【IT168 技术文章】

　　前一阶段在对某个系统的核算子系统进行分析设计时，有过这种案例。我们是按照时间戳作为系统数据的标记，从原始凭证中抽取数据进行记帐处理。甲方信息中心人员对我们的设计方案提出质疑，理由是系统故障或者人为因素的情况下，有可能造成系统时间戳混乱，影响抽取数据的准确性，建议对原始数据进行打标记，防止遗漏或者重复记帐问题。经过交互以及监理方最后的协商讨论，这一方案被否定了，原因一是系统出错的可能性微乎其微，另外就是打标记会大大影响数据处理的速度和效率。

　　从应用系统建设方的角度，我们是倾向于以时间戳作为标记，一方面效率高，另外实现起来也容易。至于系统时间出错的情况，那是系统管理方面的问题，似乎与应用系统设计关系不大。“飞机还有可能从天上掉下来呢，不能因为飞机有危险，大家就不坐飞机吧。”

　　但是后来学习了信息系统风险安全知识，我的想法发生了变化。信息系统的安全威胁，来自自然事件风险和人为事件风险。人为事件风险又分为意外的人为事件风险和有意的人为事件风险。曾经有专家做过调研，大约65%的损失都出自无意的错误或者疏忽。错误或者疏忽在一个信息系统的生命周期中都是存在的。

　　许多应用程序，由于软件开发过程中缺乏足够的软件质量控制手段，软件没有经过严格的测试;另外，数据处理人员，系统管理人员以及开发人员都会经常发生一些无意的错误，造成直接或间接的后果，这些错误会形成一种威胁，甚至导致系统的崩溃。而在另外一些情况下，这些错误或疏忽就有可能使信息系统的某一部门成为这个系统的薄弱环节，从而有可能被各种威胁所利用而造成损失。

　　因此为了见小疏忽和错误发生的概率，需要在应用系统一层加强安全控制，尽量避免发生严重影响和破坏。从安全和效率上进行衡量，也应当是在安全性的基础上来考虑效率的问题。