高等院校密碼信息安全類專業(yè)系列教材:軟件安全
定 價:30 元
- 作者:任偉 著
- 出版時間:2010/7/1
- ISBN:9787118069037
- 出 版 社:國防工業(yè)出版社
- 中圖法分類:TP311.52
- 頁碼:217
- 紙張:膠版紙
- 版次:1
- 開本:16開
軟件安全概述、預(yù)備知識(介紹了Windows API編程簡介、Win32匯編語言程序設(shè)計、PE文件格式布局及其裝載的相關(guān)背景知識)、軟件缺陷和漏洞、惡意代碼分析、安全軟件開發(fā)生命周期、軟件體系安全分析、軟件安全需求分析、安全編碼、軟件安全測試、軟件保護(hù)以及軟件安全的國際研究現(xiàn)狀。
每章都給出小結(jié)歸納全章的內(nèi)容,便于復(fù)習(xí)。每個章節(jié)都有擴(kuò)展閱讀的建議和參考文獻(xiàn),指導(dǎo)進(jìn)一步的課外自主學(xué)習(xí)。每個章節(jié)還配備了習(xí)題可供讀者自測和引申思考。部分打*號的內(nèi)容具有一定深度,可以選學(xué)。本教材各部分內(nèi)容既相互聯(lián)系又相對獨立,可依據(jù)教學(xué)對象的特點組織編排,方便讀者根據(jù)需要進(jìn)行選擇。
《軟件安全》可作為大學(xué)本科相關(guān)課程的教材,內(nèi)容實用,也可供廣大信息安全從業(yè)人員和愛好者自學(xué)之用!盾浖踩愤有配套的書籍網(wǎng)站,提供電子版、教案(課件)以及相關(guān)參考文獻(xiàn)的下載。
信息系統(tǒng)所面臨的各種安全威脅日益突出,信息安全問題已成為涉及國家政治、軍事、經(jīng)濟(jì)和文教等諸多領(lǐng)域的戰(zhàn)略安全問題。我國政府對網(wǎng)絡(luò)與信息安全問題高度重視,國辦印發(fā)的文件《關(guān)于網(wǎng)絡(luò)信任體系建設(shè)的若干意見》明確指出了要特別重視網(wǎng)絡(luò)安全的6方面內(nèi)容;中辦、國辦印發(fā)的《國家2006年至2020年長期科學(xué)發(fā)展規(guī)劃》中也突出了對各種網(wǎng)絡(luò)安全問題的關(guān)注,將建設(shè)國家信息安全保障體系列為我國信息化發(fā)展的戰(zhàn)略重點;國家“十一五”計劃中也包含了提升國家信息安全保障服務(wù)能力的戰(zhàn)略要求。西方發(fā)達(dá)國家紛紛制訂了本國的網(wǎng)絡(luò)與信息安全戰(zhàn)略。比如,美國奧巴馬政府正在采取措施加強(qiáng)美國網(wǎng)絡(luò)戰(zhàn)的備戰(zhàn)能力,其中一項措施是創(chuàng)建網(wǎng)絡(luò)戰(zhàn)司令部,這表明美國的網(wǎng)絡(luò)與信息安全戰(zhàn)略已經(jīng)由克林頓時代的“全面防御”、布什時代的“攻防結(jié)合”,轉(zhuǎn)到奧巴馬時代的“攻擊為主,網(wǎng)絡(luò)威懾”。
當(dāng)前,制約我國網(wǎng)絡(luò)與信息安全事業(yè)發(fā)展的瓶頸之一就是人才極度匱乏,為此,教育部從2001年起,陸續(xù)批準(zhǔn)了包括北京郵電大學(xué)在內(nèi)的近百所各類高校開設(shè)信息安全本科專業(yè)。但是,畢竟與其他經(jīng)典的本科專業(yè)相比,信息安全本科專業(yè)的建設(shè)問題還面臨許多挑戰(zhàn),需要全國同行共同努力,早日探索出一條辦好信息安全專業(yè)的捷徑?上驳氖,現(xiàn)在國內(nèi)若干高校的教授團(tuán)隊都紛紛行動起來,各盡所能在信息安全本科專業(yè)建設(shè)方面取得了不少業(yè)績。比如,靈創(chuàng)團(tuán)隊就是眾多熱心于信息安全本科專業(yè)建設(shè)的創(chuàng)新團(tuán)隊,該團(tuán)隊中的“信息安全教學(xué)團(tuán)隊”被教育部和財政部批準(zhǔn)為“2009年度國家級教學(xué)團(tuán)隊”;其完成的成果“信息安全專業(yè)規(guī)范研究與專業(yè)體系建設(shè)”獲得了國家級教學(xué)成果獎二等獎;其帶頭人也被評為“國家級教學(xué)名師”并受到了胡錦濤等黨和國家領(lǐng)導(dǎo)人的接見。希望國內(nèi)能夠有更多的類似教學(xué)團(tuán)隊投身于信息安全本科專業(yè)建設(shè)。
