第15章 信息系統(tǒng)的運行維護與安全

信息系統(tǒng)基礎第13章面向對象信息系統(tǒng)開發(fā)第15章信息系統(tǒng)的運行維護與安全15.1信息系統(tǒng)的運行管理15.2信息系統(tǒng)的維護15.3信息系統(tǒng)安全管理15.4信息系統(tǒng)審計與評價15.1信息系統(tǒng)的運行管理15.1.1系統(tǒng)運行的組織與人員信息中心信息主管(CIO，chiefinformationofficer)經理/廠長信息中心/信息主管部門n部門2部門1部門信息系統(tǒng)部門信息系統(tǒng)部門信息系統(tǒng)15.1信息系統(tǒng)的運行管理信息系統(tǒng)運行管理的人員信息主管/CIO硬件管理員網絡管理員數(shù)據(jù)庫管理員測試員程序員操作員培訓計劃員機房值班員資料管理員耗材管理員技術人員管理人員15.1信息系統(tǒng)的運行管理15.1.2系統(tǒng)運行的管理制度國家法規(guī)《中華人民共和國計算機信息系統(tǒng)安全保護條例》《中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定》《計算機信息網絡國際聯(lián)網安全保護管理辦法》部門規(guī)章制度機房管理制度數(shù)據(jù)、用戶名密碼、病毒等其他管理制度15.1信息系統(tǒng)的運行管理15.1.3系統(tǒng)的日常運行管理1、數(shù)據(jù)的收集數(shù)據(jù)采集數(shù)據(jù)校驗數(shù)據(jù)錄入15.1信息系統(tǒng)的運行管理2、例行的信息處理和信息服務定期或不定期的運行某些程序，如數(shù)據(jù)備份、同步更新、統(tǒng)計分析、報表生成、與外界的數(shù)據(jù)定期交換等等。15.1信息系統(tǒng)的運行管理3.設備管理與維護計算機及網絡設備的運行與維護，包括設備的使用管理，定期檢修，備品配件的準備，各種消耗性材料的使用與管理，電源及工作環(huán)境的管理等等。15.1信息系統(tǒng)的運行管理4、系統(tǒng)運行情況的記錄（1）信息系統(tǒng)工作數(shù)量（2）系統(tǒng)工作的效率（3）提供服務的質量（4）系統(tǒng)的故障情況（5）系統(tǒng)維護升級情況第15章信息系統(tǒng)的運行維護與安全15.1信息系統(tǒng)的運行管理15.2信息系統(tǒng)的維護15.3信息系統(tǒng)安全管理15.4信息系統(tǒng)審計與評價15.2信息系統(tǒng)的維護15.2.1系統(tǒng)維護的意義為什么需要維護？即使是精心設計、精心實施、經過調試驗收的系統(tǒng)，也難免有不盡如人意的地方，甚至還有錯誤。信息系統(tǒng)的實際運行還可能激發(fā)出用戶在系統(tǒng)開發(fā)之前沒有想到的功能要求。管理環(huán)境和法規(guī)政策的變化，會對信息系統(tǒng)提出新的要求。信息技術的迅速發(fā)展也為信息系統(tǒng)的升級提供有力的手段，促使信息系統(tǒng)的升級換代。15.2信息系統(tǒng)的維護維護成本隨著信息系統(tǒng)應用的深入發(fā)展，以及使用壽命的延長，系統(tǒng)維護工作量也越來越大。20世紀70年代為30%—40%，80年代為40%—60%，90年代70%。從人力資源的分布看，現(xiàn)在世界90%的軟件人員在從事軟件維護工作，開發(fā)新系統(tǒng)的人員僅占10%。系統(tǒng)的可維護性是評價信息系統(tǒng)性能的重要指標之一。一個可維護性好的系統(tǒng)，其結構、接口、內部過程應當容易理解，容易對系統(tǒng)進行測試和診斷，有良好的文檔，系統(tǒng)的模塊化程度高因而容易修改，從而降低維護成本。15.2信息系統(tǒng)的維護15.2.2系統(tǒng)維護的對象與類型（1）應用程序的維護應用序的修改和調整。（2）數(shù)據(jù)維護數(shù)據(jù)的更新，備份與恢復，以及由于業(yè)務或環(huán)境的變化而引起數(shù)據(jù)結構的調整。（3）代碼維護為適應環(huán)境的變化，系統(tǒng)中的各種事物的編碼體系需要維護。（4）硬件設備維護主要指主機、網絡設備和各類外部設備的維護。15.2信息系統(tǒng)的維護應用軟件的維護類型（1）糾錯性維護（2）完善性維護（3）適應性維護（4）預防性維護15.2信息系統(tǒng)的維護15.2.3系統(tǒng)維護的管理軟件維護的流程第15章信息系統(tǒng)的運行維護與安全15.1信息系統(tǒng)的運行管理15.2信息系統(tǒng)的維護15.3信息系統(tǒng)安全管理15.4信息系統(tǒng)審計與評價15.3信息系統(tǒng)安全管理計算機犯罪2008年網絡犯罪分子竊取數(shù)據(jù)和安全突破使全球企業(yè)付出了1萬億美元的代價，而據(jù)不完全統(tǒng)計，全世界每年發(fā)生網絡侵入事件高達二三十萬起。