管理系统中计算机应用第九章(老王)

Version.2012管理系统中计算机应用苏州工业园区职业技术学院王成Tel:15501308512QQ:1605402887二〇一三年六月第九章系统运行管理与维护1.信息系统的运行管理2.信息系统的评价3.系统可靠性和安全性4.系统维护5.信息系统的管理制度与审计一、信息系统的运行管理系统运行管理（P.292）系统运行管理的目标：使信息系统能够根据企业的需要，提供持续可靠的业务支持和管理决策服务。系统运行管理的主要任务（P.292）1.建立运行管理机构集中式将所有信息资源的规划、配置、协调、控制和管理权全部集中在信息中心。优点：统一的、集中的、专业化的资源管理和控制，有利于信息资源的协调与平衡；系统具有整体性，有统一的信息资源标准和操作规范；便于实现数据的完整性和安全性。分散式信息资源在各个部门的管理和控制之下。优点：能够满足各部门的信息需求，各部门对信息资源的控制、使用和维护方便。各有优点，可以互相结合2.制定运行管理制度系统操作和使用制度是最基本的制度之一3.系统日常运行服务及管理①数据收集与维护②例行信息处理③系统运行与维护④系统的安全管理4.系统评价及维护系统的运行管理机构（P.294）信息中心企业中支持信息系统运行管理、承担信息化工具支持服务的职能机构。信息技术监管委员会企业的信息主管（CIO）CIO——信息主管，首席信息官CIO的职责：（P.296）①着眼企业信息系统、信息技术和信息资源的管理②对企业信息系统项目的价值进行评估，不断改善企业信息技术应用的效益③深入开发信息价值，为企业决策提供依据④以信息技术带动企业的业务创新和管理创新⑤负责企业信息化战略和相关规划的制定信息中心的组成和职责（P.296）信息中心的组成信息主管（CIO）规划与安全部数据中心系统维护部数据管理部电子商务部通信与网络部技术开发部信息中心的人员及素质要求（P.297）系统分析师研究企业对信息系统的需求，负责设计新系统。程序员根据系统设计报告，编制、调试和修改程序。数据库管理员负责整个企业共享数据资源、核心数据库的建立、运行安全和维护工作。了解数据库底层结构和基本内容，对数据库存取操作权限最高。用户协调员负责系统安全的协调员负责办公自动化的协调员例题（单选题）在信息中心的人员构成中，负责确定信息系统需求的是（）A．信息主管B．系统分析师C．程序员D．用户协调员√二、信息系统的评价系统评价的目的通过对新系统功能的执行，检查新系统是否达到了预期的目标，目标达到的程度如何，系统管理工作是否完善，系统内资源是否得到充分利用，今后系统改进的方向等。项目安装后评价性能评价经济效果评价项目安装后评价（P.298）安装后评价是对新系统的首次评价，一般在系统投入运行一个业务周期后（约为3～6个月）进行，主要评价系统是否达到开发时的预期目标，是否存在缺陷，应该如何维护和改进。评价人员：管理者、用户、系统分析人员、审计人员、外部咨询师等。评价依据：系统开发前期所确定的需求目标和功能要求。目标功能评价：针对系统开发所确定的目标，逐项检查，看是否达到预期目标。性能评价（P.299）性能评价着重评价系统的技术性能，包括应用系统的技术特性指标、可用性指标、安全性指标、环境适应性指标、可扩展性指标等。性能指标（一）性能指标（二）应用系统的综合性能工作量水平总体响应性水平利用率水平技术先进性可用性可靠性自我修复性可维护性安全性系统程序、网络传输、系统信息的安全程度系统的保密及备份措施文档的完整性环境适应性抗恶劣环境的要求对不同硬件接口和操作系统的兼容性系统的可移植性可扩展性软硬件系统能力扩充和改善的难易水平开放性和标准化程度平台软件支撑新的上层应用系统的能力信息系统性能评价的指标（P.299）经济效果评价（P.300）经济效果评价的特点1.新系统的具体效果需要较长时间的观察才能显现2.