安全性

软件安全性包括保密性、完整性、抗抵赖性、可核查性、真实性，信息安全性的依从性这6个特性，通过这些特性可以全面地衡量一个软件的安全质量，为供方或需方在软件选型、开发、运维等过程中提供客观的参考。

​

保密性

保密性指产品或系统确保数据只有在被授权时才能被访问的程度。即须防止未经授权的人或系统访问相关信息或数据，同时还需要保证经授权的人或系统能正常访问数据，通常在软件中实现登录、权限控制等功能来实现软件的访问控制；除了访问控制外，还需要保证数据在传输过程中不被窃听，对数据存储或传输进行加密，例如采用3DES、AES等加密算法对敏感数据进行加密。

​

完整性

完整性指系统、产品或组件防止未授权访问、篡改计算机程序或数据的程度。为了防止数据在传输或存储过程中未经授权被破坏或篡改，一般会采用增加检验位、循环冗余校验（CRC）的方式，检查数据完整性是否被破坏，或者采用各种散列运算（如MD5、SHA系列散列算法等）和数字签名等方式实现通信过程中的数据完整性。

抗抵赖性

抗抵赖性指活动或事件发生后可以被证实且不可被否认的程度。这就需要软件能够提供相关活动或事件发生的证据，通常采取的措施包括软件中实现安全审计功能、采用数字签名等方式， 通过启用安全审计功能，可以对活动或事件进行跟踪，形成完整的证据链，通过采用数字签名，在收到请求的情况下，为数据原发或接收者提供数据原发和接收证据。

​

可核查性

可核查性指实体的活动可以被唯一追溯到该实体的程度。和抗抵赖性不同，重点在于追溯实体的程度，即应充分地记录活动或事件发生的证据，以便于进行唯一溯源，例如用户活动的日志记录内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。

​

真实性

真实性指对象或资源的身份标识能够被证实符合其声明的程度。软件应提供相关功能以验证用户身份的真实性，例如软件中的用户名唯一且与用户一一对应，采用用户名和口令对用身份进行鉴别，还可以通过开启口令复杂度、限制非法登录账户、删除共享账户、启用动态口令等验证方式更有效地保障用户身份的真实性。

​

信息安全性的依从性

信息安全性的依从性指产品或系统遵循与信息安全性相关的标准、约定或法规以及类似规定的程度，即除以上5个特性外，如软件需要满足特定的信息安全性相关的标准、约定或法规情况下，应确保软件符合相关要求或规定。