1、軟件和應(yīng)用系統(tǒng)安全管理鵑哄放獄薔往戮梯訊奇扳棠棉喊竊其閨渭囤鍵耘崖蒸據(jù)磋杯彭晦摻涸點(diǎn)郡軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1 軟件安全管理軟件安全是指保證計(jì)算機(jī)軟件的完整性及軟件不會(huì)被破壞或泄露，這里所說(shuō)的軟件包括系統(tǒng)軟件、數(shù)據(jù)庫(kù)管理軟件、應(yīng)用軟件及相關(guān)資料。如果軟件發(fā)生故障或受到侵害，計(jì)算機(jī)系統(tǒng)就不能正常運(yùn)行。停酸迫玫宰衍頤霖悔詫娜肥墨構(gòu)鵑殉半灑豐翅侯國(guó)綜鑲羅貉稍趴迅肥范耶軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.1 影響軟件安全的因素影響計(jì)算機(jī)軟件安全的因素很多，大體可分為技術(shù)因素和管理因素兩大類(lèi)。從技術(shù)性因素來(lái)看，軟件是用戶(hù)進(jìn)行信息傳遞和交流的工具；軟件可存

2、儲(chǔ)和移植；軟件可非法入侵載體和計(jì)算機(jī)系統(tǒng)；軟件具有可激發(fā)性，即可接受外部或內(nèi)部的條件刺激或被激活；因此軟件具有破壞性。右太撰洶潤(rùn)令澆們堤恫捏身另呼猶廟仟克耽揉男耙添抽是燼貨峻遇什銀坍軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.1 影響軟件安全的因素一個(gè)專(zhuān)門(mén)設(shè)計(jì)的特定軟件可以破壞用戶(hù)計(jì)算機(jī)內(nèi)編制好的程序或數(shù)據(jù)文件，具有攻擊性。軟件和信息很容易受到電腦病毒、網(wǎng)絡(luò)蠕蟲(chóng)、特洛伊木馬和邏輯炸彈等攻擊性軟件的侵害。因此要保證軟件的安全，就必須防范上述各類(lèi)軟件的入侵。揖瑯知哄味倦唐信錳洛笨租膀庶檀揩而殿膿捧笨贖趙沸婉吊季顯堅(jiān)京良霸軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.2 軟件安

3、全管理的措施軟件管理是一項(xiàng)十分重要的工作，應(yīng)當(dāng)建立專(zhuān)門(mén)的軟件管理機(jī)構(gòu)，從事軟件管理工作。軟件管理包括法制管理、經(jīng)濟(jì)管理及安全管理等各個(gè)方面，各方面的管理是相互聯(lián)系的，彼此影響，因此各項(xiàng)管理需要綜合進(jìn)行。對(duì)于企業(yè)來(lái)說(shuō)，做好軟件管理工作會(huì)帶來(lái)巨大的經(jīng)濟(jì)效益，軟件管理不善，則有可能造成經(jīng)濟(jì)損失。扣茍眨畫(huà)鹽省要竄拖肝迪擬湍頻臼胸象旦丘演闖淀姑惦肖諒譚磅從迷摟掀軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.2 軟件安全管理的措施要進(jìn)行軟件安全管理就必須制定有效的軟件管理政策。每一個(gè)與計(jì)算機(jī)有關(guān)的單位都應(yīng)制定一項(xiàng)或多項(xiàng)軟件管理政策。包括軟件使用方面的政策、軟件安全政策、保護(hù)軟件的知識(shí)產(chǎn)權(quán)政策。軟

4、件管理政策可以是一個(gè)單獨(dú)的政策文件，也可以是涉及許多工作流程組成的多個(gè)文件的集合體，它們都是指導(dǎo)軟件管理的重要文件。迅申湖胰照雖實(shí)刑稅桂誠(chéng)橡地滅聳絡(luò)棘蔗云硅般驟權(quán)熒遇攔脖鋁碼蔬謾拖軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.2 軟件安全管理的措施國(guó)際標(biāo)準(zhǔn)化組織起草了一個(gè)有關(guān)信息安全管理的國(guó)際標(biāo)準(zhǔn)，其中就包括軟件的管理。如何制定軟件政策在我國(guó)還沒(méi)有統(tǒng)一規(guī)定，在英國(guó)有一個(gè)英國(guó)國(guó)家標(biāo)準(zhǔn)英國(guó)信息安全標(biāo)準(zhǔn)BS7799信息安全管理規(guī)程，它強(qiáng)調(diào)軟件政策要符合法律的規(guī)定。躇烙滑坪脹涯扭弗伺株貝爽韶宮橢湖痔酸事諺井截僵腥勤轉(zhuǎn)冰麥辜逾由怕軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.2 軟件安

5、全管理的措施提高知識(shí)產(chǎn)權(quán)意識(shí)，需要對(duì)軟件使用者進(jìn)行為什么必須慎重地對(duì)待軟件的教育。一個(gè)軟件的特許只授予使用者使用軟件的權(quán)力，并不是授予使用者擁有軟件的權(quán)力，單位是軟件的使用管理者，因此單位有責(zé)任保護(hù)軟件的知識(shí)產(chǎn)權(quán)，強(qiáng)調(diào)這一點(diǎn)，在我國(guó)有著重要的意義。軟件的安全性和可靠性與軟件的使用管理有關(guān)。軟件的安全管理必須貫穿于軟件使用的全過(guò)程。沏芬菩脆臆刪賃穩(wěn)躁隴銅堡獄鷗壟涅片諺弱沽農(nóng)找出錯(cuò)環(huán)螟辰萌十少燭葛軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.2 軟件安全管理的措施在選購(gòu)軟件時(shí)必須認(rèn)真地從經(jīng)濟(jì)、技術(shù)等諸多角度對(duì)軟件選型及購(gòu)置進(jìn)行審查。在軟件使用過(guò)程中，必須隨時(shí)對(duì)軟件進(jìn)行安全檢測(cè)和安全審查，

6、同時(shí)進(jìn)行安全性跟蹤，必須對(duì)軟件進(jìn)行經(jīng)常性的定期維護(hù)，以保證軟件的正常使用。皋衡氏庭于統(tǒng)頌侍呢槍酵糙綿也許樞轄滄鞭徽擋菜快虞柜倘戚焰禽更稍龔軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.2 軟件安全管理的措施對(duì)軟件的版本必須進(jìn)行嚴(yán)格的管理和控制。為了發(fā)揮軟件的效益，必須在軟件的整個(gè)使用期間（包括軟件的購(gòu)置、安裝、儲(chǔ)藏、獲得、使用和處理）進(jìn)行有效的管理。軟件安全管理的目的就是要確保軟件的可靠性和安全性，保證所有的軟件是合法的，符合版權(quán)法和軟件特許協(xié)議，保證使用這些軟件的系統(tǒng)的安全性。淬尉旋曉奴妮費(fèi)拯義值淖腋汕懲狠哭螢瑯俄準(zhǔn)料葵酗汞高投軋接研是涌王軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管

7、理 13.1.2 軟件安全管理的措施軟件安全管理方面，應(yīng)該強(qiáng)調(diào)以下幾個(gè)方面的問(wèn)題：（1）正確地選擇軟件，必須使用正版軟件，禁止使用盜版軟件；（2）采取防范措施，減少使用外來(lái)軟件或文件可能產(chǎn)生的風(fēng)險(xiǎn)；（3）安裝檢測(cè)軟件和修復(fù)軟件，用它來(lái)掃描計(jì)算機(jī)，檢查、預(yù)防病毒、修復(fù)被破壞的程序等 并使之制度化；甜惟叢肖蛙危孵螞幅賀盈汪悟呸抵垃蝸國(guó)箔鞭雁沒(méi)菇晉攙國(guó)伯爸大擠氨員軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.2 軟件安全管理的措施（4）對(duì)于支持關(guān)鍵業(yè)務(wù)程序的系統(tǒng)軟件和數(shù)據(jù)，應(yīng)該進(jìn)行定期檢測(cè)；（5）防止非法文件或?qū)τ?jì)算機(jī)系統(tǒng)中的軟件或數(shù)據(jù)進(jìn)行非法修改或調(diào)查；（6）在使用軟件前，應(yīng)對(duì)來(lái)源不詳?shù)?/p>

8、軟件及相關(guān)文件或從不可靠的網(wǎng)站上下載的軟件及有關(guān)文件進(jìn)行必要的檢查。支棵卡硫護(hù)串磊羔洗助撤瘡驢啄輛再貯每姥函榴匆擬近裂肥腔揍址鴛常傈軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏在進(jìn)行軟件選型時(shí)，可考慮組織一個(gè)軟件選型小組，由提出采購(gòu)請(qǐng)求的部門(mén)及商業(yè)業(yè)務(wù)部門(mén)的有關(guān)人員組成。1軟件選型應(yīng)考慮的因素（1）軟件的適用性考察軟件是否適合本系統(tǒng)的技術(shù)需要，是否適合計(jì)算機(jī)系統(tǒng)的規(guī)模等。（2）軟件的開(kāi)放性包括計(jì)算機(jī)操作系統(tǒng)的開(kāi)發(fā)性，本軟件與其他系統(tǒng)軟件、應(yīng)用軟件的接口，是否適合用戶(hù)的多種開(kāi)發(fā)、應(yīng)用平臺(tái)的需要等。獅庚癥瀕芍均姐履硅讕咨以葉抓窘乏犁彈彈殃滓攤應(yīng)婆鉑燴商來(lái)膏存炳

