第八章信息系统的运行与管理PPT课件

第八章信息系统的运行与管理 从企业验收并启用信息系统开始 信息系统就进入了运行管理的阶段 一直要延续到被更好的新系统替代为止 信息系统运行管理的目的就是对信息系统的运行进行实时控制 记录其运行状态 进行必要的修改与扩充 加强安全管理 使信息系统始终处于最佳的工作状态 从而体现其价值 第八章信息系统的运行与管理 8 1信息系统的运行维护8 2信息系统的文档管理8 3信息系统的安全管理8 4信息系统的评价 8 1信息系统的运行维护 在管理信息系统投入运行后 企业要对信息系统的日常运行情况进行记录 并不断地对该系统进行维护 使程序和运行始终处于最佳的工作状态 而要完成信息系统的运行维护工作 作为用户企业 要成立成立相应的信息管理部门 并由信息主管全面负责企业的信息化工作 8 1信息系统的运行维护 本节重点讨论信息系统的日常运行管理 信息系统的维护 信息系统运行的组织机构等内容 8 1 1信息系统的日常运行管理8 1 2信息系统的维护8 1 3信息系统运行管理的组织 8 1 1信息系统的日常运行管理 系统运行情况的记录整个系统运行情况的记录能够反映系统在大多数情况下的状态和工作效率 对于系统的评价与改进具有重要的参考价值 因此 信息系统的运行情况一定要及时 准确 完整地记录下来 除了记录正常情况外 还要记录意外情况发生的时间 原因与处理结果 记录系统运行情况是一件细致而又繁琐的工作 从系统开始投入运行就要抓紧抓好 系统运行的日常管理系统运行的日常管理包括数据的维护和突发事件的处理等 7 系统运行管理的内容 信息系统的运行管理主要包括 系统的安全与保密管理 系统的日常管理和控制 系统的用户培训等 8 一系统的安全与保密管理 企业信息反映了企业的过去 现在与未来 系统损坏或信息泄漏会带来不可估量的损失 甚至危及企业的生存与发展 信息系统几乎被组织内部每一位管理人员接触与享用 组织与外界的信息交往日益广泛与频繁 由于信息的易传播性与易扩散性 使得信息系统的安全保密工作难度大大增加 9 一系统的安全与保密管理 IS的安全是 为防止破坏行为和灾害 避免损失所采取的措施 例如 防止病毒侵害 软硬件和数据丢失的措施 安全性问题轻则使系统局部功能失效 重则使整个系统瘫痪 导致破坏问题的主要原因 人为的恶意破坏 如病毒 黑客攻击等 客观的灾害事件 如火灾 地震 设施老化等 10 一系统的安全与保密管理 IS的保密是 为防止窃取信息 免受损失而采取的措施 例如 防止黑客窃取 信息滥用的措施 保密性问题轻则蒙受经济损失 严重时甚至会陷入倒闭的境地 导致失密问题的主要原因 黑客入侵和非法下载 内部人员窃取等 11 一系统的安全与保密管理 信息系统安全与保密工作 七项 1 制定严密的安全与保密制度 宣传与教育 2 定期进行安全风险的识别与评估 3 制定损害恢复规程 4 配备齐全的安全设备 5 设置可靠的系统访问控制机制 权限 用户身份确认 防火墙设置等 6 完整地制作系统软件和应用软件的备份 7 敏感数据尽可能隔离存放 由专人保管 12 二系统运行的常规管理与控制 系统运行常规管理的一部分属于系统安全保密制度与措施的落实 另一部分是例行的运行记录工作 运行情况的记录对系统问题的分析与解决有重要的参考价值 一般应在系统中设置自动记录功能 一些重要的运行情况及所遇到的问题仍应作书面记录 运行记录应作为基本的系统文档长期保管 13 三用户培训 用户培训是信息系统知识转移的重要途径 我国企业还相当缺乏称职的信息人员 因此 培养一批既懂管理业务 又懂信息系统的信息人员应该是企业开发信息系统的主要目标之一 培训对象 各级管理人员及信息人员 培训方法 在项目开发实践中学习 系统授课和进修 交流讨论 文档资料的转移等 14 三用户培训 一般建议的培训内容 信息系统基本概念和方法论 信息与信息系统概念 作用与价值 系统开发方法与过程等 计算机基本知识 硬件与软件 通信网络的基本概念 管理软件和数据库等的基本知识 管理方法 现代管理方法的基本思想和用法 如来于先进企业的 最佳实践 知识 用户信息系统介绍 信息系统目标 功能及总体描述 开发计划 主要事项与配合要求等 用户信息系统的操作方法 15 