基于net的需求分析和解决方案设计09.docVIP

设计安全规范 本章概述 在本章中，将学习如何设计应用程序的安全性。设计安全特性和策略是应用程序开发中最重要的方面之一。随着企业网络安全性部分投入的增加，由于知识产权被盗取、系统停机、生产效率低下、声誉受损、消费者信心流失等方面带来的损失也在增加。然而，也许可以通过增加适当的用户验证和授权方案，加密以保证数据完整性，以及执行数据验证等措施，为业务应用程序在恶劣的环境中提供有效的保护。 教学目标 确定应用程序的一些安全性挑战和弱点 为应用程序计划安全策略 解释由 Microsoft? .NET 提供的安全特性 为应用程序层设计授权、身份验和审核策略 教学重点 为应用程序计划安全策略 为应用程序层设计授权、身份验和审核策略 教学难点 安全这个话题是一个时髦的话题，但作为一名学生很难体会到一个不安全的系统会给企业带来什么，所以需要老师耐心讲解 教学资源 课本 知识点 9.1应用程序开发的安全性概述 9.2为应用程序安全性制定计划 9.3使用 .NET框架的安全特性 9.4设计授权、身份验证、和审核策略 习题 　习题1-对应知识点为应用程序安全性制定计划 　习题2-对应知识点为应用程序安全性制定计划 习题3-对应知识点为应用程序安全性制定计划 习题4-对应知识点为应用程序安全性制定计划 习题5-对应知识点设计授权、身份验证、和审核策略 教师光盘 幻灯片 　教师光盘：\Powerpnt\2710B_09.ppt 多媒体视频 　教师光盘：\Powerpnt\ 习题解答 　教师光盘：\tPrep\answer 先修知识 在正式开始学习本章内容以前，学生须具备下列知识基础。 先修知识 推荐补充 了解Windows程序设计的基础知识。 《基于 VB.NET 的 Windows 程序设计》 了解WEB类程序设计的知识。 《面向 .NET 的 Web 应用程序设计》 连接XML Web Service 开发的知识。 《XML Web Service 开发》 建议学时 课堂教学（2课时） 教学过程 9.1应用程序开发的安全性概述 教学提示 ： 本章主要达到目的。 能够确定应用程序的一些常见安全漏洞。(略讲) 定义一些安全性术语。(略讲) 教学内容 教学活动 教学提示 讲授： 恶意攻击者使用各种方法利用系统漏洞，来达到他们的目的。漏洞是安全性方面的弱点，攻击者可以使用它们获得对一个组织的网络或者网络资源的访问权。下面这些漏洞，比如弱口令，并不是应用程序或者软件开发设计决策的结果。然而，让一个组织了解这些安全弱点，以更好地保护他们的系统是非常重要的。 下面我们会介绍几种漏洞： 弱口令 所谓强口令就是字母的大小写，数字和符号四个对象中任选三样出现在口令中的口令就是强口令，否则就是弱口令。弱口令极有可能被人攻破，其实现在包括QQ，MSN等软件都已经大面积的提出密码保护，设置强密码等宣传，就是这个道理。 软件配置错误 比如我们在安装很多软件的时候，在安装界面里，会出现选择是安装者个人使用，还是全部登陆该计算机的用户都可以使用。如果您的设置错误，很有可能造成通过应用软件的历史记录而泄秘的事件发生。 还有其他很多可能造成漏洞的地方，这里就不一一论述了。 讲解课本:9.1.1 阅书：9.1.1 \l 4幻灯：第4页 对于7种漏洞，教师需要给予学生一些实际的案例，方便学生的理解。 讲授： 我们来看一下传统安全模型的不足： 我们可以参考“CASESTDY\第九章\阅读文档\ Cyber Book安全计划.doc”文档： 目标 Cyber Bookshop.NET应用程序是基于网络的，因此主要的安全隐患是在对系统的访问是通过Internet方式来进行的。Cyber Bookshop.NET的安全计划是通过实现以下条件来最小化风险，减轻对数据以及网站可用性的威胁。 ? 数据的完整性.在收到来自外网的恶意攻击中没有数据的丢失 ? 数据的准确性. 没有数据被破坏或者改变 ? 数据的可访问性. 授权用户可以在规定的会话时间内访问数据 ? 禁止非法访问. 只有被确认的用户才能进行数据的访问与操作 从这里面就可以看出原有的项目的不足。所以作为目标进行改进。 讲解课本：9.1.2 阅书：9.1.2 \l 11幻灯：第11页 进行此段教学的过程中可以根据时间的允许程度给学生一点讨论的时间，让学生发散性的思考一下还有哪些不足。 讲授： 要设计一个安全的应用程序，必须熟悉书上的安全性原则。在创建安全策略时需要考虑这些安全性原则。 讲解课本：9.1.3 阅书：9.1.3 \l 12幻灯：第12页 讲授： 本章节的最后，我们来看一下主要的一些术语： 讲解课本：9.1.4 阅书：9.1.4 \l 13幻灯：第13页 可以根据学生前面学习过的一些专业知识，启发学生进一步认