软件安全 up Company Name cica by 新疆大学信息学院
Company Name 软件安全 新疆大学信息学院 by XJU SE Group
提纲 Company LOGO 软件安全的相关定义 一软件安全 -缺陷、漏洞 Group 。安全软件开发生命周期 一安全原则、规则及规章 -软件安全原则 一安全需求 一安全测试 www.themegallery.com
提纲 软件安全的相关定义 – 软件安全 – 缺陷、漏洞 安全软件开发生命周期 – 安全原则、规则及规章 – 软件安全原则 – 安全需求 – 安全测试 www.themegallery.com Company LOGO by XJU SE Group
什么是软件安全 ● 软件安全(Software Security)是指,采取工程 化的方法,使得软件在敌对攻击的情况下仍然能 够继续正常工作。 ●软件安全是一个相对较新的领域,直到2001年才 出现了软件安全方面的著作以及相关课程,这说 明,从那时起,开发人员、软件架构师、计算机 科学家们才开始系统地思考如何构建安全的软件
什么是软件安全 软件安全(Software Security)是指,采取工程 化的方法,使得软件在敌对攻击的情况下仍然能 够继续正常工作。 软件安全是一个相对较新的领域,直到2001年才 出现了软件安全方面的著作以及相关课程,这说 明,从那时起,开发人员、软件架构师、计算机 科学家们才开始系统地思考如何构建安全的软件。 by XJU SE Group
软件安全是计算机安全问题中的一个关键问题 。软件的缺陷,包括实现阶段的错误(如缓冲区溢 出),以及设计中的错误(如不周全的错误处 理)。 。近年来软件中的安全漏洞越来越被黑客等不法分 子所利用,并且随着软件系统的不断增加和越来 越复杂,安全潜在隐患也愈来愈多。 -一个示例近年来恶意软件的发展趋势
软件安全是计算机安全问题中的一个关键问题 软件的缺陷,包括实现阶段的错误(如缓冲区溢 出),以及设计中的错误(如不周全的错误处 理)。 近年来软件中的安全漏洞越来越被黑客等不法分 子所利用,并且随着软件系统的不断增加和越来 越复杂,安全潜在隐患也愈来愈多。 – 一个示例/近年来恶意软件的发展趋势 by XJU SE Group
恶意软件发展趋势 ● 2000-2005年 - 攻击通过-mai完成 ●2005-2006年 Group 一主要攻击对象为互联网 ●2006-2009年 -攻击主要通过Web站点(包括社交网络) ●2010年 -攻击方式从Web转到文件共享网络
恶意软件发展趋势 2000-2005年 – 攻击通过E-mail完成 2005-2006年 – 主要攻击对象为互联网 2006-2009年 – 攻击主要通过Web站点(包括社交网络) 2010年 – 攻击方式从Web转到文件共享网络 by XJU SE Group
背景与现状 ●指导开发人员如何编写安全的代码的资源很少 ●更糟的是,如今许多软件是以难以置信的速度并 且是在极大的市场压力下开发的 ●在这种市场压力下,首当其冲受到损害的通常是 软件质量(任何种类的质量) ●在最好的情况下安全性往往也只是事后的想法, 而通常它都被完全遗忘
背景与现状 指导开发人员如何编写安全的代码的资源很少 更糟的是,如今许多软件是以难以置信的速度并 且是在极大的市场压力下开发的 在这种市场压力下,首当其冲受到损害的通常是 软件质量(任何种类的质量) 在最好的情况下安全性往往也只是事后的想法, 而通常它都被完全遗忘。 by XJU SE Group
妨害安全性分析的认识误区 01 只有在代码已经编制完成之后,才需要进行安 全性分析 ●2政府机构与独立的安全性分析机构签订合同是 困难和耗时的 ●3良好的软件开发过程能够预防软件全部潜在危 险 ●4安全性分析费用没有必要列入项目经费计划 ●5缺乏明显证据表明,如果已经发现的危险没有 消除,一定会发生事故
妨害安全性分析的认识误区 1 只有在代码已经编制完成之后,才需要进行安 全性分析 2 政府机构与独立的安全性分析机构签订合同是 困难和耗时的 3 良好的软件开发过程能够预防软件全部潜在危 险 4 安全性分析费用没有必要列入项目经费计划 5 缺乏明显证据表明,如果已经发现的危险没有 消除,一定会发生事故 by XJU SE Group
妨害安全性分析的认识误区 缺乏安全性分析专业人员和分析过程 一跟踪评估安全性分析机构和人员的历史业绩, 可以发 现称职的机构和人员 ●软件安全性分析发现的新问题,将带来额外的工 作量 -早期识别安全性分析问题可以节省大量资源 by
妨害安全性分析的认识误区 缺乏安全性分析专业人员和分析过程 – 跟踪评估安全性分析机构和人员的历史业绩,可以发 现称职的机构和人员 软件安全性分析发现的新问题,将带来额外的工 作量 – 早期识别安全性分析问题可以节省大量资源 by XJU SE Group
软件缺陷 Company LOGO ●英文有多个词与之对应: -缺陷:bug -缺点:defect Group -偏差:variance -谬误:fault SE -失败:failure -矛盾:inconsistency -错误:error -毛病:incident -异常:anomy www.themegallery.com
软件缺陷 英文有多个词与之对应: – 缺陷:bug – 缺点:defect – 偏差:variance – 谬误:fault – 失败:failure – 矛盾:inconsistency – 错误:error – 毛病:incident – 异常:anomy www.themegallery.com Company LOGO by XJU SE Group
软件缺陷 Company LOGO ●1EEE标准729-1983中对软件缺陷的定义: 从产品内部来看,软件缺陷是软件产品开发或维护过 程中所存在的错误,毛病等多种问题; 从产品外部来看,软件缺陷是系统的需求实现的某种 功能的失败或违背。 ●RFC2828[ISG] -互联网词汇将漏洞定义为:“系统设计实现和操作管 理中存在的缺陷和弱点,能被利用而违背系统的安全 策略” www.themegallery.com
软件缺陷 IEEE标准729-1983中对软件缺陷的定义: – 从产品内部来看,软件缺陷是软件产品开发或维护过 程中所存在的错误,毛病等多种问题; – 从产品外部来看,软件缺陷是系统的需求实现的某种 功能的失败或违背。 RFC2828[ISG] – 互联网词汇将漏洞定义为:“系统设计实现和操作管 理中存在的缺陷和弱点,能被利用而违背系统的安全 策略”。 www.themegallery.com Company LOGO by XJU SE Group