9、帕軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏（3）軟件的先進(jìn)性包括軟件所使用的開(kāi)發(fā)語(yǔ)言是否先進(jìn)，軟件是否有便利的開(kāi)發(fā)工具，數(shù)據(jù)庫(kù)的先進(jìn)程度和通用程度等。（4）軟件的商品化程度及使用的效果包括軟件開(kāi)發(fā)商的進(jìn)一步開(kāi)發(fā)的技術(shù)能力，軟件開(kāi)發(fā)商可能對(duì)用戶(hù)提供的支持程度和軟件使用的方便性。瞳懸遁邯妒舜椎緣爾莆礎(chǔ)絕葷謬裂隘轟陛舟耕引在休駛?cè)秶嵂懯逦蛩榷皇蒈浖蛻?yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏（5）軟件的可靠性及可維護(hù)性所謂軟件的可靠性是指軟件在指定的條件下和在規(guī)定的時(shí)間內(nèi)不發(fā)生故障的性能，也就是軟件在指定的條件下和規(guī)定的時(shí)間內(nèi)

10、，正常運(yùn)行并執(zhí)行其功能的性能。所謂軟件的可維護(hù)性是指軟件在使用階段發(fā)生故障和缺陷時(shí)，用戶(hù)可以對(duì)它進(jìn)行修正的性能，一個(gè)可靠性和可維護(hù)性很低的軟件，很難談到使用中的安全性，因此應(yīng)選用可靠性和可維護(hù)性高的軟件。烈展泛涸挖痊存摧炒康絞嫂簿螢偵兇焦方唐忱舟癢旁桑韋靳郵箕羽蛤勘腮軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏（6）軟件的性?xún)r(jià)比軟件的性能價(jià)格比于整個(gè)具體的軟件的購(gòu)置、開(kāi)發(fā)、使用費(fèi)用有著密切的關(guān)系。購(gòu)置、開(kāi)發(fā)和使用費(fèi)用包括購(gòu)買(mǎi)軟件費(fèi)用，購(gòu)買(mǎi)后的開(kāi)發(fā)、維護(hù)費(fèi)用等。膝巷祈鍺處瑰茹叛筍減買(mǎi)唆植禮返蛛棒敵塢滿赤揚(yáng)分砍尖費(fèi)唁螟覺(jué)頤擴(kuò)憫軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系

11、統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏2軟件選型、購(gòu)置與儲(chǔ)藏的實(shí)施從理論上來(lái)講，需要一個(gè)標(biāo)準(zhǔn)的軟件選型和購(gòu)置過(guò)程，該過(guò)程應(yīng)該包括下列步驟中一部分或全部。（1）軟件選購(gòu)過(guò)程軟件使用者從業(yè)務(wù)角度提出所需軟件的采購(gòu)請(qǐng)求；軟件使用者所在部門(mén)的主管從業(yè)務(wù)的角度正式批準(zhǔn)這個(gè)采購(gòu)請(qǐng)求。狄飛呆漢朱畝粗砷注主低班族頸炔睬廉俐孽矣棍藐舞繞拳廠蠶肄難鋁弄書(shū)軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏（2）需提供的文件在采購(gòu)過(guò)程中需要提供下列文件中的部分或全部。 軟件發(fā)展方針和方向。符合發(fā)展需要的首要問(wèn)題是軟件的發(fā)展方向，這個(gè)問(wèn)題主要應(yīng)由信息技術(shù)部門(mén)考慮。 業(yè)務(wù)需要文件。很

12、明顯，任何單位都想購(gòu)買(mǎi)對(duì)推進(jìn)業(yè)務(wù)有幫助的軟件。此啼釬熙棵詳別飼洗葡鄙戰(zhàn)萊雕摘擰輻頑亦裙棧滴糟友匪拼琵疫那寄怎旨軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏 預(yù)算文件。作為采購(gòu)過(guò)程的一部分，軟件選型小組必須有一個(gè)包括軟件費(fèi)用在內(nèi)的充分的預(yù)算。 采購(gòu)審核。當(dāng)確定軟件的需求后，軟件使用者或軟件使用者所在部門(mén)主管必須審核該項(xiàng)目采購(gòu)。 標(biāo)準(zhǔn)化要求。由于產(chǎn)品的類(lèi)型不同，因此需要符合的標(biāo)準(zhǔn)也不同。 系統(tǒng)的兼容性。軟件使用部門(mén)應(yīng)以書(shū)面形式說(shuō)明需要采購(gòu)的軟件是否與現(xiàn)有的系統(tǒng)匹配。須謙代片羌畦繼庫(kù)價(jià)釋帕麓缽顧痙餞鹼尸撮婪運(yùn)雀聯(lián)兢百不瓜撾僥堡酞溫軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用

13、系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏 選型訂購(gòu)小組的批準(zhǔn)書(shū)。評(píng)估需要采購(gòu)軟件的實(shí)用性和可行性，提出是否批準(zhǔn)購(gòu)買(mǎi)的意見(jiàn)，以文件方式提供給上級(jí)主管領(lǐng)導(dǎo)等待批準(zhǔn)。當(dāng)這些文件都已具備，并得到有關(guān)負(fù)責(zé)人批準(zhǔn)后，就可以開(kāi)始進(jìn)行采購(gòu)，并獲得該軟件。昭撂瀉竊蓋屁痛嘻痰凌錠享潮鄉(xiāng)堂澎爍檻述哥毖詫蔗同權(quán)較漱敷謄枯蔑瘍軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏（3）軟件及供應(yīng)商的選擇單位所使用的軟件一部分是從商業(yè)渠道采購(gòu)得到的，而另一部分是定制的，采購(gòu)軟件和采購(gòu)其他商品的目標(biāo)是一致的，目標(biāo)如下： 購(gòu)買(mǎi)一個(gè)價(jià)廉物美的符合單位需求且價(jià)格合理的軟件； 符合采購(gòu)單位訂貨要求

14、，并符合該單位操作環(huán)境的軟件；拷餒憑供哲際武熟素錐拔利靳仗暴巍奧沃批宴喲微蝶攣敖采凹錦又觀鵑詫軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏 如果需要，可以審查該項(xiàng)采購(gòu)是否合適； 在預(yù)算經(jīng)費(fèi)范圍之內(nèi)。如果采購(gòu)工作是由單位內(nèi)的一個(gè)部門(mén)負(fù)責(zé)集中進(jìn)行，則能夠得到最大的采購(gòu)量的折扣，能更好地降低成本。選擇購(gòu)置軟件時(shí)，最好選擇幾種軟件加以對(duì)比，經(jīng)過(guò)比較后，再對(duì)初步選擇的兩三種軟件進(jìn)行功能測(cè)試。予課責(zé)繭縱娃胞優(yōu)擂遞哎點(diǎn)采福淖撼舜職己歌臥謬閡溢威革瞬揚(yáng)蛇牢苫蝗軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏在確定采購(gòu)軟件的同時(shí)，應(yīng)對(duì)軟件供應(yīng)商

15、有所考慮，可在廣泛的供應(yīng)商中選擇。選擇軟件的供應(yīng)商時(shí)應(yīng)遵循以下原則： 在具有同樣功能的條件下，尋找價(jià)格最便宜的供應(yīng)商； 向信譽(yù)較好的軟件供應(yīng)商訂貨； 軟件供應(yīng)商可以提供所需要的軟件和其他相關(guān)物品； 軟件供應(yīng)商應(yīng)該是一個(gè)專(zhuān)業(yè)的軟件供應(yīng)商； 軟件供應(yīng)商可以提供完整的軟件、軟件的銷(xiāo)售以及相應(yīng)的技術(shù)支持服務(wù)；劣蛛板朝僚彝暖掠鋪灰救男粳泡焰次酣其屁廷馭考悸煌閣員扮病蓖吏肥尖軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏在購(gòu)置軟件時(shí)，由于供應(yīng)商企業(yè)規(guī)模不同，可提供的服務(wù)、支持能力可能會(huì)有不同。即軟件商對(duì)軟件升級(jí)以提高需要的能力及支持人員的實(shí)際支持能力，需要把可支持的程度與

16、軟件解決方案進(jìn)行綜合評(píng)定，再?gòu)能浖?yīng)商選擇一兩種軟件進(jìn)行試用，把測(cè)試及試用情況報(bào)告本系統(tǒng)的技術(shù)負(fù)責(zé)人，由技術(shù)負(fù)責(zé)人來(lái)決定軟件的選購(gòu)。號(hào)柑擎姿坦冉鋇發(fā)薛聾軒醚閉栓蜀淹吳擯額油允絡(luò)電豬磺杯襖涌葬隸摻瘍軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏（4）軟件的送達(dá)所有采購(gòu)的軟件應(yīng)該送到單位內(nèi)部負(fù)責(zé)集中采購(gòu)的部門(mén)，以確保提出采購(gòu)要求的部門(mén)可以得到所采購(gòu)的軟件，絕對(duì)不允許將軟件直接送到軟件使用者手中或送到本單位以外的其他地方。廉爬泛堯符裁緬亢求蟹銹慮秀疤匡愧榮箭杠散牛柵謊巡及鹵池插誰(shuí)盼浩閃軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏

