读软件开发安全之道:概念、设计与实施09安全设计

最新推荐文章于 2025-07-26 17:52:48 发布
原创 最新推荐文章于 2025-07-26 17:52:48 发布 · 2.3k 阅读 · 43 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #信息安全 #网络安全 #软件研发 #软件安全

1. 安全设计

1.1. 过载、混乱和迷惑性并不是信息的属性,而是设计的失败。

  • 1.1.1. 爱德华·塔夫特

1.2. 不应该将系统的安全性留给审查员进行修补

  • 1.2.1. 审查员应该在对设计进行审查时,将威胁和缓解作为安全评估的附加

  • 1.2.2. 小型企业的运营通常不会那么正式,并且设计师和审查员可能是同一个人

2. 在设计中集成安全性

2.1. 设计阶段为将安全原则和模式应用到软件项目中提供了绝佳的机会

  • 2.1.1. 在设计阶段,开发者应该创建开发文档,以便明确一个软件项目的高层级特征,类似于一个架构蓝图

  • 2.1.2. 设计文档中通常包含功能描述(从外部审查软件是如何工作的)和技术规范(从内部审查软件是如何工作的)​

2.2. 经验丰富的设计师会从一开始就将安全性纳入设计方案之中

  • 2.2.1. 在开始编码之前,你可以先进行威胁建模、识别攻击面、绘制数据流等

  • 2.2.2. 在设计过程的早期最容易进行重大更改,这样能够避免事后重做

  • 2.2.3. 尽早探索新的架构,并满足基本的要求,越早着手越容易完成

2.3. 明确设计中的假定规则

  • 2.3.1. 预测严重的误解,从而使你永远不会听到任何人说:​“但我原本以为……”

  • 2.3.2. 一些对文档很重要,但在设计中很容易忽略的常见假定规则

    • 2.3.2.1. 会对设计空间带来限制的预算、资源和时间

    • 2.3.2.2. 系统是否可能成为攻击目标

    • 2.3.2.3. 非协商性要求,如与旧系统的兼容性

    • 2.3.2.4. 对于系统必须执行的安全级别的期望

    • 2.3.2.5. 数据的敏感性,以及保护数据安全的重要性

    • 2.3.2.6. 对系统未来变更的预期需求

    • 2.3.2.7. 系统必须达到的特定性能或效率基准

  • 2.3.3. 澄清假定规则对于安全性至关重要,因为误解通常是一些问题产生的根本原因

    • 2.3.3.1. 薄弱的接口设计或组件之间交互不匹配,而攻击者恰恰能够利用上述情况

2.4. 定义范围

  • 2.4.1. 如果一个设计的范围很模糊,审查员可能会认为一些重要的安全内容不在范围之内,而设计师也不会意识到有问题

  • 2.4.2. 不要因为那些被遗漏在设计生态系统之外的部分,导致整个设计的失败

  • 2.4.3. 当你接管一个旧系统时,你首先要努力理解它,要关注它最敏感的部分,以及对于维护安全性最基础的部分,或者最明显的攻击目标

  • 2.4.4. 你可以通过定义一个狭窄的范围,使其对应需要重新设计的部分,来处理现有系统的设计迭代、冲刺(sprint)和主要修订

  • 2.4.5. 在重新设计的过程中,工作超出预期范围是很常见的,并且这通常是一件好事,当超出预期范围时,你应该根据需要对范围进行调整

  • 2.4.6. 很少有软件设计是存在于“真空”中的,它们需要依赖于现有的系统、流程和组件

    • 2.4.6.1. 确保设计能够与它所依赖的事务很好地协作至关重要

2.5. 设置安全要求

  • 2.5.1. CIA三元组是一个很好的起点

    • 2.5.1.1. 描述保护私人数据免遭未经授权披露的需求(机密性)

    • 2.5.1.2. 描述保护和备份数据的重要性(完整性)

    • 2.5.1.3. 描述系统所需要的稳健和可靠程度(可用性)

