| 【软件工程】软件安全技术 全章节 两万字总结! | 您所在的位置:网站首页 › 保证软件安全的主要技术手段 › 【软件工程】软件安全技术 全章节 两万字总结! |
|
Typora要搭图床才能很方便地移植图片,考虑到这次总结的内容比较繁杂,那么这次软件安全的整理就直接在博客上写。 整理得很费心😥三天码了三万多字,也画出了复习重点,如果多少有一些帮助的话,请关注一下博主噢~ 软件安全技术 文章目录 ※CH01 软件与软件安全1.1 计算环境与软件1.1.1 计算环境1.1.2 二进制1.1.3 指令与指令集1.1.4 软件的形式和概念(理解)1.1.4.1 软件概念1.1.4.2 软件主要内容1.1.4.3 软件的形式 1.2 信息安全与软件安全1.2.1 信息与信息安全1.2.2 软件安全概念(掌握) 1.3 软件安全的几个重要概念(掌握)1.3.1 漏洞和脆弱性1.3.2 软件质量与安全性 ※CH02 典型软件安全问题2.1 安全问题来源2.2 常见的设计问题2.3 语言问题2.3.1 C/C++问题 2.4 平台问题2.5 OWASP TOP 102.6 CWE TOP 252.7 开发过程问题 ※CH03 安全软件工程3.1 SSE-CMM(掌握)3.1.1 SSE-CMM背景和发展3.1.2 SSE-CMM主要内容3.1.3 关于安全软件工程与评估-基于SSE-CMM的实施3.1.4 关于SSAM - SSE-CMM评定方法 3.2 SDL-安全开发生命周期模型(掌握)3.2.1 关于SDL3.2.2 SDL概览3.2.3 SDL各个阶段特征2.3.4 SDL简化实施及优化模型 ※CH04 软件安全测试-安全测试的内容及方法4.1 软件安全测试4.2 软件安全测试方法4.3 安全测试的实施方法4.3.1 基于风险的安全测试4.3.2 白盒、黑盒、灰盒测试 4.4 安全漏洞分级4.5 典型安全测试工具 * ※CH05 编写安全的代码5.1 SD35.1.1 Secure by Design 安全设计5.1.2 Secure by Default 缺省安全5.1.3 Secure in Deployment 安全提交 5.2 安全规则(理解) ※CH06 一个信息系统的安全模型分析6.1 信息系统及其特征(理解)6.2 信息系统的安全问题分析(理解)6.3 信息系统的安全模型6.3.1 用户界面逻辑6.3.2 业务逻辑6.3.3 异常检测机 6.4 信息系统的异常行为探测6.4.1 异常行为6.4.2 日志分析6.4.3 网络异常探测机6.4.3.1 数据流量异常6.4.3.2 服务器连接异常6.4.3.3 文件访问异常6.4.3.4 日志文件保护 ※CH07 Web应用安全7.1 Web应用的概念7.2 Web应用安全建模框架7.2.1 Web应用威胁建模(微软) 7.3 Web应用安全模型7.3.1 方法概述7.3.2 一个安全模型 ※CH08 一个安全过程模型与工程模板8.1 核心工作8.2 过程模型8.3 过程实施要点 ※CH09 隐私保护问题9.1 GDPR9.2 中国隐私权法律规定9.2.1 在我国隐私权的法律规定9.2.2 侵犯隐私权的范畴 9.3 GB/T35273-2017-个人信息安全规范 ※CH10 对威胁的认识-微软MSDN-威胁与对策(补充材料)10.1 对攻击的剖析10.2 网络威胁和对策10.3 主机威胁和对策10.4 应用程序威胁和对策10.4.1 输入验证10.4.2 身份验证10.4.3 授权10.4.4 配置管理10.4.5 敏感数据10.4.6 会话管理10.4.7 加密10.4.8 参数操纵10.4.9 异常管理10.4.10 审核和记录 ※ 考前背几个典型问答 ※CH01 软件与软件安全 1.1 计算环境与软件 1.1.1 计算环境 计算机网络互联网通信终端通信网络 1.1.2 二进制 计算机处理符号:0 1,由0 1构成二进制数,二进制数构成机器语言位运算符:与& 或| 取反~ 复合赋值&= 识别漏洞->漏洞分级。Web安全步骤:确定安全目标;创建应用程序概述;分解应用程序;确定威胁;确定漏洞。考试,最终考察了很多STRIDE模型,可惜我没有好好背这部分(′⌒`)知识点实在是太繁杂,最后用几句应该牢记于心的话收个尾: 所有的输入都是威胁,所有的输入都应该被验证! ISO7498-2标准是个重点! 牢记最小权限原则! 最后的最后,希望软件安全期末考试顺顺利利┗|`O′|┛ |
| CopyRight 2018-2019 实验室设备网 版权所有 |