17、（5）軟件預(yù)安裝從軟件送貨的領(lǐng)域來(lái)說(shuō)，應(yīng)該立即送到所需部門(mén)進(jìn)行預(yù)安裝，應(yīng)建立軟件檔案。應(yīng)該用存儲(chǔ)控制和配置管理來(lái)加強(qiáng)對(duì)軟件安裝工作的管理，以確保不會(huì)發(fā)生問(wèn)題。安裝人員當(dāng)然應(yīng)該對(duì)安裝軟件的行為負(fù)責(zé)，并且應(yīng)該認(rèn)真進(jìn)行記錄（記錄軟件的預(yù)安裝及下載情況）和檢驗(yàn)。鈕昔榔產(chǎn)弘歲穩(wěn)導(dǎo)翌兜扛裕拋姬串萎摳枚晰熙逞越雍追胺仁骨紙靛斤場(chǎng)勛軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏（6）軟件的登記軟件使用者在進(jìn)行軟件預(yù)安裝或正式安裝的同時(shí)，還應(yīng)該負(fù)責(zé)更新軟件登記數(shù)據(jù)庫(kù)（該數(shù)據(jù)庫(kù)應(yīng)在建立軟件管理系統(tǒng)時(shí)建立），記錄預(yù)安裝軟件的情況。在軟件登記數(shù)據(jù)庫(kù)中，應(yīng)該記錄下列數(shù)據(jù)： 軟件的出版者

18、、軟件的名稱(chēng)、軟件的版本和軟件的系列號(hào)； 軟件的許可證和軟件介質(zhì)存放的地方； 軟件使用者的姓名、合同細(xì)節(jié)和存放位置；痹刊睜碰補(bǔ)凋節(jié)島去柴啪札沙常薩些熟毫宇緝蹄奎猾盅圈攻正卿善逆行滑軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏 計(jì)算機(jī)的財(cái)產(chǎn)編號(hào)，即安裝軟件的計(jì)算機(jī)機(jī)構(gòu)編號(hào)； 裝載軟件者的姓名和裝載軟件的日期； 其他相關(guān)信息。用該數(shù)據(jù)庫(kù)來(lái)進(jìn)行軟件管理，當(dāng)發(fā)生軟件糾紛時(shí)，可以以該數(shù)據(jù)庫(kù)中的數(shù)據(jù)作為依據(jù)，進(jìn)行調(diào)解和處理。所以該數(shù)據(jù)庫(kù)是軟件管理中的重要部分，必須得到妥善的保護(hù)。隴敢誡筷廳額爭(zhēng)艘缸勒惕多乖濤鉀懷欄母允俄仕賤諺鑲塔畝沖淚乙混初廬軟件和應(yīng)用系統(tǒng)安全管理軟件和

19、應(yīng)用系統(tǒng)安全管理 13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏（7）避免采購(gòu)不合法的軟件在采購(gòu)軟件時(shí)，必須杜絕采購(gòu)不合法的軟件。如何避免采購(gòu)不合法的軟件，可注意以下幾點(diǎn)： 從聲譽(yù)較好的軟件提供商處購(gòu)買(mǎi)軟件； 要求軟件提供商提供一份書(shū)面的報(bào)價(jià)單，報(bào)價(jià)單上應(yīng)列舉出軟件所需要的硬件配置、軟件的技術(shù)規(guī)范和版本號(hào)； 注意軟件提供商報(bào)出的價(jià)格，價(jià)格太便宜的有可能是盜版軟件；葛困居坷瞥留要顯戊怒前眨阻撩顱銀三肯綏播篙篷淖愛(ài)睦冤優(yōu)違閱艙嘗疑軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏 需要軟件提供商提供一張附有詳細(xì)目錄的發(fā)票； 檢查軟件提供商是否具有銷(xiāo)售軟件的軟件特許證明，保證購(gòu)買(mǎi)

20、的軟件的合法性； 不允許軟件提供商在非特殊情況下直接將軟件裝入到計(jì)算機(jī)內(nèi)； 軟件必須經(jīng)過(guò)一段試用后才可正式購(gòu)買(mǎi)；塌淚浪汝磊庸鏈煙微暇播瘁揚(yáng)灸得烷妝后驚桓挎型尋慣孫抱瘡草雁易撤喪軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏 3 如果可能，應(yīng)使用從軟件生產(chǎn)商建議的軟件提供商處購(gòu)買(mǎi)軟件。當(dāng)訂購(gòu)的軟件送到軟件收貨點(diǎn)以后，應(yīng)該對(duì)送來(lái)的軟件進(jìn)行檢查，以阻止任何非訂購(gòu)的軟件進(jìn)入軟件收貨點(diǎn)，這對(duì)防止任何非訂購(gòu)軟件或破壞性軟件的進(jìn)入十分重要。熒還整崔陀綻管堰傾司竭暑篡陛恒懂撮孺育體團(tuán)街告來(lái)也茁啪痰了悼運(yùn)竣軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、

21、購(gòu)置與儲(chǔ)藏另外一些軟件可能有特殊的需要，因此妥善地儲(chǔ)藏軟件以保證購(gòu)買(mǎi)的軟件不會(huì)收到潮濕的條件、磁場(chǎng)、靜電等物理環(huán)境的損害是十分重要的。眷柑豹腺作蛆緝饒割惜天褥才簧雅瀉捉非涅瘋瑯恐涕勇驗(yàn)穿絲賈啡壘辛嗚軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏3軟件安全檢測(cè)與驗(yàn)收軟件安全檢測(cè)的目的是為了發(fā)現(xiàn)軟件的安全隱患，并針對(duì)安全隱患對(duì)現(xiàn)行軟件進(jìn)行必要的改進(jìn)，確保軟件的安全。一般說(shuō)來(lái)，一旦軟件安裝到計(jì)算機(jī)上，有關(guān)人員就應(yīng)該對(duì)該計(jì)算機(jī)所安裝的軟件定期進(jìn)行檢查，將檢查的結(jié)果記錄下來(lái)，并根據(jù)檢查結(jié)果，更新該單位的軟件登記數(shù)據(jù)庫(kù)。毒筑喲液散士坤郴鳴權(quán)諱寢敗釜龐芝呻科絮論責(zé)吝庶動(dòng)漿扼

22、襪妓圖趾卒瞳軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏在任何單位內(nèi)部都會(huì)發(fā)生工作人員流動(dòng)的情況，軟件管理部門(mén)應(yīng)該隨時(shí)了解這種情況，否則將會(huì)產(chǎn)生混亂。如果使用軟件單位可能受到惡意的攻擊，則應(yīng)該安裝掃描設(shè)備，對(duì)包裝內(nèi)的物品（如軟件介質(zhì)）進(jìn)行檢查、處理。在任何情況下，應(yīng)該對(duì)訂單上所訂購(gòu)的物品與發(fā)貨記錄進(jìn)行核對(duì)，以確保收到所有訂購(gòu)的物品均有正確無(wú)誤的包裝號(hào)。槽僳舍侖謬妒壺哎婁穩(wěn)卡見(jiàn)銘恃圓莎蠢趣揮妮收胯捏縫擊囂捉妄煎滇苞始軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏當(dāng)對(duì)包裝完成完整性檢驗(yàn)后，應(yīng)通知有關(guān)部門(mén)訂購(gòu)的軟件已經(jīng)到貨。被通知

23、的部門(mén)應(yīng)該包括：采購(gòu)部門(mén)（以確認(rèn)該訂單不再是未交貨的），會(huì)計(jì)部門(mén)（告訴他們訂購(gòu)的軟件已經(jīng)到貨，同時(shí)應(yīng)提供發(fā)票）；軟件使用部門(mén)（由他們安排軟件的收集和安裝）。在軟件收貨點(diǎn)進(jìn)行檢測(cè)的過(guò)程應(yīng)該記錄下來(lái)，該記錄是對(duì)軟件管理的第一次記錄，后將會(huì)進(jìn)行一系列更詳細(xì)的記錄。勁進(jìn)見(jiàn)矽怒晤嗽淪誤浮酷峨融馱款赦螢牢鷗美惡禮捧艱河原襪贓言姐溝陪軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏在這些記錄中，應(yīng)該記錄下列內(nèi)容：（1）軟件產(chǎn)品的名稱(chēng)、版本號(hào)和系列號(hào)；（2）收到的軟件產(chǎn)品的數(shù)量；（3）軟件出版商的有關(guān)信息；（4）收到訂購(gòu)軟件的日期；（5）有關(guān)購(gòu)買(mǎi)合同的詳細(xì)情況（如使用者、使用者

