软件开发安全PPT课件

软件开发安全SoftwareDevelopmentSecurity,CISSP培训PPT之九,1,.,关键知识领域,A.理解安全的概念并将其应用于软件开发的生命周期A.1软件开发的生命周期A.2成熟度模型A.3操作与维护A.4变更管理B.理解环境与安全控制B.1软件环境的安全B.2编程语言的安全问题B.3源代码的安全问题（如缓存溢出、权限升级、后门程序）B.4配置管理C.软件安全的有效性评估C.1认证与认可（即系统授权）C.2审计与记录C.3风险分析与风险减缓,2,.,目录,哪里需要安全？系统开发生命周期软件开发生命周期安全软件开发的最佳实践软件开发模型能力成熟度模型集成变更控制编程语言和概念分布式计算移动代码Web安全数据库管理专家系统/基于知识的系统人工神经网络恶意软件（malware）,3,.,哪里需要安全,(1)为打败竞争对手向市场发布带有缺陷的软件,(2)黑客发现新软件中的新脆弱性和弱点,(3)在网站上公布这些脆弱性和利用它们的方法,(4)供应商开发并发布补丁,以修复脆弱性,(5)新补丁添加到大量的软件补丁中,所有网络管理员都需要测试和安装它们,4,.,哪里需要安全,不同的环境需要不同的安全环境与应用程序软件控制主要通过操作系统、应用程序、数据库管理控制来实现功能的复杂性功能需求-安全需求-安全机制的平衡数据的类型、格式与长度处理数据输入时，长度不是唯一需要考虑的对象实现和默认配置问题理想的默认配置是默认拒绝，由于用户的友好配置往往实现的是最低安全防护,5,.,系统开发生命周期,启动（Initiation）需要一个新的系统被定义采购/开发（Acquisition/Development）新系统创建或购买实施（Implementation）新系统安装到生产环境运行/维护（Operations/Maintenance）系统的使用和关注处置（Disposal）系统从生产环境中删除,6,.,启动（Initiation）,确定安全需求（IdentifySecurityNeeds），包括信息/应用的安全级别和关键程度、基本安全目标、安全控制工作量；评估备选方案（EvaluateAlternatives）初始风险分析（InitialRiskAnalysis），包括威胁/缺陷/风险、安全备选方案的技术、操作、经济可行性分析、安全相关成本效益评价；方案的选择/批准（Select/ApproveApproach）确定安全框架（IdentifySecurityFramework），包括基本安全问题和风险、确定服务水平协议。,7,.,采购/开发（Acquisition/Development）,需求分析（Requirementsanalysis）正式的风险评估（Formalriskassessment）安全功能需求分析（Securityfunctionalrequirementsanalysis）安全保障需求分析（Securityassurancerequirementsanalysis）第三方评估（Third-partyevaluations）安全计划（Securityplan）安全测试和评估计划（Securitytestandevaluationplan）,8,.,实施（Implementation）,实施阶段着重于如何使用和操作开发好的系统或应用程序。产品需要配置到一个正确的保护级别。应当执行功能性和性能测试，同时应当分析结果并将其与公司的安全需求进行比较认证（certification）一个检查和评估安全控制的过程，通常由外部独立检查机构执行认可（accreditation）管理层对系统的正式认可，也是对风险的明确接受。,9,.,运行/维护（Operations/Maintenance）,运行和维护阶段开始部分的工作包括配置新系统并将其正确地接入网络和工作环境通过持续进行脆弱性测试，监控系统活动和审计事件，就可以实现运作保证如果系统、产品或环境产生重大变化，那么就可能需要执行一次新的风险分析与一个新的认证和认可过程,10,.,处置（Disposal）,当系统过期或报废时，可能需要采取一些步骤来保证以安全的方式进行过渡。