SCI论文(www.lunwensci.com):
摘要:随着信息化的高速发展,各种软件系统如雨后春笋般涌现出来,随之而来的是各种软件系统漏洞的出现和网络安全事件的频发,有些是由于软件开发人员和系统运维人员的失误或失责导致的。因此,论文以软件开发人员和系统运维人员的视角,对软件开发过程和系统运维过程涉及的安全技术进行论述,归纳和总结软件开发过程和系统运维过程的安全经验,为后续的软件开发和系统运维提供安全技术指导,致力于降低软件漏洞的出现率和网络安全事件的发生率。
关键词:软件开发;系统运维;安全技术;软件工程;网络安全
Research on Software Development and Operation Based on Security Technology
QIU Jinshui
(Science and Technology Information Center,Kunming Institute of Botany,Chinese Academy of Sciences,Kunming Yunnan 650204)
【Abstract】:With the rapid development of information technology,all kinds of software systems spring up like bamboo shoots after a spring rain,followed by the emergence of various software system vulnerabilities and frequent network security incidents,some of which are caused by software developers and system operation and maintenance personnel errors or failures.Therefore,this paper to software developers and the perspective of system operations staffinvolved in the process of software development process and system operations,security technology of induction and summary of the software development process and system safe operations experience,for the subsequent software development and system operations to provide a safe technical guidance,to reduce the emergence of software vulnerabilities rate and the incidence of network security incidents.
【Key words】:software development;system operation and maintenance;safety technology;software engineering;network security
0引言
近年来,各种网络安全事件频发,如病毒入侵、软件漏洞、非法入侵行为以及数据泄露等[1],这不仅给广大网民带来伤害,损害了广大人民群的正常上网权利,还可能给广大网民及相关的企事业单位造成严重的经济损失。众多网络安全事件的发生除了因为不法分子的攻击手段多样和犀利之外,还因为软件开发人员和系统运维人员的工作疏漏,致使软件系统出现漏洞,且未能有效地对非法攻击进行防护,从而让不法分子有机可乘。因此,要提高软件系统的安全性,降低系统漏洞的出现率和安全事件的发生率,需要软件开发人员和系统运维人员进一步提高自身的安全技术水平和安全意识,加强软件系统的安全防护,加固软件系统的安全堡垒。在软件开发与运维的安全技术方面,目前有很多研究工作[2-5],但大部分的研究工作均侧重于系统运维方面,虽然系统安全运维是不可或缺的一部分,但一个软件系统如果在前期的软件开发阶段都没有做好安全分析、安全设计、安全编码和安全测试,仅依靠后期系统运维时修修补补是无法从根本上解决软件系统的安全问题,因此本论文尝试从需求分析安全技术、设计安全设计、编码安全技术、测试安全技术和运维安全技术五个方面探讨软件的安全技术,通过在软件生命周期的各个阶段不断提高软件的安全水平,尽可能地提高软件的安全性,降低软件安全事故发生的概率。
