軟件安全開發(fā)：屬性驅(qū)動模式

定　價：￥58.00

作　者：	宋明秋
出版社：	電子工業(yè)出版社
叢編項：
標　簽：	計算機/網(wǎng)絡(luò) 信息安全

購買這本書可以去

ISBN：	9787121287503	出版時間：	2016-06-01	包裝：	平塑
開本：		頁數(shù)：	272	字數(shù)：

內(nèi)容簡介

　　在日益嚴峻的信息安全背景下，軟件的安全性已經(jīng)成為信息安全問題的重中之重。本書針對信息安全領(lǐng)域這一核心問題，站在軟件開發(fā)過程控制的視角，從系統(tǒng)工程基本理論思想出發(fā)，借鑒當前國際先進的軟件安全開發(fā)的理論和方法，提出安全屬性驅(qū)動的軟件開發(fā)方法。全書以軟件安全屬性為核心，將安全屬性貫穿于軟件開發(fā)生命周期的每一個階段，通過對軟件開發(fā)生命周期全過程的安全質(zhì)量管理和控制，以期減少開發(fā)過程中可能產(chǎn)生的各種漏洞，提高軟件產(chǎn)品的本質(zhì)安全性。全書共分為6章，第1章是軟件安全開發(fā)相關(guān)的基本概念，第2章介紹了軟件安全開發(fā)方法的歷史演化進程以及一些典型的軟件安全開發(fā)模型，第3章基于需求工程原理闡述了軟件安全屬性需求獲取方法，第4章從系統(tǒng)架構(gòu)角度出發(fā)闡述了軟件安全架構(gòu)的設(shè)計方法以及相關(guān)安全技術(shù)，第5章介紹了軟件開發(fā)編碼過程中的安全問題，第6章對于軟件安全性測試進行了全面的闡述。本書的特點是既注重系統(tǒng)性和科學(xué)性，又注重實用性，系統(tǒng)性地介紹軟件開發(fā)生命周期全過程的安全質(zhì)量保證方法，可作為軟件開發(fā)組織者、系統(tǒng)分析師、軟件架構(gòu)師、軟件設(shè)計人員、開發(fā)人員、測試人員、系統(tǒng)運維人員以及軟件相關(guān)專業(yè)的在校大學(xué)生和研究生學(xué)習(xí)與實踐的較好的參考書。

作者簡介

　　2014.8 獲得國際注冊信息系統(tǒng)審計師（CISA）認證2012.8 獲得國際注冊信息系統(tǒng)安全專家（CISSP）認證2009-2010 英國牛津大學(xué)互聯(lián)網(wǎng)研究所訪問學(xué)者