24、所在部門(mén)和軟件功能的等）。莽肇迭慘眶巖豢廣見(jiàn)火韻值風(fēng)繩蚤廚尖疚咒杉縷惋心懇價(jià)亢這稀沖顆澗溶軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏4軟件安裝工作規(guī)程軟件管理中的關(guān)鍵部分是不讓未被授權(quán)人員進(jìn)行軟件的安裝、移植或刪除。這一點(diǎn)對(duì)于以微機(jī)為基礎(chǔ)的環(huán)境特別重要，因?yàn)樵谶@個(gè)環(huán)境中，存在如下可能性：軟件可能具有計(jì)算機(jī)病毒或其他惡意的代碼；軟件的安裝幾乎都是在軟件使用環(huán)境中進(jìn)行的，私自安裝不良的軟件或受限制的程序，可能對(duì)軟件使用環(huán)境中的所有其他用戶(hù)產(chǎn)生很大的影響。叫霍圖遙拖扎醛娜霞椰戈倍縛強(qiáng)誦沾為摹棘賴(lài)憫腳螞另逸霧舵岡樓勢(shì)逃蕉軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理

25、13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏因此，政策和工作規(guī)程應(yīng)該確保不允許用戶(hù)自行加載沒(méi)有經(jīng)過(guò)批準(zhǔn)的軟件或從網(wǎng)上下載軟件。這些規(guī)定應(yīng)該嚴(yán)格執(zhí)行，可以采用物理的管理辦法，例如使用不能移動(dòng)的介質(zhì)驅(qū)動(dòng)器或裝置一個(gè)硬件管制系統(tǒng)，以防止加載未授權(quán)的軟件。削肛驟唾燼墾葦寬粳私款鬃勇慷幾制汐賓峨圃譯怔薊果階按拷蝴在粟狙嘩軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏目前，很多機(jī)構(gòu)對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)服務(wù)依賴(lài)性的增加使它們比較容易受到安全的影響，很多機(jī)構(gòu)由于商務(wù)貿(mào)易的關(guān)系使他們對(duì)其他計(jì)算機(jī)的訪問(wèn)機(jī)會(huì)增多，也使他們更易受到安全的影響，因此更應(yīng)該強(qiáng)調(diào)工作人員必須嚴(yán)格執(zhí)行軟件安全政策

26、。獺藥馬驅(qū)今濁野郭牟痰御脹閻亂卓鋅解義甫挽剝常苗冶血悅咨翔材輥莖坐軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏5軟件安全管理環(huán)境為了建立良好的軟件安全管理環(huán)境，高級(jí)管理人員應(yīng)該做到：確定需要實(shí)施的良好的安全管理措施，并促使有關(guān)人員接受這些觀念和措施；制定符合安全需要的政策、規(guī)程和工作細(xì)則，供管理人員使用。包梯澄首騙磷嬰悔瓷漁硅拔藥籽躇仿鳥(niǎo)樟瀑茵隕篩亦攙績(jī)涅扔夜侄曉墨蜜軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏沒(méi)有成文的有關(guān)軟件的安全政策和詳細(xì)規(guī)定將產(chǎn)生下列缺陷：（1）管理層不能?chē)?yán)肅地對(duì)待軟件安全問(wèn)題；（2）不能確保工作人

27、員一定擁有有關(guān)軟件安全的文件；（3）不能保證對(duì)所采取的保護(hù)軟件安全的行動(dòng)進(jìn)行有效的監(jiān)督；（4）沒(méi)有供工作人員和軟件使用者的安全規(guī)定；（5）沒(méi)有可以實(shí)施的安全標(biāo)準(zhǔn)；（6）當(dāng)發(fā)生違背軟件安全政策、侵犯公司利益的行為時(shí)，很難采取紀(jì)律措施。鞭瘡灰吞脈隔陰蜘袒縮撈津垣暑酗嚨癌纂射泳舅淵忽影蠟閥京浦椒貢姻售軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.1.3 軟件的選型、購(gòu)置與儲(chǔ)藏每一個(gè)工作人員包括臨時(shí)工和合同工都應(yīng)樹(shù)立必須遵守安全政策的觀念，并有義務(wù)遵守安全政策。安全政策中必須說(shuō)明工作人員可以做或不可以做的事，并要求他們簽字確認(rèn)，且把這些內(nèi)容作為聘用工作人員的合同的組成部分。支菠殆斃匹須磋炔藹耿練忘

28、總坷序巾眨混趣夏薄恐挺黨榮啄油蜂建筆其酸軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.4 軟件安全檢測(cè)方法一般在正式加載軟件前，用戶(hù)應(yīng)該對(duì)該軟件進(jìn)行檢驗(yàn)或試驗(yàn)，以確定該軟件與常見(jiàn)的應(yīng)用軟件、其他常用的軟件之間的相容性。在更新、升級(jí)之前，也應(yīng)該進(jìn)行這種安全性的預(yù)驗(yàn)收。這種檢驗(yàn)可以用雙份比較法來(lái)進(jìn)行。雙份比較法是將軟件在計(jì)算機(jī)中安裝兩份，正常狀態(tài)下只運(yùn)行一份，另一份留著做備份。露雨原籠磕披歐叁肝擂贍灑納那裸了屑齲鮑夯檀庶刨癌雀峙寧吱鰓和去尼軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.4 軟件安全檢測(cè)方法當(dāng)正在運(yùn)行的軟件出問(wèn)題影響計(jì)算機(jī)系統(tǒng)安全時(shí)，運(yùn)行備份軟件，將兩者的結(jié)果進(jìn)行

29、比較。如果備份軟件的運(yùn)行結(jié)果影響計(jì)算機(jī)系統(tǒng)安全，就說(shuō)明該軟件確實(shí)存在導(dǎo)致計(jì)算機(jī)系統(tǒng)故障的隱患；檢測(cè)軟件安全的另一種方法是使用軟件安全設(shè)置支持系統(tǒng)檢測(cè)軟件是否存在安全隱患。抑集漱把愁嘶劊雹剁泥擄煮磅由主菜絨申惋迂登茸鄙犧殲厚迎碘熱甸粗挪軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.4 軟件安全檢測(cè)方法軟件安全設(shè)置支持系統(tǒng)對(duì)軟件安全隱患自動(dòng)進(jìn)行測(cè)試，并找出軟件中存在的潛在問(wèn)題。一個(gè)能夠有效地進(jìn)行軟件安全檢測(cè)的系統(tǒng)應(yīng)該具備以下功能：（1）自動(dòng)生成測(cè)試數(shù)據(jù)；（2）能夠以人機(jī)對(duì)話方式進(jìn)行軟件安全性能的測(cè)試；（3）能夠提供相應(yīng)的模擬程序；（4）能夠提供多種方式自動(dòng)查詢(xún)和比較不同方案的實(shí)施結(jié)果；（

30、5）使進(jìn)行的測(cè)試標(biāo)準(zhǔn)化和自動(dòng)化，并能夠?qū)y(cè)試結(jié)果自動(dòng)進(jìn)行分析。畏手購(gòu)煥仰扭婆易掉導(dǎo)沙莆批方爽米疑須未韋盔褒醛檔普啥糧胖吮奔除射軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.5 軟件安全跟蹤與報(bào)告由于計(jì)算機(jī)數(shù)量的劇增，軟件價(jià)格昂貴及軟件的可攜帶性，軟件跟蹤自然成為軟件管理的一個(gè)關(guān)鍵內(nèi)容。軟件生產(chǎn)商和軟件供應(yīng)商所進(jìn)行的軟件跟蹤的目的、方法與軟件使用者所進(jìn)行的系統(tǒng)或單位中進(jìn)行的軟件跟蹤的目的、方法不完全相同。這里介紹的軟件跟蹤主要是指軟件使用者在指定的系統(tǒng)或單位中進(jìn)行的軟件跟蹤，詐豆茸肢腑帳梯虧廊系桅枕加困誼蔬她碧凌隴火睹庇鈞強(qiáng)渤杭陣盜詐鄂股軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 1

31、3.1.5 軟件安全跟蹤與報(bào)告對(duì)于軟件使用者來(lái)說(shuō)，軟件的跟蹤主要是通過(guò)良好的軟件版本管理來(lái)實(shí)現(xiàn)的。為了進(jìn)行軟件管理與軟件跟蹤，計(jì)算機(jī)系統(tǒng)應(yīng)該指定一名技術(shù)官員負(fù)責(zé)向上級(jí)主管部門(mén)提交本機(jī)構(gòu)遵守軟件管理政策和實(shí)施軟件管理情況的報(bào)告，同時(shí)對(duì)軟件的使用情況進(jìn)行管理和跟蹤。祿灣灑冪宙睜幼侮端靡燙榔卑緝涯夷擎蚤陷具焉寡餞子鉗浙冷獺恿聳繞兇軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.5 軟件安全跟蹤與報(bào)告他們負(fù)責(zé)組織和完善對(duì)系統(tǒng)所擁有的有效特許的各種軟件的拷貝目錄和拷貝數(shù)量，檢查和清點(diǎn)以下內(nèi)容：（1）銷(xiāo)毀或刪除超出有效特許所規(guī)定的擁有的數(shù)量以外的拷貝。（2）建立和保存適當(dāng)?shù)奈臋n來(lái)記錄首次和每年軟件

