软件安全概述

最新推荐文章于 2024-03-27 11:30:00 发布
最新推荐文章于 2024-03-27 11:30:00 发布
阅读量8.2k 收藏 30
点赞数
分类专栏: 软件安全入门 文章标签: 安全 软件开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45590334/article/details/111832171
版权

文章目录

1、软件安全的重要性

相关定义:

  • 零日漏洞:未被公开过的漏洞,没有给软件厂商和作者时间去修补漏洞,或者已经验证的存在的但不被公开披露的漏洞
  • 网络战:网络战是一种黑客行为,它通过破坏对方的计算机网络和系统,刺探机密信息达到自身的政治目的。
  • 软件安全:软件时程序、数据、文档的集合体。软件安全就是使软件在受到恶意攻击的情形下依然能够继续正确运行及确保软件被在授权范围内合法使用的思想。

重要性分析:

  • 软件无处不在:应用软件的普及,涉及生活方方面面,安全的软件的生活安全的基础保障。
  • 软件规模日益增大:随着范围的日益广泛,软件规模也随之增大,常见软件规模已经达到千万行级数,对于代码的设计等安全因素就存在巨大考验。
  • 软件漏洞普遍存在,零日漏洞成为主要威胁。
  • 软件安全关乎国家基础设施、国防安全,已经成为国家级的军事与民生竞争。

2、软件安全面临的威胁

1)软件漏洞

  • 内存泄漏,运行时消耗过大直至系统崩溃
  • 多线程设计不周全致使系统因资源不足而锁死或死机
  • 明文存储用户口令
  • 登录安全验证强度太低
  • 对用户没有输入限制,能被利用后执行系统命令等。

2)恶意代码
恶意代码指再未授权的情况下,以破坏计算机软硬件设备、窃取用户信息、干扰正常使用等为目的编写的软件或代码片段。
恶意代码包括 计算机病毒、蠕虫、特洛伊木马、后门、内核嵌套、间谍软件、恶意广告、流氓软件、逻辑炸弹、网络钓鱼、恶意脚本等。

3)软件侵权
计算机软件侵权行为主要有:

  • (1) 未经软件著作权人的同意而发表或者登记其软件作品。
  • (2) 将他人开发的软件当作自己的作品发表或者登记。
  • (3) 未经合作者酌同意将与他人合作开发的软件当作自己独立完成的作品发表或者登记。
  • (4) 在他人开发的软件上署名或者更改他人开发的软件上的署名。
  • (5) 未经软件著作权人或者其合法受让者的许可,修改、翻译其软件作品。
  • (6) 未经软件著作权人或其合法受让者的许可,复制或部分复制其软件作品。
  • (7) 未经软件著作权人及其合法受让者同意,向公众发行、出租其软件的复制品。

3、软件安全的概念

软件全定义:
对于软件安全,目前没有统一 的定义与标准。在国家标准中GB/T 30998—2014中给出的定义是:软件工程与软件保障的一个方面,他提供一种系统的方法来标识、分析和追踪对危害及具有危害性功能的软件缓解措施与控制。
在早期的定义中,著名安全专家加里.麦劳格提出的定义是:“在面零蓄意威胁 其可靠性的事件的情形下依然能够提供所需功能的能力”
在现代定义中,软件安全性被定义为“软件产品在指定适用范围环境下达到对人类、业务、财产或环境造成的损害的可接受的风险级别”。强调了软件安全与数据保密的密切联系,指出了软件安全问题的根源在于软件的设计缺陷。

用信息安全基本要素解读软件安全

1)CIA三要素

  • 保密性
  • 完整性
  • 可用性
    2)其他安全属性
  • 可认证性
  • 授权
  • 可审计性或可查性
  • 抗抵赖性
  • 可控性:指对信息安全风险的控制能力
  • 可存活性:在面对攻击或灾难时能继续提供核心服务,解决方法时系统容侵、灾备与恢复

