信息系统的安全保障与质量管理PPT课件.pptx

《信息系统的安全保障与质量管理PPT课件.pptx》由会员分享，可在线阅读，更多相关《信息系统的安全保障与质量管理PPT课件.pptx（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统的安全保障与质量管理信息系统的安全保障与质量管理 一）信息系统中几种常见的安全脆弱点一）信息系统中几种常见的安全脆弱点 信息系统安全方面的脆弱点主要有以下几个方面。信息系统安全方面的脆弱点主要有以下几个方面。1在线链接的信息系统或通过电信网络在线链接的信息系统或通过电信网络(电缆或光缆电缆或光缆)链接的信链接的信息系统息系统 2无线数据网络无线数据网络 无线数据网络通过空中传送无线电波实现数据的收发，其数据无线数据网络通过空中传送无线电波实现数据的收发，其数据安全保密性是最差的，任何人只要利用适当的接收设备都能截获安全保密性是最差的，任何人只要利用适当的接收设备都能截获到这些信号。到这

2、些信号。3客户机客户机/服务器模式的网络服务器模式的网络 这类网络信息系统的安全问题在于有更多的网络接入点可用，这类网络信息系统的安全问题在于有更多的网络接入点可用，通过这些接人点很容易对系统文件级的内容动手脚，造成破坏性通过这些接人点很容易对系统文件级的内容动手脚，造成破坏性的损失。的损失。4Internet网络网络 在所有的信息系统当中，在所有的信息系统当中，Internet网络的安全保障可以说是最为网络的安全保障可以说是最为脆弱的。更由于它发展迅速，其安全问题通常没有获得充分的考脆弱的。更由于它发展迅速，其安全问题通常没有获得充分的考虑。利用虑。利用TCPIP这种通用的网络存取协议加上一

3、些的技术技巧，这种通用的网络存取协议加上一些的技术技巧，在很多情况下，可以在任何地点未经授权获得所需要的信息在很多情况下，可以在任何地点未经授权获得所需要的信息 v二）影响信息系统安全的几种主要因素二）影响信息系统安全的几种主要因素 1计算机犯罪计算机犯罪 计算机犯罪包括故意偷窃或毁坏数据，使系统不能正常实现其计算机犯罪包括故意偷窃或毁坏数据，使系统不能正常实现其服务功能；或利用计算机硬件、软件、数据等进行非法的活动。服务功能；或利用计算机硬件、软件、数据等进行非法的活动。2黑客黑客 计算机黑客是人们对那些利用所掌握的技术未经授权而进入一计算机黑客是人们对那些利用所掌握的技术未经授权而进入一个

4、计算机信息网，以获取个人利益、故意捣乱或寻求刺激为目的个计算机信息网，以获取个人利益、故意捣乱或寻求刺激为目的的人的总称。经验丰富的网迷们精于利用他们的的人的总称。经验丰富的网迷们精于利用他们的PC机潜入公用电机潜入公用电话网络，偷听别人的通话、将自己的通话费记在别人的账单上，话网络，偷听别人的通话、将自己的通话费记在别人的账单上，或者毁掉数据，或者干扰电话交换机的正常工作。或者毁掉数据，或者干扰电话交换机的正常工作。计算机黑客和计算机犯罪之间的界限不能很严格的区分开来，计算机黑客和计算机犯罪之间的界限不能很严格的区分开来，但黑客的主要特征是寻求网上猎奇、故意毁坏他人数据、散播病但黑客的主要特

5、征是寻求网上猎奇、故意毁坏他人数据、散播病毒，而计算机犯罪以从网上获取钱财为目的。毒，而计算机犯罪以从网上获取钱财为目的。v3计算机病毒计算机病毒 计算机病毒是一个由来已久的话题。计算机病毒的作者往往是计算机病毒是一个由来已久的话题。计算机病毒的作者往往是一些电脑发烧友，他们有的是出于搞恶作剧的目的，有的是出于一些电脑发烧友，他们有的是出于搞恶作剧的目的，有的是出于破坏别人以报复为目的。他们编制出一段程序在系统文件或应用破坏别人以报复为目的。他们编制出一段程序在系统文件或应用文件之间漫无目的的广泛传播，或者附着在正常文件的末尾或者文件之间漫无目的的广泛传播，或者附着在正常文件的末尾或者加在正常