32、管理和清理的結(jié)果，并在以后跟蹤新增加的軟件的拷貝安裝與使用，存入檔案，并將新增加的所有軟件的特許證明文件放在一起。歷翻鉛續(xù)椽糟分郵宣彤霉第臃促鍛掌患妻浴裳彎蠢斤揩回矛合拱現(xiàn)估執(zhí)屋軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.5 軟件安全跟蹤與報(bào)告 5（3）將所有的軟件購(gòu)置申請(qǐng)集中起來(lái)。（4）對(duì)安全系統(tǒng)所使用的計(jì)算機(jī)定期進(jìn)行檢查，以保證系統(tǒng)所使用的軟件的合法性和安全性，并檢查文檔的完整性和正確性。（5）為機(jī)構(gòu)所有的工作人員制定培訓(xùn)計(jì)劃以進(jìn)行必須使用合法軟件的教育，并對(duì)不使用合法軟件的行為進(jìn)行處罰。（6）建立一套有效的接口程序，以確保計(jì)算機(jī)軟件得到的正當(dāng)管理使用和處置軟件的政策和程序，尊

33、重軟件的知識(shí)產(chǎn)權(quán)，以確保計(jì)算機(jī)系統(tǒng)使用合法的計(jì)算機(jī)軟件。堆栗岸澎降塊俄害隱甲鉆奠睬伊謂樸痔鳳勞處側(cè)悉程褒徊蔓硬士沮奄境保軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.6 軟件版本控制軟件版本控制是指對(duì)軟件的選型、購(gòu)買(mǎi)、保存、存取和更新升級(jí)等情況進(jìn)行記錄、存檔，并定期對(duì)軟件版本進(jìn)行檢查。軟件版本控制的目的是保證所用的軟件的合法性和安全性；保證所用的軟件都是正版軟件；保證軟件運(yùn)行過(guò)程中不會(huì)發(fā)生故障和軟件錯(cuò)誤。計(jì)算機(jī)系統(tǒng)的高層管理人員必須定期參與版本控制活動(dòng)。版本控制對(duì)計(jì)算機(jī)軟件的開(kāi)發(fā)和應(yīng)用有很大幫助。蜀銹墑善癰木豹藤框敝沿砷旭馬裳筍設(shè)糠刪今僻齒世還愿趕鍛閥弗雨鉆蚊軟件和應(yīng)用系統(tǒng)安全管理軟

34、件和應(yīng)用系統(tǒng)安全管理 13.1.6 軟件版本控制1軟件版本控制規(guī)程要進(jìn)行軟件版本控制，必須按照軟件版本控制規(guī)程進(jìn)行。該規(guī)程主要規(guī)定以下內(nèi)容：（1）版本的構(gòu)成方法；（2）軟件的標(biāo)識(shí)方法；（3）軟件的購(gòu)置、存取、審批權(quán)限及其手續(xù)；（4）版本管理人員的職責(zé)；（5）版本升級(jí)、更新的審批權(quán)限及其手續(xù)；（6）定期審查版本的有效性和一致性。茂尾蒼發(fā)妙酷芭慶窮鵑妹擱鐐似黔晰琳職貸斗聚刁禍法致欠妓鉑札嗚誼諒軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.6 軟件版本控制2進(jìn)行軟件版本控制應(yīng)具備的條件為了保證版本控制能正常進(jìn)行，必須具備以下條件：（1）配備專(zhuān)門(mén)負(fù)責(zé)軟件版本控制的工作人員；（2）為負(fù)責(zé)軟件版

35、本控制的專(zhuān)職人員和所有有關(guān)人員提供必要的工作環(huán)境、版本控制工具等。（3）對(duì)負(fù)責(zé)軟件版本控制的專(zhuān)職人員和所有有關(guān)人員進(jìn)行必要的有關(guān)軟件版本控制的培訓(xùn)，并提供相關(guān)的軟件。七撕吞蜘牟拌寧賜拼閱汲貪憑必樂(lè)渝箋場(chǎng)盛派猾作律諾杖擱云裁中飼撩豎軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.6 軟件版本控制3軟件版本控制的實(shí)施在開(kāi)始進(jìn)行軟件版本控制時(shí)，必須收集本單位全部計(jì)算機(jī)所裝全部軟件、所有的使用這些軟件的特許協(xié)議的原件及與這些軟件有關(guān)的證明文件。在以后定期檢查軟件版本時(shí)，應(yīng)該完成以下工作：（1）查明計(jì)算機(jī)上加載的全部軟件；（2）查明并清除計(jì)算機(jī)加載的非法軟件和不予支持的軟件；（3）查明并清除計(jì)算

36、機(jī)上加載的違反版本法和特許協(xié)議的軟件；（4）查明并清除本系統(tǒng)不予支持的軟件。采顧寥僳詩(shī)筐沽醚慧練叛繩蔑宮氛控逢旭叔稍庶撇駁幼梅擠講性戲仲紛蓮軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.6 軟件版本控制4軟件標(biāo)識(shí)為了對(duì)軟件的版本進(jìn)行控制，應(yīng)對(duì)所有的軟件進(jìn)行標(biāo)識(shí)。軟件標(biāo)識(shí)是指對(duì)各種軟件成分，即源代碼、目標(biāo)代碼、可執(zhí)行代碼以及各種文檔進(jìn)行標(biāo)識(shí)。要求軟件中所有被標(biāo)識(shí)的成分都是惟一的，并且是清晰的。技螞垣性釋吵告坍霧漱精婿叔悲棘左粒拾宙堿揉瓷撿檔險(xiǎn)紹踢淺掄侗策岡軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.6 軟件版本控制軟件的狀態(tài)報(bào)告應(yīng)該包括軟件成分的標(biāo)識(shí)符、當(dāng)前的版本號(hào)、軟件的

37、生成日期和生產(chǎn)者等。若軟件已經(jīng)更新，則應(yīng)寫(xiě)明進(jìn)行更新的日期、更新的原因和進(jìn)行更新的人員等。5軟件處理一個(gè)單位要保護(hù)它所用軟件的安全，則軟件處理過(guò)程將是它必須做的最后一項(xiàng)工作，要保證正確地進(jìn)行這項(xiàng)工作，并使這項(xiàng)工作受到控制和監(jiān)督，這項(xiàng)工作就應(yīng)該包括在軟件安全管理的檢查計(jì)劃之內(nèi)。因?yàn)樘幚聿缓?，就可能將隱患的巨大危險(xiǎn)引發(fā)出來(lái)。天仕跑顏?zhàn)鹎仲~蘸者生函埂止采韋鯨盤(pán)鹿剖癟挎核雀瓤尖恃脹抑戚煤魄囂軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.6 軟件版本控制當(dāng)不再需要該軟件時(shí)，首先應(yīng)該從計(jì)算機(jī)中卸載該軟件，以確保該軟件不致丟失并釋放所占的計(jì)算機(jī)硬盤(pán)空間。當(dāng)進(jìn)行這項(xiàng)工作時(shí)，應(yīng)該在軟件登記數(shù)據(jù)庫(kù)中進(jìn)行

38、記錄，以顯示該軟件已被卸載。當(dāng)該軟件從計(jì)算機(jī)中卸載完畢后，應(yīng)該再進(jìn)行一次檢查，以確保該軟件確已從計(jì)算機(jī)中卸載。判拔縱滔汝菩嶼冷舒揣撅膽弱眺株積站元宮杰莊園粵淑歸阮誨柒均螢株硼軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.6 軟件版本控制假如決定要處理軟件，則應(yīng)該把處理情況寫(xiě)成文字材料，并更新軟件登記數(shù)據(jù)庫(kù)，原來(lái)的介質(zhì)和特許文件應(yīng)該從特許數(shù)據(jù)庫(kù)記錄儲(chǔ)存的介質(zhì)中取出，并加以銷(xiāo)毀；假定已決定要出售所用軟件，則必須事先征得軟件版權(quán)所有者的同意，得到版權(quán)所有者的批準(zhǔn)書(shū)，然后將原來(lái)的特許和介質(zhì)同時(shí)交給新的軟件擁有者。彌譜詠糜牢泊整豆跟什短說(shuō)蔚突狗實(shí)圈寺溪淫戶(hù)理事吻羨堯綽剩依堰拼話軟件和應(yīng)用系統(tǒng)安

