注冊 | 登錄讀書好,好讀書,讀好書!
讀書網(wǎng)-DuShu.com
當前位置: 首頁出版圖書科學(xué)技術(shù)計算機/網(wǎng)絡(luò)信息安全軟件安全工程

軟件安全工程

軟件安全工程

定 價:¥45.00

作 者: (美)艾倫 等著,郭超年,周之恒 譯
出版社: 機械工業(yè)出版社
叢編項: 華章程序員書庫
標 簽: 信息安全

ISBN: 9787111264835 出版時間: 2009-04-01 包裝: 平裝
開本: 16開 頁數(shù): 222 字數(shù):  

內(nèi)容簡介

  本書系統(tǒng)闡述了軟件安全丁程的知識。具體內(nèi)容包括:軟件安全的構(gòu)成、安全軟件的需求、安全軟件的架構(gòu)和設(shè)計、安全編碼和測試、系統(tǒng)集成、安全管理,等等。本書從軟件開發(fā)和漏洞攻擊兩個角度,以對立的觀點深刻闡述了構(gòu)建軟件安全的最佳實踐。同時,本書不遺余力提高閱讀的針對性,對高級經(jīng)理、項目經(jīng)理和技術(shù)管理人員的適用要點,各有強調(diào)論述。本書適合作為從事軟件開發(fā)、軟件測試、軟件安全及軟件丁程管理的技術(shù)人員的參考用書。與其他軟件相比,遵循安全理念開發(fā)的軟件可以更為有效地抵御、容忍攻擊并從攻擊中恢復(fù)。盡管并不存在軟件安全的萬能解決方案,但是項目經(jīng)理可以從中獲益的實例還是存在的。通過本書,你能找到一些可靠的實例,這些實例有助于提高軟件在開發(fā)和運行過程中的安全性和可信度。本書會幫助你理解:軟件安全不僅僅是消滅漏洞和執(zhí)行入侵檢測。網(wǎng)絡(luò)安全機制以及IT基礎(chǔ)安全服務(wù)并不能充分保障應(yīng)用軟件免受安全隱患的威脅。軟件安全的主動行為必須伴隨一種危險控制的方法,從而識別優(yōu)先級以及定義什么才是“足夠好的”——對軟件安全危險的理解隨著軟件開發(fā)生命周期而不斷改變。項目經(jīng)理和軟件工程師需要學(xué)會以攻擊者的方式來思考,從而指出軟件不能運行的功能范圍,以及軟件如何更好地抵御、容忍攻擊并從攻擊中恢復(fù)。

作者簡介

  Julia H. Allen,曾獲得密歇根大學(xué)的計算機科學(xué)學(xué)士學(xué)位和南加利福尼亞大學(xué)的電子工程碩士學(xué)位,目前是SEI的CERT項目的高級研究員。 艾倫,曾獲得密歇根大學(xué)的計算機科學(xué)學(xué)士學(xué)位和南加利福尼亞大學(xué)的電子工程碩士學(xué)位,目前是SEI的CERT項目的高級研究員。

