信息系統(tǒng)的安全與運行維護培訓(xùn)教材課件

信息系統(tǒng)的安全與運行維護信息系統(tǒng)的安全與運行維護中南大學(xué)醫(yī)藥信息系編碼與測試一、信息系統(tǒng)的安全管理二、系統(tǒng)轉(zhuǎn)換與信息系統(tǒng)運行的組織三、信息系統(tǒng)的運行制度

四、信息系統(tǒng)的維護與升級

主要內(nèi)容中南大學(xué)醫(yī)藥信息系編碼與測試一、信息系統(tǒng)的安全管理主要內(nèi)容中南大學(xué)醫(yī)藥信息系編碼與測試一、信息系統(tǒng)的安全管理中南大學(xué)醫(yī)藥信息系編碼與測試一、信息系統(tǒng)的安全管理中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)安全的定義：

指采取技術(shù)和非技術(shù)手段，通過對信息系統(tǒng)建設(shè)中的安全設(shè)計和運行中的安全管理，使運行在計算機網(wǎng)絡(luò)中的信息系統(tǒng)有保護，沒有危險。中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)安全的定義：中南大學(xué)醫(yī)藥信息系編碼與測試數(shù)據(jù)的輸入、輸出、存取與備份，源程序以及應(yīng)用軟件、數(shù)據(jù)庫、操作系統(tǒng)等方面的漏洞或缺陷硬件、通信部分的漏洞、缺陷或者是遺失電磁輻射環(huán)境保障系統(tǒng)企業(yè)內(nèi)部人的因素軟件的非法復(fù)制“黑客”計算機病毒經(jīng)濟(信息)間諜等

2.影響系統(tǒng)安全的常見因素中南大學(xué)醫(yī)藥信息系編碼與測試數(shù)據(jù)的輸入、輸出、存取與備份，源中南大學(xué)醫(yī)藥信息系編碼與測試物理實體安全的設(shè)計硬件系統(tǒng)和通信網(wǎng)絡(luò)的安全設(shè)計軟件系統(tǒng)和數(shù)據(jù)的安全設(shè)計等3.信息系統(tǒng)安全的設(shè)計中南大學(xué)醫(yī)藥信息系編碼與測試物理實體安全的設(shè)計3.信息系統(tǒng)中南大學(xué)醫(yī)藥信息系編碼與測試(1)物理實體安全環(huán)境的設(shè)計盡管信息系統(tǒng)分散在各個科室、部門，但服務(wù)器一般集中在某個較安全的地方(機房或中心機房)機房分級管理中南大學(xué)醫(yī)藥信息系編碼與測試(1)物理實體安全環(huán)境的設(shè)計盡管中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)機房規(guī)劃要考慮的安全技術(shù)要求：

合理規(guī)劃中心機房與各科室、車間機房的位置對出入機房進(jìn)行控制機房應(yīng)進(jìn)行一定的內(nèi)部裝修選擇合適的其他設(shè)備和輔助材料安裝空調(diào)系統(tǒng)防火、防水防磁防靜電防電磁波干擾和泄露電源中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)機房規(guī)劃要考慮的安全技術(shù)中南大學(xué)醫(yī)藥信息系編碼與測試（2）軟件和數(shù)據(jù)安全的設(shè)計

軟件是保證信息系統(tǒng)正常運行、促進(jìn)信息技術(shù)普及應(yīng)用的主要因素和手段。數(shù)據(jù)是信息系統(tǒng)的中心，數(shù)據(jù)的安全管理是信息系統(tǒng)安全的核心。如何保證它們的安全？ 選擇安全可靠的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng) 設(shè)計、開發(fā)安全可靠的應(yīng)用程序 信息系統(tǒng)中數(shù)據(jù)安全的設(shè)計中南大學(xué)醫(yī)藥信息系編碼與測試（2）軟件和數(shù)據(jù)安全的設(shè)計軟件中南大學(xué)醫(yī)藥信息系編碼與測試a)選擇安全可靠的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)

選擇一個安全可靠的操作系統(tǒng)，是軟件安全中最基本的要求。 在進(jìn)行數(shù)據(jù)庫管理系統(tǒng)選擇時，一定要考慮它自身的安全策略和安全能力。

為什么政府不采用Win8?中南大學(xué)醫(yī)藥信息系編碼與測試a)選擇安全可靠的操作系統(tǒng)和數(shù)據(jù)中南大學(xué)醫(yī)藥信息系編碼與測試b)設(shè)計、開發(fā)安全可靠的應(yīng)用程序

安全策略和措施： 設(shè)立安全保護子程序或存取控制子程序 提高軟件產(chǎn)品標(biāo)準(zhǔn)化、工程化、系列化水平 采用面向?qū)ο蟮拈_發(fā)方法和模塊化的思想 采用成熟的軟件安全技術(shù)中南大學(xué)醫(yī)藥信息系編碼與測試b)設(shè)計、開發(fā)安全可靠的應(yīng)用程序中南大學(xué)醫(yī)藥信息系編碼與測試c)信息系統(tǒng)中數(shù)據(jù)安全的設(shè)計

方法包括：數(shù)據(jù)存取的控制防止數(shù)據(jù)信息泄漏（如加密）防止計算機病毒感染和破壞數(shù)據(jù)備份的方法等中南大學(xué)醫(yī)藥信息系編碼與測試c)信息系統(tǒng)中數(shù)據(jù)安全的設(shè)計方中南大學(xué)醫(yī)藥信息系編碼與測試加密