圖書目錄

第１章理解軟件安全開發(fā) 11.1 信息安全面臨的困境 11.2 軟件安全基本概念 21.2.1 軟件定義 21.2.2 軟件安全錯誤 21.2.3 軟件安全的定義 31.3 軟件安全屬性刻畫 41.3.1 保密性 41.3.2 完整性 51.3.3 可用性 51.3.4 認證性 61.3.5 授權(quán) 61.3.6 可記賬性/審計性 71.3.7 抗抵賴性 71.3.8 可控性 81.3.9 可信性 81.4 信息產(chǎn)品的安全性評估標準 81.5 系統(tǒng)安全工程 91.6 系統(tǒng)安全工程能力成熟度模型 101.7 屬性驅(qū)動的軟件安全開發(fā)的基本思想 111.7.1 軟件安全開發(fā)方法 111.7.2 軟件定義安全 111.7.3 屬性驅(qū)動的軟件安全開發(fā)方法 141.8 本章小結(jié) 14第2章將安全嵌入軟件開發(fā)整個生命周期 162.1 系統(tǒng)安全開發(fā)方法的進化史 162.2 軟件安全開發(fā)模型 172.2.1 啟發(fā)式軟件安全開發(fā)模型 172.2.2 軟件安全生命周期開發(fā)模型 182.3 微軟的SDL模型 202.3.1 傳統(tǒng)的系統(tǒng)開發(fā)瀑布模型 202.3.2 軟件安全開發(fā)生命周期模型SDL 202.3.3 敏捷的SDL 232.3.4 ISO/IEC 27034 252.4 McGraw的軟件安全開發(fā)模型 262.4.1 McGraw的七個接觸點模型BSI 262.4.2 軟件安全開發(fā)成熟度模型BSIMM 272.5 OWASP的軟件安全開發(fā)模型 302.5.1 CLASP 302.5.2 SAMM 332.6 NIST的軟件安全開發(fā)生命周期 342.7 屬性驅(qū)動的軟件安全開發(fā)生命周期模型 362.8 本章小結(jié) 36第3章軟件安全需求分析 373.1 概述 373.1.1 基本內(nèi)涵 373.1.2 安全需求的來源 393.1.3 軟件安全需求的內(nèi)容 393.2 核心軟件安全需求 403.2.1 保密性需求 403.2.2 完整性需求 423.2.3 可用性需求 433.2.4 認證需求 443.2.5 授權(quán)需求 463.2.6 可記賬性/審計需求 503.3 通用軟件安全需求 513.3.1 安全架構(gòu)需求 513.3.2 會話管理需求 513.3.3 錯誤和例外管理需求 523.3.4 配置參數(shù)管理需求 523.4 運維安全需求 523.4.1 環(huán)境部署需求 533.4.2 歸檔需求 543.4.3 反盜版需求 543.5 其他安全需求 553.5.1 順序和時間需求 553.5.2 國際性需求 553.5.3 采購需求 563.6 軟件安全需求獲取方法 573.6.1 軟件安全需求獲取的概念 573.6.2 頭腦風(fēng)暴 573.6.3 問卷調(diào)查和訪談 583.6.4 策略分解 583.6.5 數(shù)據(jù)分類 603.6.6 主/客體關(guān)系矩陣 623.6.7 使用用例和濫用案例建模 623.7 軟件安全需求跟蹤矩陣 633.8 本章小結(jié) 64第4章軟件安全保障設(shè)計 654.1 概述 654.1.1 軟件安全設(shè)計的概念 654.1.2 軟件安全設(shè)計的基本原則 654.1.3 平衡安全設(shè)計原則 714.2 屬性驅(qū)動的軟件安全設(shè)計 724.3 軟件安全架構(gòu)設(shè)計 734.3.1 康威定律 734.3.2 軟件安全架構(gòu)的設(shè)計方法 744.3.3 攻擊面評估 754.3.4 威脅建模 754.3.5 風(fēng)險分析 824.3.6 軟件架構(gòu)的選擇 864.3.7 軟件架構(gòu)的安全考慮 924.3.8 與現(xiàn)有架構(gòu)的集成 934.4 基于核心安全需求的軟件安全設(shè)計 944.4.1 保密性設(shè)計 944.4.2 完整性設(shè)計 994.4.3 可用性設(shè)計 1014.4.4 認證設(shè)計 1024.4.5 授權(quán)設(shè)計 1034.4.6 可記賬性/審計設(shè)計 1034.5 其他安全需求設(shè)計 1044.5.1 接口安全設(shè)計 1044.5.2 互聯(lián)互通性 1064.6 軟件安全技術(shù) 1064.6.1 認證 1064.6.2 身份管理 1074.6.3 憑證管理 1094.6.4 流控制 1124.6.5 防火墻和網(wǎng)絡(luò)代理 1134.6.6 中間件 1144.6.7 排隊基礎(chǔ)設(shè)施和技術(shù) 1144.6.8 日志與審計 1144.6.9 入侵檢測系統(tǒng) 1154.6.10 入侵防御系統(tǒng) 1164.6.11 數(shù)據(jù)丟失保護 1164.6.12 虛擬化 1174.6.13 數(shù)字版權(quán)管理 