)用軟件、數(shù)據(jù)庫(kù)、操作系統(tǒng)等方面漏洞或缺點(diǎn)硬件、通信部分漏洞、缺點(diǎn)或者是遺失電磁輻射環(huán)境保障系統(tǒng)企業(yè)內(nèi)部人原因軟件非法復(fù)制“黑客”計(jì)算機(jī)病毒經(jīng)濟(jì)(信息)間諜等

2.影響系統(tǒng)安全常見(jiàn)原因中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第5頁(yè)物理實(shí)體安全設(shè)計(jì)硬件系統(tǒng)和通信網(wǎng)絡(luò)安全設(shè)計(jì)軟件系統(tǒng)和數(shù)據(jù)安全設(shè)計(jì)等3.信息系統(tǒng)安全設(shè)計(jì)中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第6頁(yè)(1)物理實(shí)體安全環(huán)境設(shè)計(jì)盡管信息系統(tǒng)分散在各個(gè)科室、部門，但服務(wù)器普通集中在某個(gè)較安全地方(機(jī)房或中心機(jī)房)機(jī)房分級(jí)管理中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第7頁(yè)信息系統(tǒng)機(jī)房規(guī)劃要考慮安全技術(shù)要求：

合理規(guī)劃中心機(jī)房與各科室、車間機(jī)房位置對(duì)出入機(jī)房進(jìn)行控制機(jī)房應(yīng)進(jìn)行一定內(nèi)部裝修選擇適當(dāng)其它設(shè)備和輔助材料安裝空調(diào)系統(tǒng)防火、防水防磁防靜電防電磁波干擾和泄露電源中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第8頁(yè)（2）軟件和數(shù)據(jù)安全設(shè)計(jì)

軟件是確保信息系統(tǒng)正常運(yùn)行、促進(jìn)信息技術(shù)普及應(yīng)用主要原因和伎倆。數(shù)據(jù)是信息系統(tǒng)中心，數(shù)據(jù)安全管理是信息系統(tǒng)安全關(guān)鍵。怎樣確保它們安全？ 選擇安全可靠操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng) 設(shè)計(jì)、開(kāi)發(fā)安全可靠應(yīng)用程序 信息系統(tǒng)中數(shù)據(jù)安全設(shè)計(jì)中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第9頁(yè)a)選擇安全可靠操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)

選擇一個(gè)安全可靠操作系統(tǒng)，是軟件安全中最基本要求。 在進(jìn)行數(shù)據(jù)庫(kù)管理系統(tǒng)選擇時(shí)，一定要考慮它本身安全策略和安全能力。

為何政府不采取Win8?中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第10頁(yè)b)設(shè)計(jì)、開(kāi)發(fā)安全可靠應(yīng)用程序

安全策略和辦法： 設(shè)置安全保護(hù)子程序或存取控制子程序 提升軟件產(chǎn)品標(biāo)準(zhǔn)化、工程化、系列化水平 采取面向?qū)ο箝_(kāi)發(fā)方法和模塊化思想 采取成熟軟件安全技術(shù)中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第11頁(yè)c)信息系統(tǒng)中數(shù)據(jù)安全設(shè)計(jì)

方法包含：數(shù)據(jù)存取控制預(yù)防數(shù)據(jù)信息泄漏（如加密）預(yù)防計(jì)算機(jī)病毒感染和破壞數(shù)據(jù)備份方法等中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第12頁(yè)加密

作用：預(yù)防數(shù)據(jù)信息泄漏，保障數(shù)據(jù)秘密性、真實(shí)性 抵抗計(jì)算機(jī)病毒感染破壞

方式：序列密碼（處理單元：一個(gè)元素（字母或比特）) 分組密碼（處理單元：一組元素（分組）) 公開(kāi)密鑰密碼 磁盤文件數(shù)據(jù)信息加密中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第13頁(yè)數(shù)據(jù)備份

作用：備份數(shù)據(jù)，以備意外情況下恢復(fù)數(shù)據(jù)

注意：數(shù)據(jù)備份應(yīng)登記，妥善保管，預(yù)防被盜，預(yù)防被破壞，預(yù)防被誤用。主要數(shù)據(jù)備份定時(shí)檢驗(yàn)，定時(shí)復(fù)制，確保備份數(shù)據(jù)完整性、使用性和時(shí)效性。