系统的应用和成果分散在不同领域，是其它管理策略的一部分3.收益和损失很多第潜在的，正负效应可能会同时出现，不同人的认识也不一致，不易达成共识4.要尽量贴近企业的现实经济效果评价的基本原则投入与产出的比较投入：一次性投入、持续性投入产出：有形的收益、无形的、潜在的经济性收益经济指标：收益增长率、成本节约额、系统的投资效果系数、投资回收期三、系统可靠性和安全性（P.300）系统可靠性：指信息系统在既定应用环境中正常工作的能力，即信息系统应能在规定的条件下和时间内完成规定任务的功能。可靠性反映了信息系统为避免来自系统内部的差错、故障而采取的保护措施的水平。评价系统可靠性的指标：系统故障率（FR,FailureRate）平均无故障运行时间（MTBF,MeanTimeBetweenFailures）FR和MTBF是倒数关系NTTTMTBFn21MTBFFR1可靠性技术（P.301）设备冗余技术：以额外资源配备及消耗换取系统正常运行的技术。双工方式或双机方式工作，双机方式的可靠性更高容错技术：当系统中出现数据、文件损坏或丢失时，系统能自动将损坏或丢失的文件和数据恢复到发生事故之前的状态，使系统能连续正常运行的一种技术。负荷分布技术：将信息系统的信息处理、数据存储及其他信息管理功能均衡分布在多个设备单元上或不同时间段上，防止单一设备负荷过大，或某个时段容量超限致使系统瘫痪。人的因素和可靠性（P.302）系统失效的绝大部分原因是人为因素造成的。信息系统的安全性系统防止外部灾害和人为破坏，防止系统资源受到侵害或被非法使用的能力。系统安全性与可靠性安全性以可靠性为基础影响系统安全性的因素自然灾害、偶然事件。硬件故障。操作系统漏洞，用户缺乏安全意识，使用行为不当。数据库的非法篡改、盗用或破坏。网络通信线路被破坏、电磁辐射引发的信息泄漏、电磁干扰。访问控制机制设计不到位，检测控制不及时。系统外部安全性系统安全目标（P.302）系统内部可靠性信息安全等级保护制度（P.303）五级标准管理策略：低保护级别自主，高保护级别强制保护等级系统受损的后果1级：自主保护对企业造成损害，不损害国家安全、社会秩序、公共利益2级：系统审计对企业造成严重损害，对社会秩序、公共利益有损害，但不损害国家安全3级：安全标记对社会秩序、公共利益造成严重损害，或者损害国家安全4级：结构化对社会秩序、公共利益造成特别严重损害，或严重损害国家安全5级：访问验证对国家安全造成特别严重损害系统安全管理的原则（P.304）木桶原则安全措施中水平最低的会成为系统安全的“渗漏点”，会直接决定整个系统的实际安全程度。最小特权原则受保护的敏感信息只能在一定范围内共享，访问和使用信息的权限要始终遵循“必不可少”的原则。履行职责的主体要有必不可少的权限，以完成相关的任务和操作；要限制无意的、不必要的或不适当使用的特权，任何主体只能获得必不可少的最小特权，确保事故、错误、攻击等原因造成的损失最小。安全隔离原则将信息的主体和客体分离，在可控和安全的前提下实施主体对客体的访问。系统安全管理的措施（P.304-307）物理系统的安全数据加密和信息隐藏操作系统安全网络安全数据库安全非技术性安全措施技术性安全措施物理系统的安全（P.304）对计算机系统及相应的硬件设备、通信与网络设备、存储媒体设备和人员所采取的保护措施，防止设备被损坏、失窃和被非法使用，同时支持必要的灾后恢复机制。1.安全环境要求2.信息存储介质的安全3.建立灾后恢复预案数据加密和信息隐藏（P.305）数据加密的目的：保护数据在存储状态下和在传输过程中，不被窃取、解读和利用。密文在没有密钥的情况下无法解读成原文，而合法用户可用掌握的密钥将密文解密后获得信息。加密技术的原理：Iamastudent每一个字母+3后，变为：Ldpdvwxghqw信息隐藏：将某种隐秘的信息隐藏在公开的普通信息中，并通过公开信息的传输来传递隐秘信息。