软件安全

关于软件安全人类社会发展的动力来源于人类的好奇和对自然界的控制欲望。工业革命的成功极大地提高了人类改造和征服自然界的能力,虽然这种能力现在看来在许多方面上需要重新进行反思。

 以计算机和网络等人类计算环境的高速发展为标志的信息革命给人类社会带来了远远高于工业革命的冲击。人类从工业社会向信息化社会的发展与从农耕社会进入工业社会相比,其速度更迅猛,对人类的影响更深远。

 信息化社会有几个非常重要的标志:

  • 高度发达的计算设备及其应用;
  • 高度发达的通信设备及其应用;
  • 高度发达的网络环境及其应用。

 定义0-1 计算环境:我们把人类社会中由计算机、移动终端等计算设备以及固定或者移动通信终端及其网络所构成的人类进行信息、数据处理和交换的体系称为计算环境。 

高度发达的计算环境是信息化社会的基础和标志。正如人类所处的自然环境一样,人类的计算环境已经成为了社会的一部分,渗透了人们生活的各个方面,并正在以前所未有的速度与人类社会融为一体。 

计算技术和环境的高度发达,使人类社会数据处理和交换的速度达到了一个史无前例的高度,海量信息以及获取信息的高效率对每个人都具有巨大的诱惑力。在当今世界,从个人、家庭、企业(组织)到国家,在任何一个层面都对这样一个计算环境高度依赖。 

人类社会依赖于高度发达和高速发展的计算环境获取高效率的数据处理和交换的能力,很难想象我们的政府和银行系统还能够退回到原来的手工状态。这种依赖导致了人类当前所面对的一个困难的问题:信息安全。 

定义0-2 信息安全:所谓的信息安全是指保护信息与信息系统,以避免未经授权的访问,使用,泄漏,损坏,变动,观察(persual),检查,记录或者破坏(destruction)。 

信息安全的目标是保证信息的:

  • 可信性;
  • 完整性;
  • 可用性。 

信息安全问题是当前信息技术领域的研究热点。正是由于人类依赖于高度发达的计算环境,使信息安全成为了人类无法回避的问题。从技术的角度看,出现信息安全问题的根源可以概括为:

  • 信息技术的固有缺陷;
  • 没有一个有效的机制防止新的技术被恶意应用。 

人类任何一项技术的发明,都不可能是十全十美的。构成人类计算环境的计算机、通信终端以及网络等技术的固有的缺陷,成为了环境中的安全漏洞。这些缺陷可能来源于开发中的错误和不完善,或者是系统的理论体系中对安全问题的忽视,比如OSI/RM七层模型对安全问题的忽视。 

同时,在人类所发明的技术中,从来没有能够建立一种有效的机制,防止这些技术被滥用或者误用,这里最典型的例子而且也是目前仍然在困扰人类的是原子理论的发 现和原子弹的发明。物理学上的进展,使人类非常透彻地认识了质量和能量地关系,爱因斯坦的公式E=MC^2是人类科学史上最完美的成果。但是,原子能的第 一次正式应用,却是原子弹。抛开这种应用是否正义不谈,实际上,我们从来没能阻止人类的技术成为战争的武器. 

事实上,构成我们当前信息环境重要基础的计算机网络的发明,最早也是因为军事目的而且被军方资助进行研究的。计算环境的高度发展是在软件的基础上实现的,软件是完成人类计算任务的重要内容,软件无处不在。实际上,目前我们所面对的安全问题,绝大部分是由于软件造成。

定义0-3 软件安全:软件安全也称应用安全,是指在软件的生命周期中采取各种措施以防止软件安全政策的例外或者由于设计,开发,提交,升级或维护中的缺陷而导致的系统脆弱性。