软件和应用系统安全.ppt
《软件和应用系统安全.ppt》由会员分享,可在线阅读,更多相关《软件和应用系统安全.ppt(169页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、软件和应用系统安全软件和应用系统安全管理管理 13.1 软件安全管理软件安全管理v软件安全是指保证计算机软件的完整性及软件不会被破坏或泄露,这里所说的软件包括系统软件、数据库管理软件、应用软件及相关资料。v如果软件发生故障或受到侵害,计算机系统就不能正常运行。13.1.1 影响软件安全的因素影响软件安全的因素v影响计算机软件安全的因素很多,大体可分为技术因素和管理因素两大类。v从技术性因素来看,软件是用户进行信息传递和交流的工具;软件可存储和移植;软件可非法入侵载体和计算机系统;软件具有可激发性,v即可接受外部或内部的条件刺激或被激活;因此软件具有破坏性。13.1.1 影响软件安全的因素影响软
2、件安全的因素v一个专门设计的特定软件可以破坏用户计算机内编制好的程序或数据文件,具有攻击性。v软件和信息很容易受到电脑病毒、网络蠕虫、特洛伊木马和逻辑炸弹等攻击性软件的侵害。v因此要保证软件的安全,就必须防范上述各类软件的入侵。13.1.2 软件安全管理的措施软件安全管理的措施v软件管理是一项十分重要的工作,应当建立专门的软件管理机构,从事软件管理工作。v软件管理包括法制管理、经济管理及安全管理等各个方面,各方面的管理是相互联系的,彼此影响,因此各项管理需要综合进行。v对于企业来说,做好软件管理工作会带来巨大的经济效益,软件管理不善,则有可能造成经济损失。13.1.2 软件安全管理的措施软件安
3、全管理的措施v要进行软件安全管理就必须制定有效的软件管理政策。每一个与计算机有关的单位都应制定一项或多项软件管理政策。v包括软件使用方面的政策、软件安全政策、保护软件的知识产权政策。v软件管理政策可以是一个单独的政策文件,也可以是涉及许多工作流程组成的多个文件的集合体,它们都是指导软件管理的重要文件。13.1.2 软件安全管理的措施软件安全管理的措施v国际标准化组织起草了一个有关信息安全管理的国际标准,其中就包括软件的管理。v如何制定软件政策在我国还没有统一规定,在英国有一个英国国家标准英国信息安全标准BS7799信息安全管理规程,它强调软件政策要符合法律的规定。13.1.2 软件安全管理的措
4、施软件安全管理的措施v提高知识产权意识,需要对软件使用者进行为什么必须慎重地对待软件的教育。v一个软件的特许只授予使用者使用软件的权力,并不是授予使用者拥有软件的权力,v单位是软件的使用管理者,因此单位有责任保护软件的知识产权,强调这一点,在我国有着重要的意义。v软件的安全性和可靠性与软件的使用管理有关。软件的安全管理必须贯穿于软件使用的全过程。13.1.2 软件安全管理的措施软件安全管理的措施v在选购软件时必须认真地从经济、技术等诸多角度对软件选型及购置进行审查。v在软件使用过程中,必须随时对软件进行安全检测和安全审查,v同时进行安全性跟踪,必须对软件进行经常性的定期维护,以保证软件的正常使
5、用。13.1.2 软件安全管理的措施软件安全管理的措施v对软件的版本必须进行严格的管理和控制。v为了发挥软件的效益,必须在软件的整个使用期间(包括软件的购置、安装、储藏、获得、使用和处理)进行有效的管理。v软件安全管理的目的就是要确保软件的可靠性和安全性,v保证所有的软件是合法的,符合版权法和软件特许协议,v保证使用这些软件的系统的安全性。13.1.2 软件安全管理的措施软件安全管理的措施v软件安全管理方面,应该强调以下几个方面的问题:v(1)正确地选择软件,必须使用正版软件,禁止使用盗版软件;v(2)采取防范措施,减少使用外来软件或文件可能产生的风险;v(3)安装检测软件和修复软件,用它来扫
6、描计算机,检查、预防病毒、修复被破坏的程序等 并使之制度化;13.1.2 软件安全管理的措施软件安全管理的措施v(4)对于支持关键业务程序的系统软件和数据,应该进行定期检测;v(5)防止非法文件或对计算机系统中的软件或数据进行非法修改或调查;v(6)在使用软件前,应对来源不详的软件及相关文件或从不可靠的网站上下载的软件及有关文件进行必要的检查。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v在进行软件选型时,可考虑组织一个软件选型小组,由提出采购请求的部门及商业业务部门的有关人员组成。v1软件选型应考虑的因素软件选型应考虑的因素v(1)软件的适用性v考察软件是否适合本系统的技术需要