我國2000年計算機犯罪2700余起，2008年突破4500起，詐騙、敲詐、竊取等形式的網絡犯罪涉案金額從數(shù)萬元發(fā)展到數(shù)百萬元金融行業(yè)計算機網絡犯罪案件發(fā)案比例占整個計算機犯罪比例高達61%。黑客攻擊數(shù)據(jù)泄漏15.3信息系統(tǒng)安全管理信息系統(tǒng)的安全性主要體現(xiàn)在以下幾個方面：保密性：保護信息的存儲與傳輸，確保信息不暴露給未授權者?？煽刂菩裕嚎刂剖跈喾秶鷥鹊男畔⒘飨蚝托袨榉绞?。保證合法用戶的正確使用，防止非法操作或使用?？蓪彶樾裕簩Τ霈F(xiàn)的系統(tǒng)安全問題提供調查依據(jù)和手段?？构粜裕旱钟欠ㄓ脩暨M行系統(tǒng)訪問、竊取系統(tǒng)資源、破壞系統(tǒng)運行。15.3信息系統(tǒng)安全管理15.3.1信息系統(tǒng)的脆弱性（1）軟件缺陷（2）系統(tǒng)配置不當（3）脆弱性口令（4）信息泄漏（5）設計缺陷15.3信息系統(tǒng)安全管理15.3.2信息系統(tǒng)面臨的威脅和攻擊（1）對實體的威脅和攻擊主要指對計算機及其外部設備、網絡的威脅和攻擊。（2）對信息的威脅和攻擊信息泄露信息破壞（3）計算機犯罪因行為人的主觀罪過，對計算機信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、網絡以及系統(tǒng)的正常運行狀態(tài)）的完整性、保密性和可用性造成危害；或者以計算機為工具，應用計算機技術和知識實施觸犯刑事法律法規(guī)而應受到處理的行為（4）計算機病毒15.3信息系統(tǒng)安全管理對企業(yè)信息系統(tǒng)的攻擊主動攻擊竊取并干擾通信線路上的信息返回滲透：截取系統(tǒng)的信息，并將偽信息返回系統(tǒng)。非法冒充：竊取合法用戶的口令，進行竊取或破壞信息的活動。系統(tǒng)內部人員的竊密或破壞系統(tǒng)信息的活動。被動攻擊直接偵獲截獲信息合法竊取從遺棄的媒體中分析獲取信息15.3信息系統(tǒng)安全管理15.3.3信息系統(tǒng)的安全策略和實施安全管理原則多人負責原則任期有限原則職責分離原則安全管理內容（1）制定安全制度和操作規(guī)程（2）執(zhí)行維護工作流程（3）制定緊急恢復措施（4）人員管理（5）用戶安全管理（6）物理安全管理（7）實體訪問控制安全管理60%實體20%技術10%法律10%第15章信息系統(tǒng)的運行維護與安全15.1信息系統(tǒng)的運行管理15.2信息系統(tǒng)的維護15.3信息系統(tǒng)安全管理15.4信息系統(tǒng)審計與評價15.4信息系統(tǒng)審計與評價15.4.1信息系統(tǒng)審計“審計”一詞是指專設機關對各級政府、金融機構、企事業(yè)單位的財務收支進行事前和事后的審查。信息系統(tǒng)審計最早稱為計算機審計，主要關注的是被審計單位電子數(shù)據(jù)的取得、分析、計算等數(shù)據(jù)處理業(yè)務，檢查交易金額和賬戶、報表金額，審查其真實性、準確性。信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護資產的安全、維護數(shù)據(jù)的完整、使被審計單位的目標得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。15.4信息系統(tǒng)審計與評價1、信息系統(tǒng)運行審計對信息系統(tǒng)支持的業(yè)務信息或業(yè)務數(shù)據(jù)的審計，檢驗其正確性、真實性。（1）內部控制制度審計（2）應用程序審計（3）數(shù)據(jù)文件審計（4）處理系統(tǒng)綜合審計2、信息系統(tǒng)開發(fā)審計審計信息系統(tǒng)的開發(fā)過程，檢查開發(fā)過程是否科學、規(guī)范。15.4信息系統(tǒng)審計與評價國際信息系統(tǒng)審計師資格CertifiedInformationSystemAuditor——CISACISA考試內容：信息系統(tǒng)審計準則與安全、信息系統(tǒng)的安全與控制實務信息系統(tǒng)的組織與管理信息系統(tǒng)的處理過程信息系統(tǒng)的完整、保密和有效信息系統(tǒng)軟件的開發(fā)、實施與維護15.4信息系統(tǒng)審計與評價15.4.2信息系統(tǒng)運行評價（1）系統(tǒng)功能：預定的系統(tǒng)開發(fā)目標實際完成情況系統(tǒng)功能的實用性和有效性系統(tǒng)運行結果對各部門的支持程度