三用户培训 需特别强调的是培训要结合用户的实际 在条件许可的情况下安排一些演示与参观 通过培训使各级管理人员明确开发与应用信息系统对组织生存与发展的重要意义 使他们能在了解与掌握基本概念的基础上打消顾虑 积极参与信息系统的开发 并为下一步的应用作好准备 16 8 1 2信息系统的维护 系统维护是对系统使用过程中发现的问题进行处理的过程 也是系统完善的过程 信息系统维护的性质与任务 系统的日常维护系统的应急维护系统的适应性维护 17 一 系统日常维护 数据维护 备份 存档和整理 积累到一定量或一定时间后转入档案数据库 硬件维护 保养与安全管理 简易故障的诊断与排除 易耗品更换与安装 系统日常维护是应急维护和适应性维护的基础 18 一 系统日常维护 大部分的日常维护应该由专门的软件来处理 每天都要对更动过的或新增加的数据作备份 除正本数据外 至少要求有两个以上的备份 并以单双方式轮流制作 以防刚被损坏的正本数据冲掉上次的备份 数据正本与备份应分别存于不同的磁盘上或其他存储介质上 19 二 系统应急维护 系统应急维护应对外部突发性事件或内部隐患暴发而采取的预防措施 系统遭受损害后的紧急处置和恢复工作 外部突发事件 自然灾害 人为破坏等 内部隐患 系统缺陷 误操作和有意破坏等 根本起因 在于IT的脆弱性 非法牟利的低成本 20 二 系统应急维护 突发事件对信息系统的损害 外显 功能失效 资产损失 内部 硬件瘫痪 软件失效 数据丢失或纷乱突发事件大都无法确定具体发生的时间 一旦发生就会对信息系统造成局部的或全局性的危害 电力调度 金融业务 电信业务 航空交通 连续型生产管理等重要的信息系统遭受不利突发事件将可能造成难以估计的损失 21 二 系统应急维护 据2008 08 09长江商报武汉市千余辆的士的计价器突然死机 导致人车停岗四小时 原因是在2003年安装此计价器时 计价器芯片中设置了只能使用5年的程序 据2008 04 06联合早报网花费6年时间 斥资43亿英镑的英国伦敦希思罗机场因行李管理系统出现故障 不能正确地将行李与旅客搭乘的航班相匹配 再次陷入混乱之中 英国航空公司被迫取消12个短程航班 22 二 系统应急维护 信息系统应用的趋势 规模越来越大 涉及面越来越广 依赖性越来越强牵一发而动全身 应急维护重要性日渐突出 我国的一些电网企业 医院和金融机构等在信息系统的应急维护方面开展了有益的探索和实践 但总体上 我国企业界的信息系统应急维护还不理想 近年来兴起的应急管理领域 有望为信息系统应急维护的实践提供理论 方法和技术的支持 23 三 系统适应性维护 为适应环境变化 企业要不断的进行变革 信息系统要相应的改进与提高 信息系统不可避免地存在缺陷与错误 必须及时地予以消除 这就是系统适应性维护的原因和目的 实践证明 系统维护所付出的代价往往要超过系统开发的代价 系统维护的好坏将显著地影响系统的运行质量 24 三 系统适应性维护 信息系统适应性维护的内容 1 系统缺陷的记录 分析与解决方案的设计 2 系统结构的调整 更新与扩充 3 系统功能的增设 修改 4 系统硬件的维修 更新与添置 5 系统维护的记录及维护手册的修订等 25 三 系统适应性维护 信息系统的适应性维护实质上就是依据应用环境和应用需求的变化 以及针对自身的缺陷 不断进行改进和提升的过程 相当于软件成熟度的最高级 优化级 通过适应性维护能使信息系统逐步走向成熟 适应性维护是难度最大的维护工作 26 8 1 2信息系统的维护 三类维护的触发与关系 二系统维护的内容 1 应用软件的维护 由于管理业务处理是通过系统运行而实现的 一旦业务处理出现问题或发生变化 就要修改应用程序及有关文档 因此应用软件维护是系统维护的最主要的内容 2 数据文件的维护 业务发生了变化 从而需要建立新文件 或者对现有文件的结构进行修改 二系统维护的内容 3 代码的维护 随着系统应用范围和应用环境的变化 旧的代码可能不适应新的要求 必须进行改造 制定新的代码或修改旧的代码体系 4 硬件设备维护 主要是指对主机及外部设备的日常维护和管理 故障检修 易损件更换 某些设备功能扩展等 三系统维护的过程 确定维护目标 建立维护人员组织建立维护计划方案维护的实施修改文档 8 