企业信息系统的安全保障与质量管理.ppt

第六章第六章 企业信息系统的安全保障与企业信息系统的安全保障与质量管理质量管理本本 章章 内内 容容信息系统的脆弱性l第一节第一节信息系统的安全保障l第二节第二节信息系统的质量管理l第三节第三节返回主界面返回主界面信息系统的脆弱性一、信息系统的脆弱点一、信息系统的脆弱点一、信息系统的脆弱点安全质量 在线连接的信息系统或通在线连接的信息系统或通过电信网络（电缆或光钎）过电信网络（电缆或光钎）连接的信息系统连接的信息系统安全脆弱点脆弱点主机终端架构主机终端架构广域网络（广域网络（WAN）主机主机前置机终端控制器终端非法使用或非法使用或不当连接不当连接辐射、串辐射、串音、窃听音、窃听通讯控通讯控制器制器硬件失效或毁坏、硬件失效或毁坏、软件保护措施失效软件保护措施失效非法读取、盗非法读取、盗用、复制数据用、复制数据文件文件DB通过空中传送无线电波通过空中传送无线电波实现数据的收发实现数据的收发l安全性最差安全性最差l用频率相同的设备用频率相同的设备就能截取信号就能截取信号采取措施采取措施：加密数据：加密数据 无线数据网络无线数据网络客户客户/服务器模式的网络服务器模式的网络传播病传播病毒、操毒、操作服务作服务器文件器文件系统系统Client ServerClientClientServerServerpcpcInternetInternet网络网络InternetComputingInternet及及IntranetClientClientClientClientClientClient业务主机业务主机 Web服务器服务器Firewalll病毒病毒l计算机犯罪、计算机犯罪、l计算机商业间谍计算机商业间谍l黑客黑客 软件质量问题软件质量问题脆弱点脆弱点质量 数据质量问题数据质量问题计算机犯罪计算机犯罪 黑黑 客客 计算机病毒计算机病毒商商 业业 间间 谍谍二、危害信息系统安二、危害信息系统安全的几种常见方式全的几种常见方式计算机犯罪计算机犯罪凡是以计算机系统作为凡是以计算机系统作为攻击目标，对它进行危害，攻击目标，对它进行危害，并造成重大损失而触犯有关并造成重大损失而触犯有关法律效果的行为。法律效果的行为。计算机犯罪包括计算机犯罪包括l利用计算机实施的犯罪利用计算机实施的犯罪利用计算机硬件、软件利用计算机硬件、软件数据等进行非法的活动。数据等进行非法的活动。l把计算机作为资产攻击对象把计算机作为资产攻击对象的犯罪的犯罪故意偷窃或毁坏数据。故意偷窃或毁坏数据。案例案例l全国首例非法操纵证券价格案全国首例非法操纵证券价格案l非法攻击他人主机系统非法攻击他人主机系统l扬州工商银行巨款被盗扬州工商银行巨款被盗l乌鲁木齐提款机遭袭击乌鲁木齐提款机遭袭击l国内大学生投国内大学生投“毒毒”第一案第一案l好奇高中生受惩处好奇高中生受惩处计算机犯罪的常见行为计算机犯罪的常见行为l利用计算机盗窃用户的信用卡利用计算机盗窃用户的信用卡账号谋取钱财；账号谋取钱财；l盗用他人的密码免费获得需盗用他人的密码免费获得需要付费的服务、信息或软件；要付费的服务、信息或软件；l篡改数据、删除文件、损坏篡改数据、删除文件、损坏文件等。文件等。计算机犯罪的显著特点计算机犯罪的显著特点l罪犯与组织内部的工作人员罪犯与组织内部的工作人员合伙作案。合伙作案。监守自盗l以获得钱财以获得钱财为主要目的。为主要目的。是人们对那些利用所掌是人们对那些利用所掌握的技术未经授权而进入一握的技术未经授权而进入一个计算机信息网，以获取个个计算机信息网，以获取个人利益、故意捣乱或寻求刺人利益、故意捣乱或寻求刺激为目的的人的总称。激为目的的人的总称。黑黑 客客 黑客的主要特征黑客的主要特征l寻求网上猎奇寻求网上猎奇l故意毁坏他人数据故意毁坏他人数据l散播病毒散播病毒红客能够通过某种途径潜伏在能够通过某种途径潜伏在计算机存储介质或程序里，当计算机存储介质或程序里，当到达某种条件时即可被激活的、到达某种条件时即可被激活的、具有对计算机资源进行破坏作具有对计算机资源进行破坏作用的一段程序或指令集合。用的一段程序或指令集合。计算机病毒计算机病毒 具有代表性的病毒具有代表性的病毒l石头病毒、小球病毒（石头病毒、小球病毒（8888年）年）l宏病毒（宏病毒（WORDWORD病毒）病毒）l黑色星期五（黑色星期五（9090年代初）年代初）l网络蠕虫病毒网络蠕虫病毒lCIHCIH病毒病毒l大量的邮件病毒大量的邮件病毒计算机病毒的预防计算机病毒的预防l安装具有实时监控的防病安装具有实时监控的防病毒软件；毒软件；l尽量少用来历不尽量少用来历不明的软盘明的软盘l安装防火墙软件安装防火墙软件以非法手段获取计算机以非法手段获取计算机信息系统中的商业数据的人信息系统中的商业数据的人总称。总称。计算机商业间谍计算机商业间谍 三、信息系统的质量问题三、信息系统的质量问题 软件质量问题软件质量问题l软件缺陷软件缺陷软件在运行当中出现软件在运行当中出现的故障或软件程序中的代的故障或软件程序中的代码错误。码错误。产品产品0 0缺陷缺陷软件软件0 0缺陷缺陷大型软件的完全测试是根本大型软件的完全测试是根本不可能的。