作用：防止數(shù)據(jù)信息泄漏，保障數(shù)據(jù)秘密性、真實性 抵抗計算機病毒感染破壞

方式：序列密碼（處理單元：一個元素（字母或比特）) 分組密碼（處理單元：一組元素（分組）) 公開密鑰密碼 磁盤文件數(shù)據(jù)信息加密中南大學(xué)醫(yī)藥信息系編碼與測試加密中南大學(xué)醫(yī)藥信息系編碼與測試數(shù)據(jù)備份

作用：備份數(shù)據(jù)，以備意外情況下恢復(fù)數(shù)據(jù)

注意：數(shù)據(jù)備份應(yīng)登記，妥善保管，防止被盜，防止被破壞，防止被誤用。重要數(shù)據(jù)備份定期檢查，定期復(fù)制，保證備份數(shù)據(jù)的完整性、使用性和時效性。

方法：全盤備份增量備份基本備份中南大學(xué)醫(yī)藥信息系編碼與測試數(shù)據(jù)備份(3)硬件系統(tǒng)和通信網(wǎng)絡(luò)的安全設(shè)計硬件安全（芯片、硬件備份、凈化電源、電磁屏蔽、…)網(wǎng)絡(luò)安全（防火墻、防竊聽、…)中南大學(xué)醫(yī)藥信息系編碼與測試(3)硬件系統(tǒng)和通信網(wǎng)絡(luò)的安全設(shè)計硬件安全（芯片、硬件備份、中南大學(xué)醫(yī)藥信息系編碼與測試（1）常用的安全技術(shù)：“防火墻”軟件或設(shè)備實時網(wǎng)絡(luò)審計跟蹤工具或入侵檢測軟件采用安全傳輸層協(xié)議(SecureSocketLayer，SSL)和使用安全超文本傳輸協(xié)議(secureHTTP)采用安全電子交易協(xié)議(SecureElectronicTransaction，SET)和電子數(shù)字簽名技術(shù)進(jìn)行安全交易4、信息系統(tǒng)的安全技術(shù)和控制方法中南大學(xué)醫(yī)藥信息系編碼與測試（1）常用的安全技術(shù)：4、信息系中南大學(xué)醫(yī)藥信息系編碼與測試

對信息系統(tǒng)施加相應(yīng)的控制是確保信息系統(tǒng)安全的有效方法，包括物理控制、電子控制、軟件控制和管理控制四種。 （2）安全控制方法中南大學(xué)醫(yī)藥信息系編碼與測試對信息系統(tǒng)施加相應(yīng)的控制是中南大學(xué)醫(yī)藥信息系編碼與測試

物理控制：門鎖、鍵盤鎖、防火門和積水排除泵。

電子控制：移動傳感器、熱敏傳感器和濕度傳感器。 也可包括諸如標(biāo)記和指紋、語音與視網(wǎng)膜錄入控制等入侵者檢驗與生物進(jìn)入控制。

軟件控制：指在信息系統(tǒng)應(yīng)用中為確定、防止或恢復(fù)錯誤、非法訪問和其他威脅而使用的程序代碼控制。

如ActiveX控件、腳本程序的運行。中南大學(xué)醫(yī)藥信息系編碼與測試 物理控制：門鎖、鍵盤鎖、防中南大學(xué)醫(yī)藥信息系編碼與測試

存取控制是指依靠系統(tǒng)的物理、電子、軟件及管理等多種控制類型來實現(xiàn)對系統(tǒng)的監(jiān)測，完成對用戶的識別，對用戶存取數(shù)據(jù)的權(quán)限確認(rèn)工作，保證信息系統(tǒng)中數(shù)據(jù)的完整性、安全性、正確性，防止合法用戶有意或無意的越權(quán)防問，防止非法用戶的入侵等。

存取控制的任務(wù)主要是進(jìn)行系統(tǒng)授權(quán)。中南大學(xué)醫(yī)藥信息系編碼與測試中南大學(xué)醫(yī)藥信息系編碼與測試?yán)缭赪indowsServer中，系統(tǒng)設(shè)置的用戶組分為：管理員組、服務(wù)器操作員組、記賬操作員組、打印操作員組、備份操作員組、用戶組等。每一個組中的成員都有該組的權(quán)限，可以對特定的資源進(jìn)行該組成員所被允許的操作。

DBMS中角色(role)是多種權(quán)限（Owner、Create、Drop、Select、Update、Insert、Delete、…）的一個組合，可以授予某個用戶，也可以授予一組用戶；也可以從用戶處回收。

實現(xiàn)授權(quán)的方法有授權(quán)矩陣（authorizationmatrix）、用戶權(quán)限表(userprofile)、對象權(quán)限表(objectprofile)等。中南大學(xué)醫(yī)藥信息系編碼與測試?yán)缭赪indowsS中南大學(xué)醫(yī)藥信息系編碼與測試

