软件和应用系统安全

《软件和应用系统安全》由会员分享，可在线阅读，更多相关《软件和应用系统安全（169页珍藏版）》请在金锄头文库上搜索。

1、软件和应用系统安全软件和应用系统安全管理管理 13.1 软件安全管理软件安全管理v软件安全是指保证计算机软件的完整性及软件不会被破坏或泄露，这里所说的软件包括系统软件、数据库管理软件、应用软件及相关资料。v如果软件发生故障或受到侵害，计算机系统就不能正常运行。 13.1.1 影响软件安全的因素影响软件安全的因素v影响计算机软件安全的因素很多，大体可分为技术因素和管理因素两大类。v从技术性因素来看，软件是用户进行信息传递和交流的工具；软件可存储和移植；软件可非法入侵载体和计算机系统；软件具有可激发性，v即可接受外部或内部的条件刺激或被激活；因此软件具有破坏性。 13.1.1 影响软件安全的因素影

2、响软件安全的因素v一个专门设计的特定软件可以破坏用户计算机内编制好的程序或数据文件，具有攻击性。v软件和信息很容易受到电脑病毒、网络蠕虫、特洛伊木马和逻辑炸弹等攻击性软件的侵害。v因此要保证软件的安全，就必须防范上述各类软件的入侵。 13.1.2 软件安全管理的措施软件安全管理的措施v软件管理是一项十分重要的工作，应当建立专门的软件管理机构，从事软件管理工作。v软件管理包括法制管理、经济管理及安全管理等各个方面，各方面的管理是相互联系的，彼此影响，因此各项管理需要综合进行。v对于企业来说，做好软件管理工作会带来巨大的经济效益，软件管理不善，则有可能造成经济损失。 13.1.2 软件安全管理的措

3、施软件安全管理的措施v要进行软件安全管理就必须制定有效的软件管理政策。每一个与计算机有关的单位都应制定一项或多项软件管理政策。v包括软件使用方面的政策、软件安全政策、保护软件的知识产权政策。v软件管理政策可以是一个单独的政策文件，也可以是涉及许多工作流程组成的多个文件的集合体，它们都是指导软件管理的重要文件。 13.1.2 软件安全管理的措施软件安全管理的措施v国际标准化组织起草了一个有关信息安全管理的国际标准，其中就包括软件的管理。v如何制定软件政策在我国还没有统一规定，在英国有一个英国国家标准英国信息安全标准BS7799信息安全管理规程，它强调软件政策要符合法律的规定。13.1.2 软件安

4、全管理的措施软件安全管理的措施v提高知识产权意识，需要对软件使用者进行为什么必须慎重地对待软件的教育。v一个软件的特许只授予使用者使用软件的权力，并不是授予使用者拥有软件的权力，v单位是软件的使用管理者，因此单位有责任保护软件的知识产权，强调这一点，在我国有着重要的意义。v软件的安全性和可靠性与软件的使用管理有关。软件的安全管理必须贯穿于软件使用的全过程。 13.1.2 软件安全管理的措施软件安全管理的措施v在选购软件时必须认真地从经济、技术等诸多角度对软件选型及购置进行审查。v在软件使用过程中，必须随时对软件进行安全检测和安全审查，v同时进行安全性跟踪，必须对软件进行经常性的定期维护，以保证

5、软件的正常使用。 13.1.2 软件安全管理的措施软件安全管理的措施v对软件的版本必须进行严格的管理和控制。v为了发挥软件的效益，必须在软件的整个使用期间（包括软件的购置、安装、储藏、获得、使用和处理）进行有效的管理。v软件安全管理的目的就是要确保软件的可靠性和安全性，v保证所有的软件是合法的，符合版权法和软件特许协议，v保证使用这些软件的系统的安全性。 13.1.2 软件安全管理的措施软件安全管理的措施v软件安全管理方面，应该强调以下几个方面的问题：v（1）正确地选择软件，必须使用正版软件，禁止使用盗版软件；v（2）采取防范措施，减少使用外来软件或文件可能产生的风险；v（3）安装检测软件和修

6、复软件，用它来扫描计算机，检查、预防病毒、修复被破坏的程序等 并使之制度化； 13.1.2 软件安全管理的措施软件安全管理的措施v（4）对于支持关键业务程序的系统软件和数据，应该进行定期检测；v（5）防止非法文件或对计算机系统中的软件或数据进行非法修改或调查；v（6）在使用软件前，应对来源不详的软件及相关文件或从不可靠的网站上下载的软件及有关文件进行必要的检查。 13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v在进行软件选型时，可考虑组织一个软件选型小组，由提出采购请求的部门及商业业务部门的有关人员组成。v1软件选型应考虑的因素软件选型应考虑的因素v（1）软件的适用性v考察软件是否

7、适合本系统的技术需要，是否适合计算机系统的规模等。v（2）软件的开放性v包括计算机操作系统的开发性，本软件与其他系统软件、应用软件的接口，是否适合用户的多种开发、应用平台的需要等。 13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v（3）软件的先进性v包括软件所使用的开发语言是否先进，软件是否有便利的开发工具，数据库的先进程度和通用程度等。v（4）软件的商品化程度及使用的效果v包括软件开发商的进一步开发的技术能力，软件开发商可能对用户提供的支持程度和软件使用的方便性。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v（5）软件的可靠性及可维护性v所谓软件的可靠性是指软件在指

8、定的条件下和在规定的时间内不发生故障的性能，v也就是软件在指定的条件下和规定的时间内，正常运行并执行其功能的性能。v所谓软件的可维护性是指软件在使用阶段发生故障和缺陷时，用户可以对它进行修正的性能，v一个可靠性和可维护性很低的软件，很难谈到使用中的安全性，因此应选用可靠性和可维护性高的软件。 13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v（6）软件的性价比v软件的性能价格比于整个具体的软件的购置、开发、使用费用有着密切的关系。v购置、开发和使用费用包括购买软件费用，购买后的开发、维护费用等。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v2软件选型、购置与储藏的实施软

9、件选型、购置与储藏的实施v从理论上来讲，需要一个标准的软件选型和购置过程，该过程应该包括下列步骤中一部分或全部。v（1）软件选购过程v软件使用者从业务角度提出所需软件的采购请求；v软件使用者所在部门的主管从业务的角度正式批准这个采购请求。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v（2）需提供的文件v在采购过程中需要提供下列文件中的部分或全部。v 软件发展方针和方向。符合发展需要的首要问题是软件的发展方向，这个问题主要应由信息技术部门考虑。v 业务需要文件。很明显，任何单位都想购买对推进业务有帮助的软件。 13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v 预算文件。

10、作为采购过程的一部分，软件选型小组必须有一个包括软件费用在内的充分的预算。v 采购审核。当确定软件的需求后，软件使用者或软件使用者所在部门主管必须审核该项目采购。v 标准化要求。由于产品的类型不同，因此需要符合的标准也不同。v 系统的兼容性。软件使用部门应以书面形式说明需要采购的软件是否与现有的系统匹配。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v 选型订购小组的批准书。v评估需要采购软件的实用性和可行性，提出是否批准购买的意见，以文件方式提供给上级主管领导等待批准。v当这些文件都已具备，并得到有关负责人批准后，就可以开始进行采购，并获得该软件。13.1.3 软件的选型、购置与

11、储藏软件的选型、购置与储藏v（3）软件及供应商的选择v单位所使用的软件一部分是从商业渠道采购得到的，而另一部分是定制的，v采购软件和采购其他商品的目标是一致的，目标如下：v 购买一个价廉物美的符合单位需求且价格合理的软件；v 符合采购单位订货要求，并符合该单位操作环境的软件；13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v 如果需要，可以审查该项采购是否合适；v 在预算经费范围之内。v如果采购工作是由单位内的一个部门负责集中进行，则能够得到最大的采购量的折扣，能更好地降低成本。v选择购置软件时，最好选择几种软件加以对比，经过比较后，再对初步选择的两三种软件进行功能测试。13.1.3

12、 软件的选型、购置与储藏软件的选型、购置与储藏v在确定采购软件的同时，应对软件供应商有所考虑，可在广泛的供应商中选择。选择软件的供应商时应遵循以下原则：v 在具有同样功能的条件下，寻找价格最便宜的供应商；v 向信誉较好的软件供应商订货；v 软件供应商可以提供所需要的软件和其他相关物品；v 软件供应商应该是一个专业的软件供应商；v 软件供应商可以提供完整的软件、软件的销售以及相应的技术支持服务；13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v在购置软件时，由于供应商企业规模不同，可提供的服务、支持能力可能会有不同。v即软件商对软件升级以提高需要的能力及支持人员的实际支持能力，需要把可

13、支持的程度与软件解决方案进行综合评定，v再从软件供应商选择一两种软件进行试用，把测试及试用情况报告本系统的技术负责人，由技术负责人来决定软件的选购。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v（4）软件的送达v所有采购的软件应该送到单位内部负责集中采购的部门，v以确保提出采购要求的部门可以得到所采购的软件，v绝对不允许将软件直接送到软件使用者手中或送到本单位以外的其他地方。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v（5）软件预安装v从软件送货的领域来说，应该立即送到所需部门进行预安装，应建立软件档案。v应该用存储控制和配置管理来加强对软件安装工作的管理，以确保