隐藏的缺陷只有不可能的。隐藏的缺陷只有在运行环境和特殊触发条件在运行环境和特殊触发条件具备的时候才能出现。具备的时候才能出现。l软件维护软件维护软件功能的扩展和升级软件功能的扩展和升级数据质量问题数据质量问题垃圾垃圾垃圾垃圾不准确的数据不准确的数据过时的数据过时的数据不完整的数据不完整的数据信息系统的安全保障安全保障安全保障制定有关的政策、制定有关的政策、规章制度或采用适当的硬件手规章制度或采用适当的硬件手段、软件程序和技术工具，保段、软件程序和技术工具，保证信息系统不被未经授权进入证信息系统不被未经授权进入并使用、修改、盗窃，造成损并使用、修改、盗窃，造成损害的各种措施。害的各种措施。l信息系统内部环境的安全保障信息系统内部环境的安全保障信息系统建立过程中需要考虑的安全措施信息系统建立过程中需要考虑的安全措施信息系统建立之后需要考虑的安全措施信息系统建立之后需要考虑的安全措施灾难性故障发生后信息系统的恢复措施灾难性故障发生后信息系统的恢复措施应用安全保障应用安全保障总体安全保障总体安全保障启用备用系统和备用数据启用备用系统和备用数据应用安全保障应用安全保障输入保障输入保障输出保障输出保障处理保障处理保障l口口令令、权权限限控控制制l数数据据合合法法性性效效验验l总总量量控控制制技技术术l口口令令、权权限限控控制制总体安全保障总体安全保障建立建立内部管理制度内部管理制度l组织管理制度组织管理制度l机房管理制度机房管理制度l操作管理制度操作管理制度l系统维护管理制度系统维护管理制度l文档管理制度等文档管理制度等 防火、防盗、防磁、防火、防盗、防磁、防潮、防尘等措施防潮、防尘等措施确定系统使用确定系统使用人员人员操作流程、操作日操作流程、操作日志、数据备份等措志、数据备份等措施施软硬件故障维软硬件故障维修、升级及软修、升级及软件功能扩充等件功能扩充等措施措施所有与系统有所有与系统有关的文档资料关的文档资料（系统文档、（系统文档、用户文档、操用户文档、操作文档）的管作文档）的管理措施理措施启用备用系统和备用数据启用备用系统和备用数据视系统损坏的具体情况决视系统损坏的具体情况决定是否启用备用系统和备用数定是否启用备用系统和备用数据。据。l信息系统外部环境的安全保障信息系统外部环境的安全保障Internet网络站点安全措施网络站点安全措施l防火墙防火墙l数据加密数据加密l视网膜扫描技术视网膜扫描技术l指纹识别技术指纹识别技术信息系统的质量管理 一、提高软件质量的措施一、提高软件质量的措施 二、提高数据质量的措施二、提高数据质量的措施l软件的开发方法软件的开发方法生命周期法生命周期法快速原型法快速原型法面向对象法面向对象法l软件程序代码设计编写标准软件程序代码设计编写标准采用标准的结构化模块化设采用标准的结构化模块化设计方法来编写程序代码。计方法来编写程序代码。l软件开发工具（软件开发工具（CASECASE）（计算机辅助软件工程）（计算机辅助软件工程）l软件的测试软件的测试由软件质量工程师负责测试由软件质量工程师负责测试CMMCMM（软件生产能力成熟度模型）（软件生产能力成熟度模型）（规模软件）（规模软件）l软件生产过程管理软件生产过程管理l软件质量的度量软件质量的度量McCallMcCall度量法度量法l设计防火墙的目的就是不要让那些来自不设计防火墙的目的就是不要让那些来自不受保护的网络如受保护的网络如Internet网上的多余的未授网上的多余的未授权的信息进入专用网络，如权的信息进入专用网络，如LAN或或WAN，而而仍能允许本地网络上的你以及其他用户访问仍能允许本地网络上的你以及其他用户访问Internet服务。服务。内部内部LAN防火墙防火墙网关网关Internetl大多数防火墙就是一些路由器，他们大多数防火墙就是一些路由器，他们根据数据包的源地址、目的地址、更高根据数据包的源地址、目的地址、更高级的协议，或根据由专用网络安全管理级的协议，或根据由专用网络安全管理员制定的标准，或安全策略，过滤进入员制定的标准，或安全策略，过滤进入网络的数据包。网络的数据包。l防火墙一个基本目的是保防火墙一个基本目的是保护站点不被黑客攻击。护站点不被黑客攻击。常见的有：常见的有：l利用计算机盗窃用户的信用卡帐号谋取钱财；利用计算机盗窃用户的信用卡帐号谋取钱财；l盗用他人的密码免费获得需要付费的服务、盗用他人的密码免费获得需要付费的服务、信息或软件信息或软件CMM软件生产能力成熟度模型，是一种软件生产能力成熟度模型，是一种用于评价软件承包商能力并帮助改善软件质用于评价软件承包商能力并帮助改善软件质量的方法，其目的是帮助软件企业读一软件量的方法，其目的是帮助软件企业读一软件工程过程进行挂你和改进，增强开发与改进工程过程进行挂你和改进，增强开发与改进能力，从而能按时地、不超预算地开发出高能力，从而能按时地、不超预算地开发出高质量的软件。质量的软件。CMM是目前国际上最流行、最实用的一种软是目前国际上最流行、最实用的一种软件生产过程标准，成为当今企业从事规模软件生产过程标准，成为当今企业从事规模软件生产不可缺少的一项内容。件生产不可缺少的一项内容。