《各行业生产管理知识汇集279.doc》由会员分享,可在线阅读,更多相关《各行业生产管理知识汇集279.doc(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 . . 11 / 11生产阶段安全性 对信息系统安全性的威胁任一系统,不管它是手工的还是采用计算机的,都有其弱点。所以不但在信息系统这一级而且在计算中心这一级(如果适用,也包括远程设备)都要审定并提出安全性的问题。靠识别系统的弱点来减少侵犯安全性的危险,以与采取必要的预防措施来提供满意的安全水平,这是用户和信息服务管理部门可做得到的。管理部门应该特别努力地去发现那些由计算机罪犯对计算中心和信息系统的安全所造成的威胁。白领阶层的犯罪行为是客观存在的,而且存在于某些最不可能被发觉的地方。这是老练的罪犯所从事的需要专门技术的犯罪行为,而且这种犯罪行为之多比我们想象的还要普遍。多数公司所存在的犯罪行
2、为是从来不会被发觉的。关于利用计算机进行犯罪的任何统计资料仅仅反映了那些公开报道的犯罪行为。系统开发审查、工作审查和应用审查都能用来使这种威胁减到最小。 计算中心的安全性计算中心在下列方面存在弱点:1.硬件。如果硬件失效,则系统也就失效。硬件出现一定的故障是无法避免的,但是预防性维护和提供物质上的安全预防措施,来防止未经批准人员使用机器可使这种硬件失效的威胁减到最小。2.软件。软件能够被修改,因而可能损害公司的利益。严密地控制软件和软件资料将减少任何越权修改软件的可能性。但是,信息服务管理人员必须认识到由部工作人员进行修改软件的可能性。银行的程序员可能通过修改程序,从自己的中取款时漏记帐或者把
3、别的中的少量存款存到自己的上,这已经是众所周知的了。其它行业里的另外一些大胆的程序员同样会挖空心思去作案。3.文件和数据库。公司数据库是信息资源管理的原始材料。在某些情况下,这些文件和数据库可以说是公司的命根子。例如,有多少公司能经受得起丢失他们的收帐文件呢?大多数机构都具有后备措施,这些后备措施可以保证,如果正在工作的公司数据库被破坏,则能重新激活该数据库,使其继续工作。某些文件具有一定的价值并能出售。例如,政治运动的损助者被认为是有价值的,所以它可能被偷走,而且以后还能被出售。4.数据通信。只要存在数据通信网络,就会对信息系统的安全性造成威胁。有知识的罪犯可能从远处接通系统,并为个人的利益
4、使用该系统。偷用一个精心设计的系统不是件容易的事,但存在这种可能性。目前已发现许多罪犯利用数据通信设备的系统去作案。5.人员。用户和信息服务管理人员同样要更加注意那些租用灵敏的信息系统工作的人。某个非常无能的人也能像一个本来不诚实的人一样破坏系统。 信息系统的安全性信息系统的安全性可分为物质安全和逻辑安全。物质安全指的是硬件、设施、磁带、以与其它能够被利用、被盗窃或者可能被破坏的东西的安全。逻辑安全是嵌入在软件部的。一旦有人使用系统,该软件只允许对系统进行特许存取和特许处理。物质安全是通过门上加锁、采用防火保险箱、出入标记、警报系统以与其它的普通安全设备就能达到的。而作为联机系统的逻辑安全主要
5、靠口令和核准代码来实现的。终端用户可以使用全局口令,该口令允许利用几个信息系统与其相应的数据库;终端用户也可使用只利用一个子系统或部分数据库的口令。 安全分析过程大多数公司的办公人员询问关于信息和计算中心的安全时,往往问一切都行了吗?其实他们应该问对于信息和计算中心的安全,我们应该做什么?。用户管理人员应该与信息服务管理人员定期地共同研究,进行安全分析,这种安全分析为各方都愿意接受。简言之,这种安全分析意指决定要多大的一把挂锁。遗憾的是,某些公司乐意承担巨大的风险,但又侥幸地希望不要出现自然灾害或预先考虑到的祸患。难得出现并不等于永不出现,关于这一点某些公司发现得太晚了。在进行安全分析的过程中