1 3信息系统运行管理的组织 有效地组织好信息系统运行对提高其运行效率是十分重要的 而信息系统运行组织的建立是与信息系统在企业中的地位分不开的 目前 企业中负责信息系统运行的大多是信息中心 计算中心 信息处等信息管理部门 随着人们认识的提高 信息系统在企业中的地位也逐步提高 信息管理部门 信息管理部门在企业组织中的地位变化 32 引入和配置信息技术 开发和组织信息资源 提供信息服务 支持组织战略目标的实现 1 信息化建设的规划与实施 2 信息资源的开发 组织与管理 3 信息系统项目的组织 管理与实施 4 信息系统的管理与维护 5 信息人员的组织 培养与管理 6 向组织各阶层提供信息服务 信息管理部门的任务 六项 33 层次结构的信息管理部门配置 信息主管 34 信息主管与信息人员 信息人员指从事信息管理和信息系统工作的人员 特指各类组织中从事信息化工作的人员 设置有相应的信息管理工作岗位 信息人员主要配置在信息管理部门 但许多企业在职能部门中也配置有相应的信息人员 信息人员的职位主要有 CIO 系统分析师 系统设计师 系统维护员 网络管理员 等等 信息主管 ChiefInformationOfficer CIO CIO是对企业的信息技术和信息系统的所有方面负责的高级执行官 他们使用信息技术来支持战略目标的实现 另外 CIO更是管理者 拥有技术 商务知识 善于从多角度 多侧面 综合地看问题 能从商业战略角度安排技术设备 提供适时 准确的信息服务 从而帮助企业在激烈的市场竞争中站稳脚跟 由于信息的重要性和广泛存在性 对信息的管理必将涉及企业的每一角落 并延伸到企业外部 因此 CIO一般由副总经理兼任 在企业中的地位仅次于总经理 云计算促使中国CIO转型 36 37 信息主管与信息人员 信息人员大都较年轻 具有较高学历 各有技术或管理专长 上下级概念较淡薄 一般收入相对较高 看重的是成就感 因此招聘 培养和管理有特殊性 目前高水平的复合型信息人才仍欠缺 人才流动现象比较突出 各类组织 尤其是国有企业 在吸引 稳定和管理信息人才 不能按传统的观念看待和一刀切的思路运作 38 信息主管与信息人员 任务具有较大的不确定性和自主寻求解决方案的特点 还涉及较多的商业机密 对于组织的信息安全和信息伦理担负着艰巨的责任 他们既要防范来于外界的信息安全威胁 也要考虑如何避免产生于内部的信息利益损害 为此 一方面要从技术上加强组织的信息安全保障 另方面要从管理机制上加强信息人员信息安全意识和职业道德的教育 第二节信息系统的文档管理 信息系统的文档是描述系统从无到有整个发展与演变过程及各个状态的文字资料 信息系统实际上由系统实体以及与此对应的文档两大部分组成 信息系统建设要以文档的描述为依据 系统实体的运行与维护更需要文档来支持 系统文档是信息系统的生命线 没有文档就没有信息系统 8 2 1信息系统文档及其作用 2信息系统文档的作用 为信息系统的项目管理和运行维护提供依据 开发人员把系统建设整个生命周期中发生的事件以文档的形式记录下来 这些记录下来的文档将为项目管理者提供项目计划 预算 开发进度等各方面的信息 从而作为检查开发进度的依据 减少项目风险 实现对信息系统开发的项目管理 同时 记录开发过程中的有关信息 也能为信息系统的维护工作提供有关的资料和经验 便于指导信息系统的运行和维护 提高开发效率 提高信息系统开发效率和质量 信息系统文档的编制 使得开发人员对各个阶段的工作都进行周密考虑 全盘权衡 从而减少返工 并且可在开发早期发现错误和不一致性 便于及时加以纠正 2信息系统文档的作用 续 提供对信息系统的运行 维护和培训的有关信息 便于管理人员 开发人员 操作人员 用户之间的协作 交流和了解 使信息系统的开发活动更科学 更有成效 便于用户了解信息系统的功能 性能等各项指标 激发用户的需求 为信息系统的评价提供原始依据 1 按照产生和使用的范围分类 开发文档测试工作完成以后 应当提交测试计划执行情况的说明 对测试结果加以分析 并提出测试的结论性意见 管理文档这类文档是在信息系统开发过程中 由信息系统开发人员制定的 需提交的一些工作计划或工作报告 使管理人员能够通过这些文档了解信息系统开发项目安排 进度 