安全编程精品课件（吉林大学）第0章 绪论.pptVIP

第0章 绪论 安全程序 能够保护用户数据的机密性、完整性和有效性，能够保证处理资源的完整性和有效性，并时刻处于系统所有者或者管理员控制之下的程序。 安全漏洞 是指一种缺陷，即使正确使用软件，这种缺陷也将导致软件不能有效阻止攻击者篡夺用户系统上的特权、控制其操作、危及该系统上的数据，或者使系统接受非授权信任。 第0章 绪论 安全程序设计的必要性 攻击手段传播迅速 可信计算的需要 修补安全漏洞代价高昂 攻击者处于优势地位、防御者处于劣势地位 第0章 绪论 主动的安全开发过程 设计阶段 开发阶段 测试阶段 测试阶段 面试期间的安全问题 概念 设计完毕 测试计划完毕 发行 威胁建模 设置bug门槛和终结计划 外部审查 安全推动 响应过程 教育 安全小组审查 数据变化和最小特权测试 审查旧的缺陷 签字确认 安全编码准则 编码完毕 表示：不断进行 第0章 绪论 安全教育 教育对于构建安全系统是至关重要的 教育内容：威胁分析、理解和应用威胁缓和技术、练习设计和创建一个安全系统等。 教育是开发过程中一个不断重复的工作，因为需要了解必威体育精装版的安全威胁或威胁的变种。 设计阶段 面试期间的安全问题 安全设计人员会用黑客的思维思考 安全设计人员能够发现不良的设计、了解如何修复它们，并能够指出如何在开始就设计好。 第0章 绪论 定义产品的安全目标 创建一个文档，回答下列问题： 应用程序的使用者是谁？ 对使用者来说，安全意味着什么？对不同的使用者，安全是否有不同的含义？不同的顾客是否有不同的安全需求？ 应用程序在何处运行？Internet上？在防火墙后面？手机上？ 保护什么？ 保护对象受损，对用户意味着什么？ 管理应用程序的人是谁？是用户还是公司的IT管理员？ 产品的通信要求是什么？公司内部还是外部？或者两者都有？ 操作系统和环境已经提供了哪些可以利用的安全基础服务？ 用户需要怎样保护自己的行为？等等。 第0章 绪论 安全是产品的一种特性 安全是产品的一种特性，同产品的其他特性一样重要，不要将安全作为补救措施来添加。因为： 过后加入安全是在现有的特性上封装安全，而不是用安全的方式设计特性。 作为补救而加入特性，包括安全特性，代价昂贵。 添加安全可能会改变已实现特性的工作方式，这同样代价昂贵。 添加可能会改变应用程序的接口，这会破坏依赖于当前接口的代码。 因此，要有足够的时间考虑安全问题，安全特性与任何特性一样，将其加进来越晚，代价就越高，延缓进度的可能性就越大。 第0章 绪论 安全的设计源于威胁建模 威胁模型有助于形成设计规范的基础。没有威胁模型，就不能创建安全系统，因为要保护系统，就要理解将受到的威胁。 终结不安全的特性 随着行业出现新的漏洞后，需要为旧的功能准备终结计划，在淘汰旧的不太安全的版本时，把它们的应用程序移植到新功能上来。 设置bug门槛 在发行产品前确定哪些bug要修复，哪些bug不需要修复，需要考虑的问题包括：“回归bug”的问题、可访问性、部署问题、性能、稳定性、可扩展性、向后兼容性以及承受能力等。 安全小组审查 请开发小组之外的安全专业人士检查计划。只有让具有其他知识体系的人士查看计划，才能更好地暴露问题。 第0章 绪论 开发阶段 开发包括编写和调试代码，重点是确保开发人员编写出高质量的代码。 新代码的同级安全审查 定义安全的编码准则 审查旧的缺陷 外部安全审查 安全推动活动 留心自己的错误数量 记录错误 第0章 绪论 测试阶段 测试人员必须学习攻击者的操作方式，安全测试的角色是用于验证系统设计和编码能够经受住攻击。 发行和维护阶段 已知的安全漏洞与设计阶段确定的安全目标没有冲突时，即可发行。 一旦发现缺陷，应当通过标准的修复机制进行修复，确定缺陷的严重程度，所能修复的最好程度，如何向客户发行修复后的版本。 发现一个安全缺陷，应该让编写这段代码的人来修复，以免再犯同样的错误。 第0章 绪论 安全策略 安全策略集SD3:设计安全(Secure by Design)、默认安全(Secure by Default)、(Secure in Deployment) 设计安全 如果一个系统是设计安全的，这意味着采取了适当的步骤来保证整个产品设计从开始就是可靠的。为了设计安全，须采取如下步骤： 为安全问题指派一个“go-to person”（安全执行员）。 需要培训所有的人。 确保威胁模型在设计阶段结束时已经到位。 坚持设计和编码准则。 尽快修复偏离准则的所有bug。 确保要发展这些准则。 回头对所有以前修复的漏洞进行回归测试。 简化代码，简化安全模型。 在发行前进行“穿透分析”(penetration analysis)。 第0章 绪论 默认安全 默认安全的目标是发行打开包装就足够安全的产品。达到这个目