軟件安全設(shè)計中的風(fēng)險管理論文

軟件安全設(shè)計中的風(fēng)險管理論文

　　摘 要：互聯(lián)網(wǎng)的廣泛應(yīng)用和信息系統(tǒng)的龐大、復(fù)雜的設(shè)計使得軟件安全在當(dāng)前計算機安全體系中所占的比重逐漸增大，而軟件安全設(shè)計所需要考慮的風(fēng)險也隨之增加，為此應(yīng)當(dāng)把軟件安全性相關(guān)的問題當(dāng)成一個風(fēng)險管理的問題來處理。

　　關(guān)鍵詞：軟件安全設(shè)計;風(fēng)險管理;電子商務(wù)

　　1 軟件安全問題日益突出

　　隨著互聯(lián)網(wǎng)的觸角深入到生產(chǎn)生活中的各個層面，軟件已經(jīng)不像以前那樣只是支持辦公和家庭娛樂這兩大主題了，而是成為現(xiàn)代商業(yè)的靈魂。軟件安全問題主要圍繞著軟件漏洞和易被攻擊脆弱點，它們都來自于軟件的設(shè)計和實現(xiàn)。

　　Internet催生了電子商務(wù)，移動互聯(lián)網(wǎng)使得APP變得如火如荼，未來物聯(lián)網(wǎng)也許可以將生活中的一切元素都納入到通信網(wǎng)絡(luò)中去。因此軟件安全問題將成為計算機安全的核心，而非防火墻等網(wǎng)絡(luò)硬件，或是諸如加密等手段。軟件安全是一切計算機安全性問題的根源，如果軟件行為出現(xiàn)異常，與之相關(guān)的可靠性、可用性等方面問題就會隨之暴露。軟件安全問題并不是互聯(lián)網(wǎng)出現(xiàn)后才有的，只不過互聯(lián)網(wǎng)是目前最容易攻擊軟件的途徑罷了。

　　2 軟件安全的現(xiàn)狀

　　2.1 人們的認知

　　隨著黑、客攻擊的新聞時常見諸媒體，人們對計算機安全問題有了一定認識。但不幸很多計算機安全人員和計算機教育培訓(xùn)人員都忽視了軟件安全的問題。一味地推崇某種軟件平臺是安全的，單純大力增加對網(wǎng)絡(luò)安全硬件和軟件的投入，這些做法是盲目甚至荒謬的。一切安全性都不是靜態(tài)特性，也沒有任何軟件是絕對安全的。軟件安全問題的關(guān)鍵節(jié)點是軟件的設(shè)計。

　　2.2 軟件安全設(shè)計的先天不足

　　世界上知名的軟件廠商并不是不了解軟件安全設(shè)計安全性的重要性，而是商業(yè)模式讓軟件安全方面存在著先天不足。稍縱即逝的商業(yè)機會、敏捷的軟件開發(fā)過程和短暫的軟件開發(fā)周期使得安全性方面的設(shè)計在很多時候都是被舍棄的。隨之而來的處理方式則是常見的penetrate-and-pach方法，即不停地發(fā)布補丁。這種做法從長遠來看，其成本與作用遠不及一開始就做好安全性的設(shè)計和審計。

　　3 軟件安全設(shè)計應(yīng)引入風(fēng)險管理

　　從項目管理的角度看，風(fēng)險指損失或損害的可能性。軟件項目涉及到的是：項目中可能發(fā)生的潛在問題和它們?nèi)绾畏恋K項目成功。風(fēng)險管理則是對應(yīng)軟件項目生命周期內(nèi)的風(fēng)險的科學(xué)和藝術(shù)。

　　軟件安全性的設(shè)計與軟件設(shè)計的其他一些質(zhì)量性能是互相抵觸的，例如冗余性、高效性。而軟件開發(fā)過程中的風(fēng)險管理與軟件開發(fā)的諸如時間、范圍、成本等因素也是相互抵觸的。但是絕不能因為這些可能發(fā)生的抵觸行為而放棄對安全性和風(fēng)險管理的考慮，反而應(yīng)該將軟件安全性設(shè)計納入到風(fēng)險管理的范疇中去。事實表明，93%的失控項目都忽視了風(fēng)險管理。