最常用的信息隐藏技术：数字水印数字水印：可以是一段文字、标识、序列号等，通常是不可见、不可察的。可证实数据的真伪或者保护数据的所有权。原文密文加密解密，密钥操作系统安全（P.305）用户身份认证访问控制信息流控制日志管理文件保护用户识别符数据对象操作类型01Order（订单）读、写、删除、修改02Invoice（发票）只读03入库单读、写访问控制列表（ACL）网络安全（P.306）基本思想：分等级进行保护。1.分级：将大网络划分为多个子网2.对不同子网采用不同安全策略3.对子网络的边界进行隔离，防止外部侵入4.对通信信道和信息流进行保护：加密技术、VPN5.对子网络内部进行深度保护：数据保护、漏洞扫描访问控制：确定用户能在何种条件下、对何种资源进行何种操作。入网访问控制：身份识别，手段：密码、用户提问、验证工具、自然标识、用户动作特征等设定网络权限：将用户分类，分别确定其可访问的资源和对资源的操作入侵检测：是一种主动防御型的网络安全措施，它通过收集和分析网络中关键点的信息，检查网络中是否存在违反安全规则的模式和未授权的访问尝试，当发现异常行为和出现系统被攻击的迹象时快速做出反应。数据库安全（应用层次）（P.306）数据库完整性保证（P.307，表9-3）数据语义完整性数据操作完整性数据库的完整性数据库可信性保证：拒绝非法访问，保证合法用户在授权范围内操作。数据机密性管理：加密技术具备可审计性非技术性安全措施（P.307）安全观念组织的管理战略管理制度与规范部门与人员组织文化例题（单选题）下列技术中，用来实现系统可靠性的是（）A．加密技术B．存取控制技术C．容错技术D．日志管理（单选题）为了保证信息在传输过程中不被非法窃取，一般采用（）A．身份识别技术B．访问控制技术C．数据加密技术D．入侵检测技术√√四、系统维护（P.307）系统维护——对运行中的系统做出的检查、升级和修改等保护性活动。系统维护的目的1.保证系统正常运行。2.保证系统能适应用户工作和环境的变化。3.保证系统资源的有效利用，有效地提供服务。系统维护的特点1.软件系统生命周期中延续时间最长、累积工作量最大的活动。2.系统维护的投入是长期的系统维护的内容系统维护的类型（P.308）应用软件（程序）维护：是系统维护中最主要的内容数据维护硬件平台维护代码的维护应用软件的维护（P.309）完善性维护：根据用户日益增长的需求，对应用软件系统进行完善和提高，增加原设计中没有的新功能或性能特征。50~60%适应性维护：为使应用软件系统适应运行环境的变化而进行的维护活动。25%纠错性维护：改正在开发阶段遗留而在测试阶段未能发现的错误。20%预防性维护：提前对那些还有较长的使用寿命，目前虽能运行但不久就要作出变化或调整的系统，进行维护。4%系统维护的工作程序（P.310）由专人负责，建立严格的审批制度和流程。系统维护的工作流程（1）申请审批（2）制定维护计划（3）实施（4）系统更新具体流程：1.制定维护工作计划，用户提出变更申请，填写申请表2.审批人审查，批准3.维护修改，在单独的计算机上完成4.测试、验收，交付使用5.系统文档的更新、归档修改后，一定要对原有的文档进行修改。系统维护工作不能过于频繁：软件的修补不是无痕的，会有副作用，可能会引入新的错误、文档不一致、影响系统效率等。系统维护计划的实施（P.311）应用软件维护系统维护的外包（P.311）外包（Outsourcing）是指企业整合其外部最优秀的专业化资源，从而达到降低成本、提高效率、充分发挥自身核心竞争力和增强企业对环境的应变能力的一种管理模式。通俗地讲，外包就是将公司的一些重要但并非核心的业务职能交给外面的专家去做。最流行的外包服务形式包括：IT外包、营销外包、人力资源管理外包、应收账款外包等。外包的利弊（1）降低运行维护成本（2）降低维护与管理的风险（3）获得优质高效的专业性服务