系統(tǒng)授權(quán)應(yīng)遵循的原則：

（1）最小特權(quán)原則（2）最小泄漏原則（3）最大共享策略（4）推理控制策略中南大學(xué)醫(yī)藥信息系編碼與測試系統(tǒng)授權(quán)應(yīng)遵循的原則：（中南大學(xué)醫(yī)藥信息系編碼與測試二、系統(tǒng)轉(zhuǎn)換與信息系統(tǒng)運行的組織中南大學(xué)醫(yī)藥信息系編碼與測試二、系統(tǒng)轉(zhuǎn)換與信息系統(tǒng)運行的組織中南大學(xué)醫(yī)藥信息系編碼與測試（1）試運行階段的主要工作：對系統(tǒng)進(jìn)行初始化、輸入各種原始數(shù)據(jù)記錄；記錄系統(tǒng)運行的數(shù)據(jù)和狀況；核對新系統(tǒng)輸出和老系統(tǒng)（人工或計算機系統(tǒng)）輸出的結(jié)果；對實際系統(tǒng)輸入方式進(jìn)行考查（是否方便、效率如何、安全可靠性、誤操作保護等）；對系統(tǒng)實際運行、響應(yīng)速度（包括運算速度、傳輸速度、查詢速度、輸出速度等）進(jìn)行實際測試。１、試運行與系統(tǒng)轉(zhuǎn)換中南大學(xué)醫(yī)藥信息系編碼與測試（1）試運行階段的主要工作：１、中南大學(xué)醫(yī)藥信息系編碼與測試（2）系統(tǒng)轉(zhuǎn)換方式：

直接轉(zhuǎn)換老系統(tǒng)新系統(tǒng)老系統(tǒng)新系統(tǒng)老系統(tǒng)新系統(tǒng)并行轉(zhuǎn)換分段轉(zhuǎn)換中南大學(xué)醫(yī)藥信息系編碼與測試（2）系統(tǒng)轉(zhuǎn)換方式：中南大學(xué)醫(yī)藥信息系編碼與測試（1）系統(tǒng)管理與維護的組織有四種形式（系統(tǒng)在企業(yè)中的地位）：２、運行期間信息系統(tǒng)部門的組織中南大學(xué)醫(yī)藥信息系編碼與測試（1）系統(tǒng)管理與維護的組織有四種信息系統(tǒng)的安全與運行維護培訓(xùn)教材中南大學(xué)醫(yī)藥信息系編碼與測試負(fù)責(zé)信息系統(tǒng)的正常運行和維護建立和實施對企業(yè)內(nèi)信息系統(tǒng)使用的指南和制度向企業(yè)中的各業(yè)務(wù)部門提供信息技術(shù)服務(wù)有實力的還可以開展對于新項目的學(xué)習(xí)、研究和開發(fā)（2）信息系統(tǒng)部門的主要工作職責(zé)：中南大學(xué)醫(yī)藥信息系編碼與測試負(fù)責(zé)信息系統(tǒng)的正常運行和維護（中南大學(xué)醫(yī)藥信息系編碼與測試（3）運行期間的信息系統(tǒng)管理部門內(nèi)部人員 大致可以分為三大類： 系統(tǒng)維護人員或系統(tǒng)管理員 管理人員 系統(tǒng)操作人員中南大學(xué)醫(yī)藥信息系編碼與測試（3）運行期間的信息系統(tǒng)管理部門信息系統(tǒng)的安全與運行維護培訓(xùn)教材——戴維斯——戴維斯中南大學(xué)醫(yī)藥信息系編碼與測試三、信息系統(tǒng)的運行制度中南大學(xué)醫(yī)藥信息系編碼與測試三、信息系統(tǒng)的運行制度中南大學(xué)醫(yī)藥信息系編碼與測試（1）各類機房安全運行管理制度

①身份登記與驗證出入②帶入帶出物品檢查③參觀中心機房必須經(jīng)過審查④專人負(fù)責(zé)啟動、關(guān)閉計算機系統(tǒng)⑤對系統(tǒng)運行狀況進(jìn)行監(jiān)視，跟蹤并詳細(xì)記錄運行信息⑥對系統(tǒng)進(jìn)行定期保養(yǎng)和維護⑦操作人員在指定的計算機或終端上操作，對操作內(nèi)容按規(guī)定進(jìn)行登記⑧不做與工作無關(guān)的操作，不運行來歷不明的軟件⑨不越權(quán)運行程序，不查閱無關(guān)參數(shù)⑩操作異常，立即報告１、建立和健全信息系統(tǒng)的運行制度中南大學(xué)醫(yī)藥信息系編碼與測試（1）各類機房安全運行管理制度１中南大學(xué)醫(yī)藥信息系編碼與測試（2）信息系統(tǒng)的其他管理制度

①必須有重要的系統(tǒng)軟件、應(yīng)用軟件管理制度 ②必須有數(shù)據(jù)管理制度 ③必須有密碼口令管理制度，做到口令專管專用，定期更改并在失密后立即報告 ④必須有網(wǎng)絡(luò)通信安全管理制度，實行網(wǎng)絡(luò)電子公告系統(tǒng)的用戶登記和對外信息交流的管理制度 ⑤必須有病毒的防治管理制度及時檢測、清除計算機病毒，并備有檢測、清除記錄 ⑥建立安全培訓(xùn)制度，進(jìn)行計算機安全法律教育、職業(yè)道德教育和計算機安全技術(shù)教育。對關(guān)鍵崗位的人員進(jìn)行定期考核

