软件安全设计

1、第一部分软件概念1.与一系统（尤指计算机系统）有关的程序、步骤和有关文件编制的完整集合。特指特定类型计算机所使用的程序的总称，连同与计算机或程序有关的资料，例如手册、图表和操作指令。2.根据冯诺依曼提出的“存储程序控制思想”，人们要控制计算机完成一定的工作，就要事先编写好一系列的控制命令，一步一步告诉计算机该如何做，然后将这一系列控制命令输入到计算机的存储器中保存，再让计算机按照一定的顺序逐一执行，从而完成我们所要求的工作。3.由人根据一定的需要事先编写的一系列控制计算机工作的命令，就称为计算机程序。安全概念信息定义所谓信息，就是客观世界中各种事物的变化和特征的最新反映，是客观事物之间联系的表

2、征，也是客观事物状态经过传递后的再现。信息安全信息安全”没有公认和统一的定义,国内外的论述大致可分为两大类： 1.一类是指具体的信息技术系统的安全。 2.而另一类则是指某一特定信息体系的安全。但是有人认为这两种定义失之于过窄，而应定义为：一个国家的社会信息化状态不受外来的威胁与侵害，一个国家的信息技术体系不受外来的威胁与侵害。信息安全的五个基本属性安全性可用性保密性可控性可靠性软件安全概念软件安全性是指软件不被恶意使用或者攻击进而造成用户信息资产损失的属性。软件安全：软件在恶意攻击下能够正确地完成其功能。软件安全的三个属性保护敏感信息不被未授权用户访问 软件的可信性，confidentiali

3、ty保护数据不被更改或破坏 软件的完整性integrity确保资源被授权用户的使用软件的可用性，availability如何得到安全的软件构建安全的软件是一个过程，这个过程包括：教育设计，接口选择和规格定义软件的实现和编验证、测试和评估软件提交和安全地执行软件的维护、BUG修复和调整漏洞及脆弱性安全漏洞（Security Hole）：计算机系统具有的某种可能被入侵者恶意利用的属性。有时安全漏洞也称为脆弱性（Vulnerability）。漏洞的本质：漏洞是系统的一组特性，恶意的主体（攻击者或者攻击程序）能够利用这组特性，通过已授权的手段和方式获取对资源的未经授权访问，或者对系统造成损害。当系统的

4、某个漏洞被入侵者渗透（exploit）而造成泄密时，其结果就称为一次安全事件（Security Incident）。1996年Matt Bishop和Dave Bailey，“计算机脆弱性（Computer Vulnerability）” ：“计算机系统由一系列描述构成计算机系统的实体的当前配置状态 (state) 组成，系统通过应用状态变换 (State Transition，状态转换)(即改变系统状态) 实现计算。使用一组状态变换，从给定的初始状态可以到达的所有状态最终分为由安全策略定义的两类状态：已授权的 (authorized，经授权的) 和未经授权的 (unauthorized ，未

5、被授权的，未经认可的)。漏洞是软件的属性。质量特性功能性可靠性易用性效率维护性可移植性关于软件安全的基本概念及认识安全的代码（secure code）： 能够抵抗恶意攻击的代码；安全的代码同时也是健壮的代码（robust code）安全性代码（security code）： 实现安全功能的代码。程序是“安全的”：安全隐含某种程度的信任（trust），程序实现了期望的机密性、完整性、可用性及其功能。第二部分安全问题来源1、漏洞漏洞是软件的属性2、攻击者3、软件存在的攻击路径攻击面问题意外行为及缺陷意外行为（Unexpected Behavior）：也称程序安全缺陷，是由于程序脆弱性引起的不适当的

6、程序行为。缺陷（Flaw）：缺陷可以是故障（Fault），或者失效（Failure）程序安全缺陷可能来源于任何种类的软件错误：无意或疏忽的故意或有意的缺陷类型Landwehr et al. 提出了程序缺陷分类方法（taxonomy）有意的缺陷（ Intentional，故意的）恶意的（Malicious）非恶意的（Nonmalicious）无意中的缺陷（ Inadvertent，不注意的；疏忽的） 确认错误（Validation（验证；合法性，有效）error） (incomplete / inconsistent) 域的错误（Domain error） 顺序化和混淆现象（Serializat

