第八章 企業(yè)信息化與軟件質(zhì)量管理課件

第八章企業(yè)信息化與軟件質(zhì)量管理8.1企業(yè)信息化建設(shè)過程8.2軟件需求分析管理8.3軟件架構(gòu)設(shè)計(jì)8.4軟件功能設(shè)計(jì)8.5系統(tǒng)安全設(shè)計(jì)第八章企業(yè)信息化與軟件質(zhì)量管理8.1企業(yè)信息化建設(shè)過1本章教學(xué)目標(biāo)了解企業(yè)信息化建設(shè)過程明確軟件需求管理的重要性了解軟件架構(gòu)的變遷了解企業(yè)信息安全層次設(shè)計(jì)熟悉身份設(shè)別技術(shù)的發(fā)展過程本章教學(xué)目標(biāo)了解企業(yè)信息化建設(shè)過程28.1企業(yè)信息化建設(shè)過程問題定義分析研究需求分析軟件設(shè)計(jì)編碼測(cè)試維護(hù)定義階段開發(fā)階段維護(hù)階段瀑布開發(fā)模式8.1企業(yè)信息化建設(shè)過程問題定義分析研究需求分析軟件設(shè)計(jì)3存在問題及解決方案一、需求不明：1、中小企業(yè)有需求無建設(shè)，大型企業(yè)有建設(shè)無規(guī)劃；2、摸石頭過河，被軟件供應(yīng)商牽扯鼻子走，應(yīng)用被鎖定嚴(yán)重；

3、追求時(shí)髦，盲目強(qiáng)求大而全，“一行白鷺上青天”。存在問題：適用性不足；“IT建設(shè)黑洞”明顯解決方案：提前進(jìn)行軟件測(cè)試。1、選擇專家咨詢服務(wù)，先規(guī)劃后建設(shè)；2、多看實(shí)際應(yīng)用客戶、進(jìn)行實(shí)際數(shù)據(jù)模擬測(cè)試；

3、量體裁衣進(jìn)行企業(yè)信息化建設(shè)；4、培養(yǎng)自身IT服務(wù)能力，避免軟件商店大欺客。存在問題及解決方案一、需求不明：4存在問題及解決方案二、架構(gòu)不當(dāng)：1、重視功能，強(qiáng)調(diào)技術(shù)，輕視自身IT素養(yǎng)和實(shí)際需求；2、可擴(kuò)展性考慮不足，系統(tǒng)可繼承性與可集成性差，IT應(yīng)用孤島嚴(yán)重，IT內(nèi)部片面應(yīng)用嚴(yán)重。存在問題：可用性與可繼承性不足；應(yīng)用替換頻繁。解決方案：提前測(cè)試與系統(tǒng)性能測(cè)試結(jié)合。1、看人做飯，考慮系統(tǒng)實(shí)際響應(yīng)需求；2、進(jìn)行企業(yè)信息資源管理IRM，業(yè)務(wù)應(yīng)用需求進(jìn)行整合；

3、進(jìn)行軟件性能測(cè)試，確知系統(tǒng)性能瓶頸。存在問題及解決方案二、架構(gòu)不當(dāng)：5存在問題及解決方案三、應(yīng)用膚淺：1、重功能，輕數(shù)據(jù)，IT應(yīng)用程度膚淺；2、數(shù)據(jù)整合力度有限。存在問題：企業(yè)應(yīng)用膚淺，停留在單純統(tǒng)計(jì)報(bào)表方面，缺乏智能化信息分析。解決方案：進(jìn)行專家數(shù)據(jù)治理分析。1、多與同行溝通，多看多聽；2、借用專家資源，搭建企業(yè)數(shù)據(jù)中心；

3、實(shí)行從上到下規(guī)劃與從下到上建設(shè)相結(jié)合、從易到難的逐步建設(shè)規(guī)則。存在問題及解決方案三、應(yīng)用膚淺：6存在問題及解決方案四、安全隱患多：1、企業(yè)應(yīng)用安全無層次規(guī)劃，安全隱患多；2、缺乏有效的安全解決手段。存在問題：單純依賴軟件系統(tǒng)自身安全，安全系統(tǒng)投資有限。解決方案：安全漏洞監(jiān)測(cè)，定期執(zhí)行安全攻擊計(jì)劃。1、進(jìn)行企業(yè)安全層次規(guī)劃，安全性與便利性結(jié)合；