⑦必須有人員調(diào)離的安全管理制度

⑧建立合作制度中南大學(xué)醫(yī)藥信息系編碼與測試（2）信息系統(tǒng)的其他管理制度中南大學(xué)醫(yī)藥信息系編碼與測試２、信息系統(tǒng)的日常運行管理（1）系統(tǒng)運行情況的記錄

內(nèi)容：開機、應(yīng)用系統(tǒng)的進(jìn)入、功能項的選擇與執(zhí)行 數(shù)據(jù)備份、存檔、關(guān)機等 運行情況有正常、不正常與無法運行三種情況 通常對正常情況不予記錄，對于不正常情況和無法運行情況則應(yīng)將所見的現(xiàn)象、發(fā)生的時間及可能的原因做盡量詳細(xì)的記錄。中南大學(xué)醫(yī)藥信息系編碼與測試２、信息系統(tǒng)的日常運行管理（1）中南大學(xué)醫(yī)藥信息系編碼與測試（2）審計蹤跡

審計蹤跡（audittrail）就是指系統(tǒng)中設(shè)置了自動記錄功能，能通過自動記錄的信息發(fā)現(xiàn)或判明系統(tǒng)的問題和原因。在審計蹤跡系統(tǒng)中，建立審計日志是一種基本的方法。中南大學(xué)醫(yī)藥信息系編碼與測試（2）審計蹤跡 審計蹤跡（aud中南大學(xué)醫(yī)藥信息系編碼與測試（3）審查應(yīng)急措施的落實

首先要制定應(yīng)付突發(fā)性事件的應(yīng)急計劃，然后每日要審查應(yīng)急措施的落實情況。中南大學(xué)醫(yī)藥信息系編碼與測試（3）審查應(yīng)急措施的落實首先要中南大學(xué)醫(yī)藥信息系編碼與測試（4）系統(tǒng)資源的管理在維護信息系統(tǒng)正常運行過程中還有一個常見的問題，那就是如何管理系統(tǒng)的資源。例如對計算機的使用及打印機紙、墨粉的消耗等，都要制定合理的管理方法。中南大學(xué)醫(yī)藥信息系編碼與測試（4）系統(tǒng)資源的管理在維護信息系中南大學(xué)醫(yī)藥信息系編碼與測試四、信息系統(tǒng)的維護與升級

中南大學(xué)醫(yī)藥信息系編碼與測試四、信息系統(tǒng)的維護與升級中南大學(xué)醫(yī)藥信息系編碼與測試１、信息系統(tǒng)的維護（1）系統(tǒng)維護的類型

硬件設(shè)備的維護 應(yīng)用軟件的維護 數(shù)據(jù)的維護中南大學(xué)醫(yī)藥信息系編碼與測試１、信息系統(tǒng)的維護（1）系統(tǒng)維護中南大學(xué)醫(yī)藥信息系編碼與測試應(yīng)有專職硬件維護人員負(fù)責(zé)維護活動主要有兩種類型：定期保養(yǎng)性維護（一周或一個月不等）如例行的設(shè)備檢查與保養(yǎng)、易耗品的更換與安裝等；突發(fā)性故障維修當(dāng)設(shè)備出現(xiàn)突發(fā)性故障時，由專職人員或請廠方技術(shù)人員來排除故障。①硬件維護中南大學(xué)醫(yī)藥信息系編碼與測試應(yīng)有專職硬件維護人員負(fù)責(zé)①硬中南大學(xué)醫(yī)藥信息系編碼與測試軟件維護主要是指根據(jù)需求變化或硬件環(huán)境的變化對應(yīng)用程序進(jìn)行部分或全部的修改。 軟件維護的類型：改正性維護(CorrectiveMaintenance)預(yù)防性維護(PreventiveMaintenance)適應(yīng)性維護(AdaptiveMaintenance)完善性維護(PerfectiveMaintenance)②軟件維護中南大學(xué)醫(yī)藥信息系編碼與測試軟件維護主要是指根據(jù)需求變化或中南大學(xué)醫(yī)藥信息系編碼與測試③數(shù)據(jù)維護由數(shù)據(jù)庫管理員來負(fù)責(zé)主要責(zé)任：數(shù)據(jù)庫的安全性和完整性以及進(jìn)行并發(fā)性控制數(shù)據(jù)庫中數(shù)據(jù)的維護 如當(dāng)數(shù)據(jù)庫中的數(shù)據(jù)類型、長度等發(fā)生變化時、或者需要添加某個數(shù)據(jù)項、數(shù)據(jù)庫時，要負(fù)責(zé)修改相關(guān)的數(shù)據(jù)庫、數(shù)據(jù)字典，并通知有關(guān)人員。定期出版數(shù)據(jù)字典文件及一些其他的數(shù)據(jù)管理文什，以保留系統(tǒng)運行和修改的軌跡當(dāng)出現(xiàn)硬件故障并得到排除后負(fù)責(zé)數(shù)據(jù)庫的恢復(fù)工作中南大學(xué)醫(yī)藥信息系編碼與測試③數(shù)據(jù)維護中南大學(xué)醫(yī)藥信息系編碼與測試 1）系統(tǒng)維護應(yīng)執(zhí)行以下步驟：①提出維護或修改要求②領(lǐng)導(dǎo)審查并做出答復(fù)，如修改則列入維護計劃③領(lǐng)導(dǎo)分配任務(wù)，維護人員執(zhí)行修改④驗收維護成果并登記修改信息（2）系統(tǒng)維護的管理中南大學(xué)醫(yī)藥信息系編碼與測試 1）系統(tǒng)維護應(yīng)執(zhí)行以下步驟：（中南大學(xué)醫(yī)藥信息系編碼與測試修改程序代碼時可能發(fā)生災(zāi)難性錯誤。

