【M企業(yè)信息安全系統(tǒng)詳細(xì)設(shè)計(jì)研究9800字（論文）】

VI摘要為保障企業(yè)和用戶的信息安全，在軟件開(kāi)發(fā)的過(guò)程中使用相應(yīng)手段降低安全漏洞勢(shì)在必行。本文以企業(yè)信息安全管理系統(tǒng)為例研究課題。針對(duì)中小企業(yè)信息安全管理的現(xiàn)狀，本文對(duì)中小企業(yè)信息安全管理存在的問(wèn)題進(jìn)行了全面的評(píng)價(jià)，分析了問(wèn)題產(chǎn)生的原因，提出了優(yōu)化公司信息披露的建議安全管理。技術(shù)管理我們可以有效的管理公司的信息安全，降低信息管理的風(fēng)險(xiǎn)，有效保護(hù)企業(yè)信息能力，提高信息安全管理水平，適應(yīng)新的信息安全管理要求，確保企業(yè)可持續(xù)發(fā)展。關(guān)鍵字：互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)管理引言通信和計(jì)算機(jī)應(yīng)用的發(fā)展標(biāo)志著人類(lèi)社會(huì)從工業(yè)社會(huì)向信息時(shí)代的過(guò)渡，20世紀(jì)90年代末，互聯(lián)網(wǎng)開(kāi)始在世界范圍內(nèi)迅速商業(yè)化和普及，標(biāo)志著信息時(shí)代進(jìn)入了一個(gè)快速發(fā)展的時(shí)期，互聯(lián)網(wǎng)的發(fā)展打破了傳統(tǒng)的時(shí)空距離，將全球企業(yè)連接起來(lái)，實(shí)現(xiàn)信息共享，鑄造了一個(gè)超大的網(wǎng)絡(luò)空間虛擬體。但是，任何一件事物的發(fā)展都是一把雙刃劍，技術(shù)的進(jìn)步帶給我們便利和效益的同時(shí)，網(wǎng)絡(luò)信息安全事件頻發(fā)也給全球和個(gè)人帶來(lái)了不可估量的經(jīng)濟(jì)和名譽(yù)上的損失?？山鼇?lái)，國(guó)內(nèi)外信息安全事件層出不窮，大量信息系統(tǒng)受到安全威脅。一般企業(yè)在信息交流過(guò)程中容易被竊聽(tīng)，將導(dǎo)致企業(yè)難以預(yù)測(cè)的損失，所以信息安全管理問(wèn)題非常需要。本文將分析企業(yè)信息安全管理現(xiàn)狀，針對(duì)面臨的問(wèn)題提出解決對(duì)策，幫助建設(shè)正確的信息安全管理制度及評(píng)價(jià)指標(biāo)，對(duì)企業(yè)信息安全管理具有重要理論指導(dǎo)的意義。

第一章企業(yè)信息安全管理現(xiàn)狀1.1企業(yè)的信息安全問(wèn)題由于安全管理觀念不足，所以面臨多種信息管理風(fēng)險(xiǎn)，許多可以利用的系統(tǒng)漏洞普遍存在于企業(yè)的信息系統(tǒng)中。根據(jù)分析，這些漏洞可能會(huì)有企業(yè)的組織構(gòu)成、運(yùn)行的系統(tǒng)、安全戰(zhàn)略、管理制度、信息資產(chǎn)本身的問(wèn)題。分析其原因是為了尋找必須保護(hù)的信息資產(chǎn)而存在的弱點(diǎn)，降低安全風(fēng)險(xiǎn)發(fā)生可能性。要避免風(fēng)險(xiǎn)的發(fā)生，需要根據(jù)安全管理的薄弱點(diǎn)和上述安全問(wèn)題進(jìn)行分析。通常企業(yè)的信息安全風(fēng)險(xiǎn)有以下幾種。（1）硬件設(shè)備問(wèn)題可能存在一些問(wèn)題和漏洞，主要是在硬件方面，如電子設(shè)備、媒體等等，這些脆弱性通常涉及人身安全風(fēng)險(xiǎn)。（2）信息系統(tǒng)問(wèn)題主要發(fā)生在軟件過(guò)程規(guī)范、軟件開(kāi)發(fā)和配置軟件。當(dāng)這種錯(cuò)誤遇到特殊情況時(shí)，軟件的安全漏洞就成為一個(gè)問(wèn)題。。（3）信息系統(tǒng)運(yùn)行環(huán)境問(wèn)題辦公、電力、照明、防潮、溫控、防火、防盜、電磁輻射、屏障等環(huán)境設(shè)施、建筑結(jié)構(gòu)、布線等方面存在的問(wèn)題和不足外部媒體、公共網(wǎng)絡(luò)等。（4）信息安全策略問(wèn)題法律規(guī)定、政策法規(guī)、管理制度和安全指南存在缺陷，系統(tǒng)安全政策、數(shù)據(jù)信息安全政策和人員安全政策也存在缺陷。（5）信息管理問(wèn)題由于缺乏日常安全管理和應(yīng)急預(yù)防措施的經(jīng)驗(yàn)，ISO/IEC2701信息安全管理體系存在管理漏洞、信息資產(chǎn)脆弱性控制管理、企業(yè)安全脆弱性管理、環(huán)境管理脆弱性和人的安全脆弱性管理等問(wèn)題。通過(guò)漏洞可以知道信息系統(tǒng)的缺陷，雖然不會(huì)對(duì)信息系統(tǒng)造成任何損傷，但在這個(gè)系統(tǒng)中存在的缺陷或問(wèn)題可以被利用對(duì)企業(yè)造成傷害。