根据系统中保存的数据的敏感度级别，应该采取不同的处理方式信息可能需要归档、备份至另一个系统、舍弃或者销毁如果数据是敏感的，并且需要被销毁，那么可能需要通过重写、消磁或者物理破坏存储介质进行清除。,11,.,NIST所提供的SDLC模型分解,12,.,软件开发生命周期,项目管理（ProjectManagement）需求收集阶段（RequirementsGatheringPhase）设计阶段（DesignPhase）开发阶段（DevelopmentPhase）测试/验证阶段（Testing/ValidationPhase）测试类型（TestingTypes）发布维护阶段（Release/MaintenancePhase）,13,.,项目管理（ProjectManagement）,项目管理流程应到位，以确保软件开发项目的正常执行每一个生命周期阶段。项目管理是产品开发的一个重要组成部分，安全管理是项目管理的一个重要组成部分。一个安全计划应该制定在开发项目的开始并融入功能性计划，以确保安全都是不容忽视的。第一个计划是广泛的，涵盖广泛的基础，为更详细的信息记录引用。任务分解（WBS）是一种用于以有组织的方式定义和组项目的各个工作元素的项目管理工具。SDLC的应以WBS格式被示出，以使各相的妥善处理。,14,.,需求收集阶段（RequirementsGatheringPhase）,安全需求安全风险评估隐私风险评估风险级别验收,需求活动,%,设计活动,%,实现活动,%,需求活动中发现的一定比例的脆弱性将在需求分析、威胁建模和开发滥用案例过程中修复,在需求和设计活动中发现的一定比例的脆弱性将在设计审查和验证过程中修复,在需求、设计和编码活动中发现的一定比例的脆弱性将在代码审查、静态分析和安全测试过程中修复,目标是将导致脆弱性的剩余缺陷最小化,15,.,设计阶段（DesignPhase）,信息模型规定被处理信息的类型以及处理方式功能模型概括应用程序需要执行的任务和功能行为模型说明应用程序在特定事务处理发生过程中和发生之后的状态,设计,编码,测试,功能模型,行为模型,信息模型,数据设计,体系结构设计,过程设计,程序模块,已确证软件,16,.,设计阶段,威胁建模攻击面分析,17,.,开发阶段（DevelopmentPhase）,根据详细设计规格说明构建源代码（ConstructSourceCodeFromDetailedDesignSpecification）编写或采购并安装安全相关代码（WriteorProcureandInstallSecurity-relatedCode），包括对代码的访问控制、标识和标识/记录；执行和评估单元测试（PerformandEvaluateUnitTests）执行单元测试并评估安全代码；在最终系统中实施详细设计（ImplementDetailedDesignintoFinalSystem）确保加入正式基线中包含并经过批准的安全部件。,18,.,测试/验证阶段（Testing/ValidationPhase）,职责分离不同类型的环境（开发，测试和生产）应该适当分开，功能与操作不应重叠。开发人员不应该有机会获得在生产中使用的代码。代码应测试，提交给一个库，然后发送到生产环境。,19,.,测试类型（TestingTypes）,单元测试（Unittesting）个体组件位于一个受控的环境中，编程人员在这里确证数据结构、逻辑和边界条件集成测试（Integrationtesting）验证组建是否按设计规范中概述的那样协同工作验收测试（Acceptancetesting）确保代码满足客户的需求回归测试（Regressiontesting）进行系统变更后重新测试，以确保功能性、性能和保护级别,20,.,发布维护阶段（Release/MaintenancePhase）,系统部署阶段的相关安全活动包括：活动安全方面的认可（Accreditation）；用户安全相关培训；系统安装和数据迁移（DataConversion）等；系统维护阶段的相关安全活动包括：对系统的监视、评估、审计、修补，确保安全控制有效运行；确保系统连续运行、服务水平以及安全事件响应和更改控制等；系统更新阶段的相关安全活动包括：对更新内容开发和部署过程的安全控制等；,21,.,安全软件开发最佳实践,OWASPTop102013注入失效的身份认证和会话管理跨站脚本不安全的直接对象引用安全配置错误敏感信息泄露功能级访问控制缺失跨站请求伪造（CSRF）使用含有已知漏洞的组件未验证的重定向和转发,22,.,软件开发模型,构造修改模式基本上，没有架构设计是在生成修改模型。