高等院校密碼信息安全類專業(yè)系列教材:軟件安全
定 價(jià):30 元
- 作者:任偉 著
- 出版時(shí)間:2010/7/1
- ISBN:9787118069037
- 出 版 社:國(guó)防工業(yè)出版社
- 中圖法分類:TP311.52
- 頁(yè)碼:217
- 紙張:膠版紙
- 版次:1
- 開本:16開
軟件安全概述、預(yù)備知識(shí)(介紹了Windows API編程簡(jiǎn)介、Win32匯編語(yǔ)言程序設(shè)計(jì)、PE文件格式布局及其裝載的相關(guān)背景知識(shí))、軟件缺陷和漏洞、惡意代碼分析、安全軟件開發(fā)生命周期、軟件體系安全分析、軟件安全需求分析、安全編碼、軟件安全測(cè)試、軟件保護(hù)以及軟件安全的國(guó)際研究現(xiàn)狀。
每章都給出小結(jié)歸納全章的內(nèi)容,便于復(fù)習(xí)。每個(gè)章節(jié)都有擴(kuò)展閱讀的建議和參考文獻(xiàn),指導(dǎo)進(jìn)一步的課外自主學(xué)習(xí)。每個(gè)章節(jié)還配備了習(xí)題可供讀者自測(cè)和引申思考。部分打*號(hào)的內(nèi)容具有一定深度,可以選學(xué)。本教材各部分內(nèi)容既相互聯(lián)系又相對(duì)獨(dú)立,可依據(jù)教學(xué)對(duì)象的特點(diǎn)組織編排,方便讀者根據(jù)需要進(jìn)行選擇。
《軟件安全》可作為大學(xué)本科相關(guān)課程的教材,內(nèi)容實(shí)用,也可供廣大信息安全從業(yè)人員和愛好者自學(xué)之用!盾浖踩愤有配套的書籍網(wǎng)站,提供電子版、教案(課件)以及相關(guān)參考文獻(xiàn)的下載。
信息系統(tǒng)所面臨的各種安全威脅日益突出,信息安全問題已成為涉及國(guó)家政治、軍事、經(jīng)濟(jì)和文教等諸多領(lǐng)域的戰(zhàn)略安全問題。我國(guó)政府對(duì)網(wǎng)絡(luò)與信息安全問題高度重視,國(guó)辦印發(fā)的文件《關(guān)于網(wǎng)絡(luò)信任體系建設(shè)的若干意見》明確指出了要特別重視網(wǎng)絡(luò)安全的6方面內(nèi)容;中辦、國(guó)辦印發(fā)的《國(guó)家2006年至2020年長(zhǎng)期科學(xué)發(fā)展規(guī)劃》中也突出了對(duì)各種網(wǎng)絡(luò)安全問題的關(guān)注,將建設(shè)國(guó)家信息安全保障體系列為我國(guó)信息化發(fā)展的戰(zhàn)略重點(diǎn);國(guó)家“十一五”計(jì)劃中也包含了提升國(guó)家信息安全保障服務(wù)能力的戰(zhàn)略要求。西方發(fā)達(dá)國(guó)家紛紛制訂了本國(guó)的網(wǎng)絡(luò)與信息安全戰(zhàn)略。比如,美國(guó)奧巴馬政府正在采取措施加強(qiáng)美國(guó)網(wǎng)絡(luò)戰(zhàn)的備戰(zhàn)能力,其中一項(xiàng)措施是創(chuàng)建網(wǎng)絡(luò)戰(zhàn)司令部,這表明美國(guó)的網(wǎng)絡(luò)與信息安全戰(zhàn)略已經(jīng)由克林頓時(shí)代的“全面防御”、布什時(shí)代的“攻防結(jié)合”,轉(zhuǎn)到奧巴馬時(shí)代的“攻擊為主,網(wǎng)絡(luò)威懾”。