如果沒(méi)有漏洞就難以對(duì)信息系統(tǒng)產(chǎn)生威脅，因此在企業(yè)日常信息安全管理中，必須盡量避免產(chǎn)生漏洞。1.2企業(yè)的信息安全風(fēng)險(xiǎn)企業(yè)的信息安全風(fēng)險(xiǎn)是由資源和規(guī)模限制帶來(lái)的信息安全管理問(wèn)題造成的。因?yàn)楣芾怼①Y金、人才、技術(shù)方面的局限性，企業(yè)的安全問(wèn)題一直很難有效地解決。嚴(yán)格規(guī)范安全管理制度是企業(yè)的信息安全管理的主要方式，但是嚴(yán)重的信息安全管理問(wèn)題仍然無(wú)法避免。（1）物理安全風(fēng)險(xiǎn)物理安全風(fēng)險(xiǎn)通常是環(huán)境事故、供給故障、人工操作失誤等物理原因?qū)е碌挠?jì)算機(jī)網(wǎng)絡(luò)癱瘓或業(yè)務(wù)系統(tǒng)中斷。這是企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)中最常見(jiàn)的類(lèi)型，雖然企業(yè)的數(shù)據(jù)可能會(huì)造成某種損傷，但企業(yè)的機(jī)密信息通常不會(huì)被截取，網(wǎng)絡(luò)系統(tǒng)也比較好恢復(fù)正常。（2）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)一般來(lái)說(shuō)，企業(yè)長(zhǎng)期以來(lái)沒(méi)有有效的網(wǎng)絡(luò)風(fēng)險(xiǎn)防范體系，很難防范外部網(wǎng)絡(luò)的入侵和攻擊所帶來(lái)的安全風(fēng)險(xiǎn)。外部網(wǎng)絡(luò)病毒的攻擊會(huì)導(dǎo)致企業(yè)網(wǎng)絡(luò)崩潰，造成無(wú)法彌補(bǔ)的損失。（3）系統(tǒng)安全風(fēng)險(xiǎn)系統(tǒng)的安全風(fēng)險(xiǎn)是企業(yè)的計(jì)算機(jī)終端系統(tǒng)無(wú)法執(zhí)行安全。由于保護(hù)的薄弱，惡意代碼和病毒可能會(huì)入侵系統(tǒng)和數(shù)據(jù)，造成巨大的安全風(fēng)險(xiǎn)。（4）應(yīng)用安全風(fēng)險(xiǎn)在企業(yè)信息數(shù)據(jù)的處理和操作過(guò)程中，應(yīng)用程序的安全風(fēng)險(xiǎn)無(wú)處不在。在網(wǎng)絡(luò)技術(shù)不斷進(jìn)步的背景下，網(wǎng)絡(luò)應(yīng)用系統(tǒng)也在不斷變化。這要求企業(yè)定期使用數(shù)據(jù)、訪問(wèn)和審查系統(tǒng)，以便將實(shí)施風(fēng)險(xiǎn)降至最低。（5）管理安全的風(fēng)險(xiǎn)有一套成熟的安全管理體系是保證企業(yè)網(wǎng)絡(luò)信息安全的核心，但很多企業(yè)只關(guān)注企業(yè)的利益和發(fā)展，很少關(guān)注企業(yè)的信息安全管理，這就產(chǎn)生了嚴(yán)重的網(wǎng)絡(luò)信息安全事件。企業(yè)通常采取以下措施來(lái)規(guī)避安全風(fēng)險(xiǎn)管理：建立網(wǎng)絡(luò)安全管理體系，保證體系的順利實(shí)施，提高相關(guān)人員的技術(shù)水平和安全意識(shí)，防止操作失誤強(qiáng)化企業(yè)網(wǎng)絡(luò)安全管理理念。

第二章M企業(yè)信息安全管理現(xiàn)狀2.1M企業(yè)簡(jiǎn)介M企業(yè)主要經(jīng)營(yíng)技術(shù)開(kāi)發(fā)、制造業(yè)務(wù)，涉及電話網(wǎng)絡(luò)設(shè)施、聲音、數(shù)據(jù)、視頻、媒體通訊服務(wù)、電信服務(wù)業(yè)務(wù)等。目前該企業(yè)的工廠共有5個(gè)，企業(yè)的顧客達(dá)到80多萬(wàn)人，企業(yè)結(jié)構(gòu)合理，擁有技術(shù)先進(jìn)和功能強(qiáng)的通信網(wǎng)。由于M企業(yè)目前業(yè)務(wù)面寬，相關(guān)部門(mén)較多，企業(yè)分為生產(chǎn)中心和銷(xiāo)售中心，每個(gè)分企業(yè)的內(nèi)部有自己的管理制度。人員方面包括企業(yè)所有者、企業(yè)人力資源部門(mén)、設(shè)計(jì)部門(mén)、生產(chǎn)部門(mén)、銷(xiāo)售部門(mén)。隨著信息技術(shù)發(fā)展，企業(yè)內(nèi)部管理面臨著越來(lái)越大的信息安全影響，客戶的私人信息安全受到重視，國(guó)內(nèi)網(wǎng)絡(luò)安全和常見(jiàn)的安全生產(chǎn)問(wèn)題也越來(lái)越嚴(yán)重。