6、,用户和信息服务人员要切实地审估几十种安全项目清单是否充分。例如,在属于物质安全方面,分析组可能要调查通向机房的路径数目,或者要调查是否存在一进入机房的特许。安全分析方法的步骤如下:1.估价危险。(1)识别和分析薄弱环节。(2)确定特定事件出现的概率。2.危险审定。在估价危险的基础上确立可接受危险的标准(信息系统的安全是按一定的程度来实现的)。3.减少危险。(1)把对薄弱环节的威胁减到最小或消除它。(2)重复第1、第2和第3步,直到这种危险小到可接受的程度。安全性 对信息系统安全性的威胁任一系统,不管它是手工的还是采用计算机的,都有其弱点。所以不但在信息系统这一级而且在计算中心这一级(如果适用
7、,也包括远程设备)都要审定并提出安全性的问题。靠识别系统的弱点来减少侵犯安全性的危险,以与采取必要的预防措施来提供满意的安全水平,这是用户和信息服务管理部门可做得到的。管理部门应该特别努力地去发现那些由计算机罪犯对计算中心和信息系统的安全所造成的威胁。白领阶层的犯罪行为是客观存在的,而且存在于某些最不可能被发觉的地方。这是老练的罪犯所从事的需要专门技术的犯罪行为,而且这种犯罪行为之多比我们想象的还要普遍。多数公司所存在的犯罪行为是从来不会被发觉的。关于利用计算机进行犯罪的任何统计资料仅仅反映了那些公开报道的犯罪行为。系统开发审查、工作审查和应用审查都能用来使这种威胁减到最小。 计算中心的安全性
8、计算中心在下列方面存在弱点:1.硬件。如果硬件失效,则系统也就失效。硬件出现一定的故障是无法避免的,但是预防性维护和提供物质上的安全预防措施,来防止未经批准人员使用机器可使这种硬件失效的威胁减到最小。2.软件。软件能够被修改,因而可能损害公司的利益。严密地控制软件和软件资料将减少任何越权修改软件的可能性。但是,信息服务管理人员必须认识到由部工作人员进行修改软件的可能性。银行的程序员可能通过修改程序,从自己的中取款时漏记帐或者把别的中的少量存款存到自己的上,这已经是众所周知的了。其它行业里的另外一些大胆的程序员同样会挖空心思去作案。3.文件和数据库。公司数据库是信息资源管理的原始材料。在某些情况
9、下,这些文件和数据库可以说是公司的命根子。例如,有多少公司能经受得起丢失他们的收帐文件呢?大多数机构都具有后备措施,这些后备措施可以保证,如果正在工作的公司数据库被破坏,则能重新激活该数据库,使其继续工作。某些文件具有一定的价值并能出售。例如,政治运动的损助者被认为是有价值的,所以它可能被偷走,而且以后还能被出售。4.数据通信。只要存在数据通信网络,就会对信息系统的安全性造成威胁。有知识的罪犯可能从远处接通系统,并为个人的利益使用该系统。偷用一个精心设计的系统不是件容易的事,但存在这种可能性。目前已发现许多罪犯利用数据通信设备的系统去作案。5.人员。用户和信息服务管理人员同样要更加注意那些租用
10、灵敏的信息系统工作的人。某个非常无能的人也能像一个本来不诚实的人一样破坏系统。信息系统的安全性信息系统的安全性可分为物质安全和逻辑安全。物质安全指的是硬件、设施、磁带、以与其它能够被利用、被盗窃或者可能被破坏的东西的安全。逻辑安全是嵌入在软件部的。一旦有人使用系统,该软件只允许对系统进行特许存取和特许处理。物质安全是通过门上加锁、采用防火保险箱、出入标记、警报系统以与其它的普通安全设备就能达到的。而作为联机系统的逻辑安全主要靠口令和核准代码来实现的。终端用户可以使用全局口令,该口令允许利用几个信息系统与其相应的数据库;终端用户也可使用只利用一个子系统或部分数据库的口令。 安全分析过程大多数公司
