中文字幕高清在线,中文字幕在线电影观看,中文字幕在线看,免费国产一区二区三区,男攻调教双性男总裁,热热涩热热狠狠色香蕉综合,亚洲精品网站在线观看不卡无广告

軟件安全性保障框架研究論文

時間:2021-04-15 09:59:49 論文 我要投稿

軟件安全性保障框架研究論文

  近幾年互聯(lián)網(wǎng)的大量普及,軟件安全問題開始愈加突顯。因為互聯(lián)網(wǎng)上的病毒和攻擊者引起的身份竊取、數(shù)據(jù)丟失以及一般性的混亂事件已經(jīng)隨處可見。單單2008年第一季度,就有1474個不同的軟件脆弱點報告上來,只有64個發(fā)布了相應的解決方案。也就是說解決率大約只有4%。應用軟件安全將成為信息系統(tǒng)安全的下一個熱點。

軟件安全性保障框架研究論文

  軟件安全一般分為應用程序級別的安全性和操作系統(tǒng)級別的安全性。應用程序級別的安全性,包括對數(shù)據(jù)或業(yè)務功能的訪問,在預期的安全性情況下,操作者只能訪問應用程序的特定功能、有限的數(shù)據(jù)等。操作系統(tǒng)級別的安全性是確保只有具備系統(tǒng)平臺訪問權(quán)限的用戶才能訪問,包括對系統(tǒng)的登錄或遠程訪問。

  1基于軟件工程的軟件安全性保障框架

  1.1傳統(tǒng)開發(fā)方法在安全方面的不足

  在傳統(tǒng)面向?qū)ο箜椖块_發(fā)過程中,在安全性方面存在以下不足:

  1)設計階段,由于以類為單位組織建模,因此它不能全面地反映軟件系統(tǒng)的安全需求。

  2)編碼階段,將數(shù)據(jù)和方法封裝到類中的思想增強了數(shù)據(jù)的安全性和軟件的模塊化,但是有一些數(shù)據(jù)和方法是特定于應用的,對于系統(tǒng)安全方面的考慮比較少。

  3)維護階段,一般是系統(tǒng)在使用過程中發(fā)現(xiàn)了漏洞再去修補,不僅效率低而且工作量大。

  2.2基于軟件工程原理的軟件安全性保障框架

  本文依據(jù)系統(tǒng)安全工程的原理,將軟件安全引入到軟件開發(fā)生命周期之中。為了開發(fā)出安全的應用軟件,提出一個軟件安全性保障框架,將軟件安全保障實施到軟件開發(fā)的各個模塊當中。

  該框架具體分為:軟件安全需求分析、軟件安全設計與編碼、軟件安全檢測與評估、漏洞響應和維護階段。首先分析軟件開發(fā)中可能出現(xiàn)的安全問題,了解項目的安全需求,之后再要保證程序設計和編碼過程中的安全性,開發(fā)完成后對軟件進行安全性檢測和評估,最后進行產(chǎn)品的維護,對產(chǎn)品中存在的漏洞問題進行響應和處理。

  2.2.1軟件安全需求分析

  軟件安全分析開始于項目開發(fā)初期并貫穿于整個系統(tǒng)生命周期的始終。在完成項目需求分析的同時,也要建立安全需求。在這個階段主要完成兩個任務:

  1)軟件需求危險分析計劃制定

  在系統(tǒng)需求分析階段,首先建立軟件安全需求定義,確保軟件安全需求定義的正確性,然后制定一個危險分析計劃。

  2)寫出初步的軟件安全需求文檔

  安全分析的結(jié)果應寫成軟件安全需求文檔,應用到軟件需求文檔、軟件設計文檔、軟件測試計劃、軟件維護計劃中去。

  2.2.2軟件安全設計和編碼階段

  安全從設計開始。設計階段如果出了安全問題,那下一步的測試維護工作會更加困難而又低效。這個階段主要有三個任務:

  1)進行軟件設計危險分析

  明確在設計階段有哪些安全方面的目標需要達到,識別軟件可能會遇到的攻擊和一些安全隱患,劃出安全邊界、哪些數(shù)據(jù)是比較可信的、哪些輸入接口較易成為攻擊目標、列出潛在的.攻擊方式等,確保設計的完整性和正確性。

  2)軟件安全設計

  進行安全分析之后,還必須進行軟件安全設計。設計時要注意盡量降低危險發(fā)生率,對可能發(fā)生危險的地方要提供警告,危險發(fā)生后采取有效措施進行控制,同時還要注意所額外增加的復雜度。

  3)基于編碼的軟件安全分析

  在軟件代碼編寫階段,也要注意編碼過程中是否會引入新的危險,因為編碼人員可能會不小心使用一個不安全的函數(shù)。除了要求編碼人員提高程序質(zhì)量之外,還可以使用第三方的安全編譯來提高編碼階段的安全水平。

