中圖網(wǎng)小程序
一鍵登錄
更方便
¥34.7(3.5折)?
預(yù)估到手價(jià)是按參與促銷活動(dòng)、以最優(yōu)惠的購(gòu)買方案計(jì)算出的價(jià)格(不含優(yōu)惠券部分),僅供參考,未必等同于實(shí)際到手價(jià)。
促銷活動(dòng):
本類五星書更多>
-
>
全國(guó)計(jì)算機(jī)等級(jí)考試最新真考題庫(kù)模擬考場(chǎng)及詳解·二級(jí)MSOffice高級(jí)應(yīng)用
-
>
決戰(zhàn)行測(cè)5000題(言語(yǔ)理解與表達(dá))
-
>
軟件性能測(cè)試.分析與調(diào)優(yōu)實(shí)踐之路
-
>
第一行代碼Android
-
>
JAVA持續(xù)交付
-
>
EXCEL最強(qiáng)教科書(完全版)(全彩印刷)
-
>
深度學(xué)習(xí)
中圖價(jià):¥57.8
加入購(gòu)物車
軟件安全保障體系架構(gòu) 版權(quán)信息
- ISBN:9787121431326
- 條形碼:9787121431326 ; 978-7-121-43132-6
- 裝幀:一般輕型紙
- 冊(cè)數(shù):暫無(wú)
- 重量:暫無(wú)
- 所屬分類:>
軟件安全保障體系架構(gòu) 內(nèi)容簡(jiǎn)介
本書從軟件安全保障的主要思路和要點(diǎn)出發(fā),詳細(xì)介紹了軟件安全開(kāi)發(fā)生命周期過(guò)程中需要考慮的安全要素。全書共9章,主要包括:第1章綜述;第2章軟件安全保障概念;第3章安全需求和威脅建模;第4章安全設(shè)計(jì)原則;第5章基于組件的軟件工程;第6章安全編碼;第7章軟件安全測(cè)試;第8章安全交付和維護(hù);第9章通用評(píng)估準(zhǔn)則與軟件安全保障等內(nèi)容。
軟件安全保障體系架構(gòu) 目錄
第1章 綜述 1
1.1 編寫背景 1
1.2 編寫目的 4
1.3 本書結(jié)構(gòu) 5
第2章 軟件安全保障概念 7
2.1 軟件工程 7
2.1.1 軟件工程概述 7
2.1.2 軟件工程基本原理 9
2.1.3 軟件工程的特點(diǎn) 11
2.1.4 軟件生命周期及生命周期模型 12
2.2 軟件質(zhì)量和軟件質(zhì)量保障 17
2.2.1 軟件質(zhì)量 17
2.2.2 軟件質(zhì)量保障 19
2.3 軟件安全 21
2.3.1 信息與信息安全 21
2.3.2 軟件安全概述 26
2.3.3 安全功能軟件與安全軟件 29
2.3.4 軟件安全與硬件安全 30
2.3.5 信息系統(tǒng)安全與軟件安全 31
2.4 軟件安全保障 33
2.5 影響軟件安全的要素 34
2.6 軟件面臨的威脅 39
2.6.1 軟件漏洞的發(fā)掘 40
2.6.2 造成軟件漏洞的原因 43
2.6.3 漏洞避免與安全性 45
2.6.4 通用軟件漏洞數(shù)據(jù)庫(kù) 46
第3章 安全需求和威脅建模 48
3.1 需求的定義與分類 48
3.1.1 軟件需求 48
3.1.2 軟件需求分類 50
3.1.3 軟件安全需求 52
3.2 否定性和非功能性安全需求 53
3.3 安全需求的來(lái)源 55
3.4 安全需求的驗(yàn)證 57
3.5 安全建模方法 58
3.5.1 軟件安全建模 58
3.5.2 威脅建模 60
第4章 安全設(shè)計(jì)原則 78
4.1 安全設(shè)計(jì)思想和方法 78
4.1.1 安全設(shè)計(jì)思想 78
4.1.2 安全設(shè)計(jì)方法 80
4.2 安全架構(gòu) 82
4.3 安全設(shè)計(jì)原則 83
4.3.1 通用原則1:減少關(guān)鍵組件的數(shù)量 83
4.3.2 通用原則2:避免暴露薄弱組件和關(guān)鍵組件 88
4.3.3 通用原則3:減少攻擊者破壞的途徑 93
4.4 執(zhí)行環(huán)境安全 99
4.4.1 環(huán)境等級(jí)劃分:約束和隔離機(jī)制 100
4.4.2 應(yīng)用程序框架 104
第5章 基于組件的軟件工程 106
5.1 基于模塊的軟件設(shè)計(jì) 106
5.1.1 軟件模塊化 106
5.1.2 模塊化設(shè)計(jì)的安全原則 108