1现状分析
在软件生命周期的各个阶段,由于相关人员的工作失误或者失责,均会为软件系统埋下安全隐患,归纳起来主要有以下几个方面的原因:
(1)网络安全意识不足。软件开发人员和系统运维人员的安全意识不足,缺乏对网络安全事故造成的后果严重性进行预判,或者低估网络安全攻击者的技术能力和执着,抱着侥幸的心理对待需求漏洞、设计漏洞、编码漏洞、测试漏洞和系统漏洞;
(2)安全防范技术缺乏。在软件需求分析、软件设计、软件编码和软件测试阶段,由于软件开发人员自身技术原因、只顾及软件系统功能的实现或者赶工等其他原因,从而在软件安全防范方面出现工作疏漏;
(3)网络安全设备缺乏。在软件上线运行后,由于软件系统建设和运行单位缺少资金购买相应的网络安全设备,缺乏相应的设备保障;
(4)网络安全管理不规范。软件系统建设和运行单位没有制订相关的网络安全管理规范,未对网络安全进行定岗、定人、定责和定流程等方面进行确定。
2需求分析安全技术
在软件需求分析阶段,用户和需求分析人员往往仅关注软件的功能需求,而忽略了软件的安全性能,软件的安全性能应作为一项非功能性的指标加到项目考核和验收的依据里面,除了要考虑与软件系统功能相关的具体安全需求,还要对软件系统的总体安全需求进行规定,如系统漏洞出现概率、系统平均无故障工作时间、系统漏洞平均修复时间和系统平均修复时间等。只有在软件需求分析阶段做好安全需求的分析,才能为后续的软件开发和运维提供安全指引和依据。
3设计安全技术
在软件设计阶段,需要重点在软件体系结构设计、软件业务流程设计、软件数据库设计和软件接口设计四个方面对安全技术进行研究与设计:
(1)在软件体系结构设计方面,应重点关注基础设施方面的安全防护设计,比如将硬件防火墙、软件防火墙、入侵检测系统和上网行为检测等基础设施加入到软件的体系结构中,构造一个安全的网络环境,对软件系统有更好的保护作用;
(2)在软件业务流程设计方面,应重点关注流程和数据的可控性,流程可控性即业务流程按照设计的规则进行,数据的可控性是指业务流程中的数据流是可控的,它仅能被有权限的用户可见和可操作,当不法分子尝试非法查看和操作时应及时报错而终止流程,实现流程和数据可控性的常规技术是对用户权限进行安全设计,通过对用户与功能模块建立一个确定的权限机制,从而确保软件的业务流程的安全性;
(3)在软件数据库设计方面,应重点关注数据库的表结构设计,比如尽量不用或少用数字自增ID避免网络爬虫非法抓取数据,做好数据库的范式设计,注重数据冗余与存储空间、查询效率之间的平衡关系。此外还需注意尽量避免使用数据库默认的用户名、密码和端口,并且优化数据库配置管理中安全方面的设计,确保数据库安全与稳定运行;
(4)在软件接口设计方面,开放API接口如果没有经过安全处理,则很容易出现三类安全问题,包括信息截获、篡改与泄露[6]。因此对于软件接口的设计,应重点在接口权限和数据加密方面进行设计。接口权限的设计可以确保接口仅被拥有权限的一方调用,如限定软件接口调用的IP、采取令牌技术以及验证调用接口的相关参数等,而数据加密则可以确保接口数据的安全性,即使数据泄露给非法人员,但无法进一步解密也不会造成损失。
4编码安全技术
在软件编码阶段,软件开发人员容易只注重软件系统的界面设计和软件系统的功能实现,而忽略了软件编码时应该采取的安全防范技术,导致软件系统很容易出现漏洞。因此,在软件编码阶段,软件开发人员尤其需要重点关注软件系统的权限、数据、文件和数据库操作四个方面的安全问题:
(1)在权限方面,对于用户的操作首先应该判断是否存在相应的操作权限,如当前会话是否有效,当前用户是否有该操作权限等,以及是否存在过量访问和是否尝试次数过多等异常访问或操作等问题;
(2)在数据方面,对于用户提交的数据,需要判断是否符合相关的要求和规定,是否存在非法字符,尤其是操作数据库的关键字,存储到数据库的关键敏感数据应该加密后保存[7],如用户的密码和身份证号码应加密保存,避免数据泄露给不法人员用于撞库造成二次安全事故,返回给用户的响应数据是否存在多余且关键敏感的数据等;
(3)在文件方面,对于用户提交的文件,需要判断文件的格式是否符合预期的文件格式,以及文件报头信息是否一致等,存储文件前应该对文件进行重命名,可先存为临时文件并使用杀毒软件扫描通过后转为正式文件,且不能以任何方式向用户暴露文件的存储路径和文件名;