圖書目錄

譯者序

前言
第1章 為什么安全是軟件的問題
1.1 概述
1.2 問題
系統(tǒng)復(fù)雜性:軟件與背景并存
1.3 軟件保證和軟件安全
工序和條例在軟件安全中的作用
1.4 軟件安全的威脅
1.5 軟件不安全的來源
1.6 早期檢測軟件安全漏洞的好處
為軟件安全設(shè)計案例:當前狀態(tài)
1.7 軟件安全開發(fā)管理
1.7.1 我該提出哪些安全策略問題
1.7.2 軟件安全的風險管理框架
1.7.3 開發(fā)周期中的軟件安全條例
1.8 小結(jié)
第2章 安全軟件的構(gòu)成
2.1 概述
2.2 定義安全軟件的屬性
2.2.1 安全軟件的核心屬性
2.2.2 安全軟件的相關(guān)屬性
2.3 如何改善軟件的安全屬性
2.3.1 防御者視角
2.3.2 攻擊者視角
2.4 如何確定所需的安全屬性
2.4.1 構(gòu)建安全保證案例
2.4.2 安全保證案例的例子
2.4.3 將保證案例融入到軟件開發(fā)周期中
2.4.4 其他安全保證相關(guān)和合法的工作
2.4.5 維持保證案例并從中獲益
2.5 小結(jié)
第3章 安全軟件的需求工程
3.1 概述
3.1.1 需求工程的重要性
3.1.2 質(zhì)量需求
3.1.3 安全需求工程
3.2 誤用和濫用案例
3.2.1 安全不是一套功能
3.2.2 想想你不能做什么
3.2.3 構(gòu)建有用的誤用案例
3.2.4 一個誤用的例子
3.3 SQUARE過程模型
3.3.1 SQUARE的簡單描述
3.3.2 工具
3.3.3 預(yù)期結(jié)果
3.4 SQUARE樣本輸出
3.4.1 SQUARE各個步驟的輸出
3.4.2 SQUARE的最終結(jié)果
3.5 需求啟發(fā)
3.5.1 各種啟發(fā)式方法概覽
3.5.2 啟發(fā)評估標準
3.6 需求排序
3.6.1 確定候選的排序方法
3.6.2 排序方法的比較
3.6.3 需求排序的一些建議
3.7 小結(jié)
第4章 軟件安全的架構(gòu)和設(shè)計
4.1 概述
4.1.1 架構(gòu)和設(shè)計的重要性
4.1.2 問題和挑戰(zhàn)
4.2 軟件架構(gòu)和設(shè)計安全條例:架構(gòu)風險分析
4.2.1 軟件特性描述
4.2.2 威脅分析
4.2.3 架構(gòu)性漏洞評估
4.2.4 確定風險可能性
4.2.5 確定風險影響
4.2.6 風險降低計劃
4.2.7 架構(gòu)風險分析簡要回顧
4.3 架構(gòu)和設(shè)計的軟件安全知識:安全原則、安全方針和攻擊模式
4.3.1 安全原則
4.3.2 安全方針
4.3.3 攻擊模式
4.4 小結(jié)
第5章 安全編碼和測試
5.1 概述
5.2 代碼分析
5.2.1 常見軟件編碼漏洞
5.2.2 源碼審查
5.3 編碼條例安全編碼的附加信息
5.4 軟件安全測試
5.4.1 比較軟件測試和軟件安全測試
5.4.2 功能測試
5.4.3 基于風險的測試
5.5 軟件開發(fā)前后考慮安全測試
5.5.1 單元測試
5.5.2 測試庫文件和可執(zhí)行文件
5.5.3 集成測試
5.5.4 系統(tǒng)測試
5.5.5 軟件安全測試的附件信息來源
5.6 小結(jié)
第6章 安全性和復(fù)雜性:系統(tǒng)集成的挑戰(zhàn)
6.1 概述
6.2 安全故障
6.2.1 錯誤分類
6.2.2 攻擊者行為
6.3 從功能和攻擊者視角看安全分析:兩個例子
6.3.1 Web服務(wù):功能視角
6.3.2 Web服務(wù):攻擊者視角
6.3.3 身份管理:功能視角
6.3.4 身份管理:攻擊者視角
6.3.5 身份管理和軟件開發(fā)
6.4 系統(tǒng)復(fù)雜性驅(qū)動和安全
6.4.1 更廣泛的故障
6.4.2 增量式開發(fā)和漸進式開發(fā)
6.4.3 沖突或目標改變的復(fù)雜性
6.5 深層技術(shù)問題的復(fù)雜性
6.6 小結(jié)
第7章 軟件安全的控制和管理
7.1 概述
7.2 控制和安全
7.2.1 安全控制的定義
7.2.2 有效的安全控制和管理的特征
7.3 采用一種企業(yè)級的軟件安全框架
7.3.1 常見的陷阱
7.3.2 設(shè)計方案框架
7.3.3 定義方向
7.4 多高的安全性才足夠
7.4.1 定義充分的安全性
7.4.2 軟件安全風險管理框架
7.5 安全管理和項目管理
7.5.1 項目規(guī)模
7.5.2 項目計劃
7.5.3 資源
7.5.4 估計所需資源的性質(zhì)和持續(xù)周期
7.5.5 項目和產(chǎn)品風險
7.5.6 軟件安全的度量
7.6 條例的成熟度
7.6.1 保護信息
7.6.2 審計部的任務(wù)
7.6.3 操作性恢復(fù)與收斂
7.6.4 法律的角度
7.6.5 軟件工程師的角度
7.6.6 規(guī)范
7.7 小結(jié)
第8章 開始
8.1 從哪里開始
8.2 寫在最后
術(shù)語表
參考文獻
Build SecurityIn網(wǎng)站參考目錄

本目錄推薦

掃描二維碼
Copyright ? 讀書網(wǎng) m.ranfinancial.com 2005-2020, All Rights Reserved.
鄂ICP備15019699號 鄂公網(wǎng)安備 42010302001612號