由于教材建設(shè)是信息安全專業(yè)建設(shè)的重點和難點之一,中國密碼學(xué)會教育工作委員會自成立以來就一直致力于推進(jìn)密碼學(xué)與信息安全方面的教學(xué)和教材建設(shè),比如,與國防工業(yè)出版社聯(lián)合主辦了“密碼學(xué)與信息安全教學(xué)研討會”等一系列研討活動,并成立“普通高等教育本科密碼信息安全類系列教材”編審委員會來組織策劃相關(guān)系列教材。編審委員會在充分研究信息安全本科專業(yè)規(guī)范的基礎(chǔ)上,經(jīng)過細(xì)致研究,多次反復(fù)討論,規(guī)劃了與信息安全本科專業(yè)規(guī)范相配套的本系列教材。
第1章 軟件安全概述
1.1 軟件的概念
1.1.1 軟件的定義
1.1.2 軟件的分類
1.2 軟件安全的概念
1.3 軟件安全的知識體系
1.4 軟件安全與其他相關(guān)領(lǐng)域的關(guān)系
1.4.1 軟件工程
1.4.2 軟件保證
1.4.3 軟件質(zhì)量
1.4.4 軟件可靠性
1.4.5 軟件容錯
1.4.6 應(yīng)用安全
1.5 專有名稱及定義
1.6 軟件安全工具簡介
1.6.1 反匯編器
1.6.2 調(diào)試器
1.6.3 反編譯器
1.6.4 系統(tǒng)監(jiān)控工具
1.6.5 修補(bǔ)和轉(zhuǎn)儲工具
小結(jié)
參考文獻(xiàn)
習(xí)題
第2章 預(yù)備知識
2.1 Windows API編程簡介
2.1.1 Windows應(yīng)用程序的組成
2.1.2 Windows API
2.1.3 Windows編程的基本概念
2.1.4 Win32數(shù)據(jù)類型、句柄、命名法
2.1.5 函數(shù)指針
2.1.6 消息結(jié)構(gòu)、類型與機(jī)制
2.2 Win32匯編語言程序設(shè)計簡介
2.2.1 80x86處理器寄存器
2.2.2 IA-32指令系統(tǒng)
2.2.3 win32匯編程序舉例
2.2.4 函數(shù)調(diào)用時棧的變化
2.3 PE文件格式布局及其裝載
2.3.1 PE文件結(jié)構(gòu)布局
2.3.2 PE文件中的地址概念
2.3.3 PE文件內(nèi)存映射方法
2.3.4 載入并執(zhí)行PE文件的過程
2.3.5 PE文件執(zhí)行時的內(nèi)存布局
小結(jié)
參考文獻(xiàn)
習(xí)題
第3章 軟件缺陷和漏洞
3.1 缺陷和漏洞簡介
3.1.1 缺陷和漏洞的定義
3.1.2 軟件缺陷存在的原因
3.1.3 軟件安全漏洞存在的原因
3.2 軟件漏洞產(chǎn)生的機(jī)理
3.2.1 棧溢出漏洞
3.2.2 堆溢出漏洞
3.2.3 格式化串漏洞
3.2.4 SQL注入漏洞
3.3 漏洞的分類
小結(jié)
參考文獻(xiàn)
擴(kuò)展閱讀建議
習(xí)題
研究參考題
第4章 惡意代碼分析
4.1 惡意軟件的分類和區(qū)別
4.2 病毒的機(jī)理與防治
4.2.1 病毒的定義
4.2.2 病毒的分類
4.2.3 文件型病毒的感染技術(shù)
4.2.4 病毒的檢測
4.3 蠕蟲的機(jī)理與防治
4.3.1 蠕蟲和病毒的區(qū)別及聯(lián)系
4.3.2 蠕蟲的分類
4.3.3 蠕蟲與軟件漏洞的關(guān)系
4.3.4 蠕蟲的基本結(jié)構(gòu)
4.3.5 蠕蟲的工作方式
4.3.6 蠕蟲技術(shù)的發(fā)展
4.3.7 蠕蟲的防治與檢測
4.4 木馬的機(jī)理與防治
4.4.1 木馬的定義
4.4.2 木馬的結(jié)構(gòu)
4.4.3 木馬實施網(wǎng)絡(luò)入侵的基本步驟
4.4.4 木馬的基本原理
4.4.5 木馬的傳播方式
4.5 其他惡意代碼的機(jī)理
4.5.1 移動代碼
4.5.2 一告軟件和間諜軟件
4.5.3 粘人軟件
4.5.4 網(wǎng)頁惡意腳本程序
4.5.5 即時通信病毒
4.5.6 手機(jī)病毒
4.5.7 宏病毒
4.6 惡意代碼分析技術(shù)
4.6.1 分析前的準(zhǔn)備
4.6.2 分析過程(脫殼與動態(tài)分析)
小結(jié)
參考文獻(xiàn)
擴(kuò)展閱讀建議
