第15章 信息系統(tǒng)的運(yùn)行維護(hù)與安全

信息系統(tǒng)基礎(chǔ)第13章面向?qū)ο笮畔⑾到y(tǒng)開發(fā)第15章信息系統(tǒng)的運(yùn)行維護(hù)與安全15.1信息系統(tǒng)的運(yùn)行管理15.2信息系統(tǒng)的維護(hù)15.3信息系統(tǒng)安全管理15.4信息系統(tǒng)審計(jì)與評(píng)價(jià)15.1信息系統(tǒng)的運(yùn)行管理15.1.1系統(tǒng)運(yùn)行的組織與人員信息中心信息主管(CIO，chiefinformationofficer)經(jīng)理/廠長(zhǎng)信息中心/信息主管部門n部門2部門1部門信息系統(tǒng)部門信息系統(tǒng)部門信息系統(tǒng)15.1信息系統(tǒng)的運(yùn)行管理信息系統(tǒng)運(yùn)行管理的人員信息主管/CIO硬件管理員網(wǎng)絡(luò)管理員數(shù)據(jù)庫(kù)管理員測(cè)試員程序員操作員培訓(xùn)計(jì)劃員機(jī)房值班員資料管理員耗材管理員技術(shù)人員管理人員15.1信息系統(tǒng)的運(yùn)行管理15.1.2系統(tǒng)運(yùn)行的管理制度國(guó)家法規(guī)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》部門規(guī)章制度機(jī)房管理制度數(shù)據(jù)、用戶名密碼、病毒等其他管理制度15.1信息系統(tǒng)的運(yùn)行管理15.1.3系統(tǒng)的日常運(yùn)行管理1、數(shù)據(jù)的收集數(shù)據(jù)采集數(shù)據(jù)校驗(yàn)數(shù)據(jù)錄入15.1信息系統(tǒng)的運(yùn)行管理2、例行的信息處理和信息服務(wù)定期或不定期的運(yùn)行某些程序，如數(shù)據(jù)備份、同步更新、統(tǒng)計(jì)分析、報(bào)表生成、與外界的數(shù)據(jù)定期交換等等。15.1信息系統(tǒng)的運(yùn)行管理3.設(shè)備管理與維護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的運(yùn)行與維護(hù)，包括設(shè)備的使用管理，定期檢修，備品配件的準(zhǔn)備，各種消耗性材料的使用與管理，電源及工作環(huán)境的管理等等。15.1信息系統(tǒng)的運(yùn)行管理4、系統(tǒng)運(yùn)行情況的記錄（1）信息系統(tǒng)工作數(shù)量（2）系統(tǒng)工作的效率（3）提供服務(wù)的質(zhì)量（4）系統(tǒng)的故障情況（5）系統(tǒng)維護(hù)升級(jí)情況第15章信息系統(tǒng)的運(yùn)行維護(hù)與安全15.1信息系統(tǒng)的運(yùn)行管理15.2信息系統(tǒng)的維護(hù)15.3信息系統(tǒng)安全管理15.4信息系統(tǒng)審計(jì)與評(píng)價(jià)15.2信息系統(tǒng)的維護(hù)15.2.1系統(tǒng)維護(hù)的意義為什么需要維護(hù)？即使是精心設(shè)計(jì)、精心實(shí)施、經(jīng)過調(diào)試驗(yàn)收的系統(tǒng)，也難免有不盡如人意的地方，甚至還有錯(cuò)誤。信息系統(tǒng)的實(shí)際運(yùn)行還可能激發(fā)出用戶在系統(tǒng)開發(fā)之前沒有想到的功能要求。管理環(huán)境和法規(guī)政策的變化，會(huì)對(duì)信息系統(tǒng)提出新的要求。信息技術(shù)的迅速發(fā)展也為信息系統(tǒng)的升級(jí)提供有力的手段，促使信息系統(tǒng)的升級(jí)換代。15.2信息系統(tǒng)的維護(hù)維護(hù)成本隨著信息系統(tǒng)應(yīng)用的深入發(fā)展，以及使用壽命的延長(zhǎng)，系統(tǒng)維護(hù)工作量也越來(lái)越大。20世紀(jì)70年代為30%—40%，80年代為40%—60%，90年代70%。