2.2信息安全現(xiàn)狀繼2017年上半年病毒敲詐事件之后，病毒問(wèn)題再次成為熱點(diǎn)問(wèn)題之一，網(wǎng)絡(luò)安全也因病毒的威脅而受到越來(lái)越多的關(guān)注。據(jù)統(tǒng)計(jì)，從2016年下半年到2017年上半年，感染惡意軟件信息系統(tǒng)的用戶數(shù)量有所增加，主要是因?yàn)槭澜绺鞯氐姆欠ńM織試圖獲得個(gè)人或其他政治和經(jīng)濟(jì)利益。推進(jìn)了網(wǎng)絡(luò)襲擊。另一個(gè)原因是家族病毒，因?yàn)榧彝ゲ《镜木薮笞兎N數(shù)量也不斷增加，網(wǎng)絡(luò)病毒的殘害無(wú)法避免。2017年下半年開(kāi)始到2018年初，企業(yè)有兩個(gè)服務(wù)器被病毒感染，癱瘓計(jì)算機(jī)20多臺(tái)，損失文件難以計(jì)數(shù)。目前病毒的主要傳播方式是網(wǎng)絡(luò)驅(qū)動(dòng)、USB等移動(dòng)裝置。破壞性最大的是Pety，覆蓋或損壞計(jì)算機(jī)系統(tǒng)，感染的計(jì)算機(jī)可能完全癱瘓。傳播途徑從一開(kāi)始就通過(guò)更新軟件供應(yīng)程序，感染所有軟件的終端，在導(dǎo)致范圍傳播攻擊時(shí)，首先在感染某軟件時(shí)，利用釣魚(yú)信息下載惡意程序，下載后感染的病毒軟件，將MBR及部分磁盤(pán)扇區(qū)損壞后，系統(tǒng)將被替換，系統(tǒng)重啟后，立刻運(yùn)行多重代碼的惡意代碼，感染范圍內(nèi)的設(shè)備被感染。這種網(wǎng)絡(luò)病毒對(duì)企業(yè)正常運(yùn)行造成嚴(yán)重影響，大多數(shù)企業(yè)產(chǎn)生難以預(yù)計(jì)的損失。Petya的攻擊者可以輕松加入任意一個(gè)系統(tǒng)盜取軟件代碼。2.3信息安全問(wèn)題（1）各部門(mén)安全管理職責(zé)不明信息安全的主要是確保企業(yè)安全生產(chǎn)和信息交流，而安全管理范圍一般包括買(mǎi)入、生產(chǎn)、銷(xiāo)售、庫(kù)存、財(cái)務(wù)等企業(yè)的日常工作內(nèi)容，單純?cè)O(shè)立信息中心一個(gè)部門(mén)的力量不能實(shí)現(xiàn)企業(yè)信息安全目標(biāo)。信息安全管理常常被認(rèn)為與其他部門(mén)的關(guān)系不大。對(duì)于這種情況，從制度角度來(lái)看，在信息安全管理中沒(méi)有明確職責(zé)，在實(shí)際執(zhí)行中，部分的安全管理責(zé)任模糊，存在沒(méi)有具體落實(shí)的情況，在信息安全管理方面需要更加明確權(quán)責(zé)。信息安全管理和控制是以主要信息為中心進(jìn)行的，但由于信息安全管理不能直接使公司受益，因此其管理人員沒(méi)有積極參與。該公司的行政和商業(yè)部門(mén)認(rèn)為，信息安全由信息中心管理。但是信息管理中心得到的協(xié)助和支持力度不足，經(jīng)常在信息安全管理業(yè)務(wù)中途被廢除，導(dǎo)致信息安全問(wèn)題很難解決。（2）安全操作規(guī)范不健全近年來(lái)，計(jì)算機(jī)化和工業(yè)化迅速融合在一起，許多公司已經(jīng)通過(guò)信息系統(tǒng)完成了工作。該公司沒(méi)有有關(guān)運(yùn)行信息系統(tǒng)的某些準(zhǔn)則以及有關(guān)安全運(yùn)行的一些技術(shù)規(guī)范。缺乏操作安全規(guī)范并不能指導(dǎo)所有員工的行為，例如執(zhí)行安全操作的操作員。比如，在內(nèi)外網(wǎng)文件交換中，企業(yè)明確規(guī)定安全交換方式禁止同時(shí)使用移動(dòng)內(nèi)外存儲(chǔ)設(shè)備混合，而一些員工為了方便內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)交換，使用幾臺(tái)容易混淆的網(wǎng)絡(luò)計(jì)算機(jī)，在網(wǎng)絡(luò)上下載文件的同時(shí)傳播了病毒，將企業(yè)內(nèi)部網(wǎng)絡(luò)中的重要信息泄露在網(wǎng)上。因此日常系統(tǒng)運(yùn)營(yíng)中，信息系統(tǒng)設(shè)置等重大影響的操作沒(méi)有制定明確的流程和操作規(guī)范，企業(yè)員工往往會(huì)由于錯(cuò)誤操作而產(chǎn)生無(wú)法預(yù)測(cè)的結(jié)果。（3）信息資產(chǎn)管理混亂在十多年的快速發(fā)展中，M企業(yè)實(shí)施了發(fā)展“技術(shù)差異”的戰(zhàn)略，特別是推進(jìn)信息化和工業(yè)化融合，在智能制造過(guò)程中，企業(yè)管理信息的管理活動(dòng)被用來(lái)有效地共享和利用內(nèi)外部信息?