应用软件安全基础.pptxVIP

软件安全基础

-DevelopSecuritySoftware主讲人:王宏

主题基本概念.软件安全的重要性.分析软件安全越来越严重的原因和根源.解决软件安全问题的措施和方法.

基本概念软件安全的定义:在软件受到恶意的攻击下，软件能够正常运行（功能/性能)软件安全课题:了解产生软件安全的风险并怎样去管理他们:“Buildingsecuresoftware:designingsoftwaretobesecure,makesurethatsoftwareissecure,educatingsoftwaredevelopers,architectsandusersabouthowtobuildsecurityin”

信息安全的期望信息安全的现状软件安全漏洞的发展趋势传统解决信息安全的努力和投资方向软件安全在信息安全中的重要地位软件安全的重要性

信息安全的期望在原理上:我们花更多钱去降低的安全事件和安全利用,以此来帮助我们:1保护我们的业务不会被恶义的家伙破坏”限制责任和义务,满足法规和标准避免对公司品牌和声誉造成破坏2info-secspending($)3incidentsexploits(#)4

信息安全的现状然而在事实上:我们每年都花了数百万的资金在信息安全上,但是效果并不如意,我们遭遇的安全问题越来越多.info-secspending($17B)impact($40B)breachesgrowdramatically-seriouslyimpacting:uptime,regulatorycompliance,liability,brandandreputation

分析机构的最近统计In2004,averagetimefromvulnerabilityannouncementto1stattack=5.8days(99days,2003)532%increaseinCERTincidentsreported(2000-2003)43%reportanincreaseine-crimesandintrusionsversuspreviousyearOnaverage,48newvulnerabilitiesperweekweredisclosedin1H04ThesefourfactoidsarejustasamplingofresultsfoundbytheFBI,CarnegieMellon’sSEICERTCoordinationCenter(anindustrybodythatfocusesonalertingcorporationsofsecurityvulnerabilities),andSymantecinits5thInternetSecurityThreatReport(Jan-June2004).

软件安全漏洞的发展趋势

CERT2006年的报告

我们的钱花在哪儿去了?为什么我们的安全工作毫无效果?Why?

传统信息安全的方法和投资方向

软件安全在信息安全中的重要地位Theexpertsaretellingus:wehaveaSOFTWAREproblem“Over70%ofsecurityvulnerabilitiesexistattheapplicationlayer,notthenetworklayer.It’snotjustoperatingsystemsorwebbrowsers,butalltypesofapplications-particularlyapplicationsthatautomatekeybusinessprocesses.”

GartnerGroup2004

0102目前我们信息安全的主要问题是：应用软件安全问题!!!结论

01为什么软件安全问题日益增长02黑客攻击方式的进化03传统的分层保护方案减轻系统的风险04为什么传统的基于网络的方案不工作05黑客可直接利用软件的弱点达到攻击系统06演示如何通过攻击软件达到窃取商业信息和破坏应用系统。07软件必须保护它们自己08传统学校关于安全技术的教育09软件补丁和软件安全攻击的关系10软件安全的根源问题。软件安全越来越严重的原因

Connectivity（互联性）E