14、不会发生问题。v安装人员当然应该对安装软件的行为负责，并且应该认真进行记录（记录软件的预安装及下载情况）和检验。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v（6）软件的登记v软件使用者在进行软件预安装或正式安装的同时，v还应该负责更新软件登记数据库（该数据库应在建立软件管理系统时建立），记录预安装软件的情况。v在软件登记数据库中，应该记录下列数据：v 软件的出版者、软件的名称、软件的版本和软件的系列号；v 软件的许可证和软件介质存放的地方；v 软件使用者的姓名、合同细节和存放位置；13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v 计算机的财产编号，即安装软件的计算机

15、机构编号；v 装载软件者的姓名和装载软件的日期；v 其他相关信息。v用该数据库来进行软件管理，当发生软件纠纷时，可以以该数据库中的数据作为依据，进行调解和处理。v所以该数据库是软件管理中的重要部分，必须得到妥善的保护。 13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v（7）避免采购不合法的软件v在采购软件时，必须杜绝采购不合法的软件。如何避免采购不合法的软件，可注意以下几点：v 从声誉较好的软件提供商处购买软件；v 要求软件提供商提供一份书面的报价单，报价单上应列举出软件所需要的硬件配置、软件的技术规范和版本号；v 注意软件提供商报出的价格，价格太便宜的有可能是盗版软件；13.1.

16、3 软件的选型、购置与储藏软件的选型、购置与储藏v 需要软件提供商提供一张附有详细目录的发票；v 检查软件提供商是否具有销售软件的软件特许证明，保证购买的软件的合法性；v 不允许软件提供商在非特殊情况下直接将软件装入到计算机内；v 软件必须经过一段试用后才可正式购买； 13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏 3v 如果可能，应使用从软件生产商建议的软件提供商处购买软件。v当订购的软件送到软件收货点以后，应该对送来的软件进行检查，以阻止任何非订购的软件进入软件收货点，这对防止任何非订购软件或破坏性软件的进入十分重要。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v

17、另外一些软件可能有特殊的需要，因此妥善地储藏软件v以保证购买的软件不会收到潮湿的条件、磁场、静电等物理环境的损害是十分重要的。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v3软件安全检测与验收软件安全检测与验收v软件安全检测的目的是为了发现软件的安全隐患，并针对安全隐患对现行软件进行必要的改进，确保软件的安全。v一般说来，一旦软件安装到计算机上，有关人员就应该对该计算机所安装的软件定期进行检查，v将检查的结果记录下来，并根据检查结果，更新该单位的软件登记数据库。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v在任何单位内部都会发生工作人员流动的情况，软件管理部门应该随

18、时了解这种情况，否则将会产生混乱。v如果使用软件单位可能受到恶意的攻击，则应该安装扫描设备，对包装内的物品（如软件介质）进行检查、处理。v在任何情况下，应该对订单上所订购的物品与发货记录进行核对，以确保收到所有订购的物品均有正确无误的包装号。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v当对包装完成完整性检验后，应通知有关部门订购的软件已经到货。v被通知的部门应该包括：采购部门（以确认该订单不再是未交货的），会计部门（告诉他们订购的软件已经到货，同时应提供发票）；软件使用部门（由他们安排软件的收集和安装）。v在软件收货点进行检测的过程应该记录下来，该记录是对软件管理的第一次记录，

19、后将会进行一系列更详细的记录。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v在这些记录中，应该记录下列内容：v（1）软件产品的名称、版本号和系列号；v（2）收到的软件产品的数量；v（3）软件出版商的有关信息；v（4）收到订购软件的日期；v（5）有关购买合同的详细情况（如使用者、使用者所在部门和软件功能的等）。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v4软件安装工作规程软件安装工作规程v软件管理中的关键部分是不让未被授权人员进行软件的安装、移植或删除。v这一点对于以微机为基础的环境特别重要，因为在这个环境中，存在如下可能性：软件可能具有计算机病毒或其他恶意的代码；

20、v软件的安装几乎都是在软件使用环境中进行的，私自安装不良的软件或受限制的程序，可能对软件使用环境中的所有其他用户产生很大的影响。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v因此，政策和工作规程应该确保不允许用户自行加载没有经过批准的软件或从网上下载软件。v这些规定应该严格执行，可以采用物理的管理办法，v例如使用不能移动的介质驱动器或装置一个硬件管制系统，以防止加载未授权的软件。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v目前，很多机构对计算机系统和网络系统服务依赖性的增加使它们比较容易受到安全的影响，v很多机构由于商务贸易的关系使他们对其他计算机的访问机会增多，

21、也使他们更易受到安全的影响，v因此更应该强调工作人员必须严格执行软件安全政策。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v5软件安全管理环境软件安全管理环境v为了建立良好的软件安全管理环境，高级管理人员应该做到：v确定需要实施的良好的安全管理措施，并促使有关人员接受这些观念和措施；v制定符合安全需要的政策、规程和工作细则，供管理人员使用。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v没有成文的有关软件的安全政策和详细规定将产生下列缺陷：v（1）管理层不能严肃地对待软件安全问题；v（2）不能确保工作人员一定拥有有关软件安全的文件；v（3）不能保证对所采取的保护软件安

22、全的行动进行有效的监督；v（4）没有供工作人员和软件使用者的安全规定；v（5）没有可以实施的安全标准；v（6）当发生违背软件安全政策、侵犯公司利益的行为时，很难采取纪律措施。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v每一个工作人员包括临时工和合同工都应树立必须遵守安全政策的观念，并有义务遵守安全政策。v安全政策中必须说明工作人员可以做或不可以做的事，并要求他们签字确认，且把这些内容作为聘用工作人员的合同的组成部分。 13.1.4 软件安全检测方法软件安全检测方法v一般在正式加载软件前，用户应该对该软件进行检验或试验，以确定该软件与常见的应用软件、其他常用的软件之间的相容性。v

23、在更新、升级之前，也应该进行这种安全性的预验收。这种检验可以用双份比较法来进行。v双份比较法是将软件在计算机中安装两份，正常状态下只运行一份，另一份留着做备份。 13.1.4 软件安全检测方法软件安全检测方法v当正在运行的软件出问题影响计算机系统安全时，运行备份软件，将两者的结果进行比较。v如果备份软件的运行结果影响计算机系统安全，就说明该软件确实存在导致计算机系统故障的隐患；v检测软件安全的另一种方法是使用软件安全设置支持系统检测软件是否存在安全隐患。 13.1.4 软件安全检测方法软件安全检测方法v软件安全设置支持系统对软件安全隐患自动进行测试，并找出软件中存在的潜在问题。v一个能够有效地

24、进行软件安全检测的系统应该具备以下功能：v（1）自动生成测试数据；v（2）能够以人机对话方式进行软件安全性能的测试；v（3）能够提供相应的模拟程序；v（4）能够提供多种方式自动查询和比较不同方案的实施结果；v（5）使进行的测试标准化和自动化，并能够对测试结果自动进行分析。 13.1.5 软件安全跟踪与报告软件安全跟踪与报告v由于计算机数量的剧增，软件价格昂贵及软件的可携带性，软件跟踪自然成为软件管理的一个关键内容。v软件生产商和软件供应商所进行的软件跟踪的目的、方法与软件使用者所进行的系统或单位中进行的软件跟踪的目的、方法不完全相同。v这里介绍的软件跟踪主要是指软件使用者在指定的系统或单位中进

25、行的软件跟踪， 13.1.5 软件安全跟踪与报告软件安全跟踪与报告v对于软件使用者来说，软件的跟踪主要是通过良好的软件版本管理来实现的。v为了进行软件管理与软件跟踪，计算机系统应该指定一名技术官员v负责向上级主管部门提交本机构遵守软件管理政策和实施软件管理情况的报告，v同时对软件的使用情况进行管理和跟踪。 13.1.5 软件安全跟踪与报告软件安全跟踪与报告v他们负责组织和完善对系统所拥有的有效特许的各种软件的拷贝目录和拷贝数量，检查和清点以下内容：v（1）销毁或删除超出有效特许所规定的拥有的数量以外的拷贝。v（2）建立和保存适当的文档来记录首次和每年软件管理和清理的结果，并在以后跟踪新增加的软

26、件的拷贝安装与使用，存入档案，并将新增加的所有软件的特许证明文件放在一起。 13.1.5 软件安全跟踪与报告软件安全跟踪与报告 5v（3）将所有的软件购置申请集中起来。v（4）对安全系统所使用的计算机定期进行检查，以保证系统所使用的软件的合法性和安全性，并检查文档的完整性和正确性。v（5）为机构所有的工作人员制定培训计划以进行必须使用合法软件的教育，并对不使用合法软件的行为进行处罚。v（6）建立一套有效的接口程序，以确保计算机软件得到的正当管理使用和处置软件的政策和程序，尊重软件的知识产权，以确保计算机系统使用合法的计算机软件。 13.1.6 软件版本控制软件版本控制v软件版本控制是指对软件的

