房樂
2
CISAW
CISP-PTE
房樂2
CISAW
CISP-PTE
軟件安全問題產生的原因有:
軟件開發安全意識淡薄:傳統軟件開發更傾向于軟件功能,而不注重對安全風險的管理。軟件開發公司工期緊、任務重,為爭奪客戶資源、搶奪市場份額常倉促發布軟件。軟件開發人員將軟件功能視為頭等大事,對軟件安全架構、安全防護措施認識不夠,只關注是否實現需要的功能,很少從“攻擊者”的角度來思考軟件安全問題。
軟件開發者缺乏安全知識:軟件公司中,項目管理和軟件開發人員缺乏軟件安全開發知識,不知道如何更好地開發安全的軟件。實施軟件的安全開發過程,需要開發團隊所有的成員以及項目管理者都具備較高的安全知識。軟件開發人員很少進行安全能力與意識的培訓,項目開發管理者不了解軟件安全開發的管理流程和方法,不清楚安全開發過程中使用的各類方法和思想;開發人員大多數僅學會了編程技巧,不了解安全漏洞的成因、技術原理與安全危害,不能更好地將軟件安全需求、安全特性和編程方法相互結合。
軟件趨向大型化,第三方擴展增多:現代軟件功能越來越強,功能組件越來越多,軟件也變得越來越復雜。操作系統的代碼量相當驚人,而且隨著版本的更新,代碼量迅速增加。現在基于網絡的應用系統更多地采用了分布式、集群和可擴展架構,軟件內部結構錯綜復雜。軟件應用向可擴展化方向發展,成熟的軟件也可以接受開發者或第三方擴展,系統功能得到擴充。如,Firefox和Chrome瀏覽器支持第三方插件,Windows操作系統支持動態加載第三方驅動程序。
軟件使用場景更具威脅:網絡技術拓展了軟件的功能范圍,提高了其使用方便程度,與此同時,也給軟件帶來了更大風險。由于軟件被應用于各種環境,面對不同層次的使用者,軟件開發者需要考慮更多的安全問題。同時,黑客和惡意攻擊者可以比以往獲得更多的時間和機會來訪問軟件系統,并嘗試發現軟件中存在的安全漏洞。
惡意代碼泛濫:隨著互聯網的快速發展和廣泛應用,惡意代碼產生和傳播的速度越來越快,危害也越來越嚴重。自2000年以來,先后爆發了紅色代碼、尼姆達、沖擊波、震蕩波、熊貓燒香、震網病毒、火焰病毒等眾多惡意病毒,它們傳播范圍廣,導致了重大安全損失,感染主機從幾十萬臺到上千萬臺,經濟損失從上億美元到上百億美元。
黑客活動猖獗:當前黑客組織非常活躍,其中既包括傳統的青少年黑客、跨國黑客組織,也包括商業間諜黑客和恐怖主義黑客,乃至國家網絡戰部隊。2003年以前的黑客多以惡作劇和破壞系統為主,包括對技術好奇的青少年黑客和一些跨國黑客組織;2004年以后的黑客行為則多為實施商業犯罪并從事地下黑產,危害已經不限于讓服務與系統不可用,更多的是帶來敏感信息的泄露以及現實資產的損失。
推薦文章
