软件研发中的信息安全管理

软件研发中的信息安全管理

周占华

杭州讯展信息技术有限公司  310011

摘要：随着互联网和大数据的不断发展，信息化在社会各行业逐渐崭露头角，信息安全日渐引起人们的重视。而作为信息化实现的中坚力——软件开发，如何做好软件开发过程中的信息安全管理，从而使得开发出的信息化产品更有安全保障，也是信息安全管理中非常重要的一个环节。

关键词：软件研发；信息安全；安全管理

一、软件研发中的信息安全管理现状

现在虽然各企业都已经建设了自己的信息安全管理制度，但是在后期运营维护过程中，在安全管理工作的针对性不强，加之软件开发过程中信息安全技术控制力度也严重不足，这些都严重影响了信息安全性。对于普通用户而言，其直接和应用层面对，用户是通过使用软件来实现自身的目的的，所以为了让软件系统的安全得到保障，应该采取一系列有效的技术手段，这样才能进一步实现企业的业务目标。软件系统的类型非常多样，不同种类的系统其也在面临不同的信息安全问题，现在企业管理类型的软件面临的信息安全隐患是最为严重的，现在企业软件的安全管理人员大多从事基础架构工作，自然不可能对某一种变成用的语言都非常熟稔，所以一旦出现安全问题，自然是不可能在软件系统出现问题的时候及时调试以及追踪问题，无法将根源追溯到代码级别上。一旦发现程序存在更多的安全问题，想要调试和弥补都需要大量的人力和物力，在修复过程中，也很可能由于数据的泄露而给企业导致损失。所以在这个过程中，如果软件开发过程中能够对信息安全管理给予足够的重视，就会有效降低损失、降低企业建设和安全管理的成本。

二、软件研发中的信息安全管理分析

（一）软件研发过程中的程序编写

软件程序编写对系统安全性有着较大的影响，通过编码阶段的安全控制能够减少软件应用的系统漏洞。为此，需要相关人员严格按照设计说明书的要求来编写软件操作程序。对于使用第三方代码的行为要组织人员进行全面的评估和测试，强化对源代码的安全检查。

（二）软件研发发过程中管理分析

（1）需求管理建设。需求管理的主要内容是管理需求开发所成生成的产品和产品部件需求，通过建立双向追踪关系和跟踪需求变化来确保工作产品和需求的一致。以CMM为指导思想获取、分析和管理软件开发的项目需求。首先，确定软件产品功能。在经过需求分析之后借助软件将项目管理分为七个模块，明确各个模块的功能。其次，业务流程分析。再次，需求确认。最后，需求变更控制。

（2）管理变更。在应用软件的过程中需要和乙方签订保密协议，明确乙方泄露甲方业务数据所必须承担的责任。乙方软件开发人们仅仅被允许访问测试环境，在没有安全评测手段的情况下不允许开发人员访问生产环境。

（3）确保管理的信息安全。将信息安全建设作为软件开发应用的重要任务，为软件信息化安全管理安排充足的人力、物力和财力，并为软件开发应用人员开展必要的管理培训，确保软件信息安全工作顺利开展。同时，还需要将软件开发过程中各类文档生成需求分析报告、设计说明书，定期对软件开发人员的电脑进行杀毒和维护处理。

三、软件研发中的信息安全管理技术对策

（一）软件研发信息安全管理方面的对策

（1）首先企业应该和软件开发方签订协议，明确规定如果由于乙方的失误而导致企业数据以及源代码出现泄露的问题，必须由软件开发方承担责任。开发方的工作人员只允许访问测试环境，并且仅能在安全测评的环节中访问生产环境，避免数据的泄露。

（2）在软件开发过程中，提高对信息安全的重视程度，在安排人力资源和项目计划过程中重视合理性，同时也要通过培训手段来提高开发人员的信息安全管理意识和技术水平，保证信息安全措施可以完整地贯彻落实。软件设计过程中文档和源代码都要授权才能控制，例如说明文书、设计文书等等，并且定期查杀电脑病毒，避免泄密问题的出现。

（3）可以定期聘请第三方安全评测机构来测评信息安全情况，结合具体的测评结果，采取有针对性的措施来进行整改。

（二）软件研发信息安全技术方面的对策

（1）需求分析阶段。结合保密等级来确定系统等级，在此基础上才能划定具体的数据要求，保证数据元素属性。将数据按照具体的逻辑按照相关性关联起来，之后将其划分为不同的等级。用户可以结合系统安全的需求来描述保密的需求，这样就可以确定安全管理策略。如果有必要也可以分类用户的具体安全要求，确定哪些内容可以由开发者负责，结合这些要求制定出合理的策略。

（2）软件设计阶段。软件系统身份鉴别和认证机制设计。信息系统软件应对所有的用户进行有效甄别，并确保使用者在被授予敏感权限之前已经被认证。在鉴别和授予权限之前，信息系统软件应当给用户提供必要的信息，确保用户能够完成认证过程。信息系统所设计的鉴别和认证功能应当具备防篡改和防重放机制，在有需求的情况下，信息系统软件应支持服务器与客户端的双向认证。信息系统软件的鉴别和认证机制应具有对非正常鉴别280和认证尝试(登录、权限获取)的识别功能，并可根据案情策略启动对失败鉴别和认证尝试的锁定。信息系统软件对用户的每一次的初始会话连接请求都应当要求其完成鉴别和认证过程，并在信息系统软件的各组成部门中都不能存储明文的口令数据以及其他可以被利用进行会话重放的信息。对鉴别成功的每个会话都要维护其连接状态，在会话超时后，应使会话进入休眠状态或中断连接。软件系统加密设计。大多数安全攻击都是在数据用明文表示时发起的，因此数据在传输或存储过程中的机密性非常重要。采用数据加密技术有助于确保数据在传输和存储过程中的完整性和机密性。

信息系统加密算法的密码算法强度最少为128bit，并根据安全等级要求选择对称加密算法或非对称加密算法。软件系统的需要针对密钥进行安全管理，在密钥的生成、存储、销毁的整个生命周期中对其进行保护，确保密钥明文不能被其他进程、程序和应用中非相关组件访问。软件系统权限设计。按照分类进行管理员账户、安全管理员账户、常规账户、匿名账户进行权限设计。软件系统应当将系统的管理权限单独授权，系统管理员仅进行系统级的管理，不具备任何业务操作的权限。

四、结束语

综上所述，软件系统信息安全牵涉到多个方面的内容，且软件系统开发过程中的信息安全管理内容繁杂、多样。为此，在软件开发应用中需要相关人员结合实际制定详尽的软件开发应用规定，从而为软件信息系统的安全使用提供重要支持。

参考文献

[1]刘辉，软件系统开发过程中的信息安全管理[J].信息化建设，2020(9):19-21.

[2]赵云，熊咏梅.安全信息计算机管理系统软件设计及应用[J].安徽冶金科技职业学院学报，2019，13(3):30-32.

[3]刘湖平，曾绍军，王欣.基于安全软件开发生命周期的软件工程[J].中国管理信息化，2020，16(7):65-67.

[4]薛水兰，郭雅娇，黄荔红.护理安全管理软件的研发及应用效果[J].护理学杂志，2019，32(2):57-59.

[5]张萍，田闯，李卫，软件开发过程中的信息安全管理[J].中国信息化，2020(11):63-64.