複製鏈接
請複製以下鏈接發送給好友

軟件安全

(計算機領域術語)

鎖定
軟件安全(Software Security)就是使軟件在受到惡意攻擊的情形下依然能夠繼續正確運行及確保軟件被在授權範圍內合法使用的思想。
中文名
軟件安全
外文名
Software Security
別    名
軟件確保
性    質
計算機

軟件安全簡介

在國內,也有一些專家和學者將“Software Security”譯作“軟件確保”。
軟件安全-保護軟件中的智力成果、知識產權不被非法使用,包括篡改及盜用等。研究的內容主要包括防止軟件盜版、軟件逆向工程授權加密以及非法篡改等。採用的技術包括軟件水印(靜態水印及動態水印)、代碼混淆源代碼級別的混淆,目標代碼級別的混淆等)、防篡改技術、授權加密技術以及虛擬機保護技術等。

軟件安全軟件產品

數據安全保護系統以全面數據文件安全策略、加解密技術與強制訪問控制有機結合為設計思想,對信息媒介上的各種數據資產,實施不同安全等級的控制,有效杜絕機密信息泄漏和竊取事件。
1. 透明加解密技術:提供對涉密或敏感文檔的加密保護,達到機密數據資產防盜竊、防丟失的效果,同時不影響用户正常使用。
2. 泄密保護:通過對文檔進行讀寫控制、打印控制、剪切板控制、拖拽、拷屏/截屏控制、和內存竊取控制等技術,防止泄漏機密數據。
3. 強制訪問控制:根據用户的身份和權限以及文檔的密級,可對機密文檔實施多種訪問權限控制,如共享交流、帶出或解密等。
4. 雙因子認證:系統中所有的用户都使用USB-KEY進行身份認證,保證了業務域內用户身份的安全性和可信性,完全符合國家保密局的要求。
5. 文檔審計:能夠有效地審計出,用户對加密文檔的常規操作事件。
6. 三權分立系統借鑑了企業和機關的實際工作流程,採用了分權的管理策略,系統管理採用審批,執行和監督了職權分離的模式。
7. 安全協議確保密鑰操作和存儲的安全,密鑰存放和主機分離。
8. 對稱加密算法系統支持常用的AESRC43DES等多種算法,支持隨機密鑰和統一密鑰兩種方式,更安全可靠。
9. 軟硬兼施:獨創軟件系統與自主知識產權的硬件加密U盤融合,可更好的解決複雜加密需求和應用場景,U盤同時作為身份認證KEY,使用更方便,安全性更高。
10. 跨平台、無縫集成技術:系統採用最先進的跨平台技術,能支持LINUX/WINDOWS環境應用,穩定兼容64、32位系統及各種應用程序,能與用户現有的PDM/OA/PLM等系統整合,提升用户體驗。

軟件安全軟件安全開發

系統安全、應用安全、敏感信息的保護等話題已經成為軟件企業不能迴避的挑戰,如何在開發過程中制度化、流程化的實現安全特性,是所有軟件企業都需着重考慮的問題。國際標準ISO27034是一個系統性解決以上問題的方案,它清晰地定義了實際應用中軟件系統面臨的風險,同時為不同類型的軟件開發組織提供了一套可以靈活應用的方法 [1] 
ISO27034是國際標準化組織通過的第一個關注建立安全軟件程序流程和框架的標準。對銷售軟件的企業來説,ISO27034的應用提供了一個通用的驗證自己產品安全性的方式,能夠讓安全性成為企業的競爭優勢。另一方面,對購買軟件和服務的客户來説,這一標準可以作為一個簡單明確的“語言”,促使開發者實施安全開發。

軟件安全軟件安全兩種測試

軟件安全信息系統和軟件安全代碼的有效安全項目往往依靠兩種自動的安全測試:靜態安全掃描測試和動態安全掃描測試。
軟件安全靜態掃描一般在代碼的開發期間進行。此過程藉助威脅建模和分析,對靜態代碼進行掃描,從而發現安全漏洞。軟件安全動態掃描是對工作環境中的實際代碼進行的掃描,它在代碼運行期間查找漏洞。還有第三類軟件安全測試,即人工滲透測試,它主要通過白帽分析進行人為干預。真正有效的應用程序安全項目利用所有的軟件安全掃描測試,其中軟件安全靜態安全和軟件安全動態安全掃描要深入到應用程序的開發過程中,並在必要時使用人工滲透測試。
參考資料