第15章 信息系统的运行维护与安全

信息系统基础第13章面向对象信息系统开发第15章信息系统的运行维护与安全15.1信息系统的运行管理15.2信息系统的维护15.3信息系统安全管理15.4信息系统审计与评价15.1信息系统的运行管理15.1.1系统运行的组织与人员信息中心信息主管(CIO，chiefinformationofficer)经理/厂长信息中心/信息主管部门n部门2部门1部门信息系统部门信息系统部门信息系统15.1信息系统的运行管理信息系统运行管理的人员信息主管/CIO硬件管理员网络管理员数据库管理员测试员程序员操作员培训计划员机房值班员资料管理员耗材管理员技术人员管理人员15.1信息系统的运行管理15.1.2系统运行的管理制度国家法规《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《计算机信息网络国际联网安全保护管理办法》部门规章制度机房管理制度数据、用户名密码、病毒等其他管理制度15.1信息系统的运行管理15.1.3系统的日常运行管理1、数据的收集数据采集数据校验数据录入15.1信息系统的运行管理2、例行的信息处理和信息服务定期或不定期的运行某些程序，如数据备份、同步更新、统计分析、报表生成、与外界的数据定期交换等等。15.1信息系统的运行管理3.设备管理与维护计算机及网络设备的运行与维护，包括设备的使用管理，定期检修，备品配件的准备，各种消耗性材料的使用与管理，电源及工作环境的管理等等。15.1信息系统的运行管理4、系统运行情况的记录（1）信息系统工作数量（2）系统工作的效率（3）提供服务的质量（4）系统的故障情况（5）系统维护升级情况第15章信息系统的运行维护与安全15.1信息系统的运行管理15.2信息系统的维护15.3信息系统安全管理15.4信息系统审计与评价15.2信息系统的维护15.2.1系统维护的意义为什么需要维护？即使是精心设计、精心实施、经过调试验收的系统，也难免有不尽如人意的地方，甚至还有错误。信息系统的实际运行还可能激发出用户在系统开发之前没有想到的功能要求。管理环境和法规政策的变化，会对信息系统提出新的要求。信息技术的迅速发展也为信息系统的升级提供有力的手段，促使信息系统的升级换代。15.2信息系统的维护维护成本随着信息系统应用的深入发展，以及使用寿命的延长，系统维护工作量也越来越大。20世纪70年代为30%—40%，80年代为40%—60%，90年代70%。从人力资源的分布看，现在世界90%的软件人员在从事软件维护工作，开发新系统的人员仅占10%。系统的可维护性是评价信息系统性能的重要指标之一。一个可维护性好的系统，其结构、接口、内部过程应当容易理解，容易对系统进行测试和诊断，有良好的文档，系统的模块化程度高因而容易修改，从而降低维护成本。15.2信息系统的维护15.2.2系统维护的对象与类型（1）应用程序的维护应用序的修改和调整。（2）数据维护数据的更新，备份与恢复，以及由于业务或环境的变化而引起数据结构的调整。（3）代码维护为适应环境的变化，系统中的各种事物的编码体系需要维护。（4）硬件设备维护主要指主机、网络设备和各类外部设备的维护。15.2信息系统的维护应用软件的维护类型（1）纠错性维护（2）完善性维护（3）适应性维护（4）预防性维护15.2信息系统的维护15.2.3系统维护的管理软件维护的流程第15章信息系统的运行维护与安全15.1信息系统的运行管理15.2信息系统的维护15.3信息系统安全管理15.4信息系统审计与评价15.3信息系统安全管理计算机犯罪2008年网络犯罪分子窃取数据和安全突破使全球企业付出了1万亿美元的代价，而据不完全统计，全世界每年发生网络侵入事件高达二三十万起。我国2000年计算机犯罪2700余起，2008年突破4500起，诈骗、敲诈、窃取等形式的网络犯罪涉案金额从数万元发展到数百万元金融行业计算机网络犯罪案件发案比例占整个计算机犯罪比例高达61%。黑客攻击数据泄漏15.3信息系统安全管理信息系统的安全性主要体现在以下几个方面：保密性：保护信息的存储与传输，确保信息不暴露给未授权者。可控制性：控制授权范围内的信息流向和行为方式。保证合法用户的正确使用，防止非法操作或使用。可审查性：对出现的系统安全问题提供调查依据和手段。抗攻击性：抵御非法用户进行系统访问、窃取系统资源、破坏系统运行。15.3信息系统安全管理15.3.1信息系统的脆弱性（1）软件缺陷（2）系统配置不当（3）脆弱性口令（4）信息泄漏（5）设计缺陷15.3信息系统安全管理15.3.2信息系统面临的威胁和攻击（1）对实体的威胁和攻击主要指对计算机及其外部设备、网络的威胁和攻击。（2）对信息的威胁和攻击信息泄露信息破坏（3）计算机犯罪因行为人的主观罪过，对计算机信息系统（包括硬件、软件、数据、网络以及系统的正常运行状态）的完整性、保密性和可用性造成危害；或者以计算机为工具，应用计算机技术和知识实施触犯刑事法律法规而应受到处理的行为（4）计算机病毒15.3信息系统安全管理对企业信息系统的攻击主动攻击窃取并干扰通信线路上的信息返回渗透：截取系统的信息，并将伪信息返回系统。非法冒充：窃取合法用户的口令，进行窃取或破坏信息的活动。系统内部人员的窃密或破坏系统信息的活动。被动攻击直接侦获截获信息合法窃取从遗弃的媒体中分析获取信息15.3信息系统安全管理15.3.3信息系统的安全策略和实施安全管理原则多人负责原则任期有限原则职责分离原则安全管理内容（1）制定安全制度和操作规程（2）执行维护工作流程（3）制定紧急恢复措施（4）人员管理（5）用户安全管理（6）物理安全管理（7）实体访问控制安全管理60%实体20%技术10%法律10%第15章信息系统的运行维护与安全15.1信息系统的运行管理15.2信息系统的维护15.3信息系统安全管理15.4信息系统审计与评价15.4信息系统审计与评价15.4.1信息系统审计“审计”一词是指专设机关对各级政府、金融机构、企事业单位的财务收支进行事前和事后的审查。信息系统审计最早称为计算机审计，主要关注的是被审计单位电子数据的取得、分析、计算等数据处理业务，检查交易金额和账户、报表金额，审查其真实性、准确性。信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。15.4信息系统审计与评价1、信息系统运行审计对信息系统支持的业务信息或业务数据的审计，检验其正确性、真实性。（1）内部控制制度审计（2）应用程序审计（3）数据文件审计（4）处理系统综合审计2、信息系统开发审计审计信息系统的开发过程，检查开发过程是否科学、规范。15.4信息系统审计与评价国际信息系统审计师资格CertifiedInformationSystemAuditor——CISACISA考试内容：信息系统审计准则与安全、信息系统的安全与控制实务信息系统的组织与管理信息系统的处理过程信息系统的完整、保密和有效信息系统软件的开发、实施与维护15.4信息系统审计与评价15.4.2信息系统运行评价（1）系统功能：预定的系统开发目标实际完成情况系统功能的实用性和有效性系统运行结果对各部门的支持程度