為了避免這類錯誤，要在修改工作完成后進(jìn)行測試，直至確認(rèn)和復(fù)審無錯為止；修改數(shù)據(jù)庫中的一些數(shù)據(jù)時可能導(dǎo)致某些應(yīng)用軟件不再適應(yīng)變化了的數(shù)據(jù)而產(chǎn)生錯誤。

為了避免這類錯誤，一是要有嚴(yán)密的數(shù)據(jù)描述文件，即數(shù)據(jù)字典系統(tǒng)；二是要嚴(yán)格記錄這些修改并進(jìn)行修改后的測試工作。2）系統(tǒng)維護的副作用中南大學(xué)醫(yī)藥信息系編碼與測試修改程序代碼時可能發(fā)生災(zāi)難性錯誤中南大學(xué)醫(yī)藥信息系編碼與測試升級與維護的區(qū)別：升級：計劃性和目標(biāo)性、里程碑性和質(zhì)的飛躍維護：應(yīng)急性、日常性和量的積累。２、信息系統(tǒng)的升級中南大學(xué)醫(yī)藥信息系編碼與測試升級與維護的區(qū)別：２、信息系統(tǒng)的中南大學(xué)醫(yī)藥信息系編碼與測試1、闡述信息系統(tǒng)安全的影響因素，列舉兩個影響信息系統(tǒng)安全的例子。2、機房在進(jìn)行安全設(shè)計時應(yīng)注意哪些問題？3、在設(shè)計和開發(fā)應(yīng)用程序時，應(yīng)考慮哪些安全策略和措施？4、信息系統(tǒng)安全有哪些控制方法？在系統(tǒng)授權(quán)時應(yīng)考慮哪些原則？5、系統(tǒng)轉(zhuǎn)換有哪幾種方式，各有什么優(yōu)缺點？6、信息系統(tǒng)在運行期間如何組織？應(yīng)該包含哪些人員？7、請設(shè)計一套信息系統(tǒng)的運行制度，確保信息系統(tǒng)正確、安全運行。8、說說維護的重要性以及維護為什么需要有計劃地進(jìn)行。思考題中南大學(xué)醫(yī)藥信息系編碼與測試1、闡述信息系統(tǒng)安全的影響因素，演講完畢，謝謝觀看！演講完畢，謝謝觀看！信息系統(tǒng)的安全與運行維護信息系統(tǒng)的安全與運行維護中南大學(xué)醫(yī)藥信息系編碼與測試一、信息系統(tǒng)的安全管理二、系統(tǒng)轉(zhuǎn)換與信息系統(tǒng)運行的組織三、信息系統(tǒng)的運行制度

四、信息系統(tǒng)的維護與升級

主要內(nèi)容中南大學(xué)醫(yī)藥信息系編碼與測試一、信息系統(tǒng)的安全管理主要內(nèi)容中南大學(xué)醫(yī)藥信息系編碼與測試一、信息系統(tǒng)的安全管理中南大學(xué)醫(yī)藥信息系編碼與測試一、信息系統(tǒng)的安全管理中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)安全的定義：

指采取技術(shù)和非技術(shù)手段，通過對信息系統(tǒng)建設(shè)中的安全設(shè)計和運行中的安全管理，使運行在計算機網(wǎng)絡(luò)中的信息系統(tǒng)有保護，沒有危險。中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)安全的定義：中南大學(xué)醫(yī)藥信息系編碼與測試數(shù)據(jù)的輸入、輸出、存取與備份，源程序以及應(yīng)用軟件、數(shù)據(jù)庫、操作系統(tǒng)等方面的漏洞或缺陷硬件、通信部分的漏洞、缺陷或者是遺失電磁輻射環(huán)境保障系統(tǒng)企業(yè)內(nèi)部人的因素軟件的非法復(fù)制“黑客”計算機病毒經(jīng)濟(信息)間諜等

2.影響系統(tǒng)安全的常見因素中南大學(xué)醫(yī)藥信息系編碼與測試數(shù)據(jù)的輸入、輸出、存取與備份，源中南大學(xué)醫(yī)藥信息系編碼與測試物理實體安全的設(shè)計硬件系統(tǒng)和通信網(wǎng)絡(luò)的安全設(shè)計軟件系統(tǒng)和數(shù)據(jù)的安全設(shè)計等3.信息系統(tǒng)安全的設(shè)計中南大學(xué)醫(yī)藥信息系編碼與測試物理實體安全的設(shè)計3.信息系統(tǒng)中南大學(xué)醫(yī)藥信息系編碼與測試(1)物理實體安全環(huán)境的設(shè)計盡管信息系統(tǒng)分散在各個科室、部門，但服務(wù)器一般集中在某個較安全的地方(機房或中心機房)機房分級管理中南大學(xué)醫(yī)藥信息系編碼與測試(1)物理實體安全環(huán)境的設(shè)計盡管中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)機房規(guī)劃要考慮的安全技術(shù)要求：