(4)在数据库操作方面,应该判断用户是否有操作数据库的权限,写入数据库的数据是否存在安全隐患,是否存在诸如SQL注入漏洞等问题,操作数据库后还应记录相应的操作信息。
5测试安全技术
在软件测试阶段,主要测试软件系统的安全编码是否有效、软件的安全设计是否已落实以及软件的安全性能是否满足软件的安全需求。测试软件的安全技术一般可以通过白盒测试、黑盒测试和渗透测试等技术来检查软件的安全性能。
(1)白盒测试了解程序的内部逻辑结构和逻辑路径,通过输入和跟踪测试数据的变化可以检查数据的安全性,数据的流向和数据的表现形式是否符合软件系统的安全设计;
(2)黑盒测试是通过测试来检测每个功能是否都能正常使用,同时,黑盒测试可以检查软件系统各个功能的安全性,功能的操作权限和功能的实现结果是否符合软件系统的安全设计;
(3)渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种机制,渗透测试通过模拟不法攻击者,通过多种攻击形式多种技术手段来模拟攻击软件系统,从而检查软件系统的健壮性和安全性能。
通过以上测试安全技术可以及时发现软件系统的漏洞,从而及时修复软件系统漏洞最终提高软件的安全性能。
6运维安全技术
在系统运维阶段,主要由系统运维人员在安全管理制度的指导下,借助软硬件安全设施对软件系统进行运行和维护,因此可以在管理制度、软硬件设施和人员培训三个方面提高软件的安全性能:
(1)在管理制度方面,软件系统运维单位应该制订包括但不限于以下方面内容的安全管理制度:系统运维组织机构、岗位责任、岗位人员、安全管理流程、安全管理奖励措施与安全事故惩罚细则等[8],为系统的安全运维提供制度保障;
(2)在软硬件设施方面,软件系统运维单位应该规划保障软件系统安全的软硬件设施预算支出,包括但不限于以下软硬件设施:软硬件防火墙、入侵检测系统、蜜罐系统、安全认证介质、网络行为分析、安全等级保护认定、杀毒软件、HTTPS加密协议等[9],合理部署相关的软硬件安全设备,构建一个相对较安全的网络环境,为系统的安全运维提供设施保障;
(3)在人员培训方面,软件系统运维单位应该加强软件系统运维人员的技术培训工作,包括对各种软硬件安全设施的使用、操作和分析技术,以及定期对应用软件、系统数据库和服务器进行备份,有条件应尽量采取异机异地的备份策略[10],及时修复应用软件、数据库系统和操作系统的漏洞,提高系统运维人员的安全意识,确保软件系统的安全和稳定运行。
7结语
安全无小事,警钟需长鸣,计算机软件系统的安全关乎到广大人民群众和相关企事业单位的切身利益。本论文通过总结多年的软件开发经验和系统运维经验,从软件需求分析、软件设计、软件编码、软件测试和系统运维等软件生命周期的各个阶段所涉及的安全技术进行归纳和论述,为后续的软件开发和系统运维工作提供安全技术指引,致力于降低软件系统漏洞的出现率和网络安全事件的发生率,营造良好的网络安全环境,保护好广大网民和相关企事业单位的利益。
参考文献
[1]李磊.数据通信网络安全维护策略探讨[J].软件,2018,39(7):191-193.
[2]刘俊芳.安全技术在计算机软件开发中的应用分析[J].电脑知识与技术,2021,17(24):48-49.
[3]张永健.安全技术在计算机软件开发中的实践[J].电子技术与软件工程,2021(10):255-256.
[4]王蕊,陈楠.安全技术在计算机软件开发中的应用[J].科技与创新,2020(24):155-156.
[5]李晓琳.安全技术在计算机软件开发中的价值和应用[J].信息与电脑(理论版),2020,32(18):88-89.
[6]崔喜萌,陈明.软件开发开放API接口的安全处理[J].网络安全技术与应用,2020(4):80-81.
[7]尚永强.计算机网络信息安全中数据加密技术的探讨[J].软件,2018,39(12):198-201.
[8]惠建新,乔德志,娄洪伟.科研院所安全信息系统运维标准研究[J].现代信息科技,2021,5(13):128-132.
[9]王瑞.基于电子政务的计算机安全系统设计[J].自动化技术与应用,2020,39(4):137-140.
[10]卜晓波.试论大数据云计算环境下的数据安全[J].软件,2018,39(2):197-199.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/jisuanjilunwen/40931.html
