式中,ZAi表示p个专家对第i个系统的综合评分值,Ak,i表示第k个专家对第i个系统的加权平均分,Ek表示第k个专家的权重,p表示专家数。
最后,将所有ZAi值进行由大到小排序,即得到各系统评价排序,从而得到多个信息系统的优劣比较。
显然专家数越多越好(样本数越多),评价越接近实际。综合评分越高,说明系统越好。
由于假定的分数区间为:1~10分,这样使得综合评分不可能达到10分,也不可能为1分,可以按照表164规定的综合评分来评价管理信息系统。
表164多因素加权计算值与系统评价表
分值区间综合评价分值区间综合评价
>9极好系统4~6一般系统
8~9优秀系统2~4较差系统
6~8良好系统<2极差系统
16.4.3系统评价报告
,,。
对新系统开发工作的最好评定与总结,也是进一步进行维护工作的依据,通常由此产生对新系统的调整报告与维护申请。系统正是在不断的维护、评价进程中逐步完善和发展的。
系统评价的结果应形成正式的书面文件,即系统评价报告。该报告包括以下几个方面的内容:
①系统的名称、结构和功能;
②任务提出者、系统开发者和用户;
③有关文档资料;
④经济效益评价;
⑤系统性能评价;
⑥综合评价。
16.5信息系统安全管理
在信息化建设中进行信息系统安全管理是一个新的课题,已经引起国家的高度重视。
信息系统安全管理不单单是管理体制或技术问题,而是策略、管理和技术的有机结合。
从安全管理体系的高度来全面构建和规范我国的信息安全,将有效地保障我国的信息系统安全。
16.5.1信息系统安全概述
1.信息安全
信息安全标准BS7799中,信息安全的定义是:使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的机密性、完整性、可用性。
机密性是指信息不泄露给非法用户,不被非法利用。另一方面,可以理解为信息的保密隐藏———组织将不宜向公众开放的信息用某种方式隐藏起来,只有经过特定的授权后才能根据授权的级别对信息进行相应的访问。信息的机密(Encryption)性可以通过加密和访问控制(AccessControl)机制来实现。
完整性是指信息数据的可信赖性、确定性,通常它用来表达防止不当或者非法的数据修改、破坏和丢失。完整性包括数据完整性(即信息的内容)和原始的完整性(即数据的来源)。信息的来源可能关系到信息的精确性、可信性和人们对信息的信任程度。信息完整性机制通常有两种:保护机制(Prevention)和检测机制(Detection)。
可用性是指对信息资源的可被合法授权用户使用的特性,当需要时用户总能存取所需要的信息。可用性是系统可靠性和系统设计的重要方面,一个不可用或可用性差的系统除了增加组织开销之外毫无意义。可用性通过鉴别(Authenticaton)机制来保证。
上述三项内容是信息安全应该具备的基本要求。除此之外,还有可控性(Controllability)(Nonrepudiation)。
2.信息系统安全
信息系统安全是指信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。
1994年2月18日中国国务院首次发布了《中华人民共和国计算机信息系统安全保护条例》,该条例明确指出:信息系统安全是指“保障计算机及其相关的和配套的设备、设施(含网络)的安全及运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行”。即信息系统的安全就是为了防止系统外部对系统资源(特别是信息资源)不合法的使用和访问,保证系统的硬件、软件和数据不因偶然或人为因素而遭受破坏、泄漏、修改或复制,维护正常的信息活动,保证信息系统安全运行而采取的手段。
信息系统安全问题具有如下特点。
①信息系统是一个人机信息系统,所以又是一个社会系统,因此其安全不仅涉及技术问题,还涉及管理问题。
②信息系统的安全问题涉及的内容非常广泛,既包括系统资源,还包括信息资源。系统信息安全不仅包括系统的静态安全,还包括系统运行的动态安全。
③完善的信息系统安全机制是一个完整的逻辑结构,其实施是一个复杂的系统工程。
信息系统安全内容包括如下几个方面。
①实体安全。系统设备及其相关设施运行正常,系统服务适时,具体包括环境、建筑、设备、电磁、数据介质、灾害报警等。
②软件安全。操作系统、数据库管理系统、网络软件、应用软件等软件及相关资料的完整性,具体包括软件开发规程、软件安全测试、软件的修改与复制等。
③数据安全。系统拥有的和产生的数据或信息完整、有效,使用合法,不被破坏或泄漏,具体包括输入、输出、用户识别、存取控制、加密、审计与追踪、备份与恢复。
④运行安全。系统资源和信息资源使用合法,具体包括电源、环境气氛、人事、机房管理、出入控制、数据与介质管理、运行管理和维护。
3.影响信息系统安全的因素
信息系统安全是一个系统性的概念,它包括信息系统的物理实体的安全,也包括软件数据,以及技术的和非技术的人为因素引起的安全隐患。影响信息系统安全的主要因素有以下几种。
①自然及不可抗拒因素。如地震、火灾、风暴及社会暴力或战争等,这些因素将直接危害信息系统实体的安全。
②硬件及物理因素。系统硬件及环境的安全可靠,包括机房设施、计算机主体、存储系统、辅助设备、数据通信设施及信息存储介质的安全性。
③电磁波因素。计算机系统及其控制的信息和数据传输通道,在工作过程中都会产生电磁波辐射,在一定地理范围内用无线电接收机很容易检测并接受到,这就有可能造成信息通过电磁辐射而泄漏。另外,空间电磁波也可能对系统产生电磁干扰,影响系统正常运行。
④软件因素。如软件的非法删改、复制与窃取将使系统的软件受到损失,并可能造成泄密。计算机网络病毒就是以软件为手段侵入系统进行破坏的。
⑤数据因素。如数据信息在存储和传递过程中的安全性,是计算机犯罪的主攻核心,是必须加以保护和保密的重点。
⑥。、,
以防范人为的主动因素直接对系统安全所造成的威胁。
⑦其他因素。系统安全一旦出现问题,能将损失降到最小,把产生的影响限制在许可的范围内,保证迅速、有效地恢复系统运行的一切因素。
16.5.2信息系统安全管理
信息系统运行安全管理不纯粹是一项技术性问题,同时还是一项需要法律、制度、人的素质等因素相互配合的复杂系统工程。我国政府已颁布和出台了安全实施细则和法规,如操作系统安全评估标准、网络安全管理规范、数据库系统安全评估标准、计算机病毒及有害数据防止管理制度等。随着信息系统管理工作的规范化,最终将会使信息系统应用进入良好的法制化保护环境。
1.信息系统的安全保护措施
信息系统的安全保护措施分为技术性和非技术性两大类。技术性安全措施是指通过采取与系统直接相关的技术手段防止安全事故的发生;非技术性安全措施是指利用行政管理、法律保证和其他物理措施等防止安全事故的发生,它是施加于信息系统之上的措施。
一般来讲,在信息系统的安全保护措施中,技术性安全实施所占的比例很小,更多的是非技术性安全措施。这两者是相互补充的关系。安全技术是不可缺少的手段,但严格管理和法律制度才是系统安全的根本保证。同时,信息系统的安全保证还取决于系统运行管理制度的建立和执行效果的好坏。
2.信息系统的安全管理措施
(1)信息系统的实体安全管理措施
信息系统的实体安全措施是指保证信息系统的各种设备及环境设施的安全而采取的措施。它主要包括场地环境、设备设施、供电、空气调节与净化、电磁屏蔽、信息存储介质等的安全。