ppt-企业信息系统的安全保障与质量管理(ppt39)-品质管理

企业信息系统的安全保障与质量管理,企业信息管理,本 章 内 容,信息系统的脆弱性,第一节,信息系统的安全保障,第二节,信息系统的质量管理,第三节,返回主界面,信息系统的脆弱性,一、信息系统的脆弱点,一、信息系统的脆弱点,一、信息系统的脆弱点,安全,质量,在线连接的信息系统或通过电信网络（电缆或光钎）连接的信息系统,安全,脆弱点,主机终端架构,广域网络（WAN）,主机,前置机,终端控制器,终端,非法使用或不当连接,辐射、串音、窃听,通讯控制器,硬件失效或毁坏、软件保护措施失效,非法读取、盗用、复制数据文件,DB,通过空中传送无线电波实现数据的收发,采取措施：加密数据,无线数据网络,客户/服务器模式的网络,传播病毒、操作服务器文件系统,Internet网络,软件质量问题,脆弱点,质量,数据质量问题,计算机犯罪,黑 客,计算机病毒,商 业 间 谍,二、危害信息系统安全的几种常见方式,计算机犯罪,凡是以计算机系统作为攻击目标，对它进行危害，并造成重大损失而触犯有关法律效果的行为。,计算机犯罪包括,利用计算机实施的犯罪,利用计算机硬件、软件数据等进行非法的活动。,把计算机作为资产攻击对象的犯罪,故意偷窃或毁坏数据。,案例,全国首例非法操纵证券价格案,非法攻击他人主机系统,扬州工商银行巨款被盗,乌鲁木齐提款机遭袭击,国内大学生投“毒”第一案,好奇高中生受惩处,计算机犯罪的常见行为,利用计算机盗窃用户的信用卡账号谋取钱财；,盗用他人的密码免费获得需要付费的服务、信息或软件；,篡改数据、删除文件、损坏文件等。,计算机犯罪的显著特点,罪犯与组织内部的工作人员合伙作案。,监守自盗,以获得钱财为主要目的。,是人们对那些利用所掌握的技术未经授权而进入一个计算机信息网，以获取个人利益、故意捣乱或寻求刺激为目的的人的总称。,黑 客,黑客的主要特征,寻求网上猎奇,故意毁坏他人数据,散播病毒,红客,能够通过某种途径潜伏在计算机存储介质或程序里，当到达某种条件时即可被激活的、具有对计算机资源进行破坏作用的一段程序或指令集合。,计算机病毒,具有代表性的病毒,石头病毒、小球病毒（88年）,宏病毒（WORD病毒）,黑色星期五（90年代初）,网络蠕虫病毒,CIH病毒,大量的邮件病毒,计算机病毒的预防,安装具有实时监控的防病毒软件；,尽量少用来历不明的软盘,安装防火墙软件,以非法手段获取计算机信息系统中的商业数据的人总称。,计算机商业间谍,三、信息系统的质量问题,软件质量问题,软件缺陷,软件在运行当中出现的故障或软件程序中的代码错误。,大型软件的完全测试是根本不可能的。隐藏的缺陷只有在运行环境和特殊触发条件具备的时候才能出现。,软件维护,软件功能的扩展和升级,数据质量问题,信息系统的安全保障,安全保障制定有关的政策、规章制度或采用适当的硬件手段、软件程序和技术工具，保证信息系统不被未经授权进入并使用、修改、盗窃，造成损害的各种措施。,信息系统内部环境的安全保障,信息系统建立过程中需要考虑的安全措施,信息系统建立之后需要考虑的安全措施,灾难性故障发生后信息系统的恢复措施,应用安全保障,总体安全保障,建立内部管理制度,防火、防盗、防磁、防潮、防尘等措施,确定系统使用人员,操作流程、操作日志、数据备份等措施,软硬件故障维修、升级及软件功能扩充等措施,所有与系统有关的文档资料（系统文档、用户文档、操作文档）的管理措施,启用备用系统和备用数据,视系统损坏的具体情况决定是否启用备用系统和备用数据。,信息系统外部环境的安全保障,Internet网络站点安全措施,信息系统的质量管理,一、提高软件质量的措施,二、提高数据质量的措施,软件的开发方法,软件程序代码设计编写标准,采用标准的结构化模块化设计方法来编写程序代码。,软件开发工具（CASE）,（计算机辅助软件工程）,软件的测试,由软件质量工程师负责测试,CMM（软件生产能力成熟度模型）,（规模软件）,软件生产过程管理,软件质量的度量,McCall度量法,防火墙,设计防火墙的目的就是不要让那些来自不受保护的网络如Internet网上的多余的未授权的信息进入专用网络，如LAN或WAN，而仍能允许本地网络上的你以及其他用户访问Internet服务。,内部LAN,过滤器,防火墙网关,过滤器,Internet,防火墙,大多数防火墙就是一些路由器，他们根据数据包的源地址、目的地址、更高级的协议，或根据由专用网络安全管理员制定的标准，或安全策略，过滤进入网络的数据包。,防火墙一个基本目的是保护站点不被黑客攻击。,常见的有：,利用计算机盗窃用户的信用卡帐号谋取钱财；,盗用他人的密码免费获得需要付费的服务、信息或软件,CMM软件生产能力成熟度模型，是一种用于评价软件承包商能力并帮助改善软件质量的方法，其目的是帮助软件