；陉P(guān)鍵技術(shù)的重要信息的有效共享和利用是企業(yè)的重要資產(chǎn)。如果主要資源丟失，將給公司造成想象不到的損失，作為安全管理是信息安全管理的重要核心，但是，由于在歸檔，使用，分發(fā)和通信過(guò)程中缺乏安全控制措施，完全有可能在任何狀態(tài)下因?yàn)闆](méi)有安全控制措施導(dǎo)致產(chǎn)生了問(wèn)題。例如，包含重要專利信息的設(shè)計(jì)圖在生成和發(fā)布過(guò)程中嚴(yán)重依賴于網(wǎng)絡(luò)和各種信息處理終端，并在建模，制造和其他部門(mén)之間分配。如果沒(méi)有明確的安全管理制度、沒(méi)有泄漏處理措施，就會(huì)有特別意圖的人窺探。（4）信息安全應(yīng)急事件應(yīng)對(duì)不利隨著公司計(jì)算機(jī)化水平的提高以及對(duì)信息系統(tǒng)的依賴性越來(lái)越大，信息安全的風(fēng)險(xiǎn)越大，信息安全環(huán)境越來(lái)越弱。如今企業(yè)面臨信息安全事件時(shí)不知道如何處理。而信息安全事件越來(lái)越頻繁發(fā)生對(duì)應(yīng)急處理能力提出了更高的要求。但是企業(yè)信息安全處理機(jī)構(gòu)缺乏，應(yīng)急措施不明確，工作人員對(duì)開(kāi)發(fā)、生產(chǎn)、銷(xiāo)售、急救的經(jīng)驗(yàn)不足。在發(fā)生信息安全事件時(shí)，如果就只有信息中心技術(shù)員們慌慌張張地處理，但是反而阻礙應(yīng)急處理工作，導(dǎo)致緊急措施沒(méi)有立刻進(jìn)行。（5）信息安全控制技術(shù)水平較低經(jīng)過(guò)十多年的發(fā)展，M企業(yè)擁有更多的員工和更多的網(wǎng)絡(luò)用戶。盡管M企業(yè)還使用多種技術(shù)工具來(lái)確保信息安全，但它已檢測(cè)到網(wǎng)絡(luò)管理，主機(jī)管理以及應(yīng)用程序管理中的許多安全風(fēng)險(xiǎn)。同時(shí)，信息安全技術(shù)產(chǎn)品在預(yù)警，保護(hù)，監(jiān)督和緊急響應(yīng)方面不能互補(bǔ)。從每個(gè)設(shè)備共享教學(xué)信息可能不會(huì)成為保護(hù)信息技術(shù)的有效障礙。

第三章M企業(yè)信息安全體系建設(shè)3.1信息安全體系的總體目標(biāo)M企業(yè)信息安全系統(tǒng)的總體目標(biāo)是確保外部提供的服務(wù)的連續(xù)性以及公司信息資產(chǎn)的機(jī)密性，完整性和可用性，以確保業(yè)務(wù)的安全發(fā)展并實(shí)現(xiàn)企業(yè)的可持續(xù)性。企業(yè)信息安全系統(tǒng)在其整個(gè)生命周期中不斷完善自身，需要特別指出的是，建立M企業(yè)信息安全系統(tǒng)必須使管理人員能夠真正感受到企業(yè)安全水平的提高，系統(tǒng)化的企業(yè)安全體系結(jié)構(gòu)以及面向過(guò)程的管理機(jī)制，以使企業(yè)適應(yīng)持續(xù)不斷的變化的安全環(huán)境，可以始終將企業(yè)安全風(fēng)險(xiǎn)控制在管理人員可以接受的范圍內(nèi)，并確保業(yè)務(wù)的穩(wěn)定發(fā)展。3.2M企業(yè)系統(tǒng)設(shè)計(jì)的主要思想在設(shè)計(jì)系統(tǒng)時(shí)必須遵守以下幾點(diǎn)：1.系統(tǒng)開(kāi)發(fā)采用了面向?qū)ο蟮母拍?，?duì)象定向技術(shù)能夠完成整個(gè)系統(tǒng)的抽象化，保持產(chǎn)品結(jié)構(gòu)的一致性和穩(wěn)定性。2.在模塊設(shè)計(jì)和設(shè)計(jì)概念設(shè)計(jì)和開(kāi)發(fā)的過(guò)程中，需要將系統(tǒng)分成幾個(gè)功能模塊。3.操作簡(jiǎn)單的系統(tǒng)界面。系統(tǒng)界面的優(yōu)點(diǎn)可幫助用戶快速識(shí)別軟件使用情況。4.及時(shí)優(yōu)先的原則。系統(tǒng)的響應(yīng)性對(duì)用戶來(lái)說(shuō)非常重要，因此，您必須考慮影響系統(tǒng)設(shè)計(jì)和開(kāi)發(fā)過(guò)程中反應(yīng)速度的各種因素。3.3系統(tǒng)概要設(shè)計(jì)的目標(biāo)根據(jù)現(xiàn)有企業(yè)管理信息系統(tǒng)的要求，根據(jù)以往的需求研究，系統(tǒng)的總體結(jié)構(gòu)主要用于管理基礎(chǔ)信息，人事管理，部門(mén)管理，工資管理，補(bǔ)償和處罰管理，以及招聘人員，管理，教育管理和管理及服務(wù)系統(tǒng)。