《軟件安全》課件第1章-軟件安全概述

軟件安全Part章節(jié)01軟件安全概述軟件，一系列按照特定順序組織的計(jì)算機(jī)數(shù)據(jù)和指令的集合。主要?jiǎng)澐譃槿箢悾合到y(tǒng)軟件為計(jì)算機(jī)使用提供最基本的功能應(yīng)用軟件是為了某種特定的用途而被開發(fā)的軟件微軟的Office軟件數(shù)據(jù)庫管理系統(tǒng)支撐軟件是協(xié)助用戶開發(fā)軟件的工具性軟件java開發(fā)中的jdk套件軟件安全：采用工程的方法使得軟件在敵對(duì)攻擊的情況下仍能夠繼續(xù)正常工作。軟件安全威脅來自于兩個(gè)方面：軟件自身：軟件具有的漏洞和缺陷會(huì)被不法分子利用外界：黑客通過編寫惡意代碼并誘導(dǎo)用戶安轉(zhuǎn)運(yùn)行1.1軟件與軟件安全1.2軟件安全威脅軟件開發(fā)中的不同階段，會(huì)遇到不同的安全威脅軟件代碼編寫階段

敏感信息暴露等

例如：將應(yīng)用的敏感信息不加密就寫在發(fā)布版本中易于被黑客讀取的文件中軟件編譯階段

編譯方式固有漏洞

例如：Android開發(fā)中最終編譯生成的smail格式文件存在固有的代碼注入風(fēng)險(xiǎn)軟件簽名發(fā)布階段

簽名繞過威脅等

例如：在Android開發(fā)中舊版本的簽名方式因?yàn)槲茨軐?duì)所有軟件文件進(jìn)行校驗(yàn)，導(dǎo)致黑客可以通過修改未被校驗(yàn)到的文件使惡意dex文件注入1.2軟件安全威脅來源：CNCERT/CC在漏洞方面，2016年，國家信息安全漏洞共享平臺(tái)（CNVD）共收錄通用軟硬件漏洞10822個(gè)，較2015年增長33.9%。2016年約9.7萬個(gè)木馬和僵尸網(wǎng)絡(luò)控制服務(wù)器控制了我國境內(nèi)1699萬余臺(tái)主機(jī)。1.2軟件安全威脅來源：CNCERT/CC2016年在傳統(tǒng)PC端，捕獲敲詐勒索類惡意程序樣本約1.9萬個(gè)，勒索軟件已逐漸由針對(duì)個(gè)人終端設(shè)備延伸道企業(yè)用戶1.2軟件安全威脅個(gè)人終端設(shè)備企業(yè)用戶勒索軟件勒索軟件勒索軟件勒索軟件個(gè)人終端設(shè)備企業(yè)用戶勒索軟件勒索軟件勒索軟件勒索軟件

1.2軟件安全威脅來源：CNCERT/CC互聯(lián)網(wǎng)惡意程序下載鏈接近67萬條，較2015年增長近1.2倍，涉及的傳播源域名22萬余個(gè)，IP地址3萬余個(gè)，惡意程序傳播次數(shù)達(dá)1.24億次。數(shù)據(jù)泄露威脅日益加?。好绹筮x候選人希拉里的郵件泄露，直接影響到美國大選的進(jìn)程2016年我國免疫規(guī)劃系統(tǒng)網(wǎng)絡(luò)被惡意入侵，20萬兒童信息被竊取并在網(wǎng)上公開售賣對(duì)Mirai僵尸網(wǎng)絡(luò)進(jìn)行抽樣監(jiān)測：截至2016年年底，共發(fā)現(xiàn)2526臺(tái)控制服務(wù)器控制