6、文件的中间，就像人身体当中的病毒被正常体细胞携带加在正常文件的中间，就像人身体当中的病毒被正常体细胞携带一样。一样。4计算机商业间谍计算机商业间谍 信息化的浪潮使得越来越多的大大小小的么司、银行、企业信息化的浪潮使得越来越多的大大小小的么司、银行、企业等经济实体加入了上网的行列。他们把越来越多的秘密信息保存等经济实体加入了上网的行列。他们把越来越多的秘密信息保存在计算机上，其中包括经营战略计划、销售数据、产品配方甚至在计算机上，其中包括经营战略计划、销售数据、产品配方甚至秘密的信件、备忘录等等。这些信息对竞争对手来说是非常珍贵秘密的信件、备忘录等等。这些信息对竞争对手来说是非常珍贵的。这些信息

7、要经过遍布世界各个角落的通信网进行传输，公司的。这些信息要经过遍布世界各个角落的通信网进行传输，公司之间信息的传送和接收要使用相同的协议，甚至要使用同一家软之间信息的传送和接收要使用相同的协议，甚至要使用同一家软件公司生产的软件产品和相同的平台。这些软件产品的通用性更件公司生产的软件产品和相同的平台。这些软件产品的通用性更助长了专门从事网络信息搜集的商业间谍的机会。计算机商业间助长了专门从事网络信息搜集的商业间谍的机会。计算机商业间谍可以直接进入商家的电脑获得这些信息。谍可以直接进入商家的电脑获得这些信息。v（三）信息系统的质量问题（三）信息系统的质量问题 1软件质量问题软件质量问题 软件产品

8、的质量问题是直接关系到信息系统能否运行的大问题。软件产品的质量问题是直接关系到信息系统能否运行的大问题。所谓质量可以定义为所谓质量可以定义为“与一个产品或服务是否能够满足其指定的与一个产品或服务是否能够满足其指定的或蕴涵的需求有关的性质与特征的总和或蕴涵的需求有关的性质与特征的总和”。企业生产产品时流行。企业生产产品时流行的做法是对生产过程实行全面质量管理。通过全面质量管理，可的做法是对生产过程实行全面质量管理。通过全面质量管理，可以使生产出来的产品具有较高的质量。以使生产出来的产品具有较高的质量。“产品零缺陷产品零缺陷”是大多数是大多数企业追求的目标，对某些产品而言，企业追求的目标，对某些产

9、品而言，“零缺陷零缺陷”是最基本的要求，是最基本的要求，比如心脏起搏器，飞机发动机等。但是，计算机软件不同，理论比如心脏起搏器，飞机发动机等。但是，计算机软件不同，理论和实际都表明，目前的软件编程技术无法使软件产品达到和实际都表明，目前的软件编程技术无法使软件产品达到“零缺零缺陷陷”，而只能尽量减少缺陷。，而只能尽量减少缺陷。对于大多数信息系统而言，对于大多数信息系统而言，“零缺陷零缺陷”并不是必须要追求的目并不是必须要追求的目标，但是尽量减少软件中可能造成严重情况的缺陷发生次数以及标，但是尽量减少软件中可能造成严重情况的缺陷发生次数以及由此所造成的损失，使软件的质量达到合情合理的程度，是可以

10、由此所造成的损失，使软件的质量达到合情合理的程度，是可以做到的。做到的。v信息系统的用户所面临的另一个问题是系统的软件维信息系统的用户所面临的另一个问题是系统的软件维护。系统的软件维护从其安装使用的那一天开始一直护。系统的软件维护从其安装使用的那一天开始一直要延续下去，短则一年半载，长则十年以上，只要用要延续下去，短则一年半载，长则十年以上，只要用户使用，它就需要维护。软件系统维护不只是保证系户使用，它就需要维护。软件系统维护不只是保证系统正常运行，而且还要维持软件的更新和用户不断增统正常运行，而且还要维持软件的更新和用户不断增长的需求。比如企业的业务发展了，销售系统的软件长的需求。比如企业的

