第一篇:论文研究框架
论文研究框架
一、问题提出与研究价值
为什么要选择这个选题,其理论视角是什么?密切相关的研究的精炼的综述;本选题研究的价值在于哪里方面?要解决什么样的问题?
二、研究对象选择与研究方法
选择什么样的研究对象?为什么要选择其作为研究对象?如果是案例研究,那就遵循案例研究的方法。具体分析的文本的范围是什么(时间范围、空间范围、文本范围);采用什么样的研究方法?列出哪些变量或者哪些统计的数据?
三、内容分析
结合文本或者研究对象具体的层面、或者相关的数据进行内容分析,通过这些分析阐述问题、研究和分析。
四、讨论与结论
结合上述的分析,分层面阐述出得出了若干方面的结论。同时分析,得出这些结论,是基于哪些研究方法、研究条件,还有哪些研究局限?还可以延展哪些方面。
第二篇:弹性城市及规划框架研究论文[范文模版]
[摘要]随着人类社会的不断发展,自然生态被破坏的程度越来越严重,生态环境也变得越来越脆弱,而城市化的进程虽然使得城市综合发展快速进步,但是城市的弹性能力却相对较弱。我国自从提出可持续发展规划以后就特别重视弹性城市的发展,弹性城市的规划是保证城市生命力旺盛的具体表现,因此为了提高城市的弹性指数,我国近几年来特别关注弹性城市的规划建设。尤其在一些自然灾害多发区,还保留着我国特有的民族文化,为了保护民族和文化的多样性,在自然灾害多发区,一些新城的建设就特别的运用了弹性城市的理念坚实规划的。
[关键词]弹性城市;规划框架;策略
引言
人类出于自觉趋利避害的愿望,都愿意生活在弹性指数较高的城市,一来是这样的城市会给人心理上的安全感,二来是这样的城市无论是自然环境、社会经济还是政治环境的条件要好一些,且应对灾难的恢复能力也要强一些。我国的人群聚集地就能够反映出人们对于城市弹性规划选择的重要性,东南沿海经济发达,城市综合应变能力强,因此人口密集,而边疆少数民族地区城市弹性规划比较弱,基础设施、配套设施、政治环境、经济条件都相对落后于东南沿海的发达城市,人口稀疏,像北京和上海这样的人口集聚程度高的国际化大都市,在经济、政治还是社会安定等各项指标的具体表现上,都是弹性指数较高的典型代表。
1、弹性城市概述
1.1弹性城市的含义
弹性城市指的是城市能够适应新环境,遭遇灾后的恢复能力快,并且偶发的灾难不足以影响该城市的中长期发展。这样的城市一般具有经济能力强、政治环境安静、社会环境和谐的特点,因此城市的承受能力、弹性能力和再造能力都要强一些,这也表现为弹性城市的三个具体阶段。当城市的外部环境发生变化时,如果城市能够自身毫不费力的消化外部环境带来的变化,这就说明城市的承受能力强;当城市的外部环境增加大的压力,城市还能够自觉的进行自我调整,应对变化,就说明城市的弹性指数高;当城市面对的变化程度再次加深,外部环境施加的压力不断增加,城市还能够井然有序的发展,这说明城市具有很强的再造力。弹性城市的三个表现阶段的应变能力和该城市的经济、社会、自然环境有着紧密的关系,要提升城市的弹性指数,就要从城市的经济、社会和自然环境抓起,提高城市在这三个方面的自我调节力,从而促进城市的弹性能力增强。
1.2弹性城市的发展原则
弹性城市的发展原则是在它的三个表现阶段中体现出来的,主要围绕经济、社会和自然环境的规划和建设。要发展弹性城市,提高城市的弹性能力就要遵循多远化发展的原则、模块化经济发展的原则、社会资本的独立性原则、经济发展的特色性原则、允许符合性原则、信息渠道畅通性原则和生态系统服务综合性原则。城市弹性能力的提高要遵循以上七条发展规划原则,努力提高其可持续发展的能力。