圖3-1系統(tǒng)功能層次圖3.4系統(tǒng)功能層次圖企業(yè)信息管理系統(tǒng)的要求分析和系統(tǒng)功能分析，系統(tǒng)可以使用以下圖形來(lái)描述系統(tǒng)的綜合功能模塊。企業(yè)信息管理系統(tǒng)的主要功能模塊如下，如上圖3-1所示。3.5中小企業(yè)信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)流圖補(bǔ)償和處罰由公司信息管理系統(tǒng)，主要由于出勤而進(jìn)行。主要分析了員工和法官的出勤情況。員工信息管理系統(tǒng)在場(chǎng)分析提供以下有關(guān)薪酬和薪酬的信息模式，如圖3-2所示：圖3-2系統(tǒng)獎(jiǎng)懲管理業(yè)務(wù)流程圖第四章M企業(yè)信息安全系統(tǒng)詳細(xì)設(shè)計(jì)4.1用戶管理功能集合模塊用戶管理功能模塊主要包括用于根據(jù)用戶信息分配和管理用戶權(quán)的模塊。用戶的權(quán)利分配是公司信息管理系統(tǒng)正常操作的重要部分。系統(tǒng)根據(jù)身份向用戶提供各種特權(quán)。在這個(gè)系統(tǒng)中，系統(tǒng)的用戶分為三個(gè)類(lèi)別：企業(yè)人事經(jīng)理：人事管理經(jīng)理在企業(yè)信息管理系統(tǒng)中享有最高管理權(quán)限，它可以管理企業(yè)信息管理系統(tǒng)的各種模塊。企業(yè)系統(tǒng)管理員：系統(tǒng)管理員的主要功能是系統(tǒng)用戶和系統(tǒng)本身，除了人力資源管理者之外，系統(tǒng)管理者還可以管理其他用戶信息。公司普通用戶：企業(yè)信息管理系統(tǒng)的正規(guī)用戶。此類(lèi)用戶的主要任務(wù)是查看個(gè)人數(shù)據(jù)和公司信息并更改其用戶名和密碼。該集合中功能模塊之間的關(guān)系如圖4-1所示：圖4-1用戶管理功能集合模塊關(guān)系圖4.2管理員登錄模塊企業(yè)信息管理系統(tǒng)的其他用戶具有不同的權(quán)利和工作流程。但是，所有用戶啟動(dòng)用戶的登錄模塊。用戶登錄時(shí)必須輸入用戶名和密碼。如果檢查通過(guò)，用戶就可以進(jìn)入系統(tǒng)后臺(tái)。如果檢查失敗，用戶無(wú)法登錄。通常，系統(tǒng)管理員用戶的登錄會(huì)被修改。圖4-2顯示了管理員登錄模塊的框圖：圖4-2管理員登錄模塊流程圖4.3數(shù)據(jù)庫(kù)設(shè)計(jì)4.3.1數(shù)據(jù)庫(kù)概念設(shè)計(jì)圖表E-R企業(yè)信息管理系統(tǒng)如下。（1）部門(mén)對(duì)象的屬性包括企業(yè)部門(mén)編號(hào)，企業(yè)部門(mén)名稱，企業(yè)部門(mén)介紹，父部門(mén)標(biāo)識(shí)，部門(mén)對(duì)象的E-R圖（見(jiàn)圖4-3）：圖4-3部門(mén)信息E-R圖（2）員工基本信息對(duì)象的屬性包括員工姓名，性別，還有教育程度，職位，地址，聯(lián)系方式，電子郵件地址，部門(mén)ID等。員工基本信息對(duì)象的E-R圖，如圖4-4所示：圖4-4員工信息E-R圖4.3.2數(shù)據(jù)庫(kù)關(guān)系設(shè)計(jì)在數(shù)據(jù)庫(kù)設(shè)計(jì)中，概念數(shù)據(jù)庫(kù)模型完全獨(dú)立于特定數(shù)據(jù)庫(kù)管理系統(tǒng)的概念。因此，需要根據(jù)特定的數(shù)據(jù)庫(kù)管理系統(tǒng)的特性來(lái)變更數(shù)據(jù)庫(kù)表格的設(shè)計(jì)。按照上一節(jié)的E-R模型，北京企業(yè)信息管理系統(tǒng)建立了以下邏輯數(shù)據(jù)結(jié)構(gòu)：下面是每個(gè)數(shù)據(jù)表的詳細(xì)說(shuō)明。（1）分類(lèi)表企業(yè)信息系統(tǒng)部門(mén)的信息表基本上主要記錄事業(yè)部門(mén)的基本信息、部門(mén)編號(hào)、部門(mén)名稱、部門(mén)介紹和部門(mén)，表4-1表示部門(mén)信息的結(jié)構(gòu)。表4-1部門(mén)信息表列名數(shù)據(jù)類(lèi)型長(zhǎng)度允許空是否主鍵說(shuō)明orgidint4否是部門(mén)編號(hào)orgnamevarchar50否否部門(mén)名稱orgsnvarchar50否否部門(mén)介紹orgidint4否否父類(lèi)部門(mén)ID（2）員工信息表企業(yè)信息管理系統(tǒng)中的員工信息表基本上記錄了員工的基本信息。它主要包括員工ID，員工姓名，員工部門(mén)編號(hào)，員工部門(mén)名稱，性別，年齡，教育程度，職位，地址，聯(lián)系方式，電子郵件地址和部門(mén)ID。4.4系統(tǒng)安全性設(shè)計(jì)公司管理系統(tǒng)的信息安全：本系統(tǒng)使用MD5算法加密和保護(hù)企業(yè)用戶的登錄密碼。