11、业务发展了，销售系统的软件需要更新，至少霉能够保证用户添加新的销售网点和需要更新，至少霉能够保证用户添加新的销售网点和销售品种。更进一步说，原先不具备网上功能的软件销售品种。更进一步说，原先不具备网上功能的软件需要增加上网能力，以服务于分散在不同地点的销售需要增加上网能力，以服务于分散在不同地点的销售人员，也需要更新软件。再比如，企业成本支出的增人员，也需要更新软件。再比如，企业成本支出的增加，可能迫使其改进生产流程，这样一来，生产流程加，可能迫使其改进生产流程，这样一来，生产流程控制软件就需要修改。在大多数软件系统中，软件的控制软件就需要修改。在大多数软件系统中，软件的更新换代是软件生命周期

12、的必然结果。更新换代是软件生命周期的必然结果。v2数据质量问题数据质量问题 信息系统产生故障原因有时是由于输入数据信息系统产生故障原因有时是由于输入数据的错误所造成的。不准确的数据、过时的数据、的错误所造成的。不准确的数据、过时的数据、不完整的数据都可能产生误会，使人误以为是不完整的数据都可能产生误会，使人误以为是软件质量问题。数据的不准确造成的损失有时软件质量问题。数据的不准确造成的损失有时会很大。会很大。v（四）信息系统安全保障的概念（四）信息系统安全保障的概念 信息系统的安全保障的定义：制定有关的政策、规章制度或采信息系统的安全保障的定义：制定有关的政策、规章制度或采用适当的硬件手段、软

13、件程序和技术工具，保证信息系统不被未用适当的硬件手段、软件程序和技术工具，保证信息系统不被未经授权进入并使用、修改、盗窃，造成损害的各种措施，称为信经授权进入并使用、修改、盗窃，造成损害的各种措施，称为信息系统的安全保障。息系统的安全保障。1总体安全保障总体安全保障 总体保障就像为企业的信息系统的安全提供了一把保护伞，总总体保障就像为企业的信息系统的安全提供了一把保护伞，总体保障措施实施后可以促进下列需求的实现：体保障措施实施后可以促进下列需求的实现：（1）信息系统硬件安全和可靠；）信息系统硬件安全和可靠；（2）信息系统软件安全和可靠；）信息系统软件安全和可靠；（3）数据文件的安全；）数据文件

14、的安全；（4）信息系统运行操作管理的正确；）信息系统运行操作管理的正确；（5）信息系统能够按部就班的得以开发。）信息系统能够按部就班的得以开发。v2应用安全保障应用安全保障 应用保障和总体保障结合在一起共同保证信息系统应用保障和总体保障结合在一起共同保证信息系统更加安全和可靠。应用保障确保具体的系统应用的安更加安全和可靠。应用保障确保具体的系统应用的安全。按照信息系统运行进程，即输入、处理、输出三全。按照信息系统运行进程，即输入、处理、输出三个步骤，应用保障分为输入保障制、处理保障和输出个步骤，应用保障分为输入保障制、处理保障和输出保障三部分。保障三部分。输入保障确保向信息系统输入的数据完整和

15、准确；输入保障确保向信息系统输入的数据完整和准确；处理保障保证处理过程中被更新的数据和文件的完整处理保障保证处理过程中被更新的数据和文件的完整和准确；输出控制则保证计算机处理后输出的结果完和准确；输出控制则保证计算机处理后输出的结果完整、准确并且分布恰当。最重要的应用保障措施包括整、准确并且分布恰当。最重要的应用保障措施包括输入输出授权认证、程序化的例行编辑检查以及总量输入输出授权认证、程序化的例行编辑检查以及总量控制技术。控制技术。v（1）输入输出授权认证）输入输出授权认证 输入输出的授权认证是指信息系统中部分内容，仅允许某些有输入输出的授权认证是指信息系统中部分内容，仅允许某些有权用户输入

