安全軟件開發(fā)周期的研究.pdf

1、隨著社會(huì)的信息化程度提高，人們對(duì)信息的依賴程度也越來越多。當(dāng)今社會(huì)，無論是工作還是生活，人們都要大量使用各種程序。隨著互聯(lián)網(wǎng)和基于互聯(lián)網(wǎng)的應(yīng)用系統(tǒng)的不斷發(fā)展，軟件安全問題日趨嚴(yán)重,程序安全受到越來越高的重視：在中國信息產(chǎn)業(yè)“十一五”規(guī)劃中，明確提出要研制安全基礎(chǔ)軟件產(chǎn)品，提高國產(chǎn)軟件在信息安全的市場份額；美國總統(tǒng)奧巴馬更明確表示信息安全問題已成為美國經(jīng)濟(jì)與國家安全面臨的最嚴(yán)重問題。
　　 為進(jìn)一步優(yōu)化軟件的開發(fā)過程，解決程序安全

2、問題，業(yè)界展開了一系列研究，取得了可喜的成果。目前的引進(jìn)和實(shí)踐的軟件開發(fā)的流程主要有：Secure Development Life Cycle 簡稱SDL，Systems Security Engineering Capability Maturity Model簡稱SSE-CMM、Comprehensive，Lightweight Application Security Process簡稱CLASP等。毫無疑問，這些開發(fā)流程取得了

3、巨大進(jìn)步，但還是各有各的不足，有些缺乏完整性，對(duì)于非IT企業(yè)或中小型企業(yè)不是非常適用，流于形式和理論的層面比較多。
　　 本文通過研究相關(guān)理論，參與軟件開發(fā)項(xiàng)目，結(jié)合工作的體會(huì)，提出一個(gè)相對(duì)完整的，對(duì)企業(yè)更實(shí)用的安全軟件開發(fā)周期簡稱S-SDLC (Secure Software Development Life Cycle)，這個(gè)過程主要用于非IT的中小型企業(yè)的IT部門開發(fā)關(guān)鍵性的程序。本文通過闡述軟件開發(fā)的各個(gè)環(huán)節(jié)來研究每個(gè)階

4、段對(duì)信息安全的控制，包括安全需求分析框架、基于風(fēng)險(xiǎn)威脅分析的安全設(shè)計(jì)、基于源代碼的安全開發(fā)、以評(píng)審為中心的質(zhì)量保證、基于弱點(diǎn)分析的安全測試、安全部署和事后控制等環(huán)節(jié)來詳細(xì)闡述。
　　 安全需求階段介紹安全需求的各種驅(qū)動(dòng)因素包括來自法律法規(guī)的要求，來自技術(shù)標(biāo)準(zhǔn)還有商務(wù)的要求等，以及本文的內(nèi)容和組織結(jié)構(gòu)。安全設(shè)計(jì)章節(jié)詳細(xì)討論了安全設(shè)計(jì)中的指南，介紹編寫安全用例和濫用用例和基于威脅分析的風(fēng)險(xiǎn)管理，總結(jié)了安全代碼的最好實(shí)踐，提倡建立安全

5、共用物件庫和使用工具DevInspect。本文還強(qiáng)調(diào)了基于弱點(diǎn)分析的滲透測試是質(zhì)量保證的延續(xù)部分，關(guān)鍵弱點(diǎn)的消除是通過認(rèn)證的保證。認(rèn)證是質(zhì)量保證的里程碑，通過了認(rèn)證才能進(jìn)行最后的部署。部署階段介紹安全部署指南和清單,保證成功完整S-SDLC最后一個(gè)階段，同時(shí)建立事故響應(yīng)機(jī)制，進(jìn)行項(xiàng)目總結(jié)保證系統(tǒng)上線后的穩(wěn)定和為今后項(xiàng)目提供參考，最后通過eCommerce的案例具體分析闡述本文的觀點(diǎn)。
　　 本文的創(chuàng)新之處在于提出一個(gè)以安全為中心