管理信息系统基础与开发技术第10章管理信息系统的安全保障.ppt

第10章 管理信息系统的安全保障,10.1 管理信息系统的安全隐患 10.2 管理信息系统的安全保障措施,（1）管理信息系统软件在使用过程中会出现一些无法预料的缺陷，软件质量存在着这样或那样的不足。 （2）对投入运行的管理信息系统的管理和操作的不当，造成系统工作状况不够理想。 （3）计算机犯罪、网络黑客、计算机病毒借助于Internet到处进行故意破坏或非法盗用，使管理信息系统的安全和质量保障受到巨大的挑战。,10.1 管理信息系统的安全隐患,1软件与数据因素 （1）软件本身存在的先天性缺陷 （2）系统本身的软件和数据的质量问题 （3）系统支持软件被破坏,2硬件与物理因素 （1）硬件的失灵、破坏和被盗 （2）电源失效,3环境与灾害因素 （1）管理信息系统需要一个良好的运行环境。 （2）意外的灾害。 （3）空间的电磁波对系统产生电磁干扰，影响系统的正常运行。,4人为与管理因素 （1）用户使用不当 （2）人为的恶意攻击 计算机犯罪 计算机黑客 计算机病毒 计算机商业间谍 （3）企业或组织内部的管理不善或内部人员的违法犯罪,10.2 管理信息系统的安全保障措施,10.2.1 系统开发过程的安全保障措施 1系统开发的总体安全保障措施 （1）对新开发的管理信息系统项目要进行严格审查，严格地按照预算进行。 （2）对于需求规格说明书中的用户需求目标必须达到。,（3）要满足预定的质量标准。 （4）管理信息系统要建立相应的系统和业务操作文档资料。,2硬件的安全保障措施 选用的硬件设备或机房辅助设备本身应稳定可靠、性能优良、电磁辐射小，对环境条件的要求尽可能低，设备能抗震防潮、抗电磁辐射干扰、抗静电，有过压、欠压、过流等电冲击的自动防护能力，有良好的接地保护措施等。,3环境的安全保障措施 （1）合理规划中心机房与各部门机房的位置，力求减少无关人员进入的机会。 （2）机房内采取了防火、防水、防潮、防磁、防尘、防雷击、防盗窃等措施，机房内设置火警装置。 （3）供电安全，电源稳定。,（4）安装空调设备，调节室内的温度、湿度和洁净度。 （5）防静电、防辐射。,4通信网络的安全保障措施 （1）采用安全传输层协议和安全超文本传输协议，从而保证数据和信息传递的安全性。 （2）使用防火墙技术。 （3）采用加密这种主动的防卫手段。 （4）采用VPN（Virtual Private Network）技术。,5软件的安全保障措施 软件是保证管理信息系统正常运行的主要因素和手段。 （1）选择安全可靠的操作系统和数据库管理系统。 （2）设立安全保护子程序或存取控制子程序，充分运用操作系统和数据库管理系统提供的安全手段，加强对用户的识别检查及控制用户的存取权限。,（3）尽量采用面向对象的开发方法和模块化的设计思想，将某类功能封装起来，使模块之间、子系统之间能较好地实现隔离，避免错误发生后的错误漫延。 （4）对所有的程序都进行安全检查测试，及时发现不安全因素，逐步进行完善。 （5）采用成熟的软件安全技术，软件安全技术包括软件加密技术、软件固化技术、安装高性能的防毒卡、防毒软件、硬盘还原卡等，以提高系统安全防护能力。,6数据的安全保障措施 数据的安全管理是管理信息系统安全的核心。 （1）数据存取的控制 存取控制常采用以下两种措施。 识别与验证访问系统的用户。 决定用户访问权限。 （2）数据加密,10.2.2 系统运行过程的安全保障措施 1系统运行的管理制度 2硬件与环境的安全保障措施 3通信网络的安全保障措施 （1）采用加密技术对网络中传输的信息进行加密处理。,（2）对网络和用户的行为进行动态监测、审计和跟踪，对网络和系统的安全性进行评估，发现并找出所存在的安全问题和安全隐患。 （3）通过使用网络安全监测工具，帮助系统管理员发现系统的漏洞，监测系统的异常行为，追查安全事件。 （4）对访问的用户进行身份鉴别和验证，以防止非法用户采用冒名的方法入侵系统，从而保证数据完整性。,4软件的安全保障措施 （1）建立软件或系统使用登录制度，操作人员在指定的计算机或终端上操作，对操作内容按规定进行登记。 （2）限制未被授权用户使用本系统，不越权运行程序，不查阅无关参数。 （3）加强软件的维护，妥善管理软件，按照严格的操作规程运行软件。,（4）对系统运行状况进行监视，跟踪并详细记录运行信息，出现操作异常时立即报告有关部门。 （5）不做与工作无关的操作，不运行来历不明的软件。,5数据的安全保障措施 （1）建立用户密码体系 （2）数据备份 （3）建立用户对数据文件中数据的查询、增加、修改、删除、更新分级权限制度 （4）数据输入控制,（5）程序化的例行编辑检查 程序化的例行编辑检查是在原始数据被正式处理之前，利用预先编好的预处理程序对输入的数据进行错误检查，不满足预定条件的数据反馈提示信息，系统拒绝