27、选型、购买、保存、存取和更新升级等情况进行记录、存档，并定期对软件版本进行检查。v软件版本控制的目的是保证所用的软件的合法性和安全性；保证所用的软件都是正版软件；保证软件运行过程中不会发生故障和软件错误。v计算机系统的高层管理人员必须定期参与版本控制活动。版本控制对计算机软件的开发和应用有很大帮助。 13.1.6 软件版本控制软件版本控制v1软件版本控制规程软件版本控制规程v要进行软件版本控制，必须按照软件版本控制规程进行。该规程主要规定以下内容：v（1）版本的构成方法；v（2）软件的标识方法；v（3）软件的购置、存取、审批权限及其手续；v（4）版本管理人员的职责；v（5）版本升级、更新的审批

28、权限及其手续；v（6）定期审查版本的有效性和一致性。 13.1.6 软件版本控制软件版本控制v2进行软件版本控制应具备的条件进行软件版本控制应具备的条件v为了保证版本控制能正常进行，必须具备以下条件：v（1）配备专门负责软件版本控制的工作人员；v（2）为负责软件版本控制的专职人员和所有有关人员提供必要的工作环境、版本控制工具等。v（3）对负责软件版本控制的专职人员和所有有关人员进行必要的有关软件版本控制的培训，并提供相关的软件。 13.1.6 软件版本控制软件版本控制v3软件版本控制的实施软件版本控制的实施v在开始进行软件版本控制时，必须收集本单位全部计算机所装全部软件、v所有的使用这些软件的

29、特许协议的原件及与这些软件有关的证明文件。v在以后定期检查软件版本时，应该完成以下工作：v（1）查明计算机上加载的全部软件；v（2）查明并清除计算机加载的非法软件和不予支持的软件；v（3）查明并清除计算机上加载的违反版本法和特许协议的软件；v（4）查明并清除本系统不予支持的软件。 13.1.6 软件版本控制软件版本控制v4软件标识软件标识v为了对软件的版本进行控制，应对所有的软件进行标识。v软件标识是指对各种软件成分，即源代码、目标代码、可执行代码以及各种文档进行标识。v要求软件中所有被标识的成分都是惟一的，并且是清晰的。 13.1.6 软件版本控制软件版本控制v软件的状态报告应该包括软件成分

30、的标识符、当前的版本号、软件的生成日期和生产者等。v若软件已经更新，则应写明进行更新的日期、更新的原因和进行更新的人员等。v5软件处理软件处理v一个单位要保护它所用软件的安全，则软件处理过程将是它必须做的最后一项工作，v要保证正确地进行这项工作，并使这项工作受到控制和监督，v这项工作就应该包括在软件安全管理的检查计划之内。v因为处理不好，就可能将隐患的巨大危险引发出来。 13.1.6 软件版本控制软件版本控制v当不再需要该软件时，首先应该从计算机中卸载该软件，以确保该软件不致丢失并释放所占的计算机硬盘空间。v当进行这项工作时，应该在软件登记数据库中进行记录，以显示该软件已被卸载。v当该软件从计

31、算机中卸载完毕后，应该再进行一次检查，以确保该软件确已从计算机中卸载。 13.1.6 软件版本控制软件版本控制v假如决定要处理软件，则应该把处理情况写成文字材料，并更新软件登记数据库，v原来的介质和特许文件应该从特许数据库记录储存的介质中取出，并加以销毁；v假定已决定要出售所用软件，则必须事先征得软件版权所有者的同意，v得到版权所有者的批准书，然后将原来的特许和介质同时交给新的软件拥有者。 13.1.7 软件使用与维护软件使用与维护v目前，由于我国的软件研制和开发还缺乏科学化制度，v也就是说软件的研制和开发技术尚未完全成熟，再加上软件的研制和开发还缺乏一套科学的管理制度，v因此开发出来的软件可

32、能会存在软件错误。v所以，在软件使用过程中特别要注意下面介绍的一些问题，以便进行软件的维护工作。 13.1.7 软件使用与维护软件使用与维护v1软件错误软件错误v软件错误是指由于软件中存在的缺陷，使软件的部分或全部功能中断或失败。v造成软件错误的原因主要是由于在软件设计过程中，软件提供者对于用户的要求理解得不确切、不完善，v对软件实现目标的方法、方式考虑不周到。v软件错误可分为设计、编制和调试中发生的错误及在软件移植、修改过程中发生的错误。 13.1.7 软件使用与维护软件使用与维护v软件错误的来源有以下两种：v（1）设计、编写代码和调试过程中发生的错误；v（2）软件移植、软件修改过程中发生的

33、错误。v软件错误是使软件发生故障的根本原因，软件错误有以下基本特征：v（1）再现性。若程序中不含随机函数变量，那么只要包含相同的输入，错误就可再现。 13.1.7 软件使用与维护软件使用与维护v（2）稳定性。有些软件错误在相当长的时间内具有相对稳定性。除程序中有随机变量和函数外，不可能在某时刻表现为这个错误，在另一时刻表现为那个错误或无错。v（3）波动性。波动性是指程序中某处错误对程序的某个地方有影响，可以传播到其他地方影响其他程序。v（4）可传播性。在程序中某处可以有目的地安排一些可以产生系统错误的程序段，让它在特定的条件或特定的时间产生程序错误，这就是人们常说的“特洛伊木马”法、逻辑炸弹法

34、。v（5）可分类性。任一错误对某种特性总是存在某种程序的类属关系，这就决定了软件的可分类性。 13.1.7 软件使用与维护软件使用与维护v（6）可发现性。一切软件错误迟早会被发现的，或者在程序开发过程中发现，或者利用精心设计的测试程序加以发现，也可能在实现运行中发现。v（7）可掩盖性。若出现两个以上的条件，那么当分支一发生错误，就可以抑制程序其他地方的错误，或程序中某处的致命错误导致系统非正常中止而屏蔽了后续程序中的错误。 13.1.7 软件使用与维护软件使用与维护 9v（8）负载特性。在负载增加时，错误出现的频率便增加。有些错误则只在高负载时发生。高负载比低负载更容易使系统发生故障。v（9）

35、危害向导性。有的软件错误可以容忍、可以默认，有的软件错误却严重到导致系统崩溃。v（10）随机发生性。有些软件错误的出现具有很大的随机突发性，这往往是由于软件存在多处错误所致。 13.1.7 软件使用与维护软件使用与维护v2恶意代码恶意代码v恶意代码可以通过网络和软盘上的文件、软件入侵系统，v如果不采用适当的安全措施，那么可能只有在恶意代码发作并报告后，才能发现它。v恶意代码的类型有：病毒、蠕虫、特洛伊木马等，它们可以携带在可执行软件、数据文件、网页上的活动内容中，v通常可以通过软盘、便携式媒体、电子邮件、网络下载进行传播。 13.1.7 软件使用与维护软件使用与维护v通过以下措施可以有效防止恶

36、意代码。v（1）扫描装置。专门的扫描软件能检测出各种恶意代码，并能将其消灭。不过，由于新的恶意代码不断出现，因此扫描装置并不能保证检测出所有的恶意代码。v（2）完整性检查。在很多时候，必须采取其他形式的安全措施，以增大扫描装置所提供的安全性。完整性检查器是可以用来防止恶意代码的技术性安全措施的有机组成部分。 13.1.7 软件使用与维护软件使用与维护v（3）可移动媒体的传递控制。如果不对可移动媒体的传递进行控制，就会使计算机系统受恶意代码攻击的风险加大。通过专业软件方式和程序上的安全措施对媒体的传递进行有效的控制。v（4）管理程序方面的安全措施。应为使用人员和管理人员制定指导方针，这些指导方针

37、概括了能使系统被恶意代码攻击的可能性降至最低的程序和操作规定。 13.1.7 软件使用与维护软件使用与维护v3软件的可靠性和可维护性软件的可靠性和可维护性v软件的可靠性是指软件在特定的条件及规定的时间内不发生任何故障且v可以正常地运行，完成其规定的功能，不发生差错。v软件的可靠性与软件错误、软件故障和软件功能无效等的概率有关。 13.1.7 软件使用与维护软件使用与维护v软件错误主要发生在以下几个方面：v（1）软件设计、编制和调试中发生的错误；v（2）软件移植、修改中产生的错误；v（3）参数设置有误，使算法的结果不够精确；v（4）数据结构的描述有缺陷造成与程序中所用的数据结构不一致；v（5）程

38、序中出现未在测试条件范围内的断点； 13.1.7 软件使用与维护软件使用与维护 13v（6）硬件故障所造成的软件错误；v（7）外界或内部实体环境存在的干扰，造成软件错误；v（8）操作系统或应用系统环境发生变化时，软件因不能适应变化而出现的错误；v（9）用户操作性错误造成软件被破坏或产生操作性错误。 13.1.7 软件使用与维护软件使用与维护v软件的可维护性是指软件维护的难易程度。它与软件的可理解性、可测试性和可修改性等因素有关。v可通过对软件组成部分（即软件文档、软件源代码和计算机支持资源）进行综合评价来评价软件的可维护性。v软件维护任务可分为改正性维护、适应性维护和提高性维护等。v当软件发生