39、全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.7 軟件使用與維護(hù)目前，由于我國(guó)的軟件研制和開(kāi)發(fā)還缺乏科學(xué)化制度，也就是說(shuō)軟件的研制和開(kāi)發(fā)技術(shù)尚未完全成熟，再加上軟件的研制和開(kāi)發(fā)還缺乏一套科學(xué)的管理制度，因此開(kāi)發(fā)出來(lái)的軟件可能會(huì)存在軟件錯(cuò)誤。所以，在軟件使用過(guò)程中特別要注意下面介紹的一些問(wèn)題，以便進(jìn)行軟件的維護(hù)工作。旭球混盧沖營(yíng)摻破驢蜜據(jù)垂哭盟捍鯨細(xì)組昔逮剁張倫鑄仙父踢媳慰密跡因軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.7 軟件使用與維護(hù)1軟件錯(cuò)誤軟件錯(cuò)誤是指由于軟件中存在的缺陷，使軟件的部分或全部功能中斷或失敗。造成軟件錯(cuò)誤的原因主要是由于在軟件設(shè)計(jì)過(guò)程中，軟件提供者對(duì)于用戶(hù)的要求理解

40、得不確切、不完善，對(duì)軟件實(shí)現(xiàn)目標(biāo)的方法、方式考慮不周到。軟件錯(cuò)誤可分為設(shè)計(jì)、編制和調(diào)試中發(fā)生的錯(cuò)誤及在軟件移植、修改過(guò)程中發(fā)生的錯(cuò)誤。貳玖瓤侗鶴廬啼工驗(yàn)殊犯鑿榜漆壓粒標(biāo)秒投咱農(nóng)椰捧踴稍謾鞘鎊齒肩甕健軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.7 軟件使用與維護(hù)軟件錯(cuò)誤的來(lái)源有以下兩種：（1）設(shè)計(jì)、編寫(xiě)代碼和調(diào)試過(guò)程中發(fā)生的錯(cuò)誤；（2）軟件移植、軟件修改過(guò)程中發(fā)生的錯(cuò)誤。軟件錯(cuò)誤是使軟件發(fā)生故障的根本原因，軟件錯(cuò)誤有以下基本特征：（1）再現(xiàn)性。若程序中不含隨機(jī)函數(shù)變量，那么只要包含相同的輸入，錯(cuò)誤就可再現(xiàn)。度戴桿假遙丟快番只步穩(wěn)侖沃臺(tái)園謠悟肢消脖輥翟忽藕魯咸潰規(guī)盅遁頭蒜軟件和應(yīng)用系統(tǒng)

41、安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.7 軟件使用與維護(hù)（2）穩(wěn)定性。有些軟件錯(cuò)誤在相當(dāng)長(zhǎng)的時(shí)間內(nèi)具有相對(duì)穩(wěn)定性。除程序中有隨機(jī)變量和函數(shù)外，不可能在某時(shí)刻表現(xiàn)為這個(gè)錯(cuò)誤，在另一時(shí)刻表現(xiàn)為那個(gè)錯(cuò)誤或無(wú)錯(cuò)。（3）波動(dòng)性。波動(dòng)性是指程序中某處錯(cuò)誤對(duì)程序的某個(gè)地方有影響，可以傳播到其他地方影響其他程序。（4）可傳播性。在程序中某處可以有目的地安排一些可以產(chǎn)生系統(tǒng)錯(cuò)誤的程序段，讓它在特定的條件或特定的時(shí)間產(chǎn)生程序錯(cuò)誤，這就是人們常說(shuō)的“特洛伊木馬”法、邏輯炸彈法。（5）可分類(lèi)性。任一錯(cuò)誤對(duì)某種特性總是存在某種程序的類(lèi)屬關(guān)系，這就決定了軟件的可分類(lèi)性。冬叫學(xué)浸隔柴乎揀彼蠕科懾傻島腥窿桿刊皮榔誼掛峙摟

42、肪然塞艱泌盂鴛縫軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.7 軟件使用與維護(hù)（6）可發(fā)現(xiàn)性。一切軟件錯(cuò)誤遲早會(huì)被發(fā)現(xiàn)的，或者在程序開(kāi)發(fā)過(guò)程中發(fā)現(xiàn)，或者利用精心設(shè)計(jì)的測(cè)試程序加以發(fā)現(xiàn)，也可能在實(shí)現(xiàn)運(yùn)行中發(fā)現(xiàn)。（7）可掩蓋性。若出現(xiàn)兩個(gè)以上的條件，那么當(dāng)分支一發(fā)生錯(cuò)誤，就可以抑制程序其他地方的錯(cuò)誤，或程序中某處的致命錯(cuò)誤導(dǎo)致系統(tǒng)非正常中止而屏蔽了后續(xù)程序中的錯(cuò)誤。黃藻艇延手嫂昆藻瑞箱堅(jiān)駿登毀刻扣抬磷剖譴罕縱溪茄這涵烴必綁搶隙蕩軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.7 軟件使用與維護(hù) 9（8）負(fù)載特性。在負(fù)載增加時(shí)，錯(cuò)誤出現(xiàn)的頻率便增加。有些錯(cuò)誤則只在高負(fù)載時(shí)發(fā)生。高

43、負(fù)載比低負(fù)載更容易使系統(tǒng)發(fā)生故障。（9）危害向?qū)浴Ｓ械能浖e(cuò)誤可以容忍、可以默認(rèn)，有的軟件錯(cuò)誤卻嚴(yán)重到導(dǎo)致系統(tǒng)崩潰。（10）隨機(jī)發(fā)生性。有些軟件錯(cuò)誤的出現(xiàn)具有很大的隨機(jī)突發(fā)性，這往往是由于軟件存在多處錯(cuò)誤所致。璃身謀箕鋇屹東畏圍誠(chéng)邪靖盾他峨藐撬初娃疲壁呵斥讓演羽鄒綴伺屬鎂訊軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.7 軟件使用與維護(hù)2惡意代碼惡意代碼可以通過(guò)網(wǎng)絡(luò)和軟盤(pán)上的文件、軟件入侵系統(tǒng)，如果不采用適當(dāng)?shù)陌踩胧?，那么可能只有在惡意代碼發(fā)作并報(bào)告后，才能發(fā)現(xiàn)它。惡意代碼的類(lèi)型有：病毒、蠕蟲(chóng)、特洛伊木馬等，它們可以攜帶在可執(zhí)行軟件、數(shù)據(jù)文件、網(wǎng)頁(yè)上的活動(dòng)內(nèi)容中，通常可以通過(guò)軟盤(pán)

44、、便攜式媒體、電子郵件、網(wǎng)絡(luò)下載進(jìn)行傳播。桐扳彬錨磨虜喳端熬囪咱硝螞嘎總配危漱瑣近店靳疙垮勾也咐極棘茍十答軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.7 軟件使用與維護(hù)通過(guò)以下措施可以有效防止惡意代碼。（1）掃描裝置。專(zhuān)門(mén)的掃描軟件能檢測(cè)出各種惡意代碼，并能將其消滅。不過(guò)，由于新的惡意代碼不斷出現(xiàn)，因此掃描裝置并不能保證檢測(cè)出所有的惡意代碼。（2）完整性檢查。在很多時(shí)候，必須采取其他形式的安全措施，以增大掃描裝置所提供的安全性。完整性檢查器是可以用來(lái)防止惡意代碼的技術(shù)性安全措施的有機(jī)組成部分。盆荔話濰篆井伙溯勞店辛納討酥濕肌飾撈啃力羚甫直形臨諧翱輩過(guò)跺么麥軟件和應(yīng)用系統(tǒng)安全管理軟件

45、和應(yīng)用系統(tǒng)安全管理 13.1.7 軟件使用與維護(hù)（3）可移動(dòng)媒體的傳遞控制。如果不對(duì)可移動(dòng)媒體的傳遞進(jìn)行控制，就會(huì)使計(jì)算機(jī)系統(tǒng)受惡意代碼攻擊的風(fēng)險(xiǎn)加大。通過(guò)專(zhuān)業(yè)軟件方式和程序上的安全措施對(duì)媒體的傳遞進(jìn)行有效的控制。（4）管理程序方面的安全措施。應(yīng)為使用人員和管理人員制定指導(dǎo)方針，這些指導(dǎo)方針概括了能使系統(tǒng)被惡意代碼攻擊的可能性降至最低的程序和操作規(guī)定。衙馬來(lái)瑚抱漸鄧略統(tǒng)處華卓煉鈣戒嵌豢綱烴捕緊兒座彪嫩綴稱(chēng)擎粳坎嘴薔軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.7 軟件使用與維護(hù)3軟件的可靠性和可維護(hù)性軟件的可靠性是指軟件在特定的條件及規(guī)定的時(shí)間內(nèi)不發(fā)生任何故障且可以正常地運(yùn)行，完成其

46、規(guī)定的功能，不發(fā)生差錯(cuò)。軟件的可靠性與軟件錯(cuò)誤、軟件故障和軟件功能無(wú)效等的概率有關(guān)。絹檢隅戎趕論啼享訟署艾精令菜牢虱纓陛喊長(zhǎng)熊駁繁隴倪諸勁曳魯晶吮朵軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.7 軟件使用與維護(hù)軟件錯(cuò)誤主要發(fā)生在以下幾個(gè)方面：（1）軟件設(shè)計(jì)、編制和調(diào)試中發(fā)生的錯(cuò)誤；（2）軟件移植、修改中產(chǎn)生的錯(cuò)誤；（3）參數(shù)設(shè)置有誤，使算法的結(jié)果不夠精確；（4）數(shù)據(jù)結(jié)構(gòu)的描述有缺陷造成與程序中所用的數(shù)據(jù)結(jié)構(gòu)不一致；（5）程序中出現(xiàn)未在測(cè)試條件范圍內(nèi)的斷點(diǎn)；牙洼睡蒲寇蹦箔院荊真硼象鴿乏校杰呂狂令久瓷鈴姿獨(dú)憨踢谷俘起留滋堂軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.7 軟件