16、数据和得到输出数据。比如，公司按月发放奖金时需权用户输入数据和得到输出数据。比如，公司按月发放奖金时需要确认员工的出勤率，领导则根据员工出勤率对每一个员工奖金要确认员工的出勤率，领导则根据员工出勤率对每一个员工奖金分配情况进行核实，并分配情况进行核实，并“签名签名”到输出文件，领导可以有权输入到输出文件，领导可以有权输入数据及预览输出数据文件，财务部门才能根据已数据及预览输出数据文件，财务部门才能根据已“签字签字”的输出的输出文件发放奖金。文件发放奖金。（2）程序化的例行编辑检查）程序化的例行编辑检查 程序化的例行编辑检查是在原始数据被正式处理之前，利用预程序化的例行编辑检查是在原始数据被正式

17、处理之前，利用预先编好的预处理程序对输入的数据进行错误检查，不满足标准的先编好的预处理程序对输入的数据进行错误检查，不满足标准的数据一律报告出来。系统拒绝对有疑问的数据文件作进一步的处数据一律报告出来。系统拒绝对有疑问的数据文件作进一步的处理。例如，订货系统先把输入的订单中各货物产品代码与预先储理。例如，订货系统先把输入的订单中各货物产品代码与预先储存的产品代码目录进行比较，若结果不一致就拒绝接纳该订单。存的产品代码目录进行比较，若结果不一致就拒绝接纳该订单。如果结果相同，再进一步检查货物的价格，按照固定价、批发价如果结果相同，再进一步检查货物的价格，按照固定价、批发价或浮动价分别判断价格是否

18、准确、恰当、合理。或浮动价分别判断价格是否准确、恰当、合理。v（3）总量控制技术）总量控制技术 总量控制技术可适用于信息处理过程中的任总量控制技术可适用于信息处理过程中的任何阶段，其作用是确保数据总量的完整和准确。何阶段，其作用是确保数据总量的完整和准确。在信息系统数据的输入、处理和输出过程中，在信息系统数据的输入、处理和输出过程中，某些位置可以通过不同的手段对信息字段中可某些位置可以通过不同的手段对信息字段中可计算的数据进行统计，走不同的统计路径统计计算的数据进行统计，走不同的统计路径统计出来的数据总量应该是完全一致的，如果出现出来的数据总量应该是完全一致的，如果出现不同，说明某个环节出现问

19、题。统计过程可以不同，说明某个环节出现问题。统计过程可以是手工操作也可以是计算机计算。比如，对订是手工操作也可以是计算机计算。比如，对订货数量的统计可以采用总量控制技术。货数量的统计可以采用总量控制技术。v五）信息系统安全保障的三个重要环节五）信息系统安全保障的三个重要环节 作为信息系统解决方案整体考虑的一部分，作为信息系统解决方案整体考虑的一部分，采用合适的保障技术是保证其安全必不可少的采用合适的保障技术是保证其安全必不可少的条件。经过分析研究后，得到信息系统的安全条件。经过分析研究后，得到信息系统的安全漏洞，逐条逐步的利用不同的安全控制技术加漏洞，逐条逐步的利用不同的安全控制技术加以解决。

20、我们可以在和信息系统的各个环节，以解决。我们可以在和信息系统的各个环节，比如人、组织、技术这三个环节上采取安全控比如人、组织、技术这三个环节上采取安全控制步骤。制步骤。v六）信息系统安全保障的措施六）信息系统安全保障的措施 概括起来信息系统安全保障的措施可以分为三个主要方面，即数概括起来信息系统安全保障的措施可以分为三个主要方面，即数据的安全；计算机和网络的安全；灾难性故障发生后系统的恢复。据的安全；计算机和网络的安全；灾难性故障发生后系统的恢复。随着计算机网络技术和随着计算机网络技术和Internet网络的发展，这三个方面的重要性日网络的发展，这三个方面的重要性日益突出。益突出。1设置数据存

