安全性

软件安全性包括保密性、完整性、抗抵赖性、可核查性、真实性,信息安全性的依从性这6个特性,通过这些特性可以全面地衡量一个软件的安全质量,为供方或需方在软件选型、开发、运维等过程中提供客观的参考。

保密性

保密性指产品或系统确保数据只有在被授权时才能被访问的程度。即须防止未经授权的人或系统访问相关信息或数据,同时还需要保证经授权的人或系统能正常访问数据,通常在软件中实现登录、权限控制等功能来实现软件的访问控制;除了访问控制外,还需要保证数据在传输过程中不被窃听,对数据存储或传输进行加密,例如采用3DES、AES等加密算法对敏感数据进行加密。

完整性

完整性指系统、产品或组件防止未授权访问、篡改计算机程序或数据的程度。为了防止数据在传输或存储过程中未经授权被破坏或篡改,一般会采用增加检验位、循环冗余校验(CRC)的方式,检查数据完整性是否被破坏,或者采用各种散列运算(如MD5、SHA系列散列算法等)和数字签名等方式实现通信过程中的数据完整性。

 

抗抵赖性

抗抵赖性指活动或事件发生后可以被证实且不可被否认的程度。这就需要软件能够提供相关活动或事件发生的证据,通常采取的措施包括软件中实现安全审计功能、采用数字签名等方式, 通过启用安全审计功能,可以对活动或事件进行跟踪,形成完整的证据链,通过采用数字签名,在收到请求的情况下,为数据原发或接收者提供数据原发和接收证据。

可核查性

可核查性指实体的活动可以被唯一追溯到该实体的程度。和抗抵赖性不同,重点在于追溯实体的程度,即应充分地记录活动或事件发生的证据,以便于进行唯一溯源,例如用户活动的日志记录内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。

真实性

真实性指对象或资源的身份标识能够被证实符合其声明的程度。软件应提供相关功能以验证用户身份的真实性,例如软件中的用户名唯一且与用户一一对应,采用用户名和口令对用身份进行鉴别,还可以通过开启口令复杂度、限制非法登录账户、删除共享账户、启用动态口令等验证方式更有效地保障用户身份的真实性。

信息安全性的依从性

信息安全性的依从性指产品或系统遵循与信息安全性相关的标准、约定或法规以及类似规定的程度,即除以上5个特性外,如软件需要满足特定的信息安全性相关的标准、约定或法规情况下,应确保软件符合相关要求或规定。

祝融 FDS

数字创新  工业软件4.0  树立民族自信

2022-04-18