39、故障时，首先应该分清是系统软件的故障还是应用软件的故障。 13.2 应用系统安全管理应用系统安全管理v13.2.1 应用系统安全概述应用系统安全概述v1应用系统分类应用系统分类v根据系统完成目标及类型的不同，系统服务的对象也不同。应用系统主要分为以下几种类型。v（1）业务处理系统：业务处理系统是支持或替代工作人员完成某种具体工作业务所使用的系统，如POS业务终端、自动柜员机等，v其处理方式分为批处理和实时处理（也叫做联机处理）。13.2.1 应用系统安全概述应用系统安全概述v（2）职能信息系统：职能信息系统是应用于完成部门职能工作所使用的系统，如市场信息系统、财务信息系统等。v（3）组织信息系

40、统：组织信息系统是应用于行政管理部门或某一行业领域的信息管理系统，如政府机关信息系统等。v（4）决策支持系统：决策支持系统是一个含有知识型、智能化处理程序的系统，v用于支持、辅助用户的决策管理，如专家系统等。 13.2.1 应用系统安全概述应用系统安全概述v2应用系统开发生命周期应用系统开发生命周期v应用系统的整个开发过程划分为5个阶段，每个阶段都会有相应的期限，直至系统正式安装并实际应用。v当一个系统需要进行超出维护概念的应用更改时，会因设备更新和新技术的产生而要求系统重置，v或者用户需求的重大改变和调整，这预示着原应用系统的生命周期趋于结束。 13.2.1 应用系统安全概述应用系统安全概述

41、v应用系统开发生命周期各阶段的主要工作如下。v（1）系统规划阶段：是根据用户的系统开发需求报告，进入用户工作的实体环境，进行初步调查，明确需求问题，v确定系统实现目标和总体结构，合理划分各个阶段和实施进度，进行可行性研究，完成系统的目标规划报告。 13.2.1 应用系统安全概述应用系统安全概述v（2）系统分析阶段：具体任务是分析用户的业务工作流程，分析用户数据信息与流程，分析系统组成功能及数据关系，v提出系统的物理设计和逻辑设计，完成系统的实施方案和详细的需求分析报告。 13.2.1 应用系统安全概述应用系统安全概述v（3）系统设计阶段：最终完成系统总体结构设计、编码设计、数据结构设计、输入输

42、出设计、模块结构和功能设计，同时根据系统的总体设计要求，配置系统所需的硬件环境，完成系统的详细技术设计报告。v（4）系统实施阶段：由程序员进行编程工作，用户进行数据准备，培训用户系统管理人员和操作者，投入试运行，编制用户手册，完成系统测试报告。 13.2.1 应用系统安全概述应用系统安全概述 17v（5）系统运行维护阶段：系统开发者完成系统运行最终报告，同时提供系统维护管理技术及方法，提供系统运行安全标准和要求，安装并启动系统。v用户进行应用系统的日常运行管理、评价、监理、安全等工作，实时分析系统运行结果，对系统进行日常维护和局部调整。 13.2.1 应用系统安全概述应用系统安全概述v3应用系

43、统的安全问题应用系统的安全问题v计算机应用系统在实际使用中，存在一些潜在的社会问题和道德问题。v（1）计算机的浪费和失误v计算机的浪费和失误是造成计算机问题的一个主要原因，也是系统安全管理的一个方面。v计算机浪费存在于各类用户中，会直接影响用户的投入产出效益比。v导致浪费的主要原因是用户对应用系统和资源的管理不善。 13.2.1 应用系统安全概述应用系统安全概述v计算机失误主要是指人为因素造成的系统失败、错误和其他与系统有关的计算机问题。v（2）计算机犯罪v利用计算机犯罪比较独特，难以防范，它具有双重性，计算机既是犯罪的工具又是犯罪的目标。 13.2.1 应用系统安全概述应用系统安全概述v（3

44、）信息系统的道德问题v信息技术对社会影响所产生的道德问题主要涉及隐私问题、正确性问题和存取权问题等。v在所有这些方面，信息技术均有有利的一面和不利的一面。v作为管理者或安全负责人，应当使负面影响降低到最小，而使受益尽量提高。 13.2.1 应用系统安全概述应用系统安全概述v道德问题和法律问题不同，法律问题一方面要加强法律观念教育，一方面要严格按照法律条文执行；v道德问题只能通过长期的潜移默化的教育来实现，经过长期的发展形成一致观念后，再通过立法以法律形式固定下来。v在处理信息系统以及其他信息技术所带来的道德问题时，有5项道德原则。v 匀称原则：信息系统所采取的新技术及其他信息技术所带来的利益必

45、须超过其损坏程度或风险程度。 13.2.1 应用系统安全概述应用系统安全概述v 获许原则：应事先知道信息系统所采用的新技术及其他信息技术对社会及个人的影响，v不损坏他人利益，并同意接受风险。v 公正原则：必须公平地分配利益，并根据利益分配的大小，合理地承担风险。 13.2.1 应用系统安全概述应用系统安全概述v 风险最小原则：即使以上原则均被执行接受，信息系统所采用的新技术及其他信息技术的实现也应尽可能地避免不必要的风险。v 不冲突原则：是指上述原则的执行不能与现行法律发生冲突或违法。 13.2.1 应用系统安全概述应用系统安全概述v4应用系统安全管理的实现应用系统安全管理的实现v应用系统安全

46、管理的内容主要包括运行系统的安全管理（保证计算机系统硬件环境和相关实体环境安全）、v软件的安全管理（保证系统软件、开发软件及其他与系统相关应用软件的安全）、关键技术管理（保证系统开发及应用关键技术安全保密）和人员的安全管理。 13.2.1 应用系统安全概述应用系统安全概述v应用系统安全管理涉及系统的各个方面，根据安全管理任务及管理对象的不同，系统安全管理又可分为技术管理和行政管理。v技术管理主要有运行设备及运行系统环境的安全、软件应用管理、信息密钥的管理和关键技术管理。v行政管理主要是指安全组织机构、责任和监督、系统实现和运行安全、规章制度、人员管理、应急计划和措施等。 13.2.1 应用系统

47、安全概述应用系统安全概述v应用系统安全管理的主要措施包括安全防范设施和安全保障机制，以有效降低系统风险和操作风险，并预防计算机犯罪。v建立安全管理组织，负责制定计算机信息技术安全管理制度，v广泛开展计算机信息技术安全教育，定期或不定期进行系统安全检查，保证系统安全运行。 13.2.1 应用系统安全概述应用系统安全概述v要有专门的安全防范组织和安全员，同时建立相应的健全的计算机系统安全委员会、安全小组。v安全组织成员应当由主管领导、公安、保卫、计算机系统管理、人事、审计等部门的工作人员组成，必要时可聘请相关部门的专家参与。v安全组织也可成立专门的独立机构，对安全组织的成立、成员的变动等应定期向计

48、算机安全监察管理部门报告。 13.2.1 应用系统安全概述应用系统安全概述v总之，保障系统的安全是一项技术性相当强的管理工作。它集技术与管理于一体，两者缺一不可。v根据计算机信息系统安全专家的观点，技术和管理的比例为37，即三分技术，七分管理。v所以，我们既不能脱离技术，也不能一味地依赖技术，不能认为只要花大价钱安装最好的软件，就可以高枕无忧。 13.2.2 系统启动安全审查管理系统启动安全审查管理v应用系统安全的具体含义和侧重点会随着使用者或观察者的角度变化而不断变化。v从系统开发者的角度来说，应用系统安全就是如何保证开发过程中所应遵循的原则是否实现，是否满足用户的需求。v从用户的角度来说，

49、应用系统安全就是如何保证有关用户利益的信息在各种访问操作中受到保密性、完整性的保护。13.2.2 系统启动安全审查管理系统启动安全审查管理v应用系统安全的本质是保护系统的合法操作和正常运行，保护系统信息内容的完整性，v在安全期内保证信息在交换、存储时不被非法访问，保护用户的利益和隐私。13.2.2 系统启动安全审查管理系统启动安全审查管理v安全管理机构是系统启动安全管理的基础，是进行系统启动安全管理的重要保证。v1应用系统开发管理应用系统开发管理v应用系统开发的目的是为了创建一个具有一定性能的计算机应用系统，用于完成或辅助用户的关键任务，支持用户任务目标实现。13.2.2 系统启动安全审查管理

50、系统启动安全审查管理v应用系统开发应遵循以下原则：v（1）主管参与。系统的开发是一项复杂庞大的工作，它涉及各个方面，包括开发过程中的安全问题，领导组织开发力量并协调各方面的关系，决策开发方案等。v（2）优化与创新。系统的开发必须根据实际情况分析研究先进的管理模式和处理过程，按科学管理的具体要求加以优化与创新。v（3）充分利用信息资源。减少系统的输入输出操作，共享信息资源，深层次开发、加工信息，充分发挥系统信息的作用。13.2.2 系统启动安全审查管理系统启动安全审查管理 19v（4）实用和时效。要求系统开发从方案设计到最终应用都是实用的、及时的、有效的。v（5）规范化。要求开发按照规范标准，工