合理規(guī)劃中心機房與各科室、車間機房的位置對出入機房進(jìn)行控制機房應(yīng)進(jìn)行一定的內(nèi)部裝修選擇合適的其他設(shè)備和輔助材料安裝空調(diào)系統(tǒng)防火、防水防磁防靜電防電磁波干擾和泄露電源中南大學(xué)醫(yī)藥信息系編碼與測試信息系統(tǒng)機房規(guī)劃要考慮的安全技術(shù)中南大學(xué)醫(yī)藥信息系編碼與測試（2）軟件和數(shù)據(jù)安全的設(shè)計

軟件是保證信息系統(tǒng)正常運行、促進(jìn)信息技術(shù)普及應(yīng)用的主要因素和手段。數(shù)據(jù)是信息系統(tǒng)的中心，數(shù)據(jù)的安全管理是信息系統(tǒng)安全的核心。如何保證它們的安全？ 選擇安全可靠的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng) 設(shè)計、開發(fā)安全可靠的應(yīng)用程序 信息系統(tǒng)中數(shù)據(jù)安全的設(shè)計中南大學(xué)醫(yī)藥信息系編碼與測試（2）軟件和數(shù)據(jù)安全的設(shè)計軟件中南大學(xué)醫(yī)藥信息系編碼與測試a)選擇安全可靠的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)

選擇一個安全可靠的操作系統(tǒng)，是軟件安全中最基本的要求。 在進(jìn)行數(shù)據(jù)庫管理系統(tǒng)選擇時，一定要考慮它自身的安全策略和安全能力。

為什么政府不采用Win8?中南大學(xué)醫(yī)藥信息系編碼與測試a)選擇安全可靠的操作系統(tǒng)和數(shù)據(jù)中南大學(xué)醫(yī)藥信息系編碼與測試b)設(shè)計、開發(fā)安全可靠的應(yīng)用程序

安全策略和措施： 設(shè)立安全保護子程序或存取控制子程序 提高軟件產(chǎn)品標(biāo)準(zhǔn)化、工程化、系列化水平 采用面向?qū)ο蟮拈_發(fā)方法和模塊化的思想 采用成熟的軟件安全技術(shù)中南大學(xué)醫(yī)藥信息系編碼與測試b)設(shè)計、開發(fā)安全可靠的應(yīng)用程序中南大學(xué)醫(yī)藥信息系編碼與測試c)信息系統(tǒng)中數(shù)據(jù)安全的設(shè)計

方法包括：數(shù)據(jù)存取的控制防止數(shù)據(jù)信息泄漏（如加密）防止計算機病毒感染和破壞數(shù)據(jù)備份的方法等中南大學(xué)醫(yī)藥信息系編碼與測試c)信息系統(tǒng)中數(shù)據(jù)安全的設(shè)計方中南大學(xué)醫(yī)藥信息系編碼與測試加密

作用：防止數(shù)據(jù)信息泄漏，保障數(shù)據(jù)秘密性、真實性 抵抗計算機病毒感染破壞

方式：序列密碼（處理單元：一個元素（字母或比特）) 分組密碼（處理單元：一組元素（分組）) 公開密鑰密碼 磁盤文件數(shù)據(jù)信息加密中南大學(xué)醫(yī)藥信息系編碼與測試加密中南大學(xué)醫(yī)藥信息系編碼與測試數(shù)據(jù)備份

作用：備份數(shù)據(jù)，以備意外情況下恢復(fù)數(shù)據(jù)

注意：數(shù)據(jù)備份應(yīng)登記，妥善保管，防止被盜，防止被破壞，防止被誤用。重要數(shù)據(jù)備份定期檢查，定期復(fù)制，保證備份數(shù)據(jù)的完整性、使用性和時效性。

方法：全盤備份增量備份基本備份中南大學(xué)醫(yī)藥信息系編碼與測試數(shù)據(jù)備份(3)硬件系統(tǒng)和通信網(wǎng)絡(luò)的安全設(shè)計硬件安全（芯片、硬件備份、凈化電源、電磁屏蔽、…)網(wǎng)絡(luò)安全（防火墻、防竊聽、…)中南大學(xué)醫(yī)藥信息系編碼與測試(3)硬件系統(tǒng)和通信網(wǎng)絡(luò)的安全設(shè)計硬件安全（芯片、硬件備份、中南大學(xué)醫(yī)藥信息系編碼與測試（1）常用的安全技術(shù)：“防火墻”軟件或設(shè)備實時網(wǎng)絡(luò)審計跟蹤工具或入侵檢測軟件采用安全傳輸層協(xié)議(SecureSocketLayer，SSL)和使用安全超文本傳輸協(xié)議(secureHTTP)采用安全電子交易協(xié)議(SecureElectronicTransaction，SET)和電子數(shù)字簽名技術(shù)進(jìn)行安全交易4、信息系統(tǒng)的安全技術(shù)和控制方法中南大學(xué)醫(yī)藥信息系編碼與測試（1）常用的安全技術(shù)：4、信息系中南大學(xué)醫(yī)藥信息系編碼與測試

對信息系統(tǒng)施加相應(yīng)的控制是確保信息系統(tǒng)安全的有效方法，包括物理控制、電子控制、軟件控制和管理控制四種。 （2）安全控制方法中南大學(xué)醫(yī)藥信息系編碼與測試對信息系統(tǒng)施加相應(yīng)的控制是中南大學(xué)醫(yī)藥信息系編碼與測試

