軟件安全風(fēng)險(xiǎn)評(píng)估

1、1 概述1.1 安全評(píng)估目的隨著信息化的發(fā)展， 政府部門、 金融機(jī)構(gòu)、企事業(yè)單位等對(duì)信息系統(tǒng)依賴程 度的日益增強(qiáng)， 信息安全問題受到普遍關(guān)注。 對(duì)信息系統(tǒng)軟件進(jìn)行安全測評(píng)， 綜 合分析系統(tǒng)測試過程中有關(guān)現(xiàn)場核查、技術(shù)測試以及安全管理體系評(píng)估的結(jié)果， 對(duì)其軟件系統(tǒng)安全要求符合性和安全保障能力作出綜合評(píng)價(jià)， 提出相關(guān)改進(jìn)建議， 并在系統(tǒng)整改后進(jìn)行復(fù)測確認(rèn)。 以確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)安全等 級(jí)的基本安全要求。根據(jù)最新的統(tǒng)計(jì)結(jié)果，超過 70%的安全漏洞出現(xiàn)在應(yīng)用層而不是網(wǎng)絡(luò)層。而且不只發(fā)生在操作系統(tǒng)或者 web瀏覽器，而發(fā)生在各種應(yīng)用程序中-特別是關(guān) 鍵的業(yè)務(wù)系統(tǒng)中。因此，有必要針對(duì) xx

2、x系統(tǒng)應(yīng)用軟件進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，根據(jù) 評(píng)估結(jié)果，預(yù)先采取防范措施，預(yù)防或緩解各種可能出現(xiàn)的信息數(shù)據(jù)安全風(fēng)險(xiǎn)。1.2 安全評(píng)估要求XXXXXXXX2 軟件安全評(píng)估具體需求2.1 安全評(píng)估指導(dǎo)原則軟件安全風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)目標(biāo)明確的項(xiàng)目，應(yīng)分為以下五個(gè)階段，每個(gè)階 段有不同的任務(wù)需要完成。1、啟動(dòng)和范圍確定：在安全相關(guān)軟件的合同或任務(wù)書中應(yīng)提出軟件安全性 分析的范圍和要求。 實(shí)施方明確責(zé)任， 管理者檢查必備的資源 （包括人員、技術(shù)、 基礎(chǔ)設(shè)施和時(shí)間安排），確保軟件安全性分析的開展；2、策劃：軟件安全性分析管理者應(yīng)制定安全性分析計(jì)劃，該計(jì)劃可作為所 屬軟件過程或活動(dòng)的計(jì)劃的一部分。3、執(zhí)行和控制：管理

3、者應(yīng)監(jiān)控由軟件安全性分析計(jì)劃規(guī)定的任務(wù)的執(zhí)行。 管理者應(yīng)控制安全性分析進(jìn)展并對(duì)發(fā)現(xiàn)的問題進(jìn)行調(diào)查、 分析和解決（解決方案 有可能導(dǎo)致計(jì)劃變更）。4、評(píng)審和評(píng)價(jià)：管理者應(yīng)對(duì)安全性分析及其輸出的軟件產(chǎn)品進(jìn)行評(píng)價(jià)，以 便使軟件安全性分析達(dá)到目標(biāo)，完成計(jì)劃。5、結(jié)束：管理者應(yīng)根據(jù)合同或任務(wù)書中的準(zhǔn)則，確定各項(xiàng)軟件安全性分析 任務(wù)是否完成，并核查軟件安全性分析中產(chǎn)生的產(chǎn)品和記錄是否完整。2.2 安全評(píng)估主要任務(wù)根據(jù)安全評(píng)估指導(dǎo)原則， 為盡量發(fā)現(xiàn)系統(tǒng)的安全漏洞， 提高系統(tǒng)的安全標(biāo)準(zhǔn)， 在具體的軟件安全評(píng)估過程中，應(yīng)該包含但不限于以下七項(xiàng)任務(wù)：2.2.1 軟件需求安全性分析需要對(duì)分配給軟件的系統(tǒng)級(jí)安全性需求

4、進(jìn)行分析，規(guī)定軟件的安全性需求， 保證規(guī)定必要的軟件安全功能和軟件安全完整性。評(píng)測人員需要根據(jù)軟件安全性分析準(zhǔn)備的結(jié)果和系統(tǒng)的初步結(jié)構(gòu)設(shè)計(jì)文檔， 包括系統(tǒng)分配的軟件需求、 接口需求， 完成對(duì)系統(tǒng)安全性需求的映射， 以安全相 關(guān)性分析和對(duì)軟件需求的安全性評(píng)價(jià)。 通過需求安全性分析， 才能夠?qū)浖谙?統(tǒng)中的安全性需求作出一個(gè)綜合性的評(píng)價(jià)， 更好地提交對(duì)后續(xù)的軟件設(shè)計(jì)和測試 的建議。2.2.2 軟件結(jié)構(gòu)設(shè)計(jì)安全性分析需要評(píng)價(jià)軟件結(jié)構(gòu)設(shè)計(jì)的安全性，以保證軟件安全功能的完整性。從安全角 度講，軟件結(jié)構(gòu)設(shè)計(jì)是制定軟件基本安全性策略的階段， 因?yàn)檫@一階段負(fù)責(zé)定義 主要軟件部件，以及它們?nèi)绾谓换?，如何獲得所

