亚洲国产日韩欧美在线a乱码,国产精品路线1路线2路线,亚洲视频一区,精品国产自,www狠狠,国产情侣激情在线视频免费看,亚洲成年网站在线观看

軟件安全設(shè)計中的風(fēng)險管理論文

時間:2024-06-26 15:50:11 管理畢業(yè)論文 我要投稿
  • 相關(guān)推薦

軟件安全設(shè)計中的風(fēng)險管理論文

  摘 要:互聯(lián)網(wǎng)的廣泛應(yīng)用和信息系統(tǒng)的龐大、復(fù)雜的設(shè)計使得軟件安全在當(dāng)前計算機(jī)安全體系中所占的比重逐漸增大,而軟件安全設(shè)計所需要考慮的風(fēng)險也隨之增加,為此應(yīng)當(dāng)把軟件安全性相關(guān)的問題當(dāng)成一個風(fēng)險管理的問題來處理。

軟件安全設(shè)計中的風(fēng)險管理論文

  關(guān)鍵詞:軟件安全設(shè)計;風(fēng)險管理;電子商務(wù)

  1 軟件安全問題日益突出

  隨著互聯(lián)網(wǎng)的觸角深入到生產(chǎn)生活中的各個層面,軟件已經(jīng)不像以前那樣只是支持辦公和家庭娛樂這兩大主題了,而是成為現(xiàn)代商業(yè)的靈魂。軟件安全問題主要圍繞著軟件漏洞和易被攻擊脆弱點,它們都來自于軟件的設(shè)計和實現(xiàn)。

  Internet催生了電子商務(wù),移動互聯(lián)網(wǎng)使得APP變得如火如荼,未來物聯(lián)網(wǎng)也許可以將生活中的一切元素都納入到通信網(wǎng)絡(luò)中去。因此軟件安全問題將成為計算機(jī)安全的核心,而非防火墻等網(wǎng)絡(luò)硬件,或是諸如加密等手段。軟件安全是一切計算機(jī)安全性問題的根源,如果軟件行為出現(xiàn)異常,與之相關(guān)的可靠性、可用性等方面問題就會隨之暴露。軟件安全問題并不是互聯(lián)網(wǎng)出現(xiàn)后才有的,只不過互聯(lián)網(wǎng)是目前最容易攻擊軟件的途徑罷了。

  2 軟件安全的現(xiàn)狀

  2.1 人們的認(rèn)知

  隨著黑、客攻擊的新聞時常見諸媒體,人們對計算機(jī)安全問題有了一定認(rèn)識。但不幸很多計算機(jī)安全人員和計算機(jī)教育培訓(xùn)人員都忽視了軟件安全的問題。一味地推崇某種軟件平臺是安全的,單純大力增加對網(wǎng)絡(luò)安全硬件和軟件的投入,這些做法是盲目甚至荒謬的。一切安全性都不是靜態(tài)特性,也沒有任何軟件是絕對安全的。軟件安全問題的關(guān)鍵節(jié)點是軟件的設(shè)計。

  2.2 軟件安全設(shè)計的先天不足

  世界上知名的軟件廠商并不是不了解軟件安全設(shè)計安全性的重要性,而是商業(yè)模式讓軟件安全方面存在著先天不足。稍縱即逝的商業(yè)機(jī)會、敏捷的軟件開發(fā)過程和短暫的軟件開發(fā)周期使得安全性方面的設(shè)計在很多時候都是被舍棄的。隨之而來的處理方式則是常見的penetrate-and-pach方法,即不停地發(fā)布補丁。這種做法從長遠(yuǎn)來看,其成本與作用遠(yuǎn)不及一開始就做好安全性的設(shè)計和審計。

  3 軟件安全設(shè)計應(yīng)引入風(fēng)險管理

  從項目管理的角度看,風(fēng)險指損失或損害的可能性。軟件項目涉及到的是:項目中可能發(fā)生的潛在問題和它們?nèi)绾畏恋K項目成功。風(fēng)險管理則是對應(yīng)軟件項目生命周期內(nèi)的風(fēng)險的科學(xué)和藝術(shù)。

