軟件安全風(fēng)險評估

1、1 概述1.1 安全評估目的隨著信息化的發(fā)展， 政府部門、金融機構(gòu)、企事業(yè)單位等對信息系統(tǒng)依賴程度的日益增強， 信息安全問題受到普遍關(guān)注。 對信息系統(tǒng)軟件進行安全測評， 綜合分析系統(tǒng)測試過程中有關(guān)現(xiàn)場核查、技術(shù)測試以及安全管理體系評估的結(jié)果，對其軟件系統(tǒng)安全要求符合性和安全保障能力作出綜合評價， 提出相關(guān)改進建議，并在系統(tǒng)整改后進行復(fù)測確認(rèn)。 以確保信息系統(tǒng)的安全保護措施符合相應(yīng)安全等級的基本安全要求。根據(jù)最新的統(tǒng)計結(jié)果，超過 70%的安全漏洞出現(xiàn)在應(yīng)用層而不是網(wǎng)絡(luò)層。而且不只發(fā)生在操作系統(tǒng)或者 web瀏覽器，而發(fā)生在各種應(yīng)用程序中 - 特別是關(guān)鍵的業(yè)務(wù)系統(tǒng)中。因此，有必要針對 xxx 系統(tǒng)應(yīng)

2、用軟件進行安全風(fēng)險評估，根據(jù)評估結(jié)果，預(yù)先采取防范措施，預(yù)防或緩解各種可能出現(xiàn)的信息數(shù)據(jù)安全風(fēng)險。1.2 安全評估要求XXXXXXXX2 軟件安全評估具體需求2.1 安全評估指導(dǎo)原則軟件安全風(fēng)險評估作為一項目標(biāo)明確的項目，應(yīng)分為以下五個階段，每個階段有不同的任務(wù)需要完成。1、啟動和范圍確定：在安全相關(guān)軟件的合同或任務(wù)書中應(yīng)提出軟件安全性分析的范圍和要求。 實施方明確責(zé)任，管理者檢查必備的資源 （包括人員、技術(shù)、基礎(chǔ)設(shè)施和時間安排），確保軟件安全性分析的開展；2、策劃：軟件安全性分析管理者應(yīng)制定安全性分析計劃，該計劃可作為所屬軟件過程或活動的計劃的一部分。3、執(zhí)行和控制：管理者應(yīng)監(jiān)控由軟件安全性

3、分析計劃規(guī)定的任務(wù)的執(zhí)行。管理者應(yīng)控制安全性分析進展并對發(fā)現(xiàn)的問題進行調(diào)查、分析和解決（解決方案有可能導(dǎo)致計劃變更）。4、評審和評價：管理者應(yīng)對安全性分析及其輸出的軟件產(chǎn)品進行評價，以便使軟件安全性分析達(dá)到目標(biāo)，完成計劃。5、結(jié)束：管理者應(yīng)根據(jù)合同或任務(wù)書中的準(zhǔn)則，確定各項軟件安全性分析任務(wù)是否完成，并核查軟件安全性分析中產(chǎn)生的產(chǎn)品和記錄是否完整。2.2 安全評估主要任務(wù)根據(jù)安全評估指導(dǎo)原則， 為盡量發(fā)現(xiàn)系統(tǒng)的安全漏洞， 提高系統(tǒng)的安全標(biāo)準(zhǔn)，在具體的軟件安全評估過程中，應(yīng)該包含但不限于以下七項任務(wù)：2.2.1 軟件需求安全性分析需要對分配給軟件的系統(tǒng)級安全性需求進行分析，規(guī)定軟件的安全性需求，

