信息安全管理 普通高等教育“十一五”国家级规划教材 作者 张红旗 王新昌 杨英杰 唐慧林2 第10次课-系统开发安全管理1.pptVIP

信 息 安 全 管 理 Information security management 本节内容 第六章 系统开发安全管理 第六章 系统开发安全管理 第六章 系统开发安全管理 第六章 系统开发安全管理 第六章 系统开发安全管理 第六章 系统开发安全管理 第六章 系统开发安全管理 第六章 系统开发安全管理 第六章 系统开发安全管理 第六章 系统开发安全管理 第六章 系统开发安全管理 第六章 系统开发安全管理 第六章 系统开发安全管理 第六章 系统开发安全管理 第六章 系统开发安全管理 系统的整个开发过程可以划分为系统规划、系统分析、系统设计、系统实现和系统运行5个阶段。 系统安全原则主要包括保护最薄弱的环节、纵深防御、保护故障、最小特权以及分隔等。 第六章 系统开发安全管理 系统安全原则包括哪些？分别简述。 系统开发应遵循哪些原则？ 第六章 系统开发安全管理 tanghuilin81@ LOGO 授课内容：系统开发安全管理1 授课对象： 主讲教员：唐慧林 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： 系统安全需求 1 系统安全原则 2 系统安全设计 3 1、系统安全需求 信息系统的主要类型： 业务处理系统 职能系统 组织系统 决策支持系统 1、系统安全需求 1.1 系统面临的安全问题 软件可靠性 硬件可靠性 1、系统安全需求 1.1 系统面临的安全问题 影响系统可靠性的因素 和设计相关的变化程度 系统项目规划的质量 1、系统安全需求 1.1 系统面临的安全问题 系统面临的技术安全问题 网络安全性 防火墙、网络管理和通信安全技术 。 系统安全性 病毒防范、风险评估、非法入侵的检测及整体性 的安全审计。 1、系统安全需求 1.1 系统面临的安全问题 系统面临的技术安全问题 用户安全性 用户分组管理、唯一身份和用户认证。 应用程序安全性 访问控制与用户授权。 数据安全性 1、系统安全需求 1.1 系统面临的安全问题 系统面临的社会安全问题 系统的浪费和失误 计算机犯罪 道德问题 2、系统安全规划 2.1 系统安全原则 1．保护最薄弱的环节 系统最薄弱部分往往就是最易受攻击影响的部分； 在系统规划和开发过程中应首先消除最严重的风险。 2、系统安全规划 2.1 系统安全原则 2．纵深防御 纵深防御的思想是，使用多重防御策略来管理风险； “纵深防御”所提供的整体保护通常比任意单个组 件提供的保护要强得多。 2、系统安全规划 2.1 系统安全原则 3．保护故障 及时发现故障、分离故障，找出失效的原因，并在 可能的情况下解决故障。 2、系统安全规划 2.1 系统安全原则 4．最小特权 最小特权策略是指只授予主体执行操作所必需的最 小访问权限，并且对于该访问权限只准许使用所需的 最少时间。 2、系统安全规划 2.1 系统安全原则 5．分隔 分隔的基本思想是，如果将系统分成尽可能多的独立 单元，那么就可以将对系统可能造成损害的量降到最低。 2、系统安全规划 2.2 系统安全设计 验证新系统的安全模型的可行性和可信赖性； 根据安全模型确定可行的安全实现方案。 2、系统安全规划 2.2 系统安全设计 安全模型的验证 形式化验证技术 非形化验证技术 2、系统安全规划 2.2 系统安全设计 制定安全实现方案 合理划分哪些安全功能 选择相应安全级别的操作系统和数据库系统 分配信息系统实现的安全功能时不能太分散 模块的封装性要好 小结 习题 思考 系统开发时考虑哪些安全问题？