2、增加系統(tǒng)安全資金投入，安全與投入息息相關(guān)；3、增強(qiáng)系統(tǒng)保障安全體系，定期進(jìn)行系統(tǒng)安全監(jiān)測(cè)。存在問題及解決方案四、安全隱患多：78.2軟件需求管理用戶參與原則；規(guī)劃性原則（資金、人才、服務(wù)）；核心功能原則（80/20）；業(yè)務(wù)操作簡潔性原則（BRP）；實(shí)用性原則（行業(yè)化、整合解決方案）8.2軟件需求管理用戶參與原則；88.3軟件架構(gòu)設(shè)計(jì)C/SB/SSC/S移動(dòng)應(yīng)用-------------軟件+硬件相結(jié)合；局域網(wǎng)、局域無線網(wǎng)、移動(dòng)通信網(wǎng)相結(jié)合8.3軟件架構(gòu)設(shè)計(jì)C/S98.4軟件功能設(shè)計(jì)企業(yè)信息資源管理原則，而非單純業(yè)務(wù)信息化直接轉(zhuǎn)化原則（數(shù)據(jù)中樞）從上到下規(guī)劃與從下到上建設(shè)相結(jié)合原則從易到難的逐步建設(shè)規(guī)則統(tǒng)一性、實(shí)用性、易用性建設(shè)原則8.4軟件功能設(shè)計(jì)企業(yè)信息資源管理原則，而非單純業(yè)務(wù)信息化102022年12月10日第11頁8.5系統(tǒng)安全設(shè)計(jì)一、企業(yè)應(yīng)用系統(tǒng)的安全分級(jí)二、中心機(jī)房的一般拓?fù)浣Y(jié)構(gòu)圖三、應(yīng)用系統(tǒng)的安全分層四、應(yīng)用系統(tǒng)認(rèn)證體系的發(fā)展2022年12月8日第11頁8.5系統(tǒng)安全設(shè)計(jì)一、企業(yè)應(yīng)用112022年12月10日第12頁一、企業(yè)應(yīng)用系統(tǒng)的安全分級(jí)針對(duì)應(yīng)用企業(yè)對(duì)系統(tǒng)安全性的顧慮，一般將企業(yè)應(yīng)用系統(tǒng)的安全分為4級(jí)：（1）機(jī)房物理安全物理安全：獨(dú)立機(jī)房、監(jiān)控設(shè)備、雇員背景核查防災(zāi)措施：防雷、防火、防水、防震、防盜、防塵、防靜電和雙回路電路、不間斷電源。（2）主機(jī)訪問安全服務(wù)器分開：試用服務(wù)器、C/S應(yīng)用服務(wù)器、Web應(yīng)用服務(wù)器、平臺(tái)服務(wù)器。2022年12月8日第12頁一、企業(yè)應(yīng)用系統(tǒng)的安全分級(jí)針對(duì)應(yīng)122022年12月10日第13頁一、企業(yè)應(yīng)用系統(tǒng)的安全分級(jí)（3）網(wǎng)絡(luò)安全網(wǎng)絡(luò)訪問認(rèn)證系統(tǒng)，例如：Kerberos認(rèn)證系統(tǒng)。網(wǎng)絡(luò)分片：形成多個(gè)小型子域網(wǎng)，而不是一個(gè)大型子域網(wǎng)。防火墻：要做包過濾、應(yīng)用網(wǎng)關(guān)，同時(shí)使用代理服務(wù)器隱藏真實(shí)IP。入侵檢測(cè)系統(tǒng)。（4）系統(tǒng)安全VPN數(shù)據(jù)安全：備份與災(zāi)難恢復(fù)系統(tǒng)、數(shù)據(jù)加密等?？蛻粽J(rèn)證：賬戶口令系統(tǒng)、數(shù)字證書。例行測(cè)試：經(jīng)常使用其它黑客軟件等測(cè)試軟硬件系統(tǒng)漏洞。2022年12月8日第13頁一、企業(yè)應(yīng)用系統(tǒng)的安全分級(jí)（3）132022年12月10日第14頁二、中心機(jī)房的一般拓?fù)浣Y(jié)構(gòu)圖2022年12月8日第14頁二、中心機(jī)房的一般拓?fù)浣Y(jié)構(gòu)圖142022年12月10日第15頁三、應(yīng)用系統(tǒng)的安全分層2022年12月8日第15頁三、應(yīng)用系統(tǒng)的安全分層152022年12月10日第16頁四、應(yīng)用系統(tǒng)認(rèn)證體系的發(fā)展1、認(rèn)證體系的2個(gè)安全問題：（1）系統(tǒng)訪問，即開機(jī)時(shí)的保護(hù)問題，目前普遍采用的是基于口令的弱身份認(rèn)證技術(shù)，很容易被攻破而造成泄密；（2）運(yùn)行時(shí)保護(hù)，即在合法用戶進(jìn)入系統(tǒng)后因某種原因暫時(shí)離開計(jì)算機(jī)，此時(shí)任何人員均可在此系統(tǒng)之上進(jìn)行操作，從而造成泄密。2022年12月8日第16頁四、應(yīng)用系統(tǒng)認(rèn)證體系的發(fā)展1、認(rèn)162022年12月10日第17頁四、應(yīng)用系統(tǒng)認(rèn)證體系的發(fā)展2、認(rèn)證體系的發(fā)展歷程第一代：弱口令認(rèn)證第二代：VPN認(rèn)證第三代：USB認(rèn)證（數(shù)字證書）、IC卡、隨機(jī)密碼、軟鍵盤第四代：指紋鎖（靜脈認(rèn)證）第五代：動(dòng)態(tài)口令認(rèn)證第六代：智能卡認(rèn)證（RFID技術(shù)等）2022年12月8日第17頁四、應(yīng)用系統(tǒng)認(rèn)證體系的發(fā)展2、認(rèn)17生物識(shí)別技術(shù)人臉識(shí)別熱成像識(shí)別聲音識(shí)別數(shù)字簽名虹膜識(shí)別視網(wǎng)膜識(shí)別手背靜脈識(shí)別指紋簽名掌紋識(shí)別生物識(shí)別技術(shù)人臉識(shí)別熱成像識(shí)別聲音識(shí)別數(shù)字簽名虹膜識(shí)別視網(wǎng)膜182022年12月10日第19頁實(shí)驗(yàn)安排1、IBMRationalAppScan安全性測(cè)試5月19日2、

