《商业银行信息系统研发风险管控》蔡钊，张方，陈典友等编|(epub+azw3+mobi+pdf)电子书下载

图书名称：《商业银行信息系统研发风险管控》

【作　者】蔡钊，张方，陈典友等编

【丛书名】银行业信息化丛书

【页 数】 260

【出版社】 北京：机械工业出版社 , 2016.01

【ISBN号】978-7-111-51949-2

【价 格】69.80

【分 类】商业银行-管理信息系统-系统开发-风险管理-研究

【参考文献】 蔡钊，张方，陈典友等编. 商业银行信息系统研发风险管控. 北京：机械工业出版社, 2016.01.

图书封面：

图书目录：

《商业银行信息系统研发风险管控》内容提要：

本书通过对商业银行信息系统研发风险的定义、成因、分类和问题的分析研究，提出了商业银行开展信息系统研发风险管控的理论依据、实践方法和实践过程。全书分为基础篇、管理篇和技术篇。

《商业银行信息系统研发风险管控》内容试读

基础篇

第1章商业银行信息系统研发风险管控基础知识第2章商业银行研发风险管控相关法规、政策与标准

第1章

商业银行信息系统研发风险管控基础知识

1.1信息系统研发风险管控概述

1.1.1信息系统和信息系统研发

1.信息系统的概念

21世纪是信息科学技术飞速发展的时代，在全球经济一体化趋势下，信息技术也呈现全球化趋势，对人类社会的发展和人们的生活方式产生了巨大影响。在经济领域，信息技术的广泛应用使得网络经济和电子商务逐渐普及，成为助推企业发展、区域经济增长乃至国家经济发展的重要动力，也大大改变了传统经济发展模式和企业管理模式。为了应对机遇和挑战，现代企业日益依赖信息系统进行经营管理。信息系统也逐渐成为影响企业生存和发展的关键因素。

从广义上讲，信息系统是指进行信息处理的系统，它是一系列相互关联的可以采集、操作、存储、传播数据和信息，并提供反馈以实现其目的的元素或组成部分的集

合。狭义的信息系统专指计算机信息系统。根据GB17859一1999的定义，计算机信息

系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行加工、存储、传输、检索等处理的人机系统。

作为广义的信息系统，在任何时代、任何社会环境下都存在，只是到了现代，信息系统的概念才被提炼出来。这是因为在现代社会，信息系统总是与计算机技术和因特网的应用联系在一起。因此，现代的信息系统总是指以计算机为信息处理工具，以网络为信息传输手段的信息系统。也正因此，现在只要说到信息系统，一般指的就是计算机信息系统[1]。

(1)信息系统的结构信息系统一般由计算机硬件、操作系统、网络和通信设备、数据库、程序语言、应用软件、信息资源、用户、组织机构、规章制度构成，如图1-1所示。

2

商业银行信息系统研发风险管控基础知识第1章

用户

应用软件

操作系统

信息资源应用软件

数

计算机硬件

库

程序语言应用软件织机构

网络和通信设备

应用软件

规章制度

图1-1信息系统构成图

一个完整的信息系统一般包含以下模块：系统边界、输入和输出模块、输入到输出的转换方法、系统接口，如图1-2所示。

系统边界

系统边界

统

界

接口

条统接口

系统边界

接口

输入模块

输入到输出的转换方法

输出模块

系

系

系统边界

统

接

界

■

系统边界

系统边界

图1-2信息系统模块结构图

(2)信息系统的功能'信息系统是对数据进行加工和处理的系统。信息可以理解为消息、信号、数据、情报和知识。信息本身是无形的，可借助于不同媒介以多种形式存在或传播。它可以存储在计算机、磁带、纸