系統(tǒng)不會(huì)輕易錯(cuò)過(guò)，因?yàn)橄到y(tǒng)使用加密處理技術(shù)。網(wǎng)絡(luò)安全設(shè)計(jì)：安全項(xiàng)目在企業(yè)信息管理系統(tǒng)中實(shí)施，該系統(tǒng)防止不道德的人員訪問(wèn)企業(yè)信息管理系統(tǒng)或改變網(wǎng)頁(yè)上的信息。第五章系統(tǒng)主要功能模塊的實(shí)現(xiàn)5.1系統(tǒng)登錄頁(yè)面的實(shí)現(xiàn)（1）功能描述：這個(gè)接口是北京公司企業(yè)信息系統(tǒng)的登錄窗口。登錄時(shí)，系統(tǒng)會(huì)顯示為用戶登錄接口。擁有不同身份的用戶會(huì)做出不同的特權(quán)、不同的特權(quán)和其他功能性的行為。如果在登錄過(guò)程中沒(méi)有輸入用戶名和密碼，用戶將無(wú)法登錄，并顯示相應(yīng)的提示信息。（2）圖5-1顯示了在登錄頁(yè)面上運(yùn)行程序的效果：圖5-1系統(tǒng)登錄頁(yè)面(3)系統(tǒng)前端功能實(shí)現(xiàn)的核心代碼如下:publicStringlogin(StringuserName,StringuserPw,intuserType)//定義用戶的參數(shù){try{Thread.sleep(700);}catch(InterruptedExceptione){e.printStackTrace0;}Stringresult="no";if(userType==0)//用戶角色定義rStringsql="fromTAdmin+thereuserName=?anduserP+}=?"'Object[]con=}userName,userPw;;//判斷用戶名和密碼是否正確ListadminList=adminDAO.getHibernateTemplateQ.find(sql,con);//從后臺(tái)數(shù)據(jù)庫(kù)中對(duì)登錄用戶進(jìn)驗(yàn)證if(adminList.sizeQ==O){result="no"，}elseWebContextctx=WebContextFactory.get{};HttpSessionsession=ctx.getSession（）;TAdminadmire=(TAdmin)adminList.get(0);session.setAttribute("user升pe",0);session.setAttribute("admire",admin);result="ves"；}}if(userType==2)irs.close（）;}catch(SQLExceptione)iSystem.out.println("登錄失敗!”):e.printStackTrace（）;}finallyimydb.closedQ;;//關(guān)閉}returnresult;;//返回結(jié)果5.2系統(tǒng)后臺(tái)主頁(yè)面的實(shí)現(xiàn)（1）功能描述：企業(yè)信息管理系統(tǒng)主管理頁(yè)。該頁(yè)面的左側(cè)頁(yè)面顯示了管理員可以管理的一些功能，管理員可以轉(zhuǎn)到相應(yīng)的管理頁(yè)面并參考其子頁(yè)面。菜單中突出顯示的每個(gè)控制模塊都有自己的子菜單。（2）圖5-2顯示了執(zhí)行后臺(tái)主系統(tǒng)程序的效果：圖5-2系統(tǒng)后臺(tái)主頁(yè)面5.3系統(tǒng)人事管理頁(yè)面的實(shí)現(xiàn)（1）功能描述:該界面是企業(yè)信息管理系統(tǒng)人事管理的員工信息管理頁(yè)面，在該頁(yè)面用戶可以添加，修改，刪除，查詢用戶的信息。在該頁(yè)面，用戶可以詳細(xì)了員工個(gè)人的基本資料，方便管理者更清楚的了解員工的基本情況。（2）系統(tǒng)后臺(tái)人事管理頁(yè)面的實(shí)現(xiàn)程序運(yùn)行效果圖如圖5-3所示:圖5-3系統(tǒng)后臺(tái)人事管理頁(yè)面（3）人事管理模塊功能實(shí)現(xiàn)的核心代碼如下:publicStringemplMana(){Stringsql=，“fromt-employeewheretype'employee'anddel==’no'”;ListemployeeList=employeeI).AO.getHibernateTemplate()find(sql);//從數(shù)據(jù)庫(kù)中匹配for(inti=0;i<employeeList.size();i十十){//遍歷查詢Temployeeemployee=(Temployee)employeeList.get(i);employee.setEmployeeOrgName(organizationService.findById(d(employee.getEmployeeOrgID(d()).getOrgName());}//進(jìn)行設(shè)置Maprequest=(Map)ActionContext.getContext()get(0request0);request.put(0employeeList0,employeeList);returnActionSupport.SUCCESS;}//返回成功標(biāo)志核心代碼說(shuō)明:本段代碼主要是企業(yè)信息管理系統(tǒng)人事管理模塊的員工信息查詢功能。