4.软件开发模型与软件安全开发模型区别与联系.

软件安全开发模型首先考虑开发中可能出现的安全问题,明确开发中的安全需要,然后保证程序设计、编码的安全性,并对开发出来的软件惊醒安全性检测和评估 。
在整个开发过程中,当对开发人员进行安全培训和开发过程的安全监理 。
而软件开发模型核心时,花费少量代价建立一个可运行的系统 , 使用户及早获得学习的机会 。强调软件开发人员与用户的不断交互 , 通过原型的演进不断适应用户任务改变的需求 。软模型执行步骤有快速分析、构造原型、运行和评价原型、改进与修改 。
在当前以软件为核心的数字化时代,软件缺陷导致的网络安全问题越来越严重 。CNVD已记录各类安全漏洞信息超过16.6万条,其中:95%以上的安全漏洞发生在各类软件本身,由软件开发问题导致的安全漏洞占96%以上 。信息安全问题大多是由于未能开发出更安全的软件造成的 。
对软件安全开发的管理和控制可以最大限度地保证系统的安全性,防止系统安全事件的发生 。
//
1.什么是软件安全开发控制?
2.为什么要控制软件安全开发?
3.参考标准是什么?
4.软件安全开发的痛点有哪些?
5.如何控制软件安全开发?
【4.软件开发模型与软件安全开发模型区别与联系.】
1什么是软件安全开发控制?
软件安全开发管控基于网络安全责任制、等级保护、密码使用、数据安全、个人信息保护等监管要求 。并控制软件安全开发的全过程,能够满足开发者的期望,提供与威胁相适应的安全能力,从而维护软件本身的安全属性,避免可被利用的安全漏洞 , 从被入侵和失效的状态中恢复 , 最大限度地保证系统的安全,防止系统安全事件的发生 。
2为什么要控制软件安全开发?
《国家网络空间安全战略》
第七条夯实网络安全基础 。
坚持创新驱动发展,尽快取得核心技术突破 。重视软件安全,加快安全可信产品的推广使用 。
《网络安全审查办法》
第一条
为了保证关键信息基础设施的供应链安全、网络安全和数据安全,维护国家安全 。
文章
关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展影响或者可能影响国家安全的数据处理活动的 , 应当依照本办法进行网络安全审查 。
《关键信息基础设施安全保护条例》
第十九条
运营商应优先采购安全可靠的网络产品和服务;采购网络产品和服务可能影响国家安全的 , 应当按照国家网络安全规定通过安全审查 。
3参考标准是什么?
4软件安全开发的痛点是什么?
1)软件安全开发全过程复杂,开发管理体系建设和实施难度大 。60%的施工单位有安全发展管理制度,但由于制度细化程度差、可执行性低、执行难度大,难以进行全过程控制 。
2)第三方组件的安全问题普遍严重 。第三方组件在软件开发中起着重要的作用,在项目建设中使用几十个第三方组件是非常常见的 。研究表明,37%的系统使用至少存在一个已知安全漏洞的第三方组件,第三方组件已经成为系统安全中安全问题的重要导入点 。
3)市场缺乏安全开发专业人才 , 具体开发安全工作高度依赖人员的安全能力 , 无法有效实施;据统计,70%的施工单位在项目施工前未对技术人员进行安全培训,或者虽进行了安全拓展培训 , 但实际拓展并未按照培训要求进行 。
4)企业缺乏自动化工具和可视化平台的支持,大量重视安全开发的单位投入资金和人力建设安全控制工具和团队,但在过程改进、能力提升和工具维护方面缺乏连续性,50%的建设单位没有维护测试工具 。面对迭代开发的持续交付,提高效率是一个亟待解决的问题 。
5)企业缺乏对开发安全实践的评估和审核能力,导致相应的安全活动无法确定实施效果并进行有效改进 , 最终演变为形式化 。
6)通知中存在重要的业务安全漏洞
从“软件安全开发全过程”的维度,形成了综合安全开发的总体框架 。安全监管法规、安全开发法规、安全开发规范、人员培训和考核贯穿于安全开发的全过程,包括控制和研究阶段、需求阶段、设计阶段、编码阶段、部署阶段、发布阶段,以提高应对安全风险的能力,最大限度地保证系统的安全性,防止系统安全事件的发生 。
调查阶段
在系统研究阶段,收集信息系统建设信息,评估供应商的安全开发能力 。
需求阶段
对关键节点的要求进行安全审查等 。并形成安全要求评审表;评估现有的安全和隐私风险并分析其影响 。
设计阶段
设计阶段:对关键节点的设计进行安全审查,形成安全设计审查表;减少攻击面,进行威胁建模和分析,为信息系统面临的威胁建立模型,明确可能的攻击来自哪些方面 。
编码阶段
配置库和开发环境,并对开发的代码进行代码审查和代码走查分析 。代码的静态分析可以在相关工具的辅助下完成,结果可以结合手工分析 。
部署阶段
开发质量的评估,使用系统的安全测试和渗透测试,数据安全测试和个人信息保护测试,配置库和运行环境的安全检查 。
发布阶段
发布阶段:系统上线后 , 需要在等保评估、密码评估、风险评估等方面进行合规性验证 。并定期或不定期进行渗透测试 。
相关问答:安全使用会计软件的基本要求有哪些?严格管理账套使用权限 在使用会计软件时 , 用户应该对账套使用权限进行严格管理 , 防止数据外泄;用户不能随便让他人使用电脑;在离开电脑时,必须立即退出会计软件,以防止他人偷窥系统数据 。