1、第八章 企业信息化与软件质量管理8.1 企业信息化建设过程8.2 软件需求分析管理8.3 软件架构设计8.4 软件功能设计8.5 系统安全设计本章教学目标n了解企业信息化建设过程n明确软件需求管理的重要性n了解软件架构的变迁n了解企业信息安全层次设计n熟悉身份设别技术的发展过程8.1 企业信息化建设过程问题定义分析研究需求分析软件设计编码测试维护定义阶段开发阶段维护阶段存在问题及解决方案n一、需求不明:一、需求不明:1 1、中小企业有需求无建设,大型企业有建设无规划;、中小企业有需求无建设,大型企业有建设无规划;2 2、摸石头过河,被软件供应商牵扯鼻子走,应用被锁定严、摸石头过河,被软件供应商
2、牵扯鼻子走,应用被锁定严重;重;3 3、追求时髦,盲目强求大而全,、追求时髦,盲目强求大而全,“一行白鹭上青天一行白鹭上青天”。n存在问题:适用性不足;存在问题:适用性不足;“ITIT建设黑洞建设黑洞”明明显显n解决方案:提前进行软件测试。解决方案:提前进行软件测试。1 1、选择专家咨询服务,先规划后建设;、选择专家咨询服务,先规划后建设;2 2、多看实际应用客户、进行实际数据模拟测试;、多看实际应用客户、进行实际数据模拟测试;3 3、量体裁衣进行企业信息化建设;、量体裁衣进行企业信息化建设;4 4、培养自身、培养自身ITIT服务能力,避免软件商店大欺客。服务能力,避免软件商店大欺客。存在问题
3、及解决方案n二、架构不当:二、架构不当:1 1、重视功能,强调技术,轻视自身、重视功能,强调技术,轻视自身ITIT素养和实际需求;素养和实际需求;2 2、可扩展性考虑不足,系统可继承性与可集成性差,、可扩展性考虑不足,系统可继承性与可集成性差,ITIT应应用孤岛严重,用孤岛严重,ITIT内部片面应用严重。内部片面应用严重。n存在问题:可用性与可继承性不足;应用替存在问题:可用性与可继承性不足;应用替换频繁。换频繁。n解决方案:提前测试与系统性能测试结合。解决方案:提前测试与系统性能测试结合。1 1、看人做饭,考虑系统实际响应需求;、看人做饭,考虑系统实际响应需求;2 2、进行企业信息资源管理、
4、进行企业信息资源管理IRMIRM,业务应用需求进行整合;,业务应用需求进行整合;3 3、进行软件性能测试,确知系统性能瓶颈。、进行软件性能测试,确知系统性能瓶颈。存在问题及解决方案n三、应用肤浅:三、应用肤浅:1 1、重功能,轻数据,、重功能,轻数据,ITIT应用程度肤浅;应用程度肤浅;2 2、数据整合力度有限。、数据整合力度有限。n存在问题:企业应用肤浅,停留在单纯统计存在问题:企业应用肤浅,停留在单纯统计报表方面,缺乏智能化信息分析。报表方面,缺乏智能化信息分析。n解决方案:进行专家数据治理分析。解决方案:进行专家数据治理分析。1 1、多与同行沟通,多看多听;、多与同行沟通,多看多听;2
5、2、借用专家资源,搭建企业数据中心;、借用专家资源,搭建企业数据中心;3 3、实行从上到下规划与从下到上建设相结合、从易到难的、实行从上到下规划与从下到上建设相结合、从易到难的逐步建设规则。逐步建设规则。存在问题及解决方案n四、安全隐患多:四、安全隐患多:1 1、企业应用安全无层次规划,安全隐患多;、企业应用安全无层次规划,安全隐患多;2 2、缺乏有效的安全解决手段。、缺乏有效的安全解决手段。n存在问题:单纯依赖软件系统自身安全,安存在问题:单纯依赖软件系统自身安全,安全系统投资有限。全系统投资有限。n解决方案:安全漏洞监测,定期执行安全攻解决方案:安全漏洞监测,定期执行安全攻击计划。击计划。