2、弹性城市的规划框架分析
2.1自然环境的脆弱性
弹性城市的建设规划主要以提高城市的应变能力为前提,城市的自然环境应变能力是弹性城市规划建设的重要指标。从国内弹性城市建设的例子来看,自然环境是影响城市弹性能力发展的重要因素,一个城市的自然灾害应对系统是否发达,是衡量弹性城市的首要条件。如果城市应对自然灾害的系统不完善,将会给城市的持续发展造成很大的阻碍作用。提高弹性城市的自然灾害应变能力就要充分考虑城市自然环境的脆弱性,从提高城市自然环境的脆弱性着手改变。城市的自然环境脆弱和城市所处的地形地域有着很大的关系,为了提高城市的弹性能力,在城市规划建设时要充分考量如何降低地势和地域气候对于城市的冲击。再分析好影响城市脆弱性的自然环境因素以后,就要在规划建设时提高应对自然灾害的抗干扰力,按照长远规划的方案有效的改善城市自然环境的脆弱性。
2.2经济环境的脆弱性
我国的经济环境在经历了几次大的改革以后开始向集约化方向发展,这就使得各行各业的经济之间存在很大的关联性,经济好的时候国民经济各方面整体提升,一旦发生金融危机就会牵一发而动全身,损失严重,全国各大、中小城市无一幸免,这种局势更多的发应在大、中城市,经济危机严重的时候使得各行各业裁员严重,而大、中城市的生存压力比较大,因此会引起一系列的负面影响和经济发应。弹性城市和城市的经济发展有着很重要的关系,城市的经济独立性强,城市的弹性能力就越强,而城市的经济独立能力差,城市的弹性能力就越弱。因此在规划提高城市的弹性能力的时候,应该将城市的经济独立指标纳入一个重要指标。虽然综合性的经济发展能够快速的拉动国民经济大环境的发展,但是这种发展有很大的危险性。城市在发展综合性经济的时候,还要逐渐建立起城市的模块性经济,鼓励企业发展模块性经济。对于有实力发展模块经济的企业,政府应该给予鼓励政策,以提高城市的弹性能力,建立弹性城市的榜样。
2.3社会维度和空间维度的脆弱性
城市的社会维度和空间维度体现在城市的结构发展和社会资本等方面,城市的弹性能力强弱和这个城市的人口工作结构有着很大关系,也就是说城市居民收入水平的高低也能够影响城市弹性能力的强弱。当城市的经济结构主要以中、青年的男性劳动力为主的话就说明城市的社会结构发展不平衡,城市的经济压力大,城市的社会公共压力大。相反,城市的劳动力男女比例相差不大,城市的社会公共压力就小,城市的社会维度和空间维度抵御风险的能力就强。
2.4城市系统的脆弱性
弹性城市的城市系统综合指数一般比较强,主要表现在经济发展受外部环境的变化影响小,社会发展秩序相对和谐,城市的自然环境抗风险能力也要强,就说明城市的弹性能力强。要避免城市系统的脆弱性,需要政府和社会共同努力,政府要发挥宏观调控的能力,引导城市经济向模块化转变,制定公民应该遵守的社会和谐发展的规章制度,不断加强城市的公共建设,提高应对自然灾害的能力。公民和企业也应该从自身做起,积极响应政府的号召,共同努力,降低城市系统的脆弱性。
3、结语
简而言之,我国弹性城市的规划和发展有着很大的发展空间,政府应该根据不同城市的发展特点,在弹性城市规划整体的框架基础上因地制宜,科学合理规划弹性城市。
参考文献
[1]黄晓军,黄馨.弹性城市及其规划框架初探[J].城市规划,2015,39(02):50-56.
