IT 安全 第 8节 系统开发和维护.

Slides:



Advertisements
Similar presentations
allow v. wrong adj. What’s wrong? midnight n. look through guess v. deal n. big deal work out 允许;准许 有毛病;错误的 哪儿不舒服? 午夜;子夜 快速查看;浏览 猜测;估计 协议;交易 重要的事.
Advertisements

汕头大学医学院 学年学分制学籍管理办法 科教处 - 学籍教材科 郑少燕 2006 - 9 总 则 ♠ 在本校学习的学生,应当政治思想高;应当爱国 勤劳、自强不息,应当遵纪守法,应当刻苦学习, 勇于探索,积极实践,努力掌握现代科学文化知 识和专业技能,应当积极锻炼身体,具有健康体 魄。
簡報製作:葉 女 嬰 慧 葉純佑 漫話漫畫 仔細看看這張圖... 回答下列問題 站在正中央的人有沒有打領帶? 2. 在紙上畫線的是鉛筆還是鋼筆? 3. 看書的人有沒有戴眼鏡?
第六章 交际礼仪 学习目标 案例导入 主要内容 互动训练 思考练习.
性別平等教育實施成效 之 檢視與評鑑 主講人: 廖芳娟
See You T o r o m r w o ——BY 胡琼鸯 林岚.
授課者:陳月端 法律倫理 授課者:陳月端
三普聯合會計師事務所 講師:莊汧驊 會計師 : 中華民國103年03月10日
绿 色 植 物 在 家 庭 居 室 空 气 污 染 控 制 中 的 作 用 小组成员:.
大学计算机基础 主讲:张建国 电话: 实验及交作业网址:
学 校 名 称: 乐山师范学院 课 程 名 称: 声 乐 学 课程层次 (本/专): 本 科 所属一级学科名称: 文 学
山西师范大学教育学院 山西省安全教育中心 肖军虎博士
公文製作與品質 彰化縣政府秘書 劉玉平 中 華 民 國 104 年 7 月 31 日 .
應用文寫作規範 書信 便條 摘要 心得報告.
福建省毕业生就业公共网 注册流程 就业中心 二O一二年九月.
中国平安校园招聘.
初念淺~轉念深 網路~小品一則~分享.
支援報備之重要性.
第三讲: 如何获取和处理就业信息.
企業設置哺(集)乳室與托兒服務觀摩座談及補助說明會
國立花蓮高級工業職業學校 圖書館簡介 歡迎各位蒞臨.
健康上网 初一3班 王诗婷.
课程改革呼唤科学教育 常州市教育局教研室 蔡正秋.
「一領一‧新倍加」 門徒培育教材 一領一友誼傳道 (領人系列 12).
网瘾的危害.
我的学校——达县职高 制作人——高一计算机应用二班王天.
從無薪假談勞動契約條件之變更 主講人:建業法律事務所 李育錚律師.
明道大學 教師扣考系統 操作說明.
会计与财务学院 2010届毕业实习与毕业论文 学生应知注意事项.
预防老年痴呆的15个 生活习慣   背景音乐:红楼箫曲─秋窗风雨夕 文 字 资 料 来 自 网 络.
抓根本、强内涵 落实教学全过程管理 阿克苏广播电视大学 讲师 党委委员、副校长赵建胜.
國立臺灣海洋大學 【教務處】 簡報者:李國誥 教授兼教務長 中華民國98年9月23日.
刘 汉 德 广东省糖业协会 广东中轻糖业集团有限公司
備審資料準備 黃思倫 教授 逢甲大學資訊電機學院 院長
如何準備實習的履歷與自傳 吳秀照
國立高雄應用科技大學招生委員會 104 學年度碩士在職專班招生 在職服務證明書 表一 報考所 別 姓名 性別 生日 年月日 服務機 構
民法总论 丘志乔 民法学习网: 民法学习网:
澄清误区 探求共识 高冀生 海峡两岸大学图书馆建筑学术研讨会 高校图书馆建设理念再认识 中国图书馆学会 建筑专业委员会委员
一年級品德教育「感恩」德目教學 我家寶貝要出生 興南國小 一學年課程發展小組.
于 雷 教育部高等职业院校人才培养工作评估研究课题组成员 沈阳工程学院教授
八、老人的情緒障礙與治療─憂鬱 朝陽科技大學銀管系講座教授 黃富順.
营销培训 农药渠道运作实务 迪智成咨询:程绍珊 迪智成咨询 3/21/2017
教育部補助公立大專校院辦理學生事務與輔導工作~ 有情天地~看見生命裡的陽光
东北师大理想信息技术研究院 院长 中国教育软件协会 副主任 英国计算机与自动化学会 顾问
国家自然科学基金 项目预算编制 财 务 处 二〇〇九年九月.
读书报告要求 每人写一篇读书报告。 要求,对学习这门课程之后形成的对计算机科学的一个总的、一般的认识,但不要泛泛而论。
构建道德课堂 “做中学”教学模式的创新与研究 总结汇报 黄河中学.
師資培育評鑑說明~教育實習篇 報告人:楊智穎主任.
大学计算机应用基础 信息学院信息技术教学部.
中国建设银行企业金融服务方案 中国建设银行广州经济技术开发区支行 2016年9月21日.
汽车营销-车辆展示与介绍 皖江职教中心学校 李 芳.
待遇福利法規及案例分享 臺中市立后綜高級中學 林 春 榮.
Unit 2 What should I do? Period 1.
Module 5 Shopping 第2课时.
慈濟大學101學年度(下) 公文寫作與文書處理 102年5月30日上午 總務處文書組 潘杰秀.
Unit 4.
項目五、畢業生表現 第一節 現況描述 一、畢業生專業能力符合系所教育目標之程度
國立勤益科技大學 技專校院校務基本資料庫 填表說明會
高考应试作文写作训练 5. 正反观点对比.
服務教育 「服務教育」之課程,即為愛校環境清潔的服務,此門課為必修課為新生一年級必修課程,上、下學期各一學分。
昂首踏實- 大專校院校外實習媒合資訊平台.
國立臺灣師範大學 邁向頂尖大學計畫 補助出國經費作業要點
服務教育 「服務教育」之課程,即為愛校環境清潔的服務,此門課為必修課為新生一年級必修課程,上、下學期各一學分。
我們讓自己相信,當我們結婚後,有了孩子以後,或者其它的什麼事情之後,我們會更加幸福。
中国建筑的特征 执教:浮 石 单位:吴川一中 时间:2005/10/ 梁思成
向後退 有一天我在 信箱中收到一位朋友轉寄來的圖檔。一打開來,我只看見一個黑色塊上面堆了一些類似亂碼的白色文字,而排列方式也毫無規則可言,完全不知那個是什麼東西。
台 語 臆 謎 猜 動 物 篇.
中国建筑的特征 执教:浮 石 单位:吴川一中 时间:2005/10/ 梁思成
備審資料準備 逢甲大學 資訊電機學院 黃思倫 教授兼院長
鑑定安置期程說明 特教資源中心 鑑定安置組 陳翠綾.
Presentation transcript:

IT 安全 第 8节 系统开发和维护

介绍 系统的安全需求 应用系统的安全 加密控制 系统文件的安全 开发和支持流程的安全 104

系统的安全需求 在初始系统设计时就考虑系统的安全,比事后将它们整合在一起,要便宜很多倍 应说明系统的需求,包括自动控制以及所需的人工控制。 105

应用系统的安全 预防应用系统数据的损失、篡改和滥用 包括输入、处理和输出控制 在IT控制模块中有深入讨论

加密控制 保护信息的机密性、完整性和可用性。 包含以下控制: 见 ‘第 10讲 – 加密控制’ 加密控制的使用政策 加密 数字签名 服务的不可抵赖性 密钥管理 见 ‘第 10讲 – 加密控制’ Things can go wrong . The post office occasionally loses a letter; networks sometimes lose packets; or damage them in transit. Unlike the post office, we’ll see that the Internet protocols can deal with these problems successfully. Packets may arrive out of sequence. If you mail two letters to the same place on successive days, there's no guarantee that they will take the same route or arrive in order. The same is true of the internet. 114

系统文件的安全 为确保系统项目和支持活动的安全进行 密钥控制是: 应用软件的控制 系统测试数据的保护 程序源库的访问控制 113

操作软件的控制 生产系统软件执行的控制程序 控制包括 程序库由授权人员进行更新 生产系统只有可执行代码 在投入运行之前,成功测试可执行代码 更新程序的审计记录 软件以前版本的保留 对供应商软件的控制

系统测试数据的保护 以保护和控制系统数据 控制包括: 访问控制程序 独立授权 数据库隐私的处理 测试后数据的删除 测试的记录 127

程序库的访问控制 保护对程序源库的严格控制 控制包括: 远离生产系统 任命一名程序管理人员 IT支持人员访问的限制 在开发或维护时,不保留程序 129

程序库的访问控制 控制包括: 更新仅由指定人员进行 程序列表的安全存放 程序库访问的审计记录 获得源程序的旧版本 对程序源库维护和复制的变更控制 129

开发和支持过程的安全 为维护应用系统软件和信息的安全 控制包括:: 变更控制程序 生产系统变更的控制程序 限制对软件包的变更 对隐蔽通道和木马代码的控制 外包软件的开发 136

变更控制程序 运用正式的变更控制程序,严格控制变更的实施 隐藏控制以确保对系统配置的所有变更是经过授权、测试、记录、控制,并且有充分的变更审计轨迹 见IT控制模块的“变更控制程序”

生产系统变更的技术检查 检查应用控制和完整性程序是否进行了折衷 确保年度计划涵盖对生产系统变更的测试 及时通告生产系统的变更 确保对业务持续计划的适当变更

软件变更的严格控制 不鼓励对使用的供应商软件包进行变更 仅对副本进行变更 变更之前,检查 是否有内部控制的补偿 是否征得卖方的同意 是否能从卖方那里获得所需的变更 对未来维护的影响

隐蔽通道和特洛伊代码 仅通过可靠的渠道购买软件 源代码一同购买 使用经评估的产品 使用之前检查源代码 控制对代码修改的过程 使用有信誉的员工

外包软件开发 许可证、代码所有权 工作质量的认证 仅通过可靠的渠道购买软件 代码的质量 特洛伊代码 的测试

总结 在新系统中植入安全 应用系统的安全—输入、处理和输出控制 加密控制 – 加密、数字签名、密钥管理, 系统文件的安全– 测试数据的保护、程序库的访问控制 开发和控制 – 变更控制、特洛伊代码