数据、消息等

张等介质中，也可以记忆在人的大脑里，还可

信息系统

信息

以通过网络、打印机、传真机等方式进行传播，

图1-3信息系统的功能示意

如图1-3所示。

一个信息系统的功能一般包含多个方面，并且具有一定复杂性，但是以下基本功能是多数信息系统应当具备的。

1)输人功能。根据信息系统的功能、需求和外界环境条件，采集和收集完成信息系统工作任务所需要的原始信息。

2)存储功能。按照设定的格式存储各种信息资料和数据的能力。

3

商业银行信息系统研发风险管控

3)处理功能。信息系统的核心功能，根据需求完成对信息的排序、分类、归并、查询、统计、预测、模拟等运算和加工。

4)控制功能。对构成信息系统的各种信息处理设备进行控制和管理，对整个信息加工处理环节进行控制。

5)输出功能。将经过加工后的有用信息输出，以被企业生产经营和管理所用，可以通过显示屏、打印机、语音等方式输出，也可以输出到硬盘、磁带等介质上。

(3)信息系统的分类从信息系统的发展和系统特点来看，信息系统可分为数据处理系统、管理信息系统、决策支持系统、专家系统和虚拟办公系统等。

(4)信息系统的发展随着计算机技术和网络技术的发展进步，信息系统的内容和形式也在不断发生着变化。与其他事物一样，信息系统也经历了一个从低级到高级、从局部到全面、从简单到复杂的发展过程，大致包含电子数据处理、事务处理、管理信息系统、决策支持系统4个阶段[口。

进人21世纪以来，由于互联网的普及，信息系统在应用深度、开发方法、可用性和方便性等方面均有很大提高。目前信息系统已经发展成为一个庞大的家族，已有的类型在不断完善和提高，更有一些新的类型在不断被创造出来，较新的发展方向包括：

1)基于因特网的信息系统。解决了大型企业，特别是大型的跨国企业，其总部与下属单位或分支机构的信息资源共享问题。

2)多媒体信息系统。通过多媒体技术、网络通信和虚拟现实技术，支持多用户的以多种媒体进行的实时交互系统，包括远程教育、远程医疗、数字图书馆等。

3)海量信息系统。针对TB(1T=1024G)、PB(1P=1024T)、EB(1E=1024P)

级，甚至更多的大数据进行处理的系统。

4)智能信息系统。将人工智能与信息系统结合，实现人机之间的有机结合和合理分工，提高信息系统的智能水平，典型的例子是专家系统[2]。

2.信息系统的生命周期

(1)信息系统生命周期信息系统与其他事物一样，也要经历产生、发展、成熟和消亡的过程。通常把信息系统从产生到消亡的整个过程称为信息系统的生命周期。一般来说，信息系统的生命周期分为4个阶段，即产生阶段、开发阶段、运行阶段和消亡阶段[2。

1)信息系统的产生阶段。这一阶段又分为两个过程，一是概念的产生过程，即根据用户需要，提出建设信息系统的初步想法；二是需求分析过程，即对企业信息系统的需求进行深入的调研和分析，并形成需求分析报告。

2)信息系统的开发阶段。这一阶段是信息系统生命周期中最重要和最关键的阶段，又可分为总体规划、系统需求分析、系统设计、系统实施和系统验收5个阶段。

①总体规划阶段。指明信息系统在企业经营战略中的作用和地位，指导信息系统研发。

②系统需求分析阶段。以企业的业务流程分析为基础，规划即将建设信息系统的基本架构，它是企业的管理流程和信息流程的交汇点。4

商业银行信息系统研发风险管控基础知识第1章

③系统设计阶段。根据系统分析的结果，设计出信息系统的实施方案。

④系统实施阶段。将设计结果在计算机和网络上具体实现，使其变成能在计算机上运行的软件系统。

⑤系统验收阶段。通过试运行验证系统功能、性能是否满足用户需求，进而确定系统是否通过验收山。

3)信息系统的运行阶段。当信息系统通过验收，正式移交给用户以后，就进入了运行阶段。系统运行阶段应对系统进行运行维护。运行维护主要分为排错性维护、适应性维护、完善性维护和预防性维护4种。一般在系统运行初期，排错性维护和适应性维护比较多，而到后来，完善性维护和预防性维护会比较多]。

4)信息系统的消亡阶段。通常信息系统的开发阶段会受到重视，而运行阶段往往会被轻视，消亡阶段则几乎完全被忽视。然而，由于计算机和互联网技术的发展十分迅速，新的技术、产品不断出现，同时企业处在瞬息万变的市场竞争环境中，企业的信息系统经常会不可避免地遇到更新改造、扩展功能，甚至是报废重建的情况。对此，企业在信息系统建设的初期就要考虑系统的消亡条件和时机，以及由此而花费的成本)。

(2)信息系统典型生命周期模型

1)瀑布模型。瀑布模型是一个经典的信息系统生命周期模型，一般将系统开发分为可行性分析（计划）、需求分析、软件设计（概要设计、详细设计）、编码（含单元测试)、测试、运行维护等几个阶段[2)。