5.2 COTS和OSS組件的安全問(wèn)題 110
5.2.1 缺乏可見(jiàn)性問(wèn)題 110
5.2.2 軟件來(lái)源和安裝問(wèn)題 111
5.2.3 安全假設(shè)的有效性 113
5.2.4 休眠代碼、死代碼和惡意代碼 113
5.3 組件的安全評(píng)估 114
5.3.1 組件的安全評(píng)估步驟 115
5.3.2 組件相關(guān)問(wèn)題 117
5.4 組件的集成 117
5.5 基于組件的安全維護(hù) 118
第6章 安全編碼 119
6.1 安全編碼原則和實(shí)踐 119
6.1.1 保持代碼簡(jiǎn)潔性 119
6.1.2 遵循安全的編碼指南 120
6.1.3 使用一致的編碼風(fēng)格 121
6.1.4 保證代碼的可追溯性、可重用性和可維護(hù)性 121
6.1.5 資源分配 121
6.1.6 盡量清除狀態(tài)信息 122
6.1.7 避免未經(jīng)授權(quán)的特權(quán)升級(jí) 122
6.1.8 使用一致的命名規(guī)則 122
6.1.9 謹(jǐn)慎使用封裝 123
6.1.10 權(quán)衡攻擊模式 124
6.1.11 輸入驗(yàn)證 125
6.1.12 輸出過(guò)濾和“凈化” 129
6.1.13 避免安全沖突 129
6.1.14 代碼審查 130
6.1.15 *少反饋及檢查返回 132
6.1.16 會(huì)話管理及配置參數(shù)管理 133
6.1.17 安全啟動(dòng) 134
6.1.18 并發(fā)控制 134
6.2 異常處理 135
6.2.1 異常識(shí)別及事件監(jiān)視器 136
6.2.2 異常和失敗處理 137
6.2.3 核心轉(zhuǎn)儲(chǔ) 139
6.3 安全存儲(chǔ)和緩存管理 139
6.4 進(jìn)程間通信 141
6.5 特定語(yǔ)言的安全問(wèn)題 141
6.6 安全編碼和編譯工具 145
6.6.1 編譯器安全檢查和執(zhí)行 145
6.6.2 安全的軟件庫(kù) 148
6.6.3 運(yùn)行錯(cuò)誤檢查和安全執(zhí)行 148
6.6.4 代碼混淆 149
第7章 軟件安全測(cè)試 150
7.1 軟件測(cè)試和軟件安全測(cè)試 151
7.1.1 軟件測(cè)試 151
7.1.2 軟件安全測(cè)試 156
7.1.3 軟件測(cè)試和軟件安全測(cè)試的關(guān)系 163
7.2 測(cè)試計(jì)劃 164
7.2.1 測(cè)試環(huán)境和測(cè)試要求 164
7.2.2 測(cè)試時(shí)機(jī) 165
7.3 軟件安全測(cè)試技術(shù) 168
7.3.1 白盒和灰盒測(cè)試技術(shù) 168
7.3.2 黑盒測(cè)試技術(shù) 172
7.4 重要的軟件安全測(cè)試點(diǎn) 179
7.4.1 輸入驗(yàn)證測(cè)試 179
7.4.2 緩沖區(qū)溢出測(cè)試 180
7.4.3 SQL注入缺陷控制測(cè)試 180
7.4.4 XSS腳本攻擊控制測(cè)試 181
7.4.5 抗抵賴控制測(cè)試 181
7.4.6 失效控制測(cè)試 182
7.4.7 優(yōu)先權(quán)提升控制測(cè)試 183
7.5 解釋和使用測(cè)試結(jié)果 183
第8章 安全交付和維護(hù) 185
8.1 分發(fā)前的準(zhǔn)備 185
8.2 安全分發(fā) 190
8.3 安全安裝和配置 191
8.3.1 初始化文件安全 192
8.3.2 安全假設(shè)驗(yàn)證 193
8.3.3 刪除所有未使用的文件 193
8.3.4 默認(rèn)賬戶及口令更改 194
8.3.5 刪除未使用的默認(rèn)賬戶 194
8.3.6 執(zhí)行環(huán)境“鎖定” 195
8.3.7 設(shè)置默認(rèn)安裝模塊 196
8.3.8 配置應(yīng)用安全策略 196
8.3.9 啟用*小用戶身份 197
8.3.10 開(kāi)啟應(yīng)用日志審計(jì) 197
8.3.11 數(shù)據(jù)備份 197
8.4 安全維護(hù) 197
8.4.1 漏洞管理 197
8.4.2 軟件老化 199
