【现货速发】软件安全保障体系架构
全新正版书籍,24小时发货,可开发票。
¥ 52.3 5.3折 ¥ 98 全新
库存4件
天津津南
认证卖家担保交易快速发货售后保障
作者杨元原 等
出版社电子工业出版社
ISBN9787121431326
出版时间2022-04
装帧平装
开本16开
定价98元
货号29394555
上书时间2024-11-27
商品详情
- 品相描述:全新
- 商品描述
-
导语摘要
本书从软件安全保障的主要思路和要点出发,详细介绍了软件安全开发生命周期过程中需要考虑的安全要素。全书共9章,主要包括:第1章 综述;第2章 软件安全保障概念;第3章 安全需求和威胁建模;第4章 安全设计原则;第5章 基于组件的软件工程;第6章 安全编码;第7章 软件安全测试;第8章 安全交付和维护;第9章 通用评估准则与软件安全保障等内容。
作者简介
杨元原,公安部第三研究所副研究员,2011年毕业于西安电子科技大学密码学专业,博士。长期从事信息安全领域的科研、测评工作,通用评估准则团队负责人。曾负责/核心参与编制信息安全相关国家/行业标准10余项,发表SCI/EI论文10余篇,授权专利多项。
目录
第1章 综述1
1.1 编写背景1
1.2 编写目的4
1.3 本书结构5
第2章 软件安全保障概念7
2.1 软件工程7
2.1.1 软件工程概述7
2.1.2 软件工程基本原理9
2.1.3 软件工程的特点11
2.1.4 软件生命周期及生命周期模型12
2.2 软件质量和软件质量保障17
2.2.1 软件质量17
2.2.2 软件质量保障19
2.3 软件安全21
2.3.1 信息与信息安全21
2.3.2 软件安全概述26
2.3.3 安全功能软件与安全软件29
2.3.4 软件安全与硬件安全30
2.3.5 信息系统安全与软件安全31
2.4 软件安全保障33
2.5 影响软件安全的要素34
2.6 软件面临的威胁39
2.6.1 软件漏洞的发掘40
2.6.2 造成软件漏洞的原因43
2.6.3 漏洞避免与安全性45
2.6.4 通用软件漏洞数据库46
第3章 安全需求和威胁建模48
3.1 需求的定义与分类48
3.1.1 软件需求48
3.1.2 软件需求分类50
3.1.3 软件安全需求52
3.2 否定性和非功能性安全需求53
3.3 安全需求的来源55
3.4 安全需求的验证57
3.5 安全建模方法58
3.5.1 软件安全建模58
3.5.2 威胁建模60
第4章 安全设计原则78
4.1 安全设计思想和方法78
4.1.1 安全设计思想78
4.1.2 安全设计方法80
4.2 安全架构82
4.3 安全设计原则83
4.3.1 通用原则1:减少关键组件的数量83
4.3.2 通用原则2:避免暴露薄弱组件和关键组件88
4.3.3 通用原则3:减少攻击者破坏的途径93
4.4 执行环境安全99
4.4.1 环境等级划分:约束和隔离机制100
4.4.2 应用程序框架104
第5章 基于组件的软件工程106
5.1 基于模块的软件设计106
5.1.1 软件模块化106
5.1.2 模块化设计的安全原则108
5.2 COTS和OSS组件的安全问题110
5.2.1 缺乏可见性问题110
5.2.2 软件来源和安装问题111
5.2.3 安全假设的有效性113
5.2.4 休眠代码、死代码和恶意代码113
5.3 组件的安全评估114
5.3.1 组件的安全评估步骤115
5.3.2 组件相关问题117
5.4 组件的集成117
5.5 基于组件的安全维护118
第6章 安全编码119
6.1 安全编码原则和实践119
6.1.1 保持代码简洁性119
6.1.2 遵循安全的编码指南120
6.1.3 使用一致的编码风格121
6.1.4 保证代码的可追溯性、可重用性和可维护性121
6.1.5 资源分配121
6.1.6 尽量清除状态信息122
6.1.7 避免未经授权的特权升级122
6.1.8 使用一致的命名规则122
6.1.9 谨慎使用封装123
6.1.10 权衡攻击模式124
6.1.11 输入验证125
6.1.12 输出过滤和“净化”129
6.1.13 避免安全冲突129
6.1.14 代码审查130
6.1.15 少反馈及检查返回132
6.1.16 会话管理及配置参数管理133
6.1.17 安全启动134
6.1.18 并发控制134
6.2 异常处理135
6.2.1 异常识别及事件监视器136
6.2.2 异常和失败处理137
6.2.3 核心转储139
6.3 安全存储和缓存管理139
6.4 进程间通信141
6.5 特定语言的安全问题141
6.6 安全编码和编译工具145
6.6.1 编译器安全检查和执行145
6.6.2 安全的软件库148
6.6.3 运行错误检查和安全执行148
6.6.4 代码混淆149
第7章 软件安全测试150
7.1 软件测试和软件安全测试151
7.1.1 软件测试151
7.1.2 软件安全测试156
7.1.3 软件测试和软件安全测试的关系163
7.2 测试计划164
7.2.1 测试环境和测试要求164
7.2.2 测试时机165
7.3 软件安全测试技术168
7.3.1 白盒和灰盒测试技术168
7.3.2 黑盒测试技术172
7.4 重要的软件安全测试点179
7.4.1 输入验证测试179
7.4.2 缓冲区溢出测试180
7.4.3 SQL注入缺陷控制测试180
7.4.4 XSS脚本攻击控制测试181
7.4.5 抗抵赖控制测试181
7.4.6 失效控制测试182
7.4.7 优先权提升控制测试183
7.5 解释和使用测试结果183
第8章 安全交付和维护185
8.1 分发前的准备185
8.2 安全分发190
8.3 安全安装和配置191
8.3.1 初始化文件安全192
8.3.2 安全假设验证193
8.3.3 删除所有未使用的文件193
8.3.4 默认账户及口令更改194
8.3.5 删除未使用的默认账户194
8.3.6 执行环境“锁定”195
8.3.7 设置默认安装模块196
8.3.8 配置应用安全策略196
8.3.9 启用小用户身份197
8.3.10 开启应用日志审计197
8.3.11 数据备份197
8.4 安全维护197
8.4.1 漏洞管理197
8.4.2 软件老化199
第9章 通用评估准则与软件安全保障201
9.1 通用评估准则的发展历史201
9.2 通用评估准则的组成和重要概念203
9.2.1 TOE的概念205
9.2.2 安全目标和保护轮廓205
9.3 安全保障要求与软件安全保障206
附录A 术语定义208
参考文献216
内容摘要
本书从软件安全保障的主要思路和要点出发,详细介绍了软件安全开发生命周期过程中需要考虑的安全要素。全书共9章,主要包括:第1章 综述;第2章 软件安全保障概念;第3章 安全需求和威胁建模;第4章 安全设计原则;第5章 基于组件的软件工程;第6章 安全编码;第7章 软件安全测试;第8章 安全交付和维护;第9章 通用评估准则与软件安全保障等内容。
主编推荐
杨元原,公安部第三研究所副研究员,2011年毕业于西安电子科技大学密码学专业,博士。长期从事信息安全领域的科研、测评工作,通用评估准则团队负责人。曾负责/核心参与编制信息安全相关国家/行业标准10余项,发表SCI/EI论文10余篇,授权专利多项。
— 没有更多了 —
以下为对购买帮助不大的评价