51、程化、结构化的技术与方法进行。v（6）安全控制。要求参与开发人员提高安全意识，加强保密工作，防止关键技术、关键信息的泄露，及时纠正处理开发过程中存在的违法、违纪事件。v（7）发展变化。要求系统开发充分考虑到未来可能发生的变化，使系统具有合理的、科学的发展性，且具有一定的适应性。13.2.2 系统启动安全审查管理系统启动安全审查管理v2可行性评估分析可行性评估分析v可行性评估分析是指在当前实体环境下，应用系统开发工作必须具备的资源和条件，评估其是否满足系统目标的实现。v应用系统开发可行性研究包括目标和方案、实现技术、经济投入、社会影响4个方面。13.2.2 系统启动安全审查管理系统启动安全审查管

52、理v可行性评估分析是应用系统实施安全管理必须遵循的最基本的条件。它包括如下一些内容。v（1）目标和方案的可行性v目标和方案的可行性是指系统目标是否明确，是否符合实际，能否实现，实施方案是否切实可行，v是否满足用户的实际及发展要求等，此项研究也就是评估分析系统的逻辑设计。13.2.2 系统启动安全审查管理系统启动安全审查管理v（2）实现技术方面的可行性v实现技术方面的可行性就是根据目标和方案的评估分析，依据现有的技术条件，研究所提出的要求能否达到。v此项研究完成系统物理设计的评估分析。一般说来，实现技术方面的可行性评估分析包括如下几个方面：v 人员和技术力量：现有人员及技术力量能否承担系统的开发

53、工作，能否利用其他有实力的开发单位或技术人员。13.2.2 系统启动安全审查管理系统启动安全审查管理v 组织管理：能否合理地组织人、财、物和技术进行实施，现有的管理制度、措施能否满足系统开发的要求。v 计算机软、硬件：计算机硬件设备及相关实体环境、性能指标、运行安全能否保障，v能否充分发挥效益，各种软件是否安全可靠，开发及使用技术能否掌握等。13.2.2 系统启动安全审查管理系统启动安全审查管理v（3）社会及经济可行性v社会方面的可行性是指一些社会各方面的因素或者人的因素对应用系统的影响，如法律条例、管理制度、安全保密等，v经济方面的可行性评价项目在财务上是否有意义，评价其实现所带来的经济利益

54、。v（4）操作和进度可行性v操作可行性主要是通过逻辑和主观上的考虑，评价项目能否实施于客观现实中；v进度可行性评价项目完成所要求的合理时间期限。 13.2.2 系统启动安全审查管理系统启动安全审查管理v3项目管理项目管理v项目管理是在项目实施过程中实现其计划、组织、人员及相关数据的管理与配置，v进行项目运行状态的监视，完成计划的反馈。v项目管理是建立在开发过程管理基础之上的一种管理。v项目管理应建立科学的管理模型，利用模型反映提供开发过程活动的状态信息。13.2.2 系统启动安全审查管理系统启动安全审查管理v项目管理即对系统的项目组织进行管理，包括项目自身信息的定义、修改以及与项目相关的信息，

55、如状态、组织等信息的管理。v项目管理模型的组成包括目标和任务的描述、研制阶段的状态，项目管理模型应提供人员、项目研制开发过程。v项目管理包括如下基本内容：v（1）项目范围管理v是为了实现项目的目标，对项目的工作内容进行控制的管理过程。它包括范围的界定，范围的规划，范围的调整等。13.2.2 系统启动安全审查管理系统启动安全审查管理v（2）项目时间管理v是为了确保项目最终的按时完成的一系列管理过程。它包括具体活动界定，活动排序，时间估计，进度安排及时间控制等项工作。v（3）项目成本管理v是为了保证完成项目的实际成本、费用不超过预算成本、费用的管理过程。它包括资源的配置，成本、费用的预算以及费用的

56、控制等工作。v（4）项目质量管理v是为了确保项目达到客户所规定的质量要求所实施的一系列管理过程。它包括质量规划，质量控制和质量保证等。13.2.2 系统启动安全审查管理系统启动安全审查管理v（5）人力资源管理v是为了保证所有项目关系人的能力和积极性都得到最有效地发挥和利用所做的一系列管理措施。它包括组织的规划、团队的建设、人员的选聘和项目的班子建设等一系列工作。v（6）项目沟通管理v是为了确保项目的信息的合理收集和传输所需要实施的一系列措施，它包括沟通规划，信息传输和进度报告等。13.2.2 系统启动安全审查管理系统启动安全审查管理v（7）项目风险管理v涉及项目可能遇到各种不确定因素。它包括风

57、险识别，风险量化，制订对策和风险控制等。v（8）项目采购管理v是为了从项目实施组织之外获得所需资源或服务所采取的一系列管理措施。它包括采购计划，采购与征购，资源的选择以及合同的管理等项目工作。13.2.2 系统启动安全审查管理系统启动安全审查管理 23v（9）项目集成管理v是指为确保项目各项工作能够有机地协调和配合所展开的综合性和全局性的项目管理工作和过程。v它包括项目集成计划的制定，项目集成计划的实施，项目变动的总体控制等。13.2.2 系统启动安全审查管理系统启动安全审查管理v4加强系统开发可靠性管理加强系统开发可靠性管理v加强系统开发可靠性主要是在系统开发的各个环节中，建立以可靠性为核心

58、的质量标准。v这个质量标准包括实现的功能、可靠性、可维护性、可移植性、安全性和吞吐率等。v质量标准要求在软件项目规划和需求分析阶段就要建立。13.2.2 系统启动安全审查管理系统启动安全审查管理v根据检测系统的目标及结果，也可将质量标准分为动态和静态两种。v静态质量通过审查开发过程的成果来确认，主要包括设计结构化程度、运行及操作简易程度、结果完整程度等内容。v动态质量是通过检测运行状况来确认的质量，主要包括平均故障间隔时间、软件故障修复时间、可用资源的利用率和系统运行安全保障率等。13.2.2 系统启动安全审查管理系统启动安全审查管理v根据系统开发确定的质量标准，开发过程管理首先要明确划分各开

59、发阶段，并通过实时质量检测来确保差错能及时排除，保证各阶段开发的质量；v其次，在各开发过程中实施严格的进度管理，撰写阶段质量评价报告，根据评价报告及现实反映出的情况进一步调整质量标准。v在建立质量标准之后，应设计质量报告及评价表，同时要求在整个开发过程中严格实施并及时做出质量评价，填写报告表。13.2.2 系统启动安全审查管理系统启动安全审查管理v对影响质量的管理、实现和验证工作的所有人员，v特别是对需独立行使权力开展下述工作的人员应规定其职责，这些工作包括：v（1）采取措施，防止出现不合格产品；v（2）确认和记录产品质量问题；v（3）确认规定的渠道，提出、采取或推荐解决办法；v（4）验证解决

60、办法的实施效果；v（5）对不合格产品的进一步加工、交付或安装采取必要的控制措施，直到缺陷或不满意的情况得到纠正。13.2.2 系统启动安全审查管理系统启动安全审查管理v5应用软件开发中面临的问题及解决方法应用软件开发中面临的问题及解决方法v（1）软件开发中面临的问题v 在有限的时间、资金内，要满足不断增长的软件产品质量要求；v 开发的环境日益复杂，代码共享日益困难，需跨越的平台增多；13.2.2 系统启动安全审查管理系统启动安全审查管理v 程序的规模越来越大；v 软件的重用性需要提高；v 软件的维护越来越困难。v（2）解决方法v要解决软件开发过程中的诸多问题，v目前业界认可的方法即是采用工程学

61、的原理及方法来指导软件开发的全过程。v这是一门综合学科，即软件工程学。13.2.2 系统启动安全审查管理系统启动安全审查管理v6应用软件开发版本管理应用软件开发版本管理v应用软件开发版本管理是提高应用软件可靠性的重要措施，也是加强应用软件开发关键技术安全保密的主要措施之一。v在应用软件生命周期内，从开始设计到最后投入使用，每个设计版本都会经历若干个阶段。v因此在设计工作过程管理中，每一个设计版本都会分别对应某一个工作状态，不同状态的版本具有不同的使用控制权限。13.2.2 系统启动安全审查管理系统启动安全审查管理v版本管理就是要反映整个的设计过程、设计历程的追诉、设计方案的比较和设计方案的多种

62、选择等。v（1）管理的内容v版本反映整个的设计过程。软件的设计过程分为不同的设计阶段，这些设计阶段和它们之间的相互关系形成了软件设计生命周期。13.2.2 系统启动安全审查管理系统启动安全审查管理v（2）版本的管理v按产生的时间顺序确定版本。在具体的版本管理中，要以版本产生的先后次序来管理设计阶段产生的版本。v当产生一个新版本时，应自动地或由开发者按标准要求赋予一个版本号。v一个软件的版本号应按版本产生的时间顺序赋值，所赋值不能再用。13.2.2 系统启动安全审查管理系统启动安全审查管理v版本按开发状态划分如下：v 当前版本：软件有且只有一个具有惟一标识的，并且是用户正在使用的版本，就是当前版