物理控制：門鎖、鍵盤鎖、防火門和積水排除泵。

電子控制：移動傳感器、熱敏傳感器和濕度傳感器。 也可包括諸如標(biāo)記和指紋、語音與視網(wǎng)膜錄入控制等入侵者檢驗與生物進(jìn)入控制。

軟件控制：指在信息系統(tǒng)應(yīng)用中為確定、防止或恢復(fù)錯誤、非法訪問和其他威脅而使用的程序代碼控制。

如ActiveX控件、腳本程序的運行。中南大學(xué)醫(yī)藥信息系編碼與測試 物理控制：門鎖、鍵盤鎖、防中南大學(xué)醫(yī)藥信息系編碼與測試

存取控制是指依靠系統(tǒng)的物理、電子、軟件及管理等多種控制類型來實現(xiàn)對系統(tǒng)的監(jiān)測，完成對用戶的識別，對用戶存取數(shù)據(jù)的權(quán)限確認(rèn)工作，保證信息系統(tǒng)中數(shù)據(jù)的完整性、安全性、正確性，防止合法用戶有意或無意的越權(quán)防問，防止非法用戶的入侵等。

存取控制的任務(wù)主要是進(jìn)行系統(tǒng)授權(quán)。中南大學(xué)醫(yī)藥信息系編碼與測試中南大學(xué)醫(yī)藥信息系編碼與測試?yán)缭赪indowsServer中，系統(tǒng)設(shè)置的用戶組分為：管理員組、服務(wù)器操作員組、記賬操作員組、打印操作員組、備份操作員組、用戶組等。每一個組中的成員都有該組的權(quán)限，可以對特定的資源進(jìn)行該組成員所被允許的操作。

DBMS中角色(role)是多種權(quán)限（Owner、Create、Drop、Select、Update、Insert、Delete、…）的一個組合，可以授予某個用戶，也可以授予一組用戶；也可以從用戶處回收。

實現(xiàn)授權(quán)的方法有授權(quán)矩陣（authorizationmatrix）、用戶權(quán)限表(userprofile)、對象權(quán)限表(objectprofile)等。中南大學(xué)醫(yī)藥信息系編碼與測試?yán)缭赪indowsS中南大學(xué)醫(yī)藥信息系編碼與測試

系統(tǒng)授權(quán)應(yīng)遵循的原則：

（1）最小特權(quán)原則（2）最小泄漏原則（3）最大共享策略（4）推理控制策略中南大學(xué)醫(yī)藥信息系編碼與測試系統(tǒng)授權(quán)應(yīng)遵循的原則：（中南大學(xué)醫(yī)藥信息系編碼與測試二、系統(tǒng)轉(zhuǎn)換與信息系統(tǒng)運行的組織中南大學(xué)醫(yī)藥信息系編碼與測試二、系統(tǒng)轉(zhuǎn)換與信息系統(tǒng)運行的組織中南大學(xué)醫(yī)藥信息系編碼與測試（1）試運行階段的主要工作：對系統(tǒng)進(jìn)行初始化、輸入各種原始數(shù)據(jù)記錄；記錄系統(tǒng)運行的數(shù)據(jù)和狀況；核對新系統(tǒng)輸出和老系統(tǒng)（人工或計算機系統(tǒng)）輸出的結(jié)果；對實際系統(tǒng)輸入方式進(jìn)行考查（是否方便、效率如何、安全可靠性、誤操作保護等）；對系統(tǒng)實際運行、響應(yīng)速度（包括運算速度、傳輸速度、查詢速度、輸出速度等）進(jìn)行實際測試。１、試運行與系統(tǒng)轉(zhuǎn)換中南大學(xué)醫(yī)藥信息系編碼與測試（1）試運行階段的主要工作：１、中南大學(xué)醫(yī)藥信息系編碼與測試（2）系統(tǒng)轉(zhuǎn)換方式：

直接轉(zhuǎn)換老系統(tǒng)新系統(tǒng)老系統(tǒng)新系統(tǒng)老系統(tǒng)新系統(tǒng)并行轉(zhuǎn)換分段轉(zhuǎn)換中南大學(xué)醫(yī)藥信息系編碼與測試（2）系統(tǒng)轉(zhuǎn)換方式：中南大學(xué)醫(yī)藥信息系編碼與測試（1）系統(tǒng)管理與維護的組織有四種形式（系統(tǒng)在企業(yè)中的地位）：２、運行期間信息系統(tǒng)部門的組織中南大學(xué)醫(yī)藥信息系編碼與測試（1）系統(tǒng)管理與維護的組織有四種信息系統(tǒng)的安全與運行維護培訓(xùn)教材中南大學(xué)醫(yī)藥信息系編碼與測試負(fù)責(zé)信息系統(tǒng)的正常運行和維護建立和實施對企業(yè)內(nèi)信息系統(tǒng)使用的指南和制度向企業(yè)中的各業(yè)務(wù)部門提供信息技術(shù)服務(wù)有實力的還可以開展對于新項目的學(xué)習(xí)、研究和開發(fā)（2）信息系統(tǒng)部門的主要工作職責(zé)：中南大學(xué)醫(yī)藥信息系編碼與測試負(fù)責(zé)信息系統(tǒng)的正常運行和維護（中南大學(xué)醫(yī)藥信息系編碼與測試（3）運行期間的信息系統(tǒng)管理部門內(nèi)部人員 大致可以分為三大類： 系統(tǒng)維護人員或系統(tǒng)管理員 管理人員 系統(tǒng)操作人員中南大學(xué)醫(yī)藥信息系編碼與測試（3）運行期間的信息系統(tǒng)管理部門信息系統(tǒng)的安全與運行維護培訓(xùn)教材——戴維斯——戴維斯中南大學(xué)醫(yī)藥信息系編碼與測試三、信息系統(tǒng)的運行制度中南大學(xué)醫(yī)藥信息系編碼與測試三、信息系統(tǒng)的運行制度中南大學(xué)醫(yī)藥信息系編碼與測試（1）各類機房安全運行管理制度

