电子商务安全-CH3课件.pptxVIP

第三章软件安全中央财经大学 信息学院本章学习要点了解软件安全隐患的来源 了解软件生命周期中的安全问题 掌握基本安全编程的原理及方法，包括内存安全， 线程/进程安全等 掌握应用安全编程的原理及方法，包括Web编程安 全，RPC和组件安全等 了解软件安全测试的涵盖层面本章主要内容3.1 软件安全概述 3.2 软件生命周期的安全问题 3.3 基本安全编程 3.4 应用安全编程 3.5 软件安全测试3.1 软件安全概述3.1.1 软件安全隐患的表现 ?软件在运行过程中不稳定，出现异常现象、得不 到正常结果或者在特殊情况下由于一些原因造成 系统崩溃 ?黑客利用各种方式达到窃取信息、破坏系统等目 的3.1 软件安全概述3.1.2 软件安全隐患的成因 软件开发者的角度： 软件生产没有严格遵守软件工程流程 编程人员没有采用科学的编程方法 测试不到位（不过有时是无法到位）软件工程客观角度： 软件复杂性和工程进度的平衡 安全问题的不可预见性 由于软件需求的变动 软件组件之间的交互的不可预见性3.2 软件生命周期的安全性问题3.2.1 软件开发生命周期回顾 软件开发生命周期可以包括5个阶段： 分析阶段 设计阶段 编码阶段 测试阶段 维护阶段3.2 软件生命周期的安全性问题3.2.2 软件安全威胁建模 威胁建模过程可以包括5个阶段： 在项目组中成立一个安全小组 分解系统需求 确定系统可能面临哪些威胁 选