7、ion and aliasing） 不完全的身份识别和认证（Inadequate identification and authentication） 边界条件违反（Boundary condition violation） 其它可利用的逻辑错误（Other exploitable logic errors）漏洞类型软件漏洞包括设计漏洞和实现漏洞。漏洞是软件安全威胁的根源.设计漏洞：设计错误，往往发现于软件的安全功能特性中。实现漏洞：来源于软件实际编码中的安全缺陷。软件安全缺陷及其来源(以上)常见软件安全设计问题常见的安全设计问题1: 密码技术使用的败笔创建自己的密码技术选用了不当的密码技术依

8、赖隐蔽式安全编写到程序中的密钥错误地处理私密信息常见的安全设计问题2: 对用户及其许可权限进行跟踪的薄弱或缺失会话管理薄弱或者缺失身份鉴别薄弱或缺失授权薄弱或缺失常见的安全设计问题3: 有缺陷的输入验证没有在安全的上下文环境中执行验证，如在服务器验证而在客户端没有验证验证例程不集中，验证应尽可能靠近用户输入，并应集中以便于核实不安全的组件边界常见的安全设计问题4:薄弱的结构性安全过大的攻击面在过高权限级别上运行进程没有纵深防御失效时的处理不安全常见的安全设计问题5:其他设计缺陷代码和数据混在一起错将信任寄予外部系统不安全的默认值未做审计日志编程语言的问题 C/C+的问题问题1：没有安全的本地字

9、符串类型，也没有安全而易用的字符串处理函数。典型例子-缓冲区溢出（Buffer Overflow）C/C+问题2：缓冲区超限覆盖栈中的函数返回地址典型例子栈溢出（Stack Smashing）C/C+问题3：printf类型的格式化函数格式化字符串攻击C/C+问题4：整数溢出第三部分安全工程SSE/CMMSSE-CMM背景知识开发SSE-CMM的目的：降低开发和维护系统的花费；提高工程进度和预算的一致性；选择合适的承包者。发起者国防部；国家安全局。SSE-CMM主要内容能力方面：1、通用实施：增强执行任何过程能力的实现和制度化实施 。2、公共特征：一组实施，列出管理和制度化过程的相同方面 。3

10、、能力级别：共同工作的一组公共特征，主要增强执行一个过程的能力 。能力级别：能力级别非正式执行能力级别计划与跟踪能力级别充分定义能力级别定量控制能力级别连续改进域方面：1、基础实施：工程和安全实施是安全工程过程中必须存在的性质，指出特殊过程区的目的属于该过程区 。2、过程区：每个过程区（PA）是一组相关安全工程过程的性质，当这些性质全部实施后则能够达到过程区定义的目的。 3、过程类：一组过程区指出活动的同一通用区 。CMM的5个级别一级为初始级，二级为可重复级，三级为已定义级，四级为已管理级，五级为优化级。安全工程的三个基本过程安全工程分三个基本过程：风险、工程和保证风险过程是要确定产品或者系

11、统的危险性，并对这些危险性进行优先级排序工程过程是针对面临的危险性，安全工程过程与相关工程过程一起来确定并实施解决方案保证过程是建立起对解决方案的信任，并把这种信任传达给顾客SDL及它的三个阶段什么是 SDL?Secure Development Lifecycle微软可信计算(TrustWorthy Computing )努力的一个组成部分基于并行理念的标准软件开发过程基于威胁建模和测试SDL从三个方面考虑软件安全的保障。设计安全: 为了保护软件自身以及软件处理的信息,并抵御攻击,软件应该从架构,设计和实现上进行考虑.缺省安全: 设计者应该假定安全缺陷将会出现。为了当攻击者对软件存在的缺陷进