11、的办公人员询问关于信息和计算中心的安全时,往往问一切都行了吗?其实他们应该问对于信息和计算中心的安全,我们应该做什么?。用户管理人员应该与信息服务管理人员定期地共同研究,进行安全分析,这种安全分析为各方都愿意接受。简言之,这种安全分析意指决定要多大的一把挂锁。遗憾的是,某些公司乐意承担巨大的风险,但又侥幸地希望不要出现自然灾害或预先考虑到的祸患。难得出现并不等于永不出现,关于这一点某些公司发现得太晚了。在进行安全分析的过程中,用户和信息服务人员要切实地审估几十种安全项目清单是否充分。例如,在属于物质安全方面,分析组可能要调查通向机房的路径数目,或者要调查是否存在一进入机房的特许。安全分析方法的
12、步骤如下:1.估价危险。(1)识别和分析薄弱环节。(2)确定特定事件出现的概率。2.危险审定。在估价危险的基础上确立可接受危险的标准(信息系统的安全是按一定的程度来实现的)。3.减少危险。(1)把对薄弱环节的威胁减到最小或消除它。(2)重复第1、第2和第3步,直到这种危险小到可接受的程度。安全性 对信息系统安全性的威胁任一系统,不管它是手工的还是采用计算机的,都有其弱点。所以不但在信息系统这一级而且在计算中心这一级(如果适用,也包括远程设备)都要审定并提出安全性的问题。靠识别系统的弱点来减少侵犯安全性的危险,以与采取必要的预防措施来提供满意的安全水平,这是用户和信息服务管理部门可做得到的。管理
13、部门应该特别努力地去发现那些由计算机罪犯对计算中心和信息系统的安全所造成的威胁。白领阶层的犯罪行为是客观存在的,而且存在于某些最不可能被发觉的地方。这是老练的罪犯所从事的需要专门技术的犯罪行为,而且这种犯罪行为之多比我们想象的还要普遍。多数公司所存在的犯罪行为是从来不会被发觉的。关于利用计算机进行犯罪的任何统计资料仅仅反映了那些公开报道的犯罪行为。系统开发审查、工作审查和应用审查都能用来使这种威胁减到最小。 计算中心的安全性计算中心在下列方面存在弱点:1.硬件。如果硬件失效,则系统也就失效。硬件出现一定的故障是无法避免的,但是预防性维护和提供物质上的安全预防措施,来防止未经批准人员使用机器可使
14、这种硬件失效的威胁减到最小。2.软件。软件能够被修改,因而可能损害公司的利益。严密地控制软件和软件资料将减少任何越权修改软件的可能性。但是,信息服务管理人员必须认识到由部工作人员进行修改软件的可能性。银行的程序员可能通过修改程序,从自己的中取款时漏记帐或者把别的中的少量存款存到自己的上,这已经是众所周知的了。其它行业里的另外一些大胆的程序员同样会挖空心思去作案。3.文件和数据库。公司数据库是信息资源管理的原始材料。在某些情况下,这些文件和数据库可以说是公司的命根子。例如,有多少公司能经受得起丢失他们的收帐文件呢?大多数机构都具有后备措施,这些后备措施可以保证,如果正在工作的公司数据库被破坏,则
15、能重新激活该数据库,使其继续工作。某些文件具有一定的价值并能出售。例如,政治运动的损助者被认为是有价值的,所以它可能被偷走,而且以后还能被出售。4.数据通信。只要存在数据通信网络,就会对信息系统的安全性造成威胁。有知识的罪犯可能从远处接通系统,并为个人的利益使用该系统。偷用一个精心设计的系统不是件容易的事,但存在这种可能性。目前已发现许多罪犯利用数据通信设备的系统去作案。5.人员。用户和信息服务管理人员同样要更加注意那些租用灵敏的信息系统工作的人。某个非常无能的人也能像一个本来不诚实的人一样破坏系统。 信息系统的安全性信息系统的安全性可分为物质安全和逻辑安全。物质安全指的是硬件、设施、磁带、以
16、与其它能够被利用、被盗窃或者可能被破坏的东西的安全。逻辑安全是嵌入在软件部的。一旦有人使用系统,该软件只允许对系统进行特许存取和特许处理。物质安全是通过门上加锁、采用防火保险箱、出入标记、警报系统以与其它的普通安全设备就能达到的。而作为联机系统的逻辑安全主要靠口令和核准代码来实现的。终端用户可以使用全局口令,该口令允许利用几个信息系统与其相应的数据库;终端用户也可使用只利用一个子系统或部分数据库的口令。 安全分析过程大多数公司的办公人员询问关于信息和计算中心的安全时,往往问一切都行了吗?其实他们应该问对于信息和计算中心的安全,我们应该做什么?。用户管理人员应该与信息服务管理人员定期地共同研究,