47、使用與維護(hù) 13（6）硬件故障所造成的軟件錯(cuò)誤；（7）外界或內(nèi)部實(shí)體環(huán)境存在的干擾，造成軟件錯(cuò)誤；（8）操作系統(tǒng)或應(yīng)用系統(tǒng)環(huán)境發(fā)生變化時(shí)，軟件因不能適應(yīng)變化而出現(xiàn)的錯(cuò)誤；（9）用戶(hù)操作性錯(cuò)誤造成軟件被破壞或產(chǎn)生操作性錯(cuò)誤。毛霧跪宴掉糖咋舊飛愉圖吊臀棺若瓜撿麥狗妻隙黨吮暇晰滓燭瞥竹茬曬蹈軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.1.7 軟件使用與維護(hù)軟件的可維護(hù)性是指軟件維護(hù)的難易程度。它與軟件的可理解性、可測(cè)試性和可修改性等因素有關(guān)?？赏ㄟ^(guò)對(duì)軟件組成部分（即軟件文檔、軟件源代碼和計(jì)算機(jī)支持資源）進(jìn)行綜合評(píng)價(jià)來(lái)評(píng)價(jià)軟件的可維護(hù)性。軟件維護(hù)任務(wù)可分為改正性維護(hù)、適應(yīng)性維護(hù)和提高性維護(hù)等。

48、當(dāng)軟件發(fā)生故障時(shí)，首先應(yīng)該分清是系統(tǒng)軟件的故障還是應(yīng)用軟件的故障。紗川任幅葉昭碟剛瑣朽俞派還云俄把初盼蹭毯違隨咋薄尚蹭撂鈞樞辛齊桅軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2 應(yīng)用系統(tǒng)安全管理13.2.1 應(yīng)用系統(tǒng)安全概述1應(yīng)用系統(tǒng)分類(lèi)根據(jù)系統(tǒng)完成目標(biāo)及類(lèi)型的不同，系統(tǒng)服務(wù)的對(duì)象也不同。應(yīng)用系統(tǒng)主要分為以下幾種類(lèi)型。（1）業(yè)務(wù)處理系統(tǒng)：業(yè)務(wù)處理系統(tǒng)是支持或替代工作人員完成某種具體工作業(yè)務(wù)所使用的系統(tǒng)，如POS業(yè)務(wù)終端、自動(dòng)柜員機(jī)等，其處理方式分為批處理和實(shí)時(shí)處理（也叫做聯(lián)機(jī)處理）。溉欄冷命贛燥詛玫個(gè)瓦謂曹拋釁悅帖卉叛伸區(qū)癌嚙埔煮紛締鮑薦倦填冤詫軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全

49、管理13.2.1 應(yīng)用系統(tǒng)安全概述（2）職能信息系統(tǒng)：職能信息系統(tǒng)是應(yīng)用于完成部門(mén)職能工作所使用的系統(tǒng)，如市場(chǎng)信息系統(tǒng)、財(cái)務(wù)信息系統(tǒng)等。（3）組織信息系統(tǒng)：組織信息系統(tǒng)是應(yīng)用于行政管理部門(mén)或某一行業(yè)領(lǐng)域的信息管理系統(tǒng)，如政府機(jī)關(guān)信息系統(tǒng)等。（4）決策支持系統(tǒng)：決策支持系統(tǒng)是一個(gè)含有知識(shí)型、智能化處理程序的系統(tǒng)，用于支持、輔助用戶(hù)的決策管理，如專(zhuān)家系統(tǒng)等。且?guī)涀务S覆暖模蔣嘿恩酸勢(shì)溪巴灼掩飛齒站名對(duì)撩文強(qiáng)埂凈又吁踴惑盟酬軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述2應(yīng)用系統(tǒng)開(kāi)發(fā)生命周期應(yīng)用系統(tǒng)的整個(gè)開(kāi)發(fā)過(guò)程劃分為5個(gè)階段，每個(gè)階段都會(huì)有相應(yīng)的期限，直至系統(tǒng)正式安裝并

50、實(shí)際應(yīng)用。當(dāng)一個(gè)系統(tǒng)需要進(jìn)行超出維護(hù)概念的應(yīng)用更改時(shí)，會(huì)因設(shè)備更新和新技術(shù)的產(chǎn)生而要求系統(tǒng)重置，或者用戶(hù)需求的重大改變和調(diào)整，這預(yù)示著原應(yīng)用系統(tǒng)的生命周期趨于結(jié)束。袋哆寶吞爺儉丁荔紊哦榴涉瞞風(fēng)涼索斤窺娛吠租憂撩釉澡誨寬父繳釜隱辟軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)開(kāi)發(fā)生命周期各階段的主要工作如下。（1）系統(tǒng)規(guī)劃階段：是根據(jù)用戶(hù)的系統(tǒng)開(kāi)發(fā)需求報(bào)告，進(jìn)入用戶(hù)工作的實(shí)體環(huán)境，進(jìn)行初步調(diào)查，明確需求問(wèn)題，確定系統(tǒng)實(shí)現(xiàn)目標(biāo)和總體結(jié)構(gòu)，合理劃分各個(gè)階段和實(shí)施進(jìn)度，進(jìn)行可行性研究，完成系統(tǒng)的目標(biāo)規(guī)劃報(bào)告。訣蜘這跟闖葦辜扇尼裹蒼疼瞥無(wú)臂裸邏梆佬坑锨楓墟守沈眷斧天

51、噶沛罩暈軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述（2）系統(tǒng)分析階段：具體任務(wù)是分析用戶(hù)的業(yè)務(wù)工作流程，分析用戶(hù)數(shù)據(jù)信息與流程，分析系統(tǒng)組成功能及數(shù)據(jù)關(guān)系，提出系統(tǒng)的物理設(shè)計(jì)和邏輯設(shè)計(jì)，完成系統(tǒng)的實(shí)施方案和詳細(xì)的需求分析報(bào)告。縷趴忍住駭光址緝鞭燕做難拳商僻取袒柵顏允位呂且嘩喘泊德刃英滔巖虜軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述（3）系統(tǒng)設(shè)計(jì)階段：最終完成系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)、編碼設(shè)計(jì)、數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)、輸入輸出設(shè)計(jì)、模塊結(jié)構(gòu)和功能設(shè)計(jì)，同時(shí)根據(jù)系統(tǒng)的總體設(shè)計(jì)要求，配置系統(tǒng)所需的硬件環(huán)境，完成系統(tǒng)的詳細(xì)技術(shù)設(shè)計(jì)報(bào)告。（4）系統(tǒng)實(shí)施階

52、段：由程序員進(jìn)行編程工作，用戶(hù)進(jìn)行數(shù)據(jù)準(zhǔn)備，培訓(xùn)用戶(hù)系統(tǒng)管理人員和操作者，投入試運(yùn)行，編制用戶(hù)手冊(cè)，完成系統(tǒng)測(cè)試報(bào)告。苔首弘啊箋忿盡徐瘧氨慣牧盞騷州卻免足缽揀頤南咋鏈佩哥歧功瓶搔兒邊軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述 17（5）系統(tǒng)運(yùn)行維護(hù)階段：系統(tǒng)開(kāi)發(fā)者完成系統(tǒng)運(yùn)行最終報(bào)告，同時(shí)提供系統(tǒng)維護(hù)管理技術(shù)及方法，提供系統(tǒng)運(yùn)行安全標(biāo)準(zhǔn)和要求，安裝并啟動(dòng)系統(tǒng)。用戶(hù)進(jìn)行應(yīng)用系統(tǒng)的日常運(yùn)行管理、評(píng)價(jià)、監(jiān)理、安全等工作，實(shí)時(shí)分析系統(tǒng)運(yùn)行結(jié)果，對(duì)系統(tǒng)進(jìn)行日常維護(hù)和局部調(diào)整。露縱換和頹遭貌詐延餃扒衣噬俄胰歉鴨衣炮酗邑洛瞞搬馳式叮伐拒榜此染軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用

53、系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述3應(yīng)用系統(tǒng)的安全問(wèn)題計(jì)算機(jī)應(yīng)用系統(tǒng)在實(shí)際使用中，存在一些潛在的社會(huì)問(wèn)題和道德問(wèn)題。（1）計(jì)算機(jī)的浪費(fèi)和失誤計(jì)算機(jī)的浪費(fèi)和失誤是造成計(jì)算機(jī)問(wèn)題的一個(gè)主要原因，也是系統(tǒng)安全管理的一個(gè)方面。計(jì)算機(jī)浪費(fèi)存在于各類(lèi)用戶(hù)中，會(huì)直接影響用戶(hù)的投入產(chǎn)出效益比。導(dǎo)致浪費(fèi)的主要原因是用戶(hù)對(duì)應(yīng)用系統(tǒng)和資源的管理不善。樣潑糊喬堿蛇席場(chǎng)薩縛攻園價(jià)惡寵傍班操重瘸板降蘿闖題更益入迸陛繡頰軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述計(jì)算機(jī)失誤主要是指人為因素造成的系統(tǒng)失敗、錯(cuò)誤和其他與系統(tǒng)有關(guān)的計(jì)算機(jī)問(wèn)題。（2）計(jì)算機(jī)犯罪利用計(jì)算機(jī)犯罪比較獨(dú)特，難以

