请教一个问题-软件安全

mygod

至于身份怎么伪造，你是作安全的可能比我了解的更多吧。

mygod

原帖由 "人生五十年" 发表：

怎么理解?

就是具体的业务具体分析了，这些首先是要在业务流程上来保证，应用开发要作的是搞清楚业务的规则并在系统中体现出来，但是实际上应用开发人员会经常协助用户一起制定一些业务的规范，这个可能就脱离咱们讨论的“安全”的范围了，那是业务上的规范

mygod

举个例子，就拿系统中经常要作的数据通讯来说吧，如果自己写通讯程序来实现数据传送，为了保证业务数据的安全性，可能就需要加密，机密可以使用加密机，加密机本身会保证数据的安全，应用要作的就是使用加密机提供给应用的编程接口，如果没有加密机就只好自己通过程序来加密，可能安全性就降低一些。如果使用中间件来通讯，那应用要作的就是调用中间件的编程接口，数据传输的安全性由中间件来保证。

e4gle

从应用上去解决安全问题？是个思路，但不彻底，应用必然假设在操作系统之上，如果操作系统被人窃取权限，应用再安全有啥用？再谈楼顶的老兄提的软件安全问题，其实就是安全编程，这是我们都应该注意的问题，非安全编程会导致：缓冲溢出，堆溢出，单字节溢出，整形溢出，逻辑错误等等许多问题，这都有可能使入侵者直接拿到权限，安全编程不是三言两语的，只是大家在编程的时候要多多考虑，最好先学会在内核中编程的严谨性再去编写应用程序就很容易了

e4gle

一切应用安全的基础在于操作系统的安全，操作系统安全的基础又在于硬件服务器的安全，据我所知，windows或者unix本身的文件访问机制是自主访问只能达到国家2级安全标准，还是非常不完善的，所以就需要先从操作系统入手解决安全问题，比如杜绝非法的系统调用，杜绝内核后门，从0层增强文件访问机制增加MAC,ACL等，在这个的基础上我们再谈上面的应用，否则一切都是空谈，目前公安部推行的国家5个等级的安全标准就是为了这个意思。

人生五十年

我想实现软件的安全性可以从以下方面来做：
先要确定安全目标，然后做分布性平台对象、操作系统、认证技术的选择。检查代码的安全性（比如说代码是否模糊，密码的算法等），做软件稽核（体系结构的安全），如何有效防止溢出，访问控制，信任的管理，密码学的应用，口令认证的方式和原则等
不知道是不是这样?

mygod

同意应当先指定一个安全目标，还有也应当考虑选用的硬件产品和平台软件（中间件、数据库等）的安全性。

其实与其说软件的安全性不如说系统的安全性要好些。

人生五十年

两者本来就是不可分的，应用用于系统之上

e4gle

目前国家正在大力实施的就是操作系统的安全，服务器的安全，目前操作系统由于没有国产化，所以目前的状况只能是加固，这作为一个过渡阶段，服务器已经国产化，比如曙光，浪潮等
等这两个做好了，再谈及数据库，中间件以及上面的应用安全。至于软件编写时的安全问题，我觉得主要还是人的因素，我觉得现在很多应用程序员盲目编程不求严谨，比如malloc分配的一段内存，在其中的一个程序分支就没有释放，这很容易导致安全问题，要先从人入手

人生五十年

但是在验收软件的时候很难涉及的很深的？那应该怎么做呢