第八章 企業(yè)信息化與軟件質(zhì)量管理

第八章企業(yè)信息化與軟件質(zhì)量管理8.1企業(yè)信息化建設(shè)過程8.2軟件需求分析管理8.3軟件架構(gòu)設(shè)計8.4軟件功能設(shè)計8.5系統(tǒng)安全設(shè)計本章教學(xué)目標了解企業(yè)信息化建設(shè)過程明確軟件需求管理的重要性了解軟件架構(gòu)的變遷了解企業(yè)信息安全層次設(shè)計熟悉身份設(shè)別技術(shù)的發(fā)展過程8.1企業(yè)信息化建設(shè)過程問題定義分析研究需求分析軟件設(shè)計編碼測試維護定義階段開發(fā)階段維護階段瀑布開發(fā)模式存在問題及解決方案一、需求不明：1、中小企業(yè)有需求無建設(shè)，大型企業(yè)有建設(shè)無規(guī)劃；2、摸石頭過河，被軟件供應(yīng)商牽扯鼻子走，應(yīng)用被鎖定嚴重；

3、追求時髦，盲目強求大而全，“一行白鷺上青天”。存在問題：適用性不足；“IT建設(shè)黑洞”明顯解決方案：提前進行軟件測試。1、選擇專家咨詢服務(wù)，先規(guī)劃后建設(shè)；2、多看實際應(yīng)用客戶、進行實際數(shù)據(jù)模擬測試；

3、量體裁衣進行企業(yè)信息化建設(shè)；4、培養(yǎng)自身IT服務(wù)能力，避免軟件商店大欺客。存在問題及解決方案二、架構(gòu)不當(dāng)：1、重視功能，強調(diào)技術(shù)，輕視自身IT素養(yǎng)和實際需求；2、可擴展性考慮不足，系統(tǒng)可繼承性與可集成性差，IT應(yīng)用孤島嚴重，IT內(nèi)部片面應(yīng)用嚴重。存在問題：可用性與可繼承性不足；應(yīng)用替換頻繁。解決方案：提前測試與系統(tǒng)性能測試結(jié)合。1、看人做飯，考慮系統(tǒng)實際響應(yīng)需求；2、進行企業(yè)信息資源管理IRM，業(yè)務(wù)應(yīng)用需求進行整合；

3、進行軟件性能測試，確知系統(tǒng)性能瓶頸。存在問題及解決方案三、應(yīng)用膚淺：1、重功能，輕數(shù)據(jù)，IT應(yīng)用程度膚淺；2、數(shù)據(jù)整合力度有限。存在問題：企業(yè)應(yīng)用膚淺，停留在單純統(tǒng)計報表方面，缺乏智能化信息分析。解決方案：進行專家數(shù)據(jù)治理分析。1、多與同行溝通，多看多聽；2、借用專家資源，搭建企業(yè)數(shù)據(jù)中心；

3、實行從上到下規(guī)劃與從下到上建設(shè)相結(jié)合、從易到難的逐步建設(shè)規(guī)則。存在問題及解決方案四、安全隱患多：1、企業(yè)應(yīng)用安全無層次規(guī)劃，安全隱患多；2、缺乏有效的安全解決手段。存在問題：單純依賴軟件系統(tǒng)自身安全，安全系統(tǒng)投資有限。解決方案：安全漏洞監(jiān)測，定期執(zhí)行安全攻擊計劃。1、進行企業(yè)安全層次規(guī)劃，安全性與便利性結(jié)合；

