《信息安全管理 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 张红旗 王新昌 杨英杰 唐慧林2 第11次课-系统开发安全管理2》由会员分享,可在线阅读,更多相关《信息安全管理 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 张红旗 王新昌 杨英杰 唐慧林2 第11次课-系统开发安全管理2(33页珍藏版)》请在金锄头文库上搜索。
1、信 息 安 全 管 理,Information security management,授课内容:系统开发安全管理2 授课对象: 主讲教员:唐慧林,本节内容,1,2,3,第六章 系统开发安全管理,1、系统选购安全,1.1 系统选型与购置,系统的适用性; 系统的开放性; 系统的先进性; 系统的商品化程度及使用的效果; 系统的可靠性及可维护性; 系统的性能价格比。,系统选型时,应考虑以下几个方面:,第六章 系统开发安全管理,1、系统选购安全,1.1 系统选型与购置,系统选购过程,系统使用者从业务角度提出所需系统的采购请求; 系统使用者所在部门的主管从业务的角度正式批准 这个采购请求; 组成系统选型
2、购置小组进行采购。,第六章 系统开发安全管理,1、系统选购安全,1.1 系统选型与购置,系统提供的文件,系统发展方针和方向,业务需求文件,预算文件,采购审核,标准化要求,系统的兼容性,选型购置小组的批准书,第六章 系统开发安全管理,1、系统选购安全,1.1 系统选型与购置,系统及供应商的选择,在具有同样功能的条件下,寻找价格最便宜的 供应商; 向名誉较好的系统供应商订货。,第六章 系统开发安全管理,1、系统选购安全,1.1 系统选型与购置,系统的送达,系统预安装,系统登记,系统储藏,第六章 系统开发安全管理,1、系统选购安全,1.2 系统选购安全控制,系统选购版本控制,版本控制规程,版本的构成
3、方法; 系统的标识方法; 系统的购置、存取、审批权限及其手续; 版本管理人员的职责; 版本升级和更新的审批权限及其手续,责任人及其职责; 定期审查版本的有效性和一致性。,第六章 系统开发安全管理,1、系统选购安全,1.2 系统选购安全控制,系统选购版本控制,系统标识,系统标识是指对各种系统成份,包括源代码、目 标代码、可执行代码以及各种文档进行标识。,第六章 系统开发安全管理,1、系统选购安全,1.2 系统选购安全控制,版本控制的实施,查明计算机上加载的全部系统; 查明并清除计算机上加载的非法系统和不予支持 的系统; 查明并清除计算机上加载的违反版权法和特许协 议的系统; 查明并清除本系统不予
4、支持的系统。,第六章 系统开发安全管理,1、系统选购安全,1.3 系统安全检测与验收,系统安全检查,系统检测记录,系统安装工作规程,系统安全检测的方法,第六章 系统开发安全管理,2、系统开发安全,2.1 系统开发应遵循的原则,主管参与,优化与创新,充分利用信息资源,实用和时效,规范化,有效安全控制,适应发展变化,第六章 系统开发安全管理,2、系统开发安全,2.2 系统开发生命周期,系统规划阶段,系统分析阶段,系统设计阶段,系统实现阶段,系统运行阶段,第六章 系统开发安全管理,2、系统开发安全,2.3 系统开发安全控制,可行性评估,目标和方案的可行性,实现技术方面的可行性,社会及经济可行性,操作
5、和进度可行性,第六章 系统开发安全管理,2.3 系统开发安全控制,项目管理,项目管理是在项目实施过程中对其计划、组织、人员 及相关数据进行管理和配置,进行项目实施状态的监视 和完成计划的反馈。,2、系统开发安全,第六章 系统开发安全管理,代码审查,保证代码的正确是一组程序员的共同责任。,发现这些不一致和逻辑错误;,2、系统开发安全,2.3 系统开发安全控制,第六章 系统开发安全管理,2、系统开发安全,程序测试,测试的目的有两个,一个是确定程序的正确性,另 一个是排除程序中的安全隐患。,2.3 系统开发安全控制,第六章 系统开发安全管理,2、系统开发安全,2.4 系统开发安全控制,恢复测试,程序
6、测试,渗透测试,强度测试,性能测试,第六章 系统开发安全管理,2、系统开发安全,2.4 系统开发安全控制,版本管理,开发版本,设计版本,冻结,冻结版本,冻结版本的副本,第六章 系统开发安全管理,版本管理,2、系统开发安全,2.4 系统开发安全控制,第六章 系统开发安全管理,2、系统开发安全,2.5 系统安全验证,安全验证,就是对系统的安全性进行测试验证,并评 价其安全性所达到的程度的过程。,第六章 系统开发安全管理,2、系统开发安全,2.5 系统安全验证,(1)系统鉴定,检测和发现任何形式的系统功能、逻辑或实现方面 的错误; 通过评审验证系统的需求; 保证系统按预先定义的标准表示; 保证已获得
7、的系统是以科学有效的方式开发的; 使系统更容易管理。,第六章 系统开发安全管理,2、系统开发安全,2.5 系统安全验证,(2)破坏性分析,安全方针,主体标识,客体标识,可查性,可信性,持续性,第六章 系统开发安全管理,2、系统开发安全,2.6 系统安全维护,改正性维护:诊断和改正在使用过程中发现的系统错误; 适应性维护:修改系统以适应环境的变化; 完善性维护:根据用户的要求改进或扩充系统使其更完善; 预防性维护 :修改系统为将来的维护活动做准备。,第六章 系统开发安全管理,2、系统开发安全,2.6 系统安全维护,系统安全维护的目标,在商业上提高产品的竞争力; 在技术上提高产品的质量; 对已有系
8、统进行全部或部分的改造; 保障和加强用户需求的实现; 提高系统的安全性能度。,第六章 系统开发安全管理,2、系统开发安全,2.6 系统安全维护,影响维护代价的技术因素,软件对运行环境的依赖性。,编程语言。,编程风格。,测试与改错工作。,文档的质量。,第六章 系统开发安全管理,2、系统开发安全,2.6 系统安全维护,影响维护代价的非技术因素,应用域的复杂性。,开发人员的稳定性。,系统的生命周期。,业务操作模式变化对系统的影响。,第六章 系统开发安全管理,2、系统开发安全,2.6 系统安全维护,安全维护注意事项,维护和更改记录,更改的清除,错误报告处理,老版本的备份和清理,第六章 系统开发安全管理,2、系统开发安全,2.6 系统安全维护,系统安全维护的步骤,报告错误,处理错误,处理错误报告,小结,第六章 系统开发安全管理,系统安全原则主要包括保护最薄弱的环节、纵深防 御、保护故障、最小特权以及分隔等。,系统选购通过版本控制、安全检测与验收等,保证 所选购系统的安全性。,系统开发安全管理通过可行性评估、项目管理、代 码审查、程序测试、可靠性管理及版本管理等,保证系 统开发的安全。,什么是系统安全性验证?什么是系统鉴定?什么是破坏性分析?,习题,第六章 系统开发安全管理,思考,第六章 系统开发安全管理,开源软件是否比商业软件安全?相比有何优势?,,Thank You !,