相关概念辨析

1)软件工程:
采用工程的概念、原理、技术和方法来开发和维护软件,把经过时间验证和考验过而证明正确的管理技术和经验方法结合起来,经济的、高效的进行计算机应用程序开发与维护。
2)软件危机

  • 第一次软件危机:60~70年代,高级语言开始出现;操作系统的发展引起了计算机应用方式的变化,迫切需要改变软件生产方式,提高软件生产率,软件危机开始爆发

  • 第二次软件危机:80年代~90年代,软件成本在计算机系统总成本中所占的比例居高不下,且逐年上升,软件开发生产率提高的速度远远跟不上计算机应用迅速普及深入的需要。

  • 第三次软件危机:2005年至今,原因在于:用户需求不明确,缺乏正确的理论指导,软件开发规模越来越大,软件开发复杂度越来越高。
    3)软件质量与软件质量保证
    简单来说就是软件与需求的匹配程度。
    4)软件保障
    包括软件质量、软件安全性、可靠性、验证与独立验证等

4、软件安全的研究内容

信息保障的概念

PDRR模型: 保护—>检测—>响应---->恢复—>检测
信息保障的核心思想:纵深防护战略,基本技术思路如下:

  • 保护网络和基础设施:主干网的可用性;无线网络安全框架;系统互联与虚拟专用网络
  • 保护边界:网络登录保护;远程访问;多级安全
  • 保护计算机环境:终端环境保护;系统应用保护
  • 支撑基础环境:PKI;检测与响应

网络空间信息安全与保障
网络空间信息存在透明性、传播的裂变性、真伪的混杂性、网控的滞后性使得网络空间安全面临前所未有的挑战。网络战场全球化,网络攻防常态化等突出问题,使得高效科学的管控网络成为重大课题。

软件安全的主要方法和技术

基本方法:

  • 采用多种检测、分析与挖掘技术对网络安全错误或漏洞进行发现、分析与评价。采用多种防护措施进行修复和风险控制,如传统的打补丁、防病毒、防火墙、入侵检测等。
  • 分析软件安全错误的原因,将安全错误修正嵌入整个软件开发生命周期。

主要防护技术:

  • 信息安全属性的认知
  • 系统安全工程
  • 软件安全开发:包括安全需求分析与设计、安全编码、安全测试、安全部署。
W0ngk
关注
  • 0
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机数据及软件安全概述.ppt
11-21
"计算机数据及软件安全概述" 计算机数据及软件安全概述是计算机科学中非常重要的一个方面。随着计算机技术的发展和互联网的普及,计算机数据及软件安全问题变得越来越重要。计算机数据及软件安全概述.ppt就...
计算机软件概述.ppt
11-15
因此,在使用软件时,我们需要加强安全意识,遵守相关法规和规定,并保护知识产权。 计算机软件的发展对社会和经济产生了深远的影响。软件工业已经成为许多国家的支柱产业,创造了大量的就业机会和经济效益。同时,...
应用安全:确保软件和应用程序的安全性
禅与计算机程序设计艺术
12-27 461
1.背景介绍 应用安全是一种关注于确保软件和应用程序不被恶意利用的技术。在今天的互联网世界中,应用安全变得至关重要,因为恶意攻击者不断地尝试找到软件和应用程序的漏洞,以便进行恶意活动。这些漏洞可能包括代码漏洞、配置漏洞、系统漏洞等。应用安全涉及到多个领域,包括密码学、网络安全、操作系统安全、数据库安全、应用程序安全等。 在本文中,我们将讨论应用安全的核心概念、算法原理、具体操作步骤、数学模型、...
Spring Security入门2:什么是软件安全性
Designer 小郑的技术博客
11-13 1945
软件安全性是指软件系统在面对潜在威胁和攻击时的保护能力。它关注保护软件的机密性、完整性和可用性,以防止未经授权的访问、数据泄露、恶意篡改或服务中断。软件安全性涉及多个方面,包括设计安全、开发安全、部署安全和运行安全
11种方法判断​软件安全可靠性​
xnxqwzy的博客
03-27 1118
软件安全可靠性是衡量软件好坏的一个重要标准,指与防止对程序及数据的非授权的故意或意外访问的能力有关的软件属性,可靠性指与在规定的一段时间和条件下,软件软件安全可靠性是衡量软件好坏的一个重要标准,安全性指与防止对程序及数据的非授权的故意或意外访问的能力有关的软件属性,可靠性指与在规定的一段时间和条件下,软件能维持其性能水平能力有关的一组属性。具体我们可以从以下几个方面来判断:1.限制。
什么是软件安全性测试?安全测试有哪些测试方法和手段
weixin_68789096的博客
04-19 2411
安全性测试是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程。应用程序级安全测试的主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力,根据安全指标不同测试策略也不同。
软件安全测试方法
热门推荐
datuzijean的博客
01-25 1万+
WEB攻击方法: 跨站脚本攻击、SQL注入、OS注入、http首部注入、http相应拦截攻击、邮件首部攻击、目录遍历攻击、远程文件包漏洞、会话劫持、会话固定、跨站点请求伪造、密码破解、DOS攻击。 渗透测试: 渗透测试是一种合法且授权定位计算机系统,并对其成功实施漏洞攻击的方法,其目的为了使这些受测系统更加安全。测试过程包括漏洞探测和提供概念证明攻击,以证明漏洞确实存在。渗透测试也称为黑客活...
软件安全基本概念
tcsnMFSheng的博客
08-08 1898
软件安全基本概念,包括病毒和木马,软件漏洞,漏洞库,渗透测试,实验环境,Linux基本指令
信息安全概述
01-22
信息安全概要,信息安全入门必读. 包括:硬件 ,软件
软件安全性测试总结
02-22
安全性测试从冷门的话题,随着国内各大知名网站频繁被攻击,重要社区用户信息被泄露,逐步被各方所重视。而具体怎么做软件安全性测试,防止骇客有机可乘,国内普遍处于才起步的状态。今天笔者就自己的经验,系统总结了我所了解和掌握的安全测试,希望抛砖引玉,让更多更好的软件安全测试技术、经验被分享出来,供大家交流、学习,让我们的安全测试迈步起到一定的推动作用。(更多内容你可以微信关注:ceshibuluo)
软件系统的安全性测试
10-15
安全性测试方法 ,1. 功能验证 功能验证是采用软件测试当中的黑盒测试方法,对涉及安全软件功能,如:用户管理模块,权限管理,加密系统,认证系统等进行测试,主要验证上述功能是否有效。 2. 漏洞扫描 安全漏洞扫描主要是借助于特定的漏洞扫描器完成的。通过使 用漏洞扫描器,系统管理员能够发现系统存在的安全漏洞,从 而在系统安全中及时修补漏洞的措施。一般漏洞扫描分为两种类型:主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序。网络漏洞扫描器是指基于网络远程检测目标网络和主机系统漏洞的程序。 3. 模拟攻击 对于安全测试来说,模拟攻击测试是一组特殊的极端的测试方法,我们以模拟攻击来验证软件系统的安全防护能力