　　4 軟件安全設(shè)計風(fēng)險管理的實施

　　目前國際上對軟件安全方面的風(fēng)險管理存在著一個共同的認知，那就是采用高質(zhì)量的軟件工程的方法論可以在一定程度上解決這方面的問題，歐美一些國家也在試圖制定或修訂相關(guān)的一些“通用準(zhǔn)則”來指導(dǎo)軟件安全性設(shè)計的實踐。但是這只是從科學(xué)技術(shù)方面做出努力，我們可以學(xué)習(xí)借鑒。而在管理技術(shù)和藝術(shù)方面需要做出的努力則應(yīng)該嘗試本地化做法。

　　完整的風(fēng)險管理的過程應(yīng)該包括以下幾個環(huán)節(jié)：風(fēng)險管理計劃的編制、風(fēng)險識別、風(fēng)險定性分析、風(fēng)險定量分析、風(fēng)險應(yīng)對計劃編制和風(fēng)險監(jiān)督控制。將整個流程都走完的項目和企業(yè)都不多，一般來自于所謂的學(xué)院派。而時下大多數(shù)國內(nèi)外企業(yè)的做法是將這個7個流程簡化為誰來識別風(fēng)險、誰來對風(fēng)險負責(zé)這兩個環(huán)節(jié)。原因則是上文所提到的先天不足所致。

　　從技術(shù)上講，風(fēng)險管理的效益來自于潛在風(fēng)險最小化和潛在回報的最大化。而這個技術(shù)的應(yīng)用則一定需要經(jīng)歷風(fēng)險定量分析的過程。在這個過程中，可以使用的主要技術(shù)是決策樹分析、蒙特卡羅分析、PERT分析等等。這些技術(shù)都是建立在一定的數(shù)學(xué)和會計基礎(chǔ)之上。而令人遺憾的是，很多決策者本身對這些技術(shù)的認知或理解欠缺，以至于會抵觸這種方法。大多數(shù)做法是采用小團隊開發(fā)小軟件的做法，即采用訪談和敏感性分析來幫助風(fēng)險定量分析。

　　然而我們并不是要反對這種簡化做法，只是一定不能在簡化的做法之上再次簡化或敷衍了事。首先要做的工作是做好需求管理，在建立一組需求輸入的時候，一定要將安全性作為一個重要需求考慮進去。有一個比較好的方法是，在軟件設(shè)計時采用螺旋模型，需求的輸入可以在螺旋模型的各個生命周期中進行，而有關(guān)安全性的需求輸入則最好是在最初的一個螺旋中進行。

　　之后要做的工作是確定最大風(fēng)險。不可避免的要使用風(fēng)險定性和風(fēng)險定量分析的各種技術(shù)和方法。這個工作一定要有軟件設(shè)計師、項目決策者和用戶的參與，采用頭腦風(fēng)暴和專家訪談是不錯的選擇。而這個工作恰恰是現(xiàn)實生活中中小企業(yè)乃至客戶最容易忽略的。企業(yè)要考慮成本問題，而客戶的參與往往難以落

【軟件安全設(shè)計中的風(fēng)險管理論文】相關(guān)文章：

關(guān)于軟件項目管理中的風(fēng)險分析與管理10-12

有關(guān)風(fēng)險管理在電力安全生產(chǎn)管理中的運用的論文09-28

信息安全風(fēng)險評估綜合管理系統(tǒng)設(shè)計的論文06-21

淺談風(fēng)險投資運作中管理風(fēng)險的控制的論文07-27

安全風(fēng)險中電力技術(shù)措施與管理思考論文05-11

計算機軟件項目管理風(fēng)險管理策略論文08-21

產(chǎn)科護理中護理風(fēng)險管理的運用效果的論文07-08

關(guān)于軟件項目管理及風(fēng)險分析10-08

企業(yè)信息安全風(fēng)險管理研究論文08-15

護理風(fēng)險管理在急診患者安全管理中的實施效果05-11