6、1 1、进行企业安全层次规划,安全性与便利性结合;、进行企业安全层次规划,安全性与便利性结合;2 2、增加系统安全资金投入,安全与投入息息相关;、增加系统安全资金投入,安全与投入息息相关;3 3、增强系统保障安全体系,定期进行系统安全监测。、增强系统保障安全体系,定期进行系统安全监测。8.2 软件需求管理n用户参与原则;用户参与原则;n规划性原则(资金、人才、服务);规划性原则(资金、人才、服务);n核心功能原则(核心功能原则(80/2080/20););n业务操作简洁性原则(业务操作简洁性原则(BRPBRP););n实用性原则(行业化、整合解决方案)实用性原则(行业化、整合解决方案)8.3
7、软件架构设计nC/SC/SnB/SB/SnSC/SSC/Sn移动应用移动应用-软件软件+硬件相结合;局域网、局域无线网、硬件相结合;局域网、局域无线网、移动通信网相结合移动通信网相结合8.4 软件功能设计n企业信息资源管理原则,而非单纯业务信企业信息资源管理原则,而非单纯业务信息化直接转化原则(数据中枢)息化直接转化原则(数据中枢)n从上到下规划与从下到上建设相结合原则从上到下规划与从下到上建设相结合原则n从易到难的逐步建设规则从易到难的逐步建设规则n统一性、实用性、易用性建设原则统一性、实用性、易用性建设原则2022年8月10日第11页8.5 系统安全设计n一、企业应用系统的安全分级n二、中
8、心机房的一般拓扑结构图n三、应用系统的安全分层n四、应用系统认证体系的发展2022年8月10日第12页一、企业应用系统的安全分级n针对应用企业对系统安全性的顾虑,一般将企业应用系统的安全分为4级:(1)机房物理安全物理安全:独立机房、监控设备、雇员背景核查防灾措施:防雷、防火、防水、防震、防盗、防尘、防静电和双回路电路、不间断电源。(2)主机访问安全服务器分开:试用服务器、C/S应用服务器、Web应用服务器、平台服务器。2022年8月10日第13页一、企业应用系统的安全分级(3)网络安全网络访问认证系统,例如:Kerberos认证系统。网络分片:形成多个小型子域网,而不是一个大型子域网。防火墙
9、:要做包过滤、应用网关,同时使用代理服务器隐藏真实IP。入侵检测系统。(4)系统安全VPN数据安全:备份与灾难恢复系统、数据加密等。客户认证:账户口令系统、数字证书。例行测试:经常使用其它黑客软件等测试软硬件系统漏洞。2022年8月10日第14页二、中心机房的一般拓扑结构图2022年8月10日第15页三、应用系统的安全分层 2022年8月10日第16页四、应用系统认证体系的发展1、认证体系的2个安全问题:n(1)系统访问,即开机时的保护问题,目前普遍采用的是基于口令的弱身份认证技术,很容易被攻破而造成泄密;n(2)运行时保护,即在合法用户进入系统后因某种原因暂时离开计算机,此时任何人员均可在此系统之上进行操作,从而造成泄密。2022年8月10日第17页四、应用系统认证体系的发展2、认证体系的发展历程n第一代:弱口令认证n第二代:VPN认证n第三代:USB认证(数字证书)、IC卡、随机密码、软键盘n第四代:指纹锁(静脉认证)n第五代:动态口令认证n第六代:智能卡认证(RFID技术等)生物识别技术人脸识别热成像识别声音识别数字签名虹膜识别视网膜识别手背静脉识别指纹签名掌纹识别2022年8月10日第19页实验安排1、IBM Rational AppScan安全性测试 5月19日2、LinkChecker 链接有效性检查 5月31日