  • 2.5.2. 许多软件系统的安全要求很简单,但为了确保完整性并传达优先事项,仍然值得对其进行详细的说明

  • 2.5.3. 要特别关注对于安全性要求很高的软件,我们要仔细列举它的安全要求

  • 2.5.4. 安全性无关紧要

    • 2.5.4.1. 由多个研究小组共享的天气数据收集程序:温度和其他大气条件都可供任何人免费测量,并且披露这些信息也是无害的

  • 2.5.5. 一般性准则

    • 2.5.5.1. 将安全要求表达为最终目标,而不规定“如何做”

    • 2.5.5.2. 考虑所有利益相关者的需求

      2.5.5.2.1. 在这些需求可能发生冲突的情况下,有必要找到一个良好的平衡点

    • 2.5.5.3. 了解关键缓解措施的可接受成本和权衡

    • 2.5.5.4. 当有不寻常的要求时,解释这些要求的动机以及它们的目标

    • 2.5.5.5. 设定可以实现的安全目标,无须要求完美

2.6. 威胁建模

  • 2.6.1. 提高软件架构安全性的最佳方法之一是将威胁建模纳入设计过程之中

  • 2.6.2. 先炮制一系列潜在的设计,依次对每一个设计进行威胁建模,通过某种汇总评估对它们进行评分,然后选择最好的一个

  • 2.6.3. 威胁建模会突出风险,进而促使你评估替代方案

  • 2.6.4. 使用基准威胁模型来指导设计的另一种方式是突出设计决策带来的额外风险的来源

    • 2.6.4.1. 为敏感数据添加缓存层,以提高响应时间

  • 2.6.5. 好的软件设计最终取决于主观判断

  • 2.6.6. 策略

    • 2.6.6.1. 进行灵活的设计,以便未来轻松地添加安全保护

      2.6.6.1.1. 不要把自己置于不安全的境地

    • 2.6.6.2. 如果有需要特别关注的特定攻击,则对系统进行检测,以推动对企图滥用实例行为的监控

    • 2.6.6.3. 当可用性与安全性发生冲突时,寻求用户接口的替代方案

    • 2.6.6.4. 使用一些能够说明设计中可能存在的主要缺点的潜在场景(源自威胁模型)​,来解释安全风险,并使用这些场景来证明不实施缓解措施的成本

3. 建立缓解措施

3.1. 设计接口

  • 3.1.1. 接口定义了一个系统的边界,描绘了设计或其组件的局限性

  • 3.1.2. 可能包括系统调用、库、网络(客户端/服务器或点对点)​、进程间和进程内 API、公共数据存储中的共享数据结构等

  • 3.1.3. 复杂的接口通常都有自己的设计,比如安全通信协议

  • 3.1.4. 要记录输入的数据是否经过可靠验证,或应该被视为不受信任的数据

  • 3.1.5. 连接外部组件(设计范围之外的组件)的接口应该符合这些组件的现有设计规范

  • 3.1.6. 要想设计安全的接口,首先要对它们的工作方式做出可靠的描述,包括必要的安全属性(即CIA、黄金标准或隐私要求)​

  • 3.1.7. 审查接口的安全性相当于验证它们的功能是否能够正常运行,以及是否能够在潜在威胁面前保持强健

  • 3.1.8. 在某些情况下,另一种选择是封装接口以添加安全保护

    • 3.1.8.1. 设计一个额外的软件层来提供加密和解密,以确保该组件仅存储加密后的数据,这样即便数据泄露了也不要紧

3.2. 设计数据处理

  • 3.2.1. 数据处理是几乎所有设计的核心,因此保护它是很重要的一步

  • 3.2.2. 减少对敏感数据的移动

    • 3.2.2.1. 在设计级别上显著降低风险的关键机会

    • 3.2.2.2. 以后的实施中通常是不可能做到的

    • 3.2.2.3. 要想减少传递数据的需要,一种方法是将数据与不透明的标识符相关联,然后使用该标识符作为句柄,在必要时,你可以将其转换为实际的数据

    • 3.2.2.4. 标识公共信息或数据是否具有保密要求

      3.2.2.4.1. 这在数据处理的要求中是一个重要的例外,让你能够在合理的地方放松保护

    • 3.2.2.5. 在没有明确规定的情况下,始终将个人信息视为敏感信息,并且仅在有特定用途时才收集此类数据

      3.2.2.5.1. 无限期地存储敏感数据会带来无尽的保护义务

      3.2.2.5.2. 要想避免这种情况,你可以在可能的情况下(比如在其变得不活跃的多年后)销毁不使用的信息

3.3. 将隐私融入设计

  • 3.3.1. 个人信息的泄露经常会成为头条新闻,我相信公司可以通过将隐私融入软件设计中来获得更好的结果

  • 3.3.2. 隐私问题关乎数据保护给人带来的影响,不仅涉及法律和监管问题,还涉及客户期望和未经授权即披露所带来的潜在影响