7、,是否适合计算机系统的规模等。v(2)软件的开放性v包括计算机操作系统的开发性,本软件与其他系统软件、应用软件的接口,是否适合用户的多种开发、应用平台的需要等。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v(3)软件的先进性v包括软件所使用的开发语言是否先进,软件是否有便利的开发工具,数据库的先进程度和通用程度等。v(4)软件的商品化程度及使用的效果v包括软件开发商的进一步开发的技术能力,软件开发商可能对用户提供的支持程度和软件使用的方便性。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v(5)软件的可靠性及可维护性v所谓软件的可靠性是指软件在指定的条件下和在规定的时
8、间内不发生故障的性能,v也就是软件在指定的条件下和规定的时间内,正常运行并执行其功能的性能。v所谓软件的可维护性是指软件在使用阶段发生故障和缺陷时,用户可以对它进行修正的性能,v一个可靠性和可维护性很低的软件,很难谈到使用中的安全性,因此应选用可靠性和可维护性高的软件。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v(6)软件的性价比v软件的性能价格比于整个具体的软件的购置、开发、使用费用有着密切的关系。v购置、开发和使用费用包括购买软件费用,购买后的开发、维护费用等。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v2软件选型、购置与储藏的实施软件选型、购置与储藏的实施
9、v从理论上来讲,需要一个标准的软件选型和购置过程,该过程应该包括下列步骤中一部分或全部。v(1)软件选购过程v软件使用者从业务角度提出所需软件的采购请求;v软件使用者所在部门的主管从业务的角度正式批准这个采购请求。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v(2)需提供的文件v在采购过程中需要提供下列文件中的部分或全部。v 软件发展方针和方向。符合发展需要的首要问题是软件的发展方向,这个问题主要应由信息技术部门考虑。v 业务需要文件。很明显,任何单位都想购买对推进业务有帮助的软件。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v 预算文件。作为采购过程的一部分,软件
10、选型小组必须有一个包括软件费用在内的充分的预算。v 采购审核。当确定软件的需求后,软件使用者或软件使用者所在部门主管必须审核该项目采购。v 标准化要求。由于产品的类型不同,因此需要符合的标准也不同。v 系统的兼容性。软件使用部门应以书面形式说明需要采购的软件是否与现有的系统匹配。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v 选型订购小组的批准书。v评估需要采购软件的实用性和可行性,提出是否批准购买的意见,以文件方式提供给上级主管领导等待批准。v当这些文件都已具备,并得到有关负责人批准后,就可以开始进行采购,并获得该软件。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏
11、v(3)软件及供应商的选择v单位所使用的软件一部分是从商业渠道采购得到的,而另一部分是定制的,v采购软件和采购其他商品的目标是一致的,目标如下:v 购买一个价廉物美的符合单位需求且价格合理的软件;v 符合采购单位订货要求,并符合该单位操作环境的软件;13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v 如果需要,可以审查该项采购是否合适;v 在预算经费范围之内。v如果采购工作是由单位内的一个部门负责集中进行,则能够得到最大的采购量的折扣,能更好地降低成本。v选择购置软件时,最好选择几种软件加以对比,经过比较后,再对初步选择的两三种软件进行功能测试。13.1.3 软件的选型、购置与储藏软
12、件的选型、购置与储藏v在确定采购软件的同时,应对软件供应商有所考虑,可在广泛的供应商中选择。选择软件的供应商时应遵循以下原则:v 在具有同样功能的条件下,寻找价格最便宜的供应商;v 向信誉较好的软件供应商订货;v 软件供应商可以提供所需要的软件和其他相关物品;v 软件供应商应该是一个专业的软件供应商;v 软件供应商可以提供完整的软件、软件的销售以及相应的技术支持服务;13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v在购置软件时,由于供应商企业规模不同,可提供的服务、支持能力可能会有不同。v即软件商对软件升级以提高需要的能力及支持人员的实际支持能力,需要把可支持的程度与软件解决方案进
13、行综合评定,v再从软件供应商选择一两种软件进行试用,把测试及试用情况报告本系统的技术负责人,由技术负责人来决定软件的选购。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v(4)软件的送达v所有采购的软件应该送到单位内部负责集中采购的部门,v以确保提出采购要求的部门可以得到所采购的软件,v绝对不允许将软件直接送到软件使用者手中或送到本单位以外的其他地方。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v(5)软件预安装v从软件送货的领域来说,应该立即送到所需部门进行预安装,应建立软件档案。v应该用存储控制和配置管理来加强对软件安装工作的管理,以确保不会发生问题。v安装人员当
