计算机 类型
可以朗读 语音朗读
146千字 字数
2022-04-01 发行日期
展开全部

主编推荐语

软件安全保障原理与技术,全面介绍安全开发过程及要素。

内容简介

本书主要阐述软件安全保障相关的原理和技术,简单介绍软件安全与信息安全、硬件安全、系统安全的关系,并详细介绍软件安全开发生命周期过程中需要考虑的安全要素,这些安全要素是目前公认的提高软件安全保障水平的有效技术措施。全书共9章,主要包括综述、软件安全保障概念、安全需求和威胁建模、安全设计原则、基于组件的软件工程、安全编码、软件安全测试、安全交付和维护、通用评估准则与软件安全保障等内容。本书旨在阐明软件安全保障的原则和思路,帮助软件开发人员和评估人员更好地理解通用评估准则中的安全保障要求,为软件安全开发提供有益参考。

目录

  • 封面
  • 内容简介
  • 前言
  • 第1章 综述
  • 1.1 编写背景
  • 1.2 编写目的
  • 1.3 本书结构
  • 第2章 软件安全保障概念
  • 2.1 软件工程
  • 2.1.1 软件工程概述
  • 2.1.2 软件工程基本原理
  • 2.1.3 软件工程的特点
  • 2.1.4 软件生命周期及生命周期模型
  • 2.2 软件质量和软件质量保障
  • 2.2.1 软件质量
  • 2.2.2 软件质量保障
  • 2.3 软件安全
  • 2.3.1 信息与信息安全
  • 2.3.2 软件安全概述
  • 2.3.3 安全功能软件与安全软件
  • 2.3.4 软件安全与硬件安全
  • 2.3.5 信息系统安全与软件安全
  • 2.4 软件安全保障
  • 2.5 影响软件安全的要素
  • 2.6 软件面临的威胁
  • 2.6.1 软件漏洞的发掘
  • 2.6.2 造成软件漏洞的原因
  • 2.6.3 漏洞避免与安全性
  • 2.6.4 通用软件漏洞数据库
  • 第3章 安全需求和威胁建模
  • 3.1 需求的定义与分类
  • 3.1.1 软件需求
  • 3.1.2 软件需求分类
  • 3.1.3 软件安全需求
  • 3.2 否定性和非功能性安全需求
  • 3.3 安全需求的来源
  • 3.4 安全需求的验证
  • 3.5 安全建模方法
  • 3.5.1 软件安全建模
  • 3.5.2 威胁建模
  • 第4章 安全设计原则
  • 4.1 安全设计思想和方法
  • 4.1.1 安全设计思想
  • 4.1.2 安全设计方法
  • 4.2 安全架构
  • 4.3 安全设计原则
  • 4.3.1 通用原则1:减少关键组件的数量
  • 4.3.2 通用原则2:避免暴露薄弱组件和关键组件
  • 4.3.3 通用原则3:减少攻击者破坏的途径
  • 4.4 执行环境安全
  • 4.4.1 环境等级划分:约束和隔离机制
  • 4.4.2 应用程序框架
  • 第5章 基于组件的软件工程
  • 5.1 基于模块的软件设计
  • 5.1.1 软件模块化
  • 5.1.2 模块化设计的安全原则
  • 5.2 COTS和OSS组件的安全问题
  • 5.2.1 缺乏可见性问题
  • 5.2.2 软件来源和安装问题
  • 5.2.3 安全假设的有效性
  • 5.2.4 休眠代码、死代码和恶意代码
  • 5.3 组件的安全评估
  • 5.3.1 组件的安全评估步骤
  • 5.3.2 组件相关问题
  • 5.4 组件的集成
  • 5.5 基于组件的安全维护
  • 第6章 安全编码
  • 6.1 安全编码原则和实践
  • 6.1.1 保持代码简洁性
  • 6.1.2 遵循安全的编码指南
  • 6.1.3 使用一致的编码风格
  • 6.1.4 保证代码的可追溯性、可重用性和可维护性
  • 6.1.5 资源分配
  • 6.1.6 尽量清除状态信息
  • 6.1.7 避免未经授权的特权升级
  • 6.1.8 使用一致的命名规则
  • 6.1.9 谨慎使用封装
  • 6.1.10 权衡攻击模式
  • 6.1.11 输入验证
  • 6.1.12 输出过滤和“净化”
  • 6.1.13 避免安全冲突
  • 6.1.14 代码审查
  • 6.1.15 最少反馈及检查返回
  • 6.1.16 会话管理及配置参数管理
  • 6.1.17 安全启动
  • 6.1.18 并发控制
  • 6.2 异常处理
  • 6.2.1 异常识别及事件监视器
  • 6.2.2 异常和失败处理
  • 6.2.3 核心转储
  • 6.3 安全存储和缓存管理
  • 6.4 进程间通信
  • 6.5 特定语言的安全问题
  • 6.6 安全编码和编译工具
  • 6.6.1 编译器安全检查和执行
  • 6.6.2 安全的软件库
  • 6.6.3 运行错误检查和安全执行
  • 6.6.4 代码混淆
  • 第7章 软件安全测试
  • 7.1 软件测试和软件安全测试
  • 7.1.1 软件测试
  • 7.1.2 软件安全测试
  • 7.1.3 软件测试和软件安全测试的关系
  • 7.2 测试计划
  • 7.2.1 测试环境和测试要求
  • 7.2.2 测试时机
  • 7.3 软件安全测试技术
  • 7.3.1 白盒和灰盒测试技术
  • 7.3.2 黑盒测试技术
  • 7.4 重要的软件安全测试点
  • 7.4.1 输入验证测试
  • 7.4.2 缓冲区溢出测试
  • 7.4.3 SQL注入缺陷控制测试
  • 7.4.4 XSS脚本攻击控制测试
  • 7.4.5 抗抵赖控制测试
  • 7.4.6 失效控制测试
  • 7.4.7 优先权提升控制测试
  • 7.5 解释和使用测试结果
  • 第8章 安全交付和维护
  • 8.1 分发前的准备
  • 8.2 安全分发
  • 8.3 安全安装和配置
  • 8.3.1 初始化文件安全
  • 8.3.2 安全假设验证
  • 8.3.3 删除所有未使用的文件
  • 8.3.4 默认账户及口令更改
  • 8.3.5 删除未使用的默认账户
  • 8.3.6 执行环境“锁定”
  • 8.3.7 设置默认安装模块
  • 8.3.8 配置应用安全策略
  • 8.3.9 启用最小用户身份
  • 8.3.10 开启应用日志审计
  • 8.3.11 数据备份
  • 8.4 安全维护
  • 8.4.1 漏洞管理
  • 8.4.2 软件老化
  • 第9章 通用评估准则与软件安全保障
  • 9.1 通用评估准则的发展历史
  • 9.2 通用评估准则的组成和重要概念
  • 9.2.1 TOE的概念
  • 9.2.2 安全目标和保护轮廓
  • 9.3 安全保障要求与软件安全保障
  • 附录A 术语定义
  • 参考文献
  • 封底
展开全部

评分及书评

尚无评分
目前还没人评分

出版方

电子工业出版社

电子工业出版社成立于1982年10月,是国务院独资、工信部直属的中央级科技与教育出版社,是专业的信息技术知识集成和服务提供商。经过三十多年的建设与发展,已成为一家以科技和教育出版、期刊、网络、行业支撑服务、数字出版、软件研发、软科学研究、职业培训和教育为核心业务的现代知识服务集团。出版物内容涵盖了电子信息技术的各个分支及工业技术、经济管理、科普与少儿、社科人文等领域,综合出版能力位居全国出版行业前列。