  • 3.3.3. 当人们或流程对政策中的承诺产生了误解,或者根本没有考虑上述内容时,往往就会发生隐私问题

  • 3.3.4. 审计是隐私管理的重要工具,即使我们只使用它来记录对敏感数据的合法访问

    • 3.3.4.1. 通过仔细追踪访问记录,我们可以及早发现并纠正有问题的访问和利用

    • 3.3.4.2. 在隐私数据泄露之后,如果没有任何记录可以指明谁可以访问相关数据,那么人们将很难有效地做出响应

  • 3.3.5. 设计师要尽可能设计出明确的隐私保护措施

    • 3.3.5.1. 如果你无法判断隐私的合规性,请让隐私政策的负责人在设计上签字

  • 3.3.6. 常用技术

    • 3.3.6.1. 识别收集到的新类型数据,并确保隐私政策合规

    • 3.3.6.2. 确认政策允许你将数据用于你想要的目的

    • 3.3.6.3. 如果该设计可能不会对数据的使用施加限制,请考虑仅将访问权限赋予熟悉隐私政策规范以及了解如何审计合规性的员工

    • 3.3.6.4. 如果政策限制了数据的保留期限,请设计一个系统来确保及时删除相关数据

    • 3.3.6.5. 随着设计的发展,如果数据库中的某个字段被废弃,请考虑将其删除以降低泄露的风险

    • 3.3.6.6. 考虑建立一个数据共享的审批流程,以确保接收方能够获得管理层的批准

4. 规划整个软件生命周期

4.1. 太多的软件设计都默默地假定了这个系统会永远存在下去,而忽略了一个现实,即所有软件的生命周期都是有限的

4.2. 从首次发布和部署,到更新和维护,再到最终退役,系统生命周期中的许多方面都存在重大的安全隐患,而且这些隐患随着时间的推移很容易被忽略

4.3. 至少任何设计都应该考虑数据的长期处理

5. 权衡取舍

5.1. 在无法简单地做出选择的情况下,权衡取舍需要进行大量的工程判断,同时还要考虑很多其他因素

5.2. 大多数设计工作都是在企业或项目社区中进行的,它们所需的安全级别在很大范围内都是统一的

5.3. 设计阶段是在软件的各项竞争需求之间取得适当平衡的最佳机会

5.4. 当考虑到预定的截止日期、预算和人数限制、遗留的兼容性问题,以及冗长的功能列表时,很少会(甚至完全不会)将安全作为重中之重

5.5. 安全软件设计的核心是在这些理想化的原则与现实世界系统的实用需求之间取得适当的平衡

  • 5.5.1. 完美的安全性从来不是我们的目标,额外的缓解措施也只能带来有限的好处

  • 5.5.2. 最佳设计从来都不容易确定,但在软件设计中明确这些权衡,更有可能找到合理的折中方案

6. 设计的简洁性

6.1. 如果安全性需要依赖于正确地做出一些复杂的决定或设计一些复杂的机制,我们都要小心:要看看是否有更简单的方法来实现相同的目标

6.2. 在软件中,我们却很容易在不经意间绕过外部保护层,打开通往内部的通道

复杂性真相:软件开发中的潜在陷阱解决策略
曾经“等你生日那天”都遥远得像未来,如今却可欢愉的挥手说“下个十年见”
10-22 10万+
系统复杂性是指系统的构建、运作和维护过程中涉及到的多个因素、组件、关系和交互的综合程度。认识软件的复杂性之前,需要找到合适的方法来度量一个软件系统是否复杂,以及复杂度有多少。
软考中级-软件设计师 知识点整理(一篇就过了 建议收藏)
热门推荐
片言可决讼,半纸能缚龙
09-23 16万+
软考中级-软件设计师上午题知识点总结
浅谈软件安全设计(一)
03-21
{************************************************************** 浅谈软件安全设计(一) code by 黑夜彩虹 & vxin with almost pure delphi 网站:http://soft.eastrise.net 2007-03-07 --- 转载时请保留作者信息。 **************************************************************} 此CM的设计模式: 1、插入一些花指令 2、写了一些代码迷惑Cracker 3、有简单的Anti_DEDE 和检测调试器 话不多说,请看以下代码: unit main; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls, ExtCtrls,strutils; Const C1= 17856; C2= 23589; type TForm1 = class(TForm) Image1: TImage; Edit1: TEdit; Label1: TLabel; Label2: TLabel; Edit2: TEdit; Button1: TButton; procedure