隨著網際網路和智慧手機的快速發展，市場的需求也發生很大變化。本來一些應用軟體只是在銀行或者財經的機構內部使用話，安全性、保安性要求相對比較容易控制，現在很多開始在智慧手機APP使用。原本機構使用的系統，現在面向大眾開放，要如何才能保證安全性？

在香港，由於系統的漏洞，發生過很多次安全性事件，例如：由於醫院系統安全性不足，病人的資訊被黑客偷盜導致洩漏。

舉些例子，大家就能意識到整個系統安全性的挑戰，比如有些病人由於某些原因不便公開自己的病情。特別是名人的話，這個資訊一旦洩漏會照成不小的風波。那麼這個醫院是否有保護病人個人資訊的政策？這個牽涉到每個文件的讀取許可權，哪些可讀，哪些不可讀。

另外，一些交易軟體上，參與者如何確保自己的個人資訊不會被他人盜取。例如信用卡資訊。這也是一個系統需要兼顧到的。假如香港醫管局，有新政策出臺時，系統如何依據新政策進行修改，這個都是需要考慮的。

如果你是軟體開發者，我們說，單單靠最終的系統測試、驗收測試去確保產品質量，效果不好。

想要取得好的效果，就需要儘早發現缺陷，比如利用前期的單元測試，確保單元的質量。這個道理大家應該聽過也理解。

而做好軟體開發的安全性，道理也類似的，我們不可能單靠最後對軟體產品的動態測試——黑盒測試，來找出軟體系統保密性上的漏洞。

雖然現在工具越來越多，功能越來越強，但是單靠黑盒測試，而不知道系統本身架構的需求測試假定，他的有效性會很有限。

從這個角度往前一步看，在寫完程式碼後，可以通過掃描程式碼是否有漏洞，進一步暴露安全性問題。

依據這個思路，往開發的前期去看，前期是否把安全性需求弄清楚，有沒有把相關的安全性需求寫在需求文件中，後面對應開發和測試。

再往前，是看公司是否有安全性方面的指南？

前期防範比後期監測效率高——在我們的培訓中，會把這個概念，用互動練習的形式和大家分享。

在整個迭代開發的過程中，我們除了要考慮安全性，也同時間要考慮設計的易用性。

例如我們使用智慧手機上的銀行系統軟體APP，來進行轉錢的操作，在很多關卡都要進行驗證，那麼就大大提高了安全性。但是會讓使用者覺整個介面很不友好，不好用，後面就會放棄使用，最後導致客戶丟失。

電影《偷龍轉鳳》（ Howto Steal a Million(1966) 主演:奧黛麗.赫本）有個畫面，男女主角要從博物館偷回雕像，但是整個博物館的保安都做得很好，主角最後用什麼方法把雕像偷到手呢？就是幾次故意把系統擾動，每次警察都會過來檢視，但是每次雕像都在原地好好的。警車出動讓周圍的居民都很煩擾，最後博物館的保安覺得系統發出假警報，就把安全系統關掉。這時候，主角們再去博物館把雕塑輕鬆偷了回來。

還有個例子，在二戰期間，蘇聯為了做好情報的保密性，有一批專家對情報系統做了複雜的設定，由於電文保密性太好，軍官破解比較費勁。最後軍官放棄了新的系統，仍舊使用用老的方法，但是又很容易被敵人破解。

上面的例子說明，保安做得很嚴密，但是難用，會沒有效果。

我們知道一個系統特別注重保密性、安全性，會導致系統繁瑣，易用性就會打折扣，使用者使用起來就會不方便。如何平衡2者就很重要。

近期我們提供相關的培訓，來幫助大家進一步瞭解和做好這方面的工作。

如果你對課程感興趣或者想獲得更多資料，歡迎你聯絡我的同事claire,電話：18921395967，郵件：[email protected]