软件开发过程中的信息安全管理.docxVIP

软件开发过程中的信息安全管理

随着互联网和大数据的不断发展，信息化在社会各行业逐渐崭露头角，信息安全日渐引起人们的重视。而作为信息化实现的中坚力一一软件开发，如何做好软件开发过程中的信息安全管理，从而使得开发出的信息化产品更有安全保障，也是信息安全管理中非常重要的一个环节。

一、 软件安全问题的产生

软件安全问题产生的原因是什么？有的是因为开发者缺乏安全开发的动机，有的则是因为开发者缺乏相关知识，还有的是因为缺乏与安全开发的相关工具。

软件开发的信息安全管理实现思路是通过在软件开发生命周期各阶段采取必要的、相适应的安全措施来避免绝大多数的安全漏洞。

二、 安全的软件开发模型

随着软件安全开发的日益受到关注，多种模型被各大软件公司和软件专家提出和研究，例如微软提出可信计算安全开发生命周期，GaryMcGraw博士等提出的BSI系列模型，以及OWASP（OpenWebApplicationSecurityProject，开放式Web应用程序安全项目）组织提出的CLASP综合的轻量应用安全过程和SAMM软件保证成熟度模型等。

其中微软提出的SDL（SecurityDevelopmentLifecycle，安全开发生命周期）相对认可度较高，适合大型企业，大型软件的开发。该模型将软件生命周期划分为5+2个阶段，每个阶段有相应必需的安全活动，如图1所