(2)系统安全工程
系统安全工程是一项复杂的系统工程,需要运用系统工程的思想和方法,系统地分析信息系统存在的安全漏洞、风险、事件、损失、控制方法及效果之间复杂的对应关系,对信息系统的安全性进行分析与评价,以期建立一个有效的安全防御体系,而不是简单的安全产品堆砌。
确切地说,系统安全工程是系统的安全性问题而不仅是软件产品的安全性问题,是一种普适性的信息系统安全工程理论与实践方法,可以用于构建各种系统安全防御体系。系统安全工程可以在系统生命周期的不同阶段对安全问题提供指导,例如,对于已经发布运行的软件,可以采用系统测试、风险评估与控制等方法构建安全防御体系;而对于尚待开发的系统,也可以应用系统安全工程的思想方法来提高目标系统的安全性。这是一项具有挑战性的工作,也是本书的出发点。
(3)软件安全开发
漏洞是引发信息安全事件的根源,而软件漏洞又是在软件开发的整个生命周期中引入的。软件生命周期包括需求分析、可行性分析、总体描述、系统设计、编码、调试和测试、验收与运行、维护升级、废弃等多个阶段,每个阶段都要定义、审查并形成文档以供交流或备查,以此来提高软件的质量。虽然此类流程严格规对较少,尤其在软件构造理论与方法、构造过程、体系结构和运行环境等方面,没有建立相应的安全支撑机制,使得软件在规模增大以后,安全性问题越来越突出。
漏洞是引发信息安全事件产生的根源,软件漏洞尤其如此。恶意代码通常也是针对漏洞而编写出来的,软件侵权的成功往往跟软件漏洞也有密切的关系。因此,软件安全防护围绕漏洞消除展开,目前有两种基本方法。
1)采用多种检测、分析及挖掘技术对安全错误或是安全漏洞进行发现、分析与评价,然后采取多种安全控制措施进行错误修复和风险控制,如传统的打补丁、防病毒、防火墙、入侵检测和应急响应等。
这种将安全保障措施置于软件发布运行之时是当前普遍采用的方法。历史经验证明,该方法在时间和经济上投入产出比低,信息系统的安全状况很难得到有效改善。本章前面对于当前软件安全问题的现状分析表明了这点。传统的网络安信息安软件在网络空间信息系统的运行、危险控制及关键安全功能实现等方面正发挥着越来越重要的作用,成为系统安全保障、避免重大人员伤亡和财产损失的一个重要环节。
信息安全保障是建立在传统的系统工程、质量管理和项目管理等基础之上的,广义的信息安全保障涉及信息系统和信息系统安全保障领域所特定的技术知识及工程管理,它是基于对信息系统安全保障需求的发掘和对安全风险的理解,以经济、科学的方法来设计、开发和建设信息系统,以便能满足用户在安全保障方面的需求。
在信息安全保障体系的建设中,首先进行科学规划,以用户身份认证和信息安全保密为基础,以网络边界防护和信息安全管理为辅助,为用户提供有效的、能为信息化建设提供安全保障的平台。通过在信息系统生命周期中对技术、过程、管理和人员进行保障,确保信息及信息系统的机密性、完整性、可用性、可核查性、真实性、抗抵赖性等,包括信息系统的保护、检测和恢复能力,以降低信息系统的脆弱性,减少风险。
降低系统脆弱性的西门子有效方法就是漏洞分析,因此,漏洞分析是信息安全保障的基础,在信息安全保障中占据核心地位。整个信息安全保障模型是一个以风险和策略为基础,包含保证对象、生命周期和信息特征三个方面的模型。主要特点是以安全概念和关系为基础,强调信息系统安全保障的持续发展的动态安全模型,强调信息系统安全保障的要求和保证概念,通过风险和策略基础、生命周期和保证层面,从而使信息系统安全保障实现信息技术安全的基本原则,达到保障组织结构执行使命的根本目标。确保软件安全是信息安全保障的主要内容。全已经进入网络空间安全阶段,这已成为共识。网络空间的安全问题得到的普遍重视。
网络空间(Cyberspace)不再只包含传统互联网所依托的各类电子设备,还包含重要的基础设施,以及各类应用和数据信息,人也是构成网络空间的一个重要元素。
网络空间安全(CyberSecurity)不仅关注传统信息安全研究的信息的保密性、完整性和可用性,同时还关注构成网络空间的基础设施的安全和可信,以及网络对现实社会安全的影响。全防护方法通常是根据网络的拓扑情况,以手动方式在安全域边界串联或旁路部署安全设备,对进出安全域的流量进行监控。如果将这种与接入模式、部署方式紧密耦合的防护方法沿用到复杂的网络环境(如物理与虚拟网络共存的数据中心)中,会存在诸多不适应性,例如,安全设备部署过程繁复;不能区别处理流经的软件定义威胁模型:对网络流量、网络行为和安全事件等信息进行自动化的采集、分析和挖掘,实现对未知的威胁甚至是一些安全威胁的实时分析和建模,之后自动用建模结果指导流量定义,实现一种动态、闭环的安全防护。