5、要求的屬性， 特別是安全完整性， 是軟件安全性需求在結(jié)構(gòu)定義中實(shí)現(xiàn)的階段。對(duì)結(jié)構(gòu)設(shè)計(jì)進(jìn)行安全性分析需要將全部軟件安全性需求綜合到軟件的體系 結(jié)構(gòu)設(shè)計(jì)中，確定結(jié)構(gòu)中與安全性相關(guān)的部分，并評(píng)價(jià)結(jié)構(gòu)設(shè)計(jì)的安全性。結(jié)構(gòu)設(shè)計(jì)是開發(fā)人員對(duì)系統(tǒng)期望功能和功能實(shí)現(xiàn)方式的表示方法， 但是溝通 的一致性， 和設(shè)計(jì)的合理性， 通常會(huì)影響到安全完整。 所以有必要對(duì)軟件設(shè)計(jì)進(jìn) 行安全性評(píng)估， 一方面確認(rèn)軟件安全需求是否在設(shè)計(jì)中得到體現(xiàn)， 另一方面確認(rèn) 設(shè)計(jì)是否合理、是否存在漏洞。2.2.3 軟件編程安全性分析選擇合適的編程語言。 所有編程語言無論在其定義還是在其實(shí)現(xiàn)中都有其不 安全性。 這通常會(huì)造成編碼人員對(duì)語言的誤用

6、， 而對(duì)這些誤解， 一些相對(duì)開放的 語言又缺乏相應(yīng)的解釋。例如：1、未初始化的變量。除非進(jìn)行特別的檢查，否則單元測試不會(huì)發(fā)現(xiàn)他們。 而這將導(dǎo)致，一個(gè)程序在不同的環(huán)境下雖然運(yùn)行成功， 但運(yùn)行結(jié)果卻不是期望值。2、當(dāng)要求重新分配存儲(chǔ)器的調(diào)用時(shí)應(yīng)予以檢查，以確保不僅釋放指針而且 釋放該結(jié)構(gòu)所用的存儲(chǔ)器。3、運(yùn)算符優(yōu)先級(jí)的規(guī)則，一些語言的要求并不是那么嚴(yán)格，容易是程序員 發(fā)生誤解。如果某種語言有精確的定義（也有完備的功能性），從邏輯上說是清晰的， 有易管理的規(guī)模和復(fù)雜度， 那么就認(rèn)為這個(gè)語言適用于安全相關(guān)性軟件。 使用編 程語言時(shí)， 也應(yīng)該針對(duì)該語言的特點(diǎn)， 努力滿足安全性要求。 如果一種編程經(jīng)驗(yàn) 或

7、編程風(fēng)格因?yàn)槟軌蛱岣哕浖踩远还J(rèn)為專用性編碼標(biāo)準(zhǔn)， 可以選擇這樣 一種編碼標(biāo)準(zhǔn)來約束對(duì)不安全語言的使用。因此進(jìn)行軟件安全評(píng)估過程中， 需要根據(jù)編程語言的特性， 對(duì)相應(yīng)易產(chǎn)生漏 洞的不安全因素進(jìn)行重點(diǎn)分析， 可以在提高工作效率的基礎(chǔ)上， 有針對(duì)性的增強(qiáng) 軟件的安全性。同時(shí)，根據(jù)不同編程語言的特性，對(duì)編碼標(biāo)準(zhǔn)進(jìn)行分析，也會(huì)一 定程度上減少對(duì)不安全語法的使用，從而減少漏洞的產(chǎn)生。2.2.4 軟件詳細(xì)設(shè)計(jì)安全性分析對(duì)軟件詳細(xì)設(shè)計(jì)的安全性分析， 主要是評(píng)估設(shè)計(jì)實(shí)現(xiàn)是否符合安全性的要求。 軟件詳細(xì)設(shè)計(jì)進(jìn)一步細(xì)化高層的體系結(jié)構(gòu)設(shè)計(jì)， 將軟件結(jié)構(gòu)中的主要部件劃分為 能獨(dú)立編碼、編譯和測試的軟件單元，并進(jìn)

