第六章企业信息系统的安全保障与质量管理.pptx

第六章 企业信息系统的安全保障与质量管理 本章讨论了信息系统的脆弱性，论述了信息系统的安全保障问题与质量管理问题。 一、影响信息系统安全的几种主要因素； 二、信息系统安全保障的概念； 三、提高信息系统中软件质量的措施； 一、影响信息系统安全的几种主要因素及系统安全脆弱点 属于信息系统外部因素造成的安全隐患有：（1）计算机犯罪 计算机犯罪包括故意偷窃或毁坏数据，使系统不能正常实现其服务功能；或利用计算机硬件、软件、数据等进行非法的活动。 （2）黑客 计算机黑客是人们对那些利用所掌握的技术未经授权而进入一个计算机信息网，以获取个人利益、故意捣乱或寻求刺激为目的的人的总称。（3）计算机病毒 是一种人为制造的、隐藏在计算机系统信息资源中的、能够自我复制进行传播的程序。 （4）计算机商业间谍 是指一些专门从事网络信息搜集来获取商业秘密信息非法活动的人员。2．应用安全保障 应用保障和总体保障结合在一起共同保证信息系统更加安全和可靠。应用保障确保具体的系统应用的安全。按照信息系统运行进程，即输入、处理、输出三个步骤，应用保障分为输入保障制、处理保障和输出保障三部分。 输入保障确保向信息系统输入的数据完整和准确；处理保障保证处理过程中被更新的数据和文件的完整和准确；输出控制则保证计算机处理后输出的结果完整、准确并且分布恰当。最重要的应用保障措施包括输入输出授权认证、程序化的例行编辑检查以及总量控制技术。 （1）输入输出授权认证 输入输出的授权认证是指信息系统中部分内容，仅允许某些有权用户输入数据和得到输出数据。比如，公司按月发放奖金时需要确认员工的出勤率，领导则根据员工出勤率对每一个员工奖金分配情况进行核实，并“签名”到输出文件，领导可以有权输入数据及预览输出数据文件，财务部门才能根据已“签字”的输出文件发放奖金。 （2）程序化的例行编辑检查 程序化的例行编辑检查是在原始数据被正式处理之前，利用预先编好的预处理程序对输入的数据进行错误检查，不满足标准的数据一律报告出来。系统拒绝对有疑问的数据文件作进一步的处理。例如，订货系统先把输入的订单中各货物产品代码与预先储存的产品代码目录进行比较，若结果不一致就拒绝接纳该订单。如果结果相同，再进一步检查货物的价格，按照固定价、批发价或浮动价分别判断价格是否准确、恰当、合理。 （3）总量控制技术 总量控制技术可适用于信息处理过程中的任何阶段，其作用是确保数据总量的完整和准确。在信息系统数据的输入、处理和输出过程中，某些位置可以通过不同的手段对信息字段中可计算的数据进行统计，走不同的统计路径统计出来的数据总量应该是完全一致的，如果出现不同，说明某个环节出现问题。统计过程可以是手工操作也可以是计算机计算。比如，对订货数量的统计可以采用总量控制技术。 二、 信息系统安全保障的概念 信息系统的安全保障的定义：制定有关的政策、规章制度或采用适当的硬件手段、软件程序和技术工具，保证信息系统不被未经授权进入并使用、修改、盗窃，造成损害的各种措施，称为信息系统的安全保障。 1．总体安全保障 总体保障就象为企业的信息系统的安全提供了一把保护伞，总体保障措施实施后可以促进下列需求的实现： （1）信息系统硬件安全和可靠 （2）信息系统软件安全和可靠 （3）数据文件的安全 （4）信息系统运行操作管理的正确 （5）信息系统能够按部就班的得以开发 2．应用安全保障 应用保障和总体保障结合在一起共同保证信息系统更加安全和可靠。应用保障确保具体的系统应用的安全。按照信息系统运行进程，即输入、处理、输出三个步骤，应用保障分为输入保障制、处理保障和输出保障三部分。 输入保障确保向信息系统输入的数据完整和准确；处理保障保证处理过程中被更新的数据和文件的完整和准确；输出控制则保证计算机处理后输出的结果完整、准确并且分布恰当。最重要的应用保障措施包括输入输出授权认证、程序化的例行编辑检查以及总量控制技术。 （1）输入输出授权认证 输入输出的授权认证是指信息系统中部分内容，仅允许某些有权用户输入数据和得到输出数据。比如，公司按月发放奖金时需要确认员工的出勤率，领导则根据员工出勤率对每一个员工奖金分配情况进行核实，并“签名”到输出文件，领导可以有权输入数据及预览输出数据文件，财务部门才能根据已“签字”的输出文件发放奖金。 （2）程序化的例行编辑检查 程序化的例行编辑检查是在原始数据被正式处理之前，利用预先编好的预处理程序对输入的数据进行错误检查，不满足标准的数据一律报告出来。系统拒绝对有疑问的数据文件作进一步的处理。例如，订货系统先把输入的订单中各货物产品代码与预先储存的产品代码目录进行比较，若结果不一致就拒绝接纳该订单。如果结果相同，再进一步检查货物的价格，按照固定价、批发价或浮动价分别判断价格是否准确、