軟件安全保障是確保系統(tǒng)安全的必要手段
理想中,安全的軟件是不存在任何安全漏洞,能抵御各種攻擊威脅的軟件?,F(xiàn)實(shí)中這樣的軟件是不可能存在的,因?yàn)榘踩{無處不在。
在軟件開發(fā)的生命周期中,從需求、設(shè)計(jì)到實(shí)現(xiàn),如果在安全方面稍有不慎,就有可能將安全漏洞引入軟件。軟件安全保障的思路是在軟件開發(fā)生命周期各階段采取必要的安全考慮和相應(yīng)的安全措施,盡量不能完全杜絕所有的安全漏洞,也可以做到避免和減少大部分安全漏洞。
軟件安全保障是指確保軟件能夠按照開發(fā)者的預(yù)期,提供與威脅響應(yīng)性的安全能力,從而維護(hù)軟件自身的安全屬性,避免存在可以被利用的安全漏洞,并且能從被入侵和失敗的狀態(tài)中恢復(fù)。軟件安全保障的目標(biāo)是使軟件可以規(guī)避安全漏洞,按照預(yù)期的方式執(zhí)行其功能,以增強(qiáng)開發(fā)者和使用者的信息。
由于信息系統(tǒng)所承載業(yè)務(wù)的風(fēng)險(xiǎn)很大程度上與軟件安全息息相關(guān),軟件安全保障已經(jīng)成為當(dāng)前信息安全需要解決的關(guān)鍵問題。
如果要保障軟件安全,可以從軟件的安全性上進(jìn)行考慮。也就是常說的CIA原則,即保密性、完整性和可用性,這幾個屬性也是軟件的核心安全屬性。對于安全性要求較高的軟件系統(tǒng),在滿足軟件核心安全屬性的基礎(chǔ)上,抗抵賴性、可預(yù)測性及可靠性也是軟件需要考慮的重要安全屬性。