方法：全盤備份增量備份基本備份中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第14頁(yè)(3)硬件系統(tǒng)和通信網(wǎng)絡(luò)安全設(shè)計(jì)硬件安全（芯片、硬件備份、凈化電源、電磁屏蔽、…)網(wǎng)絡(luò)安全（防火墻、防竊聽(tīng)、…)中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第15頁(yè)（1）慣用安全技術(shù)：“防火墻”軟件或設(shè)備實(shí)時(shí)網(wǎng)絡(luò)審計(jì)跟蹤工具或入侵檢測(cè)軟件采取安全傳輸層協(xié)議(SecureSocketLayer，SSL)和使用安全超文本傳輸協(xié)議(secureHTTP)采取安全電子交易協(xié)議(SecureElectronicTransaction，SET)和電子數(shù)字署名技術(shù)進(jìn)行安全交易4、信息系統(tǒng)安全技術(shù)和控制方法中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第16頁(yè)

對(duì)信息系統(tǒng)施加對(duì)應(yīng)控制是確保信息系統(tǒng)安全有效方法，包含物理控制、電子控制、軟件控制和管理控制四種。 （2）安全控制方法中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第17頁(yè)

物理控制：門鎖、鍵盤鎖、防火門和積水排除泵。

電子控制：移動(dòng)傳感器、熱敏傳感器和濕度傳感器。 也可包含諸如標(biāo)識(shí)和指紋、語(yǔ)音與視網(wǎng)膜錄入控制等入侵者檢驗(yàn)與生物進(jìn)入控制。

軟件控制：指在信息系統(tǒng)應(yīng)用中為確定、預(yù)防或恢復(fù)錯(cuò)誤、非法訪問(wèn)和其它威脅而使用程序代碼控制。

如ActiveX控件、腳本程序運(yùn)行。中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第18頁(yè)

存取控制是指依靠系統(tǒng)物理、電子、軟件及管理等各種控制類型來(lái)實(shí)現(xiàn)對(duì)系統(tǒng)監(jiān)測(cè)，完成對(duì)用戶識(shí)別，對(duì)用戶存取數(shù)據(jù)權(quán)限確認(rèn)工作，確保信息系統(tǒng)中數(shù)據(jù)完整性、安全性、正確性，預(yù)防正當(dāng)用戶有意或無(wú)意越權(quán)防問(wèn)，預(yù)防非法用戶入侵等。

存取控制任務(wù)主要是進(jìn)行系統(tǒng)授權(quán)。中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第19頁(yè)比如在WindowsServer中，系統(tǒng)設(shè)置用戶組分為：管理員組、服務(wù)器操作員組、記賬操作員組、打印操作員組、備份操作員組、用戶組等。每一個(gè)組中組員都有該組權(quán)限，能夠?qū)μ囟ㄙY源進(jìn)行該組組員所被允許操作。

DBMS中角色(role)是各種權(quán)限（Owner、Create、Drop、Select、Update、Insert、Delete、…）一個(gè)組合，能夠授予某個(gè)用戶，也能夠授予一組用戶；也能夠從用戶處回收。

實(shí)現(xiàn)授權(quán)方法有授權(quán)矩陣（authorizationmatrix）、用戶權(quán)限表(userprofile)、對(duì)象權(quán)限表(objectprofile)等。中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第20頁(yè)

系統(tǒng)授權(quán)應(yīng)遵照標(biāo)準(zhǔn)：

（1）最小特權(quán)標(biāo)準(zhǔn)（2）最小泄漏標(biāo)準(zhǔn)（3）最大共享策略（4）推理控制策略中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第21頁(yè)二、系統(tǒng)轉(zhuǎn)換與信息系統(tǒng)運(yùn)行組織中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第22頁(yè)（1）試運(yùn)行階段主要工作：對(duì)系統(tǒng)進(jìn)行初始化、輸入各種原始數(shù)據(jù)統(tǒng)計(jì)；統(tǒng)計(jì)系統(tǒng)運(yùn)行數(shù)據(jù)和情況；查對(duì)新系統(tǒng)輸出和老系統(tǒng)（人工或計(jì)算機(jī)系統(tǒng)）輸出結(jié)果；對(duì)實(shí)際系統(tǒng)輸入方式進(jìn)行考查（是否方便、效率怎樣、安全可靠性、誤操作保護(hù)等）；對(duì)系統(tǒng)實(shí)際運(yùn)行、響應(yīng)速度（包含運(yùn)算速度、傳輸速度、查詢速度、輸出速度等）進(jìn)行實(shí)際測(cè)試。１、試運(yùn)行與系統(tǒng)轉(zhuǎn)換中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第23頁(yè)（2）系統(tǒng)轉(zhuǎn)換方式：