第三篇:公共财政框架研究论文
逐步建立公共财政框架,是今后一个时期我国财政改革的主要目标。但对什么是公共财政,为何要构建公共财政,目前还存在许多认识上的误区。只有澄清这些认识上的误区,才能创建实质意义上的公共财政。
一、什么是公共财政
财政是国家(政府)为主体的经济活动(分配活动),这在我国已经形成了共识,因此财政从来就是国家(政府)财政,这是财政的本质,或财政一般,问题的关键在于国家的性质不同,社会经济运行机制不同,决定着国家为主体的经济活动(分配活动)目的及达到目的途径不同。从而形成了不同的财政类型(模式)或称财政特殊。公共财政作为我国社会主义市场经济下财政改革与发展的目标模式,对其内涵的认识,必然要从社会主义市场经济环境入手。
社会主义生产的目的在于要最大限度地满足全体人民日益增长的物质文化生活的需要。问题的关键在于满足人们需要的资源总是有限的,要使有限的资源尽可能地满足人们的需要,效率是关键,是第一位的。要使经济活动符合效率的要求,必然要相应的效率装置,而迄今为止,市场机制是人们发现的使经济活动有效率的唯一装置。换句话说,在经济制度中,没有市场机制也就没有效率。但市场失败的存在决定着市场机制只能有效率地提供具有排他性和竞争性的私人物品,满足社会成员的私人需要,对社会成员个人需要图谱中的公共需要则无法有效满足,而公共需要又是社会成员个人图谱中客观存在的。既然市场机制无法有效提供,就只能通过某种非市场机制来提供。这种非市场机制在我国约定俗成称为财政机制。市场机制提供的满足私人需要的物品称为私人物品,与此相对应,财政机制提供的满足公共需要的物品称为公共物品。据此,在市场经济下,财政就是政府通过非市场机制提供公共物品满足社会公共需要的经济活动或分配活动。
问题到此还没有完结,关键在于资源稀缺的前提下,政府如何提供公共物品才能使社会成员的私人需要和公共需要得到最优满足,实现社会成员个人福利水平最大化,或者更明确地说,政府财政机制提供公共物品如何才能符合经济活动效率的要求?既然市场机制是使经济活动有效率的唯一装置,财政机制要符合经济效率的要求,其实质上也必然是一种模拟市场机制。财政采用模拟市场机制提供公共物品,实质上也就是要求按社会成员的意愿(偏好)提供公共物品。问题是社会成员众多,而公共物品只能统一提供,这就需要通过某种装置将社会成员个人对公共物品的个人偏好汇总成集体偏好。这就是说,在市场经济体制下要使社会成员福利水平最大化,政府财政机制提供公共物品满足社会公共需要必须按社会成员的集体偏好(大多数人的意志)进行,由社会成员对政府财政活动进行约束和规范。由此可见,公共财政就是市场经济体制下政府按社会公众的集体意愿提供市场机制无法有效提供的公共物品满足社会公共需要的经济活动或分配活动,而公共财政制度就是确保政府按社会公众的集体意愿提供公共物品满足社会公共需要的经济活动或分配活动的基本规则。
二、如何正确理解公共财政
上述公共财政的简单定义中,实际上包含着十分丰富的内涵。对此应从以下几个方面来理解:
1.公共财政是一种着眼于满足社会公共需要的经济活动或分配活动。这里的分配指广义的分配,包括资源配置、收入分配。最优满足社会公共需要构成公共财政的出发点和归宿。社会公共需要决定着公共财政的存在,决定着公共财政的活动范围和活动效果。公共财政则着眼于满足社会成员的公共需要,公共财政不应该成为超越市场的力量去满足社会成员的私人需要。
2.公共财政活动的对象是提供公共物品。有需要就要有供给,满足社会公共需要的供给途径就构成了公共财政活动的对象,这就是要提供公共物品。在这里,我们把政府公共财政为社会成员个人提供的各种产品和服务都称为公共物品。私人物品则由市场提供,公共财政不能够超越市场力量去提供私人物品,只能够提供市场无法有效提供的公共物品。
3.公共财政的核心是效率。效率是经济活动的核心,公共财政作为政府为市场提供公共物品满足社会公共需要的经济活动,其核心也是要解决效率问题。从计划财政转向公共财政说到底也是提高经济活动效率的必然要求。