12、行攻击时使损害降到最小, 软件的缺省状态应该保证安全。比如,最小特权原则。提交安全: 工具和指南应该随着软件提供以帮助最终用户或管理员安全使用。关于软件的更新应该容易提交。威胁建模威胁建模过程：定义应用场景收集外部依赖列表定义安全假设创建外部安全备注绘制待建模应用的一个或多个数据流图确定威胁类型识别系统威胁判断风险规划消减措施常见安全设计原则隐私分级第四部分软件测试测试相关概念白盒、黑盒和灰盒测试白盒测试：也称明盒测试、开盒测试或信息充分测试。白盒测试可以看作是内部的攻击。测试人员可以访问源代码和设计文档，可以进行威胁建模或逐行的代码检查。白盒测试是找出漏洞最为有效的方法。黑盒测试：以局外人的

13、身份对系统进行攻击，使用工具检查系统的攻击面，并探查系统的内部信息。黑盒测试是白盒测试的补充。方向工程团队利用黑盒测试验证隐蔽式安全方法的强度。灰盒测试：组合使用白盒测和黑盒测试。白盒测试用于发现在设计和开发中详细说明的功能中的缺陷；黑盒测试在无法了解程序内部信息的时候找出缺陷。程序开发中的调试运行是典型的灰盒测试方法。两个模型TRAP模型及DREAD模型DREAD模型：进行威胁程度级别分析的有效技术。Michael Howard 和David Leblanc在编写安全的代码提出。DREAD：潜在的破坏（Damage potential）再现性（Reproducibility）可利用性（Exp

14、loitability）受影响用户（Affected users）可发现性（Discoverability）利用DREAD模型对威胁分级：潜在的破坏如果该漏洞被利用，所产生的破坏程度再现性探测并利用该漏洞所需要的努力要多久可利用性是否需要身份鉴别？需要身份鉴别不需要身份鉴别，但需要难以确定的知识不需要身份鉴别，也不需要特殊的知识受影响的用户漏洞利用的影响面有多大仅仅是特殊的配置普通情况默认用户或者大多数用户可发现性漏洞研究人员或黑客找出该漏洞的可能性TRAP模型基于可利用性提出。TRAP包括因素：时间（Time）可靠性（Reliability）/再现性（Reproducibility）访问（A

15、ccess）定位（Positioning）利用TRAP模型对威胁分析时间：某些漏洞可能需要长时间的探测并利用。如加密漏洞需要数千年的时间计算才能利用，表示该漏洞的风险非常低。可靠性/再现性：漏洞的严重程度依赖于该漏洞可被攻击者利用的可靠性或再现性。通常高级别漏洞的可靠性和可再现性高。访问：利用漏洞通常可以为攻击者提供更高的访问权。定位：利用一个漏洞，攻击者必须能够与存在该漏洞的应用程序交互，并能访问到含有该漏洞的代码。基于风险的测试的三个步骤： Step1 信息搜集 Step2 威胁（风险）建模 Step3 可用性分析9个高风险活动数据解析文件访问数据库访问生成子进程身份鉴别授权同步或会话管理

16、处理私密数据网络访问第五部分SDL的3原则安全设计安排具体的安全设计的人员；进行安全教育教育；确保威胁分析已经完成；符合安全设计和编码的指导原则；尽可能修补任何安全编程指南上的BUG;确保安全指南是逐步改进的；针对已经修复的缺陷开发回归测试；简化代码和安全模型；在打包以前完成穿透测试。缺省安全缺省状态下，不要设置所有的特点和功能；允许最小权限；恰当的资源保护。安全提交确认程序给管理员提供了安全功能；尽可能提供高质量的补丁；提供足够的信息以使用户安全的使用软件。第六部分信息系统安全一个信息系统的主要特征包括： 一定是依赖于计算机的； 涉及了计算机的软件和硬件； 实现数据的采集、传递、加工、处理功

17、能。系统的主要特性可以概括为： 1整体性系统的各个部分一定以整体目标为目标，追求全局最优； 2目的性一个系统一定是具有明确目标的，并完成一定的功能； 3层次性一个系统可以分为若干层次和子系统； 4边界性每一个系统都能够明显地区别于其他系统，系统之间有明确的界限； 5关联性系统包括若干元素，元素之间存在一定的关联性； 6环境性系统处于一定的环境之中并受环境影响。典型问题：1如何使经理消除对敏感信息失密的顾虑？2系统管理员是否可信？3系统第一次如何启动?即如何使用户获得第一次权限?4如何建立一个可信的口令机制？5如何确认某个操作人员的行为？6安全模型系统的使用者划分为：1. 用户,2.系统管理员,

