应用软件安全基础.pptVIP

软件安全基础 -Develop Security Software 主 题 基本概念. 软件安全的重要性. 分析软件安全越来越严重的原因和根源. 解决软件安全问题的措施和方法. 基本概念 软件安全的定义:在软件受到恶意的攻击下，软件能够正常运行（功能/性能) 软件安全课题:了解产生软件安全的风险并怎样去管理他们: “ Building secure software: designing software to be secure, make sure that software is secure ,educating software developers ,architects and users about how to build security in” 软件安全的重要性 信息安全的期望 信息安全的现状 软件安全漏洞的发展趋势 传统解决信息安全的努力和投资方向 软件安全在信息安全中的重要地位 信息安全的期望 在原理上: 我们花更多钱去降低的安全事件和安全利用,以此来帮助我们: 然而在事实上: 我们每年都花了数百万的资金在信息安全上,但是效果并不如意,我们遭遇的安全问题越来越多. 软件安全漏洞的发展趋势 我们的钱花在哪儿去了? 为什么我们的安全工作毫无效果? 结 论 目前我们信息安全的主要问题是： 应用软件安全问题!!! 软件安全越来越严重的原因 为什么软件安全问题日益增长 黑客攻击方式的进化 传统的分层保护方案减轻系统的风险 为什么传统的基于网络的方案不工作 黑客可直接利用软件的弱点达到攻击系统 演示如何通过攻击软件达到窃取商业信息和破坏应用系统。 软件必须保护它们自己 传统学校关于安全技术的教育 软件补丁和软件安全攻击的关系 软件安全的根源问题。 为什么软件安全问题增长 Connectivity（互联性） Extensibility（延展性） Complexity （复杂性） 为什么软件安全问题变得如此困难? Connectivity The Internet is everywhere and most software is on it Complexity Networked, distributed, mobile code is hard Extensibility Systems evolve in unexpected ways and are changed on the fly 黑客攻击方式的进化 传统的“加层”保护方案 软件的应用因为业务和功能的需要必须打破传统的保护层,直接与外面的系统交互 为什么传统的基于网络方案不工作 Key Network Web Restrict Access Firewall Everyone has access Authenticate users Windows / Unix auth HTTP has WEAK authentication Monitor for attacks IDS / IPS Critical traffic is in SSL Tunnel Track users (state) User of TCP/IP connections HTTP is stateless Block known attacks IPS (Self-defending networks) Web attacks are extremely hard to distinguish from normal activity 黑客直接利用软件的弱点攻击我们的系统 演示如何通过攻击应用系统达到窃取商业信息和破坏应用系统，使用的攻击方式： SQL Injection  Cross-Site Scripting  Privacy Violation  Forceful Browsing  软件必须自我保护 Source IP Destination IP Fragmented data HTTP requests? 软件必须自我保护 学校传统的安全技术教育 传统学校关于安全技术的教育的原则: 用防火墙来定义系统的”边界”,把软件与外界隔离. 过分依赖加密技术 SSL secure lock on a paper bag ! 当产品要发布的时候才去审查产品 在这个阶段所做的都是 “Why did we do this like this?” 我们将以补丁(patch)的方式修复它. 我们已经了解到这个问题. 不允许高级技术使用: 如果它是新的,肯定有问题. 让我们等,直到这种技术成熟了,保险了,我们才使用