LinkChecker鏈接有效性檢查5月31日2022年12月8日第19頁實(shí)驗(yàn)安排1、IBMRatio19第八章企業(yè)信息化與軟件質(zhì)量管理8.1企業(yè)信息化建設(shè)過程8.2軟件需求分析管理8.3軟件架構(gòu)設(shè)計(jì)8.4軟件功能設(shè)計(jì)8.5系統(tǒng)安全設(shè)計(jì)第八章企業(yè)信息化與軟件質(zhì)量管理8.1企業(yè)信息化建設(shè)過20本章教學(xué)目標(biāo)了解企業(yè)信息化建設(shè)過程明確軟件需求管理的重要性了解軟件架構(gòu)的變遷了解企業(yè)信息安全層次設(shè)計(jì)熟悉身份設(shè)別技術(shù)的發(fā)展過程本章教學(xué)目標(biāo)了解企業(yè)信息化建設(shè)過程218.1企業(yè)信息化建設(shè)過程問題定義分析研究需求分析軟件設(shè)計(jì)編碼測(cè)試維護(hù)定義階段開發(fā)階段維護(hù)階段瀑布開發(fā)模式8.1企業(yè)信息化建設(shè)過程問題定義分析研究需求分析軟件設(shè)計(jì)22存在問題及解決方案一、需求不明：1、中小企業(yè)有需求無建設(shè)，大型企業(yè)有建設(shè)無規(guī)劃；2、摸石頭過河，被軟件供應(yīng)商牽扯鼻子走，應(yīng)用被鎖定嚴(yán)重；

