软件安全概述

相关定义：

重要性分析：

1）软件漏洞

2）恶意代码 恶意代码指再未授权的情况下，以破坏计算机软硬件设备、窃取用户信息、干扰正常使用等为目的编写的软件或代码片段。 恶意代码包括 计算机病毒、蠕虫、特洛伊木马、后门、内核嵌套、间谍软件、恶意广告、流氓软件、逻辑炸弹、网络钓鱼、恶意脚本等。

3）软件侵权 计算机软件侵权行为主要有：

软件全定义： 对于软件安全，目前没有统一 的定义与标准。在国家标准中GB/T 30998—2014中给出的定义是：软件工程与软件保障的一个方面，他提供一种系统的方法来标识、分析和追踪对危害及具有危害性功能的软件缓解措施与控制。 在早期的定义中，著名安全专家加里.麦劳格提出的定义是：“在面零蓄意威胁 其可靠性的事件的情形下依然能够提供所需功能的能力” 在现代定义中，软件安全性被定义为“软件产品在指定适用范围环境下达到对人类、业务、财产或环境造成的损害的可接受的风险级别”。强调了软件安全与数据保密的密切联系，指出了软件安全问题的根源在于软件的设计缺陷。

1）CIA三要素

1）软件工程： 采用工程的概念、原理、技术和方法来开发和维护软件，把经过时间验证和考验过而证明正确的管理技术和经验方法结合起来，经济的、高效的进行计算机应用程序开发与维护。 2）软件危机

第一次软件危机：60~70年代，高级语言开始出现；操作系统的发展引起了计算机应用方式的变化，迫切需要改变软件生产方式，提高软件生产率，软件危机开始爆发

第二次软件危机：80年代~90年代，软件成本在计算机系统总成本中所占的比例居高不下，且逐年上升，软件开发生产率提高的速度远远跟不上计算机应用迅速普及深入的需要。

第三次软件危机：2005年至今，原因在于：用户需求不明确，缺乏正确的理论指导，软件开发规模越来越大，软件开发复杂度越来越高。 3）软件质量与软件质量保证 简单来说就是软件与需求的匹配程度。 4）软件保障 包括软件质量、软件安全性、可靠性、验证与独立验证等

PDRR模型： 保护—>检测—>响应---->恢复—>检测 信息保障的核心思想：纵深防护战略，基本技术思路如下：

网络空间信息安全与保障 网络空间信息存在透明性、传播的裂变性、真伪的混杂性、网控的滞后性使得网络空间安全面临前所未有的挑战。网络战场全球化，网络攻防常态化等突出问题，使得高效科学的管控网络成为重大课题。

基本方法：

主要防护技术：