基于软件工程思想的软件安全性保障框架研究.docVIP

基于软件工程思想的软件安全性保障框架研究 　　摘要:通过分析软件安全领域存在的问题,以软件工程思想为基础,运用系统安全工程的原则,提出一个软件安全性保障框架。在软件开发生命周期过程中,将软件安全保障集成到需求分析,设计编码,测试,维护四个环节中,详细阐述了每个环节要进行的安全性处理的任务,采用一系列安全预测和分析技术,确保软件开发的安全性和可靠性。 　　关键词:软件工程;系统安全工程;软件安全性保障框架 　　中图分类号:TP311文献标识码:A文章编号:1009-3044(2009)31-0000-00 　　 　　Research on Software Security Framework Based on Software Engineer Thinking 　　ZHANG Ya-lin1, GENG Xiang-yi2 　　(Software Institute of Dalian Jiaotong University, Dalian 116028, China) 　　Abstract: The software security assurance framework used the principle of system safety engineering and based on software engineering thinking. By analyzing the problems in software security area, including the safe loophole of software, integrated software security to demand analysis, design, testing and maintenance of code in the software development life cycle process, then described every aspect of the task of security in detail. Ensure the security of software development and reliability by using a series of security prediction and analysis techniques. 　　Key words: software engineering; system safety engineering; software security assurance framework 　　 　　自从互联网普及后,软件安全问题愈加突显。由互联网上的病毒和攻击者引起的身份窃取、数据丢失以及一般性的混乱已经随处可见。单单2008年第一季度,就有1474个不同的软件脆弱点报告上来,只有64个发布了相应的解决方案。也就是说解决率大约只有4%[1]。不少安全专家都认为应用软件安全将成为信息系统安全的下一个热点。 　　软件安全一般分为应用程序级别的安全性和操作系统级别的安全性。应用程序级别的安全性,包括对数据或业务功能的访问,在预期的安全性情况下,操作者只能访问应用程序的特定功能、有限的数据等。操作系统级别的安全性是确保只有具备系统平台访问权限的用户才能访问,包括对系统的登录或远程访问。[2] 　　1 基于软件工程的软件安全性保障框架 　　1.1 传统开发方法在安全方面的不足 　　在传统面向对象项目开发过程中,在安全性方面存在以下不足[3]: 　　1) 设计阶段,由于以类为单位组织建模,因此它不能全面地反映软件系统的安全需求。 　　2) 编码阶段,将数据和方法封装到类中的思想增强了数据的安全性和软件的模块化,但是有一些数据和方法是特定于应用的,对于系统安全方面的考虑比较少。 　　3) 维护阶段,一般是系统在使用过程中发现了漏洞再去修补,不仅效率低而且工作量大。 　　2.2 基于软件工程原理的软件安全性保障框架 　　本文依据系统安全工程的原理,将软件安全引入到软件开发生命周期之中。为了开发出安全的应用软件,提出一个软件安全性保障框架,将软件安全保障实施到软件开发的各个模块当中。 　　该框架具体分为:软件安全需求分析、软件安全设计与编码、软件安全检测与评估、漏洞响应和维护阶段。首先分析软件开发中可能出现的安全问题,了解项目的安全需求,之后再要保证程序设计和编码过程中的安全性,开发完成后对软件进行安全性检测和评估,最后进行产品的维护,对产品中存在的漏洞问题进行响应和处理。设计出该框架的示意图如图1。 　　2.2.1软件安全需求分析 　　软件安全分析开始于项目开发初期并贯穿于整个系统生命周期的始终。在完成项目