FormCreate(Sender: TObject); procedure Button1Click(Sender: TObject); private { Private declarations } public { Public declarations } end; var Form1: TForm1; implementation {$R *.dfm} Procedure Anti_DeDe();//检测DEDE反编译器 var DeDeHandle:THandle; i:integer; begin DeDeHandle:=FindWindow(nil,chr($64)+chr($65)+chr($64)+chr($65)); if DeDeHandle0 then begin For i:=1 to 4500 do SendMessage(DeDeHandle,WM_CLOSE,0,0); end; end; Function ABC42():Boolean; //检测调试器; var YInt,NInt:Integer; begin asm mov eax,fs:[30h] movzx eax,byte ptr[eax+2h] or al,al jz @No jnz @Yes @No: mov NInt,1 @Yes: Mov YInt,1 end; if YInt=1 then Result:=True; if NInt=1 then Result:=False; end; function EncryptModule(SourceStr:String;Key:Word;N:Integer):String; var //加密函数 I:Integer; begin SetLength(Result,Length(SourceStr));//利用SetLength函数指定密文长度 //对每一个索引元素进行变换 for I:=1 to Length(SourceStr) do begin Result[I]:=Char(byte(SourceStr[I]) xor (Key Shr N)); Key:= (byte(Result[I]) + Key)*C1+C2; end; end; //==========以下是549的函数,据说没有暴破点,顺便试一试 //========函数作用:动态改变程序运行罗辑 function GetEIP: Integer;//自动生成address的方法 asm mov eax, [esp]; sub eax, 5; //call GetEIP占用5字节 end; function PatchOneItem(PatchItem: String): Boolean; var PatchAddress: Integer; PatchLength: DWord; PatchData: Pointer; PatchDataStr: String; i: Integer; PatchByte: Byte; PID, PHandle: THandle; WriteCount: DWord; begin Result := False; if Length(PatchItem) < 11 then Exit; PatchAddress := StrToInt(\'0x\' + LeftStr(PatchItem, 8)); for i := 1 to Length(PatchItem) do begin if PatchItem[i] \' \' then PatchDataStr := PatchDataStr + PatchItem[i]; end; PatchLength := (Length(PatchDataStr) - 9) div 2; GetMem(PatchData, PatchLength); try for i := 0 to PatchLength - 1 do begin PatchByte := StrToInt(\'0x\'+PatchDataStr[10 + i * 2] + PatchDataStr[10 + i * 2 + 1]); Byte(Pointer(Integer(PatchData) + i)^) := PatchByte; end; GetWindowThreadProcessId(Application.Handle, PID); PHandle := OpenProcess(PROCESS_ALL_ACCESS, False, PID); WriteProcessMemory(PHandle, Pointer(PatchAddress), PatchData, PatchLength, WriteCount); CloseHandle(PHandle); finally