软件开发信息安全管理

课程背景：

 21世纪以来，信息技术飞速发展，软件开发项目的信息安全问题也日益严峻。从流氓软件到网络嗅探，网络“高手”们纷纷在移动互联的世界里对公众安全跃跃欲试、一展黑手。确保信息系统的安全不仅成为社会各界关注的焦点，更成为政府和民众对企业的要求。

    隐私泄漏、电子货币遗失、网络身份冒用、机密信息外泄、电子版权盗用、商业机密诈骗……种种信息化世界带来的危害正在逐步逼近我们。

《信息安全管理》课程将带你进入信息化世界，一路浏览各类软件安全事件带来的警示，逐步了解信息安全世界的天外天、楼外楼，从学习软件开发基本信息安全操作技术开始，打造驾驭信息航船安全领航的管理实力。

课程收益：

●识别保护对象的物理因素和人文因素

● 学习开发过程中的安全控制技术

● 学习从硬件到软件的安全原理

● 掌握信息交互的核心安全部件

● 了解紧急状况下的安全处理机制

● 通过对信息系统的了解，找到关键保护对象

● 建立公司层面软件安全管理架构

课程时间：2天，6小时/天

课程对象：项目经理、企业高管、技术负责人、其他项目团队成员

人数要求：40人

课程方式：讲授、小组讨论、模拟游戏、案例分享、焦点研讨、现场演练、头脑风暴、市场对标、教练技术、引导技术等，具体实施形式可能根据学员的学习风格来做相应的调整。

课程大纲

导言：

案例分享：21世纪初的好案例与坏案例

互动引导：坏在哪里？VS好在哪里？

第一讲：信息安全管理

一、软件安全管理关键要素

1. 角色与职责

1）信息安全委员会

2）信息安全负责人

3）业务负责人

4）用户

5）审计师

小组模拟：究竟谁管谁？

2. 软件资产分类

1）系统硬件

2）软件

3）数据

4）管理机制

教练辅导：找出最重要的部分

3. 软件系统访问

1）访问与暴露

2）IT环境

3）身份识别

4）授权

故事分享：技术安全负责人

4. 外部团体

1）客户

2）供应商

3）监管机构

二、网络基础设施

1. 局域网

2. 互联网

3. 无线安全

案例分享：骇客帝国

三、软件安全事件的两大来源

1. 环境（外部环境）

1）电

2）水

3）火

4）人

5）其他

情境模拟：灾备演习

2. 物理（客观因素）

1）违反规定

2）犯罪

3）预防

第二讲：网络安全管理

一、系统硬件运行

1. 系统架构

2. 维护程序

3. 监控

4. 容量管理

二、软件机构

1. 操作系统

2. 访问软件

3. 通讯系统

4. 数据系统

5. 实用软件

三、网络运营

1. 网络架构

2. 网络类型

3. 网络服务

4. 网络协议

第三讲：软件开发安全管理过程

一、灾难恢复

1. RPO/RTO

2. 恢复策略

3. 职责分配

二、业务恢复因素

1.       业务流程及支持此流程的应用系统的重要性

2.       成本

3.       组织要求的恢复时间

4.       安全

三、业务恢复类型

1.       冷站(Cold Site)

2.       移动站点(Mobile sites)

3.       温站(Warm site)

4.       热站(Hot site)

5.       镜像站点

6.       组织之间签订互惠协议(Reciprocal agreements with other organization)

案例分享：某金融机构数据中心

第四讲：内容安全管理

一、信息安全战略

1. CIA——情报局

1）机密性

2）完整性

3）可用性

2. 策划目标

1）绩效衡量

2）资源管理

3）流程整合

小组讨论：最佳信息安全战略

二、安全管理五大过程节点

1.定义：立项、规划、实施、检测、交付

1）渐进原则

2）风险控制

3）时间节点

4）资源平衡

呈现方式：互动引导

2.节点梳理

1）规划节点——项目里程碑

2）人员节点——授权

3）产品节点——客户感受

4）财务节点——项目资金管理

教练技术：分析各过程开始及结束点

3.开始前和结束后

1）项目起始点

2）可行性方案

3）项目终结点

4）项目管理终结点

案例分享：王者荣耀

三、数据管理

1.异地备份库管理

l  永久的备份存储介质库目录

l  控制存储介质的访问

l  控制存储介质循环流通

l  BCP拷贝

第五讲：物理安全

一、信息处理场所

1.       毁损、破坏或窃取

2.       拷贝或偷看

3.       变更

4.       泄露

5.       滥用

6.       勒索(Blackmail)

7.       盗用

二、风险来源：

1.       心怀不满

2.       罢工

3.       受到惩处或开除

4.       沾染上赌博恶习

5.       财务问题

6.       感情问题

7.       被解职

三、通用的物理访问控制

1.       生物特征锁(Biometric door locks)

2.       登记日志 (Manual logging)

3.       身份识别卡(Identification Badges)

4.       摄像监控(Video cameras)

5.       安全警卫(Security guards)

6.       访客的出入控制与陪同(Controlled visitor access)

7.       双重门设计(Deadman doors)

8.       警报系统(A1arm system)

9.       对文件柜的保护(Secured report／document distribution cart)

10.    窗户(Windows)

第六讲：社会工程及密码管理

一、系统的要素

◇ 加密算法

◇ 加密密钥

◇ 密钥维度

二、体系

l  私钥加密

l  DES加密

l  AES加密

l  公钥加密

l  数字签名

三、工程：

☆ 网络钓鱼

☆ 网站欺骗

☆ 垃圾邮件

☆ 欺骗

☆ 虚假的应聘简历

第七讲：成为高手的功课——课程总结

1. 重点回顾

2. 课后任务