资源使用和成果等 包括项目开发计划 测试计划 测试报告 开发进度月报及项目开发总结 项目开发总结报告软件项目开发完成后 应当与项目实施计划对照 总结实际执行的情况 如进度 成果 资源利用 成本和投入的人力 用户文档这类文档是信息系统开发人员为用户准备的有关该信息系统使用 操作 维护的资料 包括用户手册 操作手册 维护修改建议 8 2 2信息系统文档的分类 8 2 2信息系统文档的分类 可行性研究报告说明该信息系统项目的建设在技术上 经济上 管理上的可行性 评述为合理地达到开发目标可供选择的各种可能的实现方案 说明并论证所选方案的理由 项目开发规划为信息系统项目实施方案制定出具体的规划 包括各部分工作的负责人员 开发进度 开发经费的预算 所需要的硬件和软件资源等 信息系统项目开发规划应提供管理部门 并作为开发阶段评审的基础 需求说明书也称软件规格说明书 其中对所开发软件的功能 性能 用户界面 运行环境等做出详细的说明 它是用户与开发人员双方对软件需求取得共同理解基础上达成的协议 也是实施开发工作的基础 2 按照国家标准分类 2 按照国家标准分类 数据要求说明书给出数据逻辑描述和数据采集的各项要求 为生成和维护系统的数据文件做好准备 概要设计说明书是概要设计工作阶段的成果 说明了系统的功能分配 模块划分 程序的总体结构 输入输出及接口设计 运行设计 数据结构设计和出错处理设计等 为详细设计奠定基础 详细设计说明书又称为程序设计说明书 着重描述每一个模块是如何实现的 包括实现算法 逻辑流程等 1 按照国家标准分类 用户手册详细描述软件的功能 性能和用户界面 使用户了解如何使用该软件 操作手册为操作人员提供该软件的功能 性能和用户界面 使用户了解如何使用该软件 测试计划针对集成测试和验收测试 需要为组织制定测试计划 计划应当包括测试的内容 进度 条件 人员 测试用例的选取原则 测试结果允许的偏差范围等 1 按照国家标准分类 测试分析报告测试工作完成以后 应当提交测试计划执行情况的说明 对测试结果加以分析 并提出测试的结论性意见 开发进度月报该月报是软件开发人员按月向管理部门提交的项目进展情况的报告 报告应当包括进度计划与实际执行情况的比较 阶段成果 遇到的问题和解决的办法以及下个月的打算等 项目开发总结报告软件项目开发完成后 应当与项目实施计划对照 总结实际执行的情况 如进度 成果 资源利用 成本和投入的人力 维护 修改建议信息系统投入使用后 应对系统的运行情况 维护做详细的记录 另外 随着系统的使用 可能有修改 更改等问题 应当对存在的问题 修改的考虑以及修改的影响估计等做详细的描述 写成维护 修改建议 提交审批 信息系统生命周期各阶段与各种文档编制工作的关系 各类人员与文档编制的关系 8 2 4信息系统文档管理措施 设立文档保管员 负责集中保管信息系统的主文档 文档要标准化 规范化 在系统开发前必须首先选择或制定文档标准 开发小组成员根据工作需要可在自己手中保管一些个人文档 这些一般都应是主文档的复印件 并注意与主文档的一致性 在做必要的修改时 也应首先修正主文档 在新文档替换旧文档时 管理人员应及时注销旧文档 项目开发结束时 文档管理人员应该收回开发人员的个人文档 发现个人文档与主文档差异时 应及时解决 8 3信息系统的安全管理 在信息系统的运行过程中会产生和积累大量的信息 这些信息是企业的重要资源 它们几乎反映了企业过去 现在和未来 系统软硬件的损坏或信息的泄漏会给企业带来不可估量的经济损失 甚至危及企业的生存与发展 当前常见的病毒传播破坏和电脑 黑客 犯罪等典型现象很好地说明了信息系统安全与保密的必要性与紧迫性 在另一方面 信息系统几乎被企业内部每一位管理人员接触和使用 随着企业信息化建设的深入 企业与外界的信息交往日益广泛与频繁 由于信息的易传播性与易扩散性 使得信息系统的安全保密工作难度大大增加 8 3 1信息系统的安全概述 信息系统安全的定义信息系统安全是指信息系统资源和信息资源不受自然和人为有害因素的威胁和危害 信息系统安全问题具有如下特点 信息系统既是一个技术系统 又是一个社会系统 因此其安全不仅涉及技术问题 还涉及管理问题 信息系统的安全问题涉及的内容非常广泛 既包括系统资源 