为了确保系统运行的安全，针对用户管理，下列做法不妥当的是（27)。

.严格应用系统的安全检测与验收：对软件的安全检测与验收主要可依据《GB/T 18336.1—2008信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型》《GB/T 18336.2—2008信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求》以及《GB/T 18336.3—2008信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求进行》。

.加强应用系统的操作安全控制：应用系统内设计合适的控制以确保处理的正确性。这些控制包括输入数据的验证、内部处理控制和输出数据的确认。对于处理敏感的、有价值的或关键的组织资产的系统或对组织资产有影响的系统可以要求附加控制。这样的控制应在安全要求和风险评估的基础上加以确定。

.规范变更管理：为使信息系统的损坏程度减到最小，应实施正式的变更控制规程。变更管理过程应包括风险评估、变更效果分析和安全控制。确保变更不损坏安全和控制规程，确保支持性程序员仅能访问其工作所需的系统的某些部分，确保对任何变更要获得正式协商和批准。

.防止信息泄露：为了限制信息泄露的风险，如通过应用隐蔽通道泄露信息，可以考虑扫描隐藏信息的外部介质和通信，掩盖和调整系统与通信的行为，以减少第三方访问信息或推断信息的能力；使用可信赖的应用系统和软件进行信息处理；在法律和法规允许的前提下，定期监视个人系统的行为，监视计算机系统的源码使用。

.严格访问控制：严格控制对应用系统的访问包括建立访问控制策略，建立正式的授权程序来控制对应用系统和服务的访问权力的分配，避免未授权用户的信息访问和信息处理设施。组织只能针对具有合适的安全设计和控制，并且符合组织的安全策略的情况授权远程工作活动。

.信息备份：制定应用系统的备份策略，根据策略对信息和软件进行备份并定期测试。提供足够的备份设施，保持信息和信息处理设施的完整性和可用性，确保所有必要的信息和软件能在灾难或介质故障后进行恢复。建立例行程序来执行针对数据备份以及恢复演练的策略和战略。

.应用系统的使用监视：检测未经授权的信息处理活动，记录用户活动、异常和信息安全事件的日志，并按照约定的期限进行保留，以支持将来的调查和访问控制监视。记录系统管理员和系统操作者的活动，并对系统管理员和操作员的活动日志定期评审。记录并分析错误日志，并采取适当的措施改正错误。

系统运行

系统管理分类

IT系统管理工作主要是优化IT部门的各类管理流程，并保证能够按照一定的服务级别，为业务部门（客户）高质量、低成本地提供IT服务。IT系统管理工作可以按照以下两个标准予以分类。

按系统类型分类

（1）信息系统，企业的信息处理基础平台，直接面向业务部门（客户），包括办公自动化系统、企业资源计划（ERP）、客户关系管理（CRM）、供应链管理（SCM）、数据仓库系统（Date Warehousing）、知识管理平台（KM）等。

（2）网络系统，作为企业的基础架构，是其他方面的核心支撑平台。包括企业内部网（Intranet）、IP地址管理、广域网（ISDN、虚拟专用网）、远程拨号系统等。

（3）运作系统，作为企业IT运行管理的各类系统，是IT部门的核心管理平台。包括备份／恢复系统、入侵检测、性能监控、安全管理、服务级别管理、帮助服务台、作业调度等。

（4）设施及设备，设施及设备管理是为了保证计算机处于适合其连续工作的环境中，并把灾难（人为或自然的）的影响降到最低限度。包括专门用来放置计算机设备的设施或房间。

对IT资产（计算机设备、通信设备、个人计算机和局域网设备）的恰当的环境保护；有效的环境控制机制：火灾探测和灭火系统、湿度控制系统、双层地板，隐藏的线路铺设、安全设置水管位置，使其远离敏感设备、以及不间断电源和后备电力供应等。

按流程类型分类

（1）侧重于IT部门的管理，从而保证能够高质量地为业务部门（客户）提供IT服务。这一部分主要是对公司整个IT活动的管理，包括IT财务管理、服务级别管理、IT资源管理、能力管理、系统安全管理、新系统转换、系统评价等职能。

（2）侧重于业务部门的IT支持及日常作业，从而保证业务部门（客户）IT服务的可用性和持续性。这一部分主要是业务部门IT支持服务，包括IT日常作业管理、帮助服务台管理、故障管理及用户支持、性能及可用性保障等。