公共财政的效率表现在两个方面:一是配置效率,二是生产效率或X-效率。配置效率指的是资源根据最终产品消费者的偏好和预算约束线配置,从而使私人和公共物品的资源配置都达到帕累托效率状态。从实践角度看,配置效率是指下列问题:公共部门是否生产选民所需要的服务(公共支出)水平和组合?选民在政治市场上是自主的吗?谁的偏好最重要?X-效率是从供给方来考虑的,指的是公共财政采用最好的方法和最有效的技术以最低成本生产公共物品。建立公共财政制度就是要最优化制度安排,确保配置效率和生产效率得以实现。
4.公共财政的立足点是非市场赢利性。公共财政立足于非市场赢利性包括三个层次:一是指公共财政活动范围立足于非市场竞争领域,不介入一般竞争性领域,不应“与民争利”;二是指公共财政活动立足于非市场竞争领域,也应立足于非赢利性。政府向社会成员征收收入只应以弥补公共物品的生产成本为限。通俗说法就是公共财政活动中应做到“以支定收”,即根据社会成员对社会公共需要的需求确定公共物品的生产规模及相应的公共支出规模,公共支出规模确定公共收入的规模,而不能以政府能够征得的收入多少来安排支出,即不能“以收定支”。“以支定收”是政府公共活动的行为准则。“以收定支”则是企业和家庭经济活动的行为准则。
5.公共财政是运行机制法治化的财政。公共财政运行机制法治化就是说整个公共财政活动都置于法治化轨道上,在法律法规约束下进行,做到“有法可依,有法必依,执法必严,违法必究”,实现依法理财。当然这里的“法”是民主基础上反映最广大人民群众根本意志的“法”,是“合法的法”,即“正义之法”、“理性之法”、“合法之法”。通过民主的方式将社会成员对公共财政活动的集体意愿上升为法律,从而使社会成员的意志得以真实决定、约束规范和监督政府公共财政活动,确保政府公共财政活动符合社会成员的根本利益。阿克顿曾言:“权力使人腐化,绝对的权力使人绝对腐化”。既然国家(政府)为了提供公共物品满足社会公共需要的职责而被社会成员委以强制性的公共权力(政治权力),那么有效防范掌握了公共权力的公共部门及其官员滥用权力损害社会成员利益就成了社会公众最关注的问题,而唯一的途径就在于政府行为法治化,而政府公共财政活动法治化是关键。因此构建公共财政框架,就不仅仅是从“公共性”方面入手“甩包袱”(缩减财政支出供给范围),而且更为重要的是要从政府自身行为规范化入手,推进政府公共财政活动的法治化。
三、澄清认识误区 创建我国公共财政
客观地说,建立公共财政框架的目标虽然很明确,但目前无论是理论界还是政府部门都还对建立公共财政存在着认识上的误区。澄清这些理论认识上的误区,才有利于建立实质意义上的公共财政制度。目前存在认识误区大致可归纳为以下几个方面:
1.公共财政就是财政,而财政从来都是国家(政府)财政。这种误解的错误就在于只看到了财政的共性,而没有看到财政的特性。的确,公共财政是财政的一种模式,财政从来也都是国家财政,但是不同的社会形态及经济运行方式下的财政呈现出各自不同的特征,财政的职能及实现机制都体现出明显的差别,从而“财政一般”中显示出“财政特殊”。如果说“公共财政就是财政,财政从来都是国家财政”,实质上是否认了不同社会形态及经济运行方式下财政的特殊性。照这种观点,也就不存在中国财政适应市场经济要求转轨——建立公共财政的必要。正确的认识应当是,公共财政是财政的一种:具体类型或模式,即与市场经济相适应的财政模式。
2.“公共财政论”是对“国家分配论”的否定。这种观点的错误就在于把财政的类型(模式)同财政的本质混淆在一起。“国家分配论”强调的是财政的本质,即财政是以国家为主体的分配,“公共财政论”则强调的是财政的类型或模式,强调的是财政的本质在市场经济下如何体现出来,或者说强调的是财政的运行机制。公共财政强调的是财政作为国家为主体的分配活动在市场经济下“应按社会公众的意愿,提供公共物品满足社会公共需要”来进行。因此,搞公共财政并不是否定财政的本质,而是要求国家财政按社会主义市场经济要求,系统地改变具体的财政制度安排,公共财政并没有否定国家财政。
