2019年软件和应用系统安全管理.ppt

软件和应用系统安全管理13.1软件安全管理软件安全是指保证计算机软件的完整性及软件不会被破坏或泄露，这里所说的软件包括系统软件、数据库管理软件、应用软件及相关资料。如果软件发生故障或受到侵害，计算机系统就不能正常运行。13.1.1影响软件安全的因素影响计算机软件安全的因素很多，大体可分为技术因素和管理因素两大类。从技术性因素来看，软件是用户进行信息传递和交流的工具；软件可存储和移植；软件可非法入侵载体和计算机系统；软件具有可激发性，即可接受外部或内部的条件刺激或被激活；因此软件具有破坏性。13.1.1影响软件安全的因素一个专门设计的特定软件可以破坏用户计算机内编制好的程序或数据文件，具有攻击性。软件和信息很容易受到电脑病毒、网络蠕虫、特洛伊木马和逻辑炸弹等攻击性软件的侵害。因此要保证软件的安全，就必须防范上述各类软件的入侵。13.1.2软件安全管理的措施软件管理是一项十分重要的工作，应当建立专门的软件管理机构，从事软件管理工作。软件管理包括法制管理、经济管理及安全管理等各个方面，各方面的管理是相互联系的，彼此影响，因此各项管理需要综合进行。对于企业来说，做好软件管理工作会带来巨大的经济效益，软件管理不善，则有可能造成经济损失。13.1.2软件安全管理的措施要进行软件安全管理就必须制定有效的软件管理政策。每一个与计算机有关的单位都应制定一项或多项软件管理政策。包括软件使用方面的政策、软件安全政策、保护软件的知识产权政策。软件管理政策可以是一个单独的政策文件，也可以是涉及许多工作流程组成的多个文件的集合体，它们都是指导软件管理的重要文件。13.1.2软件安全管理的措施国际标准化组织起草了一个有关信息安全管理的国际标准，其中就包括软件的管理。如何制定软件政策在我国还没有统一规定，在英国有一个英国国家标准《英国信息安全标准——BS7799信息安全管理规程》，它强调软件政策要符合法律的规定。13.1.2软件安全管理的措施提高知识产权意识，需要对软件使用者进行为什么必须慎重地对待软件的教育。一个软件的特许只授予使用者使用软件的权力，并不是授予使用者拥有软件的权力，单位是软件的使用管理者，因此单位有责任保护软件的知识产权，强调这一点，在我国有着重要的意义。软件的安全性和可靠性与软件的使用管理有关。软件的安全管理必须贯穿于软件使用的全过程。13.1.2软件安全管理的措施在选购软件时必须认真地从经济、技术等诸多角度对软件选型及购置进行审查。在软件使用过程中，必须随时对软件进行安全检测和安全审查，同时进行安全性跟踪，必须对软件进行经常性的定期维护，以保证软件的正常使用。13.1.2软件安全管理的措施对软件的版本必须进行严格的管理和控制。为了发挥软件的效益，必须在软件的整个使用期间（包括软件的购置、安装、储藏、获得、使用和处理）进行有效的管理。软件安全管理的目的就是要确保软件的可靠性和安全性，保证所有的软件是合法的，符合版权法和软件特许协议，保证使用这些软件的系统的安全性。13.1.2软件安全管理的措施软件安全管理方面，应该强调以下几个方面的问题：（1）正确地选择软件，必须使用正版软件，禁止使用盗版软件；（2）采取防范措施，减少使用外来软件或文件可能产生的风险；（3）安装检测软件和修复软件，用它来扫描计算机，检查、预防病毒、修复被破坏的程序等并使之制度化；13.1.2软件安全管理的措施（4）对于支持关键业务程序的系统软件和数据，应该进行定期检测；（5）防止非法文件或对计算机系统中的软件或数据进行非法修改或调查；（6）在使用软件前，应对来源不详的软件及相关文件或从不可靠的网站上下载的软件及有关文件进行必要的检查。13.1.3软件的选型、购置与储藏在进行软件选型时，可考虑组织一个软件选型小组，由提出采购请求的部门及商业业务部门的有关人员组成。1．