基于安全应用系统软件综合设计方法分析

2015-06-05 09:22孟庆娟
信息化建设 2015年3期
关键词:软件分析方法

孟庆娟

摘要:21世纪随着信息网络技术的深入发展,各行各业都与信息网络发生了千丝万缕的联系,信息系统的安全不断遭到挑战与质疑,安全应用系统软件在新形势下显得格外重要。信息安全性牵扯着广大群体的切身利益,保管不善就可能为他人利用,安全性的话题渐渐被人们重视和关注,本文立足信息系统数据安全的现状,对安全应用系统软件综合设计方法展开分析和探究。

关键词:安全应用系统;软件;综合设计;方法;分析

计算机走进了千家万户为人们的生活带来了很多便捷,为公司信息管理带来效率,信息的管理深入到个人、集体和国家,然而,软件系统安全缺陷给井然有序的社会带来了巨大的安全隐患。要保护已知软件模式不被攻击就要对安全应用系统软件进行综合性设计。横向来看,首先要加强应用系统的系统管理,包括账户安全、权限管理,其次是应用系统中数据库的安全,以及系统数据存储、数据传输的加密和数据完整性验证;纵向分析,要加固应用软件薄弱环节,做好功能防御,还要加强安全排查,做好系统防御,最后是故障修复,坚持最小特权以及分隔原则。

一、系统自身安全管理设计

最薄弱的环节是需要最佳设计的环节,加固应用系统需要有一套稳定的管理体系相配合。众所周知,应用系统是依赖超级管理员加以保护和维修,那么这套管理系统是否存在漏洞,是否有不足之处,答案是肯定的。管理员掌控整个应用系统却不受监督,操作的随意性很大,直接就会导致系统安全性能的不稳定和系统数据的不安全。因而,应用系统软件的安全性可以追溯到对管理员的功能任务的分配和管理。在此提出安全应用系统软件综合设计的第一步,实行管理员的分类,系统管理员,系统安全管理员,系统审计管理员。分工要合乎事宜, 系统管理员的工作是负责计算机系统的升级更新和数据的恢复维修,职责权限是对计算机的日常运行进行跟进;系统安全管理员的工作是要账户的信息保护,账号信息的管理包括删除撤销和恢复;审计员的工作是对系统管理员和系统安全管理员的工作进行合理的监督和监管,对计算机的日常异常情况进行登记和记录,同时需要注意工作的保密性,不能随意篡改[1]。对于计算机管理员的分配管理是对应用系统软件的内部隐患的管理措施,规范了系统管理员的操作,就能在很大程度保护好系统自身的安全,在这一基础上,进一步完善其他安全应用系统软件。

二、抵御风险的多重防御设计

安全应用系统软件的综合设计不仅仅是关于系统自身的完善还涉及外部系统防御的多层安置。下面以数据文档为例进行论证,首先是数据文档的存储,一些外行人士通常就将文档资料以明文的方式存储,一部分有操作软件访问权限的人就能够随意的查看和更改软件信息和内容,如果这些人有坏的心思,很有可能信息安全就无法得到保障[2]。在这一危险信息下,用户信息的安全性作为一个涉及面广泛而又复杂的课题,需要多重防御抵御风险设计,只有如此,系统软件安全才可以得到保障,至于提高系统安全性的设计首先是对文档资料进行分类,公共文档或者私人文件,第二步是对分类的文档进行逐级的加密,并进行完整性的检验,最后是针对不同安全系数的文件选择不同的算法,用算法的不同复杂度对文件进行不同等级的加密,避免数据的泄露以及后续事件的麻烦和损失。

三、账户身份鉴别和操作安全的审计工作

安全的应用系统保护用户信息安全的时候需要对用户的账户身份进行鉴别,在用户访问计算机的时候通常是需要用户登录账号和密码,应用系统软件需要对用户信息进行审计,并对管理的用户进行安全配置策略。这一策略包括两个方面,一是锁定地点,时间和密码,利用对用户底层信息在不同软件间的交互进行对用户信用度的审核,通过一系列对于账户的安全设定对用户的安全进行保护和规范;二是对审计功能的发挥,将审计的功能与系统内比较脆弱的地方进行时常的比较检查,以便对安全事件的核查,为安全事件的追查提供完整的信息和可进行的方向。