4、保證規(guī)定必要的軟件安全功能和軟件安全完整性。評測人員需要根據(jù)軟件安全性分析準(zhǔn)備的結(jié)果和系統(tǒng)的初步結(jié)構(gòu)設(shè)計文檔，包括系統(tǒng)分配的軟件需求、 接口需求，完成對系統(tǒng)安全性需求的映射，以安全相關(guān)性分析和對軟件需求的安全性評價。通過需求安全性分析， 才能夠?qū)浖谙到y(tǒng)中的安全性需求作出一個綜合性的評價，更好地提交對后續(xù)的軟件設(shè)計和測試的建議。2.2.2 軟件結(jié)構(gòu)設(shè)計安全性分析需要評價軟件結(jié)構(gòu)設(shè)計的安全性，以保證軟件安全功能的完整性。從安全角度講，軟件結(jié)構(gòu)設(shè)計是制定軟件基本安全性策略的階段，因為這一階段負(fù)責(zé)定義主要軟件部件，以及它們?nèi)绾谓换ィ绾潍@得所要求的屬性， 特別是安全完整性，是軟件安全性需求在結(jié)構(gòu)定

5、義中實現(xiàn)的階段。對結(jié)構(gòu)設(shè)計進行安全性分析需要將全部軟件安全性需求綜合到軟件的體系結(jié)構(gòu)設(shè)計中，確定結(jié)構(gòu)中與安全性相關(guān)的部分，并評價結(jié)構(gòu)設(shè)計的安全性。結(jié)構(gòu)設(shè)計是開發(fā)人員對系統(tǒng)期望功能和功能實現(xiàn)方式的表示方法，但是溝通的一致性，和設(shè)計的合理性， 通常會影響到安全完整。 所以有必要對軟件設(shè)計進行安全性評估， 一方面確認(rèn)軟件安全需求是否在設(shè)計中得到體現(xiàn)，另一方面確認(rèn)設(shè)計是否合理、是否存在漏洞。2.2.3 軟件編程安全性分析選擇合適的編程語言。 所有編程語言無論在其定義還是在其實現(xiàn)中都有其不安全性。這通常會造成編碼人員對語言的誤用，而對這些誤解， 一些相對開放的語言又缺乏相應(yīng)的解釋。例如：1、未初始化的變

6、量。除非進行特別的檢查，否則單元測試不會發(fā)現(xiàn)他們。而這將導(dǎo)致，一個程序在不同的環(huán)境下雖然運行成功， 但運行結(jié)果卻不是期望值。2、當(dāng)要求重新分配存儲器的調(diào)用時應(yīng)予以檢查，以確保不僅釋放指針而且釋放該結(jié)構(gòu)所用的存儲器。3、運算符優(yōu)先級的規(guī)則，一些語言的要求并不是那么嚴(yán)格，容易是程序員發(fā)生誤解。如果某種語言有精確的定義（也有完備的功能性），從邏輯上說是清晰的，有易管理的規(guī)模和復(fù)雜度， 那么就認(rèn)為這個語言適用于安全相關(guān)性軟件。使用編程語言時，也應(yīng)該針對該語言的特點， 努力滿足安全性要求。 如果一種編程經(jīng)驗或編程風(fēng)格因為能夠提高軟件安全性而被公認(rèn)為專用性編碼標(biāo)準(zhǔn)，可以選擇這樣一種編碼標(biāo)準(zhǔn)來約束對不安全語

7、言的使用。因此進行軟件安全評估過程中， 需要根據(jù)編程語言的特性， 對相應(yīng)易產(chǎn)生漏洞的不安全因素進行重點分析， 可以在提高工作效率的基礎(chǔ)上， 有針對性的增強軟件的安全性。同時，根據(jù)不同編程語言的特性，對編碼標(biāo)準(zhǔn)進行分析，也會一定程度上減少對不安全語法的使用，從而減少漏洞的產(chǎn)生。2.2.4 軟件詳細(xì)設(shè)計安全性分析對軟件詳細(xì)設(shè)計的安全性分析， 主要是評估設(shè)計實現(xiàn)是否符合安全性的要求。軟件詳細(xì)設(shè)計進一步細(xì)化高層的體系結(jié)構(gòu)設(shè)計，將軟件結(jié)構(gòu)中的主要部件劃分為能獨立編碼、編譯和測試的軟件單元，并進行軟件單元的設(shè)計。在安全性分析的這一階段中，需要依據(jù)軟件需求、 結(jié)構(gòu)設(shè)計描述、 軟件集成測試計劃和之前所獲得的軟

