您的位置:360文档中心› 安全的系统发展生命周期(SSDLC)介绍

安全的系统发展生命周期(SSDLC)介绍

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

安全的系統發展生命週期 (SSDLC)介紹
賴溪松 講師 TWISC@NCKU 中心主任兼召集人 成大資通安全研發中心主任 成功大學 電機系 特聘教授
1

課程大綱
系統發展生命週期
本章說明系統發展生命週期中,各階段的 意義與要點。
生命週期各階段之安全工作要求
本章說明系統發展生命週期中,不同階 段的安全需求與執行要項。
應用系統安全實例介紹
本章以實例的方式,點出各個階段的執 行內容。
結論
安全的系統發展生命週期(SSDLC)重點結論 說明。
2

第一章 系統發展生命週期
„ 1-1 系統發展生命週期簡介 „ 1-2 系統發展生命週期的異同
3

1-1 系統發展生命週期簡介
4

系統發展生命週期簡介
„ 系統發展生命週期 (System Development Life Cycle, SDLC)意指發展一套系統的順 序,用以開發完善的資訊系統。一般來 說,根據各階段的定義,主要可分為:
– 分析設計 (Define)
• 著重需求定義,以符合業務內容及使用者需求為 目的。
需求分析 需求分析
5

系統發展生命週期簡介(續)
– 架構設計 (Design)
• 根據需求分析結果,進行包含系統任務目標、功 能關聯、邊界範圍、各階層使用者的角色等內外 部使用的規劃。
– 程式實作 (Develop)
• 落實既有之規劃,符合委託者或使用者的需要, 將操作介面、資料處理、功能運作等完整的實 現。
需求分析 需求分析
6

系統發展生命週期簡介(續)
– 系統測試 (Test)
• 進行運作模擬,檢驗該系統的完成度,確保各項 功能皆可符合既定的需求。
測試項目
– 分發部署 (Deploy)
• 進行系統之分發與部署,確保過程中系統運作無 誤,並安排教育訓練,使人員能正確操作系統之 功能。
7

系統發展生命週期簡介(續)
– 運作與維護 (Maintain)
• 系統服務之運作維持和更新,確保穩定的服務品 質。
– 變更管理 (Change)
• 再度執行環境及需求的評估,進而調整系統,使 其得以順利的運作。
變更需求清單 XXX… YYY…
管理者
監控
通報
8

SDLC v.s. SSDLC
„ SDLC的特性
– 功能性導向,在最短的時間,完成系統的開發與上 線。 – 缺乏安全性考量的設計,面對日新月異的攻擊手法 ,難以建立有效的防護方法,保護系統的安全,諸 如資料隱碼攻擊(SQL Injection…等)便是因此而 崛起。
„ SSDLC的特性
– 在考量系統功能性的同時,導入安全性的思維,於 系統開發之初,進行各項必要的安全防護措施,雖 拉長了設計的時程,卻降低了系統後續維護的成本 ,以及遭受到攻擊行為的損失。
9

變更管理 分析設計 架構設計 程式實作 系統測試 分發部署 運作與維護
10

1-2 系統發展生命週期的異同

11

不同系統的發展生命週期

Web應用程式委外–安全的系統發展生命週期(SSDLC)

12

第二章生命週期各階段之

安全工作要求

2-1 分析設計階段

2-2 架構設計階段

2-3 程式實作階段

2-4 系統測試階段

2-5 分發部署階段

2-6 運作與維護階段

2-7 變更管理階段

13

2-1 分析設計階段

14

分析設計階段

配合相關人員的期望下,進行各項資安

措施的分析與規劃,在符合成本考量下

達成安全需求。

考量的項目為:

15

分析設計階段(續)

–系統安全需求

1.系統成本及安全需求評估的詳細報告。

2.安全威脅及風險評估的詳細報告。

r

h a c k e

16

分析設計階段(續)

–系統安全需求

3.重要業務需建立例行性的稽核制度,並

建立特定查核事項稽核軌跡。

4.重要資料處理過程的每一階段或特定階

段,檢查及保護資料的真確性。

17

18分析設計階段(續)–系統安全需求5.

儘可能促使系統滿足稽核人員的安控需求。6.於相關文件規定資訊安全控制措施,以助使用者與支援人員了解各內建安控功

能。

分析設計階段查核表範例

N項目是否不適用

1. 分析設計階段(Define)

1.1是否建立資訊及系統之存取控制?□□□

1.2是否保護機敏性資料,防止洩漏或竄改,必要時使用資料加

密等技術保護?

□□□1.3是否遵守契約及相關法規對資訊安全控制的要求?□□□1.4是否需備份重要業務之資料?□□□1.5是否訂定電腦當機尤其是高使用率系統之立即回復作業程序?□□□1.6是否避免系統遭未授權之修改或竄改?□□□1.7是否使系統得以安全的方式給一般人員操作、使用?□□□

2-2 架構設計階段

20

架構設計階段
„ 需考量系統任務目標、功能關聯、邊界範圍、 各階層使用者的角色等各項內容,建立相關的 控管程序及防護措施,作為程式實作階段的基 礎。
程式實作階段的基礎
系統任務目標
1 2
建立相關的 控管程序及防護措施
4
各階層使用者的角色 等各項內容…
21
功能關聯
3
邊界範圍

相关文档
最新文档