软件安全问题之软件保障

3. 软件保障

软件安全属于软件领域里一个重要的子领域。在单机时代，安全问题主要集中在操作系统易受恶意代码感染的问题上，单机应用程序软件安全问题并不突出。但是自从互联网普及后，软件安全问题愈来愈突出，使得软件安全的重要性上升到一个前所未有的高度。

软件安全保障是对“软件可以规避安全漏洞而按照预期的方式执行其功能”的信心。软件安全保障目标是在软件开发生命周期中提升软件的安全性，主要目的是：

1)可信赖性：无论是恶意而为还是无意疏忽，软件都没有可利用的漏洞存在

2)可预见性：对软件执行时其功能符合开发者的意图的信心

3)遵循性：将（软件开发）跨学科的活动计划并系统化，以确保软件过程和软件产品满足需求、遵循相关标准。

理想中安全的软件，是不存在任何安全漏洞、能抵御各种攻击威胁的软件。但是，现实中这样的软件是不可能存在的，由于安全威胁无处不在，软件在需求、设计和开发等过程，如果对安全考虑稍有不慎，都有可能将安全漏洞带人到软件中。软件安全保障的思路是通过在软件开发生命周期各阶段采取必要的安全考虑和相适应的安全措施，尽管不能完全杜绝所有的安全漏洞，也可以做到避免和减少大部分安全漏洞。

软件安全保障是对“软件可以规避安全漏洞而按照预期的方式执行其功能”的信心。这些安全漏洞或者故意设计在软件之中，或者在其生命周期被偶然插入到软件中。进一步说，软件安全保障是指确保软件能够按照开发者预期、正常地执行任务，提供与威胁相适应的安全台邑力，从而避免存在可以被利用的安全漏洞，并且能从被人侵和失败的状态中恢复。由于信息系统以及系统所承载业务的风险很大程度上与软件安全息息相关，软件安全保障已经成为当前信息安全需要解决的关键问题。