21、取权限保障数据的安全设置数据存取权限保障数据的安全 数据的安全包括禁止无权用户存取数据和防止有权用户随意修改数据的安全包括禁止无权用户存取数据和防止有权用户随意修改数据或在不经意的情况下破坏数据。对于数据的存储和数据的使用数据或在不经意的情况下破坏数据。对于数据的存储和数据的使用必须保证各种应用环境情况下都能做到安全可靠。为此，信息系统必须保证各种应用环境情况下都能做到安全可靠。为此，信息系统的管理部门必须弄清其系统当中存储了什么样的数据的管理部门必须弄清其系统当中存储了什么样的数据?他们如何被使他们如何被使用用?谁有权使用这些数据谁有权使用这些数据?谁有权更新这些数据谁有权更新这些数据?确保

22、数据安全的基本确保数据安全的基本策略是限制对数据的存取，并策略是限制对数据的存取，并“以需要为原则以需要为原则”。Internet网上在线数据的安全问题更需要小心，因为在线数据更多网上在线数据的安全问题更需要小心，因为在线数据更多的是被非技术专家使用。主要的数据安全措施是用户密码或安全字。的是被非技术专家使用。主要的数据安全措施是用户密码或安全字。用户要想进入某个信息系统读取信息或改动数据，必须提供其注册用户要想进入某个信息系统读取信息或改动数据，必须提供其注册登记的用户密码。在登记的用户密码。在Internet网络站点安全措施一节中，网络站点安全措施一节中，比较详细的比较详细的说明了如何保障

23、说明了如何保障Internet网络站点的安全保障措施。网络站点的安全保障措施。v数据的安全措施经常是采用多级保护的方法，对于不数据的安全措施经常是采用多级保护的方法，对于不同安全级别的数据设置不同密码。比如进入主要操作同安全级别的数据设置不同密码。比如进入主要操作系统设置一个密码，若再需要存取系统中的某组数据系统设置一个密码，若再需要存取系统中的某组数据或文件则需要输入另一个组密码，层层把关。或文件则需要输入另一个组密码，层层把关。随着计算机网络化的趋势和随着计算机网络化的趋势和Internet网的兴起，信息网的兴起，信息越来越依赖于远距离通信传输。为了加强保密，需要越来越依赖于远距离通信传输

24、。为了加强保密，需要通过远距离传送的数据被传送前，可以采取加密措施。通过远距离传送的数据被传送前，可以采取加密措施。在信息数据中加入扰码，破坏原排列顺序，称为加密在信息数据中加入扰码，破坏原排列顺序，称为加密码。接收端进行去扰工作，称为解码。这也是一种提码。接收端进行去扰工作，称为解码。这也是一种提高信息系统安全措施的方法。现在人们已经普遍的在高信息系统安全措施的方法。现在人们已经普遍的在电子邮件和办公平台软件中采用加密技术。只需按一电子邮件和办公平台软件中采用加密技术。只需按一个键就可以触发加密功能，对传输文件进行加密。个键就可以触发加密功能，对传输文件进行加密。v2PC机和网络计算机的安全

25、机和网络计算机的安全 单个单个PC机的应用系统已经越来越少，代之而起的是小范围的局域网机的应用系统已经越来越少，代之而起的是小范围的局域网和大范围的全球化的由无数个微机连接在一起的和大范围的全球化的由无数个微机连接在一起的Internet网。因此，信网。因此，信息系统的安全问题可以认为就是计算机网络的安全问题。以前由主机息系统的安全问题可以认为就是计算机网络的安全问题。以前由主机+终端结构组成的信息系统，现在基本上已经由服务器终端结构组成的信息系统，现在基本上已经由服务器+PC结构代替，结构代替，所以连接在网络上的所以连接在网络上的PC机的安全问题就更加重要。特别是那些可以接机的安全问题就更加