第9章 通用評(píng)估準(zhǔn)則與軟件安全保障 201
9.1 通用評(píng)估準(zhǔn)則的發(fā)展歷史 201
9.2 通用評(píng)估準(zhǔn)則的組成和重要概念 203
9.2.1 TOE的概念 205
9.2.2 安全目標(biāo)和保護(hù)輪廓 205
9.3 安全保障要求與軟件安全保障 206
附錄A 術(shù)語(yǔ)定義 208
參考文獻(xiàn) 216
1.1 編寫背景 1
1.2 編寫目的 4
1.3 本書結(jié)構(gòu) 5
第2章 軟件安全保障概念 7
2.1 軟件工程 7
2.1.1 軟件工程概述 7
2.1.2 軟件工程基本原理 9
2.1.3 軟件工程的特點(diǎn) 11
2.1.4 軟件生命周期及生命周期模型 12
2.2 軟件質(zhì)量和軟件質(zhì)量保障 17
2.2.1 軟件質(zhì)量 17
2.2.2 軟件質(zhì)量保障 19
2.3 軟件安全 21
2.3.1 信息與信息安全 21
2.3.2 軟件安全概述 26
2.3.3 安全功能軟件與安全軟件 29
2.3.4 軟件安全與硬件安全 30
2.3.5 信息系統(tǒng)安全與軟件安全 31
2.4 軟件安全保障 33
2.5 影響軟件安全的要素 34
2.6 軟件面臨的威脅 39
2.6.1 軟件漏洞的發(fā)掘 40
2.6.2 造成軟件漏洞的原因 43
2.6.3 漏洞避免與安全性 45
2.6.4 通用軟件漏洞數(shù)據(jù)庫(kù) 46
第3章 安全需求和威脅建模 48
3.1 需求的定義與分類 48
3.1.1 軟件需求 48
3.1.2 軟件需求分類 50
3.1.3 軟件安全需求 52
3.2 否定性和非功能性安全需求 53
3.3 安全需求的來(lái)源 55
3.4 安全需求的驗(yàn)證 57
3.5 安全建模方法 58
3.5.1 軟件安全建模 58
3.5.2 威脅建模 60
第4章 安全設(shè)計(jì)原則 78
4.1 安全設(shè)計(jì)思想和方法 78
4.1.1 安全設(shè)計(jì)思想 78
4.1.2 安全設(shè)計(jì)方法 80
4.2 安全架構(gòu) 82
4.3 安全設(shè)計(jì)原則 83
4.3.1 通用原則1:減少關(guān)鍵組件的數(shù)量 83
4.3.2 通用原則2:避免暴露薄弱組件和關(guān)鍵組件 88
4.3.3 通用原則3:減少攻擊者破壞的途徑 93
4.4 執(zhí)行環(huán)境安全 99
4.4.1 環(huán)境等級(jí)劃分:約束和隔離機(jī)制 100
4.4.2 應(yīng)用程序框架 104
第5章 基于組件的軟件工程 106
5.1 基于模塊的軟件設(shè)計(jì) 106
5.1.1 軟件模塊化 106
5.1.2 模塊化設(shè)計(jì)的安全原則 108
5.2 COTS和OSS組件的安全問(wèn)題 110
5.2.1 缺乏可見(jiàn)性問(wèn)題 110
5.2.2 軟件來(lái)源和安裝問(wèn)題 111
5.2.3 安全假設(shè)的有效性 113
5.2.4 休眠代碼、死代碼和惡意代碼 113
5.3 組件的安全評(píng)估 114
5.3.1 組件的安全評(píng)估步驟 115
5.3.2 組件相關(guān)問(wèn)題 117
5.4 組件的集成 117
5.5 基于組件的安全維護(hù) 118
第6章 安全編碼 119
6.1 安全編碼原則和實(shí)踐 119
6.1.1 保持代碼簡(jiǎn)潔性 119
6.1.2 遵循安全的編碼指南 120
6.1.3 使用一致的編碼風(fēng)格 121
6.1.4 保證代碼的可追溯性、可重用性和可維護(hù)性 121
6.1.5 資源分配 121
6.1.6 盡量清除狀態(tài)信息 122
6.1.7 避免未經(jīng)授權(quán)的特權(quán)升級(jí) 122
6.1.8 使用一致的命名規(guī)則 122
6.1.9 謹(jǐn)慎使用封裝 123
6.1.10 權(quán)衡攻擊模式 124
6.1.11 輸入驗(yàn)證 125
6.1.12 輸出過(guò)濾和“凈化” 129
6.1.13 避免安全沖突 129
6.1.14 代碼審查 130
6.1.15 *少反饋及檢查返回 132