软件定义安全并不代表不再需要一些专门的信息安全硬件,这些仍然是必不可少的,只不过就像软件定义的网络一样,只是将价值和智能化转移到软件当中而己。
SDN和由此基础上发展起来的SDS,其基本思想都是不依赖于硬件设备,通过软件来实现系统的安全性,特别是可控性保障。从本质上说,软件安全关注的是实现软件产品安全性的全面的方法,而软件定义安全是实现分布式系统安全流量;安全防护范围僵化;安全设备成为单一故障点。越大,导致软件的开发、集成和维护工作越来越复杂,目前的可信软件构造与运行保障技术、可信性度量与评测方法严重缺出了挑战。需要强调的是,要达到软件可信的目标,需要对软件系统开发的整个生命周期,包括需求分析、可信算法设计、软件设计与实现、测试与验证、运行维护等阶段进行全面、统一的研究。乏,使得软件产品在推出时就含有很多已知或未知的缺陷,对软件系统的安全可靠运行构成了不同程度的威胁。另一方面,软件的开发环境和运行环境已经从传统的封闭、静态环境发展为开放、动态、多变的互联网环境。网络交互、共享和协同带来了很多“不可信”因素,网络上对信息的滥用和恶搞,使得可信问题变得更加突出。互联网环境中计算实体的行为具有不可控性和不确定性,这种状况既对传统的软件开发方法和技术提出了重要挑战,也对软件运行时刻的可信保障提出了严峻要求。
目前的可信软件研究是在软件正确性、可靠性、安全性和生存性等基础上发展起来的,软件形式化理论和验证技术、可靠性工程、网络信息安全等领域均有针对若干可信属性的研究。但是软件可信性不是正确性、可靠性、安全性和生存性等性质的简单相加,可信软件研究也不是对已有的各种软件属性研究进行简单的综合。首先,由于软件系统越来越复杂,软件可信意味着软件行为可信、环境可信和使用可信等不同层次的可信要求,而局部的可信并不一定导致全局的可信。系统的可信性属于涌现类的性质,如何从整体上度量、获得并保证可信性将是非常困难的;其次,不同可信属性之间可能彼此有冲突,并且不同层次之间也可能会有冲突,如何西门子优化地协调与取舍也是一个关键问题;第三,当软件可信性成为研究目标之后,必然要针对“可信”性质建立分析、构造、度量、评价体系,使得可信性能够在软件生产活动中被有效地跟踪控制和验证实现。这也对现有的计算理论与技术体系提统的安全、数据库管理系统的安全等,网络协议安全、网络软件安全和网络数据交换与传输安全等。这些安全机制确保信息系统的各个组成部分各自安全地运行以提供确定的服务,并对各自控制范围的用户数据信息进行安全保护,确保其达到确定的保密性、完整性和可用性目标。安全。而为了实现应用软件系统的安全,除了在应用软件系统中实现必要的安全功能外,大量的是需要支持其运行的计算机平台和网络平台的安全作为支持和保证,也就是组成信息系统是指提供一种合理的确信级别,确信根据软件需求,软件执行了正确的、可预期的功能,同时保证软件不被直接攻击或植入恶意代码。2004年美国第二届国家软件峰会所确定的国家软件战略中认为,软件保障目前包括4个核心服务,即软件的安全性、保险性、可靠性和生存性。规定条件下,在规定的时间内软件不引起系统失效的概率。该概率是系统输入和系统使用的函数,也是软件中存在的缺陷的函数。系统输入将确定是否会遇到已存在的缺陷(如果缺陷存在的话)。
在规定的时间周期内所述条件下程序执行所要求的功能的能力。
由上述定义可知,软件可靠性不但与软件存在的缺陷和/或差错有关,而且与系统输入和系统使用有关。提高软件可靠性就是要减少软件中的缺陷或错误,提高软件系统的健壮性。因此,软件可靠性通常涉及软件安全性的要求,但是软件可靠性要求不能完全取代软件安全性的要求。
