|
1. 错误和遗漏
错误和遗漏是数据和系统完整性的重要威胁。这些错误不仅由每天处理几百条交易的数据录入员造成,创建和编辑数据的任何类型的用户都可以造成。许多程序,特别是那些被设计用来供个人计算机用户使用的程序缺乏质量控制手段。但是,即使是最复杂的程序也不可能探测到所有类型的输入错误或遗漏。良好的意识和培训项目可以帮助机构减少错误和遗漏的数量和严重程度。
用户、数据录入员、系统操作员和程序员的工作中经常会出现直接或间接影响安全的错误。在有些情况下,错误是一种威胁,例如数据录入错误或编程错误会使系统崩溃。在另一些情况下,错误导致了缺陷。错误可以在系统生命周期的任何阶段发生。一项由计算机安全顾问、计算机系统安全和隐私咨询委员会的前成员Robert
Courtney进行的关于计算机的经济损失的长期调查显示,机构百分之六十五的损失是错误和遗漏造成的。在私营和公共机构中,这种情况基本是一样的。
编程和开发的错误通常被称为“臭虫”,其严重程度从温和到灾难性不等。在1989年美国众议院科学、空间和技术委员会的研究报告《程序中的缺陷》中,调查和监督小组委员会成员对政府系统中此类问题的严重性作出了以下总结:
随着费用的不断增加,对于越来越大、越来越复杂的软件系统的稳定性、成本和准确性的关注也越来越多。随着计算机执行越来越关键的任务,其错误会导致经济混乱、事故,在极端的情况下会导致死亡,所以对此的关注也不断升温。
自从这份研究报告发表以来,软件工业发生了相当大的变化,软件质量有了可观的改善。但是关于软件的“恐怖故事“依然大量流传,报告中分析发现的基本根源和问题依然存在。虽然程序的质量有了很大的改善,减少了每1000行代码中包含的错误量,但是程序的规模同时也在扩大,这在很大程度上抵消了程序质量改进的好处。
安装和维护的错误是安全问题的另一个根源。例如,由美国正直和效率总统委员会(PCIE)在1988年进行的审计中发现,被调查的每十个大型计算机站点中就有一个存在会导致严重安全缺陷的安装和维护错误。
|
