2017 CISP考试重点：软件开发中的内部安全策略

在2017年的CISP考试中，"程序内部安全"是一个重要的考察领域。软件开发过程中的安全措施是确保系统稳定性和数据保护的关键。以下是几个核心知识点： 1. **最小化反馈**：在软件开发过程中，应限制不可靠用户获取过多的信息，特别是敏感操作的结果。例如，认证程序在验证用户身份时应尽可能减少显示系统版本等不必要的信息。 2. **防止拒绝服务攻击**：确保系统能有效处理输入错误，快速返回响应，设置合理的超时限制以避免恶意用户的长时间占用服务资源。 3. **安全编码实践**：在编写代码时，应遵循安全编码原则，例如不将密码直接返回给用户，以降低信息泄露风险。 4. **日志记录**：记录详细的跟踪信息，作为审计和安全分析的重要依据，但要平衡隐私和安全需求，只记录必要的信息。 5. **软件安全模型与背景**：理解软件发展的历史和安全问题的产生原因，包括软件的定义和软件安全工程化的三大支柱：风险管理、软件安全入口点和安全知识。 6. **软件安全问题的普遍性与严重性**：由于软件广泛应用在各种领域，如金融、交通和航空航天等，安全问题可能导致运行不稳定、数据丢失或被黑客攻击。历史上的一些重大事故，如售票系统崩溃、医疗设备故障和核设施受到攻击，都突显了软件安全的重要性。 7. **问题产生原因**：软件安全问题的根源包括开发者安全意识不足、缺乏安全知识、软件复杂性增加以及外部环境威胁的加剧。 8. **软件复杂度与漏洞**：随着软件规模的扩大，代码行数增加，漏洞的可能性也随之提高。为了保障安全，需要实施严格的质量管理和多层测试。 9. **传统开发局限**：传统的软件开发方法往往忽视安全考虑，这限制了其在面对现代威胁时的有效性。软件安全开发强调将安全融入整个生命周期，从需求分析到测试和维护的全过程。 CISP考试关注的是软件开发中如何有效地预防和管理内部安全风险，这涉及软件设计、编码、测试和维护的各个层面。考生需要深入理解和掌握这些原则和最佳实践，以确保软件的安全性。