3、追求時(shí)髦，盲目強(qiáng)求大而全，“一行白鷺上青天”。存在問題：適用性不足；“IT建設(shè)黑洞”明顯解決方案：提前進(jìn)行軟件測(cè)試。1、選擇專家咨詢服務(wù)，先規(guī)劃后建設(shè)；2、多看實(shí)際應(yīng)用客戶、進(jìn)行實(shí)際數(shù)據(jù)模擬測(cè)試；

3、量體裁衣進(jìn)行企業(yè)信息化建設(shè)；4、培養(yǎng)自身IT服務(wù)能力，避免軟件商店大欺客。存在問題及解決方案一、需求不明：23存在問題及解決方案二、架構(gòu)不當(dāng)：1、重視功能，強(qiáng)調(diào)技術(shù)，輕視自身IT素養(yǎng)和實(shí)際需求；2、可擴(kuò)展性考慮不足，系統(tǒng)可繼承性與可集成性差，IT應(yīng)用孤島嚴(yán)重，IT內(nèi)部片面應(yīng)用嚴(yán)重。存在問題：可用性與可繼承性不足；應(yīng)用替換頻繁。解決方案：提前測(cè)試與系統(tǒng)性能測(cè)試結(jié)合。1、看人做飯，考慮系統(tǒng)實(shí)際響應(yīng)需求；2、進(jìn)行企業(yè)信息資源管理IRM，業(yè)務(wù)應(yīng)用需求進(jìn)行整合；

3、進(jìn)行軟件性能測(cè)試，確知系統(tǒng)性能瓶頸。存在問題及解決方案二、架構(gòu)不當(dāng)：24存在問題及解決方案三、應(yīng)用膚淺：1、重功能，輕數(shù)據(jù)，IT應(yīng)用程度膚淺；2、數(shù)據(jù)整合力度有限。存在問題：企業(yè)應(yīng)用膚淺，停留在單純統(tǒng)計(jì)報(bào)表方面，缺乏智能化信息分析。解決方案：進(jìn)行專家數(shù)據(jù)治理分析。1、多與同行溝通，多看多聽；2、借用專家資源，搭建企業(yè)數(shù)據(jù)中心；

3、實(shí)行從上到下規(guī)劃與從下到上建設(shè)相結(jié)合、從易到難的逐步建設(shè)規(guī)則。存在問題及解決方案三、應(yīng)用膚淺：25存在問題及解決方案四、安全隱患多：1、企業(yè)應(yīng)用安全無層次規(guī)劃，安全隱患多；2、缺乏有效的安全解決手段。存在問題：單純依賴軟件系統(tǒng)自身安全，安全系統(tǒng)投資有限。解決方案：安全漏洞監(jiān)測(cè)，定期執(zhí)行安全攻擊計(jì)劃。1、進(jìn)行企業(yè)安全層次規(guī)劃，安全性與便利性結(jié)合；

