信息系统安全导论第六章之软件安全

已于 2023-03-22 11:42:17 修改
阅读量2.7k 收藏 19
点赞数 18
分类专栏: 学习记录 文章标签: 网络安全
于 2023-03-10 11:31:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JieBao11/article/details/129439355
版权
文章探讨了软件安全的现状,包括软件缺陷、漏洞、恶意软件(如病毒、木马)和软件破解带来的威胁。此外,介绍了计算机病毒的类型和传播方式,以及木马和后门的区别和植入方式。文章还提到了Rootkit和高级持续性威胁(APT)的概念。最后,讨论了软件安全措施,如SDL(安全开发生命周期)和代码分析工具的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、软件安全现状及基本概念

  • 出现软件故障现象的原因是软件存在漏洞。
  • 任何软件,不论它看起来是多么安全,其中都隐藏漏洞”。
  • 软件安全的目的是尽可能消除软件漏洞,确保软件在恶意攻击下仍然正常运行

二、软件安全威胁和来源

软件安全三大威胁:

  • 软件缺陷及漏洞
  • 恶意软件
  • 软件破解

2.1  软件缺陷及漏洞

1)软件缺陷,又称为bug,指计算机软件或程序中存在的某种破坏正常运行能力的问题、错误或隐藏的功能缺陷。会导致产品在某种程度上不能满足用户需要。

2)软件漏洞:指在硬件、软件、协议的具体实现或者系统的安全策略存在缺陷,从而可以使得攻击者能够在未授权的情况下访问或者破坏计算机系统。

软件漏洞的危害:

  • 软件正常功能被破坏
  • 系统被恶意控制、信息泄露、提权

软件漏洞危害的级别:

  • 危急:漏洞传播影响很大,如无需用户激活的网络蠕虫传播的漏洞
  • 高危:漏洞的利用会危及用户数据的机密性、完整性、有效性
  • 中危:开发利用该漏洞比较困难
  • 低危:漏洞的利用非常困难,或影响不大

2.2  恶意软件:恶意软件是指那些设计目的是为了实施特定恶意功能的一类软件程序,例如:病毒、木马、后门、僵尸、简单软件等。

恶意软件的危害:

  • 修改或破坏已有的软件功能:恶意软件运行后,可以对同一运行环境中的其他软件进行干扰和破坏。
  • 窃取系统中的数据:灰鸽子、上兴、Flame
  • 监视用户行为:屏幕监视、视频监视、语音监视
  • 目标被控制:shell

2.3  软件破解:即通过对软件自身程序进行逆向分析,剖析软件的注册机制,对软件的各类限制实施破解,从而使得非法使用者可以正常使用软件。

三、计算机病毒

1)定义:是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。

2)特征:

  • 传染性:病毒具有把自身复制到其它程序的能力
最低0.47元/天 解锁文章
软件安全的概念
04-26
本文档是关于软件信息系统安全的,介绍了信息安全的基本知识和防控措施。
如何评测软件系统的安全
热门推荐
07-04 1万+
常常被问到这么一个问题:如何评测一个软件系统到底有多安全? 一个回答是:我们不是有专门的软件安全评测标准和机构吗?没错,我们有专门的国际标准Common Criteria, ISO/IEC 15408,国家标准GB 18336。有专门的评测中心,如Common Criteria Lab,和中国信息安全产品测评认证中心。 似乎我们只要按照标准提供相应文档,把软件交给评测机构,不就行了
软件安全分析:构建更强大的软件系统,从零基础到精通,收藏这篇就够了!
最新发布
yy1715713348的博客
02-13 583
来源 | 博世智能驾驶与控制系统随着汽车软件的不断发展,汽车软件开发周期变得越来越短并且软件复杂性也呈几何指数上升,与此同时我们也需要关注软件问题可能导致的安全性风险,其不仅仅关乎驾驶员和乘客的安全,也关系到其他道路使用者的生命财产安全。因此软件开发需建立在安全需求基础上,通过有效的软件功能安全需求,我们能够避免或迁移潜在的系统故障引发的事故风险,本文将围绕什么是软件功能安全需求、如何进行软件安全分析来展开介绍。本期专家 :Zhike(左)、Alex(右)博世智能驾驶与控制系统事业部中国区软件功能安全专家软
软件安全基本概念
tcsnMFSheng的博客
08-08 2032
软件安全基本概念,包括病毒和木马,软件漏洞,漏洞库,渗透测试,实验环境,Linux基本指令
软件安全概述
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-28 9685
文章目录1、软件安全的重要性2、软件安全面临的威胁3、软件安全的概念用信息安全基本要素解读软件安全相关概念辨析4、软件安全的研究内容信息保障的概念软件安全的主要方法和技术 1、软件安全的重要性 相关定义: 零日漏洞:未被公开过的漏洞,没有给软件厂商和作者时间去修补漏洞,或者已经验证的存在的但不被公开披露的漏洞 网络战:网络战是一种黑客行为,它通过破坏对方的计算机网络和系统,刺探机密信息达到自身的政治目的。 软件安全软件时程序、数据、文档的集合体。软件安全就是使软件在受到恶意攻击的情形下依然能够继续正确运
软件安全
qq_39249347的博客
02-15 856
软件安全问题 Web应用安全性漏洞中,其中包括未经验证的输入、跨站点脚本、缓冲区溢出、注入攻击( injection flaws )和不恰当的错误处理。程序中的错误代码以及没有充分进行检查和验证的数据造成了这些缺陷的发生。 软件安全软件的质量和可靠性紧密相关,但又略有不同。软件的质量和可靠性关心的是一个程序是否意外出错,这些错误是由一些随机的未预料到的输入、系统交互或者使用错误代码引起的,...
信息系统安全导论第六章网络安全
JieBao11的博客
03-10 261
武大信息系统安全导论(王鹃)学习记录
信息系统安全导论第五章之可信计算
A_991128a的博客
03-18 1598
1.1 可信计算的定义可信计算是增强信息系统安全的一种行之有效的技术。它基于一个硬件安全模块,建立可信的计算环境。可信硬件安全模块担任信任根的角色,通过密码技术、硬件访问控制技术和存储加密等技术保证系统和数据的信任状态。1.2 可信计算的基本思想3)基本思想:首先建立一个信任根,再建立一条信任链。从信任根开始到可信硬件平台、到可信操作系统、再到可信应用系统,一级度量一级,一级信任一级。从而把这种信任扩展到整个计算机系统。1.3 可信计算的关键技术1)信任根技术。
pwn-格式化字符串漏洞
苗_的博客
09-07 955
一直想写一篇关于这个漏洞的博客,刚好借着今天刷到buu的【第五空间决赛2019】PWN5这道题来系统讲一下格式化字符串漏洞: (这里这道题还是蛮简单的,主要是去理解这个漏洞的原理,关于该漏洞的难度稍大的题会零开博客讲解) 看一下几个经常用来测试格式化字符串的格式控制符%d 用于读取10进制数值 %x 用于读取16进制数值 (这两个都可以起到泄露信息的作用)%s 用于读取字符串值  即泄露任意地址信息 (%d,%x只能泄露原有栈的内容,结合%s就可以泄露任意地址的内容) (%s不直接打印栈中内容,而是通过.
软件与系统安全笔记】二、软件与系统安全基础
框架科工:Framecraft
09-12 1076
这是《【软件与系统安全】笔记与期末复习》系列中的一篇
XXX软件系统安全保障方案.doc
03-17
软件系统安全保障方案,包括目录结构和一些通用性的描述。目录结果: 安全保障方案 1 目 录 1 1、 保障方案概述 3 2、 系统安全目标与原则 3 2.1 安全设计目标 3 2.2 安全设计原则 3 3、 系统安全需求分析 4 4、 系统安全需求框架 6 5、 安全基础设施 6 5.1 安全隔离措施 7 5.2 防病毒系统 7 5.3 监控检测系统 7 5.4 设备可靠性设计 7 5.5 备份恢复系统 7 6、 系统应用安全 7 6.1 身份认证系统 7 6.2 用户权限管理 7 6.3 信息访问控制 8 6.4 系统日志与审计 8 6.5 数据完整性 8 7、 安全管理体系 8 8、 其他 9
软件系统安全保障方案
11-20
项目交付时,必须提供的系统安全保障方案,大家软件项目交付时可以参考
软件安全
鱼翔浅底
10-23 2491
2.4应用软件安全2.4.1重要性    软件主要指计算机系统中的程序(源程序和执行程序)以及程序运行所必须的数据和文档。信息系统中各种软件程序的安全必须得到重视,事实上,系统的硬件和操作系统提供了完成系统设计目标的可能性,而具体的任务需要有各种各样的软件配合来完成。所以有了操作系统的安全,还需要有软件安全软件安全的重要性源于软件与其所处理和维护的数据密不可分,而这些数据包含的信息就是建设信息
软件安全-基础知识
写代码的小阿帆的博客
05-20 933
#软件加解密 不同于其他传统制造业,软件的制作过程中没有其他原料成本,唯一的成本就是人力,随着互联网世界的发展,软件世界也不断变得庞大,其中凝结的人类劳动也越来越多,而这些软件的价值也越来越大,无疑会引起一些不法分子的觊觎,如果这些劳动被他人轻易“借鉴”,那么对软件开发者无疑是不公平的,由此产生了软件安全中的两大方向-软件的加密和解密。 软件的加密和解密是矛盾的两个方面,他们在斗争中相互进步,又相互依赖,是对立统一的辩证关系。但从理论上来说,没有不可解密的保护。所以想从技术上完全实现保护是不可能的,所以如果
软件安全期末总结
夏日 の blog
07-05 7253
软件自身安全(软件缺陷与漏洞)、恶意软件攻击与检测、软件逆向分析(软件破解)与防护按漏洞可能对系统造成的直接威胁划分获取访问权限漏洞、权限提升漏洞、拒绝服务攻击漏洞、恶意软件植入漏洞、数据丢失或泄露漏洞等按漏洞的成因划分输入验证错误、访问验证错误、竞争条件错误、意外情况处理错误、设计错误、配置错误、环境错误等按漏洞的严重等级划分可分为高、中、低三个级别远程和本地管理员对应为高,普通用户权限、权限提升、读取受限文件远程和本地拒绝服务对应为中,远程非授权文件存取、口令恢复、欺骗。
软件安全2
Chris
06-07 248
接上篇 在对安全有很高限制的地方,我们应该提供视图 供用户操作,不提供基础数据库表。<o:p></o:p> 在我们的技术服务平台上,我们应该考虑使用这种方式,<o:p></o:p> <o:p> </o:p> <o:p> </o:p> 1、         注册用户和非注册用户所能访问的资
信息安全导论
wpx02的博客
06-13 5700
信息安全导论
系统与软件安全研究(一)
至臻求学,胸怀云月
03-02 746
一篇usenix secrity 2022基于FreeRTOS的安全性增强文章阅读
探究ASP.NET项目:企业内部交互系统源代码解析
标题“深入体验之企业内部交互系统”和描述“深入体验ASP.NET项目开发第9章之企业内部交互系统源代码”所涉及的知识点主要集中在企业内部交互系统的开发和实现上,特别是通过ASP.NET平台进行的企业级应用开发。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值