掃一掃
關注中圖網
官方微博
本類五星書更多>
-
>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應用
-
>
決戰行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調優實踐之路
-
>
第一行代碼Android
-
>
JAVA持續交付
-
>
EXCEL最強教科書(完全版)(全彩印刷)
-
>
深度學習
軟件安全保障體系架構 版權信息
- ISBN:9787121431326
- 條形碼:9787121431326 ; 978-7-121-43132-6
- 裝幀:一般輕型紙
- 冊數:暫無
- 重量:暫無
- 所屬分類:>
軟件安全保障體系架構 內容簡介
本書從軟件安全保障的主要思路和要點出發,詳細介紹了軟件安全開發生命周期過程中需要考慮的安全要素。全書共9章,主要包括:第1章綜述;第2章軟件安全保障概念;第3章安全需求和威脅建模;第4章安全設計原則;第5章基于組件的軟件工程;第6章安全編碼;第7章軟件安全測試;第8章安全交付和維護;第9章通用評估準則與軟件安全保障等內容。
軟件安全保障體系架構 目錄
第1章 綜述 1
1.1 編寫背景 1
1.2 編寫目的 4
1.3 本書結構 5
第2章 軟件安全保障概念 7
2.1 軟件工程 7
2.1.1 軟件工程概述 7
2.1.2 軟件工程基本原理 9
2.1.3 軟件工程的特點 11
2.1.4 軟件生命周期及生命周期模型 12
2.2 軟件質量和軟件質量保障 17
2.2.1 軟件質量 17
2.2.2 軟件質量保障 19
2.3 軟件安全 21
2.3.1 信息與信息安全 21
2.3.2 軟件安全概述 26
2.3.3 安全功能軟件與安全軟件 29
2.3.4 軟件安全與硬件安全 30
2.3.5 信息系統安全與軟件安全 31
2.4 軟件安全保障 33
2.5 影響軟件安全的要素 34
2.6 軟件面臨的威脅 39
2.6.1 軟件漏洞的發掘 40
2.6.2 造成軟件漏洞的原因 43
2.6.3 漏洞避免與安全性 45
2.6.4 通用軟件漏洞數據庫 46
第3章 安全需求和威脅建模 48
3.1 需求的定義與分類 48
3.1.1 軟件需求 48
3.1.2 軟件需求分類 50
3.1.3 軟件安全需求 52
3.2 否定性和非功能性安全需求 53
3.3 安全需求的來源 55
3.4 安全需求的驗證 57
3.5 安全建模方法 58
3.5.1 軟件安全建模 58
3.5.2 威脅建模 60
第4章 安全設計原則 78
4.1 安全設計思想和方法 78
4.1.1 安全設計思想 78
4.1.2 安全設計方法 80
4.2 安全架構 82
4.3 安全設計原則 83
4.3.1 通用原則1:減少關鍵組件的數量 83
4.3.2 通用原則2:避免暴露薄弱組件和關鍵組件 88
4.3.3 通用原則3:減少攻擊者破壞的途徑 93
4.4 執行環境安全 99
4.4.1 環境等級劃分:約束和隔離機制 100
4.4.2 應用程序框架 104
第5章 基于組件的軟件工程 106
5.1 基于模塊的軟件設計 106
5.1.1 軟件模塊化 106
5.1.2 模塊化設計的安全原則 108
5.2 COTS和OSS組件的安全問題 110
5.2.1 缺乏可見性問題 110
5.2.2 軟件來源和安裝問題 111
5.2.3 安全假設的有效性 113
5.2.4 休眠代碼、死代碼和惡意代碼 113
5.3 組件的安全評估 114
5.3.1 組件的安全評估步驟 115
5.3.2 組件相關問題 117
5.4 組件的集成 117
5.5 基于組件的安全維護 118
第6章 安全編碼 119
6.1 安全編碼原則和實踐 119
6.1.1 保持代碼簡潔性 119
6.1.2 遵循安全的編碼指南 120
6.1.3 使用一致的編碼風格 121
6.1.4 保證代碼的可追溯性、可重用性和可維護性 121
6.1.5 資源分配 121
6.1.6 盡量清除狀態信息 122
6.1.7 避免未經授權的特權升級 122
6.1.8 使用一致的命名規則 122
6.1.9 謹慎使用封裝 123
6.1.10 權衡攻擊模式 124
6.1.11 輸入驗證 125
6.1.12 輸出過濾和“凈化” 129
6.1.13 避免安全沖突 129
6.1.14 代碼審查 130
6.1.15 *少反饋及檢查返回 132