FreeMem(PatchData, PatchLength); end; Result := PatchLength = WriteCount; end; procedure Patch(PatchFile: String); var PatchItems: TStrings; PatchIndex: Integer; begin if not FileExists(PatchFile) then Exit; PatchItems := TStringList.Create; try PatchItems.LoadFromFile(PatchFile); for PatchIndex := 0 to PatchItems.Count - 1 do begin PatchOneItem(PatchItems[PatchIndex]); end; finally PatchItems.Free; end; end; procedure TForm1.FormCreate(Sender: TObject); begin Anti_DeDe; //检测DEDE,检测到关闭它。 if ABC42 then ExitProcess(0); //检测调试器,终止。 end; procedure TForm1.Button1Click(Sender: TObject); //注册按纽,开始检测 begin //========在这里插入一些花指令 asm jz @Start jnz @Start db 0E8h, 24h, 0, 0 ; db 0, 8Bh, 44h, 24h db 4, 8Bh, 0, 3Dh db 4, 0, 0, 80h db 75h, 8, 8Bh, 64h db 24h, 8, 0EBh, 4 db 58h, 0EBh, 0Ch, 0E9h db 64h, 8Fh, 5, 0 db 0, 0, 0, 74h db 0F3h, 75h, 0F1h, 0EBh db 24h, 64h, 0FFh, 35h db 0, 0, 0, 0 db 0EBh, 12h, 0FFh, 9Ch db 74h, 3, 75h, 1 db 0E9h, 81h, 0Ch, 24h db 0, 1, 0, 0 db 9Dh, 90h, 0EBh, 0F4h db 64h, 89h, 25h, 0 db 0, 0, 0, 0EBh db 0E6h db 0EBh, 1, 0Fh, 31h ; db 0F0h, 0EBh, 0Ch, 33h db 0C8h, 0EBh, 3, 0EBh db 9, 0Fh, 59h, 74h db 5, 75h, 0F8h, 51h db 0EBh, 0F1h db 0B9h, 4, 0, 0 ; @Start: end; if length(edit2.Text)>3 then //比较大于3位 begin //============再写一些骗Cracker if edit2.Text=EncryptModule(Edit1.Text,12345,10) then begin showmessage(\'请重启本软件。\'); //=======还可以再写一些记号,这里我就不写了 end; PatchOneItem(edit2.Text); //真正的比较 showmessage(\'ok\'); //弹出OK对话框 end; end; end.  //====附件为CM,会破解的兄弟可以试试其强度....
软件安全设计
08-27
非常好的系统安全设计学习笔记, 作者未知。
安全设计 | CISA:构建默认安全软件软件安全设计的未来之路
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-26 2584
CISA发布的《软件安全设计的原则和方法》文档提供了一系列具体的建议和策略,包括威胁建模、最小权限原则、默认安全配置、纵深防御、安全编码实践、持续监控和响应、安全更新和补丁管理等,以帮助软件制造商实现这些原则。文档强调了国际合作的重要性,并呼吁行业反馈,以共同提高全球软件安全标准。通过这些努力,文档旨在促进一个更安全、更有韧性的技术生态系统,其中技术产品在设计和默认状态下都是安全的。(共36页,访问密码: 6277)
精选资源
2022 CISSP认证 Domain 8 软件开发安全cheat sheet
07-29
Domain 8,软件开发安全,是该认证中的一个重要部分,着重于在整个软件开发生命周期(SDLC)中集成和实施安全实践。 **软件开发生命周期(SDLC)** SDLC 是一套系统性的过程,包括从软件的规划、设计、开发、测试到...
精选资源
信息技术 安全技术 网络安全 第1部分:综述和概念.docx
09-20