瀑布式瀑布式开发模型于1970年代提出，是一种早期的系统开发模型，虽然它对于大型和复杂的开发项目显得不够灵活和高效，但仍然得到广泛采用。,可行性,分析,设计,实施,测试,维护,23,.,软件开发模型,V型模型原型法（Prototyping）为了克服瀑布模型的缺点而于1980年代提出的系统开发方法，其特征是首先建立一个应用程序的简化版本（原型），用于检查、分析和收集用户意见，在此基础上开发出更好的版本，再重复上述步骤直到开发出最终版本。,需求,系统测试计划,系统测试,高层设计,集成测试计划,集成测试,底层设计,单元测试计划,单元测试,实施,24,.,软件开发模型,增量模型,系统/信息工程化,分析,设计,编码,测试,增量1,第一次增量交付,分析,设计,编码,测试,第二次增量交付,分析,设计,编码,测试,第三次增量交付,分析,设计,编码,测试,第四次增量交付,增量2,增量3,增量4,25,.,软件开发模型,螺旋模型（SpiralModel）一种结合了瀑布和迭代开发技术的混合模型，类似于原型法，不过每个迭代过程都使用瀑布模型加以规范，应用系统通过一次次瀑布式开发得以不断细化和完善，并且在每个周期进行一次项目风险分析以确定是否继续下一个开发周期；快速应用开发,原型周期,论证,改进,构建,分析和快速设计,测试,实施,26,.,能力成熟度模型,软件能力成熟度模型（CapabilityMaturityModelforSoftware，CMM）是卡耐基美隆大学软件工程研究所（CEI）于1991年提出的软件质量管理方法，它将软件开发商的开发能力分为五个级别：初始型（Initial），开发过程处于即兴和混乱状态，软件从成功依赖于个人的能力；重复型（Repeatable），采用了项目管理的方法对开发费用、进度和产品功能进行跟踪，可以重复以前有效的开发过程；定义型（Defined），使用书面方式定义一整套标准化的管理和工程方法，以便用于机构的不同项目；量化管理型（QuantitativelyManaged），对软件开发过程和软件质量进行量化考核以确保开发过程得到良好执行；持续优化型（Optimizing），在量化考核的基础上使开发过程得以持续改善；,27,.,能力成熟度模型,第1级初始,第2级可重复,第3级定义,第4级管理,第5级优化,流程无法预测，管理不良，是反应式的,针对项目特征的流程，并且是可重复的,针对组织机构特征的流程，并且是前瞻性的,对流程进行量化评估和控制,专注于持续的流程改善,28,.,变更控制,1.为变更提出正式申请。2.分析需求。A.制定实施战略。B.计算实现的成本。C.审查任何安全问题。3.记录变更请求。4.提交变更请求审批。5.开发变更。A.重新编码产品程序段，并添加或删减功能。B.链接这些变更的代码到正式的变更控制申请。C.提交软件测试和质量认证。D.重复过程直到能够保障质量。E.记录变更版本。6.报告结果管理层。,29,.,编程语言和概念,计算机编程语言分为五代：第一代：机器（Machine）语言，CPU能直接执行的语言，每种类型的计算机都有自己的机器语言；第二代：汇编（Assembly）语言，使用符号代表执行重要指令的一组二进制代码，简化了程序编写过程，属于过程（Procedural）语言；第三代：高级（High-level）语言，也被认为是过程语言，因为也需要它告诉机器怎样做，但语言风格更接近于自然语言，如COBOL、FORTRAN、BASIC、C语言；第四代：非常高级（VeryHigh-level）语言，不是过程语言，因为它只要告诉机器做什么，而无需告诉怎么做，所以编程更简单，如查询（Query）语言、报表生成器；第五代：自然（Natural）语言，非常接近于人类语言，无需程序员学习特定的编程语法，使编程过程更接近于使用人类语言与机器对话，如专家系统、人工智能语言；越高级的编程语言与人类的语言越相近，越简单，编程速度越快，标准化程度越高，也就越安全。