63、本。v 有用版本和无用版本：有用版本是指可以使用的或正在使用的版本；v无用版本是指因不能适应系统环境的变化且已不具备再次开发意义的不能使用的版本。v 归档版本：是指对正在使用的版本所做的归档保存。13.2.2 系统启动安全审查管理系统启动安全审查管理v软件的设计过程是软件由一个状态向另一个状态转变的过程。软件的版本以及版本的状态反映设计过程的变迁。v在具体开发过程管理中，通常划分为4种状态：工作状态、提交状态、发放状态和冻结状态，对应的版本称为工作版本、提交版本、发放版本及冻结版本。分别解释如下。v 工作版本。工作版本是指正处于设计进行阶段的版本，是设计者正在进行设计开发的版本，是还不能实用的

64、或还没有配置好的版本。13.2.2 系统启动安全审查管理系统启动安全审查管理v 提交版本。提交版本是指设计已经完成，需要进行审批的版本。v 发放版本。提交版本通过所有的检测、测试和审核人员在线审核、验收后，变为发放版本。v发放版本又称为有用版本。13.2.2 系统启动安全审查管理系统启动安全审查管理v版本一旦被发放，对它的修改就被禁止，发放后的版本应归档存放，v这时不仅其他设计人员、即使版本的设计者也只能查询，作为进一步设计的基础，不能修改。v 冻结版本。冻结版本是指设计达到某种要求，在某一段时间内保持不变的版本。13.2.2 系统启动安全审查管理系统启动安全审查管理v7应用软件的安全认证应用

65、软件的安全认证v在应用软件的设计和实现过程中以及完成以后，就需要对应用软件的安全性做出评价，v以确定其是否可靠，达到了怎样的可信程度，是否适合在计算机系统环境和应用系统环境中运行时用，是否完全达到了用户的需求。v所谓安全认证，就是对应用软件的安全性做测试验证，并评价其安全性所达到的程度的过程。v应用软件安全认证的方法一般有两种，分别为软件鉴定和破坏性分析。13.2.2 系统启动安全审查管理系统启动安全审查管理v（1）软件鉴定v软件鉴定目标如下：v 检测发现任何形式的表现软件功能、逻辑或实现方面的错误；v 通过评审验证软件的需求；v 保证软件按预先定义的标准表示；v 已获得的软件是以科学有效的方

66、式开发的；v 使软件更容易管理。13.2.2 系统启动安全审查管理系统启动安全审查管理v鉴定方法通常采用以下几种：v 需求检验：它通过对应用软件源码的检查和对运行状态的检查，证实应用软件确实达到了用户需求。v 设计和编码检验：检验应用软件的设计和编码是否有错误或缺陷。v 单元和集成测试：由独立的测试人员对应用软件的正确性、安全性做完全测试，测试数据应能检查每一条执行路径、每一个条件语句、每一种输入输出状态即每个变量参数的变化。13.2.2 系统启动安全审查管理系统启动安全审查管理v软件测试是软件开发的一个重要环节，同时也是软件质量保证的一个重要环节。v所谓测试就是用已知的输入在已知环境中动态地

67、执行软件，测试一般包括单元测试、模块测试、集成测试和综合测试。v如果测试结果与预期结果不一致，则很可能是发现了软件中的错误。v测试过程中将产生下述基本文档：13.2.2 系统启动安全审查管理系统启动安全审查管理v测试计划：确定测试范围、方法和需要的资源等。v测试过程：详细描述与每个测试方案有关的测试步骤和数据（包括测试数据及预期的结果）。v测试结果：把每次测试运行的结果归入文档，如果运行出错，则应撰写产生问题的报告，并且必须调试解决所发现的问题。13.2.2 系统启动安全审查管理系统启动安全审查管理v有关软件测试的内容还可进一步参阅软件工程方面的书籍。v（2）破坏性分析v破坏性分析是把一些在应

68、用软件使用方面具有丰富经验的专家和一些富有设计经验的专家组织起来，对被测试的应用软件做安全脆弱性分析，专挑可能的弱点和缺点。v一般情况下，应用软件最薄弱的部分是输入输出处理、数据信息管理、误操作与系统掉电等。进行破坏性分析，往往会发现这些问题。13.2.2 系统启动安全审查管理系统启动安全审查管理v在实践中，常常要求应用软件具备以下安全原则：v 安全方针：应用软件应有明确的、详细定义的安全方针和目标。v 主体标识：每个主体必须有惟一的可信标识，以便主体在用户访问时进行合法性检查，v 客体标识：每个客体都必须附有标记。指明该客体的安全级别，以便主体对客体的访问进行控制。13.2.2 系统启动安全

69、审查管理系统启动安全审查管理v 可查性：应用软件应保存有关安全的完整、可靠的记录。v 可信性：必须有安全机制保证应用软件安全控制的实施，而且应用软件应具有能够对这些安全机制的有效性做出评价的功能。v 持续性：实施安全的机制必须能持续工作，防止未经许可的更改。13.2.2 系统启动安全审查管理系统启动安全审查管理v8开发质量鉴定开发质量鉴定v对承担软件开发、供应和维护的组织依据ISO9000系列认证标准或软件开发能力成熟度模型（CMM）标准鉴定检查其所能达到的质量保证。v（1）ISO9000认证系列v鉴定的目的是在ISO9000系列认证标准的基础上进一步开展对质量系统的检查，同时确保不同的认证单

70、位在进行ISO9000认证时具有相同的标准。v鉴定是一个过程，其中职权的分配是从政府（或其他权力机构）到供应商自上而下的可控过程，此过程对用户是透明的。13.2.2 系统启动安全审查管理系统启动安全审查管理v鉴定权限通常用专门的识别符号或标记来表示。鉴定单位由政府授予相应的权力，鉴定单位在本身通过了按照相应的权限标准的评估之后，才能确认为认证单位，认证单位可确认供应商的质量保证等级。v对于客户来说，也可以用此方式选择供应商。这样就能确保软件质量，保证系统能够满足实际规定的标准。v典型的鉴定方案要求认证单位本身具有有效的质量保证系统，特别是具有以下3个方面的条件：v 鉴定者要有资格证明；v 鉴定

71、工作除了按照ISO9000外，还要根据相关的指导方针；13.2.2 系统启动安全审查管理系统启动安全审查管理v 认证和监视的规模和频率要满足最小化标准。vISO9001简要地列出了当确保软件生存周期的各个阶段的特殊需求已经满足时，使用质量系统时应满足的需求，各个阶段包括设计、开发、生产、安装和维护等活动。v用适合软件开发和维护的观点来解释需求，需求可以分成如下具体项目：v 管理职责；v 质量系统；v 合同概述；13.2.2 系统启动安全审查管理系统启动安全审查管理v 设计及文档控制；v 采购及采购提供的产品；v 产品的标识和可追溯性；v 过程控制；v 检查和测试；v 检查测量和测试设备；v 检

72、查和测试情况。13.2.2 系统启动安全审查管理系统启动安全审查管理v对不合格产品的控制有如下活动：v 修改活动；v 交付、存储、包装和运输；v 质量记录；v 内部质量检查；v 培训与服务；v 统计技术。13.2.2 系统启动安全审查管理系统启动安全审查管理vISO9004-2给出为客户提供服务的机构，建立和执行质量系统的指导方针。这些客户对软件产品的内容了解的程度不等，因此标准为他们提供的软件产品的结构及所使用的概念和原理可以适用于或大或小的机构。此标准的原则如下：v 管理人员负责制定质量政策和目标，以确保规定的职责、权力、通信联系及组织评审能够实现。v 管理者必须按照计划提供足够的合理的资

73、源，以执行质量系统和达到质量目标，包括培训人员和提供物资资源。13.2.2 系统启动安全审查管理系统启动安全审查管理v 质量系统必须对影响质量的所有操作过程进行足够的控制，必须加强预防措施，并能在发现错误时进行修改。v 所采取的每个步骤必须在用户和维护部门的人员之间建立起有效的联系和交流，这种联系和交流对于用户简单维护质量是有决定作用的。v 标准使用了服务质量回路的概念来描述服务质量系统的操作单元，并且规定了如下各部分内容：v开拓市场的过程；v设计过程；v提供服务的过程；v服务执行情况的分析和改进。13.2.2 系统启动安全审查管理系统启动安全审查管理vISO9000-3的内容是将ISO900

74、1在组织开发、供应和维护方面的内容修改成适合软件应用的标准。它将项目内容分成3个主要的类型，包括总框架、生存周期的活动以及完成和集成整个系统的维护支持活动，这些类型将在建立质量系统时确定。3个主要类型的大致内容如下：v 总框架：框架涉及管理职责、质量系统、内部质量系统审计和修改工作。v 生存周期的活动：生存周期的活动包括合同概述、采购需求、开发计划、质量设计和运行、测试和验证、验收过程和维护过程。13.2.2 系统启动安全审查管理系统启动安全审查管理v 支持和维护活动：支持和维护活动必须在生存周期中确定，它们包括配置管理、文档控制、质量记录、测量、规则，实践和约定、工具和技术、采购、包含的外部