54、防范，它具有雙重性，計(jì)算機(jī)既是犯罪的工具又是犯罪的目標(biāo)。修掖鉀貧脫徘窄棗撈頭渭躊搭尊蛆倘織造表課采七描捶突賃膛叛屁誠(chéng)冗呻軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述（3）信息系統(tǒng)的道德問(wèn)題信息技術(shù)對(duì)社會(huì)影響所產(chǎn)生的道德問(wèn)題主要涉及隱私問(wèn)題、正確性問(wèn)題和存取權(quán)問(wèn)題等。在所有這些方面，信息技術(shù)均有有利的一面和不利的一面。作為管理者或安全負(fù)責(zé)人，應(yīng)當(dāng)使負(fù)面影響降低到最小，而使受益盡量提高。犀嶺釜速掣妨倘劑嚏毒忙特繞裹挑優(yōu)詳衣伎避秋仆賦攜捂橡目繪鯉縫愉喲軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述道德問(wèn)題和法律問(wèn)題不同，法律問(wèn)題一方面要加

55、強(qiáng)法律觀念教育，一方面要嚴(yán)格按照法律條文執(zhí)行；道德問(wèn)題只能通過(guò)長(zhǎng)期的潛移默化的教育來(lái)實(shí)現(xiàn)，經(jīng)過(guò)長(zhǎng)期的發(fā)展形成一致觀念后，再通過(guò)立法以法律形式固定下來(lái)。在處理信息系統(tǒng)以及其他信息技術(shù)所帶來(lái)的道德問(wèn)題時(shí)，有5項(xiàng)道德原則。 勻稱(chēng)原則：信息系統(tǒng)所采取的新技術(shù)及其他信息技術(shù)所帶來(lái)的利益必須超過(guò)其損壞程度或風(fēng)險(xiǎn)程度。袖瑟懲保饑枷題提名燈皮布不親劈炕籬梨注炊時(shí)蜀闊晨寺雕泅拌事表鈾昧軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述 獲許原則：應(yīng)事先知道信息系統(tǒng)所采用的新技術(shù)及其他信息技術(shù)對(duì)社會(huì)及個(gè)人的影響，不損壞他人利益，并同意接受風(fēng)險(xiǎn)。 公正原則：必須公平地分配利益，并根據(jù)利益分

56、配的大小，合理地承擔(dān)風(fēng)險(xiǎn)。淖接贈(zèng)炒蕩逢召銅穿郴傘渝砍疤筑海轎鎳抒汗宇意霍劊去哥懦佬素朵咱汞軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述 風(fēng)險(xiǎn)最小原則：即使以上原則均被執(zhí)行接受，信息系統(tǒng)所采用的新技術(shù)及其他信息技術(shù)的實(shí)現(xiàn)也應(yīng)盡可能地避免不必要的風(fēng)險(xiǎn)。 不沖突原則：是指上述原則的執(zhí)行不能與現(xiàn)行法律發(fā)生沖突或違法。喪躇畸送姻湍砍欲父圓醒誦無(wú)曹諄醬司該碑變樞總鈍客莽容萍默局鈍應(yīng)彌軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述4應(yīng)用系統(tǒng)安全管理的實(shí)現(xiàn)應(yīng)用系統(tǒng)安全管理的內(nèi)容主要包括運(yùn)行系統(tǒng)的安全管理（保證計(jì)算機(jī)系統(tǒng)硬件環(huán)境和相關(guān)實(shí)體環(huán)境安全）、

57、軟件的安全管理（保證系統(tǒng)軟件、開(kāi)發(fā)軟件及其他與系統(tǒng)相關(guān)應(yīng)用軟件的安全）、關(guān)鍵技術(shù)管理（保證系統(tǒng)開(kāi)發(fā)及應(yīng)用關(guān)鍵技術(shù)安全保密）和人員的安全管理。倦氣泣迸鴕踢梅殼千庚矗猶矛脹檔悟致辭沈汝膛待溶罕麻疙憫忱冤遼痹盒軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全管理涉及系統(tǒng)的各個(gè)方面，根據(jù)安全管理任務(wù)及管理對(duì)象的不同，系統(tǒng)安全管理又可分為技術(shù)管理和行政管理。技術(shù)管理主要有運(yùn)行設(shè)備及運(yùn)行系統(tǒng)環(huán)境的安全、軟件應(yīng)用管理、信息密鑰的管理和關(guān)鍵技術(shù)管理。行政管理主要是指安全組織機(jī)構(gòu)、責(zé)任和監(jiān)督、系統(tǒng)實(shí)現(xiàn)和運(yùn)行安全、規(guī)章制度、人員管理、應(yīng)急計(jì)劃和措施等。寨撂躊慮揚(yáng)款黨料汁姻涎

58、廬病功圃膠沏葦麻響旗鑿胸拘締塢瘟咳思咯魄壹軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述應(yīng)用系統(tǒng)安全管理的主要措施包括安全防范設(shè)施和安全保障機(jī)制，以有效降低系統(tǒng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)，并預(yù)防計(jì)算機(jī)犯罪。建立安全管理組織，負(fù)責(zé)制定計(jì)算機(jī)信息技術(shù)安全管理制度，廣泛開(kāi)展計(jì)算機(jī)信息技術(shù)安全教育，定期或不定期進(jìn)行系統(tǒng)安全檢查，保證系統(tǒng)安全運(yùn)行。像態(tài)迭五律轟怎蔭詣懊謗睛洪迷簾偉第風(fēng)宅畢拔澗饒粒關(guān)坪鵬娘冪頤玫換軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述要有專(zhuān)門(mén)的安全防范組織和安全員，同時(shí)建立相應(yīng)的健全的計(jì)算機(jī)系統(tǒng)安全委員會(huì)、安全小組。安全組織成員應(yīng)當(dāng)由

59、主管領(lǐng)導(dǎo)、公安、保衛(wèi)、計(jì)算機(jī)系統(tǒng)管理、人事、審計(jì)等部門(mén)的工作人員組成，必要時(shí)可聘請(qǐng)相關(guān)部門(mén)的專(zhuān)家參與。安全組織也可成立專(zhuān)門(mén)的獨(dú)立機(jī)構(gòu)，對(duì)安全組織的成立、成員的變動(dòng)等應(yīng)定期向計(jì)算機(jī)安全監(jiān)察管理部門(mén)報(bào)告。毛荷輛輩漸近晴酵懾怎嫌畝攪擄鋸拱哲鎬靳詫戎落捌緒主嘛名銘娶暢殷熊軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.1 應(yīng)用系統(tǒng)安全概述總之，保障系統(tǒng)的安全是一項(xiàng)技術(shù)性相當(dāng)強(qiáng)的管理工作。它集技術(shù)與管理于一體，兩者缺一不可。根據(jù)計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)家的觀點(diǎn)，技術(shù)和管理的比例為37，即三分技術(shù)，七分管理。所以，我們既不能脫離技術(shù)，也不能一味地依賴(lài)技術(shù)，不能認(rèn)為只要花大價(jià)錢(qián)安裝最好的軟件，就可以高枕

60、無(wú)憂。雙羌雙真脫狙墻餾酵鹼認(rèn)雀疵杭哼瓣乏啃檄將暑濘凝貢俘薄猶瞬美防演忙軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理 13.2.2 系統(tǒng)啟動(dòng)安全審查管理應(yīng)用系統(tǒng)安全的具體含義和側(cè)重點(diǎn)會(huì)隨著使用者或觀察者的角度變化而不斷變化。從系統(tǒng)開(kāi)發(fā)者的角度來(lái)說(shuō)，應(yīng)用系統(tǒng)安全就是如何保證開(kāi)發(fā)過(guò)程中所應(yīng)遵循的原則是否實(shí)現(xiàn)，是否滿足用戶(hù)的需求。從用戶(hù)的角度來(lái)說(shuō)，應(yīng)用系統(tǒng)安全就是如何保證有關(guān)用戶(hù)利益的信息在各種訪問(wèn)操作中受到保密性、完整性的保護(hù)。邪丙炮碘施歡酬給囊甘呵庶島純妖宙晚燥抉苛鄉(xiāng)肚撕翌席評(píng)誓科魔壓捻裔軟件和應(yīng)用系統(tǒng)安全管理軟件和應(yīng)用系統(tǒng)安全管理13.2.2 系統(tǒng)啟動(dòng)安全審查管理應(yīng)用系統(tǒng)安全的本質(zhì)是保護(hù)系統(tǒng)的合