1184.6.14 可信計算 1204.6.15 數(shù)據(jù)庫安全 1214.6.16 編程語言環(huán)境 1284.6.17 公共語言運行庫 1304.6.18 Java虛擬機 1314.6.19 編譯器選項 1324.6.20 操作系統(tǒng)安全 1324.6.21 嵌入式系統(tǒng)安全 1334.7 安全架構(gòu)與設(shè)計檢查 1344.8 本章小結(jié) 135第5章編寫安全的代碼 1365.1 概述 1365.1.1 漏洞的基本概念 1365.1.2 漏洞分類 1375.1.3 漏洞產(chǎn)生的原因 1385.1.4 通用軟件漏洞數(shù)據(jù)庫 1395.1.5 軟件安全編碼實踐與控制 1415.2 常見軟件漏洞類型分析與防御方法 1425.2.1 緩沖區(qū)溢出 1425.2.2 注入缺陷 1455.2.3 認證和會話管理 1495.2.4 跨站腳本攻擊XSS 1525.2.5 不安全的直接對象引用 1545.2.6 安全配置錯誤 1565.2.7 敏感數(shù)據(jù)泄露 1575.2.8 加密機制本身的安全問題 1625.2.9 缺少功能級檢查 1635.2.10 跨站請求偽造CSRF 1645.2.11 使用已知漏洞組件 1675.2.12 未經(jīng)驗證的重定向和轉(zhuǎn)發(fā) 1675.2.13 文件攻擊 1685.2.14 競爭條件 1715.2.15 邊信道攻擊 1725.3 軟件安全編碼實踐 1745.3.1 輸入驗證 1745.3.2 標準化 1765.3.3 數(shù)據(jù)凈化 1775.3.4 錯誤處理 1785.3.5 安全的API 1785.3.6 內(nèi)存管理 1795.3.7 例外管理 1825.3.8 會話管理 1835.3.9 配置參數(shù)管理 1835.3.10 安全啟動 1845.3.11 加密機制的安全保護 1845.3.12 并發(fā)控制 1865.3.13 標簽化 1875.3.14 沙箱 1885.3.15 防篡改技術(shù) 1885.4 軟件安全編碼保證過程 1905.4.1 選擇安全的編程語言 1905.4.2 版本（配置）管理 1905.4.3 代碼分析 1915.4.4 代碼評審 1925.4.5 構(gòu)建安全的軟件編譯環(huán)境 1945.5 本章小結(jié) 195第6章軟件安全測試 1966.1 概述 1966.1.1 軟件安全測試的定義和目的 1966.1.2 軟件安全測試的基本內(nèi)涵 1966.1.3 軟件安全測試框架 1996.1.4 軟件安全測試方法 2006.1.5 從攻擊者角度思考 2016.2 軟件安全功能測試 2016.2.1 保密性測試 2016.2.2 完整性測試 2026.2.3 可用性測試 2056.2.4 認證性測試 2066.2.5 授權(quán)測試 2076.2.6 可記賬性/審計測試 2076.3 軟件安全漏洞測試 2086.3.1 攻擊面驗證 2086.3.2 環(huán)境測試 2086.3.3 模擬測試 2096.4 其他測試 2106.4.1 性能測試 2106.4.2 可擴展性測試 2116.4.3 隱私測試 2116.5 軟件安全功能測試方法 2126.5.1 單元測試 2126.5.2 集成測試 2136.5.3 回歸測試 2136.5.4 系統(tǒng)測試 2146.5.5 邏輯測試 2146.5.6 用戶接收測試 2156.6 軟件安全漏洞測試方法 2166.6.1 源代碼測試 2166.6.2 白盒測試 2166.6.3 黑盒測試 2176.6.4 Fuzzing測試 2186.6.5 掃描 2196.6.6 滲透測試 2226.6.7 靜態(tài)測試 2246.6.8 動態(tài)測試 2256.7 幾種重要的軟件安全漏洞控制測試 2256.7.1 輸入驗證測試 2256.7.2 緩沖區(qū)溢出控制測試 2266.7.3 SQL注入缺陷控制測試 2266.7.4 XSS腳本攻擊控制測試 2276.7.5 抗抵賴控制測試 2276.7.6 假冒控制測試 2286.7.7 失效控制測試 2286.7.8 優(yōu)先權(quán)提升控制測試 2286.7.9 抗逆向工程保護測試 2296.7.10 Web應(yīng)用漏洞測試 2296.8 測試過程模型 2306.8.1 軟件安全測試基本過程 2306.8.2 V模型 2316.8.3 W模型 2316.8.4 X模型 2326.8.5 H模型 2326.8.6 前置測試模型 2336.8.7 基于軟件開發(fā)生命周期的測試 2346.9 測試數(shù)據(jù)的管理 2366.9.1 漏洞報告和跟蹤 2386.9.2 漏洞影響評估與修復(fù) 2426.10 常見的軟件安全測試工具 2426.11 本章小結(jié) 242附錄A 軟件安全開發(fā)生命周期模型 243附錄B 常見的HTTP狀態(tài)代碼和原因解釋 245附錄C 用于輸入驗證的正則表達式語法 247附錄D 常用軟件測試工具 249參考文獻 251