當(dāng)需要查詢用戶信息時(shí)通過(guò)與后臺(tái)數(shù)據(jù)庫(kù)的連接，對(duì)用戶信息表進(jìn)行查詢，當(dāng)匹配到相應(yīng)的用戶后，將返回SUCCESS。5.4系統(tǒng)考勤管理頁(yè)面的實(shí)現(xiàn)（1）功能描述:該界面是企業(yè)信息管理系統(tǒng)考勤管理的考勤統(tǒng)計(jì)頁(yè)面，考勤統(tǒng)計(jì)頁(yè)面的主要功能是對(duì)員工考勤情況的統(tǒng)計(jì)整理。在該頁(yè)面用戶可以查詢到用戶上班的遲到、早退等情況。此外用戶根據(jù)需要還可以導(dǎo)出公司員工考勤統(tǒng)計(jì)信息。（2）系統(tǒng)后臺(tái)考勤統(tǒng)計(jì)頁(yè)面的實(shí)現(xiàn)程序運(yùn)行效果圖如圖5-4所示:5.4系統(tǒng)后臺(tái)考勤統(tǒng)計(jì)頁(yè)面（3）考勤管理模塊功能實(shí)現(xiàn)的核心代碼://用javabean引入分頁(yè)顯小類(lèi)MyPagination<jsp:useBeanid="pagination"class="com.util.MyPagination"scope="session"></jsp:useBean><%//Stringcondition="method=queryInviteJob";Stringcondition="inviteJob!lis、工，IviteJob.action";//以下是分頁(yè)操作Stringst:二:equest.getParameter("Page");intPage=1;List<Invitejob>mvList=null;if(str==nu11){mvList=(List<InviteJob>)request.getAttribute(”list");//獲取所有記錄intpagesize=5;//指定每頁(yè)顯示的記錄數(shù)myList=pagination.getInIitPage(myList,Page,pagesize);{Page=pagination.getPage(str);//初始化分頁(yè)信息}elsemyList=pagination.getAppointPage(Page);//獲取指定頁(yè)的數(shù)據(jù)request.setAttribute("myList",myList);%>}核心代碼說(shuō)明:本段代碼的主要作用是分頁(yè)展示考勤管理模塊的員工考勤情況，通過(guò)初始化指定每頁(yè)顯示的記錄數(shù)，在查詢員工的考勤情況時(shí)，可以分頁(yè)詳細(xì)顯示員工的考勤信息。5.5系統(tǒng)招聘管理頁(yè)面的實(shí)現(xiàn)（1）功能描述:該界面是企業(yè)信息管理系統(tǒng)招聘管理的人才列表頁(yè)面，人才列表頁(yè)面的主要功能是對(duì)應(yīng)聘信息的管理。在該頁(yè)面用戶可以查詢應(yīng)聘者信息同時(shí)還可以對(duì)應(yīng)聘者信息進(jìn)行編輯，以此來(lái)顯示應(yīng)聘者信息及應(yīng)聘狀態(tài)。（2）系統(tǒng)后臺(tái)人才列表頁(yè)面的實(shí)現(xiàn)程序運(yùn)行效果圖如圖5-5所示:圖5-5系統(tǒng)后臺(tái)人才列表頁(yè)面5.6系統(tǒng)測(cè)試與維護(hù)同城軟件開(kāi)發(fā)過(guò)程中的軟件測(cè)試的主要目的不僅是找到關(guān)于軟件可能有缺陷的功能的信息，而且是保證軟件產(chǎn)品不再使用錯(cuò)誤信息。通常，在系統(tǒng)正式發(fā)布之前，需要通過(guò)一系列的測(cè)試來(lái)運(yùn)行軟件系統(tǒng)。軟件測(cè)試的范圍主要包括單元測(cè)試、集成測(cè)試、驗(yàn)證測(cè)試及并行測(cè)試。在軟件測(cè)試階段，我們經(jīng)常使用白盒測(cè)試和黑盒測(cè)試。首先，白盒測(cè)試是一位軟件驗(yàn)證測(cè)試人員，他提前了解軟件產(chǎn)品的工作原理及其內(nèi)部功能結(jié)構(gòu)。白盒測(cè)試是一個(gè)軟件測(cè)試，用于測(cè)試，你可以在盒子里面看到一個(gè)完全透明的盒子。黑盒測(cè)試與白盒測(cè)試的大部分相反。黑盒測(cè)試通常意味著軟件開(kāi)發(fā)者不知道軟件產(chǎn)品的內(nèi)部結(jié)構(gòu)。軟件與完全不透明的黑盒相似，黑盒測(cè)試主要用于確定軟件產(chǎn)品的功能的正確操作。