2、增加系統(tǒng)安全資金投入，安全與投入息息相關(guān)；3、增強(qiáng)系統(tǒng)保障安全體系，定期進(jìn)行系統(tǒng)安全監(jiān)測(cè)。存在問題及解決方案四、安全隱患多：268.2軟件需求管理用戶參與原則；規(guī)劃性原則（資金、人才、服務(wù)）；核心功能原則（80/20）；業(yè)務(wù)操作簡潔性原則（BRP）；實(shí)用性原則（行業(yè)化、整合解決方案）8.2軟件需求管理用戶參與原則；278.3軟件架構(gòu)設(shè)計(jì)C/SB/SSC/S移動(dòng)應(yīng)用-------------軟件+硬件相結(jié)合；局域網(wǎng)、局域無線網(wǎng)、移動(dòng)通信網(wǎng)相結(jié)合8.3軟件架構(gòu)設(shè)計(jì)C/S288.4軟件功能設(shè)計(jì)企業(yè)信息資源管理原則，而非單純業(yè)務(wù)信息化直接轉(zhuǎn)化原則（數(shù)據(jù)中樞）從上到下規(guī)劃與從下到上建設(shè)相結(jié)合原則從易到難的逐步建設(shè)規(guī)則統(tǒng)一性、實(shí)用性、易用性建設(shè)原則8.4軟件功能設(shè)計(jì)企業(yè)信息資源管理原則，而非單純業(yè)務(wù)信息化292022年12月10日第30頁8.5系統(tǒng)安全設(shè)計(jì)一、企業(yè)應(yīng)用系統(tǒng)的安全分級(jí)二、中心機(jī)房的一般拓?fù)浣Y(jié)構(gòu)圖三、應(yīng)用系統(tǒng)的安全分層四、應(yīng)用系統(tǒng)認(rèn)證體系的發(fā)展2022年12月8日第11頁8.5系統(tǒng)安全設(shè)計(jì)一、企業(yè)應(yīng)用302022年12月10日第31頁一、企業(yè)應(yīng)用系統(tǒng)的安全分級(jí)針對(duì)應(yīng)用企業(yè)對(duì)系統(tǒng)安全性的顧慮，一般將企業(yè)應(yīng)用系統(tǒng)的安全分為4級(jí)：（1）機(jī)房物理安全物理安全：獨(dú)立機(jī)房、監(jiān)控設(shè)備、雇員背景核查防災(zāi)措施：防雷、防火、防水、防震、防盜、防塵、防靜電和雙回路電路、不間斷電源。（2）主機(jī)訪問安全服務(wù)器分開：試用服務(wù)器、C/S應(yīng)用服務(wù)器、Web應(yīng)用服務(wù)器、平臺(tái)服務(wù)器。2022年12月8日第12頁一、企業(yè)應(yīng)用系統(tǒng)的安全分級(jí)針對(duì)應(yīng)312022年12月10日第32頁一、企業(yè)應(yīng)用系統(tǒng)的安全分級(jí)（3）網(wǎng)絡(luò)安全網(wǎng)絡(luò)訪問認(rèn)證系統(tǒng)，例如：Kerberos認(rèn)證系統(tǒng)。網(wǎng)絡(luò)分片：形成多個(gè)小型子域網(wǎng)，而不是一個(gè)大型子域網(wǎng)。防火墻：要做包過濾、應(yīng)用網(wǎng)關(guān)，同時(shí)使用代理服務(wù)器隱藏真實(shí)IP。入侵檢測(cè)系統(tǒng)。（4）系統(tǒng)安全VPN數(shù)據(jù)安全：備份與災(zāi)難恢復(fù)系統(tǒng)、數(shù)據(jù)加密等。客戶認(rèn)證：賬戶口令系統(tǒng)、數(shù)字證書。例行測(cè)試：經(jīng)常使用其它黑客軟件等測(cè)試軟硬件系統(tǒng)漏洞。2022年12月8日第13頁一、企業(yè)應(yīng)用系統(tǒng)的安全分級(jí)（3）322022年12月10日第33頁二、中心機(jī)房的一般拓?fù)浣Y(jié)構(gòu)圖2022年12月8日第14頁二、中心機(jī)房的一般拓?fù)浣Y(jié)構(gòu)圖332022年12月10日第34頁三、應(yīng)用系統(tǒng)的安全分層2022年12月8日第15頁三、應(yīng)用系統(tǒng)的安全分層342022年12月10日第35頁四、應(yīng)用系統(tǒng)認(rèn)證體系的發(fā)展1、認(rèn)證體系的2個(gè)安全問題：（1）系統(tǒng)訪問，即開機(jī)時(shí)的保護(hù)問題，目前普遍采用的是基于口令的弱身份認(rèn)證技術(shù)，很容易被攻破而造成泄密；（2）運(yùn)行時(shí)保護(hù)