,30,.,语言翻译器,汇编器（Assembler），用于将汇编语言代码转换为机器语言代码；编译器（Compiler），用于将高级语言代码一次性转换为机器语言结果代码（ObjectCode），以后可以在相同类型的计算机上直接运行；解释器（Interpreter），用于在程序执行过程中将高级语言代码依执行顺序逐一转换为机器指令，以后每次执行时都要重复这一过程；反编译器（Decompiler），将机器代码转换为高级语言；反汇编器（Deassembler），将机器代码转换为汇编语言，反编译和反汇编都是反向工程（Reverse-Engineering）技术，被大多数结果代码提供商所禁止；,31,.,面向对象编程,类（Classes），将属性（即数据）及相关方法（即操作）结合构成类，类的实例（Instance）被称为对象（Object）；封装（Encapsulation），外部不能直接访问对象的数据，只能通过对象的方法进行，以防止外界对内部的干扰和误操作，是一种重要的数据隐藏（DataHiding）技术；多态（Polymorphism），对象可在确保类型安全的前提下，根据输入参数类型的不同进行不同的操作，使一个对象在不同条件下呈现不同的特征；继承（Inheritance），相关的对象类具有类似的特征，子类（Subclass）可以继承父类（Superclass）特征，并在此基础上增加新的特征；将所有预定类型和用户定义类型都表现为类，所有操作都是通过向对象发送消息（Message）的方式进行；,32,.,内聚和耦合,内聚（cohesion）反映某个模块能够执行多少种不同类型的任务的术语耦合（coupling)一种度量，表示一个模块完成其任务需要进行多少交互低（松散）耦合：模块在执行其任务时不需要与太多的其他模块通信高耦合：一个模块在执行其任务时需要依赖其他许多模块,33,.,分布式计算,DistributedComputingEnvironment（DCE分布式计算环境）分布式计算环境（DCE）是设计用来作为现有的硬件、操作系统、网络与分布式应用程序之间的中间抽象层来执行的。DCE核心由以下部分组成：（1）DCE线程：提供进程内多线程的创建、管理及同步的手段。（2）DCE远程过程调用：包括开发工具、开发应用程语言和编辑工具。（3）DCE的目录服务：维护分布式资源，基于RPC监听资源统一的命名机制和位置无关性。（4）DCE分布式时间服务：提供不同计算机之间的时间同步机制。（5）DCE安全服务：提供DCE中安全通信及资源访问控制。（6）DCE分布式文件系统：使用户可以访问或共享位于网上的文件服务器上的任意一个文件，而不需要知道器物理地址。它包括缓存管理器、文件发布器、令牌管理器、DCE本地文件系统和复制服务器。,34,.,CORBA与ORB,OMG：在环境中使用不同服务而开发的模型ORB：建立对象间客户端/服务器关系的中间件,35,.,COM与DCOM,COM-组件对象模型一种允许某个应用程序内或相同计算机系统上不同应用程序之间实现进程间通信的机制DCOM-分布式组件对象模型支持分布式IPC,36,.,SaaS,SaaS是Software-as-a-Service（软件即服务）的简称，随着互联网技术的发展和应用软件的成熟，在21世纪开始兴起的一种完全创新的软件应用模式。SaaS：提供给客户的服务是运营商运行在云计算基础设施上的应用程序，用户可以在各种设备上通过瘦客户端界面访问，如浏览器。消费者不需要管理或控制任何云计算基础设施，包括网络、服务器、操作系统、存储等等；PaaS：提供给消费者的服务是把客户采用提供的开发语言和工具（例如Java，python,.Net等）开发的或收购的应用程序部署到供应商的云计算基础设施上去。客户不需要管理或控制底层的云基础设施，包括网络、服务器、操作系统、存储等，但客户能控制部署的应用程序，也可能控制运行应用程序的托管环境配置；IaaS:提供给消费者的服务是对所有设施的利用，包括处理器、存储、网络和其它基本的计算资源，用户能够部署和运行任意软件，包括操作系统和应用程序。