從人力資源的分布看，現(xiàn)在世界90%的軟件人員在從事軟件維護(hù)工作，開發(fā)新系統(tǒng)的人員僅占10%。系統(tǒng)的可維護(hù)性是評(píng)價(jià)信息系統(tǒng)性能的重要指標(biāo)之一。一個(gè)可維護(hù)性好的系統(tǒng)，其結(jié)構(gòu)、接口、內(nèi)部過程應(yīng)當(dāng)容易理解，容易對(duì)系統(tǒng)進(jìn)行測(cè)試和診斷，有良好的文檔，系統(tǒng)的模塊化程度高因而容易修改，從而降低維護(hù)成本。15.2信息系統(tǒng)的維護(hù)15.2.2系統(tǒng)維護(hù)的對(duì)象與類型（1）應(yīng)用程序的維護(hù)應(yīng)用序的修改和調(diào)整。（2）數(shù)據(jù)維護(hù)數(shù)據(jù)的更新，備份與恢復(fù)，以及由于業(yè)務(wù)或環(huán)境的變化而引起數(shù)據(jù)結(jié)構(gòu)的調(diào)整。（3）代碼維護(hù)為適應(yīng)環(huán)境的變化，系統(tǒng)中的各種事物的編碼體系需要維護(hù)。（4）硬件設(shè)備維護(hù)主要指主機(jī)、網(wǎng)絡(luò)設(shè)備和各類外部設(shè)備的維護(hù)。15.2信息系統(tǒng)的維護(hù)應(yīng)用軟件的維護(hù)類型（1）糾錯(cuò)性維護(hù)（2）完善性維護(hù)（3）適應(yīng)性維護(hù)（4）預(yù)防性維護(hù)15.2信息系統(tǒng)的維護(hù)15.2.3系統(tǒng)維護(hù)的管理軟件維護(hù)的流程第15章信息系統(tǒng)的運(yùn)行維護(hù)與安全15.1信息系統(tǒng)的運(yùn)行管理15.2信息系統(tǒng)的維護(hù)15.3信息系統(tǒng)安全管理15.4信息系統(tǒng)審計(jì)與評(píng)價(jià)15.3信息系統(tǒng)安全管理計(jì)算機(jī)犯罪2008年網(wǎng)絡(luò)犯罪分子竊取數(shù)據(jù)和安全突破使全球企業(yè)付出了1萬(wàn)億美元的代價(jià)，而據(jù)不完全統(tǒng)計(jì)，全世界每年發(fā)生網(wǎng)絡(luò)侵入事件高達(dá)二三十萬(wàn)起。我國(guó)2000年計(jì)算機(jī)犯罪2700余起，2008年突破4500起，詐騙、敲詐、竊取等形式的網(wǎng)絡(luò)犯罪涉案金額從數(shù)萬(wàn)元發(fā)展到數(shù)百萬(wàn)元金融行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)犯罪案件發(fā)案比例占整個(gè)計(jì)算機(jī)犯罪比例高達(dá)61%。黑客攻擊數(shù)據(jù)泄漏15.3信息系統(tǒng)安全管理信息系統(tǒng)的安全性主要體現(xiàn)在以下幾個(gè)方面：保密性：保護(hù)信息的存儲(chǔ)與傳輸，確保信息不暴露給未授權(quán)者?？煽刂菩裕嚎刂剖跈?quán)范圍內(nèi)的信息流向和行為方式。保證合法用戶的正確使用，防止非法操作或使用?？蓪彶樾裕簩?duì)出現(xiàn)的系統(tǒng)安全問題提供調(diào)查依據(jù)和手段。抗攻擊性：抵御非法用戶進(jìn)行系統(tǒng)訪問、竊取系統(tǒng)資源、破壞系統(tǒng)運(yùn)行。15.3信息系統(tǒng)安全管理15.3.1信息系統(tǒng)的脆弱性（1）軟件缺陷（2）系統(tǒng)配置不當(dāng)（3）脆弱性口令（4）信息泄漏（5）設(shè)計(jì)缺陷15.3信息系統(tǒng)安全管理15.3.2信息系統(tǒng)面臨的威脅和攻擊（1）對(duì)實(shí)體的威脅和攻擊主要指對(duì)計(jì)算機(jī)及其外部設(shè)備、網(wǎng)絡(luò)的威脅和攻擊。