3.公共财政的“公共性”否定了国家财政的“阶级性”。这种观点的误解在于把“公共性”与“阶级性”看作了完全对立的两方面。实际上,公共财政的“公共性”与国家财政的“阶级性”是对立统一的,而不是完全对立的,强调公共财政的“公共性”并不等于否认财政的“阶级性”。这是因为公共财政作为与市场经济相适应的一种财政模式,其根本特征即是“公共性”,而阶级性寓于“公共性”。公共财政通过为市场经济活动提供公共服务,实现“阶级性”的要求。在资本主义市场经济下,资本主义国家只有通过公共财政这个工具弥补市场失效,为市场提供公共服务,才能为私人资本榨取剩余价值创造共同的外部条件。例如如果没有公共财政进行收入再分配,工人阶级将因基本生活无法满足而导致劳动力再生产萎缩,进而导致资本主义生产关系萎缩的致命后果。因此,公共财政进行收入再分配实际上是资产阶级利用国家为主体的分配活动为私人资本更好地剥削创造共同的外部资本,也就是说,“阶级性”通过“公共性”体现出来。
在社会主义市场经济下,由于社会主义政治经济制度的确立,广大人民群众是国家的主人,行使当家作主的权利,因而公共财政表现出真正意义上的为社会公众提供公共商品满足社会公共需要,公共财政的公共性得到了严格意义上的体现,从而我国的公共财政才称得上是真正的公共财政。
4.公共财政就是与传统“生产建设型财政”相对应的“吃饭财政”。这种认识的误解在于把财政类型的两种不同分类方式混在一起。公共财政是按国家(政府)提供公共商品的决策方式来划分的类型,与此相对应的应是“家计财政”和“计划财政”。“生产建设型财政”则是按财政支出中经济建设投资支出的比重的大小来划分的财政类型,与此相对应的是“吃饭财政”,即经济建设投资支出占财政支出比重大,就是“生产建设型财政”,反之,则是“吃饭财政”。在公共财政模式下,经济建设投资支出的比重,随着市场经济发展阶段的变化而改变,著名发展经济学家罗斯托和财政学家马斯格雷夫关于“公共支出增长的发展模型”大致为我们在公共财政模式下安排经济建设投资支出的比重提供了定性参考,但具体比重则要视经济发展的具体情况而定。因此搞公共财政不是说财政不安排投资支出,只安排政府自身的“人吃马喂”即退回到“吃饭财政”。搞公共财政的目的在于根据社会主义市场经济下社会公众的意愿来提供公共物品,满足社会成员的社会公共需要,从而通过财政与市场的分工与合作,充分发挥两种机制各自的优势,尽可能提高全社会资源配置的效率,使有限的资源更好地满足全社会成员不断增长的物质文化生活的需要。
5.建立公共财政就是政府为了缓解财力拮据而向社会“甩包袱”。这种认识的误解在于“只见其一,不见其二”,只看到了建立公共财政框架所采取的—些具体措施,而没有把握建立公共财政的根本目的。的确建立公共财政模式必须根据市场经济的要求,重新界定政府和市场的职责范围。从而必然会出现政府向社会“甩包袱”的现象——将应由市场承担的职责还给市场,财政不再给予资金支持,特别是中国从传统的大包大揽的计划财政转向公共财政的过程,“甩包袱”现象可能更易为人们感觉到——原来都是政府“免费”提供的公共服务现在都要自己掏腰包了。但是“甩包袱”不是目的,而是手段,是财政适应市场经济的要求而采取的改革措施,而且“甩包袱”是为了更好地“背包袱”——更好地提供公共物品满足社会公共需要。更为重要的是建立公共财政是要根据社会主义市场经济发展要求,系统地改造财政制度安排,重塑财政运行机制,因此建立公共财政更多的是政府行为,是政府自身的改革,是政府自身的“革命”。
第四篇:研究框架
题报告是指开题者对科研课题的一种文字说明材料。这是一种新的应用文体,这种文字体裁是随着现代科学研究活动计划性的增强和科研选题程序化管理的需要应运而生的。开题报告一般为表格式,它把要报告的每一项内容转换成相应的栏目,这样做,既便于开题报告按目填写,避免遗漏;又便于评审者一目了然,把握要点。开题报告包括综述、关键技术、可行性分析和时间安排等四个方面。开题报告作为毕业论文答辩委员会对学生答辩资格审查的依据材料之一。由于开题报告是用文字体现的论文总构想,因而篇幅不必过大,但要把计划研究的课题、如何研究、理论适用等主要问题。开题报告的总述部分应首先提出选题,并简明扼要地说明该选题的目的、目前相关课题研究情况、理论适用、研究方法。开题报告是由选题者把自己所选的课题的概况(即“开题报告内容”),向有关专家、学者、科技人员进行陈述。然后由他们对科研课题进行评议。