（3）侧重于IT基础设施建设，主要是建设企业的局域网、广域网、Web架构、Internet连接等。

系统管理规范化

系统管理的规范化涉及到人员职责、操作流程等方面标准的制定，并进行有效的标准化。企业IT部门除了IT部门组织结构及职责之外，还应该详细制定各类运作管理规章制度，主要包括：日常作业调度手册、系统备份及恢复手册、性能监控及优化手册、输出管理手册、帮助服务台运作手册、常见故障处理方法、终端用户计算机使用制度等与用户息息相关的IT支持作业方面的规范制度。此外，还包括服务级别管理手册、安全管理制度、IT财务管理制度、IT服务计费及成本核算、IT资源及配置管理、新系统转换流程、IT能力规划管理等由IT部门执行的以提供高质量IT服务为目的的管理流程。

系统运作报告

系统运行过程中的关键操作、非正常操作、故障、性能监控、安全审计等信息，应该实时或随后形成系统运作报告，并进行分析以改进系统管理水平。

是否有流程保证对所有不属于标准操作的操作性问题给予记录（在问题管理系统内）、分析和及时处理？

系统日常操作日志

系统日志应该记录足以形成数据的信息，为关键性的运作提供审核追踪记录，并且保存合理的时间段。利用日志工具定期对日志进行检查，以便监控例外情况并发现非正常的操作、未经授权的活动、作业完成情况、存储状况、CPU、内存利用水平等。

性能／能力规划报告

企业需要了解其IT能力能否满足其业务需要，因此它需要了解系统性能、能力和成本的历史数据，定期形成月度、年度性能报告，并进行趋势分析和资源限制评估，在此基础之上增加或调整其IT能力。

性能监控工具应该主动地监控、测量和报告系统的性能，包括平均响应时间、每日交易数、平均无故障时间、CPU、存储器等的使用状况、网络性能等，从而可以有预见性地响应变化的业务需求。

故障管理报告

企业应定期产生有关问题的统计数据，这些统计数据包括：事故出现次数、受影响的客户数、解决事故所需时间和成本、业务损失成本等，可以供管理层对反复发生的问题进行根本原因的分析，并寻找改进的机会。

另外，对于每次故障处理应该进行数据记录、归类，作为基础，它应包括以下内容。

.目录，确定与故障相关联的领域，比如硬件、软件等。

.影响度，故障对业务流程的影响程度。

.紧迫性，故障需要得到解决的紧急程度。

.优先级，综合考虑影响度、紧迫性、风险和可用资源后得出的解决故障的先后顺序。

.解决方法，故障解决的流程、处理方法。

这样有利于使用知识管理系统来协助解决问题。

安全审计日志

为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件（如网络入侵、内部资料窃取、泄密行为等），并阻断严重的违规行为，就需要安全审计跟踪机制来实现在跟踪中记录有关安全的信息。审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。

审计记录应包括以下信息：事件发生的时间和地点；引发事件的用户；事件的类型；事件成功与否。常见的审计记录可能包括：活动的用户账号和访问特权；用户的活动情况，包括可疑的行为；未授权和未成功的访问企图；敏感命令的运行等。

系统运作报告使对IT的整个运行状况的评价得以实现，IT报告应具备涵盖所有IT领域的关键业绩指标，例如风险及问题、财务状况、系统利用率、系统性能、系统故障时间、服务级别执行情况、安全审计等，这也为IT运作绩效的改进提供了基础。

用户管理

用户（User）是网络系统的主要使用者，使用网络的单位和个人都属于用户范畴。用户的身份决定其在网络系统中的权限，不同身份的用户在网络系统中担任着不同的角色（Role）。

在网络中必须有严格的用户管理措施，以保证网络的正常使用和运转。系统管理员是网络系统的维护人员，他的重要任务之一就是管理用户，他本人也是用户，但拥有比其他用户更高的权限。

用户在使用网络系统之前需要注册，即将用户信息提交给网络管理员审阅，通过后即可开通服务。用户在使用网络资源的过程中必须接受管理员的管理和网络管理程序的控制，用户的行为必须遵守既定网络管理规则。

网络用户管理包括以下内容。

（1）局域网用户管理：局域网用户的创建、注销和访问权限管理，主域用户资料数据库的维护和管理。

（2）电子邮件用户管理：电子邮件用户开户审核，用户创建、注销和权限管理，电子邮件用户数据库的维护。

（3）用户入网设备IP地址管理：局域网用户的IP网络地址分配和技术支持，用户IP地址分配数据库的维护。

（4）用户Internet访问管理：Internet访问权限管理、传输内容监控和费用分配控制管理，用户流量数据库管理和维护。

在局域网环境中存在多种网络应用和管理系统，每个系统都含有一套独立的用户身份认证管理系统。为了有效地管理用户信息并利用这些信息提高网络管理效率，需要建立统一的身份认证系统，目前用户信息管理系统大都建立在轻量目录访问协议（Lightweight Directory Access Protocol, LDAP）的基础之上。

更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5