6.1.16 會話管理及配置參數管理 133
6.1.17 安全啟動 134
6.1.18 并發控制 134
6.2 異常處理 135
6.2.1 異常識別及事件監視器 136
6.2.2 異常和失敗處理 137
6.2.3 核心轉儲 139
6.3 安全存儲和緩存管理 139
6.4 進程間通信 141
6.5 特定語言的安全問題 141
6.6 安全編碼和編譯工具 145
6.6.1 編譯器安全檢查和執行 145
6.6.2 安全的軟件庫 148
6.6.3 運行錯誤檢查和安全執行 148
6.6.4 代碼混淆 149
第7章 軟件安全測試 150
7.1 軟件測試和軟件安全測試 151
7.1.1 軟件測試 151
7.1.2 軟件安全測試 156
7.1.3 軟件測試和軟件安全測試的關系 163
7.2 測試計劃 164
7.2.1 測試環境和測試要求 164
7.2.2 測試時機 165
7.3 軟件安全測試技術 168
7.3.1 白盒和灰盒測試技術 168
7.3.2 黑盒測試技術 172
7.4 重要的軟件安全測試點 179
7.4.1 輸入驗證測試 179
7.4.2 緩沖區溢出測試 180
7.4.3 SQL注入缺陷控制測試 180
7.4.4 XSS腳本攻擊控制測試 181
7.4.5 抗抵賴控制測試 181
7.4.6 失效控制測試 182
7.4.7 優先權提升控制測試 183
7.5 解釋和使用測試結果 183
第8章 安全交付和維護 185
8.1 分發前的準備 185
8.2 安全分發 190
8.3 安全安裝和配置 191
8.3.1 初始化文件安全 192
8.3.2 安全假設驗證 193
8.3.3 刪除所有未使用的文件 193
8.3.4 默認賬戶及口令更改 194
8.3.5 刪除未使用的默認賬戶 194
8.3.6 執行環境“鎖定” 195
8.3.7 設置默認安裝模塊 196
8.3.8 配置應用安全策略 196
8.3.9 啟用*小用戶身份 197
8.3.10 開啟應用日志審計 197
8.3.11 數據備份 197
8.4 安全維護 197
8.4.1 漏洞管理 197
8.4.2 軟件老化 199
第9章 通用評估準則與軟件安全保障 201
9.1 通用評估準則的發展歷史 201
9.2 通用評估準則的組成和重要概念 203
9.2.1 TOE的概念 205
9.2.2 安全目標和保護輪廓 205
9.3 安全保障要求與軟件安全保障 206
附錄A 術語定義 208
參考文獻 216
1.1 編寫背景 1
1.2 編寫目的 4
1.3 本書結構 5
第2章 軟件安全保障概念 7
2.1 軟件工程 7
2.1.1 軟件工程概述 7
2.1.2 軟件工程基本原理 9
2.1.3 軟件工程的特點 11
2.1.4 軟件生命周期及生命周期模型 12
2.2 軟件質量和軟件質量保障 17
2.2.1 軟件質量 17
2.2.2 軟件質量保障 19
2.3 軟件安全 21
2.3.1 信息與信息安全 21
2.3.2 軟件安全概述 26
2.3.3 安全功能軟件與安全軟件 29
2.3.4 軟件安全與硬件安全 30
2.3.5 信息系統安全與軟件安全 31
2.4 軟件安全保障 33
2.5 影響軟件安全的要素 34
2.6 軟件面臨的威脅 39
2.6.1 軟件漏洞的發掘 40
2.6.2 造成軟件漏洞的原因 43
2.6.3 漏洞避免與安全性 45
2.6.4 通用軟件漏洞數據庫 46
第3章 安全需求和威脅建模 48
3.1 需求的定義與分類 48
3.1.1 軟件需求 48
3.1.2 軟件需求分類 50
3.1.3 軟件安全需求 52
3.2 否定性和非功能性安全需求 53
3.3 安全需求的來源 55
3.4 安全需求的驗證 57
3.5 安全建模方法 58
3.5.1 軟件安全建模 58
3.5.2 威脅建模 60
第4章 安全設計原則 78
4.1 安全設計思想和方法 78
4.1.1 安全設計思想 78
4.1.2 安全設計方法 80
4.2 安全架構 82
4.3 安全設計原則 83
4.3.1 通用原則1:減少關鍵組件的數量 83
4.3.2 通用原則2:避免暴露薄弱組件和關鍵組件 88
4.3.3 通用原則3:減少攻擊者破壞的途徑 93
4.4 執行環境安全 99
4.4.1 環境等級劃分:約束和隔離機制 100
4.4.2 應用程序框架 104
第5章 基于組件的軟件工程 106
5.1 基于模塊的軟件設計 106