26、重要。特别是那些可以接触到网上关键数据的触到网上关键数据的PC机。机。3灾难性事故的恢复灾难性事故的恢复 灾难性事故是指突发的或人们无法抗拒的意外事件的发生对信息系灾难性事故是指突发的或人们无法抗拒的意外事件的发生对信息系统的正常工作所造成的中断影响。比如，火灾、水灾电力供应中断、统的正常工作所造成的中断影响。比如，火灾、水灾电力供应中断、人为的对硬件设备的毁坏等。为了尽量减少灾难性事故对信息系统的人为的对硬件设备的毁坏等。为了尽量减少灾难性事故对信息系统的影响，提前考虑到可能发生的事故并制定一个周密的应急计划是比较影响，提前考虑到可能发生的事故并制定一个周密的应急计划是比较明智的做法。该计划

27、中应明确备用系统的启动和软件数据的恢复方法明智的做法。该计划中应明确备用系统的启动和软件数据的恢复方法并指明通信设备恢复措施。并指明通信设备恢复措施。信息系统中关键的内容是包含重要信息的应用数据文件，其它的硬信息系统中关键的内容是包含重要信息的应用数据文件，其它的硬件软件都是为使其正常工作的支持部分，所以应尽快恢复这一部分内件软件都是为使其正常工作的支持部分，所以应尽快恢复这一部分内容。容。v4Internet网络站点安全措施网络站点安全措施 基于基于Internet网络站点所建立的新的信息系网络站点所建立的新的信息系统，具有更多的安全隐患。统，具有更多的安全隐患。(表表66)(见主教材见主教

28、材)列出了列出了9种可能的安全隐患供站点设计时予以种可能的安全隐患供站点设计时予以考虑。根据不同网站信息系统应用的侧重点其考虑。根据不同网站信息系统应用的侧重点其安全隐患也会有所不同，但总的来说，网站应安全隐患也会有所不同，但总的来说，网站应用不外乎广告、电子商务、用不外乎广告、电子商务、InternetIntranet网络安全保障等三个主要方面。网络安全保障等三个主要方面。v七）提高信息系统中数据质量的措施七）提高信息系统中数据质量的措施 1应用数据库管理系统应用数据库管理系统(DBMS)数据库管理系统数据库管理系统(DBMS)是一种确保数据安全，改进数据质量的好手是一种确保数据安全，改进数

29、据质量的好手段。段。DBMS把数据和数据处理程序分开存放，实现了数据的集中存放把数据和数据处理程序分开存放，实现了数据的集中存放集中管理这一目的，避免随处理程序一起存放所带来的数据冗余问题。集中管理这一目的，避免随处理程序一起存放所带来的数据冗余问题。DBMS可以自动检测输入的数据类型，不满足类型的数据会得到系统可以自动检测输入的数据类型，不满足类型的数据会得到系统提示，并拒绝接受。向提示，并拒绝接受。向DBMS输入数据比向数据处理程序中输人数据输入数据比向数据处理程序中输人数据更容易，只需要按照字段顺序逐条输入即可，这样一来很方便发现输更容易，只需要按照字段顺序逐条输入即可，这样一来很方便发

30、现输入的错误。更重要的是，入的错误。更重要的是，DBMS擅长于生成数据报表或数据分析表，擅长于生成数据报表或数据分析表，由于数据库和数据处理程序分开，即使无关人员可以使用数据处理程由于数据库和数据处理程序分开，即使无关人员可以使用数据处理程序，但只要防止其修改数据库的内容，就可以保证数据的安全。序，但只要防止其修改数据库的内容，就可以保证数据的安全。2建立数据质量审查制度建立数据质量审查制度 建立数据质量审查制度对于改善数据质量是很重要的一环。定期审建立数据质量审查制度对于改善数据质量是很重要的一环。定期审查新近输入的数据，尽早发现有问题的数据。数据审查有多种手段，查新近输入的数据，尽早发现有问题的数据。数据审查有多种手段，比如通过访问客户来了解他们对问题数据的敏感程度；实际由人工手比如通过访问客户来了解他们对问题数据的敏感程度；实际由人工手动检查数据或数据样本或由审查软件自动检查数据样本等等。保证数动检查数据或数据样本或由审查软件自动检查数据样本等等。保证数据的质量对于利用数据进行辅助决策的信息系统是非常重要的据的质量对于利用数据进行辅助决策的信息系统是非常重要的