软件选型应考虑的因素（1）软件的适用性考察软件是否适合本系统的技术需要，是否适合计算机系统的规模等。（2）软件的开放性包括计算机操作系统的开发性，本软件与其他系统软件、应用软件的接口，是否适合用户的多种开发、应用平台的需要等。13.1.3软件的选型、购置与储藏（3）软件的先进性包括软件所使用的开发语言是否先进，软件是否有便利的开发工具，数据库的先进程度和通用程度等。（4）软件的商品化程度及使用的效果包括软件开发商的进一步开发的技术能力，软件开发商可能对用户提供的支持程度和软件使用的方便性。13.1.3软件的选型、购置与储藏（5）软件的可靠性及可维护性所谓软件的可靠性是指软件在指定的条件下和在规定的时间内不发生故障的性能，也就是软件在指定的条件下和规定的时间内，正常运行并执行其功能的性能。所谓软件的可维护性是指软件在使用阶段发生故障和缺陷时，用户可以对它进行修正的性能，一个可靠性和可维护性很低的软件，很难谈到使用中的安全性，因此应选用可靠性和可维护性高的软件。13.1.3软件的选型、购置与储藏（6）软件的性价比软件的性能价格比于整个具体的软件的购置、开发、使用费用有着密切的关系。购置、开发和使用费用包括购买软件费用，购买后的开发、维护费用等。13.1.3软件的选型、购置与储藏2．软件选型、购置与储藏的实施从理论上来讲，需要一个标准的软件选型和购置过程，该过程应该包括下列步骤中一部分或全部。（1）软件选购过程软件使用者从业务角度提出所需软件的采购请求；软件使用者所在部门的主管从业务的角度正式批准这个采购请求。13.1.3软件的选型、购置与储藏（2）需提供的文件在采购过程中需要提供下列文件中的部分或全部。①软件发展方针和方向。符合发展需要的首要问题是软件的发展方向，这个问题主要应由信息技术部门考虑。②业务需要文件。很明显，任何单位都想购买对推进业务有帮助的软件。13.1.3软件的选型、购置与储藏③预算文件。作为采购过程的一部分，软件选型小组必须有一个包括软件费用在内的充分的预算。④采购审核。当确定软件的需求后，软件使用者或软件使用者所在部门主管必须审核该项目采购。⑤标准化要求。由于产品的类型不同，因此需要符合的标准也不同。⑥系统的兼容性。软件使用部门应以书面形式说明需要采购的软件是否与现有的系统匹配。13.1.3软件的选型、购置与储藏⑦选型订购小组的批准书。评估需要采购软件的实用性和可行性，提出是否批准购买的意见，以文件方式提供给上级主管领导等待批准。当这些文件都已具备，并得到有关负责人批准后，就可以开始进行采购，并获得该软件。13.1.3软件的选型、购置与储藏（3）软件及供应商的选择单位所使用的软件一部分是从商业渠道采购得到的，而另一部分是定制的，采购软件和采购其他商品的目标是一致的，目标如下：①购买一个价廉物美的符合单位需求且价格合理的软件；②符合采购单位订货要求，并符合该单位操作环境的软件；13.1.3软件的选型、购置与储藏③如果需要，可以审查该项采购是否合适；④在预算经费范围之内。如果采购工作是由单位内的一个部门负责集中进行，则能够得到最大的采购量的折扣，能更好地降低成本。选择购置软件时，最好选择几种软件加以对比，经过比较后，再对初步选择的两三种软件进行功能测试。13.1.3软件的选型、购置与储藏在确定采购软件的同时，应对软件供应商有所考虑，可在广泛的供应商中选择。选择软件的供应商时应遵循以下原则：①在具有同样功能的条件下，寻找价格最便宜的供应商；②向信誉较好的软件供应商订货；③软件供应商可以提供所需要的软件和其他相关物品；④软件供应商应该是一个专业的软件供应商；⑤软件供应商可以提供完整的软件、软件的销售以及相应的技术支持服务；13.1.3软件的选型、购置与储藏在购置软件时，由于供应商企业规模不同，可提供的服务、支持能力可能会有不同。