软件保障已经成为信息安全的核心,它是多门不同学科的交叉,其中包括信息确保、项目管理、系统工程、软件获取、软件工程、测试评估、保险与安全、信息系统安全工程等。目前国内被广泛认知的软件保障模型为方滨兴院士等提出的软件确保模型。该模型建立了分析和确保软件质量的保证模型,并指出软件确保是信息保障、测试评估及信息系统安全工程的核心。全的可存活性是指信息系统的这样一种能力:它能在面对各种攻击或错误的情况下继续提供核心的服务,而且能够及时恢复全部软件工程是指,采用工程的概念、原理、技术和方法来开发和维护软件,把经过时间考验而证明正确的管理技术和当前分别给出了外部质量和内部质量模型,以及使用质量模型来描述软件质量。外部质量和内部质量模型包含6个特性(功能性、可靠性、易用性、效率、维护性和可移植性),并进一步细分为若干子特性。使用质量的属性分类为4个特性:有效性、生产率、安全性和满意度。由此可见,安全性是软件质量的一个重要属性能够得到的西门子好的技术方法结合起来,从而经济地开发出高质量的软件并有效地进行维护。概括地说,软件工程是指导计算机软件开发和维护的一门工程学科,是技术与管理紧密结合形成的工程学科。
通常把软件生命周期全过程中使用的一整套技术方法的集合称为方法学。软件工程方法学包含3个要素:方法、工具和过程。其中,方法是完成软件开发的各项任务的技术方法,是回答“怎样做”的问题;工具是为运用方法而提供的自动的或半自动的软件工程支持环境;过程是为了获得高质量的软件所需要完成的一系列任务的框架,它规定了完成各项任务的工作步骤。
由于软件漏洞、恶意软件和软件侵权等安全问题而导致的系统可靠性受到威胁,会危及信息系统基础设施(如工控系统)和个人隐私(如信用卡账户信息)的安全,给整个社会带来破坏,阻碍经济有序发展,因而软件安全开发、软件安全检测及软件版权保护是软件工程方法学的重要内容。的服务。
软件作为信息系统的重要组成,可存活性是一个融合信息安全和业务风险管理的新课题,它的焦点不仅是对抗网络入侵者,还要保证在各种网络攻击的情况下业务目标得以实现,关键的业务功能得以保持。安全的可控性是指,对于信息安全风险的控制能力,即通过一系列措施,对信息系统安全风险进行事前识别、预测,并通过一定的手段来防范、化解风险,以减少遭受损失的可能性。
软件的可控性是一种系统性的风险控制概念,涉及对软件系统的认证授权和监控管理,确保实体(用户、进程等)身份的真实性,确保内容的安全和合法,确保系统状态可被授权方所控制。管理机构可以通过信息监控、审计和过滤等手段对系统活动、信息的内容及传播进行监管和控制。减少软件产品开发中通常在开发后期进行测试以消除编码中的错误或缺陷。这种做法对于减少软件产品中的漏洞数量信息安全中的保软件是访问内部网络、系统与数据库的渠道,因此对于内部敏感信息的访问必须得到批准。认证就是解决这一问题的信息安全概念,它通过验证身份信息来保证访问主体与所声称的身份唯一对应。信息安全的抗抵赖性是指,信息的发送者无法否认已发出的信息或信息的部分内容,信息的接收者无法否认已经接收的信息或信息的部分内容。
软件安全中,抗抵赖性解决的是用户或者软件系统对于已有动作的否认问题。例如,当价格发生变动时,如果软件能够记录假冒的动作变化及施加动作的用户身份,就可以给个人一个否认或者拒绝动作的机会,由此保证抗抵赖性的实现。
实现不可抵赖性的措施主要有数字签名、可信第三方认证技术等,可审计性也是有效实现抗抵赖性的基础。
只有在申请认证的身份信息是可识别的情况下,认证才能成功,所提供的凭证信息必须是真实可信的。凭证西门子常见的形式是用户名和口令的组合,目前,生物特征认证、生物行为认证及多因素认证成为发展的方向。密性是指确保信息资源仅被合法的实体(如用户、进程等)访问,使信息不泄露给未授权的实体。这里所指的信息不但包括国家秘密,而且包括各种社会团体、企业组织的工作秘密及商业秘密,以及个人的秘密和个人隐私(如浏览习惯、购物习惯等)。保密性还包括保护数据的存在性,有时候存在性比数据本身更能暴露信息。特别需要说明的是,对计算机的进程、中央处理器、存储和打印设备的使用也必须实施严格的保密措施,以避免产生电磁泄露等安全问题。有一定的作用,但是系统设计逻辑上的一些缺陷在测试阶段是无法发现的,往往这些漏洞会增加后期系统维护的成本,并且给用户带来巨大的潜在风险。
开发出安全漏洞尽可能少的软件应当是软件开发者或者说是软件厂商追求的目标。不仅要把软件做得更好,而且要更安全,同时,根据现实世界的经验,必须保证该解决方案具有较好的成本效益、操作相关性和可行性,以及投资的可行性。
