簡介
在國內,也有一些專家和學者將“Software Security”譯作“軟體確保”。
軟體安全-保護軟體中的智力成果、智慧財產權不被非法使用,包括篡改及盜用等。研究的內容主要包括防止軟體盜版、軟體逆向工程、授權加密以及非法篡改等。採用的技術包括軟體水印(靜態水印及動態水印)、代碼混淆(原始碼級別的混淆,目標代碼級別的混淆等)、防篡改技術、授權加密技術以及虛擬機保護技術等。
軟體安全產品
數據安全保護系統以全面數據檔案安全策略、加解密技術與強制訪問控制有機結合為設計思想,對信息媒介上的各種數據資產,實施不同安全等級的控制,有效杜絕機密信息泄漏和竊取事件。
1. 透明加解密技術:提供對涉密或敏感文檔的加密保護,達到機密數據資產防盜竊、防丟失的效果,同時不影響用戶正常使用。
2. 泄密保護:通過對文檔進行讀寫控制、列印控制、剪下板控制、拖拽、拷屏/截屏控制、和記憶體竊取控制等技術,防止泄漏機密數據。
3. 強制訪問控制:根據用戶的身份和許可權以及文檔的密級,可對機密文檔實施多種訪問許可權控制,如共享交流、帶出或解密等。
4. 雙因子認證:系統中所有的用戶都使用USB-KEY進行身份認證,保證了業務域內用戶身份的安全性和可信性,完全符合國家保密局的要求。
5. 文檔審計:能夠有效地審計出,用戶對加密文檔的常規操作事件。
6. 三權分立:系統借鑑了企業和機關的實際工作流程,採用了分權的管理策略,系統管理採用審批,執行和監督了職權分離的模式。
7. 安全協定:確保密鑰操作和存儲的安全,密鑰存放和主機分離。
8. 對稱加密算法:系統支持常用的AES、RC4、3DES等多種算法,支持隨機密鑰和統一密鑰兩種方式,更安全可靠。
9. 軟硬兼施:獨創軟體系統與自主智慧財產權的硬體加密隨身碟融合,可更好的解決複雜加密需求和套用場景,隨身碟同時作為身份認證KEY,使用更方便,安全性更高。
10. 跨平台、無縫集成技術:系統採用最先進的跨平台技術,能支持LINUX/WINDOWS環境套用,穩定兼容64、32位系統及各種應用程式,能與用戶現有的PDM/OA/PLM等系統整合,提升用戶體驗。
軟體安全開發
系統安全、套用安全、敏感信息的保護等話題已經成為軟體企業不能迴避的挑戰,如何在開發過程中制度化、流程化的實現安全特性,是所有軟體企業都需著重考慮的問題。國際標準ISO27034是一個系統性解決以上問題的方案,它清晰地定義了實際套用中軟體系統面臨的風險,同時為不同類型的軟體開發組織提供了一套可以靈活套用的方法 。
ISO27034是國際標準化組織通過的第一個關注建立安全軟體程式流程和框架的標準。對銷售軟體的企業來說,ISO27034的套用提供了一個通用的驗證自己產品安全性的方式,能夠讓安全性成為企業的競爭優勢。另一方面,對購買軟體和服務的客戶來說,這一標準可以作為一個簡單明確的“語言”,促使開發者實施安全開發。
軟體安全兩種測試
軟體安全信息系統和軟體安全代碼的有效安全項目往往依靠兩種自動的安全測試:靜態安全掃描測試和動態安全掃描測試。
軟體安全靜態掃描一般在代碼的開發期間進行。此過程藉助威脅建模和分析,對靜態代碼進行掃描,從而發現安全漏洞。軟體安全動態掃描是對工作環境中的實際代碼進行的掃描,它在代碼運行期間查找漏洞。還有第三類軟體安全測試,即人工滲透測試,它主要通過白帽分析進行人為干預。真正有效的應用程式安全項目利用所有的軟體安全掃描測試,其中軟體安全靜態安全和軟體安全動態安全掃描要深入到應用程式的開發過程中,並在必要時使用人工滲透測試。