四、利用软件测试提升安全性

安全应用系统软件的综合设计离不开软件测试,据统计在多类型的软件设计中,软件设计导致的错误比例高达64%,很多的应用系统软件中程序编写错误会辗转到另一项系统运行中去,放大每一个环节,重视测试,了解测试目标,安排测试,验证应用系统软件的功能这一切对于系统的安全都有着重要的作用。将对于软件的测试归于主动是非常有帮助的,避免一部分程序错误没有在复审过程中发现而影响到下一阶段的任务。而在实际的工作中,编译程序是浩大繁重的工作,不可能完全没有错误,正是因为如此,需要针对软件错误进行相应的软件测试,保证软件安全性,保证系统的安全。主要的测试方法有功能测试,在动态测试时,加强网络信息系统的自身安全建设,增加设计开发的安全防护功能,减少安全疏漏;还有源程序的结构检查和流图分析,这是静态分析技术的一种,在工作人员进行代码审查时会发挥很大的功用,一方面是有效的查出前期的软件错误,另一方面是排查运行中的代码逻辑错误,规范编程行为,同时提高测试的准确度和效率。

五、对用户权限的划分

在应用系统软件的综合设计中始终需要坚持的是最小特权原则,网络中的每一个主体都需要减少其出现故障的风险,减少其必要访问权限意外的权限。应用系统常见的访问权限是用户到角色到权限,每个权限对应的有所属部门,秘密等级,以及所对应的用户权限[3]。事实上,对用户权限的划分也是一种系统的保护,在一些程序员想要访问数据对象时,规定的权限已经足够使用,但是想要进一步进行编程和修改往往会弄巧成拙,并不必要的特权给系统带来危险。常见计算机安全性问题的原因都是未知类型的攻击,这与权限划分不清也有相当大的联系。

六、保护数据库的安全

数据库安全是信息系统的核心,也是大家关注的重中之重。作为应用系统信息交互的核心,数据的安全是首要的,整个的安全应用系统保护都与之休戚相关。设计相应的安全配置保护数据库是必不可少的。在安全应用系统软件综合设计方法分析时,数据库应当置于第一位[4]。首先是针对用户的访问权限,保证用户的安全,对用户的安全账号进行锁定,我们要认识安全措施是一级一级层层设置的,只授权给有资格的用户,并且对帐号调用扩展存储过程的权限要谨慎对待,加强数据库日志的记录,对已进入的用户进行存取控制,定期进行合法权限的核查。其次,保证数据库的管理达到一定的安全级别,数据加密和数据完整性检验都是必不可少的。而谈到数据加密,数据库不安全的原因之一就在于数据简单的以原文的形式存置与数据库之中,易于为外界窃取[5]。可以调节的方法有DES、RSA等加密措施,减少数据存储或者是数据传输过程造成的数据库文件泄露。最后,是关于系统审计功用的发挥,划分清楚数据库网络服务,为每一次的访问都设定好审计策略,加密客户机和数据库之间的网络通信,避免系统数据的安全风险。

结束语

随着信息网络的世界的扩大,信息的安全更是要为我们所重视,安全应用系统软件的综合设计牵扯着信息的安全和人民的利益,甚至是国家的利益和安全。做好应用系统软件的安全设计,要多方面的进行防御和保护,增加系统管理的安全度。

参考文献

[1] 段海新,bjnet.edu.cn,杨家海,吴建平. 基于Web和数据库的网络管理系统的设计与实现[J]. 软件学报. 2000(04)

[2] 杨晓明,罗衡峰,范成瑜,陈明军,周世杰,张利. 信息系统安全风险评估技术分析[J]. 计算机应用. 2008(08)

[3] 龚雷,赵勇. 应用安全支撑平台体系结构与实现机制研究[J]. 计算机工程与设计. 2011(07)

[4] 李勇,张松轶,王飞,董丽娜. 基于TCB子集的应用安全框架研究[J]. 无线电通信技术. 2010(04)

[5] 廖建华,赵勇,沈昌祥. 基于管道的TCB扩展模型[J]. 北京工业大学学报. 2010(05)endprint

猜你喜欢
软件分析方法
禅宗软件
隐蔽失效适航要求符合性验证分析
软件对对碰
电力系统不平衡分析
电力系统及其自动化发展趋势分析
可能是方法不对
用对方法才能瘦
四大方法 教你不再“坐以待病”!
捕鱼
谈软件的破解与保护