17、进行安全分析,这种安全分析为各方都愿意接受。简言之,这种安全分析意指决定要多大的一把挂锁。遗憾的是,某些公司乐意承担巨大的风险,但又侥幸地希望不要出现自然灾害或预先考虑到的祸患。难得出现并不等于永不出现,关于这一点某些公司发现得太晚了。在进行安全分析的过程中,用户和信息服务人员要切实地审估几十种安全项目清单是否充分。例如,在属于物质安全方面,分析组可能要调查通向机房的路径数目,或者要调查是否存在一进入机房的特许。安全分析方法的步骤如下:1.估价危险。(1)识别和分析薄弱环节。(2)确定特定事件出现的概率。2.危险审定。在估价危险的基础上确立可接受危险的标准(信息系统的安全是按一定的程度来实现的
18、)。3.减少危险。(1)把对薄弱环节的威胁减到最小或消除它。(2)重复第1、第2和第3步,直到这种危险小到可接受的程度。费用分配方式 在信息服务业务发展的定型过程中的某个时期,关于是否要向终端用户收业务费和(或)计算机服务费的问题,公司要作出决策。关于中型和大型机构的发展趋势是,通过付费方式把信息服务费用分派给终端用户分担。实现付费方式的目的是为了促进信息和计算机资源的有效利用。采用付费方式的根据是,一个部门在花费他们自己的钱时要比花费别人的钱盘算得更周到。实现付费方式,即费用分配方式有许多问题要考虑。例如,终端用户应该负担可行性分析的费用吗?这笔费用应该由信息服务部门指定为固定数额,还是应该
19、建立在实际耗费的时间基础上呢?使用机器的费用应该单独以处理机的使用为基础,还是按每种外围设备(打印机、磁盘存储器等等)分开计费呢?价格的变动应该按使用的存储容量分别给出呢?还是应该按计算机使用时间的主次来给出价格变动呢?向终端用户分派费用的基本方法有四种,正如人们时预料的那样,每种方法各有其优缺点。常用的那些付费方法如下:1.在信息服务方面对用户免费有一种方法是把公司的信息服务的预算分配给信息服务部门,并委托他们在可用资源的限制围向用户提供最合理的服务。这种方法在行政管理上是简单的,而且每个用户都可以得到免费服务。其缺点是:服务的优先分配归属于信息服务部门;用户体会不到信息服务的代价,不能充分
20、地去分析他们的服务请求的效益和费用比;而且最大的用户总是得到最好的服务。然而,当而且仅当存在一个能够根据公司的需要分配信息服务资源、具有权力且公正的信息服务指导委员会时,这才是一种可行的选择方法。2.给每个请求服务部门分配信息服务的预算费用把信息服务的预算费用分配给每一个请求服务的部门。以这种方法,请求服务的部门只要简单地申请一定额度的信息服务经费。事实上,这样做并不存在部的资金调拨。从贸易角度来讲,这种预算费用分配被认为是虚设的钱或者木制钱币。这种方法的优点是,在整个信息服务的预算费用围提供了限额控制,并向用户提供了关于要承担信息服务费用的反馈信息。但是,用户还是体会不到信息服务的代价,而且
21、不会去分析其效益和费用比。当初期分配的预算额用完时,由于用户只需要申请更多的预算费用,因此不会严格地执行预算费用的分配。仅当审查最初确定的预算费用分配,而实际征收罚金时,这种方法才行得通。当一个公司朝着付费方式过渡,其中实际的费用在部门之间进行调拨时,这种方法才是有效的。这种付费方式可用来产生备忘记帐。当信息服务的服务费用实际上被记入到业务领域的预算帐时,经过大约一年的时间,这些备忘记帐可给用户管理人员提供他希望了解的情况。3.直接对所有的信息服务收费按照直接付费方式,使用部门要负担所有的硬件使用、人员服务和资料手册等费用。这种方式的优点是,它能促进用户管理人员去分析他们的服务请求的效益和费用
