请教一个问题-软件安全

人生五十年

各位在做应用软件开发中，在软件安全和数据安全方面会采取那些措施呢？如果要在一个应用软件中加入安全功能，会考虑从什么方面着手呢？
大家讨论讨论...

mygod

你说的安全性可能是指数据的安全性吧，一般应当从两个方面来考虑：


第一，数据本身的安全性，主要是防止出现业务数据丢失，保证数据的一致性等方面，一般这些都是通过采用的软硬件平台来保障的，可能应用开发的人关心的较少。

第二，数据访问的安全性，系统要防止被攻击，防止越权的操作，防止个人的信息被盗窃等，这里面也需要依靠一些软硬件平台和标准来实现，但是应用要考虑的东西就相对要多，根据系统的大小和设计目标而定

人生五十年

我说的不仅如此，还有很多？例如功能安全，代码自己的安全性，安全审计，如何杜绝后门等。。。

mygod

功能安全和代码的安全是什么？我指的是作企业级的应用，并且是从使用者的角度，主要还是围绕着数据的安全，能把这些作好已经很不容易了。

人生五十年

那我就问怎么防止用户越权操作或者对用户的在软件中进行行为跟踪？

mygod

用户的权限管理是每个系统最基本必要的功能，这个很难说要软件来完成还是系统来完成，我觉得应用上考虑的比较简单，因为一般的越权操作都是靠伪造身份的方法，很多的身份的校验是需要一定平台支持的应用是无能为力的，不过软件设计的时候（特别是分层的设计模式）应当考虑防止饶过软件的安全校验的层直接访问应用逻辑的可能。

如果系统的安全要求较高，一般对系统的操作应当记录操作日志，而且可以由系统管理员监控，而且应当有类似于“总分核对”的东西。

mygod

我觉得应用主要还是应当考虑怎么保证业务上的安全性，即防止用户合理合法的使用系统违规操作，系统级的安全性需要相应的软硬件平台，应用需要作的是使用这些资源而已。

人生五十年

我觉的用户的权限管理应该是由系统和软件来综合完成的，最好保持两者在用户上的统一性，实现双重的访问控制。
我想问一下，伪造身份的的方法一般会怎么实现？直接访问应用逻辑的可能性还有那些？

人生五十年

[quote]原帖由 "mygod"]我觉得应用主要还是应当考虑怎么保证业务上的安全性，即防止用户合理合法的使用系统违规操作，系统级的安全性需要相应的软硬件平台，应用需要作的是使用这些资源而已。[/quote 发表：

怎么理解?

mygod

原帖由 "人生五十年" 发表：
我觉的用户的权限管理应该是由系统和软件来综合完成的，最好保持两者在用户上的统一性，实现双重的访问控制。
我想问一下，伪造身份的的方法一般会怎么实现？直接访问应用逻辑的可能性还有那些？

权限管理在应用的设计上不是个难题，一般你作过一个系统的权限管理，以后的基本上就改改就可以了，因为所有的组织都大体是一样的组织方法，当然“地下党”的单线联系除外   

直接访问业务逻辑，比如一个系统，系统客户端运行的时候开始需要登陆，登录以后就可以使用系统，如果系统只在登录的时候校验用户的身份可能就不是个安全的作法，因为对于正常使用系统的人来说当然没关系，但是如果有人直接发送应用请求的数据包给服务器，如果应用没有方法保证该请求是通过正常的登录来的可能就有问题。