6.1.16 會(huì)話管理及配置參數(shù)管理 133
6.1.17 安全啟動(dòng) 134
6.1.18 并發(fā)控制 134
6.2 異常處理 135
6.2.1 異常識(shí)別及事件監(jiān)視器 136
6.2.2 異常和失敗處理 137
6.2.3 核心轉(zhuǎn)儲(chǔ) 139
6.3 安全存儲(chǔ)和緩存管理 139
6.4 進(jìn)程間通信 141
6.5 特定語(yǔ)言的安全問(wèn)題 141
6.6 安全編碼和編譯工具 145
6.6.1 編譯器安全檢查和執(zhí)行 145
6.6.2 安全的軟件庫(kù) 148
6.6.3 運(yùn)行錯(cuò)誤檢查和安全執(zhí)行 148
6.6.4 代碼混淆 149
第7章 軟件安全測(cè)試 150
7.1 軟件測(cè)試和軟件安全測(cè)試 151
7.1.1 軟件測(cè)試 151
7.1.2 軟件安全測(cè)試 156
7.1.3 軟件測(cè)試和軟件安全測(cè)試的關(guān)系 163
7.2 測(cè)試計(jì)劃 164
7.2.1 測(cè)試環(huán)境和測(cè)試要求 164
7.2.2 測(cè)試時(shí)機(jī) 165
7.3 軟件安全測(cè)試技術(shù) 168
7.3.1 白盒和灰盒測(cè)試技術(shù) 168
7.3.2 黑盒測(cè)試技術(shù) 172
7.4 重要的軟件安全測(cè)試點(diǎn) 179
7.4.1 輸入驗(yàn)證測(cè)試 179
7.4.2 緩沖區(qū)溢出測(cè)試 180
7.4.3 SQL注入缺陷控制測(cè)試 180
7.4.4 XSS腳本攻擊控制測(cè)試 181
7.4.5 抗抵賴控制測(cè)試 181
7.4.6 失效控制測(cè)試 182
7.4.7 優(yōu)先權(quán)提升控制測(cè)試 183
7.5 解釋和使用測(cè)試結(jié)果 183
第8章 安全交付和維護(hù) 185
8.1 分發(fā)前的準(zhǔn)備 185
8.2 安全分發(fā) 190
8.3 安全安裝和配置 191
8.3.1 初始化文件安全 192
8.3.2 安全假設(shè)驗(yàn)證 193
8.3.3 刪除所有未使用的文件 193
8.3.4 默認(rèn)賬戶及口令更改 194
8.3.5 刪除未使用的默認(rèn)賬戶 194
8.3.6 執(zhí)行環(huán)境“鎖定” 195
8.3.7 設(shè)置默認(rèn)安裝模塊 196
8.3.8 配置應(yīng)用安全策略 196
8.3.9 啟用*小用戶身份 197
8.3.10 開(kāi)啟應(yīng)用日志審計(jì) 197
8.3.11 數(shù)據(jù)備份 197
8.4 安全維護(hù) 197
8.4.1 漏洞管理 197
8.4.2 軟件老化 199
第9章 通用評(píng)估準(zhǔn)則與軟件安全保障 201
9.1 通用評(píng)估準(zhǔn)則的發(fā)展歷史 201
9.2 通用評(píng)估準(zhǔn)則的組成和重要概念 203
9.2.1 TOE的概念 205
9.2.2 安全目標(biāo)和保護(hù)輪廓 205
9.3 安全保障要求與軟件安全保障 206
附錄A 術(shù)語(yǔ)定義 208
參考文獻(xiàn) 216
展開(kāi)全部
軟件安全保障體系架構(gòu) 作者簡(jiǎn)介
楊元原,公安部第三研究所副研究員,2011年畢業(yè)于西安電子科技大學(xué)密碼學(xué)專業(yè),博士。長(zhǎng)期從事信息安全領(lǐng)域的科研、測(cè)評(píng)工作,通用評(píng)估準(zhǔn)則團(tuán)隊(duì)負(fù)責(zé)人。曾負(fù)責(zé)/核心參與編制信息安全相關(guān)國(guó)家/行業(yè)標(biāo)準(zhǔn)10余項(xiàng),發(fā)表SCI/EI論文10余篇,授權(quán)專利多項(xiàng)。
書友推薦
- >
龍榆生:詞曲概論/大家小書
- >
自卑與超越
- >
經(jīng)典常談
- >
伯納黛特,你要去哪(2021新版)
- >
企鵝口袋書系列·偉大的思想20:論自然選擇(英漢雙語(yǔ))
- >
史學(xué)評(píng)論
- >
推拿
- >
有舍有得是人生
本類暢銷
