安全管理的漏洞
在当前以软件为核心的数字化时代,软件缺陷导致的网络安全问题越来越严重。CNVD已记录各类安全漏洞信息超过16.6万条,其中:95%以上的安全漏洞发生在各类软件本身,由软件开发问题导致的安全漏洞占96%以上。信息安全问题大多是由于未能开发出更安全的软件造成的。
对软件安全开发的管理和控制可以最大限度地保证系统的安全性,防止系统安全事件的发生。
//
1.什么是软件安全开发控制?
2.为什么要控制软件安全开发?
3.参考标准是什么?
4.软件安全开发的痛点有哪些?
5.如何控制软件安全开发?
1什么是软件安全开发控制?
软件安全开发管控基于网络安全责任制、等级保护、密码使用、数据安全、个人信息保护等监管要求。并控制软件安全开发的全过程,能够满足开发者的期望,提供与威胁相适应的安全能力,从而维护软件本身的安全属性,避免可被利用的安全漏洞,从被入侵和失效的状态中恢复,最大限度地保证系统的安全,防止系统安全事件的发生。
2为什么要控制软件安全开发?
《国家网络空间安全战略》
第七条夯实网络安全基础。
坚持创新驱动发展,尽快取得核心技术突破。重视软件安全,加快安全可信产品的推广使用。
《网络安全审查办法》
第一条
为了保证关键信息基础设施的供应链安全、网络安全和数据安全,维护国家安全。
文章
关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展影响或者可能影响国家安全的数据处理活动的,应当依照本办法进行网络安全审查。
《关键信息基础设施安全保护条例》
第十九条
运营商应优先采购安全可靠的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
3参考标准是什么?
4软件安全开发的痛点是什么?
1)软件安全开发全过程复杂,开发管理体系建设和实施难度大。60%的施工单位有安全发展管理制度,但由于制度细化程度差、可执行性低、执行难度大,难以进行全过程控制。
2)第三方组件的安全问题普遍严重。第三方组件在软件开发中起着重要的作用,在项目建设中使用几十个第三方组件是非常常见的。研究表明,37%的系统使用至少存在一个已知安全漏洞的第三方组件,第三方组件已经成为系统安全中安全问题的重要导入点。
3)市场缺乏安全开发专业人才,具体开发安全工作高度依赖人员的安全能力,无法有效实施;据统计,70%的施工单位在项目施工前未对技术人员进行安全培训,或者虽进行了安全拓展培训,但实际拓展并未按照培训要求进行。
4)企业缺乏自动化工具和可视化平台的支持,大量重视安全开发的单位投入资金和人力建设安全控制工具和团队,但在过程改进、能力提升和工具维护方面缺乏连续性,50%的建设单位没有维护测试工具。面对迭代开发的持续交付,提高效率是一个亟待解决的问题。
5)企业缺乏对开发安全实践的评估和审核能力,导致相应的安全活动无法确定实施效果并进行有效改进,最终演变为形式化。
6)通知中存在重要的业务安全漏洞
从“软件安全开发全过程”的维度,形成了综合安全开发的总体框架。安全监管法规、安全开发法规、安全开发规范、人员培训和考核贯穿于安全开发的全过程,包括控制和研究阶段、需求阶段、设计阶段、编码阶段、部署阶段、发布阶段,以提高应对安全风险的能力,最大限度地保证系统的安全性,防止系统安全事件的发生。
调查阶段
在系统研究阶段,收集信息系统建设信息,评估供应商的安全开发能力。
需求阶段
对关键节点的要求进行安全审查等。并形成安全要求评审表;评估现有的安全和隐私风险并分析其影响。
设计阶段
设计阶段:对关键节点的设计进行安全审查,形成安全设计审查表;减少攻击面,进行威胁建模和分析,为信息系统面临的威胁建立模型,明确可能的攻击来自哪些方面。
编码阶段
配置库和开发环境,并对开发的代码进行代码审查和代码走查分析。代码的静态分析可以在相关工具的辅助下完成,结果可以结合手工分析。
部署阶段
开发质量的评估,使用系统的安全测试和渗透测试,数据安全测试和个人信息保护测试,配置库和运行环境的安全检查。
发布阶段
发布阶段:系统上线后,需要在等保评估、密码评估、风险评估等方面进行合规性验证。并定期或不定期进行渗透测试。
相关问答:安全使用会计软件的基本要求有哪些?
严格管理账套使用权限 在使用会计软件时,用户应该对账套使用权限进行严格管理,防止数据外泄;用户不能随便让他人使用电脑;在离开电脑时,必须立即退出会计软件,以防止他人偷窥系统数据。