75、软件产品、培训。v（2）软件开发能力成熟度模型（CMM）v在工程篇部分我们介绍了系统安全工程能力成熟度模型（SSE-CMM），在此我们将简要介绍软件开发能力成熟度模型（CMM），读者可以加以比较进行阅读，以便进行区别并加强理解。13.2.2 系统启动安全审查管理系统启动安全审查管理v这是一种用于评价软件承包能力并帮助其改善软件质量的方法，也就是评估软件能力与成熟度的一套标准，它侧重于软件开发过程的管理及工程能力的提高与评估。vCMM标准共分5个等级，从第1级到第5级分别为初始级、可重复级、定义级、管理级和优化级。从低到高，软件开发生产的计划精度越来越高，每单位工程的生产周期越来越短，每单位工程

76、的成本也越来越低。目前，大多数软件公司处于第1级和第2级，只有很少的公司可以达到第5级。13.2.2 系统启动安全审查管理系统启动安全审查管理v5个级别的具体定义如下：v 初始级：软件开发过程中偶尔会出现混乱的现象，只有很少的工作过程是经过严格定义的，开发成功往往依靠的是某个人的智慧和努力。v 可重复级：建立了基本的项目管理过程。按部就班地进行功能设计、过程跟踪、费用监控，根据项目进度表进行开发。对于相似的项目，可以重用以前已经开发成功的部分。v 定义级：软件开发的工程活动和管理活动都是文档化、标准化的，它被集成为一个组织的标准开发过程。所有项目的开发和维护都在这个标准基础上进行定制。13.2

77、.2 系统启动安全审查管理系统启动安全审查管理v 管理级：对于软件开发过程和产品质量的测试细节都有很好的归纳，产品和开发过程都可以定量地分解和控制。v 优化级：通过建立开发过程的定量反馈机制，不断产生新的思想，采用新的技术来优化开发过程。v除了第1级，其他每一级都有几个特别值得注意的关键过程。v第2级的关键之处是建立基本的项目管理控制，包括需求管理、软件项目计划、软件项目的跟踪和监督、软件转包管理、软件质量保证和软件组态管理。13.2.2 系统启动安全审查管理系统启动安全审查管理v第3级的关键之处是既关注项目问题，也关注组织问题，因为组织建立起了使高效率软件工程制度化的基本架构和跨项目的管理过

78、程，它们包括组织过程关注程度、组织过程定义、培训项目、集成化的软件管理、软件产品化机制、项目组的内部协调和对出现错误的复查。v第4级的关键之处侧重开发过程和软件产品都有一个定量的理解。它强调定量的过程管理和软件质量管理。v第5级的关键之处是，不论组织还是项目必须追求持续的、可度量的过程改进，包括缺陷预防、技术更新管理和流程改造管理。 13.2.3 应用系统运行管理应用系统运行管理v要保证应用系统的可靠性、安全性和有效性，必须加强对应用系统安全运行的管理。v 1系统评价系统评价v系统评价是对一个应用系统进行以下几个方面的质量检测分析：系统对用户和业务需求的相对满意程度，系统开发过程是否规范，v系

79、统功能的先进性、可靠性、完备性和发展性，系统功能、成本、效益综合比，系统运行结果的有效性、可行性和完整性等。v应用系统在投入运行后，要不断地对其运行状况进行分析评估，并将评估结果作为系统维护、更新以及进一步开发的依据。 13.2.3 应用系统运行管理应用系统运行管理v系统运行指标如下：v（1）预定的系统开发目标完成情况；v（2）系统运行实用性评价；v（3）系统对设备的影响。v2系统运行安全系统运行安全审查目标审查目标v应用系统启动安全审查目标主要表现在系统的可靠性、可用性、保密性、完整性、不可抵赖性和可控性等几个方面。 13.2.3 应用系统运行管理应用系统运行管理v（1）可靠性v可靠性是应用

80、系统能够在设定条件内完成规定功能的基本特性，是系统启动应用安全的最基本的审查目标之一，是应用系统稳定可用的审查度量，是应用系统启动运行安全的基础。v应用软件系统规模越做越大越复杂，其可靠性越来越难保证。应用本身对系统运行的可靠性要求越来越高。v在一些关键的应用领域，如航空、航天等，其可靠性要求尤为重要；在银行等服务性行业，其软件系统的可靠性也直接关系到自身的声誉和生存发展竞争能力。 13.2.3 应用系统运行管理应用系统运行管理v软件可靠性比硬件可靠性更难保证，会严重影响整个系统的可靠性。在许多项目开发过程中，对可靠性没有提出明确的要求。v开发部门也不在可靠性方面花更多的精力，往往只注重速度、

81、结果的正确性和用户界面的友好性等，而忽略了可靠性。在投入使用后才发现大量可靠性问题，增加了维护困难和工作量，严重时只有将其束之高阁，无法投入实际使用。v可靠性是应用系统功能所能满足任务性能要求的程度，是应用系统有效性的体现。 13.2.3 应用系统运行管理应用系统运行管理v可靠性主要表现在计算机实体环境的可靠性、软件可靠性和人员可靠性等方面。计算机实体环境包括计算机硬件及机房设施等直观的实体，其可靠性是指应用系统运行的计算机环境正常，符合应用系统要求。v软件可靠性是指计算机操作系统启动安全正常，应用系统软件在规定时间内成功运行的指标符合技术指标。人员可靠性是指应用系统用户、应用系统管理员成功地

82、完成任务或职责的指标符合技术标准。 13.2.3 应用系统运行管理应用系统运行管理v人员可靠性在整个计算机系统可靠性中扮演重要角色，人为因素造成的系统失效、瘫痪在现实工作中占有很大的比例。v人的行为要受到生理和心理、培训技术程度、工作责任心、安全保密意识、品德等素质方面的影响，很难要求所有人员达到可靠性标准要求。v因此，要根据人员的具体情况，合理地加强对人员的教育培养，定期加强技术培训，这是提高人员可靠性的重要方法。 13.2.3 应用系统运行管理应用系统运行管理v对于内部人员，其对系统造成的危害是十分严重的，尤其是系统管理员失职造成的危害，必须引起高度重视。v对于内部人员，可通过规范系统管理

83、员的职责，从技术管理制度、加强管理力度等措施来提高可靠性。 13.2.3 应用系统运行管理应用系统运行管理v（2）可用性v可用性是应用系统可被授权实体访问并按任务需求使用的特性。可用性是应用系统面向用户的安全管理性能。可用性是应用系统向用户提供服务的基本功能。v应用系统的可用性具体是指系统无故障、无外界影响、能稳定可靠地运行，它包含了计算机实体环境的稳定可靠性、抗毁性和抗干扰性，应用系统必须随时满足授权实体或用户的需要。v应用系统的可用性必须保证系统的可恢复性，以保证应用系统遭受各种破坏后能恢复系统运行环境，保持运行功能或在一定条件下允许系统降低运行功能。 13.2.3 应用系统运行管理应用系

84、统运行管理v应用系统的可用性还应有识别确认身份、访问控制、信息量控制和审计跟踪等要求。v（3）保密性v保密性是应用系统信息不被泄露给未授权的用户、实体或任务进程，或供其利用的特性。v在应用系统中，只有授权用户才能访问系统信息，同时必须防止信息的非法、非正常泄露。v一般情况下，应用系统的保密性要做到防入侵、防泄露、防篡改、防窃取；同时还要对信息进行密钥加密或物理加密。 13.2.3 应用系统运行管理应用系统运行管理v（4）完整性v完整性是应用系统信息在未经授权的情况下不能被改变的特性，是一种对应用系统的可信及精确的度量。v完整性是一种面向信息的安全性，它要求保持信息的原始性，即信息的正确生成、存

85、储及传输。v完整性的目的是要求信息不能受到各种原因的破坏。v应用系统完整性服务可以防范抵制主动攻击，应用系统在信息传输、存储、交换过程中保证接收者收到的信息与发送者发送的信息完全一致，也就是要确保信息的真实性。 13.2.3 应用系统运行管理应用系统运行管理v（5）不可抵赖性v即不可否认性，在应用系统的信息交换中确认参与者的真实同一性。即所有参与者都不可能否认或抵赖曾经完成的操作和任务。v利用信息源监控证据可以防止访问用户不真实地否认已访问或已更新的信息。 13.2.3 应用系统运行管理应用系统运行管理v（6）可控性v可控性是对应用系统的运行及相关内容具有控制功能的特性。可控性包括对应用系统信

86、息访问主体的权限划分和更换，以及信息交换双方已发生的操作进行确认，其中，也包括对应用系统关键的控制。v另外，应用系统的可控性必须包含有可审查性，就是指对应用系统内所发生的安全有关的事件均有运行记录备查。v应用系统可控性，概括地说就是通过计算机系统、密码技术和安全技术及完善的管理措施，保证应用系统安全与保密的核心在传输、交换和存储过程中完全实现安全审查目标。 13.2.3 应用系统运行管理应用系统运行管理v3系统运行安全系统运行安全与与保密的层次保密的层次构成构成v应用系统运行安全与保密的层次构成主要包括管理安全、物理安全、控制安全和安全服务。v（1）管理安全v管理安全是指安全部门、安全人员的管