8、件安全性分析的結(jié)果，對軟件的設(shè)計和實現(xiàn)階段是否符合軟件安全性需求進行驗證。軟件詳細(xì)設(shè)計的目的是進一步對設(shè)計實現(xiàn)進行細(xì)化，便于編碼。所以針對詳細(xì)設(shè)計的安全分析工作需要包含以下主要內(nèi)容：1、軟件詳細(xì)設(shè)計是否能追溯到軟件需求；2、軟件詳細(xì)設(shè)計是否已覆蓋了軟件安全性需求；3、軟件詳細(xì)設(shè)計是否與軟件結(jié)構(gòu)設(shè)計保持了外部一致性；4、軟件詳細(xì)設(shè)計是否滿足模塊化、可驗性、易安全修改的要求。2.2.5 軟件編碼安全性分析軟件編碼完成軟件詳細(xì)設(shè)計的實現(xiàn)。所以，代碼應(yīng)該體現(xiàn)軟件詳細(xì)設(shè)計所提出的設(shè)計要求， 實現(xiàn)設(shè)計過程中開發(fā)的安全性設(shè)計特征和方法，遵循設(shè)計過程中提出的各種約束以及編碼標(biāo)準(zhǔn)。對軟件代碼的安全性分析， 可以

9、從兩個方面進行： 人工分析以及靜態(tài)代碼分析工具來檢查源代碼。人工分析主要從以下幾個方面入手：1、分析軟件代碼是否能追溯到需求；2、分析軟件代碼是否符合支持工具和編程語言分析；3、分析軟件代碼是否滿足模塊化、可驗證、易安全修改的要求；4、分析軟件編碼中所使用技術(shù)的安全性和方法的合理性。通過靜態(tài)代碼分析工具檢查源代碼的安全性，需要根據(jù)編碼語言的特性、 采用的軟件框架的特性等， 有針對性的對代碼進行分析、檢查漏洞、 并提出相應(yīng)的改進建議。2.2.6 軟件測試安全性分析軟件測試作為驗證軟件功能性和安全性的重要手段，其采用的測試方法和測試技術(shù)也完全關(guān)系著測試結(jié)果的準(zhǔn)確性，關(guān)系著后續(xù)軟件的變更和測試的有效

10、性。軟件測試安全性分析首先須進行測試前分析，還需要對測試結(jié)果進行評價，需要從不同角度進行按步驟的測試：1、分析所有測試用例，測試是否通過測試準(zhǔn)則。2、測試代碼是否按照要求分析，并達(dá)到相應(yīng)的測試覆蓋率。3、對測試結(jié)果進行分析，以驗證所有的安全性需求是否得到了滿足。2.2.7 軟件安全性測試通過軟件安全性的測試，可以驗證或發(fā)現(xiàn)系統(tǒng)安全方面的問題。對于軟件需求說明書上既定的有關(guān)安全的功能需求，需要在安全性測試過程中一一進行驗證測試。對于沒有在軟件需求書上標(biāo)明的可能影響系統(tǒng)運行安全的隱性需求需要通過安全性測試盡力發(fā)現(xiàn)。 軟件安全性測試需要采取靜態(tài)分析技術(shù)和功能測試兩種方式發(fā)現(xiàn)系統(tǒng)開發(fā)時存在的安全漏洞。靜態(tài)分析技術(shù)： 需通過對需求分析說明書、 軟件設(shè)計說明書、 源程序作結(jié)構(gòu)檢查、流圖分析等找出軟件的缺陷及安全漏洞?？梢酝ㄟ^合適的自動化檢查工具進行靜態(tài)分析以提高測試的效率和準(zhǔn)確度。功能測試：功能測試屬動態(tài)測試， 驗證的是軟件的功能實現(xiàn)。通過功能驗證來檢查我們是否達(dá)到了沒有安全漏洞的要求。3 相關(guān)注意事項1、安全測試的執(zhí)行，對