2、增加系統(tǒng)安全資金投入，安全與投入息息相關(guān)；3、增強系統(tǒng)保障安全體系，定期進行系統(tǒng)安全監(jiān)測。8.2軟件需求管理用戶參與原則；規(guī)劃性原則（資金、人才、服務(wù)）；核心功能原則（80/20）；業(yè)務(wù)操作簡潔性原則（BRP）；實用性原則（行業(yè)化、整合解決方案）8.3軟件架構(gòu)設(shè)計C/SB/SSC/S移動應(yīng)用-------------軟件+硬件相結(jié)合；局域網(wǎng)、局域無線網(wǎng)、移動通信網(wǎng)相結(jié)合8.4軟件功能設(shè)計企業(yè)信息資源管理原則，而非單純業(yè)務(wù)信息化直接轉(zhuǎn)化原則（數(shù)據(jù)中樞）從上到下規(guī)劃與從下到上建設(shè)相結(jié)合原則從易到難的逐步建設(shè)規(guī)則統(tǒng)一性、實用性、易用性建設(shè)原則2022年年12月月31日日第11頁8.5系統(tǒng)統(tǒng)安安全全設(shè)設(shè)計計一、、企企業(yè)業(yè)應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)的的安安全全分分級級二、、中中心心機機房房的的一一般般拓拓撲撲結(jié)結(jié)構(gòu)構(gòu)圖圖三、、應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)的的安安全全分分層層四、、應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)認認證證體體系系的的發(fā)發(fā)展展2022年12月31日第12頁一、企業(yè)業(yè)應(yīng)用系系統(tǒng)的安安全分級級針對應(yīng)用用企業(yè)對對系統(tǒng)安安全性的的顧慮，，一般將將企業(yè)應(yīng)應(yīng)用系統(tǒng)統(tǒng)的安全全分為4級：（1）機房物物理安全全物理安全全：獨立立機房、、監(jiān)控設(shè)設(shè)備、雇雇員背景景核查防災(zāi)措施施：防雷雷、防火火、防水水、防震震、防盜盜、防塵塵、防靜靜電和雙雙回路電電路、不不間斷電電源。（2）主機訪訪問安全全服務(wù)器分分開：試試用服務(wù)務(wù)器、C/S應(yīng)用服務(wù)務(wù)器、Web應(yīng)用服務(wù)務(wù)器、平平臺服務(wù)務(wù)器。2022年12月31日第13頁一、企業(yè)業(yè)應(yīng)用系系統(tǒng)的安安全分級級（3）網(wǎng)絡(luò)安安全網(wǎng)絡(luò)訪問問認證系系統(tǒng)，例例如：Kerberos認證系統(tǒng)統(tǒng)。網(wǎng)絡(luò)分片片：形成成多個小小型子域域網(wǎng)，而而不是一一個大型型子域網(wǎng)網(wǎng)。防火墻：：要做包包過濾、、應(yīng)用網(wǎng)網(wǎng)關(guān)，同同時使用用代理服服務(wù)器隱隱藏真實實IP。入侵檢測測系統(tǒng)。。（4）系統(tǒng)統(tǒng)安全VPN數(shù)據(jù)安全全：備份份與災(zāi)難難恢復(fù)系系統(tǒng)、數(shù)數(shù)據(jù)加密密等?？蛻粽J證證：賬戶戶口令系系統(tǒng)、數(shù)數(shù)字證書書。例行測試試：經(jīng)常常使用其其它黑客客軟件等等測試軟軟硬件系系統(tǒng)漏洞洞。2022年12月31日第14頁二、中心心機房的的一般拓拓撲結(jié)構(gòu)構(gòu)圖2022年年12月31日日第15頁三、應(yīng)應(yīng)用系系統(tǒng)的的安全全分層層2022年12月31日第16頁四、應(yīng)用用系統(tǒng)認認證體系系的發(fā)展展1、認證體體系的2個安全問問題：（1）系統(tǒng)訪訪問，即即開機時時的保護護問題，，目前普普遍采用用的是基基于口令令的弱身身份認證證技術(shù)，，很容易易被攻破破而造成成泄密；；（2）運行時時保護，，即在合合法用戶戶進入系系統(tǒng)后因因某種原原因暫時時離開計計算機，，此時任任何人員員均可在在此系統(tǒng)統(tǒng)之上進進行操作作，從而而造成泄泄密。2022年12月31日第17頁四、應(yīng)用用系統(tǒng)認認證體系系的發(fā)展展2、認證體體系的發(fā)發(fā)展歷程程第一代：：弱口令令認證第二代：：VPN認證第三代：：USB認證（數(shù)數(shù)字證書書）、IC卡、隨機機密碼、、軟鍵盤盤第四代：：指紋鎖鎖（靜脈脈認證））第五代：：動態(tài)口口令認證證第六代：：智能卡卡認證（（RFID技術(shù)等））生物識別別技術(shù)人臉識別別熱成像識識別聲音識別別數(shù)字簽名名虹膜識別別視網(wǎng)膜識