  2.2.3軟件安全檢測與評估階段

  軟件安全性測試是軟件安全開發(fā)生命周期不可缺少的一個組成部分,測試中的投入要遠遠小于項目完成后再進行的漏洞修補和安全維護。

  安全性測試和普通的功能性測試的測試目的是不同的。軟件安全測試的目的是確保軟件不會去完成沒有預先設計的功能,而且所有預料到的危險已經(jīng)被消除或減輕。如代碼運行過程中系統(tǒng)是不是處于安全的狀態(tài),系統(tǒng)運行風險是否可以接受,操作人員的失誤包括極端環(huán)境在內(nèi)的各種異常和故障是否被妥當控制,盡可能找到軟件中的所有漏洞,減少軟件遭到攻擊的可能性。

  軟件的安全檢測通常包括一下幾個方面:靜態(tài)檢測、動態(tài)檢測、文檔檢查、出錯處理和異常情況檢測。

  1)動態(tài)檢測

  選擇合適的測試用例,實際執(zhí)行待測程序,通過分析程序運行時的內(nèi)存、變量、內(nèi)部寄存器等中間結(jié)果來檢測程序運行時的正確性。

  2)靜態(tài)檢測

  靜態(tài)檢測是在程序沒有運行的情況下,靜態(tài)分析程序的數(shù)據(jù)流和控制流,然后給出相應的測試分析報告。

  3)檢查文檔

  檢查需求說明書、概要設計說明書、詳細設計說明書中是否有對安全性的設計和描述,對安全性的描述是否和需求一致,還有用戶文檔是否有安全性注意事項等。

  4)出錯處理和異常情況檢測

  保證各種出錯和異常情況都被處理,提示給用戶的出錯信息不會涉及到程序設計的細節(jié),而且軟件的異常情況不能導致程序進入不可知的危險情況。

  2.4.4漏洞響應和維護階段

  即使我們在需求分析,軟件設計,代碼編寫,以及軟件測試過程中都加入了安全因素的考慮,最終的軟件產(chǎn)品還是可能會存在漏洞,所以漏洞響應和維護是很重要的一個環(huán)節(jié),軟件的維護和跟蹤,響應、修復漏洞是很重要的。漏洞發(fā)現(xiàn)后要在第一時間采取措施,確保客戶的利益不被侵害。這個階段大致可分為以下兩個階段:

  1)漏洞響應

  發(fā)現(xiàn)漏洞,首先通知客戶收到漏洞報告,聯(lián)系相關(guān)的開發(fā)部門進行技術(shù)細節(jié)的分析,為漏洞進行風險評估。

  2)修復漏洞

  開發(fā)部門和安全響應部門協(xié)商進行解決方案的制定,對修復漏洞的補丁進行嚴格測試之后對外公布安全補丁,發(fā)布安全簡報。

  3結(jié)論

  真實有效的安全解決方案能為開發(fā)安全的關(guān)鍵軟件提供好的思路。本文運用系統(tǒng)安全工程的原則,對軟件安全工程進行詳細分析,提出初步的軟件安全性保障框架,詳細論述了框架各階段的安全分析工作,并結(jié)合實際提出一些實用的改進方法,有一定的參考價值,希望在大量的實際應用中逐步完善成為使用有效的軟件安全性保障方案。

  參考文獻:

  [1]軟件安全速成課企業(yè)系統(tǒng)有多脆弱?[EB/OL].  [2]軟件系統(tǒng)的安全必須能夠經(jīng)受住正面的攻擊

  [3]于東輝.基于面向方面的軟件安全框架的研究[D].大連:大連理工大學,2005.

  [4]蔡霞,陳基熊.軟件安全及有關(guān)技術(shù)淺析[J].計算機應用,1999(11).

  [5]崔丹丹,張二峰.軟件安全問題初探[J].商場現(xiàn)代化,2009(2).

  [6]余勇,林為民.軟件安全開發(fā)模型的研究[J].計算機安全,2005(4).

【軟件安全性保障框架研究論文】相關(guān)文章:

彈性城市及規(guī)劃框架研究論文10-28

基于 Spring 框架的依賴注入研究論文11-04

幼兒成長的安全保障研究論文02-22

多跨框架軟件開發(fā)論文開題報告03-23

云計算框架下的網(wǎng)站群架構(gòu)及安全性設計探索論文11-12

配電安全保障與安全管理研究論文10-19

斷點續(xù)傳軟件研究論文11-04

IOSiOS平臺應用程序的安全性研究論文11-01

節(jié)能減排監(jiān)控系統(tǒng)的計算框架研究論文10-26