網絡技術拓展了軟件的功能范圍,提高了其使用方便程度,與此同時,也給軟件帶來了更大風險。由于軟件被應用于各種環境,面對不同層次的使用者,軟件開發者需要考慮更多的安全問題。同時,黑客和惡意攻擊者可以比以往獲得更過的時間和機會來訪問軟件系統,并嘗試發現軟件中存在的安全漏洞。
隨著互聯網的快速發展和廣泛應用,惡意代碼產生和傳播的速度越來越快,危害也越來越嚴重。自2000年以來,先后爆發了紅色代碼、尼姆達、沖擊波、震蕩波、熊貓燒香、震網病毒、火焰病毒、勒索病毒等眾多惡意病毒,它們傳播范圍廣,導致了重大安全損失,感染主機從幾十萬臺到上千萬臺,經濟損失從上億美元到上百億美元。
當前黑客組織非常活躍,其中既包括傳統的青少年黑客、跨國黑客組織,也包括商業間諜黑客和恐怖主義黑客,乃至國家網絡戰部隊。2003年以前的黑客多以惡作劇和破壞系統為主,包括對技術好奇的青少年黑客和一些跨國黑客組織;2004年以后的黑客行為則多為實施商業犯罪并從事地下黑產,危害已經不限于讓服務與系統不可用,更多的是帶來敏感信息的泄露以及現實資產的損失。2009年后,以一系列APT攻擊的出現以及美國“棱鏡”計劃曝光為標志,來自國家層面的網絡威脅逐漸浮出水面。
綜合分析引起軟件安全問題的兩大原因可知,安全威脅是軟件問題的外因,安全漏洞則屬于內因。雖然可以通過在實際運維過程中部署安全設備和控制措施,努力降低安全事件發生的可能性,但開發高質量的軟件系統,盡量降低軟件中的安全缺陷才是治本之策。
京公網安備 11010502049343號