软件安全技术课件：软件安全概述.pptx

软件安全概述

本讲要点1.为什么对软件安全必须给与强烈关注？2.软件面临哪些安全威胁？3.如何理解软件安全的概念？4.软件安全研究什么？如何研究？

1.为什么对软件安全必须给与强烈关注？（1）软件的定义国家标准GB/T11457—2006《信息技术软件工程术语》给出的软件定义是：计算机程序、规则和可能相关的文档。美国电气和电子工程师协会（IEEE）1990发布的《软件工程术语标准词汇表》（StandardGlossaryofSoftwareEngineeringTerminology）给出的软件定义是：“Computerprograms,procedures,andpossiblyassociateddocumentationanddatapertainingtotheoperationofacomputersystem”。

1.为什么对软件安全必须给与强烈关注？以上两个标准文档都认为，软件是程序、数据和文档的集合体。程序是完成特定功能和满足性能要求的指令序列；数据是程序运行的基础和操作的对象；文档是与程序开发、维护和使用有关的图文资料。

1.为什么对软件安全必须给与强烈关注？（2）软件无处不在现在是一个信息化的时代，每时每刻都有无数的软件系统在运行着。软件己融入我们日常生活的方方面面，已经成为国家和社会关键基础设施的重要组成部分。

1.为什么对软件安全必须给与强烈关注？（3）软件规模日益庞大随着软件应用范围日益广泛，软件规模也大幅增加。

1.为什么对软件安全必须给与强烈关注？（4）软件漏洞普遍存在，零日漏洞成为主要安全威胁辩证唯物论的认识论和辩证唯物论的知行统一观告诉我们，人对于客观世界的认识是有局限性的，人对于客观世界的认识过程是螺旋上升的。软件是人们为了实现解决生产生活实际问题而开发的某种完成特定功能的计算机程序，因而必然存在缺陷或漏洞。软件漏洞是普遍存在的，系统软件、应用软件和第三方软件，它们在开发、部署和应用中的问题层出不穷。

1.为什么对软件安全必须给与强烈关注？微软定期发布的《安全情报报告SIR》会及时披露微软和其他第三方软件的漏洞情况和对安全的影响：补天漏洞平台：暗网软件漏洞交易黑市：

知道创宇《2018上半年暗网研究报告》

1.为什么对软件安全必须给与强烈关注？恶意软件作为网络战武器对国家关键基础设施乃至整个国家的巨大破坏力。攻击者为了能够有效达到窃取数据、破坏系统的目的，可以通过挖掘或是购买零日漏洞，开发针对零日漏洞的攻击工具实施攻击。零日漏洞是指未被公开披露的软件漏洞，没有给软件的作者或厂商以时间去为漏洞打补丁或是给出建议解决方案，从而攻击者能够利用这种漏洞破坏计算机程序、数据及设备。注意，零日漏洞并不是指软件发布后被立刻发现的漏洞。

1.为什么对软件安全必须给与强烈关注？利用零日漏洞开发攻击工具进行的攻击称为零日攻击。零日攻击针对的漏洞由于软件厂商还没有发现或是还未及提供相应的补丁，所以零日攻击的成功率高，造成的破坏大。从日常黑客攻击到军事领域的对抗，从震网病毒到棱镜门事件，信息空间的几乎所有攻防对抗都是以软件安全问题为焦点展开的。

1.为什么对软件安全必须给与强烈关注？描述零日漏洞和零日攻击的书籍和影片2014年，美国自由撰稿人金·泽特（KimZetter）出版了CountdowntoZeroDay:StuxnetandtheLaunchoftheWorldsFirstDigitalWeapon（《零日攻击：震网病毒全揭秘》）该书是目前关于震网病毒入侵伊朗核设施事件最为全面和权威的读物，也为人们揭开了零日漏洞攻击的神秘面纱。

1.为什么对软件安全必须给与强烈关注？描述零日漏洞和零日攻击的书籍和影片2016年，美国导演亚历克斯·吉布尼（AlexGibney）执导的纪录片ZeroDays（《零日》）讲述了震网病毒攻击伊朗核设施的故事，揭露了网络武器的巨大危险性。

1.为什么对软件安全必须给与强烈关注？（5）软件安全应当引起重视，应当成为当务之急，甚至成为国家的一项竞争优势错误认识一：应对安全威胁的主要手段是密码技术，是添置边界防护等各种安全设备。是什么真正引发了当今世界大多数的信息安全问题？有人会回答，是黑客的存在。那么黑客和网络犯罪分子的主要目标是什么？有人会回答，是重要的信息资产，是各类敏感数据。这样的回答看起来不错，但是再往深处想一想，黑客是如何实现盗取重要信息资产的？黑客成功实施攻击的途径是什么？那就是发现、挖掘和利用信息系统的漏洞。

1.为什么对软件安全必须给与强烈关注？错误认识二：不值得在关注软件安全，降低糟糕的软件开发、集成和部署带来的风险上花费成本。开发出安全漏洞尽可能少的