8、行軟件單元的設(shè)計(jì)。在安全性分析的這一階段中， 需要依據(jù)軟件需求、 結(jié)構(gòu)設(shè)計(jì)描述、 軟件集成 測試計(jì)劃和之前所獲得的軟件安全性分析的結(jié)果， 對(duì)軟件的設(shè)計(jì)和實(shí)現(xiàn)階段是否 符合軟件安全性需求進(jìn)行驗(yàn)證。軟件詳細(xì)設(shè)計(jì)的目的是進(jìn)一步對(duì)設(shè)計(jì)實(shí)現(xiàn)進(jìn)行細(xì)化， 便于編碼。 所以針對(duì)詳 細(xì)設(shè)計(jì)的安全分析工作需要包含以下主要內(nèi)容：1、軟件詳細(xì)設(shè)計(jì)是否能追溯到軟件需求；2、軟件詳細(xì)設(shè)計(jì)是否已覆蓋了軟件安全性需求；3、軟件詳細(xì)設(shè)計(jì)是否與軟件結(jié)構(gòu)設(shè)計(jì)保持了外部一致性；4、軟件詳細(xì)設(shè)計(jì)是否滿足模塊化、可驗(yàn)性、易安全修改的要求。2.2.5 軟件編碼安全性分析軟件編碼完成軟件詳細(xì)設(shè)計(jì)的實(shí)現(xiàn)。所以，代碼應(yīng)該體現(xiàn)軟件詳細(xì)設(shè)計(jì)所提 出

9、的設(shè)計(jì)要求， 實(shí)現(xiàn)設(shè)計(jì)過程中開發(fā)的安全性設(shè)計(jì)特征和方法， 遵循設(shè)計(jì)過程中 提出的各種約束以及編碼標(biāo)準(zhǔn)。對(duì)軟件代碼的安全性分析， 可以從兩個(gè)方面進(jìn)行： 人工分析以及靜態(tài)代碼分 析工具來檢查源代碼。人工分析主要從以下幾個(gè)方面入手：1、分析軟件代碼是否能追溯到需求；2、分析軟件代碼是否符合支持工具和編程語言分析；3、分析軟件代碼是否滿足模塊化、可驗(yàn)證、易安全修改的要求；4、分析軟件編碼中所使用技術(shù)的安全性和方法的合理性。 通過靜態(tài)代碼分析工具檢查源代碼的安全性， 需要根據(jù)編碼語言的特性、 采 用的軟件框架的特性等， 有針對(duì)性的對(duì)代碼進(jìn)行分析、 檢查漏洞、 并提出相應(yīng)的 改進(jìn)建議。2.2.6 軟件測試

10、安全性分析軟件測試作為驗(yàn)證軟件功能性和安全性的重要手段， 其采用的測試方法和測 試技術(shù)也完全關(guān)系著測試結(jié)果的準(zhǔn)確性， 關(guān)系著后續(xù)軟件的變更和測試的有效性。軟件測試安全性分析首先須進(jìn)行測試前分析，還需要對(duì)測試結(jié)果進(jìn)行評(píng)價(jià)， 需要從不同角度進(jìn)行按步驟的測試：1、分析所有測試用例，測試是否通過測試準(zhǔn)則。2、測試代碼是否按照要求分析，并達(dá)到相應(yīng)的測試覆蓋率。3、對(duì)測試結(jié)果進(jìn)行分析，以驗(yàn)證所有的安全性需求是否得到了滿足。2.2.7 軟件安全性測試通過軟件安全性的測試，可以驗(yàn)證或發(fā)現(xiàn)系統(tǒng)安全方面的問題。對(duì)于軟件需 求說明書上既定的有關(guān)安全的功能需求， 需要在安全性測試過程中一一進(jìn)行驗(yàn)證 測試。對(duì)于沒有在軟件需求書上標(biāo)明的可能影響系統(tǒng)運(yùn)行安全的隱性需求需要通 過安全性測試盡力發(fā)現(xiàn)。 軟件安全性測試需要采取靜態(tài)分析技術(shù)和功能測試兩種 方式發(fā)現(xiàn)系統(tǒng)開發(fā)時(shí)存在的安全漏洞。靜態(tài)分析技術(shù)： 需通過對(duì)需求分析說明書、 軟件設(shè)計(jì)說明書、 源程序作結(jié)構(gòu) 檢查、流圖分析等找出軟件的缺陷及安全漏洞。 可以通過合適的自動(dòng)化檢查工具 進(jìn)行靜態(tài)分析以提高測試的效率和準(zhǔn)確度。功能測試： 功能測試屬動(dòng)態(tài)測試， 驗(yàn)證的是軟件的功能實(shí)現(xiàn)。 通過功能驗(yàn)證 來檢查我們是否達(dá)到了沒有安全漏洞的要求。3 相關(guān)注意事項(xiàng)1、安全測試的執(zhí)行，對(duì)