软件安全全套教学课件.pptx

软件安全

章节软件安全概述

Part01

1.1软件与软件安全

软件，一系列按照特定顺序组织的计算机数据和指令的集合。主要划分为三大类：

➢系统软件为计算机使用提供最基本的功能

➢应用软件是为了某种特定的用途而被开发的软件

•微软的Office软件

•数据库管理系统

➢支撑软件是协助用户开发软件的工具性软件

•java开发中的jdk套件

软件安全：采用工程的方法使得软件在敌对攻击的情况下仍能够继续正常工作。软件安

全威胁来自于两个方面：

➢软件自身：软件具有的漏洞和缺陷会被不法分子利用

➢外界：黑客通过编写恶意代码并诱导用户安转运行

1.2软件安全威胁

软件开发中的不同阶段，会遇到不同的安全威胁

➢软件代码编写阶段敏感信息暴露等

例如：将应用的敏感信息不加密就写在发布版本中易于被黑客读取的文件中

➢软件编译阶段编译方式固有漏洞

例如：Android开发中最终编译生成的smail格式文件存在固有的代码注入风险

➢软件签名发布阶段签名绕过威胁等

例如：在Android开发中旧版本的签名方式因为未能对所有软件文件进行校验，导致黑客

可以通过修改未被校验到的文件使恶意dex文件注入

1.2软件安全威胁

在漏洞方面，2016年，国家信息安全漏洞共享平台（CNVD）共收录通用软硬件漏洞

10822个，较2015年增长33.9%。

1.2软件安全威胁

2016年约9.7万个木马和僵尸网络控制服务器控制了我国境内1699万余台主机。

1.2软件安全威胁

2016年在传统PC端，捕获敲诈勒索类恶意程序样本约1.9万个，勒索软件已逐渐由针对个

人终端设备延伸道企业用户

企业用户个人终端设备个人终端设备企业用户

勒索软件勒索软件

勒索软件勒索软件

勒索软件勒索软件

勒索软件勒索软件

1.2软件安全威胁

互联网恶意程序下载链接近67万条，较2015年增长近1.2倍，涉及的传播源域名22万余

个，IP地址3万余个，恶意程序传播次数达1.24亿次。

来源:CNCERT/CC

1.2软件安全威胁

数据泄露威胁日益加剧：

➢美国大选候选人希拉里的邮件泄露，直接影响到美国大选的进程

➢2016年我国免疫规划系统网络被恶意入侵，20万儿童信息被窃取并在网上公开售卖

对Mirai僵尸网络进行抽样监测：截至2016年年底，共发现2526台控制服务器控制125.4

万余台物联网智能设备

125