以介面设计为基础的软体安全品质量测模式AnInterfaceDesign.pdf

中華民國品質學會第 43 屆年會暨第 13 屆全國品質管理研討會 以介面設計為基礎的軟體安全品質量測模式 An Interface Design-based Quality Measurement Model for Software Security 賴森堂 Sen-Tarng Lai 實踐大學資訊科技與管理學系 Department of Information Technology and Management, Shih Chien University 摘 要 駭客入侵、病毒攻擊與系統本身的安全漏洞持續危害正常運作的軟體系統，使得 資訊系統的安全性受到嚴重的考驗。為了達成軟體設計的階段性任務，必須進行使用 者介面、系統介面、功能介面及元件介面等項 目的設計，這些溝通介面也成為安全弱 點與漏洞的關鍵。本文針對介面設計的疏失所 導入的安全缺失與危機進行深入探討， 且規劃一套介面設計安全品質的檢視作業，以達到安全品質的量化與改善目標，進而 以介面設計的安全檢視為基礎，提出一套介面設計安全品質量測模式 (Secure Quality Measurement Model for Interface Design ; SQMMID) ，協助設計階段及時找出介面設計 的安全缺失與漏洞，以有效提高軟體設計階段的安全性。 關鍵詞：介面設計、安全檢視、設計品質、SQMMID 、安全品質量測模式 1. 緒論 以資訊為重心的年代，資訊安全的問題對於軟體系統造成的危害愈來愈嚴重，駭客 入侵、病毒攻擊與系統本身的安全漏洞持續危害正常運作的軟體系統，而且發生的次數 與頻率正不斷的增加中[1, 7, 21] ，使得資訊系統的安全性受到嚴重的考驗，軟體安全性 對於使用單位的影響已經超越功能與效能的需求，因為軟體系統的安全漏洞所造成危 害與損失，輕者可能衝擊一家公司，重者甚至危害整個社會。為了避免外部入侵與安 全漏洞所造成使用單位的重大損失，如何提昇軟體系統的安全性，已成為值得深入探 究的課題[2, 3, 6] 。造成軟體安全漏洞的因素很多，不過依據安全漏洞的形成原因，可 以歸納成兩大類：(1)軟體系統的製程缺失所形成安全漏洞；(2)運作環境的防範缺失導 致維運環境的安全漏洞。無論那一類型的安全漏洞與缺失，都必須投入龐大的人力與 時間來進行修補，因此，軟體的安全性應該在開發初期就取得開發人員的重視，特別 - 1 - 中華民國品質學會第 43 屆年會暨第 13 屆全國品質管理研討會 是介面設計的安全檢視作業更不可忽視，因為介面設計的缺失經常成為軟體系統安全 漏洞的關鍵。 結合網際網路的優勢，使用單位對於軟體系統的要求越來越多且複雜，在人力短缺 且時程緊迫的軟體開發專案下，為了達成使用單位提出的各項要求，在軟體開發過程 中，就必須將關鍵的品質特性一一融入產品中，以有效提昇軟體的品質，且具體改善後 續階段的工作效率 [11, 16] 。設計階段的關鍵品質特性包括使用者親和力、元件可再用 性、功能模 組化以及系統的修改 彈性與相容性等，這些品質特性都能融入設計產品 中，勢必可以有效改善設計階段品質，進而提昇後續的開發效率。不過，為了達成使 用者親和力必須規劃完善的使用者介面，為了建置元件的可再用性，必須考量元件的 溝通介面；為了提昇功能的模組性，必須考量功能的整合介面；為了加 強系統的修改 彈性與相容性，必須考量系統的結合介面。隸屬於不 同層次的介面是達成各項設計品 質的關鍵，卻也經常造成軟體的安全缺失而成為駭客入侵的通道 [13] ，成為軟體系統安 全的一大隱憂 ，如何有效的標示出介面設計的缺失，進而提出介面安全缺失的改善措 施 ，才能在提昇軟體品質的情況下，也融入軟體安全性。 軟體設計階段具有承先啟後的重要任務 [16, 19] ，設計階段若無法將安全漏洞與缺 失排除於產品之外，對於整個軟體系統的安全品質將形成