亦可采用“德尔菲法”评分;再由科研管理部门综合评议的意见,确定是否批准这一选题。开题报告的内容大致如下:课题名称、承担单位、课题负责人、起止年限、报名提纲。报名提纲包括:(1)课题的目的、意义、国内外研究概况和有关文献资料的主要观点与结论;(2)研究对象、研究内容、各项有关指标、主要研究方法(包括是否已进行试验性研究);(3)大致的进度安排;(4)准备工作的情况和目前已具备的条件(包括人员、仪器、设备等);(5)尚需增添的主要设备和仪器(用途、名称、规格、型号、数量、价格等);(6)经费概算;(7)预期研究结果;(8)承担单位和主要协作单位、及人员分工等。同行评议,着重是从选题的依据、意义和技术可行性上做出判断。即从科学技术本身为决策提供必要的依据。开题报告的格式(通用)由于开题报告是用文字体现的论文总构想,因而篇幅不必过大,但要把计划研究的课题、如何研究、理论适用等主要问题说清楚,应包含两个部分:总述、提纲。1 总述 开题报告的总述部分应首先提出选题,并简明扼要地说明该选题的目的、目前相关课题研究情况、理论适用、研究方法、必要的数据等等。2 提纲 开题报告包含的论文提纲可以是粗线条的,是一个研究构想的基本框架。可采用整句式或整段式提纲形式。在开题阶段,提纲的目的是让人清楚论文的基本框架,没有必要像论文目录那样详细。3 参考文献 开题报告中应包括相关参考文献的目录 4 要求 开题报告应有封面页,总页数应不少于4页。版面格式应符合以下规定。开 题 报 告 学 生:
一、选题意义
1、理论意义
2、现实意义
二、论文综述
1、理论的渊源及演进过程
2、国外有关研究的综述
3、国内研究的综述
4、本人对以上综述的评价
三、论文提纲 前言、一、1、2、3、··· ···
二、1、2、3、··· ···
三、1、2、3、结论
四、论文写作进度安排 毕业论文开题报告提纲
一、开题报告封面:论文题目、系别、专业、年级、姓名、导师
二、目的意义和国内外研究概况
三、论文的理论依据、研究方法、研究内容
四、研究条件和可能存在的问题
五、预期的结果
六、进度安排
第五篇:软件安全性保障框架研究论文
近几年互联网的大量普及,软件安全问题开始愈加突显。因为互联网上的病毒和攻击者引起的身份窃取、数据丢失以及一般性的混乱事件已经随处可见。单单2008年第一季度,就有1474个不同的软件脆弱点报告上来,只有64个发布了相应的解决方案。也就是说解决率大约只有4%。应用软件安全将成为信息系统安全的下一个热点。
软件安全一般分为应用程序级别的安全性和操作系统级别的安全性。应用程序级别的安全性,包括对数据或业务功能的访问,在预期的安全性情况下,操作者只能访问应用程序的特定功能、有限的数据等。操作系统级别的安全性是确保只有具备系统平台访问权限的用户才能访问,包括对系统的登录或远程访问。
1基于软件工程的软件安全性保障框架
1.1传统开发方法在安全方面的不足
在传统面向对象项目开发过程中,在安全性方面存在以下不足:
1)设计阶段,由于以类为单位组织建模,因此它不能全面地反映软件系统的安全需求。
2)编码阶段,将数据和方法封装到类中的思想增强了数据的安全性和软件的模块化,但是有一些数据和方法是特定于应用的,对于系统安全方面的考虑比较少。
3)维护阶段,一般是系统在使用过程中发现了漏洞再去修补,不仅效率低而且工作量大。
2.2基于软件工程原理的软件安全性保障框架
本文依据系统安全工程的原理,将软件安全引入到软件开发生命周期之中。为了开发出安全的应用软件,提出一个软件安全性保障框架,将软件安全保障实施到软件开发的各个模块当中。
该框架具体分为:软件安全需求分析、软件安全设计与编码、软件安全检测与评估、漏洞响应和维护阶段。首先分析软件开发中可能出现的安全问题,了解项目的安全需求,之后再要保证程序设计和编码过程中的安全性,开发完成后对软件进行安全性检测和评估,最后进行产品的维护,对产品中存在的漏洞问题进行响应和处理。
2.2.1软件安全需求分析
软件安全分析开始于项目开发初期并贯穿于整个系统生命周期的始终。在完成项目需求分析的同时,也要建立安全需求。在这个阶段主要完成两个任务:
1)软件需求危险分析计划制定
在系统需求分析阶段,首先建立软件安全需求定义,确保软件安全需求定义的正确性,然后制定一个危险分析计划。
2)写出初步的软件安全需求文档
安全分析的结果应写成软件安全需求文档,应用到软件需求文档、软件设计文档、软件测试计划、软件维护计划中去。
2.2.2软件安全设计和编码阶段
安全从设计开始。设计阶段如果出了安全问题,那下一步的测试维护工作会更加困难而又低效。这个阶段主要有三个任务:
1)进行软件设计危险分析
明确在设计阶段有哪些安全方面的目标需要达到,识别软件可能会遇到的攻击和一些安全隐患,划出安全边界、哪些数据是比较可信的、哪些输入接口较易成为攻击目标、列出潜在的攻击方式等,确保设计的完整性和正确性。
2)软件安全设计
进行安全分析之后,还必须进行软件安全设计。设计时要注意尽量降低危险发生率,对可能发生危险的地方要提供警告,危险发生后采取有效措施进行控制,同时还要注意所额外增加的复杂度。
3)基于编码的软件安全分析
在软件代码编写阶段,也要注意编码过程中是否会引入新的危险,因为编码人员可能会不小心使用一个不安全的函数。除了要求编码人员提高程序质量之外,还可以使用第三方的安全编译来提高编码阶段的安全水平。
2.2.3软件安全检测与评估阶段
软件安全性测试是软件安全开发生命周期不可缺少的一个组成部分,测试中的投入要远远小于项目完成后再进行的漏洞修补和安全维护。
安全性测试和普通的功能性测试的测试目的是不同的。软件安全测试的目的是确保软件不会去完成没有预先设计的功能,而且所有预料到的危险已经被消除或减轻。如代码运行过程中系统是不是处于安全的状态,系统运行风险是否可以接受,操作人员的失误包括极端环境在内的各种异常和故障是否被妥当控制,尽可能找到软件中的所有漏洞,减少软件遭到攻击的可能性。
软件的安全检测通常包括一下几个方面:静态检测、动态检测、文档检查、出错处理和异常情况检测。
1)动态检测
选择合适的测试用例,实际执行待测程序,通过分析程序运行时的内存、变量、内部寄存器等中间结果来检测程序运行时的正确性。
2)静态检测
静态检测是在程序没有运行的情况下,静态分析程序的数据流和控制流,然后给出相应的测试分析报告。
3)检查文档
检查需求说明书、概要设计说明书、详细设计说明书中是否有对安全性的设计和描述,对安全性的描述是否和需求一致,还有用户文档是否有安全性注意事项等。
4)出错处理和异常情况检测
保证各种出错和异常情况都被处理,提示给用户的出错信息不会涉及到程序设计的细节,而且软件的异常情况不能导致程序进入不可知的危险情况。
2.4.4漏洞响应和维护阶段
即使我们在需求分析,软件设计,代码编写,以及软件测试过程中都加入了安全因素的考虑,最终的软件产品还是可能会存在漏洞,所以漏洞响应和维护是很重要的一个环节,软件的维护和跟踪,响应、修复漏洞是很重要的。漏洞发现后要在第一时间采取措施,确保客户的利益不被侵害。这个阶段大致可分为以下两个阶段:
1)漏洞响应
发现漏洞,首先通知客户收到漏洞报告,联系相关的开发部门进行技术细节的分析,为漏洞进行风险评估。
2)修复漏洞
开发部门和安全响应部门协商进行解决方案的制定,对修复漏洞的补丁进行严格测试之后对外公布安全补丁,发布安全简报。
3结论
真实有效的安全解决方案能为开发安全的关键软件提供好的思路。本文运用系统安全工程的原则,对软件安全工程进行详细分析,提出初步的软件安全性保障框架,详细论述了框架各阶段的安全分析工作,并结合实际提出一些实用的改进方法,有一定的参考价值,希望在大量的实际应用中逐步完善成为使用有效的软件安全性保障方案。
参考文献:
[1]软件安全速成课企业系统有多脆弱?[EB/OL].[2]软件系统的安全必须能够经受住正面的攻击
[3]于东辉.基于面向方面的软件安全框架的研究[D].大连:大连理工大学,2005.[4]蔡霞,陈基熊.软件安全及有关技术浅析[J].计算机应用,1999(11).[5]崔丹丹,张二峰.软件安全问题初探[J].商场现代化,2009(2).[6]余勇,林为民.软件安全开发模型的研究[J].计算机安全,2005(4).