还包括信息资源 因此信息系统安全不仅包括系统的静态安全 还包括系统运行的动态安全 完善的信息系统安全机制是一个完整的逻辑结构 其实施是一个复杂的系统工程 信息系统安全的基本要求 机密性机密性指信息不泄露给非法用户 不被非法利用 另一方面可以理解为信息的保密隐藏 组织将不宜向公众开放的信息用某种方式隐藏起来 只有经过特定的授权后才能根据授权的级别对信息进行相应的访问 信息的机密性可以通过加密和访问控制机制来实现 完整性完整性指信息数据的可依赖性 确切性 通常它用来表达防止不恰当或者非法的数据修改 破坏和丢失 可用性可用性指信息资源可被合法的授权用户使用 当需要时 用户总能存取所需要的信息 可用性是系统可靠性和系统设计的重要方面 不可抵赖性不可抵赖性是指在传输数据时必须携带含有自身特质 别人无法复制的信息 防止交易发生后对行为的否认 不可抵赖性包括对自己行为的不可抵赖及对行为发生的时间的不可抵赖 通过进行身份认证和数字签名可以避免对交易行为的抵赖 通过数字时间戳可以避免对行为发生时间的抵赖 信息系统安全的主要内容 实体安全计算机硬件设备及环境的安全可靠 具体包括机房设施 计算机主体 存储系统 辅助设备 数据通信设施以及存储介质的安全 软件安全包括严格遵守软件开发规程 软件安全测试 软件的修改与复制过程规范并保证相关资料的完整性 信息系统安全的主要内容 信息安全信息安全是指系统拥有的信息或数据的使用完整 有效 合法 不被故意地或偶然地泄漏 破坏 更改 信息安全的破坏主要表现在信息可用性 完整性 保密性的破坏以及信息泄漏 运行安全开发人员把系统建设整个生命周期中发生的事件以文档的形式记录下来 为信息系统的项目管理和运行维护提供依据 这些记录下来的文档将为项目管理者提供项目计划 预算 开发进度等各方面的信息 从而作为检查开发进度的依据 减少项目风险 8 3 2信息系统的安全管理策略 从技术的角度看 信息系统是脆弱的 因为现在信息交换和传输的网络及其协议是开放的 这就意味着所有信息和资源可以通过网络共享 远程和匿名访问变得可能 信息系统的安全管理应涵盖安全技术和制度建设两个方面 安全技术 操作系统与数据库安全开发可靠的应用系统加密技术认证技术访问控制技术实体安全技术 用户的特征 用户所拥有的 用户所知道的 二 认证技术 指纹虹膜DNA声音用户的行为 身份证护照密钥盘 密码口令 认证技术 基于口令的鉴别技术 这是目前在互联网和计算机领域中最常用的鉴别方法 当你登录计算机网络时需要输入口令 计算机系统把它的鉴别建立在用户名和口令的基础之上 如果你把用户名和口令告诉了其他人 则计算机也将给予那个人以访问权限 因为鉴别是建立在已知口令之上的 仅仅属于一种模式的鉴别 通过一些措施可以有效地改进口令鉴别的安全性 如通过增加口令的强度 提高抗穷举攻击和字典攻击的能力 将口令加密防止在传输中被窃听 采用动态的一次性口令系统 防止口令的重放等 基于智能卡的鉴别技术 这种方法较为先进 用户需要一些物理原件 如楼宇通行卡的鉴别方式 在扫描器上划卡并通过验证的人才能进入大楼 这里鉴别是建立在这张卡之上 如果你把这张卡借给别人 那个人也能进入这幢大楼 因此 如果为进入大楼创建一个更加精密的鉴别系统 可以要求不仅提供通行卡而且要有口令鉴别 在计算机领域中 一个典型例子是智能卡和数字鉴别的混合使用 所有的智能卡都含有一块芯片 芯片中包含了一些拥有持卡人的个人信息 如驾照信息及医疗信息等等 一块智能卡与标准信用卡大小相等甚至更大 尺寸大小主要取决于内嵌芯片的功能 有时内嵌芯片包含只读信息 芯片比起信用卡背面的磁条卡含有更多的信息 这种类型的智能卡通常只能开发一次 并且完全依赖于智能卡可读器来进行操作 还有一种智能卡可以不使用读卡器 它形状类似于普通的USB盘或者软件狗 dongle 这种智能卡也称作电子钥匙 e key 可以直接插在电脑的USB接口上使用 这种智能卡具有内置的CPU 可以进行高强度的加密运算 并能保存秘密信息 使用时 用户需要首先输入PIN码 个人身份识别码 PIN认证成功后 即可读取智能卡上的秘密信息 基于人的生理特征的鉴别技术 这种过程通常需要一些物理因素 如基因或其他一些不能复制的个人特征 到目前为止 高级