消费者不管理或控制任何云计算基础设施，但能控制操作系统的选择、储存空间、部署的应用，也有可能获得有限制的网络组件（例如，防火墙，负载均衡器等）的控制。,37,.,分布式计算移动代码,能够通过网络传送并由另一端的一个系统或设备执行的代码JavaApplet面向对象的、与平台无关的编程语言编程人员创建Javaapplet并在编译器上运行Java编译器将源代码转换为字节码用户下载JavaAppletJVM将字节码转换为机器语言（针对具体处理器）Javaapplet在调用时运行ActiveX控件基于COM和DCOM的OOP技术与工具构成Java为代码运行建立一个沙盒，并且限制代码访问ActiveX使用依赖于数字签名和信任认证授权的身份验证技术,38,.,Web安全,针对Web环境的特定威胁,39,.,针对Web环境的特定威协,信息收集管理界面身份验证和访问控制输入验证参数验证会话管理,40,.,数据库管理,基于角色的数据库管理,41,.,数据库管理软件,这个软件被称作一个数据库管理系统（DBMS），通常是由一个数据库管理员控制。它不是将数据保存在网络中的几台不同服务器上，从而方便进行集中管理。它可以更容易备份。它提供了事务持久性。它允许全面的一致性，因为所有的数据都在一个中心位置保存和维护。它提供了恢复和容错能力。它允许与多个用户的数据的共享。它提供了实现完整性检查，访问控制和保密的必要水平的安全控制。,42,.,数据库模型,层次（hierarchical）数据库，一种早期数据库模型，其代表是IBM公司1969年推出的信息管理系统（InformationManagementSystem，IMS），目前只有少数遗留系统（LegacySystem）还使用这种数据库，其特征是记录型之间的树状层次结构关系；网状（Network）数据库，也是一种早期的数据库模型，它是由1971年美国数据系统委员会（CODASYL）的数据库任务组（DBTG）提出，它克服了层次数据库只能表示单树结构关系的弱点，对于层次和非层次结构的事物都能比较自然的模拟，所以在关系数据库出现以前较为常见；,43,.,数据库模型,关系（Relational）数据库，当前的主流数据库模型，基于集合论（TheorySet）和谓词逻辑（PredicateLogic），抽象级别比较高；对关系数据库的操作是高度非过程化的，用户不需要指出特殊的存取路径，路径的选择由DBMS的优化机制来完成；面向对象（Object-Oriented）数据库，一种新兴的数据库模型，它将所存储的数据视为对象，这种模型通常是在关系数据库的基础上增加了面向对象的接口；终端用户（End-User）数据库，如Dbase、Access等文件型数据库；电子表格（Spreadsheets），如Excel。,44,.,数据库编程接口,开放数据库连接（OpenDatabasesConnectivity，ODBC）为数据库查找到执行翻译的、针对具体数据库的必要驱动程序，进而将请求翻译为特定数据库能够理解的数据库命令对象连接和嵌入数据库（ObjectLinkingandEmbeddingDatabase，OLEDB）作为中间件运行在客户端或者服务器上替代ODBC，可支持非关系数据库基于COM接口与OLE无关开发人员通过ActiveX数据对象（ADO）访问允许不同的应用程序访问不同类型和来源的数据,45,.,数据库编程接口,活动数据对象（ActiveDataObjects，ADO）允许应用程序访问后端数据库系统的API，使用OLEDB接口连接数据库针对底层数据访问技术的高级数据访问编程接口用于访问数据来源、而不只是用于数据库访问的CPM对象允许开放人员编写程序来访问数据使用ADO时，SQL命令不需要访问数据库Java数据库连接（JavaDatabaseConnectivity，JDBC）允许Java应用程序与数据通信的API一个与ODBC相同的功能的API，专门为Java数据库应用程序设计使用独立于数据库的连接使Java程序能够执行SQL语句的JavaAPI,46,.,关系数据库组件,数据定义语言（DDL）定义数据库的结构和模式定义数据库的结构、访问操作和完整性过程数据库操作语言（DML）包含了使用户能够查看、操作和使用数据库的所有命令（view、add、modify、sort和delete命令）查询语言（SQL）使用户可以对数据库提出查询请求报表生成器以用户定义的方式生成数据打印输出,47,.,关系数据库组件,字典（DataDictionary）数据字典是数据元素定义、模式对象和引用键的集中式集合。