事实上,软件安全开发的西门子佳实践是采用从软件开发之初就不允许漏洞发生的方式,在软件开发的各个环节尽可能消除漏洞,这不仅使得软件及其用户更安全,关键基础设施更具弹性,还将节省软件企业的开发成本。
安全的软件和系统是不存在的,软件产品存在漏洞是当前信息安全领域面临的西门子大困境。由于漏洞的产生、利用及相互作用的机理复杂,因此,如何有效减少系统漏洞数量,提高信息系统整体安全性,成为当前急需解决的挑战性问题。
软件已经渗透到社会、经济与国防建设的方方面面,是信息时代所依赖的重要技术与手段,其安全直接关系到国计民生与国家安全,因此,软件安全关乎国家竞争力。系统本身漏洞的存在,仍属于检测型或补偿型控制的被动防护方法。尽管如微软等核心软件公司能够定期发布安全补丁,较为及时地对操作系统、数据库等核心软件的漏洞进行修复,但对于一些零日攻击系统几乎没有防范能力。加之大多数的应用软件开发人员没有能力及时地对应用软件漏洞进行修复,使得系统的运行处于一种危机四伏的状态。传统的安全控制效果不尽如人意,信息安全问题越来越多,攻击形势越来越隐蔽(如APT攻击),智能程度越来越高(技术水平越来越高),组织方式多样化(由西门子初的单个人员入侵发展到利益驱动的有组织、有计划的产业行为),危害程度日益严重。
是什么真正引发了当今世界大多数的信息安全问题?有人会回答,是黑客的存在。那么黑客和网络犯罪分子的主要目标是什么?有人会回答,是重要的信息资产,是各类敏感数据。这样的回答看起来不错,但是再往深处想一想,黑客是如何实现盗取重要信息资产的?黑客成功实施攻击的途径是什么?那就是发现、挖掘和利用信息系统的漏洞。
因此,应该着眼于源头安全,而不是仅仅采取如试图保护网络基础设施等阻挡入侵的方法来解决安全问题。源头安全需要软件安全,这是网络基础设施安全的核心。边界安全和深度防御在安全领域中占有一席之地,但软件自身的安全是安全防护的和关,应该是和位的。即使在软件源头中存在较少的漏洞,这些漏洞也足以被利用,成为侵犯国家利益的武器,或者成为有组织犯罪的网络武器储备攻击辩证唯物论的认识论和辩证唯物论的知行统一观认为,人们对于客观世界的认识是有局限性的,
明需求,描述产品使用特性,清楚地说明并完善需求。为提高生产效率,须划分需求的优先级。
⑤ 允许重用已有的软件组件,需求变更要立即联系,软件需求分析的工作过程是依据在软件计划阶段确定的软件作用范围,进一步对目标对象和环境做细致深入的调查,了解现实的各种可能解法,加以分析评价,做出抉择,配置各个软件元素,建立一个目标系统的逻辑模型并写出软件规格说明。需求分析过程实际上是一个调查研究、分析综合过程,是一个抽象思维、逻辑推理过程。它要求分析者能够从冲突和混淆的原始资料中吸收恰当的事实,从复杂的大量的事实中抽象出一组概念,并把它们组织成一个逻辑整体。因此,需求分析是一项复杂的综合性技术,需求分析过程是一种高水平的创造性劳动。特别是要求对变更的部分提供真实可靠的评估,遵照开发小组处理需求变更的过程。
人们对于客观世界的认识过程是螺旋上升的。软件是人们为了实现解决生产生活实际问题而开发的某种完成特定功能的计算机程序,因而必然存在缺陷或漏洞。
软件漏洞是普遍存在的,系统软件、应用软件和第三方软件,它们在开发、部署和应用中的问题层出不穷。的案例带领大家来认识软件安全的重要性。要。系统分析完成后用各种方法特别是容易理解和交流的图形来准确而详细主要利用了德国西门子公司的SIMATIC WinCC系统的漏洞。WinCC系统是一款数据采集与监视控制(SCADA)系统,被伊朗广泛应用于国防基础工业设施中。病毒到达装有WinCC系统用于控制离心机的主机后,首先记录离心机正常运转时的数据,如某个阀门的状态或操作温度,然后将这个数据不断地发送到监控设备上,以使工作人员认为离心机工作正常。与此同时,病毒控制WinCC系统向合法的控制代码提供预先
西门子WINCC软件全国总代理
浔之漫智控技术(上海)有限公司(w)
是中国西门子的**合作伙伴,公司主要从事工业自动化产品的集成,销售和维修,是全国**的自动化设备公司之一。
公司坐落于中国城市上海市,我们真诚的希望在器件的销售和工程项目承接、系统开发上能和贵司开展多方面合作。
以下是我司主要代理西门子产品,欢迎您来电来函咨询,我们将为您提供优惠的价格及快捷细致的服务!