14、然应该对安装软件的行为负责,并且应该认真进行记录(记录软件的预安装及下载情况)和检验。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v(6)软件的登记v软件使用者在进行软件预安装或正式安装的同时,v还应该负责更新软件登记数据库(该数据库应在建立软件管理系统时建立),记录预安装软件的情况。v在软件登记数据库中,应该记录下列数据:v 软件的出版者、软件的名称、软件的版本和软件的系列号;v 软件的许可证和软件介质存放的地方;v 软件使用者的姓名、合同细节和存放位置;13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v 计算机的财产编号,即安装软件的计算机机构编号;v 装载软件者的
15、姓名和装载软件的日期;v 其他相关信息。v用该数据库来进行软件管理,当发生软件纠纷时,可以以该数据库中的数据作为依据,进行调解和处理。v所以该数据库是软件管理中的重要部分,必须得到妥善的保护。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v(7)避免采购不合法的软件v在采购软件时,必须杜绝采购不合法的软件。如何避免采购不合法的软件,可注意以下几点:v 从声誉较好的软件提供商处购买软件;v 要求软件提供商提供一份书面的报价单,报价单上应列举出软件所需要的硬件配置、软件的技术规范和版本号;v 注意软件提供商报出的价格,价格太便宜的有可能是盗版软件;13.1.3 软件的选型、购置与储藏软
16、件的选型、购置与储藏v 需要软件提供商提供一张附有详细目录的发票;v 检查软件提供商是否具有销售软件的软件特许证明,保证购买的软件的合法性;v 不允许软件提供商在非特殊情况下直接将软件装入到计算机内;v 软件必须经过一段试用后才可正式购买;13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏 3v 如果可能,应使用从软件生产商建议的软件提供商处购买软件。v当订购的软件送到软件收货点以后,应该对送来的软件进行检查,以阻止任何非订购的软件进入软件收货点,这对防止任何非订购软件或破坏性软件的进入十分重要。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v另外一些软件可能有特殊的需要,
17、因此妥善地储藏软件v以保证购买的软件不会收到潮湿的条件、磁场、静电等物理环境的损害是十分重要的。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v3软件安全检测与验收软件安全检测与验收v软件安全检测的目的是为了发现软件的安全隐患,并针对安全隐患对现行软件进行必要的改进,确保软件的安全。v一般说来,一旦软件安装到计算机上,有关人员就应该对该计算机所安装的软件定期进行检查,v将检查的结果记录下来,并根据检查结果,更新该单位的软件登记数据库。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v在任何单位内部都会发生工作人员流动的情况,软件管理部门应该随时了解这种情况,否则将会产生混
18、乱。v如果使用软件单位可能受到恶意的攻击,则应该安装扫描设备,对包装内的物品(如软件介质)进行检查、处理。v在任何情况下,应该对订单上所订购的物品与发货记录进行核对,以确保收到所有订购的物品均有正确无误的包装号。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v当对包装完成完整性检验后,应通知有关部门订购的软件已经到货。v被通知的部门应该包括:采购部门(以确认该订单不再是未交货的),会计部门(告诉他们订购的软件已经到货,同时应提供发票);软件使用部门(由他们安排软件的收集和安装)。v在软件收货点进行检测的过程应该记录下来,该记录是对软件管理的第一次记录,后将会进行一系列更详细的记录。
19、13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v在这些记录中,应该记录下列内容:v(1)软件产品的名称、版本号和系列号;v(2)收到的软件产品的数量;v(3)软件出版商的有关信息;v(4)收到订购软件的日期;v(5)有关购买合同的详细情况(如使用者、使用者所在部门和软件功能的等)。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v4软件安装工作规程软件安装工作规程v软件管理中的关键部分是不让未被授权人员进行软件的安装、移植或删除。v这一点对于以微机为基础的环境特别重要,因为在这个环境中,存在如下可能性:软件可能具有计算机病毒或其他恶意的代码;v软件的安装几乎都是在软件使用