完善M企業(yè)信息安全體系建設(shè)的對(duì)策6.1企業(yè)及人員安全在加入公司之前，在國(guó)家法律法規(guī)允許的范圍內(nèi)，公司會(huì)進(jìn)行一系列背景調(diào)查，背景檢查方法涉及犯罪，專業(yè)簡(jiǎn)歷，并且在信息安全方面，背景檢查的范圍取決于工作要求。加入公司后，公司所有員工必須簽署保密協(xié)議，并且這些安全策略中對(duì)客戶信息和數(shù)據(jù)的保密要求更新。新的重點(diǎn)放在了員工入職培訓(xùn)上，除了為新員工提供信息安全課程培訓(xùn)之外，公司還根據(jù)員工的不同角色進(jìn)行其他信息安全培訓(xùn)，以確保必須根據(jù)安全策略實(shí)施由不同角色的員工管理的用戶數(shù)據(jù)。離開(kāi)公司后，該公司及時(shí)終止了離職者的所有訪問(wèn)權(quán)，并收回了本組織提供的各種身份證件。。第三方人員指的是公司購(gòu)買(mǎi)某些較小項(xiàng)目的外包服務(wù)，以控制人工成本，這些項(xiàng)目將與公司的內(nèi)部系統(tǒng)交互。6.2企業(yè)SRC的建立作為一個(gè)專業(yè)的互聯(lián)網(wǎng)服務(wù)平臺(tái)，企業(yè)對(duì)信息安全有深入的了解，如何有效保障用戶的信息安全始終是企業(yè)的首要任務(wù)。以展示公司在安全方面的態(tài)度,擴(kuò)大各領(lǐng)域安全測(cè)試和保證企業(yè)信息系統(tǒng)的安全,一般情況下,企業(yè)的安全應(yīng)急中心(ASRC)成立,作為溝通平臺(tái)與安全領(lǐng)域的大多數(shù)研究人員，形成了良好的安全生態(tài)系統(tǒng)，陪同企業(yè)發(fā)展，達(dá)到了最終安全目標(biāo)。6.3應(yīng)用交付安全安全管理中的大多數(shù)過(guò)程不會(huì)在任何企業(yè)中獨(dú)立存在。相反，“安全措施”將嵌入公司的其他研發(fā)和運(yùn)營(yíng)環(huán)節(jié)。除了安全（對(duì)外開(kāi)放的業(yè)務(wù)的一部分）外，公司的大多數(shù)內(nèi)部安全問(wèn)題都可以視為價(jià)值鏈中的風(fēng)險(xiǎn)控制環(huán)節(jié)，對(duì)于M公司而言，變更發(fā)布是價(jià)值鏈中最大的任務(wù)之一。根據(jù)產(chǎn)品的嚴(yán)重性確定的，其中包括體系結(jié)構(gòu)級(jí)的安全性，包括諸如“應(yīng)用程序安全性開(kāi)發(fā)標(biāo)準(zhǔn)”之類(lèi)的預(yù)先約定的規(guī)范，以及諸如輸入輸出驗(yàn)證之類(lèi)的編碼級(jí)的安全性標(biāo)準(zhǔn)，交付內(nèi)容包括安全測(cè)試，發(fā)布前的掃描程序以及預(yù)先計(jì)劃的應(yīng)急計(jì)劃。6.4安全應(yīng)急保護(hù)如果發(fā)生異常情況或緊急情況，例如重大事件（例如網(wǎng)絡(luò)出口中斷或門(mén)戶網(wǎng)站異常），則需要及時(shí)判斷事件的重要性和危害性，并啟動(dòng)三級(jí)響應(yīng)機(jī)制，如下圖6-1所示。總結(jié)備案總結(jié)備案二級(jí)響應(yīng)通知相應(yīng)負(fù)責(zé)人管理者指揮、協(xié)調(diào)處理處理完畢、編寫(xiě)故障處理報(bào)告三級(jí)響應(yīng)自行處理疑難故障突發(fā)事件重大安全事故一級(jí)響應(yīng)通知相應(yīng)高管圖6-1應(yīng)急響應(yīng)流程一級(jí)反應(yīng)。這個(gè)響應(yīng)是最高的響應(yīng)級(jí)別。當(dāng)發(fā)生重大安全事件時(shí)，首先需要確定是否需要作為第一級(jí)響應(yīng)激活，要求相關(guān)安全人員根據(jù)事件情況通知相應(yīng)的責(zé)任人，并盡快通知企業(yè)，由高管人員領(lǐng)導(dǎo)的高管人員將與所有負(fù)責(zé)人和技術(shù)人員聯(lián)合成立應(yīng)急小組，以迅速處理事故。二級(jí)響應(yīng)。如果事故級(jí)別未達(dá)到第一級(jí)級(jí)別，則將流程轉(zhuǎn)移到第二級(jí)響應(yīng)過(guò)程，而不報(bào)告給最高管理級(jí)別。如果無(wú)法處理，則需要外部技術(shù)支持。三級(jí)響應(yīng)。如果不是上述的一級(jí)和二級(jí)重大事故，則需要由負(fù)責(zé)的技術(shù)人員啟動(dòng)和處理三級(jí)響應(yīng)過(guò)程。如果超出處理能力，則應(yīng)盡快尋