信息安全原理与实践-第二版12-软件中的安全.pptVIP

闭源软件中的安全缺陷对于攻击者而言并不是那么明显，这也可以被看做提供了某种安全保护手段。 开源软件的倡导者们常常会援引所谓的“微软谬论”来说明为什么开源软件天生就要优于闭源软件，谬论如下： 微软制造了差的软件。 微软的软件是闭源的。 因此，所有的闭源软件都是差的。 经过t个单位的测试之后，发生安全性故障的概率大约是K /t，其中K是常量，并且这个近似值对于跨度很大的t值均可以成立。常量K是关于软件初始质量的度量——K值越小，软件最初的质量就越好。 开源软件的平均故障间隔时间(MTBF) 为： MTBF = t / K 闭源软件的平均故障间隔时间(MTBF) 为： MTBF = 2t / K * 12.4.2 寻找缺陷 与软件测试相关的基本安全问题是，诚恳认真的好孩子们必须找出几乎所有的安全缺陷，而Trudy只需要找到那些好孩子们尚未发现的缺陷即可。这就意味着，相对于通常意义上的软件工程，软件的可靠性在安全领域面临的挑战要大得多。 * 12.4.3 软件开发相关的其他问题 对于安全性而言至关重要的软件开发议题 ： 设计：就安全性而言，设计阶段起着至关重要的决定性作用，因为深思熟虑的初始设计可以避免一些高阶错误，而这些错误在后面的阶段很难被改正。 风险分析：方法包括危险和可操作性研究(HAZOP)、失效模式和效果分析(FMEA)以及故障树分析(FTA)。 同行评审：是一种可辅助提高安全性的有用工具。共有三个层次的同行审查，从最不正式到最为正规，有时候会依次将其称为复审(review)、走查(walk-through)以及检查(inspection)。 测试： 位于开发过程层面的测试分类 模块测试(module testing)：对小部分的代码实施独立测试。 组合测试(component testing)：将几个模块组合在一起并进行测试。 单元测试(unit testing)：将很多组件联合在一起进行测试。 集成测试(integration testing)：将所有的部分全部放在一起，作为整体进行测试。 * 位于审视测试活动层面的分类： 功能测试(function testing)：要验证系统功能是否与要求相一致。 性能测试(performance testing)：对诸如执行速度和资源利用水平等相关要求进行符合性验证。 验收测试(acceptance testing)：这是指客户主动参与的测试活动。 安装测试(installation testing)：顾名思义这是在软件安装时执行的测试。 回归测试(regression testing)：这是指在任何对于系统的重要变动发生之后执行的测试活动。 其他测试技术： 主动故障检测(active fault detection)：由测试者主动尝试令系统出现问题。 软件错误注入(fault injection) ：主动施加故障到软件中以促进系统错误的发生。 bug注入技术：可以让测试人员对于代码中存留的bug数量获得估量。 * 配置管理：指我们如何去处理对系统的变更。 细微变更(minor changes)，是指那些为了维持每天系统功能的正常运行而发生的变更； 适应性变更(adaptive changes)，这是更加实质性的变更； 完善性变更(perfective changes)，是指对软件的改进； 预防性变更(preventive changes)，意在防止任何性能方面的损失 事后故障排查：用来从问题中学习经验教训，进而能够提升同一类问题在未来可以被避免的概率。 * 12.5 小结 本章内容回顾 软件逆向工程(SRE) 数字版权管理(DRM) 安全软件开发面临的一些困难 * * [美]Mark Stamp 著 Information Security: Principles and Practice, 2nd Edition 张 戈 译 第12章 软件中的安全 * 12.1 引言 本章主要内容： 软件逆向工程 数字版权管理 软件开发 * 12.2 软件逆向工程 软件逆向工程有时也被称为逆向代码工程，或者简称为逆向工程。用途有好有坏。 好的用途包括理解恶意代码或是对以往的遗留代码进行分析。 不那么好的用途包括移除对于软件的使用限制、查找和利用软件缺陷、在游戏中实施欺诈活动、破解DRM系统以及许许多多其他类型的针对软件的攻击。 基本的逆向工程工具包括反汇编器(disassembler)和调试器(debugger)。反汇编器能够将可执行文件转换为汇编代码，这种转换属于尽力而为型，但是反汇编器并不能确保总是正确地反汇编出汇编代码。 调试器用来设置程序中断点，据此Trudy就可以在程序运行时一步步地跟踪代码的执行过程。对于任何有一定复杂度