5.1.1 軟件模塊化 106
5.1.2 模塊化設計的安全原則 108
5.2 COTS和OSS組件的安全問題 110
5.2.1 缺乏可見性問題 110
5.2.2 軟件來源和安裝問題 111
5.2.3 安全假設的有效性 113
5.2.4 休眠代碼、死代碼和惡意代碼 113
5.3 組件的安全評估 114
5.3.1 組件的安全評估步驟 115
5.3.2 組件相關問題 117
5.4 組件的集成 117
5.5 基于組件的安全維護 118
第6章 安全編碼 119
6.1 安全編碼原則和實踐 119
6.1.1 保持代碼簡潔性 119
6.1.2 遵循安全的編碼指南 120
6.1.3 使用一致的編碼風格 121
6.1.4 保證代碼的可追溯性、可重用性和可維護性 121
6.1.5 資源分配 121
6.1.6 盡量清除狀態信息 122
6.1.7 避免未經授權的特權升級 122
6.1.8 使用一致的命名規則 122
6.1.9 謹慎使用封裝 123
6.1.10 權衡攻擊模式 124
6.1.11 輸入驗證 125
6.1.12 輸出過濾和“凈化” 129
6.1.13 避免安全沖突 129
6.1.14 代碼審查 130
6.1.15 *少反饋及檢查返回 132
6.1.16 會話管理及配置參數管理 133
6.1.17 安全啟動 134
6.1.18 并發控制 134
6.2 異常處理 135
6.2.1 異常識別及事件監視器 136
6.2.2 異常和失敗處理 137
6.2.3 核心轉儲 139
6.3 安全存儲和緩存管理 139
6.4 進程間通信 141
6.5 特定語言的安全問題 141
6.6 安全編碼和編譯工具 145
6.6.1 編譯器安全檢查和執行 145
6.6.2 安全的軟件庫 148
6.6.3 運行錯誤檢查和安全執行 148
6.6.4 代碼混淆 149
第7章 軟件安全測試 150
7.1 軟件測試和軟件安全測試 151
7.1.1 軟件測試 151
7.1.2 軟件安全測試 156
7.1.3 軟件測試和軟件安全測試的關系 163
7.2 測試計劃 164
7.2.1 測試環境和測試要求 164
7.2.2 測試時機 165
7.3 軟件安全測試技術 168
7.3.1 白盒和灰盒測試技術 168
7.3.2 黑盒測試技術 172
7.4 重要的軟件安全測試點 179
7.4.1 輸入驗證測試 179
7.4.2 緩沖區溢出測試 180
7.4.3 SQL注入缺陷控制測試 180
7.4.4 XSS腳本攻擊控制測試 181
7.4.5 抗抵賴控制測試 181
7.4.6 失效控制測試 182
7.4.7 優先權提升控制測試 183
7.5 解釋和使用測試結果 183
第8章 安全交付和維護 185
8.1 分發前的準備 185
8.2 安全分發 190
8.3 安全安裝和配置 191
8.3.1 初始化文件安全 192
8.3.2 安全假設驗證 193
8.3.3 刪除所有未使用的文件 193
8.3.4 默認賬戶及口令更改 194
8.3.5 刪除未使用的默認賬戶 194
8.3.6 執行環境“鎖定” 195
8.3.7 設置默認安裝模塊 196
8.3.8 配置應用安全策略 196
8.3.9 啟用*小用戶身份 197
8.3.10 開啟應用日志審計 197
8.3.11 數據備份 197
8.4 安全維護 197
8.4.1 漏洞管理 197
8.4.2 軟件老化 199
第9章 通用評估準則與軟件安全保障 201
9.1 通用評估準則的發展歷史 201
9.2 通用評估準則的組成和重要概念 203
9.2.1 TOE的概念 205
9.2.2 安全目標和保護輪廓 205
9.3 安全保障要求與軟件安全保障 206
附錄A 術語定義 208
參考文獻 216
展開全部
軟件安全保障體系架構 作者簡介
楊元原,公安部第三研究所副研究員,2011年畢業于西安電子科技大學密碼學專業,博士。長期從事信息安全領域的科研、測評工作,通用評估準則團隊負責人。曾負責/核心參與編制信息安全相關國家/行業標準10余項,發表SCI/EI論文10余篇,授權專利多項。
書友推薦
- >
月亮與六便士
- >
【精裝繪本】畫給孩子的中國神話
- >
小考拉的故事-套裝共3冊
- >
有舍有得是人生
- >
推拿
- >
詩經-先民的歌唱
- >
名家帶你讀魯迅:故事新編
- >
新文學天穹兩巨星--魯迅與胡適/紅燭學術叢書(紅燭學術叢書)
本類暢銷