  軟件安全性的設(shè)計與軟件設(shè)計的其他一些質(zhì)量性能是互相抵觸的,例如冗余性、高效性。而軟件開發(fā)過程中的風(fēng)險管理與軟件開發(fā)的諸如時間、范圍、成本等因素也是相互抵觸的。但是絕不能因為這些可能發(fā)生的抵觸行為而放棄對安全性和風(fēng)險管理的考慮,反而應(yīng)該將軟件安全性設(shè)計納入到風(fēng)險管理的范疇中去。事實表明,93%的失控項目都忽視了風(fēng)險管理。

  4 軟件安全設(shè)計風(fēng)險管理的實施

  目前國際上對軟件安全方面的風(fēng)險管理存在著一個共同的認(rèn)知,那就是采用高質(zhì)量的軟件工程的方法論可以在一定程度上解決這方面的問題,歐美一些國家也在試圖制定或修訂相關(guān)的一些“通用準(zhǔn)則”來指導(dǎo)軟件安全性設(shè)計的實踐。但是這只是從科學(xué)技術(shù)方面做出努力,我們可以學(xué)習(xí)借鑒。而在管理技術(shù)和藝術(shù)方面需要做出的努力則應(yīng)該嘗試本地化做法。

  完整的風(fēng)險管理的過程應(yīng)該包括以下幾個環(huán)節(jié):風(fēng)險管理計劃的編制、風(fēng)險識別、風(fēng)險定性分析、風(fēng)險定量分析、風(fēng)險應(yīng)對計劃編制和風(fēng)險監(jiān)督控制。將整個流程都走完的項目和企業(yè)都不多,一般來自于所謂的學(xué)院派。而時下大多數(shù)國內(nèi)外企業(yè)的做法是將這個7個流程簡化為誰來識別風(fēng)險、誰來對風(fēng)險負(fù)責(zé)這兩個環(huán)節(jié)。原因則是上文所提到的先天不足所致。

  從技術(shù)上講,風(fēng)險管理的效益來自于潛在風(fēng)險最小化和潛在回報的最大化。而這個技術(shù)的應(yīng)用則一定需要經(jīng)歷風(fēng)險定量分析的過程。在這個過程中,可以使用的主要技術(shù)是決策樹分析、蒙特卡羅分析、PERT分析等等。這些技術(shù)都是建立在一定的數(shù)學(xué)和會計基礎(chǔ)之上。而令人遺憾的是,很多決策者本身對這些技術(shù)的認(rèn)知或理解欠缺,以至于會抵觸這種方法。大多數(shù)做法是采用小團(tuán)隊開發(fā)小軟件的做法,即采用訪談和敏感性分析來幫助風(fēng)險定量分析。

  然而我們并不是要反對這種簡化做法,只是一定不能在簡化的做法之上再次簡化或敷衍了事。首先要做的工作是做好需求管理,在建立一組需求輸入的時候,一定要將安全性作為一個重要需求考慮進(jìn)去。有一個比較好的方法是,在軟件設(shè)計時采用螺旋模型,需求的輸入可以在螺旋模型的各個生命周期中進(jìn)行,而有關(guān)安全性的需求輸入則最好是在最初的一個螺旋中進(jìn)行。

  之后要做的工作是確定最大風(fēng)險。不可避免的要使用風(fēng)險定性和風(fēng)險定量分析的各種技術(shù)和方法。這個工作一定要有軟件設(shè)計師、項目決策者和用戶的參與,采用頭腦風(fēng)暴和專家訪談是不錯的選擇。而這個工作恰恰是現(xiàn)實生活中中小企業(yè)乃至客戶最容易忽略的。企業(yè)要考慮成本問題,而客戶的參與往往難以落

【軟件安全設(shè)計中的風(fēng)險管理論文】相關(guān)文章:

關(guān)于軟件項目管理中的風(fēng)險分析與管理10-12

有關(guān)風(fēng)險管理在電力安全生產(chǎn)管理中的運用的論文09-28

信息安全風(fēng)險評估綜合管理系統(tǒng)設(shè)計的論文06-21

淺談風(fēng)險投資運作中管理風(fēng)險的控制的論文07-27

安全風(fēng)險中電力技術(shù)措施與管理思考論文05-11

計算機(jī)軟件項目管理風(fēng)險管理策略論文08-21

產(chǎn)科護(hù)理中護(hù)理風(fēng)險管理的運用效果的論文07-08

關(guān)于軟件項目管理及風(fēng)險分析10-08

企業(yè)信息安全風(fēng)險管理研究論文08-15

護(hù)理風(fēng)險管理在急診患者安全管理中的實施效果05-11