2)V型模型。V型模型分为左右对称的两边，其中左边下降部分为开发过程各阶

段，右边上升的部分是测试过程的各个阶段。V型模型的优点在于它非常明确地标明了

测试过程中存在的不同级别，并且清楚地描述了这些测试阶段和开发各阶段的对应关系。

3)原型化模型。原型化模型的第一步是建造一个快速原型，实现客户或未来的用户与系统的交互，经过征求用户的使用意见后，弄清需求，以便真正把握用户需要的系统产品是什么样子的，再在原型基础上开发出用户满意的产品。

4)螺旋模型。螺旋模型是一个演化开发过程模型，将原型实现的迭代特征与线性顺序（瀑布）模型中控制的和系统化的方面结合起来。使得系统的增量版本的快速开发成为可能。在螺旋模型中，系统开发是一系列的增量发布2]。

5)迭代模型。典型的代表为喷泉模型，体现认识事物的循环迭代性，强调开发活动之间的无间隙性，无明显的活动阶段划分，适用于面向对象的开发过程。

3.信息系统研发方法和涉及的技术

(1)信息系统研发方法信息系统研发不仅包含计算机技术、通信技术和其他工程技术，而且还需要管理理论和方法的支持。信息系统的研发方法对信息系统的研发效

率、系统质量等具有重要影响。几种常用的信息系统研发方法如下]：

1)结构化方法。将系统的生命周期划分为调查、分析、设计、实施、维护等阶段，按照事先设计好的程序和步骤，使用一定的开发工具，完成规定的文档，在结构化和模块化的基础上进行信息系统的研发工作。

5

商业银行信息系统研发风险管控

2)快速原型法。采用原型化模型法，通过建立一个模型征求用户意见，并最终实现用户需求的信息系统快速开发方法，具有开发周期短、见效快、与业务人员交流方便等优点，特别适用于那些需求模糊、结构性比较差的信息系统的开发。

3)战略数据规划法。该方法认为一个好的企业战略数据规划应该是企业核心竞争力的重要构成因素，而建设面向企业业务的主题数据库是信息系统研发的中心任务。

4)信息工程方法。为大型信息系统的开发给出的方法和技术，在理论与实践的结合上对大型信息系统的开发提出了相应的开发策略和原则。这些策略和原则对于信息系统的成功开发和应用都是至关重要的。

5)面向对象方法。传统的结构化设计方法将系统分解为若干个过程，而面向对象的方法是采用构造模型的观点。在系统的开发过程中，各个步骤共同的目标是建造一个描述和解决问题，并满足用户需求的模型。

(2)信息系统研发所需的技术一个好的信息系统，其研发工作具有复杂性高、学科结合性高、时间跨度长等特点，需要运用多方面的技术和技能，归纳起来主要包括以下方面：

1)计算机知识。包括计算机硬件、计算机软件、网络技术、操作系统技术、数据库技术、中间件技术等。

2)软件开发知识。包括编程语言、数据结构、算法、开发平台、开发工具、测试工具等。

3)业务知识。包括良好的业务领域知识和管理学知识，具有应用信息技术解决业务领域复杂问题的能力。

1.1.2信息系统研发风险

随着现代企业的业务经营和管理越来越依赖于信息系统，以及企业信息系统复杂性的不断增加，信息系统研发风险管控的重要性逐渐显现。信息系统研发风险是在信息系统研发阶段存在的，可能导致信息系统安全问题的风险。信息系统研发风险管控工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作，旨在保障和提高新研发信息系统的安全性。

信息系统研发风险存在于信息系统研发全生命周期各个阶段。在信息系统研发过程中，无论是需求的完整性、设计的合理性还是编码的质量，甚至是选择的研发工具、采用的实现技术等均有可能引入研发风险。从管控角度来看，信息系统研发风险的内涵主要表现在以下方面：

(1)安全设计风险是指信息系统研发过程中未充分考虑安全性，从而导致系统安全需求分析不充分、安全设计不完整，系统上线后存在不安全因素的风险，例如，用户口令复杂度不足、敏感数据未加密存储等。

(2)）系统漏洞是指在软件编码过程中由于开发人员疏忽或者编程语言的局限性，

导致程序存在可以被黑客利用的逻辑错误的风险，如SQL注入、跨站脚本、缓冲区溢

6

···试读结束···