午夜福利啪啪片,人善交zzzzxxxxx另类,丰满人妻中伦妇伦精品app,搡bbbb搡bbb搡

400-88-27001
service@aryasec.com

軟件安全開發(fā)度量模型解析

來源:    發(fā)布日期:2018.12.29   點擊量:

一、軟件安全開發(fā)度量指標(biāo)的定義與作用
    (一)什么是軟件安全開發(fā)度量指標(biāo)
    銀監(jiān)會在發(fā)布的《商業(yè)銀行操作風(fēng)險管理指引》中,將度量指標(biāo)定義為“代表某一風(fēng)險領(lǐng)域變化情況并可定期監(jiān)控的統(tǒng)計指標(biāo)”。軟件安全開發(fā)度量指標(biāo)可用于監(jiān)測系統(tǒng)開發(fā)過程中以及系統(tǒng)上線后發(fā)現(xiàn)的各項風(fēng)險及控制措施,并作為反映風(fēng)險變化情況的早期預(yù)警指標(biāo),開發(fā)團(tuán)隊以及安全團(tuán)隊可根據(jù)預(yù)警信息及早采取措施,提升開發(fā)安全質(zhì)量,防范應(yīng)用及系統(tǒng)安全風(fēng)險。
    (二)軟件安全開發(fā)度量指標(biāo)的作用
    安言咨詢建立完善的軟件安全開發(fā)度量指標(biāo)可以為全面風(fēng)險管理實施提供切實的支持,并可以在如下三方面實現(xiàn)顯著提升。
    1.提高風(fēng)險監(jiān)控的及時性
    軟件安全開發(fā)度量指標(biāo)的首要用途是可以幫助客戶方內(nèi)部在不需要進(jìn)行復(fù)雜的模型運(yùn)算的前提下,就可以及時了解風(fēng)險暴露的變化狀況。顯然對于軟件安全開發(fā)度量指標(biāo)的監(jiān)測頻率可以遠(yuǎn)遠(yuǎn)高于計算經(jīng)濟(jì)資本的頻率。這種及時性可以顯著提升客戶方內(nèi)部對于風(fēng)險趨勢的把握能力。
    2.提高經(jīng)營決策的前瞻性
    對于軟件安全開發(fā)度量指標(biāo)的持續(xù)監(jiān)測和分析,安言咨詢可以幫助客戶方內(nèi)部有效把握各類安全開發(fā)風(fēng)險發(fā)展的態(tài)勢,從而真正實現(xiàn)風(fēng)險管理從事中到事前的轉(zhuǎn)變。例如:通過對于軟件安全開發(fā)度量指標(biāo)的變化趨勢進(jìn)行分析和預(yù)測,可以更為有效地幫助客戶方內(nèi)部管理層及時掌握客戶方內(nèi)部安全開發(fā)風(fēng)險狀況,并及時采取風(fēng)險應(yīng)對措施。
    3.提升風(fēng)險視圖的宏觀性
    軟件安全開發(fā)度量指標(biāo)立足于全局,對軟件安全開發(fā)進(jìn)行整體評價。風(fēng)險評估只能從資產(chǎn)及流程角度出發(fā)對資產(chǎn)安全及風(fēng)險情況進(jìn)行評價,安全檢查則只能對制度執(zhí)行情況進(jìn)行評價。軟件安全開發(fā)度量指標(biāo)從整體角度出發(fā),從需求評審、設(shè)計評審、項目組開發(fā)、驗收測試、專項安全測試等方面出發(fā)對客戶方內(nèi)部軟件安全開發(fā)風(fēng)險進(jìn)行整體評價。

二、設(shè)計依據(jù)
    (一) SDL安全開發(fā)生命周期
安全開發(fā)生命周期(SDL)是一個幫助開發(fā)人員構(gòu)建更安全的軟件和解決安全合規(guī)要求的同時降低開發(fā)成本的軟件開發(fā)過程。 安全應(yīng)用從安全設(shè)計開始,軟件的安全問題很大一部分是由于不安全的設(shè)計而引入的,微軟用多年的經(jīng)驗總結(jié)出了安全開發(fā)生命周期(SDL),并提出了攻擊面最小化、STRIDE威脅建模等多種方法輔助安全人員對軟件進(jìn)行安全設(shè)計。
    (二) ISO/IEC27001:2013 信息安全管理體系要求
基于《ISO/IEC27001:2005 信息安全管理體系要求》形成。該標(biāo)準(zhǔn)基于風(fēng)險管理的思想,規(guī)定了一個組織建立、實施、運(yùn)行、監(jiān)視、評審、保持、改進(jìn)信息安全管理體系的要求,是建立信息安全管理體系(ISMS)的重要依據(jù)。該標(biāo)準(zhǔn)使用了和ISO9001相同的管理體系過程模型(PDCA模型),是用于認(rèn)證和審核的標(biāo)準(zhǔn),與ISO/IEC 27002共同使用。
    (三) CMMI能力成熟度模型集成
    Capability Maturity Model Integration,即能力成熟度模型集成 ,1994年由美國國防部(United States Department of Defense)與卡內(nèi)基-梅隆大學(xué)(Carnegie-Mellon University)下的軟件工程研究中心(Software Engineering Institute,SEISM)以及美國國防工業(yè)協(xié)會(National Defense Industrial Association)共同開發(fā)和研制的,他們計劃把現(xiàn)在所有現(xiàn)存實施的與即將被發(fā)展出來的各種能力成熟度模型,集成到一個框架中去,申請此認(rèn)證的前提條件是該企業(yè)具有有效的軟件企業(yè)認(rèn)定證書。

三、實現(xiàn)過程
    采用安言咨詢歷經(jīng)十多年咨詢服務(wù)經(jīng)驗提煉而成的PROC方法論,從調(diào)研開始,深入了解客戶軟件開發(fā)安全現(xiàn)狀,收集信息開展整體架構(gòu)及指標(biāo)框架設(shè)計,在客戶確認(rèn)整體框架后,開展指標(biāo)設(shè)計和工具制造,同步編寫工作規(guī)范,通過試點驗證不斷完成整套的軟件安全開發(fā)度量指標(biāo)體系,并最終持續(xù)運(yùn)行。


    安言咨詢設(shè)計整體框架時,參考SDL標(biāo)準(zhǔn),關(guān)注軟件開發(fā)從需求分析直至系統(tǒng)持續(xù)運(yùn)行的各個階段,從缺陷信息、運(yùn)行反饋、項目組統(tǒng)計信息等多方面入手開展度量。除傳統(tǒng)的SDL模式外,也可根據(jù)用戶方需求,針對敏捷開發(fā)模式進(jìn)行定制化度量指標(biāo)體系設(shè)計,確保軟件開發(fā)安全度量指標(biāo)體系適應(yīng)各行業(yè)各類型用戶,幫助用戶有效防范軟件安全開發(fā)風(fēng)險,將風(fēng)險消滅于系統(tǒng)上線之前。


分享到:

  • 上一篇: 暫無上一篇
  • 下一篇: 暫無下一篇

相關(guān)客戶案例: