信息安全案例教程：技术与应用作者陈波Ch7应用软件安全7-2应用系统安全课件.pptxVIP

第7章 应用系统安全陈 波南京师范大学计算机科学与技术学院信息安全案例教程：技术与应用本讲主要内容信息安全案例教程：技术与应用7.3 安全软件工程7.4 软件侵权保护7.5 Web安全防护7.3.1 软件安全开发模型信息安全案例教程：技术与应用人们应当从系统化、工程化的角度来探讨通过软件开发的各个步骤确保软件安全性的方法。1995年国际标准化组织公布了软件开发的国际标准《ISO/IEC 12207 信息技术 软件生存期过程》，该标准将软件开发需要完成的活动概括为主要过程、支持过程和组织工程三大活动，每个大的活动又包括具体过程，共17个。我国也发布了相应的标准《GB/T 8566-2007 信息技术 软件生存周期过程》。7.3.1 软件安全开发模型信息安全案例教程：技术与应用CMU（卡内基梅隆大学)软件工程学院的Noopur Davis提出了安全软件开发生命周期过程的思想（Secure Software Development Life Cycle Process，SDLC)，它包括一系列标准和框架，如：能力成熟度模型集成框架（Capability Maturity Model Integration framework，CMMI)团队软件过程（Team Software Process，TSP)系统安全工程能力成熟度模型（System Security Engineering CMM，SSE-CMM)7.3 安全软件工程信息安全案例教程：技术与应用与安全较为紧密的还有：Microsoft的可信计算软件开发生命周期（Trustworthy Computing Software Development Lifecycle)安全软件的团队软件开发（TSP-Secure)迅捷方法（Agile Mehods)软件可信成熟度模型（Software Assurance Maturity Model，SAMM)软件安全框架（Software Security Framwork，SSF)在成熟模型中构建安全（Building Security In Maturity Model，BSIMM)最佳代码保护论坛SAFECode（Software Assurance Forum for Excellence in Code，)7.3.2 应用软件开发中的漏洞消减模型本节以漏洞的产生、挖掘、交易、传播、利用、危害，消亡这一生命周期为主线，结合产生漏洞的诸多环节，即需求、设计、实现、配置和运行等，以漏洞消减为目的，从开发者和管理者两个角度，提出软件开发过程中的漏洞消减模型。信息安全案例教程：技术与应用7.4 软件侵权保护7.4.1 软件技术保护的原理及基本原则信息安全案例教程：技术与应用1. 软件技术保护的原理1）对象安全。2）入口安全。3）安全源安全。7.4 软件侵权保护7.4.1 软件技术保护的原理及基本原则信息安全案例教程：技术与应用2.软件技术保护的基本原则1）实用性2）局部可共享特性3）可重复使用性7.4 软件侵权保护7.4.2 软件保护常用技术信息安全案例教程：技术与应用1. 基于介质的保护技术（1）防止光盘拷贝（2）防止硬盘拷贝2. 基于硬件的保护技术基于硬件的软件版权保护是在软件授权加密的过程中引入硬件，利用硬件技术的安全性为软件产品的安全性提供保障7.4 软件侵权保护7.4.2 软件保护常用技术信息安全案例教程：技术与应用3. 基于软件的保护技术（1）基于注册验证的版权控制（2）反逆向工程分析（3）反动态跟踪分析（4）数据校验（5）软件加壳7.4 软件侵权保护7.4.2 软件保护常用技术信息安全案例教程：技术与应用4. 软件水印 所谓软件水印，就是把程序的版权信息和用户身份信息嵌入到程序中。它是近年来出现的软件产品版权保护技术，可以用来标识作者、发行者、所有者、使用者等，并携带有版权保护信息和身份认证信息，可以鉴别出非法复制和盗用的软件产品。7.4 软件侵权保护7.4.2 软件保护常用技术信息安全案例教程：技术与应用5. 软件即服务SaaS模式 随着互联网的迅猛发展，特别是Web 2.0的兴起，将软件作为一种服务形式提供给客户的需求逐渐增加，软件产业正在发生越来越大的变化，其中最突出的就是形成软件即服务（Software as a Service，SaaS)模式。这种新模式的出现正是顺应了用软件服务代替传统的软件产品销售，不仅可以使软件免于盗版的困扰，而且可以降低软件消费企业购买、构建和维护基础设施以及应用程序的成本和困难。7.4 软件侵权保护7.4.3 软件侵权的法律保护信息安全案例教程：技术与应用1.《计算机软件保护条例》2.《中华人民共和国专利法》3. 商业秘密所有权保护4.《中华人民共和国商标法》5.《互联网著作权行政