网络安全设计和实现指南** - **9.1 背景**:解释了设计安全网络架构的必要性。 - **9.2 网络技术安全架构、设计**:提供了关于构建安全网络架构的具体指导。 **10. 参考网络场景—威胁、设计技术和控制要素** - ...
AI安全开发:架构师必须遵循的SDL流程
最新发布
AI天才研究院
07-26 992
面对AI安全的严峻挑战,传统的"事后修补"模式早已失效。架构师需要从源头构建安全防线——AI安全开发生命周期(AI-SDL,AI Secure Development Lifecycle)。这是一套专为AI系统设计安全开发框架,在传统SDL基础上,针对AI特有的数据、模型、算法风险,将安全活动嵌入从需求分析到系统退役的全流程。将"安全"从被动合规要求转化为主动设计目标。
软件信息系统安全设计.docx
05-30
软件安全设计文档,用于写标书什么的,很给力的,1分你买不了吃亏,1分你买不了上当,有需要您拿走,暂时没需要也可以留着有需要的时候用
safehome系统概要设计说明书
05-28
safehome系统概要设计说明书,对safehome进行总体概述设计
软件开发安全设计
aikuangshen0286的博客
06-09 726
近期在做安全开发生命周期(SDL)相关培训,其中针对安全设计阶段,基于一般的Web应用数据流图,整理了一份checklist结构图,以供参考。 转载于:https://www.cnblogs.com/canyezhizi/p/10994563.html...
软件安全设计(威胁建模实现)
王陈锋的博客
12-11 4410
熟悉软件安全需求分析方法,掌握软件安全分析技术。1、操作系统:windows 7/8/10等2、安装Threat Modeling Tool 2016《软件安全技术》教材第7章1. 目标:完成基于Threat Modeling Tool 2016的在线学习系统威胁建模过程。2. 步骤:(1) 安装Threat Modeling Tool 2016;(2) 打开软件,根据前期的在线学习系统安全需求分析结果,构建软件流程图以及软件安全边界。(3) 根据软件流程以及安全边界,生成威胁建模报告。
软件应用开发安全设计指南
weixin_41039677的博客
05-03 2358
设计系统架构时,要充分考虑各种安全威胁,如DDoS攻击、SQL注入、跨站脚本攻击(XSS)等,并采取相应的防护措施。设计时要充分考虑到系统架构的稳固性、可维护性和可扩展性,以确保系统在面对各种安全威胁时能够稳定运行。设计审计和日志记录功能,以记录系统的活动和事件,为安全审计和故障排除提供依据。对网络通讯进行严格的身份验证和访问控制,防止未经授权的访问和数据泄露。在设计软件功能时,要充分考虑功能的安全性,避免引入潜在的安全漏洞。限制对存储设备的物理访问权限,防止未经授权的访问和数据篡改。
安全性和保密性设计---系统的安全设计
hu19930613的博客
12-22 4494
系统的安全设计     要设计一个安全的系统,除了要了解一些前面讲到的常用的保护手段和技术措施外,还要对系统中可能出现的安全问题或存在的安全隐患有充分的认识,这样才能对系统的安全作有针对性的设计和强化,即“知己知彼,百战百胜”。     下面以物理安全、防火墙、入侵检测为例讲解系统安全中可能出现的问题及如何采取相应的措施。 1 物理安全问题设计    物理安全包括物理设备本身是否安全可...
SDL-软件安全设计初探
weixin_43047908的博客
12-24 4744
目录前言SDL介绍SDL作用SDL安全活动安全设计核心原则攻击面最小化基本隐私权限最小化默认安全纵深防御威胁建模STRIDE威胁建模方法STRIDE介绍威胁建模流程数据流图识别威胁缓解措施安全验证总结 前言 SDL介绍 安全开发生命周期(SDL)即Security Development Lifecycle,是一个帮助开发人员构建更安全软件和解决安全合规要求的同时降低开发成本的软件开发过程。自2004年起,微软将SDL作为全公司的计划和强制政策,SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:
软件设计师学习笔记-系统安全分析设计
IT1995的博客
09-16 4905
目录 系统安全分析设计 信息系统安全属性 对称加密技术 非对称加密技术 信息摘要 数字签名 数字信封PGP 网络安全-各个网络层次的安全保障 网络威胁攻击 网络安全-防火墙 系统安全分析设计   信息系统安全属性   对称加密技术   非对称加密技术   信息摘要   数字签名   数字信封PGP 例题: 答案...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值