扩展 SDL- 记录和评估您的应用程序的安全保证--.doc

　　扩展 SDL: 记录和评估您的应用程序的安全保证 　　本文讨论: 　　分析应用程序功能的安全性 　　深入考察安全要求 　　SDL 的自上而下的安全设计扩展 　　向用户和专家披露技术细节 　　本文使用了以下技术: 　　安全开发生命周期 (SDL) 目录 　　安全分析 　　自上而下的安全设计 　　披露技术细节 　　Microsoft 的内部软件设计和开发实践（称为安全开发生命周期 (SDL)）正在进入成熟阶段，开始准备在公司外部宣传并让公众采用。这在一定程度上得益于安全开发生命周期这本书的畅销，这本书的是 Michael Hodash; 根据 SDL 提出的要求和建议开发的软件确实在防御攻击方面能够做得更好。然而，对于其所有记录的成功案例，仍然有些按照 SDL 要求开发的软件无法回答许多客户提出的一个基本问题：产品提供了什么安全功能？ 　　在本文中，我将提供一个 SDL 扩展的案例研究，如果采用，则用户和软件产品的安全功能设计师之间就可以更好地进行信息交流。我的这种方法要求人们认识到，软件安全不是一件合乎规范的人工制品。而是一组重要功能，在决定是否采购时，可以并应该对这些功能进行记录、评估和使用。安全功能（我将其称为软件的安全保证）是有深度的，并且分为多个级别。在大多数用户可理解的高级别上，这些功能应该在面向客户的销售材料中进行描述。还应准备面向相关技术专家的更低级别的技术细节，来解答那些希望了解该技术的人员的询问。 　　安全分析 　　当然，恶意黑客和合法安全研究人员会对软件进行一些必要的分析，以剖析软件的安全保证；他们会不可避免地对软件进行一些反向工程，然后得出自己的结论。遗憾的是，在当今的软件市场上，大多数客户只知道，如果发现、公开或利用了软件中的某个缺陷，则会认为该软件的安全功能较差。软件行业的这种状态违背了称为 Kerckhoff 原理（也称作 Shannon 原理）的基本原则，该原则指出，软件安全功能的实现是要面向公众的：安全的整个内容在于仅确保授权方访问权限的密钥。这并不是说，软件开发社区通过隐匿性过度依赖于安全，或者所有的软件供应商必须将其技术公布为开源的。我想指出的根本问题是，当今的软件，大体上是按照符合以下两个原则的方式开发和分发的： 　　在实现过程中利用可靠的软件工程实践 　　在部署软件之后对黑客发现的漏洞进行修补 　　但存在一个一直被忽略的关键问题。它涉及到对以下问题的确认：为确保产品更加安全而设计的每个安全功能及其实现的每个环节必然向上归结为产品提供的某个显式功能或某个隐式安全保证。由于软件的各个方面都是基于其功能要求构建的这一事实已得到普遍公认，所以这样做很有意义。我要说的第一个重要规则是： 　　设计和开发满足用户提出的上述要求以及隐式安全要求的软件。 　　作为安全专业人员，我对软件的安全保证特别关注。最近，我需要选择一个软件包来备份我的文件。与大多数用户一样，从我的便携式计算机中备份的数据包含一些敏感的、与个人身份相关的财务信息（如我的 Microsoftreg; Money 文件）。我的便携式计算机中的数据使用加密文件系统(EFS) 进行保护，因此，我理所当然不用担心有任何数据丢失和被盗的风险。但将我的数据备份到我喜爱的网络附加存储 (NAS) 设备（它是一种价格非常昂贵的硬件设备，也是潜在盗贼最钟爱的目标）却令人不安。我想确保盗贼无法恢复存储在 NAS 上的数据。因此，我采购的软件必须符合我的安全要求，还要向我证明该软件确实具有此功能。 　　我开始在网上搜索，并对不同的软件包进行审查和比较。我在 Inter 上发现了一个专业网站，其中列出了一些很有用的比较列表。毫不夸张地说，我可以找到与备份功能相关的几十种功能的信息，如磁盘映像、支持的备份类型（增量和镜像）、支持的介质类型（NAS、CD-ROM 等）、驱动器跨区、注册表备份、计划和对锁定文件的访问。 　　但是，有关安全的主题，我只找到两行信息：备份密码保护和备份密码加密。让我们更详细地讨论有关为什么该分类（通常是按供应商如何看待安全功能进行分类）会使具有安全意识的人担忧。 　　首先，备份密码保护的确切含意是什么？评论网站的这样写道：备份软件允许您对备份内容添加密码，以便您可以限制访问。我查看的每个软件包都有这项所谓的功能。但任何软件包都没有解释它的确切含意。 　　如果我使用密码保护我备份到 NAS 设备中的数据，那么我的数据将得到何种程度的保护？很可能，保护方案就像在图 1 中所看到的那样。表面看来，只要使用备份软件访问文件，文件就会受到保护。在此图示中，便携式计算机用户必须对备份软件提供密码，这样就可以代表用户执行密码检查并检索备份。但是，攻击者不需要使用如此礼貌的约定：为了访问文件，他可能在传输文件时嗅探网络，或盗取文件服