10系统开发安全管理2解析.ppt

每项维护活动要素 第六章 系统开发安全管理 2、系统开发安全 2.6 系统安全维护 系统安全维护的目标 在商业上提高产品的竞争力； 在技术上提高产品的质量； 对已有系统进行全部或部分的改造； 保障和加强用户需求的实现； 提高系统的安全性能度。 第六章 系统开发安全管理 2、系统开发安全 2.6 系统安全维护 影响维护代价的技术因素 软件对运行环境的依赖性。 编程语言。 编程风格。 测试与改错工作。 文档的质量。 第六章 系统开发安全管理 2、系统开发安全 2.6 系统安全维护 影响维护代价的非技术因素 应用域的复杂性。 开发人员的稳定性。 系统的生命周期。 业务操作模式变化对系统的影响。 第六章 系统开发安全管理 2、系统开发安全 2.6 系统安全维护 安全维护注意事项 维护和更改记录 更改的清除 错误报告处理 老版本的备份和清理 第六章 系统开发安全管理 2、系统开发安全 2.6 系统安全维护 系统安全维护的步骤 报告错误 处理错误 处理错误报告 小结 第六章 系统开发安全管理 系统安全原则主要包括保护最薄弱的环节、纵深防 御、保护故障、最小特权以及分隔等。 系统选购通过版本控制、安全检测与验收等，保证 所选购系统的安全性。 系统开发安全管理通过可行性评估、项目管理、代 码审查、程序测试、可靠性管理及版本管理等，保证系 统开发的安全。 什么是系统安全性验证？什么是系统鉴定？什么是破坏性分析？ 习题 第六章 系统开发安全管理 本节内容 系统选购安全 1 系统开发安全 2 3 系统 获取途径——选购、开发 系统获取安全管理 第六章 系统开发安全管理 1、系统选购安全 1.1 系统选型与购置 标准的系统选购过程 第六章 系统开发安全管理 1、系统选购安全 1.1 系统选型与购置 系统的适用性； 系统的开放性； 系统的先进性； 系统的商品化程度及使用的效果； 系统的可靠性及可维护性； 系统的性能价格比。 系统选型时，应考虑以下几个方面： 第六章 系统开发安全管理 1、系统选购安全 1.1 系统选型与购置 系统采购请求过程 系统使用者从业务角度提出所需系统的采购请求； 系统使用者所在部门的主管从业务的角度正式批准 这个采购请求； 组成系统选型购置小组进行采购。 第六章 系统开发安全管理 1、系统选购安全 1.1 系统选型与购置 系统提供的文件 系统发展方针和方向 业务需求文件 预算文件 采购审核 标准化要求 系统的兼容性 选型购置小组的批准书 第六章 系统开发安全管理 1、系统选购安全 1.1 系统选型与购置 系统及供应商的选择 在具有同样功能的条件下，寻找价格最便宜的 供应商； 向名誉较好的系统供应商订货。 第六章 系统开发安全管理 1、系统选购安全 1.1 系统选型与购置 系统的送达 系统预安装 系统登记 系统储藏 单位负责集中采购的部门，而非系统使用者或其他部门或人员 技术负责人、系统供应商、系统开发人员等，通过存储控制和配置管理加强安装管理 建立安装档案，记录安装情况并归档 预安装或安装的同时进行系统登记，记录系统情况 分类存放（打开 or 未打开） 储藏环境 系统的发布者、系统的名称、系统的版本和系统的序列号； 系统的许可证和系统介质存放的地方； 系统使用者的姓名、合同细节和存放位置； 安装系统的计算机编号； 装载系统者的姓名和装载系统的日期； 其它相关信息。 第六章 系统开发安全管理 1、系统选购安全 1.2 系统选购安全控制 系统选购版本控制 版本控制规程 版本的构成方法； 系统的标识方法； 系统的购置、存取、审批权限及其手续； 版本管理人员的职责； 版本升级和更新的审批权限及其手续，责任人及其职责； 定期审查版本的有效性和一致性。 对系统的选型、购买、使用、存取和更新升级等情况进行记录和存档，并定期对系统版本进行检查。 版本控制的目的：保证所用系统的合法性和安全性，保证系统在运行过程中不会发生故障和错误。 第六章 系统开发安全管理 1、系统选购安全 1.2 系统选购安全控制 系统选购版本控制 系统标识 系统标识是指对各种系统成份，包括源代码、目标代码、可执行代码以及各种文档进行标识。 系统版本审核要素 第六章 系统开发安全管理 1、系统选购安全 1.2 系统选购安全控制 版本控制的实施 查明计算机上加载的全部系统； 查明并清除计算机上加载的非法系统和不予支持 的系统； 查明并清除计算机上加载的违反版权法和特许协 议的系统； 查明并清除本系统不予支持的系统。 第六章 系统开发安全管理 1、系统选购安