18、3.信息主管（或企业主管）把整个系统划分为以下三个部分:1用户界面逻辑；2业务逻辑；3异常检测机。在系统安全方面要实现的主要功能包括：1访问控制；2抗抵赖；3数据保密；4身份鉴别；5授权机制；6日志审计；7系统异常探测。用户界面逻辑:用户界面逻辑主要包括两个部件：数据访问和登录控制。在系统启动时，用户首先登录系统，通过系统验证后才可以完成数据访问功能。通过登录控制界面，可以完成的主要功能包括：1口令验证；2口令修改；3口令数据的加密；4登录时间记录。关于登录控制的设计考虑：用户ID:用户输入用户ID，从权限数据中提取出相应的用户名。采用用户编号的原因是回避重名，简化输入，同时用户号本身也可以增

19、加一定的安全性。用户修改口令，而不是系统管理员:用户修改口令，而不是系统管理员系统管理员对用户授权，但是口令由用户在用户界面输入，并加密存储至后台数据库中，以避免系统管理员获取用户口令造成泄密。初始口令的安全:初始口令的安全系统的第一次运行关键是初始口令的赋予，由信息主管（或其他高层）完成用户身份的确认，同时要求用户第一次登录时必须更改初始口令.口令安全:口令安全(越复杂越长越好，最复杂是指数字加字母加符号)下表为在www.LockD公布的采用“暴力字母破解”方式获取密码的“时间列表”（该结果采用一台双核心PC）。用户封锁用户封锁所谓的用户封锁是当出现用户多次登录系统失败的情况时，系统将锁定用

20、户的操作并提示，解锁过程必须由系统管理员完成。如果是其他人员冒用用户身份尝试对系统攻击，则锁定后合法用户将会发现。ISO 7498 五种ISO7498-2标准中所定义的五种安全服务类型：1身份鉴别（Authentication）；2访问控制（Access Control）；3数据保密（Data Confidentiality）；4数据完整性（ Data integrity）；5抗抵赖（Non-reputation）。第七部分web安全（多啊，没抄完）关于WEB APPLICATION（4个定义）:采用HTTP协议完成通信的应用程序与后台WEB Server实现交互的程序与互联网（Interne

21、t）服务器，包括Web Server，database server进行交互的程序位于中间层，进行数据交互或者其他服务程序WEB应用特征:远程客户端程序专用客户端BROWSER通过Internet进行数据通信后端系统包括WEB Server，OS，以及数据库可能包括中间层（中间件）:-中间层应用实现客户端数据处理或者其他服务-中间层应用请求服务数据7.2.1 WEB应用安全建模（微软）活动：Web 应用程序的威胁建模目的：确定方案中的相关威胁和漏洞，以帮助您构建应用程序的安全设计。输入： 主要用例和使用方案 数据流 数据架构 部署关系图 输出： 威胁列表 漏洞列表 威胁建模的五个主要步骤如下图

22、 所示。应该通过重复执行步骤 2 至步骤 5 来逐步细化威胁模型。随着应用程序开发周期的向前推进，您会发现有关应用程序设计的更多内容，并能够添加更多细节。（图）五个步骤：步骤 1 ：确定安全目标。目标清晰有助于您将注意力集中在威胁建模活动上，以及确定后续步骤要做多少工作。 步骤 2 ：创建应用程序概述。逐条列出应用程序的重要特征和参与者有助于在步骤 4 中确定相关威胁。 步骤 3 ：分解应用程序。全面了解应用程序的结构可以使您更轻松地发现更相关、更具体的威胁。 步骤 4 ：确定威胁。使用步骤 2 和 3 中的详细信息来确定与您的应用程序方案和上下文相关的威胁。 步骤 5 ：确定漏洞。检查应用程序的各层以确定与威胁有关的弱点。使用漏洞类别来帮助您关注最常出现错误的区域。 7.3 一个WEB应用安全模型:威胁建模：一种用于理解和消除系统安全威胁的形式化的方法信息收集方法：定位文档（Locate written document）访问相关人员（Interview stakeholders）探查系统（Inspect system）分析:用户U