當(dāng)前,制約我國(guó)網(wǎng)絡(luò)與信息安全事業(yè)發(fā)展的瓶頸之一就是人才極度匱乏,為此,教育部從2001年起,陸續(xù)批準(zhǔn)了包括北京郵電大學(xué)在內(nèi)的近百所各類高校開設(shè)信息安全本科專業(yè)。但是,畢竟與其他經(jīng)典的本科專業(yè)相比,信息安全本科專業(yè)的建設(shè)問題還面臨許多挑戰(zhàn),需要全國(guó)同行共同努力,早日探索出一條辦好信息安全專業(yè)的捷徑。可喜的是,現(xiàn)在國(guó)內(nèi)若干高校的教授團(tuán)隊(duì)都紛紛行動(dòng)起來,各盡所能在信息安全本科專業(yè)建設(shè)方面取得了不少業(yè)績(jī)。比如,靈創(chuàng)團(tuán)隊(duì)就是眾多熱心于信息安全本科專業(yè)建設(shè)的創(chuàng)新團(tuán)隊(duì),該團(tuán)隊(duì)中的“信息安全教學(xué)團(tuán)隊(duì)”被教育部和財(cái)政部批準(zhǔn)為“2009年度國(guó)家級(jí)教學(xué)團(tuán)隊(duì)”;其完成的成果“信息安全專業(yè)規(guī)范研究與專業(yè)體系建設(shè)”獲得了國(guó)家級(jí)教學(xué)成果獎(jiǎng)二等獎(jiǎng);其帶頭人也被評(píng)為“國(guó)家級(jí)教學(xué)名師”并受到了胡錦濤等黨和國(guó)家領(lǐng)導(dǎo)人的接見。希望國(guó)內(nèi)能夠有更多的類似教學(xué)團(tuán)隊(duì)投身于信息安全本科專業(yè)建設(shè)。
由于教材建設(shè)是信息安全專業(yè)建設(shè)的重點(diǎn)和難點(diǎn)之一,中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)自成立以來就一直致力于推進(jìn)密碼學(xué)與信息安全方面的教學(xué)和教材建設(shè),比如,與國(guó)防工業(yè)出版社聯(lián)合主辦了“密碼學(xué)與信息安全教學(xué)研討會(huì)”等一系列研討活動(dòng),并成立“普通高等教育本科密碼信息安全類系列教材”編審委員會(huì)來組織策劃相關(guān)系列教材。編審委員會(huì)在充分研究信息安全本科專業(yè)規(guī)范的基礎(chǔ)上,經(jīng)過細(xì)致研究,多次反復(fù)討論,規(guī)劃了與信息安全本科專業(yè)規(guī)范相配套的本系列教材。
第1章 軟件安全概述
1.1 軟件的概念
1.1.1 軟件的定義
1.1.2 軟件的分類
1.2 軟件安全的概念
1.3 軟件安全的知識(shí)體系
1.4 軟件安全與其他相關(guān)領(lǐng)域的關(guān)系
1.4.1 軟件工程
1.4.2 軟件保證
1.4.3 軟件質(zhì)量
1.4.4 軟件可靠性
1.4.5 軟件容錯(cuò)
1.4.6 應(yīng)用安全
1.5 專有名稱及定義
1.6 軟件安全工具簡(jiǎn)介
1.6.1 反匯編器
1.6.2 調(diào)試器
1.6.3 反編譯器
1.6.4 系統(tǒng)監(jiān)控工具
1.6.5 修補(bǔ)和轉(zhuǎn)儲(chǔ)工具
小結(jié)
參考文獻(xiàn)
習(xí)題
第2章 預(yù)備知識(shí)
2.1 Windows API編程簡(jiǎn)介
2.1.1 Windows應(yīng)用程序的組成
2.1.2 Windows API
2.1.3 Windows編程的基本概念
2.1.4 Win32數(shù)據(jù)類型、句柄、命名法
2.1.5 函數(shù)指針
2.1.6 消息結(jié)構(gòu)、類型與機(jī)制