①身份登記與驗證出入②帶入帶出物品檢查③參觀中心機房必須經(jīng)過審查④專人負(fù)責(zé)啟動、關(guān)閉計算機系統(tǒng)⑤對系統(tǒng)運行狀況進(jìn)行監(jiān)視，跟蹤并詳細(xì)記錄運行信息⑥對系統(tǒng)進(jìn)行定期保養(yǎng)和維護⑦操作人員在指定的計算機或終端上操作，對操作內(nèi)容按規(guī)定進(jìn)行登記⑧不做與工作無關(guān)的操作，不運行來歷不明的軟件⑨不越權(quán)運行程序，不查閱無關(guān)參數(shù)⑩操作異常，立即報告１、建立和健全信息系統(tǒng)的運行制度中南大學(xué)醫(yī)藥信息系編碼與測試（1）各類機房安全運行管理制度１中南大學(xué)醫(yī)藥信息系編碼與測試（2）信息系統(tǒng)的其他管理制度

①必須有重要的系統(tǒng)軟件、應(yīng)用軟件管理制度 ②必須有數(shù)據(jù)管理制度 ③必須有密碼口令管理制度，做到口令專管專用，定期更改并在失密后立即報告 ④必須有網(wǎng)絡(luò)通信安全管理制度，實行網(wǎng)絡(luò)電子公告系統(tǒng)的用戶登記和對外信息交流的管理制度 ⑤必須有病毒的防治管理制度及時檢測、清除計算機病毒，并備有檢測、清除記錄 ⑥建立安全培訓(xùn)制度，進(jìn)行計算機安全法律教育、職業(yè)道德教育和計算機安全技術(shù)教育。對關(guān)鍵崗位的人員進(jìn)行定期考核

⑦必須有人員調(diào)離的安全管理制度

⑧建立合作制度中南大學(xué)醫(yī)藥信息系編碼與測試（2）信息系統(tǒng)的其他管理制度中南大學(xué)醫(yī)藥信息系編碼與測試２、信息系統(tǒng)的日常運行管理（1）系統(tǒng)運行情況的記錄

內(nèi)容：開機、應(yīng)用系統(tǒng)的進(jìn)入、功能項的選擇與執(zhí)行 數(shù)據(jù)備份、存檔、關(guān)機等 運行情況有正常、不正常與無法運行三種情況 通常對正常情況不予記錄，對于不正常情況和無法運行情況則應(yīng)將所見的現(xiàn)象、發(fā)生的時間及可能的原因做盡量詳細(xì)的記錄。中南大學(xué)醫(yī)藥信息系編碼與測試２、信息系統(tǒng)的日常運行管理（1）中南大學(xué)醫(yī)藥信息系編碼與測試（2）審計蹤跡

審計蹤跡（audittrail）就是指系統(tǒng)中設(shè)置了自動記錄功能，能通過自動記錄的信息發(fā)現(xiàn)或判明系統(tǒng)的問題和原因。在審計蹤跡系統(tǒng)中，建立審計日志是一種基本的方法。中南大學(xué)醫(yī)藥信息系編碼與測試（2）審計蹤跡 審計蹤跡（aud中南大學(xué)醫(yī)藥信息系編碼與測試（3）審查應(yīng)急措施的落實

首先要制定應(yīng)付突發(fā)性事件的應(yīng)急計劃，然后每日要審查應(yīng)急措施的落實情況。中南大學(xué)醫(yī)藥信息系編碼與測試（3）審查應(yīng)急措施的落實首先要中南大學(xué)醫(yī)藥信息系編碼與測試（4）系統(tǒng)資源的管理在維護信息系統(tǒng)正常運行過程中還有一個常見的問題，那就是如何管理系統(tǒng)的資源。例如對計算機的使用及打印機紙、墨粉的消耗等，都要制定合理的管理方法。中南大學(xué)醫(yī)藥信息系編碼與測試（4）系統(tǒng)資源的管理在維護信息系中南大學(xué)醫(yī)藥信息系編碼與測試四、信息系統(tǒng)的維護與升級

中南大學(xué)醫(yī)藥信息系編碼與測試四、信息系統(tǒng)的維護與升級中南大學(xué)醫(yī)藥信息系編碼與測試１、信息系統(tǒng)的維護（1）系統(tǒng)維護的類型

硬件設(shè)備的維護 應(yīng)用軟件的維護 數(shù)據(jù)的維護中南大學(xué)醫(yī)藥信息系編碼與測試１、信息系統(tǒng)的維護（1）系統(tǒng)維護中南大學(xué)醫(yī)藥信息系編碼與測試應(yīng)有專職硬件維護人員負(fù)責(zé)維護