87、理。应用系统启动是依靠相关部门和人员来具体实施的，他们既是应用系统安全的主体，也是系统安全管理的对象。v所以要确保应用系统的安全，必须加强部门和人事的安全管理。管理安全必须遵循不单独使用、限制使用期限、责任分散三条基本原则。 13.2.3 应用系统运行管理应用系统运行管理v（2）物理安全v物理安全是指在计算机系统物理层上对安装软件及存储和交换信息的安全保护。物理安全是应用系统安全的基本保障，是系统启动安全的关键组成。v物理安全不安全因素包括自然灾害、物理损坏、设备故障、电磁辐射、硬件操作失误和系统崩溃等；解决上述不安全隐患的有效方法是采取各种防护措施、随时进行系统信息备份、辐射防护、状态检测、

88、报警确认和应急恢复等。 13.2.3 应用系统运行管理应用系统运行管理v（3）控制安全v控制安全是指在应用系统中对存储和交换信息的操作和任务进程进行控制管理，主要是对应用系统及信息进行安全保护。v安全控制是通过软件进行控制，其实现方式分为两层：第一层是操作系统的安全控制，包括对登录访问本计算机系统的用户进行合法性检查核实，对文件的读写存取进行控制等，v目的主要是保护应用系统文件和存储数据的安全；第二层是应用系统的安全控制，包括对注册系统用户权限进行设置、监控系统任务进程、审计运行日志等，目的是保护应用系统的运行安全。 13.2.3 应用系统运行管理应用系统运行管理v（4）服务安全v服务安全是指

89、应用系统软件层对系统信息的完整性、保密性和信息源的真实性进行保护，满足用户的全部需求，防止和抵御各种安全威胁和内外攻击。v服务安全可以在一定程度上补充和完善现有操作系统的安全漏洞。服务安全的主要内容包括安全机制、安全连接、安全协议和安全策略。v 安全机制是利用密码算法对系统信息进行处理，如数据的加密和解密、数字签名和签名验证、信息认证等。安全机制是服务安全乃至整个应用系统安全的核心和关键。 13.2.3 应用系统运行管理应用系统运行管理v 安全连接是指在系统处理前用户与系统之间的连接过程，是系统进行安全处理的必要准备工作。安全连接主要包括注册密钥的生成和分配、注册身份验证。旨在保护系统信息处理

90、和操作等双方的真实性和合法性。v 安全协议是多个系统用户为完成某些相互同意的任务所采取的约定式的一系列有序的操作步骤。利用安全协议，通过安全机制和安全连接的实现来保证应用系统信息交换过程的安全性、可靠性。 13.2.3 应用系统运行管理应用系统运行管理v 安全策略是安全机制、安全连接和安全协议的组合方式，是应用系统启动运行安全性的比较好的解决方案。v安全策略决定了应用系统的整体安全性和实用性。不同的应用系统和不同的应用环境需要不同的安全策略。 13.2.3 应用系统运行管理应用系统运行管理v4系统系统运行安全检查运行安全检查v系统运行安全检查主要是保证用户应用系统正常运行，使系统始终处于稳定、

91、高效、最佳的运行状态，获得最高的使用率和安全性。可以从以下两个方面进行检查。v（1）计算机硬件系统及实体环境安全检查v计算机硬件系统及实体环境是一切应用系统运行的基础，没有这个基础，就没有任何应用系统的应用，也就谈不上安全运行的管理。 13.2.3 应用系统运行管理应用系统运行管理v（2）系统运行安全测试v 计算机操作系统测试：确保应用系统安装运行所要求的指标及设置参数正常。v 系统安装测试：用于检查应用系统安装成功并达到运行指标要求。v 系统单元测试：利用正常数据或非正常数据，测试系统每个程序输入输出是否成功有效。v 系统测试：对所有程序同时进行测试，以确保程序之间相互关系的正常有效。 13

92、.2.3 应用系统运行管理应用系统运行管理v 容量测试：是为了保证在系统所要求的常规条件下，能够处理系统设计所达到的最大数据量。v 综合测试：是为了确保程序能与其他的应用交互作用，并确保数据流正确有效，不会造成其他应用出现问题。v 目标测试：是根据系统或应用中制定的执行目标及其他目标，检查系统是否完全满足用户的需求。 13.2.3 应用系统运行管理应用系统运行管理v5建立系统建立系统设置参数文件设置参数文件及及运行日志运行日志v系统设置参数文件是记录备案系统运行时所设定的运行参数及文件，包括系统启动文件、设置允许文件、检查记录、审计文件和口令文件。v系统设置参数文件记录备案是将系统初始状态、当

93、前状态、各类程序运行参数设置进行安全后备，这主要是用于今后系统运行维护、系统恢复、系统移植，也用于用户对系统运行进行安全审查。 13.2.3 应用系统运行管理应用系统运行管理v系统运行日志是记录系统运行时产生的特定事件。运行日志是确认、追踪与系统的数据处理、任务进程及资源利用有关的事件的基础，v它提供系统权限检查中的问题、系统故障的发生与恢复、系统监测等信息，同时也为用户提供检查、使用应用系统的情况。v运行日志的设置将减少系统运行错误和非法访问、窃取信息的机会。v运行日志应记录哪些项目和记载的程度如何，这要从系统的安全控制和用户需求这两方面来考虑。运行日志记录功能应该在系统设计时已确定。 13

94、.2.3 应用系统运行管理应用系统运行管理v一般情况下，需要记录系统运行及与系统相关方面的信息，内容如下：v 记录的信息类型；v 使用的各种参数；v 应该提供的分析与报告；v 数据信息的保存期。v从系统运行安全考虑，记录的信息类型有以下几种：v 事件的特性：包括数据的输入和输出、系统文件的更新和删除、系统的启动和关闭、系统故障的发生与排出、用户的非正常操作等。 13.2.3 应用系统运行管理应用系统运行管理 v 确认相关方面的要素：如使用系统的人、设备、软件和数据信息等。v运行日志记载的信息是系统管理员对访问操作系统的人进行安全管理控制的重要根据。v从安全管理角度考虑，此类信息在设计上必须要有

95、法律依据，同时要求设计安全完善，不能因偶发事件或有意行为而破坏运行日志的正常运行。 13.2.3 应用系统运行管理应用系统运行管理v6进行应用软件进行应用软件监控管理监控管理v应用软件的主要任务就是利用计算机的优势和能力，为部门、团体和个人提供解决问题和完成特定工作的能力，也就是说它是一种能综合用户信息处理需求的、直接处理特定应用的程序。v应用软件的类型分为专用软件、通用软件和通用软件与专用软件结合使用3种。v应用软件实施监控的具体任务是检测软件的可靠性和维护性、确定软件使用者的合法性、监测软件运行错误、合理科学地指导软件的更新升级工作等。v其主要目的就是保护软件开发者的利益和使用者的利益，保

96、障用户应用系统的运行安全。 13.2.3 应用系统运行管理应用系统运行管理 v软件是计算机系统中非常重要的组成部分，它关系到用户及开发商的切身利益，是应用系统运行安全的基础保障。v目前，随着计算机应用的普及，互联网的发展，应用软件的安全保密、许可证和升级等问题受到越来越多的关注。v主要原因是应用软件被个人或其他软件公司任意复制和销售，因安全控制不完善遭到非法攻击或泄密，还有软件升级过程中对用户造成的一些问题等。v监测控制应用软件的使用已成为一个保障应用系统运行安全的重要手段。 13.2.3 应用系统运行管理应用系统运行管理v7建立建立科学的科学的应用系统应用系统运行运行管理制度管理制度v为了保

97、证应用系统运行安全，应建立科学的管理制度。v它包括各种岗位制，如系统分析员的安全职责、系统管理员的安全职责、数据信息管理员的安全职责等；v操作规范制度，如应用系统启动和关闭操作步骤及要求，注册登录操作步骤及要求等；应用系统维护及数据信息维护制度，如软件升级、病毒防治、数据备份等。v另外还包括其他与应用系统安全运行相关的制度，如机房卫生、安全、保卫制度，设备维护保养制度等。小结v本章介绍了软件安全管理及应用系统安全管理。v软件安全管理部分包括：影响软件安全的因素，影响计算机软件安全的因素很多，大体可分为技术因素和管理因素两大类。v软件安全管理的措施包括首先必须制定有效的软件管理政策；v同时要提高

98、知识产权意识，需要对软件使用者进行为什么必须慎重地对待软件的教育；v在软件使用过程中，必须随时对软件进行安全检测和安全审查，同时进行安全性跟踪，必须对软件进行经常性的定期维护，以保证软件的正常使用；v对软件的版本必须进行严格的管理和控制。小结v对软件选型、购置和储存都必须采取安全措施，以保证软件的可靠性及可维护性。v应用系统安全管理部分包括：应用系统概述，应用系统启动安全审查管理，应用系统运行安全管理。要实现应用系统安全管理，保障系统的安全是一项技术性相当强的管理工作。v它集技术与管理于一体，两者缺一不可。根据计算机信息系统安全专家的观点，技术和管理的比例为37，即三分技术，七分管理。v所以，我们既不能脱离技术，也不能一味地依赖技术，不能认为只要花大价钱安装最好的软件，就可以高枕无忧。小结v信息系统的安全工作还是一项整体工程，必须全面、周到、安全，无论是硬件、软件、通信系统的安全，还是运行操作管理，都同样重要，v必须同等重视，任何一方出现安全漏洞，整个系统就无安全可言了。