2.2 Win32匯編語(yǔ)言程序設(shè)計(jì)簡(jiǎn)介
2.2.1 80x86處理器寄存器
2.2.2 IA-32指令系統(tǒng)
2.2.3 win32匯編程序舉例
2.2.4 函數(shù)調(diào)用時(shí)棧的變化
2.3 PE文件格式布局及其裝載
2.3.1 PE文件結(jié)構(gòu)布局
2.3.2 PE文件中的地址概念
2.3.3 PE文件內(nèi)存映射方法
2.3.4 載入并執(zhí)行PE文件的過程
2.3.5 PE文件執(zhí)行時(shí)的內(nèi)存布局
小結(jié)
參考文獻(xiàn)
習(xí)題
第3章 軟件缺陷和漏洞
3.1 缺陷和漏洞簡(jiǎn)介
3.1.1 缺陷和漏洞的定義
3.1.2 軟件缺陷存在的原因
3.1.3 軟件安全漏洞存在的原因
3.2 軟件漏洞產(chǎn)生的機(jī)理
3.2.1 棧溢出漏洞
3.2.2 堆溢出漏洞
3.2.3 格式化串漏洞
3.2.4 SQL注入漏洞
3.3 漏洞的分類
小結(jié)
參考文獻(xiàn)
擴(kuò)展閱讀建議
習(xí)題
研究參考題
第4章 惡意代碼分析
4.1 惡意軟件的分類和區(qū)別
4.2 病毒的機(jī)理與防治
4.2.1 病毒的定義
4.2.2 病毒的分類
4.2.3 文件型病毒的感染技術(shù)
4.2.4 病毒的檢測(cè)
4.3 蠕蟲的機(jī)理與防治
4.3.1 蠕蟲和病毒的區(qū)別及聯(lián)系
4.3.2 蠕蟲的分類
4.3.3 蠕蟲與軟件漏洞的關(guān)系
4.3.4 蠕蟲的基本結(jié)構(gòu)
4.3.5 蠕蟲的工作方式
4.3.6 蠕蟲技術(shù)的發(fā)展
4.3.7 蠕蟲的防治與檢測(cè)
4.4 木馬的機(jī)理與防治
4.4.1 木馬的定義
4.4.2 木馬的結(jié)構(gòu)
4.4.3 木馬實(shí)施網(wǎng)絡(luò)入侵的基本步驟
4.4.4 木馬的基本原理
4.4.5 木馬的傳播方式
4.5 其他惡意代碼的機(jī)理
4.5.1 移動(dòng)代碼
4.5.2 一告軟件和間諜軟件
4.5.3 粘人軟件
4.5.4 網(wǎng)頁(yè)惡意腳本程序
4.5.5 即時(shí)通信病毒
4.5.6 手機(jī)病毒
4.5.7 宏病毒
4.6 惡意代碼分析技術(shù)
4.6.1 分析前的準(zhǔn)備
4.6.2 分析過程(脫殼與動(dòng)態(tài)分析)
小結(jié)
參考文獻(xiàn)
擴(kuò)展閱讀建議
習(xí)題
研究思考題
第5章 安全軟件開發(fā)生命周期
5.1 軟件開發(fā)生命周期概述
5.1.1 軟件過程
5.1.2 軟件生存周期
5.2 傳統(tǒng)軟件開發(fā)生命周期
5.3 安全軟件開發(fā)生命周期
5.4 其他安全軟件開發(fā)生命周期模型
5.4.1 微軟可信計(jì)算安全開發(fā)生命周期
5.4.2 安全軟件開發(fā)的小組軟件過程
5.4.3 安全敏捷開發(fā)
5.4.4 軟件可信成熟度模型
5.4.5 軟件安全框架
5.4.6 BSI成熟模型
小結(jié)
參考文獻(xiàn)
擴(kuò)展閱讀建議
習(xí)題
研究思考題
第6章 軟件體系安全分析
6.1 風(fēng)險(xiǎn)分析簡(jiǎn)介
6.2 基于標(biāo)準(zhǔn)的風(fēng)險(xiǎn)分析
6.2.1 NIST ASSET
6.2.2 CMU SEI的OCTAVE
6.2.3 信息系統(tǒng)審核與控制協(xié)會(huì)的COBIT
6.3 STRIDE模型
6.3.1 STRIDE威脅模型
