软件安全技术

获奖情况：“十三五”国家重点出版物出版规划项目、“十三五”江苏省高等学校重点教材

配套资源：新形态教材，电子课件、思维导图、21个案例

本书特色：

★十三五国家重点出版物出版规划，十三五江苏省高等学校重点教材。

★遵循《高等学校信息安全专业指导性专业规范》。

★注重理论与实践结合，包含对19个案例的分析、工具介绍等。

★较为全面地分析了软件安全开发新理论研究成果和产业界的佳实践经验。

　　《软件安全技术》介绍在软件开发过程中从根本上提高软件安全性的基本技术。全书分4个部分共14章。第1部分为软件安全概述，第2～4部分分别针对三大类软件安全威胁：软件自身的安全（软件漏洞）、恶意代码及软件侵权展开介绍。第2部分为软件安全开发，包括软件漏洞概述、Windows系统典型漏洞分析和Web漏洞分析3章，还包括软件安全开发模型，以及软件安全开发生命周期每一个环节中的安全技术共6章。第3部分为恶意代码防护，包括两章内容，分别介绍恶意代码分析基本技术，以及恶意代码法律防治措施和技术防治技术。第4部分为软件侵权保护，包括两章内容，分别介绍开源软件及其安全性，以及软件知识产权法律保护和技术保护措施。
　　《软件安全技术》可作为信息安全、计算机和软件工程等专业的教材，也适用于软件开发人员、软件架构师和软件测试等从业人员、还可供注册软件生命周期安全师、注册软件安全专业人员、注册信息安全专业人员，以及计算机软件开发人员或编程爱好者参考和使用。
　　《软件安全技术》配有授课电子课件，需要的教师可登录www.cmpedu.com免费注册，审核通过后下载，或联系编辑索取。

前言

第1章 软件安全概述
1．1 软件安全的重要性
【案例1】零日攻击、网络战与软件安全
【案例1思考与分析】
1．2 软件面临的安全威胁
1．2．1 软件漏洞
1．2．2 恶意代码
1．2．3 软件侵权
1．3 软件安全的概念
1．3．1 软件安全的一些定义
1．3．2 用信息安全的基本属性理解软件安全
1．3．3 软件安全相关概念辨析
1．4 软件安全的研究内容
1．4．1 软件安全是信息安全保障的重要内容
1．4．2 软件安全的主要方法和技术
1．5 思考与实践
1．6 学习目标检验

第2章 软件漏洞概述
2．1 软件漏洞的概念
2．1．1 信息安全漏洞
2．1．2 软件漏洞
2．1．3 软件漏洞成因分析
2．2 软件漏洞标准化管理
2．2．1 软件漏洞的分类
2．2．2 软件漏洞的分级
2．2．3 软件漏洞管理国际标准
2．2．4 软件漏洞管理国内标准
2．3 漏洞管控的思考
【案例2-1】白帽黑客的罪与罚
【案例2-2】阿里巴巴月饼门
【案例2-1和案例2-2思考与分析】
2．4 思考与实践
2．5 学习目标检验

第3章 Windows系统典型漏洞分析
3．1 内存漏洞
3．1．1 内存结构及缓冲区溢出
3．1．2 栈溢出漏洞及利用分析
3．1．3 堆溢出漏洞及利用分析
3．1．4 格式化字符串漏洞及利用分析
3．2 Windows安全漏洞保护分析
3．2．1 栈溢出检测选项/GS
3．2．2 数据执行保护DEP
3．2．3 地址空间布局随机化ASLR
3．2．4 安全结构化异常处理SafeSEH
3．2．5 增强缓解体验工具包EMET
【案例3】Windows安全漏洞保护技术应用
【案例3思考与分析】
3．3 思考与实践
3．4 学习目标检验

第4章 Web漏洞分析
4．1 Web基础
4．1．1 Web基本架构
4．1．2 一次Web访问过程分析
4．2 Web漏洞概述
4．3 SQL注入漏洞
4．3．1 漏洞原理及利用
4．3．2 漏洞防护的基本措施
【案例4-1】SQL注入漏洞源代码层分析
【案例4-1思考与分析】
4．4 XSS跨站脚本漏洞
……

第5章 软件安全开发模型
第6章 软件安全需求分析
第7章 软件安全设计
第8章 软件安全编码
第9章 软件安全测试
第10章 软件安全部署
第11章 恶意代码分析基础
第12章 恶意代码防治
第13章 开源软件及其安全性
第14章 软件知识产权保护

参考文献

　　近年来，国内外由于软件系统缺陷而引发的重大信息安全事件日益增多，给相关机构和企业带来了不良社会影响和重大经济损失。重视软件安全已是《国家网络空间安全战略》中明确的战略任务。要实现软件安全，就必须提升软件开发从业人员关于软件安全开发的知识和技能，从软件诞生的源头着手，减少软件安全缺陷与漏洞，从而提高软件运行的安全性。
　　目前，关于软件安全的书籍不多，适合于普通高校本科专业的教材也很少。本书作为江苏省“十三五”高等学校重点教材（新编）、江苏省高等教育教学改革重点课题（2015JSJG034）、江苏省教育科学十二五规划重点资助课题：泛在知识环境下的大学生信息安全素养教育——培养体系及课程化实践、南京师范大学精品资源共享课“软件安全”建设项目及南京师范大学“信息安全素养与软件工程实践创新教学团队”建设项目的成果，历经4年多编写完成，讲义几易其稿。
　　本书遵循《高等学校信息安全专业指导性专业规范》，全面梳理了国内外软件安全开发最佳实践，跟踪研究安全开发理论发展，汇集国内诸多专家学者智慧，并汲取软件漏洞分析经验，全面介绍了在软件开发过程中从根本上提高软件安全性的基本技术，用以培养软件开发人员的安全开发意识，增强对软件安全威胁的认识，提高安全开发水平，提升IT产品和软件系统的抗攻击能力。
　　本书在编写中力求体现以下三大特色。
　　1.知识结构系统，内容全面
　　本书内容结构如图1所示，分为四大部分，共14章。
　　第1部分为软件安全概述，分别介绍软件安全的重要性、软件面临的三大类安全威胁、软件安全的概念及软件安全的研究内容。
　　第2部分为软件安全开发，首先用3章的篇幅分别介绍了软件漏洞概述、Windows系统典型漏洞分析和Web漏洞分析，接着，用6章的篇幅介绍了软件安全开发模型、软件安全需求分析、软件安全设计、软件安全编码、软件安全测试及软件安全部署等软件安全开发生命周期每一个环节中的安全技术。
　　软件安全开发是一种系统化的应用安全解决方法，它将一系列安全活动、安全管理实践和安全开发工具有机地结合在一起，在整个软件开发生命周期中，贯彻安全开发的思想，从源头着手，减少软件安全缺陷与漏洞，从而提高软件运行的安全性。与软件运行阶段解决安全问题相比，在软件开发阶段考虑安全问题更有效、更经济。该部分同时较为全面地分析了软件安全开发最新理论研究成果和产业界的最佳实践经验。
　　第3部分为恶意代码防护，用两章的篇幅分别介绍了计算机启动过程、程序的生成和执行、PE文件和程序逆向分析等恶意代码分析常用的基本技术，以及恶意代码法律防治措施和技术防治技术。