软件安全性研究综述
11-07
着重从软件工程的视角对软件安全性的开发过程、设计方案、评估方法与认证技术等现状进行了综述,并探讨了软件安全性的研究方向。
MasterCAM软件概述.ppt
11-13
MasterCAM软件概述.ppt
BIM软件体系概述.ppt
11-15
《BIM软件体系概述》 BIM(Building Information Modeling,建筑信息模型)技术在现代建筑行业中扮演着至关重要的角色,其核心在于通过数字化的方式整合建筑项目的全生命周期信息。BIM软件体系的多样性与复杂性是...
安全架构】
Robin.Wang Tech Blog
06-06 3670
概念 安全是产品的属性,安全的目标是保障产品里信息资产的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),简记为CIA。 保密性: 保障信息资产不被未授权的用户访问或者泄漏; 完整性:保障信息资产不回被未授权而被篡改; 可用性:保障已授权用户合法访问信息资产的权利。 术语 信息安全 广义上的信息安全(Information Security),是基于“安全体系以信息为中心”的立场,泛指整个安全体系,侧重于安全管理。 狭义上的信息安全,在不同组织
软件安全技术(概述、堆栈漏洞)总结
Hardworking666的博客
12-21 4016
文章目录一、软件安全概述二、内存漏洞1、函数的栈帧2、栈溢出漏洞基本原理3、堆的基础知识4、堆溢出漏洞及利用 一、软件安全概述 软件面临的三大类威胁:软件自身的安全软件漏洞)、恶意代码及软件侵权。 软件安全三大基本属性CIA:保密性、完整性、可用性。 软件安全防护的主要技术:软件安全属性的认知、系统安全工程、软件安全开发。 0day漏洞:已经被发现(有可能未被公开)但官方还没有相关补丁的漏洞。 1day漏洞:厂商发布安全补丁之后但大部分用户还未打补丁时的漏洞,此类漏洞还是有可利用性。 漏洞的特点..
软件安全设计_安全软件设计中重要的是什么?
danpu0978的博客
05-12 526
软件安全设计 存在许多可能会损害系统安全性的基本体系结构和设计错误: 缺少安全功能中的重要内容,例如访问控制或审核,隐私和合规性要求; 在理解和实施防御黑暗技术的安全性技术方面的技术错误,例如加密,管理机密和会话管理(您不了解做某事或正确做事的知识); 误解了架构责任和信任区,例如依赖于客户端验证,或者“我认为数据已经被清理”; 让攻击面变得不必要的多–因为大多数开发人员不了...
Oracle 安全措施
最新发布
04-17
Oracle 提供了一系列安全措施,以确保数据库系统的安全性和可靠性。以下是一些主要的 Oracle 安全措施: 1. 身份验证和授权:Oracle 数据库使用身份验证机制来确认连接到数据库的用户身份。它支持多种身份验证方法,如用户名和密码、证书、OAuth 等。同时,Oracle 提供了强大的授权机制,可以限制用户对数据库的访问权限。 2. 访问控制:Oracle 提供了多种访问控制机制,如权限、角色和权限继承等,以限制用户对数据库资源的访问。通过这些机制,可以控制用户对表、视图、存储过程和触发器等对象的访问权限。 3. 数据加密:Oracle 数据库支持数据加密功能,可以对存储在数据库中的数据进行加密。这有助于保护数据的安全性,防止数据泄露。 4. 审计和日志记录:Oracle 提供了审计和日志记录功能,可以记录数据库活动和操作,以便进行安全审计和故障排除。通过审计日志,可以跟踪用户对数据库的访问和操作,并监视潜在的安全风险。 5. 加密传输:Oracle 数据库支持加密传输协议,如 SSL(安全套接字层)和 TLS(传输层安全协议),以确保在数据库和客户端之间传输的数据的安全性。 6. 安全管理器:Oracle 提供了一个安全管理器工具,用于管理数据库的安全性。该工具提供了一个界面,用于创建用户、分配权限、设置密码策略等。 7. 漏洞管理:Oracle 不断更新其安全补丁和修复程序,以修复数据库中发现的漏洞。用户应该定期检查 Oracle 官方网站以获取最新的安全公告和补丁程序信息。 8. 安全配置:合理的数据库配置是确保安全性的关键之一。用户应该遵循最佳实践,如限制数据库服务的访问、启用身份验证会话超时、限制远程连接等。 9. 安全审计和调查工具:Oracle 提供了一些安全审计和调查工具,如数据包分析器、审计日志等,用于监视和诊断潜在的安全问题。 总之,Oracle 提供了一系列的 安全措施,以确保数据库系统的安全性和可靠性。用户应该遵循最佳实践,并定期检查官方网站以获取最新的安全公告和补丁程序信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值