新疆大学：《软件工程》课程教学课件（讲稿）第十二讲 软件安全

软件安全 up Company Name cica by 新疆大学信息学院

Company Name 软件安全 新疆大学信息学院 by XJU SE Group

提纲 Company LOGO 软件安全的相关定义 一软件安全 -缺陷、漏洞 Group 。安全软件开发生命周期 一安全原则、规则及规章 -软件安全原则 一安全需求 一安全测试 www.themegallery.com

提纲  软件安全的相关定义 – 软件安全 – 缺陷、漏洞  安全软件开发生命周期 – 安全原则、规则及规章 – 软件安全原则 – 安全需求 – 安全测试 www.themegallery.com Company LOGO by XJU SE Group

什么是软件安全 ● 软件安全(Software Security)是指，采取工程 化的方法，使得软件在敌对攻击的情况下仍然能 够继续正常工作。 ●软件安全是一个相对较新的领域，直到2001年才 出现了软件安全方面的著作以及相关课程，这说 明，从那时起，开发人员、软件架构师、计算机 科学家们才开始系统地思考如何构建安全的软件

什么是软件安全  软件安全（Software Security）是指，采取工程 化的方法，使得软件在敌对攻击的情况下仍然能 够继续正常工作。  软件安全是一个相对较新的领域，直到2001年才 出现了软件安全方面的著作以及相关课程，这说 明，从那时起，开发人员、软件架构师、计算机 科学家们才开始系统地思考如何构建安全的软件。 by XJU SE Group

软件安全是计算机安全问题中的一个关键问题 。软件的缺陷，包括实现阶段的错误（如缓冲区溢 出)，以及设计中的错误（如不周全的错误处 理)。 。近年来软件中的安全漏洞越来越被黑客等不法分 子所利用，并且随着软件系统的不断增加和越来 越复杂，安全潜在隐患也愈来愈多。 -一个示例近年来恶意软件的发展趋势

 软件安全是计算机安全问题中的一个关键问题  软件的缺陷，包括实现阶段的错误（如缓冲区溢 出），以及设计中的错误（如不周全的错误处 理）。  近年来软件中的安全漏洞越来越被黑客等不法分 子所利用，并且随着软件系统的不断增加和越来 越复杂，安全潜在隐患也愈来愈多。 – 一个示例/近年来恶意软件的发展趋势 by XJU SE Group

恶意软件发展趋势 ● 2000-2005年 - 攻击通过-mai完成 ●2005-2006年 Group 一主要攻击对象为互联网 ●2006-2009年 -攻击主要通过Web站点（包括社交网络） ●2010年 -攻击方式从Web转到文件共享网络

恶意软件发展趋势  2000-2005年 – 攻击通过E-mail完成  2005-2006年 – 主要攻击对象为互联网  2006-2009年 – 攻击主要通过Web站点（包括社交网络）  2010年 – 攻击方式从Web转到文件共享网络 by XJU SE Group

背景与现状 ●指导开发人员如何编写安全的代码的资源很少 ●更糟的是，如今许多软件是以难以置信的速度并 且是在极大的市场压力下开发的 ●在这种市场压力下，首当其冲受到损害的通常是 软件质量（任何种类的质量) ●在最好的情况下安全性往往也只是事后的想法， 而通常它都被完全遗忘

背景与现状  指导开发人员如何编写安全的代码的资源很少  更糟的是，如今许多软件是以难以置信的速度并 且是在极大的市场压力下开发的  在这种市场压力下，首当其冲受到损害的通常是 软件质量（任何种类的质量）  在最好的情况下安全性往往也只是事后的想法， 而通常它都被完全遗忘。 by XJU SE Group

妨害安全性分析的认识误区 01 只有在代码已经编制完成之后，才需要进行安 全性分析 ●2政府机构与独立的安全性分析机构签订合同是 困难和耗时的 ●3良好的软件开发过程能够预防软件全部潜在危 险 ●4安全性分析费用没有必要列入项目经费计划 ●5缺乏明显证据表明，如果已经发现的危险没有 消除，一定会发生事故

妨害安全性分析的认识误区  1 只有在代码已经编制完成之后，才需要进行安 全性分析  2 政府机构与独立的安全性分析机构签订合同是 困难和耗时的  3 良好的软件开发过程能够预防软件全部潜在危 险  4 安全性分析费用没有必要列入项目经费计划  5 缺乏明显证据表明，如果已经发现的危险没有 消除，一定会发生事故 by XJU SE Group

妨害安全性分析的认识误区 缺乏安全性分析专业人员和分析过程 一跟踪评估安全性分析机构和人员的历史业绩， 可以发 现称职的机构和人员 ●软件安全性分析发现的新问题，将带来额外的工 作量 -早期识别安全性分析问题可以节省大量资源 by

妨害安全性分析的认识误区  缺乏安全性分析专业人员和分析过程 – 跟踪评估安全性分析机构和人员的历史业绩，可以发 现称职的机构和人员  软件安全性分析发现的新问题，将带来额外的工 作量 – 早期识别安全性分析问题可以节省大量资源 by XJU SE Group

软件缺陷 Company LOGO ●英文有多个词与之对应： -缺陷：bug -缺点：defect Group -偏差：variance -谬误：fault SE -失败：failure -矛盾：inconsistency -错误：error -毛病：incident -异常：anomy www.themegallery.com

软件缺陷  英文有多个词与之对应： – 缺陷：bug – 缺点：defect – 偏差：variance – 谬误：fault – 失败：failure – 矛盾：inconsistency – 错误：error – 毛病：incident – 异常：anomy www.themegallery.com Company LOGO by XJU SE Group

软件缺陷 Company LOGO ●1EEE标准729-1983中对软件缺陷的定义： 从产品内部来看，软件缺陷是软件产品开发或维护过 程中所存在的错误，毛病等多种问题； 从产品外部来看，软件缺陷是系统的需求实现的某种 功能的失败或违背。 ●RFC2828[ISG] -互联网词汇将漏洞定义为：“系统设计实现和操作管 理中存在的缺陷和弱点，能被利用而违背系统的安全 策略” www.themegallery.com

软件缺陷  IEEE标准729-1983中对软件缺陷的定义： – 从产品内部来看，软件缺陷是软件产品开发或维护过 程中所存在的错误，毛病等多种问题； – 从产品外部来看，软件缺陷是系统的需求实现的某种 功能的失败或违背。  RFC2828[ISG] – 互联网词汇将漏洞定义为：“系统设计实现和操作管 理中存在的缺陷和弱点，能被利用而违背系统的安全 策略”。 www.themegallery.com Company LOGO by XJU SE Group