22、比。因此,只有优先级高的和性能价格比合算的服务请求才会提交给信息服务,这样就能把资源集中用于对公司的工作更关键的方面。这种方法的最大缺点是,直接收取信息服务费用可能会阻碍更多的用户去把采用计算机的系统考虑作为一种选择的方案。4.公司补助和直接收费相结合用户的消费要与公司信息服务的集中备用资金相适应。这种方法需要用户通过部的资金调 拨去付一部分信息服务的费用。比如说,用户可能要付30%、50%或70%的费用,而剩余部分 记入公司的信息服务帐。这种方法的优点是,它能鼓励那些积极性不高的用户去投资性能 价格比高的、采用计算机的系统。即使用户仅仅支付了总费用的一部分,还是对信息服务的 费用有一定的认识
23、。这种方法在较小的程度上也还存在着对信息服务直接收费的缺点。生产阶段概论 生产阶段涵生产阶段是信息系统寿命期的第三个阶段(信息系统的寿命期可分为:诞生、开发、生产和消亡四个阶段),所谓信息系统的生产阶段是指从系统最初被认为可供使用的时候起,直到它被取代的时候为止这段时期。一旦某个系统投入了使用,实际上就由使用部门来主管所有系统设备的相互作用。在集中统一管理的情况下,信息服务只承担技术支持、处理和硬拷贝输出的分配等工作。 生产过程1.输入-数据简化(1)数据简化。数据简化是数据输入的同义语,指的是把数据送进计算机系统的过程。非机器可读格式的数据在变成计算机文件的一部分之前,必须进行转换。例如,工
24、长填到记工表上的工时数,库房保管员用手工记录的库存物品的进出情况,这些数据需要转换成机器可读的格式。这个转换过程通常是借助于一种键驱动设备来完成的。在某些系统里面,数据已经以机器可读的格式表示了,因此无须再经键盘输入。例如,百货商店的售货员可以使用一根手动棒,直接从商品的价格标签处输入价格数据和商品品目数据。(2)校对。不管数据是由用户人员联机输入的,还是由信息服务人员分批录制的,用户都要对输入到系统的数据完整性负责。数据的核对可用几种方法完成。在数据穿孔阶段,数据的核对是靠两次用键盘把原始文件的全部数据直接打入同一卡片上来完成的。重新键入数据这种核对方法还可用于从键盘到磁盘的数据输入,只是用
25、得不很广泛而已。此方法可用作数据核对的根据是,操作员一般不可能两次键入一样的错误字符。虽然这种方法既麻烦而又费时,但它一般不会造成数据输入错误。通常在完成最初的原始资料期间,数据的完整性就会受到破坏。由于多数原始资料都是用人工编写的,所以资料的清晰度就成了影响数据完整性的重要因素。大多数用键盘输数据的错误都是由于操作员误判了输入数据的手写字符所造成的。在联机进行数据输入的情况下,数据核对是靠操作员的目视检验和靠计算机软件的校验来完成的。在一个联机定货单输入系统里,售货员可把定货单直接输进系统,而不需用手工去填写一空白定单。在联机系统中,采用的目视核对是与批处理系统中产生原始资料所用的方式一样的
26、。操作员在视频显示器上直接阅读输入的数据,就能核对数据输入的正确性。为了检验输入数据的围、合理性以与某些数据元是否匹配得当,可以把要检验的逻辑编进软件里。例如,如果某公司迄今收到的最多的一定货单是25种物品,而有定货单却输入了2500种物品,则就对该项输入标上要进一步验证的标记。又如,软件能够核对目前已存在于公司数据库中的数据元。操作员每次都要输入实际的顾客编号,如果该数据库中无此编号,则就把该项编号打上标记。(3)生产率。用户管理人员应该知道数据输入是一项需要把关的任务;同时也应知道,为了维持数据输入的生产率和准确性,操作员需要给予鼓励。为此,应该尽力使数据输入操作员认识到工作的重要性,通过
