的需求分析和解决方案设计09.doc

设计安全规范本章概述在本章中,将学习如何设计应用程序的安全性。设计安全特性和策略是应用程序开发中最重要的方面之一。随着企业网络安全性部分投入的增加,由于知识产权被盗取、系统停机、生产效率低下、声誉受损、消费者信心流失等方面带来的损失也在增加。然而,也许可以通过增加适当的用户验证和授权方案,加密以保证数据完整性,以及执行数据验证等措施,为业务应用程序在恶劣的环境中提供有效的保护。教学目标确定应用程序的一些安全性挑战和弱点为应用程序计划安全策略解释由Microsoft®.NET提供的安全特性为应用程序层设计授权、身份验和审核策略教学重点为应用程序计划安全策略为应用程序层设计授权、身份验和审核策略教学难点安全这个话题是一个时髦的话题,但作为一名学生很难体会到一个不安全的系统会给企业带来什么,、身份验证、和审核策略习题习题1-对应知识点为应用程序安全性制定计划习题2-对应知识点为应用程序安全性制定计划习题3-对应知识点为应用程序安全性制定计划习题4-对应知识点为应用程序安全性制定计划习题5-对应知识点设计授权、身份验证、和审核策略教师光盘幻灯片教师光盘:\Powerpnt\2710B:\Powerpnt\习题解答教师光盘:\tPrep\answer先修知识在正式开始学习本章内容以前,学生须具备下列知识基础。先修知识推荐补充了解Windows程序设计的基础知识。《的Windows程序设计》了解WEB类程序设计的知识。《的Web应用程序设计》连接XMLWebService开发的知识。《XMLWebService开发》建议学时 课堂教学(2课时):本章主要达到目的。能够确定应用程序的一些常见安全漏洞。(略讲)定义一些安全性术语。(略讲)教学内容教学活动教学提示讲授:恶意攻击者使用各种方法利用系统漏洞,来达到他们的目的。漏洞是安全性方面的弱点,攻击者可以使用它们获得对一个组织的网络或者网络资源的访问权。下面这些漏洞,比如弱口令,并不是应用程序或者软件开发设计决策的结果。然而,让一个组织了解这些安全弱点,以更好地保护他们的系统是非常重要的。下面我们会介绍几种漏洞:弱口令所谓强口令就是字母的大小写,数字和符号四个对象中任选三样出现在口令中的口令就是强口令,否则就是弱口令。弱口令极有可能被人攻破,其实现在包括QQ,MSN等软件都已经大面积的提出密码保护,设置强密码等宣传,就是这个阅书::第4页对于7种漏洞,教师需要给予学生一些实际的案例,方便学生的理解。道理。软件配置错误比如我们在安装很多软件的时候,在安装界面里,会出现选择是安装者个人使用,还是全部登陆该计算机的用户都可以使用。如果您的设置错误,很有可能造成通过应用软件的历史记录而泄秘的事件发生。还有其他很多可能造成漏洞的地方,这里就不一一论述了。讲解课本::我们来看一下传统安全模型的不足:我们可以参考“CASESTDY\第九章\阅读文档\”文档:应用程序是基于网络的,方式来进行的。的安全计划是通过实现以下条件来最小化风险,减轻对数据以及网站可用性的威胁。• • • • 。所以作为目标进行改进。讲解课本:::第11页进行此段教学的过程中可以根据时间的允许程度给学生一点讨论的时间,让学生发散性的思考一下还有哪些不足。讲授:要设计一个安全的应用程序,必须熟悉书上的安全性原则。在创建安全策略时需要考虑这些安全性原则。讲解课本:::第12页讲授:本章节的最后,我们来看一下主要的一些术语:讲解课本:::第13页可以根据学生前面学习过的一些专业知识,启发学生进一步认识所学的知识点。:本节主要达到一个目的。确定应用程序面临的威胁。(略讲)教学内容教学方法教学提示讲授:安全特性的计划和实现将会贯穿整个产品的开发过程。在为应用程序安全性制定计划时,要查看底层网络和主机基础设施提供给应用程序的安全级别,以及目标环境可能会强加的任何限制。而且还要考虑部署拓扑和中间层应用程序服务器,外围网络(也称作DMZ,非军事区,遮蔽子网)和内部防火墙等可能带来的影响。讲解课本:::第18页讲