软件安全保障是确保系统安全的必要手段 |
理想中,安全的软件是不存在任何安全漏洞,能抵御各种攻击威胁的软件。现实中这样的软件是不可能存在的,因为安全威胁无处不在。 在软件开发的生命周期中,从需求、设计到实现,如果在安全方面稍有不慎,就有可能将安全漏洞引入软件。软件安全保障的思路是在软件开发生命周期各阶段采取必要的安全考虑和相应的安全措施,尽量不能完全杜绝所有的安全漏洞,也可以做到避免和减少大部分安全漏洞。 软件安全保障是指确保软件能够按照开发者的预期,提供与威胁响应性的安全能力,从而维护软件自身的安全属性,避免存在可以被利用的安全漏洞,并且能从被入侵和失败的状态中恢复。软件安全保障的目标是使软件可以规避安全漏洞,按照预期的方式执行其功能,以增强开发者和使用者的信息。 由于信息系统所承载业务的风险很大程度上与软件安全息息相关,软件安全保障已经成为当前信息安全需要解决的关键问题。 如果要保障软件安全,可以从软件的安全性上进行考虑。也就是常说的CIA原则,即保密性、完整性和可用性,这几个属性也是软件的核心安全属性。对于安全性要求较高的软件系统,在满足软件核心安全属性的基础上,抗抵赖性、可预测性及可靠性也是软件需要考虑的重要安全属性。 |