软件安全软件安全的架构和设计2.ppt

不信任（1） 人们往往在客户代码中隐藏秘密，认为那样是安全的。问题在于，将秘密藏于客户程序中，有能力的用户就可以滥用客户的权限并窃取其秘密。因此，不要轻信。在服务器设计中不要信任客户程序，反之亦然，因为二者都可能被黑。 不信任有助于做好权限分离工作。 客户支持领域最容易滥用信任。客户支持人员很容易信任客户，因为这样工作起来更容易，因此，社交工程攻击往往容易得逞。 “从众心理”也有同样的问题。例如，某个特定的安全性功能正作为一个标准出现，但这并不意味着它就真的管事。再如，假设商业对手们不遵循好的安全性做法，效仿他们并不就是正确。我们经常听到这样的话，不必对敏感信息加密，因为其他竞争者也没有对数据加密。 不信任（2） 要用怀疑论，特别是对安全性厂商。安全性厂商经常在销售产品时使用可疑的或假的数据。 有时对自己也不能信任。当对待自己的想法和自己的代码时，往往短视。虽然每个人都想完美，但实事上谁都不能做到，因此要周期性的、客观地、高质量地审视你自己的工作。 可信的程序不能调用不可信程序。而且，当决定一个程序是否可信时，应特别小心。 不信任隐私安全（1） 安全性经常就是保守秘密。用户不愿意他们的个人信息被泄漏。保守秘密的关键是防止窃听和篡改。最高秘密算法要防止竞争对手的窃取。这些需求往往是优先的，但相对也是更难满足的。 许多人有一种隐含的假设，认为二进制的秘密就能保住，也许因为从二进制中抽取秘密会困难一些。的确，二进制是复杂，但是，用二进制的方法保守秘密是非常困难的。一个问题就是一些攻击者很善于对二进制实施逆工程，他们会把二进制代码分开，找出它的内容。这就是软件版权保护机制很难凑效的原因。受过训练的恶意攻击者能绕过公司在软件中增加的“硬码”保护，并发行他们的盗版。许多年以来，双方在进行着“军备”竞赛，不断提高技术水平。商家尽量让软件骇客们找不到解锁软件的秘密，而骇客们总是努力地攻破软件。从过去的情况看，骇客们占了上风。对于一些感兴趣的软件，例如DVD浏览器或是音乐播放器，骇客们往往能在正版软件发布的同时（甚至提前）发行他们的盗版。 不信任隐私安全（2） 另外，认为软件运行在专用网络上的服务器端就能保证安全也是不正确的。即使是专用网络也不能信任。在专用网络上也会因为一些没有预料到的错误导致入侵者偷走了软件。 即使很安全的网络也对付不了内部攻击。研究表明，最大的威胁来自内部攻击，一些不满的员工会滥用他们的权限。公司软件即使有防火墙保护，也不能防止监守自盗。如果有人真想用非法手段搞到软件，那是可能做到的。我们总能听到这种说法，“我们这儿不会发生这种事情的，我们信任我们的员工”。即使95％的人持这种观点，这种推断也是危险的。实事上，调查表明，大多数的攻击发生在内部，盲目的信任是不足取的。也许员工喜欢你的环境，但一切都是变化的，员工和公司大多数是顾佣关系，决不是私人关系。因此，盲目的信任往往会付出代价。 不信任隐私安全（3） 软件是一个很强大的工具，可为善者用，也可为恶者用。因为大多数人认为软件很神奇，从不看它内部的工作机理，因此，才有那么多潜在的误用和滥用的风险。 保守秘密很难，这也是安全性风险的源头。 提高必威体育官网网址性（1） 必威体育官网网址性是安全性很重要的内容，因此，不要做损害用户必威体育官网网址性的事情，并且要努力保护用户的个人信息。要尽力避免必威体育官网网址性失窃，而且滥用用户的必威体育官网网址信息容易失去客户的尊重。 将必威体育官网网址性和可用性进行权衡。例如，大多数系统都在使用完后就“忘掉”信用卡号，这样，即使Web服务器被破坏，也没有什么需要长期保存的信息。但用户很讨厌这种方法，因为每次购买东西时都要整个地输入卡号信息。能够满足“一点即购”的方便性，又能保证安全的方法看来是不可能的。一个可接受的方法就是保存用户的信用卡信息，但必须非常小心。应该从不显示用户的任何信用卡号，即使是用户本人，以防某些人访问其不该访问的东西。一个通常的方法就是显示一部分信用卡数字，但大部分数字是涂黑的。此方法虽然不是特别好，但作为一种折衷，也是可接受的。 努力提高用户、系统和代码的必威体育官网网址性是很重要的。 4.4.2 安全方针 安全方针为软件开发团队所面临的软件设计层面的问题提供了规范性指导。 谢谢 * Jackson结构程序设计方法基本上由下述五个步骤组成： （1）分析并确定输入数据和输出数据的逻辑结构，并用Jackson图描绘这些数据结构。 （2）找出输入数据结构和输出数据结构中有对应关系的数据单元。所谓有对应关系是指有直接的因果关系，在程序中可以同时处理的数据单元（对于重复出现的数据单元必须重复的次序和次数都相同才可能有对应关系）。 （3）用下述三条规则从描绘数据结构的Jackson图导出描绘程序结构的Jackson图。①为每对有对应关系的数据单元，按