（2）對(duì)信息的威脅和攻擊信息泄露信息破壞（3）計(jì)算機(jī)犯罪因行為人的主觀罪過，對(duì)計(jì)算機(jī)信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)以及系統(tǒng)的正常運(yùn)行狀態(tài)）的完整性、保密性和可用性造成危害；或者以計(jì)算機(jī)為工具，應(yīng)用計(jì)算機(jī)技術(shù)和知識(shí)實(shí)施觸犯刑事法律法規(guī)而應(yīng)受到處理的行為（4）計(jì)算機(jī)病毒15.3信息系統(tǒng)安全管理對(duì)企業(yè)信息系統(tǒng)的攻擊主動(dòng)攻擊竊取并干擾通信線路上的信息返回滲透：截取系統(tǒng)的信息，并將偽信息返回系統(tǒng)。非法冒充：竊取合法用戶的口令，進(jìn)行竊取或破壞信息的活動(dòng)。系統(tǒng)內(nèi)部人員的竊密或破壞系統(tǒng)信息的活動(dòng)。被動(dòng)攻擊直接偵獲截獲信息合法竊取從遺棄的媒體中分析獲取信息15.3信息系統(tǒng)安全管理15.3.3信息系統(tǒng)的安全策略和實(shí)施安全管理原則多人負(fù)責(zé)原則任期有限原則職責(zé)分離原則安全管理內(nèi)容（1）制定安全制度和操作規(guī)程（2）執(zhí)行維護(hù)工作流程（3）制定緊急恢復(fù)措施（4）人員管理（5）用戶安全管理（6）物理安全管理（7）實(shí)體訪問控制安全管理60%實(shí)體20%技術(shù)10%法律10%第15章信息系統(tǒng)的運(yùn)行維護(hù)與安全15.1信息系統(tǒng)的運(yùn)行管理15.2信息系統(tǒng)的維護(hù)15.3信息系統(tǒng)安全管理15.4信息系統(tǒng)審計(jì)與評(píng)價(jià)15.4信息系統(tǒng)審計(jì)與評(píng)價(jià)15.4.1信息系統(tǒng)審計(jì)“審計(jì)”一詞是指專設(shè)機(jī)關(guān)對(duì)各級(jí)政府、金融機(jī)構(gòu)、企事業(yè)單位的財(cái)務(wù)收支進(jìn)行事前和事后的審查。信息系統(tǒng)審計(jì)最早稱為計(jì)算機(jī)審計(jì)，主要關(guān)注的是被審計(jì)單位電子數(shù)據(jù)的取得、分析、計(jì)算等數(shù)據(jù)處理業(yè)務(wù)，檢查交易金額和賬戶、報(bào)表金額，審查其真實(shí)性、準(zhǔn)確性。信息系統(tǒng)審計(jì)是一個(gè)通過收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。15.4信息系統(tǒng)審計(jì)與評(píng)價(jià)1、信息系統(tǒng)運(yùn)行審計(jì)對(duì)信息系統(tǒng)支持的業(yè)務(wù)信息或業(yè)務(wù)數(shù)據(jù)的審計(jì)，檢驗(yàn)其正確性、真實(shí)性。（1）內(nèi)部控制制度審計(jì)（2）應(yīng)用程序?qū)徲?jì)（3）數(shù)據(jù)文件審計(jì)（4）處理系統(tǒng)綜合審計(jì)2、信息系統(tǒng)開發(fā)審計(jì)審計(jì)信息系統(tǒng)的開發(fā)過程，檢查開發(fā)過程是否科學(xué)、規(guī)范。15.4信息系統(tǒng)審計(jì)與評(píng)價(jià)國(guó)際信息系統(tǒng)審計(jì)師資格CertifiedInformationSystemAuditor——CISACISA考試內(nèi)容：信息系統(tǒng)審計(jì)準(zhǔn)則與安全、信息系統(tǒng)的安全與控制實(shí)務(wù)信息系統(tǒng)的組織與管理信息系統(tǒng)的處理過程信息系統(tǒng)的完整、保密和有效信息系統(tǒng)軟件的開發(fā)、實(shí)施與維護(hù)15.4信息系統(tǒng)審計(jì)與評(píng)價(jià)15.4.2信息系統(tǒng)運(yùn)行評(píng)價(jià)（1）系統(tǒng)功能：預(yù)定的系統(tǒng)開發(fā)目標(biāo)實(shí)際完成情況系統(tǒng)功能的實(shí)用性和有效性系統(tǒng)運(yùn)行結(jié)果對(duì)各部門的支持程度