20、环境中进行的,私自安装不良的软件或受限制的程序,可能对软件使用环境中的所有其他用户产生很大的影响。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v因此,政策和工作规程应该确保不允许用户自行加载没有经过批准的软件或从网上下载软件。v这些规定应该严格执行,可以采用物理的管理办法,v例如使用不能移动的介质驱动器或装置一个硬件管制系统,以防止加载未授权的软件。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v目前,很多机构对计算机系统和网络系统服务依赖性的增加使它们比较容易受到安全的影响,v很多机构由于商务贸易的关系使他们对其他计算机的访问机会增多,也使他们更易受到安全的影响,v
21、因此更应该强调工作人员必须严格执行软件安全政策。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v5软件安全管理环境软件安全管理环境v为了建立良好的软件安全管理环境,高级管理人员应该做到:v确定需要实施的良好的安全管理措施,并促使有关人员接受这些观念和措施;v制定符合安全需要的政策、规程和工作细则,供管理人员使用。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v没有成文的有关软件的安全政策和详细规定将产生下列缺陷:v(1)管理层不能严肃地对待软件安全问题;v(2)不能确保工作人员一定拥有有关软件安全的文件;v(3)不能保证对所采取的保护软件安全的行动进行有效的监督;v(4
22、)没有供工作人员和软件使用者的安全规定;v(5)没有可以实施的安全标准;v(6)当发生违背软件安全政策、侵犯公司利益的行为时,很难采取纪律措施。13.1.3 软件的选型、购置与储藏软件的选型、购置与储藏v每一个工作人员包括临时工和合同工都应树立必须遵守安全政策的观念,并有义务遵守安全政策。v安全政策中必须说明工作人员可以做或不可以做的事,并要求他们签字确认,且把这些内容作为聘用工作人员的合同的组成部分。13.1.4 软件安全检测方法软件安全检测方法v一般在正式加载软件前,用户应该对该软件进行检验或试验,以确定该软件与常见的应用软件、其他常用的软件之间的相容性。v在更新、升级之前,也应该进行这种
23、安全性的预验收。这种检验可以用双份比较法来进行。v双份比较法是将软件在计算机中安装两份,正常状态下只运行一份,另一份留着做备份。13.1.4 软件安全检测方法软件安全检测方法v当正在运行的软件出问题影响计算机系统安全时,运行备份软件,将两者的结果进行比较。v如果备份软件的运行结果影响计算机系统安全,就说明该软件确实存在导致计算机系统故障的隐患;v检测软件安全的另一种方法是使用软件安全设置支持系统检测软件是否存在安全隐患。13.1.4 软件安全检测方法软件安全检测方法v软件安全设置支持系统对软件安全隐患自动进行测试,并找出软件中存在的潜在问题。v一个能够有效地进行软件安全检测的系统应该具备以下功
24、能:v(1)自动生成测试数据;v(2)能够以人机对话方式进行软件安全性能的测试;v(3)能够提供相应的模拟程序;v(4)能够提供多种方式自动查询和比较不同方案的实施结果;v(5)使进行的测试标准化和自动化,并能够对测试结果自动进行分析。13.1.5 软件安全跟踪与报告软件安全跟踪与报告v由于计算机数量的剧增,软件价格昂贵及软件的可携带性,软件跟踪自然成为软件管理的一个关键内容。v软件生产商和软件供应商所进行的软件跟踪的目的、方法与软件使用者所进行的系统或单位中进行的软件跟踪的目的、方法不完全相同。v这里介绍的软件跟踪主要是指软件使用者在指定的系统或单位中进行的软件跟踪,13.1.5 软件安全跟
25、踪与报告软件安全跟踪与报告v对于软件使用者来说,软件的跟踪主要是通过良好的软件版本管理来实现的。v为了进行软件管理与软件跟踪,计算机系统应该指定一名技术官员v负责向上级主管部门提交本机构遵守软件管理政策和实施软件管理情况的报告,v同时对软件的使用情况进行管理和跟踪。13.1.5 软件安全跟踪与报告软件安全跟踪与报告v他们负责组织和完善对系统所拥有的有效特许的各种软件的拷贝目录和拷贝数量,检查和清点以下内容:v(1)销毁或删除超出有效特许所规定的拥有的数量以外的拷贝。v(2)建立和保存适当的文档来记录首次和每年软件管理和清理的结果,并在以后跟踪新增加的软件的拷贝安装与使用,存入档案,并将新增加的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 软件 应用 系统安全
限制150内