文档介绍:计算机软件开发与保护技术分析
摘要:软件产业关系到国家信息化和经济发展、文化与系统安全,体现了一个国家的综合实力。本文通过对软件开发过程中的安全设计、信息保护技术以及代码安全性的分析,探讨了计算机软件开发过程中的软件安全技术的应用。
关键词:计算机;软件开发;保护技术
软件是信息化的核心,信息、物资和能源已经成为人类生存和发展的重要保障,信息技术的快速发展为人类社会带来了深刻的变革。而在软件开发中,软件的安全开发过程和信息的安全成为重要的问题。
一、软件开发的安全设计
在构造应用程序自身的安全功能时,如果充分地引用现成产品所提供的安全功能,可以使得整个系统的安全功能成为一个整体。但更重要的是,这种做法可以弥补现成产品在安全功能上的不足,例如,现成产品一般不提供数字签名功能,它只能在应用程序中实现。业务授权、事务原子性、一致性等也要通过应用程序流程、参数等的控制才能实现。
在软件开发的安全工程过程中,在系统设计、实现阶段,通过总结计算机内部控制流程的特点,并转化为业务需求和系统运行参数,由技术部门在应用软件中直接给予控制,可以低成本实现很多业务环节的风险防范,提高系统的可靠性和稳定性。应用程序应进行的控制处理包括输入输出控制、处理控制等,用以保证输入输出数据的完整性、正确性和保密性,保证应用程序和文档管理的严密性以及该作业的完整性。为对输入数据进行审核,系统要编入有效检查程序与维护控制程序,确保输入屏幕的设计及输入程序的正确性。编制程序时,要确保程序符合全部的业务需求。应有足够的控制保证数据处理及传输的正确性,尤其要注意的是在交易发生错误时,要有完善的处理程序,提供清晰易用的错误提示、错误处理、断点恢复等功能,注意系统更正时手续的完备性及对发生错误的可跟踪审计性。
在安全程序的设计过程中,开发者需要创建一些模块并把它们安装在一起以提供所需要的安全服务。首先,需要创建一个整体的框架以指导每个模块的开发。其次,需要单独查看每一个需求,并为每个需求设计一个模块或者组件。在某些情况下,由于需求之间存在冲突,或者现有的密码模式是不充分的,系统可能不足以实现所需要的安全需求,但是如果系统可以满足安全需求的一个可以令人满意的子集,则可以降低系统安全需求,并且对系统运行环境和管理策略进行相关的调整,以使现有的安全设计可以进入实施阶段。对大部分安全需求,都可以具有多种实现机制,因而安全产品的实现过程可以相当灵活,但是为了抵抗其他可能的攻击,建议在其他条件允许的情况下,使用具有最强安全性的实现形式。
二、软件开发中的信息保护
程序中所产生的缺陷是由于程序员出现了错误。一些错误是源于对需求描述的误解,另一些则是由于过于复杂的程序或使用了型到内在容易引发缺陷的结构。所以,为了取得可靠性,应该使设计尽量简单,保护信息不受没有授权的访问,将不安全结构的使用减少到最低限度。通常军队里所采纳的信息安全原则是所谓的
“只有需要才能知道”的原则,即只有那些与本职工作相关的信息内容才能得到,其余的信息对他们是不可得的。在程序设计过程中,也要用类似的原则去控制访问系统数据。程序组件应该只允许访问那些与自身实现相关的数据。使用程序语言中的范围解释规则把不该被程序其他部分访问的数据隐藏起来。如果使用了信息隐藏,隐藏的信息就不会被无关组件所破坏。如果接口保持不