直接轉(zhuǎn)換老系統(tǒng)新系統(tǒng)老系統(tǒng)新系統(tǒng)老系統(tǒng)新系統(tǒng)并行轉(zhuǎn)換分段轉(zhuǎn)換中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第24頁(yè)（1）系統(tǒng)管理與維護(hù)組織有四種形式（系統(tǒng)在企業(yè)中地位）：２、運(yùn)行期間信息系統(tǒng)部門組織中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第25頁(yè)信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第26頁(yè)負(fù)責(zé)信息系統(tǒng)正常運(yùn)行和維護(hù)建立和實(shí)施對(duì)企業(yè)內(nèi)信息系統(tǒng)使用指南和制度向企業(yè)中各業(yè)務(wù)部門提供信息技術(shù)服務(wù)有實(shí)力還能夠開(kāi)展對(duì)于新項(xiàng)目標(biāo)學(xué)習(xí)、研究和開(kāi)發(fā)（2）信息系統(tǒng)部門主要工作職責(zé)：中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第27頁(yè)（3）運(yùn)行期間信息系統(tǒng)管理部門內(nèi)部人員 大致能夠分為三大類： 系統(tǒng)維護(hù)人員或系統(tǒng)管理員 管理人員 系統(tǒng)操作人員中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第28頁(yè)信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第29頁(yè)——戴維斯信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第30頁(yè)三、信息系統(tǒng)運(yùn)行制度中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第31頁(yè)（1）各類機(jī)房安全運(yùn)行管理制度

①身份登記與驗(yàn)證出入②帶入帶出物品檢驗(yàn)③參觀中心機(jī)房必須經(jīng)過(guò)審查④專員負(fù)責(zé)開(kāi)啟、關(guān)閉計(jì)算機(jī)系統(tǒng)⑤對(duì)系統(tǒng)運(yùn)行情況進(jìn)行監(jiān)視，跟蹤并詳細(xì)統(tǒng)計(jì)運(yùn)行信息⑥對(duì)系統(tǒng)進(jìn)行定時(shí)保養(yǎng)和維護(hù)⑦操作人員在指定計(jì)算機(jī)或終端上操作，對(duì)操作內(nèi)容按要求進(jìn)行登記⑧不做與工作無(wú)關(guān)操作，不運(yùn)行來(lái)歷不明軟件⑨不越權(quán)運(yùn)行程序，不查閱無(wú)關(guān)參數(shù)⑩操作異常，馬上匯報(bào)１、建立和健全信息系統(tǒng)運(yùn)行制度中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第32頁(yè)（2）信息系統(tǒng)其它管理制度

①必須有主要系統(tǒng)軟件、應(yīng)用軟件管理制度 ②必須有數(shù)據(jù)管理制度 ③必須有密碼口令管理制度，做到口令專管專用，定時(shí)更改并在失密后馬上匯報(bào) ④必須有網(wǎng)絡(luò)通信安全管理制度，實(shí)施網(wǎng)絡(luò)電子公告系統(tǒng)用戶登記和對(duì)外信息交流管理制度 ⑤必須有病毒防治管理制度及時(shí)檢測(cè)、去除計(jì)算機(jī)病毒，并備有檢測(cè)、去除統(tǒng)計(jì) ⑥建立安全培訓(xùn)制度，進(jìn)行計(jì)算機(jī)安全法律教育、職業(yè)道德教育和計(jì)算機(jī)安全技術(shù)教育。對(duì)關(guān)鍵崗位人員進(jìn)行定時(shí)考評(píng)

⑦必須有些人員調(diào)離安全管理制度

⑧建立合作制度中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第33頁(yè)２、信息系統(tǒng)日常運(yùn)行管理（1）系統(tǒng)運(yùn)行情況統(tǒng)計(jì)

內(nèi)容：開(kāi)機(jī)、應(yīng)用系統(tǒng)進(jìn)入、功效項(xiàng)選擇與執(zhí)行 數(shù)據(jù)備份、存檔、關(guān)機(jī)等 運(yùn)行情況有正常、不正常與無(wú)法運(yùn)行三種情況 通常對(duì)正常情況不予統(tǒng)計(jì)，對(duì)于不正常情況和無(wú)法運(yùn)行情況則應(yīng)將所見(jiàn)現(xiàn)象、發(fā)生時(shí)間及可能原因做盡可能詳細(xì)統(tǒng)計(jì)。中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第34頁(yè)（2）審計(jì)蹤跡