6.3.2 威脅建模的過程
小結(jié)
參考文獻(xiàn)
習(xí)題
第7章 軟件安全需求分析
7.1 安全規(guī)則與規(guī)章 簡(jiǎn)介
7.1.1 OWASF的WASS
7.1.2 HIPPA
7.1.3 FISMA
7.2 軟件安全原則
7.3 軟件安全相關(guān)標(biāo)準(zhǔn)
7.4 安全需求工程
7.4.1 安全需求的基本概念
7.4.2 安全需求分析
7.4.3 安全需求工程工具
7.4.4 基于濫用和誤用案例的安全需求
小結(jié)
參考文獻(xiàn)
習(xí)題
研究思考題
第8章 安全編碼
8.1 安全編碼原則
8.1.1 CERT安全編碼建議
8.1.2 CERT C語(yǔ)言的安全編碼標(biāo)準(zhǔn)
8.1.3 避免緩沖區(qū)溢出
……
第9章 軟件安全測(cè)試
第10章 軟件保護(hù)
第11章 軟件安全的國(guó)際研究現(xiàn)狀
后記
本章從軟件的概念開始介紹,引出軟件安全的概念,并通過軟件安全威脅的現(xiàn)狀指明軟件安全的重要性和應(yīng)用價(jià)值,然后簡(jiǎn)介軟件安全的知識(shí)體系,最后區(qū)分軟件安全和其他相關(guān)領(lǐng)域的關(guān)系。
1.1 軟件的概念
1.1.1 軟件的定義
1983年IEEE為軟件下的定義是:計(jì)算機(jī)程序、方法、規(guī)則和相關(guān)的文檔資料以及在計(jì)算機(jī)上運(yùn)行時(shí)所需的數(shù)據(jù)。目前對(duì)軟件通俗的解釋為:
軟件=程序+數(shù)據(jù)+文檔資料
其中,程序是完成特定功能和滿足性能要求的指令序列;數(shù)據(jù)是程序運(yùn)行的基礎(chǔ)和操作的對(duì)象;文檔資料是與程序開發(fā)、維護(hù)和使用有關(guān)的圖文資料。
1.1.2 軟件的分類
對(duì)軟件的類型進(jìn)行必要的劃分,根據(jù)不同類型的工程對(duì)象采用不同的安全方法是很有價(jià)值的,因此有必要從不同的角度討論計(jì)算機(jī)軟件的分類情況。
1.按軟件的功能分類
按軟件的功能進(jìn)行劃分,軟件可分為系統(tǒng)軟件、支撐軟件和應(yīng)用軟件三類,它們有如下的特點(diǎn)。
1)系統(tǒng)軟件
系統(tǒng)軟件是計(jì)算機(jī)運(yùn)行的必不可少的組成部分,它與計(jì)算機(jī)硬件緊密配合,控制并協(xié)調(diào)計(jì)算機(jī)系統(tǒng)各個(gè)部件、相關(guān)的軟件和數(shù)據(jù)高效地工作。例如,操作系統(tǒng)、設(shè)備驅(qū)動(dòng)程序以及通信處理程序等。
2)支撐軟件
支撐軟件是協(xié)助用戶開發(fā)軟件的工具性軟件,其中包括幫助程序人員開發(fā)軟件產(chǎn)品的工具,也包括幫助管理人員控制開發(fā)進(jìn)程的工具。例如,支持需求分析,支持設(shè)計(jì),支持編碼,支持測(cè)試等。
3)應(yīng)用軟件
應(yīng)用軟件是指在特定領(lǐng)域內(nèi)開發(fā),為特定目的服務(wù)的軟件。目前,計(jì)算機(jī)已經(jīng)成為大多數(shù)日常工作的必需工具,在很多應(yīng)用領(lǐng)域都需要專門的軟件支持,在這些種類繁多的應(yīng)用軟件中,商業(yè)數(shù)據(jù)處理軟件所占比例最大,此外還有工程與科學(xué)計(jì)算軟件、系統(tǒng)仿真軟件、人工智能軟件及各類辦公自動(dòng)化軟件和信息處理軟件等。