软件安全风险管理.PDFVIP

第2 章 软件安全风险管理 由于隐私的需要，就产生了安全与易用性之间的权衡。理想情况下，应该是程序一 运行就可以按需使用，没有延迟……但因为隐私问题，当有机密的或限制性的信息时， 就不再这么简单了。 ——Donald Norman 《The Invisible Computer 》 我们在第 1 章中谈到的安全目标包括预防、跟踪与审计、监控、隐私和保密、多级安 全、匿名、认证和完整性。软件工程目标包括功能性、可用性、效率、上市时间和简单 性。除去简单性，设计一个系统同时满足安全目标和软件工程目标总是不容易的。 在大多数情况下，在两组目标之间进行权衡会导致严重的相互对抗。例如，可用性和 认证有矛盾时，偏重谁？多级安全与效率之间谁更重要？ 解决这些问题或类似问题的答案是，把软件的安全性看作风险管理。只有了解矛盾所 处的环境，才能做出明智的决定。这些决定根据情形有很大的不同，并且深受商业目标和 其他核心关注点的影响。 软件风险管理包括安全性、可靠性和稳定性。而不仅仅是安全性一件事。好消息是， 成熟的软件安全方法对其他几个方面都会有所帮助。坏消息是，软件安全管理是一个相对 较新的概念，很多人还不太理解。本章我们将讨论这个问题。 我们站在顶层设计的角度来总揽全局，综合论述软件风险管理，探讨其与安全之间 的关系。然后我们讨论谁来负责软件风险管理，他们该如何融合一个更完整安全的整 体，以及如何考虑开发和安全之间的关系。本书也会谈到所谓的“通用准则”（Common Criteria ）—一个试图提供国际化的标准的安全方法，更好地影响和指导软件安全的实践。 2.1　软件安全风险管理概述 软件风险管理最重要的先决条件是采用高质量的软件工程方法论，以保证很好地实现 20 ◆　第2章　软件安全风险管理 一 软件风险管理。首选方法是螺旋模型，如图2-1 所示 。螺旋模型认为通过反复做同类型的 事情而不是循环地执行，能够很好地实现开发过程。然而，螺旋思想是以目标为导向的， 即为了获得完整而健壮的产品。通常来说，螺旋模型中的重复都是为了基于新的经验来完 善产品。 确定目标、变 评估其他可选方式： 更选择、约束 确定、化解风险 风险分析 风险分析 风险 最终 分析 原型 原型3 原型2 回顾 仿真、模型、基准 需求计划 生命周期计划 运作概念 产品 设计 详细 开发计划 需求确认 设计