即软件商对软件升级以提高需要的能力及支持人员的实际支持能力，需要把可支持的程度与软件解决方案进行综合评定，再从软件供应商选择一两种软件进行试用，把测试及试用情况报告本系统的技术负责人，由技术负责人来决定软件的选购。13.1.3软件的选型、购置与储藏（4）软件的送达所有采购的软件应该送到单位内部负责集中采购的部门，以确保提出采购要求的部门可以得到所采购的软件，绝对不允许将软件直接送到软件使用者手中或送到本单位以外的其他地方。13.1.3软件的选型、购置与储藏（5）软件预安装从软件送货的领域来说，应该立即送到所需部门进行预安装，应建立软件档案。应该用存储控制和配置管理来加强对软件安装工作的管理，以确保不会发生问题。安装人员当然应该对安装软件的行为负责，并且应该认真进行记录（记录软件的预安装及下载情况）和检验。13.1.3软件的选型、购置与储藏（6）软件的登记软件使用者在进行软件预安装或正式安装的同时，还应该负责更新软件登记数据库（该数据库应在建立软件管理系统时建立），记录预安装软件的情况。在软件登记数据库中，应该记录下列数据：①软件的出版者、软件的名称、软件的版本和软件的系列号；②软件的许可证和软件介质存放的地方；③软件使用者的姓名、合同细节和存放位置；13.1.3软件的选型、购置与储藏④计算机的财产编号，即安装软件的计算机机构编号；⑤装载软件者的姓名和装载软件的日期；⑥其他相关信息。用该数据库来进行软件管理，当发生软件纠纷时，可以以该数据库中的数据作为依据，进行调解和处理。所以该数据库是软件管理中的重要部分，必须得到妥善的保护。☆13.1.3软件的选型、购置与储藏（7）避免采购不合法的软件在采购软件时，必须杜绝采购不合法的软件。如何避免采购不合法的软件，可注意以下几点：①从声誉较好的软件提供商处购买软件；②要求软件提供商提供一份书面的报价单，报价单上应列举出软件所需要的硬件配置、软件的技术规范和版本号；③注意软件提供商报出的价格，价格太便宜的有可能是盗版软件；13.1.3软件的选型、购置与储藏④需要软件提供商提供一张附有详细目录的发票；⑤检查软件提供商是否具有销售软件的软件特许证明，保证购买的软件的合法性；⑥不允许软件提供商在非特殊情况下直接将软件装入到计算机内；⑦软件必须经过一段试用后才可正式购买；☆13.1.3软件的选型、购置与储藏3⑧如果可能，应使用从软件生产商建议的软件提供商处购买软件。当订购的软件送到软件收货点以后，应该对送来的软件进行检查，以阻止任何非订购的软件进入软件收货点，这对防止任何非订购软件或破坏性软件的进入十分重要。13.1.3软件的选型、购置与储藏另外一些软件可能有特殊的需要，因此妥善地储藏软件以保证购买的软件不会收到潮湿的条件、磁场、静电等物理环境的损害是十分重要的。13.1.3软件的选型、购置与储藏3．软件安全检测与验收软件安全检测的目的是为了发现软件的安全隐患，并针对安全隐患对现行软件进行必要的改进，确保软件的安全。一般说来，一旦软件安装到计算机上，有关人员就应该对该计算机所安装的软件定期进行检查，将检查的结果记录下来，并根据检查结果，更新该单位的软件登记数据库。13.1.3软件的选型、购置与储藏在任何单位内部都会发生工作人员流动的情况，软件管理部门应该随时了解这种情况，否则将会产生混乱。如果使用软件单位可能受到恶意的攻击，则应该安装扫描设备，对包装内的物品（如软件介质）进行检查、处理。在任何情况下，应该对订单上所订购的物品与发货记录进行核对，以确保收到所有订购的物品均有正确无误的包装号。13.1.3软件的选型、购置与储藏当对包装完成完整性检验后，应通知有关部门订购的软件已经到货。被通知的部门应该包括：采购部门（以确认该订单不再是未交货的），会计部门（告诉他们订购的软件已经到货，同时应提供发票）；软件使用部门（由他们安排软件的收集和安装）。在软件收货点进行检测的过程应该记录下来，该记录是对软件管理的第一次记录，后将会进行一系列更详细的记录。13.1.3软件的选型、购置与储藏在这