期刊VIP學術指導 符合學術規范和道德
保障品質 保證專業,沒有后顧之憂
摘 要:結合我國軟件安全的現狀,更好的保護軟件信息安全,本文提出基于國產軟件的信息安全環境構建策略研究。首先,分析了國內軟件安全形勢和軟件安全標準;然后,提出一種適用于國產軟件安全標準新型框架,用以支持信息安全環境構建,并給出對應的主要功能和構成;其次,詳細介紹了關于軟件安全標準新模型框架中的四個過程域;最后,探討了基于國產軟件的信息安全環境構建的可行路線。
關鍵詞:國產軟件;信息安全;安全標準;安全環境
0 引言
隨著我國信息化的蓬勃發展,人們對國產軟件的需求日益增長,國產軟件產業得到了大力發展,但是,盜版問題也成為制約國產軟件業發展的重要因素,并且國內大量重要信息系統幾乎被國外品牌軟硬件所壟斷,讓我國信息安全面臨嚴重的威脅[1]。數據防泄漏、木馬攻擊、遭遇黑客、病毒、誤操作等都會造成數據丟失和信息安全漏洞。隨著各類安全漏洞和威脅與日俱增,軟件安全成為重要的建設領域。如何建立基于國產軟件的信息安全環境,已經成為了一種巨大挑戰。因此打擊各類侵犯國產軟件知識產權的行為和推進使用正版國產軟件工作,必須要健全法律法規、完善標準體系、實施安全等級保護與風險評估等制度,構建信息安全保密防護體系,確保國家網絡與信息安全。為此,文中提出了一種適用于國產軟件的軟件安全標準新型框架。
1 國內軟件安全形勢
從美國中央情報局前雇員斯諾登引爆“棱鏡門”事件到中國互聯網新聞研究中心公開《美國全球監聽行動記錄》報告、確認谷歌與微軟等科技公司參與竊密行動。近年來,信息安全大環境問題呈現出前所未有的嚴峻性。
我國互聯網行業起步較晚,早期的軟件生態和硬件生態幾乎被國外產品所壟斷,近年來國產軟硬件如雨后春筍般大量涌現,但國產生態不夠完善以及多年來養成的使用習慣問題,造成國內大量重要信息系統仍然使用國外品牌軟硬件。從信息安全和國家安全的角度考慮,以上隱患首先威脅到的是掌握國家信息核心部門的政府。對于涉及國家機密或者國家安全的產品,應通過健全法律法規、完善標準體系、實現自主可控的國產替代等手段構建信息安全保密防護體系,以確保國家網絡與信息安全。
2 軟件安全標準分析
目前國內企業主要遵循的信息安全標準有《信息安全技術》系列國家標準等。通過對這些標準和規范的分析與解讀,我們看到,已存在的標準規范具有以下優點:
(1)較為系統全面的闡述了軟件安全相關的過程域,包括物理軟件安全等幾個維度;
(2)對于是否達到軟件安全標準給出了一些檢查原則和指導方針;
(3)對信息系統的軟件安全防護等級做了基本設定與劃分;
(4)對企業如何建立安全的防護體系給予了全面宏觀的說明。
但是,結合我國軟件安全的現狀,我們認為目前這些標準規范不足以有效全面的指導企事業單位軟件安全的建設與防護,他們存在以下的劣勢:
(1)總體相對來說比較宏觀,顆粒度比較粗,企事業單位依據此無法在操作層面上落地安全的相關措施;
(2)沒有針對如何防御安全問題及漏洞的方法、技術進行闡述和說明;
(3)未劃分軟件安全點的優先級,對于軟件安全等級及軟件安全點的檢查和評審方式比較傳統,缺乏技術手段的指導;
(4)未考慮從軟件的整個生命周期(規劃、需求、設計、實現、測試、部署、運維)來進行軟件安全防御及標準設定。
綜合以上分析,我們亟需建立一套更全面、更有指導意義、更能適合我國企事業單位特點及信息發展趨勢、更能有效落地的軟件安全的標準體系。
3 軟件安全標準新型框架
結合不同行業的軟件安全標準與相關要素,分析認為在新時期所建立的軟件安全標準體系應該充分立足已有行業規范、充分利用已有安全工具技術、注重全生命周期的進行軟件安全能力構造。圖1為軟件安全新型框架的總體概覽圖。
該框架的總體結構可以概括為:“四域四能三維五層”。
四域:四個過程域。第一個過程域為軟件安全的軟件生產過程,這是核心過程域。其他三個過程域為軟件安全的流程與制度要求、軟件安全工具與軟件安全技術、軟件安全的過程保障三個支持域。
四能:四種關鍵業務功能,也就是軟件的生命周期過程概括:構造、確認、部署和運維。
三維:每個業務功能有三種維度的軟件安全措施來進行保障。
五層:軟件生命過程中的軟件安全標準和軟件安全措施,都要充分考慮到五個層次的軟件安全:物理軟件安全、網絡軟件安全、設備軟件安全、數據軟件安全和應用軟件安全。
研究認為,我國的信息安全環境建設,必須從國產軟件規劃、設計、研制等早期過程著眼。軟件生產過程要端到端建立軟件安全的規范與標準,而生產過程間的協同、流轉與管理通過軟件安全的流程與制度過程域來做出要求和規范;在執行過程中要充分利用好軟件安全的技術和軟件安全工具,通過軟件安全工具與軟件安全技術過程域來指導支持;如何保證標準和流程真正落地,就需要軟件安全的過程保障過程域了,這個過程域要解決軟件安全的等級評估以便企業規劃自己的軟件安全戰略發展路線,還要做一下軟件安全的教育和與指導以便執行者接受和創建軟件安全,而執行過程中要強化軟件安全的治理與監督也很重要,最后不同類型的企業應當有軟件安全標準的裁剪,不是每個企業都追求大而全,而重視有效實用及性價比。
4 國產軟件安全能力實現
下述從四個過程域角度,總結歸納適合我國國產軟件能力實現的四個過程域。
4.1 構造階段
構造階段主要指軟件的架構規劃與需求階段,在該階段需要考慮架構中引入軟件安全架構的設計,在需求中體現在非功能需求部分的軟件安全需求的說明。同時要針對軟件產品/系統的特點,結合歷史軟件安全事件經驗,對軟件安全威脅進行綜合評估。在評估基礎上形成軟件安全架構和軟件安全需求,有針對性在軟件中規劃軟件安全。所以該階段的軟件安全措施三種:威脅評估、軟件安全需求、軟件安全架構。每種軟件安全措施必須都考慮到五個層次的軟件安全:物理軟件安全、網絡軟件安全、設備軟件安全、數據軟件安全和應用軟件安全。
推薦閱讀:軟件和集成電路計算機工程師論文投稿