習(xí)題
研究思考題
第5章 安全軟件開發(fā)生命周期
5.1 軟件開發(fā)生命周期概述
5.1.1 軟件過程
5.1.2 軟件生存周期
5.2 傳統(tǒng)軟件開發(fā)生命周期
5.3 安全軟件開發(fā)生命周期
5.4 其他安全軟件開發(fā)生命周期模型
5.4.1 微軟可信計算安全開發(fā)生命周期
5.4.2 安全軟件開發(fā)的小組軟件過程
5.4.3 安全敏捷開發(fā)
5.4.4 軟件可信成熟度模型
5.4.5 軟件安全框架
5.4.6 BSI成熟模型
小結(jié)
參考文獻(xiàn)
擴(kuò)展閱讀建議
習(xí)題
研究思考題
第6章 軟件體系安全分析
6.1 風(fēng)險分析簡介
6.2 基于標(biāo)準(zhǔn)的風(fēng)險分析
6.2.1 NIST ASSET
6.2.2 CMU SEI的OCTAVE
6.2.3 信息系統(tǒng)審核與控制協(xié)會的COBIT
6.3 STRIDE模型
6.3.1 STRIDE威脅模型
6.3.2 威脅建模的過程
小結(jié)
參考文獻(xiàn)
習(xí)題
第7章 軟件安全需求分析
7.1 安全規(guī)則與規(guī)章 簡介
7.1.1 OWASF的WASS
7.1.2 HIPPA
7.1.3 FISMA
7.2 軟件安全原則
7.3 軟件安全相關(guān)標(biāo)準(zhǔn)
7.4 安全需求工程
7.4.1 安全需求的基本概念
7.4.2 安全需求分析
7.4.3 安全需求工程工具
7.4.4 基于濫用和誤用案例的安全需求
小結(jié)
參考文獻(xiàn)
習(xí)題
研究思考題
第8章 安全編碼
8.1 安全編碼原則
8.1.1 CERT安全編碼建議
8.1.2 CERT C語言的安全編碼標(biāo)準(zhǔn)
8.1.3 避免緩沖區(qū)溢出
……
第9章 軟件安全測試
第10章 軟件保護(hù)
第11章 軟件安全的國際研究現(xiàn)狀
后記
本章從軟件的概念開始介紹,引出軟件安全的概念,并通過軟件安全威脅的現(xiàn)狀指明軟件安全的重要性和應(yīng)用價值,然后簡介軟件安全的知識體系,最后區(qū)分軟件安全和其他相關(guān)領(lǐng)域的關(guān)系。
1.1 軟件的概念
1.1.1 軟件的定義
1983年IEEE為軟件下的定義是:計算機(jī)程序、方法、規(guī)則和相關(guān)的文檔資料以及在計算機(jī)上運行時所需的數(shù)據(jù)。目前對軟件通俗的解釋為:
軟件=程序+數(shù)據(jù)+文檔資料
其中,程序是完成特定功能和滿足性能要求的指令序列;數(shù)據(jù)是程序運行的基礎(chǔ)和操作的對象;文檔資料是與程序開發(fā)、維護(hù)和使用有關(guān)的圖文資料。
1.1.2 軟件的分類
對軟件的類型進(jìn)行必要的劃分,根據(jù)不同類型的工程對象采用不同的安全方法是很有價值的,因此有必要從不同的角度討論計算機(jī)軟件的分類情況。
1.按軟件的功能分類
按軟件的功能進(jìn)行劃分,軟件可分為系統(tǒng)軟件、支撐軟件和應(yīng)用軟件三類,它們有如下的特點。
1)系統(tǒng)軟件
系統(tǒng)軟件是計算機(jī)運行的必不可少的組成部分,它與計算機(jī)硬件緊密配合,控制并協(xié)調(diào)計算機(jī)系統(tǒng)各個部件、相關(guān)的軟件和數(shù)據(jù)高效地工作。例如,操作系統(tǒng)、設(shè)備驅(qū)動程序以及通信處理程序等。
2)支撐軟件
支撐軟件是協(xié)助用戶開發(fā)軟件的工具性軟件,其中包括幫助程序人員開發(fā)軟件產(chǎn)品的工具,也包括幫助管理人員控制開發(fā)進(jìn)程的工具。例如,支持需求分析,支持設(shè)計,支持編碼,支持測試等。
3)應(yīng)用軟件
應(yīng)用軟件是指在特定領(lǐng)域內(nèi)開發(fā),為特定目的服務(wù)的軟件。目前,計算機(jī)已經(jīng)成為大多數(shù)日常工作的必需工具,在很多應(yīng)用領(lǐng)域都需要專門的軟件支持,在這些種類繁多的應(yīng)用軟件中,商業(yè)數(shù)據(jù)處理軟件所占比例最大,此外還有工程與科學(xué)計算軟件、系統(tǒng)仿真軟件、人工智能軟件及各類辦公自動化軟件和信息處理軟件等。