主键（PrimaryKey）唯一标识条目中具体实例（Instance）的属性或属性集，一个表必须有一个主键，可以成为主键的属性被称为候选键（CandidateKey），主键是候选键的一个子集，主键以外的候选键被称为备用键（AlternateKey）；外键（ForeignKey）在其它表中是主键的本表属性被称为本表的外键，外键的值表示与其它表条目的联系，关系数据库通过主键和外键的这种联系体现数据之间的基本关系。,48,.,完整性,并发（Concurrency），多个事务同时访问数据库中某数据对象的情况，如果不采取适当的控制措施，就可能危害到数据对象的完整性，数据库主要采取锁（Lock）机制保护并发环境下的数据完整性；原子化（Atomic），为了防止事务过程中断造成数据对象的不一致，事务过程应该实现原子化，即要么完成了事务处理，要么对数据对象不产生影响；完整性规则（IntegrityRules），对表中的值及其关系进行约束，可分为；实体（Entity）完整性，主键值不能为空（Null）；参照（Referential）完整性，外键值必须有对应的主键值；,49,.,数据库安全问题,聚合（Aggregation），将来自不同信息源的非敏感信息组合获知敏感信息的数据库攻击方法；并行（Concurrency），对某一数据的并行访问可能引起访问过时数据、数据不一致或死锁等问题；推论（Inference），通过可访问信息推论出非受权信息，如通过查看病人的处方推论出病人的病情，是最难防范的数据库威胁；多实例（Polyinstantiation），数据库中有多个位置存储同一信息，这种情况下实现信息的同步更新确保其完整性将会比较困难；查询攻击（QueryAttacks），使用查询工具直接访问数据库服务绕开应用程序控制的攻击方式；,50,.,数据仓库和数据挖掘,数据仓库（DataWarehousing）集中存储来自机构各个数据源的历史数据，以便通过对数据的分析支持机构的管理决策；数据集市（DataMarts）与数据仓库不同，它只集中了机构中某部门或某专题的数据；构建数据仓库的步骤包括：将所有信息汇集到一个大型数据库中；规格化（Normalize）数据，包括统一数据格式，清除重复数据项；挖掘（Mine）数据的关联性（Correlation），生成元数据（Metadata）；净化（Sanitize）元数据并将其输出给相关用户；将新的数据和元数据汇集到数据仓库。,51,.,数据挖掘,数据挖掘（DataMining），另一种从数据仓库发现信息的方法，其特点是揭示数据之间的隐含关系、模式和趋势，以便为管理决策提供信息，如对安全日志的深入分析；使用数据挖掘技术时应关注敏感信息，特别是隐私信息的泄漏问题，另外数据的完整性也是很重要的，因为数据的错误可能导致分析结果失真影响管理决策的效果。在线分析处理（OnlineAnalyticalProcessing，OLAP），该技术可以协助分析人员构造查询请求，并根据查询结果改进查询请求，为了能够有效地提取数据仓库的信息，要求分析人员充分了解机构的运行细节及其对管理数据的需求；,52,.,数据仓库和数据挖掘,管理层,数据分析员,编程人员数据库管理人员,53,.,基于功能的各种系统,54,.,专家系统/基于知识的系统,专家系统，也称为基于知识的系统，利用人工智能（AI）来解决问题。,55,.,专家系统,专家系统（ExpertSystem），收集和存储相关领域专家的知识，以推论计算模型模拟专家分析处理问题，得出和人类专家一样的结论，其主要部件包括：知识库（KnowledgeBase），用于收集和存储相关知识域（KnowledgeDomain）的数据和