27、定期让他们参加一些强调数据输入任务对整个系统的重要性的讨论会,就能达到此目的。在这些会议上,还要为操作员提供专题讨论。这样会有助于提高系统输入的工作效率。应允许操作员采用标准的组合技术,来建立他们自己的效能准则。如果奖金和报酬的增加是以工作成绩为基础的,那么就能加强操作员的竞争精神。2.处理-操作除非把处理工作分配给业务部门(即分布式数据处理),否则操作业务通常由公司的信息服务部门来承担。操作业务的目的是使支持生产信息系统的计算机硬件运转起来。这些信息系统是由同级的信息服务业务部门(程序设计和系统设计)和使用部门共同选择(专用软件)和开发的。操作管理人员负责管理给定的硬件和信息系统,并为满足指
28、定的最后期限要求安排生产计划。管理人员应该知道一些有关一个计算中心的其它要求。这些要求不会影响管理人员的特定职责围,但是它们对于公司的工作来说是同等重要的。就一般的计算中心而言,管理人员不仅要安排几十个信息系统的生产计划,而且还要安排其它项目。例如,大批的一次性任务和(或)特定的任务、程序的开发和测试、系统质量的保险测试、数据和文件的转换、预防性维护、并行操作、一般性维护以与必须安排的硬件的升级换代等。为了防止系统失效,那些对整个公司工作最关键的系统部分要给以优先级。在时间许可的情况下,其它的任务都可插到预定的计划里去。3.输出-分配与控制大多数信息系统都需要一些硬拷贝输出。在集中统一管理的情
29、况下,这些输出文件的控制与分配是信息服务的任务。通常,信息服务部门有一个管理小组,它利用多种技术(控制总数、一致性检验等等)来核对系统输出的准确性,对于每一份输出,管理小组要保存收据和分配日志。在公布高度的文件之前,常常需要用户签字。信息系统审查 每一个公司都应该设立一个公司部的信息系统审查小组(或审计员),由该小组向高级的中立办公室汇报。信息系统审查工作人员的职责是确保生产信息系统的完整性。有三种不同的信息系统审查,它们是系统开发审查、工作情况审查和应用审查。 系统开发审查就系统开发审查而论,信息系统审查工作人员要担任开发项目组的顾问或充当其成员。他们的参加可保证在初始系统设计过程中就设置了
30、相应的审查控制。信息系统审查小组参与的系统开发活动已在图20.9.3中指明。 工作审查对于信息服务那一部分工作要定期地进行工作审查,以保证正确的管理。如分散任务、轮换操作员和指定假期都是这种管理措施的例子。遵循分散任务的原则可排除同一人既提供输入、执行处理,又负责确认输出的可能性。通过经常地轮换操作员,系统控制将最终察觉操作员想欺骗系统的任何企图。当一名操作员单独负责运行一个特定的信息系统时,公司就容易受到损失。同理,许多公司有指定假期的政策,要求程序员和操作员在不少于两周的整段时间度假。审计员采用这些管理措施以与若干其它技术可使乱用计算机系统的可能性和机会减到最少。 应用审查定期进行应用审查
31、的目的是要确认采用计算机的系统的完整性。这类审查与上述定期的系统评价相比,其中有关当前和将来系统的需要与系统的有效性一样是关键的考虑事项。就应用审查来讲,信息系统的审计员要证实一个生产系统是否正按其设计规进行工作。为了完成这个审查,审计员可能要追溯有关摘要报告的原始的事务处理情况,或者从原始处理来检查目前情况。为了检验系统的部控制功能,他们故意试图中断系统或给系统设置故障。在信息系统审查过程中,可用专用审查软件来帮助进行应用审查。例如,审查程序可向审计员提供文件抽样能力的资料。审计员利用这些程序来检验记录的质量、完整性、准确性和效率。定期的系统评价 安排定期的系统评价被确定为第五阶段-系统开发过程实现后鉴定的一部分。定期的系统评价安排在系统实现后三个月,但不能超过一年。信息服务人员和用户都要积极地参加系统评价。全面的评价可能要化费一个人周到几个人月的时间,这取决于系统的规模。评价小组负责审定下列容:1.系统效率2.系统有效性3.解题周期4.响应时间5.信息的关联6.输入输出的分配与控制7.输入输出的格式和容8.文件、记录和数据库的结构9.更新和后备措施10.系统资料的通用性关于需要进一步改进的不足之处和建议都要编制成文件,并提交给相应的业务领域的管理人员。