審計(jì)蹤跡（audittrail）就是指系統(tǒng)中設(shè)置了自動(dòng)統(tǒng)計(jì)功效，能經(jīng)過(guò)自動(dòng)統(tǒng)計(jì)信息發(fā)覺(jué)或判明系統(tǒng)問(wèn)題和原因。在審計(jì)蹤跡系統(tǒng)中，建立審計(jì)日志是一個(gè)基本方法。中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第35頁(yè)（3）審查應(yīng)急辦法落實(shí)

首先要制訂應(yīng)付突發(fā)性事件應(yīng)急計(jì)劃，然后每日要審查應(yīng)急辦法落實(shí)情況。中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第36頁(yè)（4）系統(tǒng)資源管理在維護(hù)信息系統(tǒng)正常運(yùn)行過(guò)程中還有一個(gè)常見(jiàn)問(wèn)題，那就是怎樣管理系統(tǒng)資源。比如對(duì)計(jì)算機(jī)使用及打印機(jī)紙、墨粉消耗等，都要制訂合理管理方法。中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第37頁(yè)四、信息系統(tǒng)維護(hù)與升級(jí)

中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第38頁(yè)１、信息系統(tǒng)維護(hù)（1）系統(tǒng)維護(hù)類型

硬件設(shè)備維護(hù) 應(yīng)用軟件維護(hù) 數(shù)據(jù)維護(hù)中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第39頁(yè)應(yīng)有專職硬件維護(hù)人員負(fù)責(zé)維護(hù)活動(dòng)主要有兩種類型：定時(shí)保養(yǎng)性維護(hù)（一周或一個(gè)月不等）如例行設(shè)備檢驗(yàn)與保養(yǎng)、易耗品更換與安裝等；突發(fā)性故障維修當(dāng)設(shè)備出現(xiàn)突發(fā)性故障時(shí)，由專職人員或請(qǐng)廠方技術(shù)人員來(lái)排除故障。①硬件維護(hù)中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第40頁(yè)軟件維護(hù)主要是指依據(jù)需求改變或硬件環(huán)境改變對(duì)應(yīng)用程序進(jìn)行部分或全部修改。 軟件維護(hù)類型：更正性維護(hù)(CorrectiveMaintenance)預(yù)防性維護(hù)(PreventiveMaintenance)適應(yīng)性維護(hù)(AdaptiveMaintenance)完善性維護(hù)(PerfectiveMaintenance)②軟件維護(hù)中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第41頁(yè)③數(shù)據(jù)維護(hù)由數(shù)據(jù)庫(kù)管理員來(lái)負(fù)責(zé)主要責(zé)任：數(shù)據(jù)庫(kù)安全性和完整性以及進(jìn)行并發(fā)性控制數(shù)據(jù)庫(kù)中數(shù)據(jù)維護(hù) 如當(dāng)數(shù)據(jù)庫(kù)中數(shù)據(jù)類型、長(zhǎng)度等發(fā)生改變時(shí)、或者需要添加某個(gè)數(shù)據(jù)項(xiàng)、數(shù)據(jù)庫(kù)時(shí)，要負(fù)責(zé)修改相關(guān)數(shù)據(jù)庫(kù)、數(shù)據(jù)字典，并通知相關(guān)人員。定時(shí)出版數(shù)據(jù)字典文件及一些其它數(shù)據(jù)管理文什，以保留系統(tǒng)運(yùn)行和修改軌跡當(dāng)出現(xiàn)硬件故障并得到排除后負(fù)責(zé)數(shù)據(jù)庫(kù)恢復(fù)工作中南大學(xué)醫(yī)藥信息系編碼與測(cè)試信息系統(tǒng)的安全與運(yùn)行維護(hù)培訓(xùn)教材第42頁(yè) 1）系統(tǒng)維護(hù)應(yīng)執(zhí)行以下步驟：①提出維護(hù)或修改要求②領(lǐng)導(dǎo)審查并做出回復(fù)，如修改則列入維護(hù)計(jì)劃③領(lǐng)導(dǎo)分配任務(wù)，維護(hù)