1、软件安全Part章 节01软件安全概述 软件,一系列按照特定顺序组织的计算机数据和指令的集合。主要划分为三大类:系统软件为计算机使用提供最基本的功能 应用软件是为了某种特定的用途而被开发的软件微软的Office软件数据库管理系统 支撑软件是协助用户开发软件的工具性软件java开发中的jdk套件 软件安全:采用工程的方法使得软件在敌对攻击的情况下仍能够继续正常工作。软件安全威胁来自于两个方面:软件自身:软件具有的漏洞和缺陷会被不法分子利用 外界:黑客通过编写恶意代码并诱导用户安转运行1.1软件与软件安全1.2软件安全威胁软件开发中的不同阶段,会遇到不同的安全威胁 软件代码编写阶段 敏感信息暴露等
2、 例如:将应用的敏感信息不加密就写在发布版本中易于被黑客读取的文件中 软件编译阶段编译方式固有漏洞 例如:Android开发中最终编译生成的smail格式文件存在固有的代码注入风险 软件签名发布阶段 签名绕过威胁等 例如:在Android开发中旧版本的签名方式因为未能对所有软件文件进行校验,导致黑客可以通过修改未被校验到的文件使恶意dex文件注入1.2软件安全威胁682478549163808010822244026072394290941460200040006000800010000120002012年2013年2014年2015年2016年单位(个)2012-2016年CNVD收录的漏洞
3、数量对比收录漏洞数量高危漏洞数量来源:CNCERT/CC在漏洞方面,2016 年,国家信息安全漏洞共享平台(CNVD)共收录通用软硬件漏洞 10822 个,较 2015 年增长 33.9%。2016年约9.7万个木马和僵尸网络控制服务器控制了我国境内1699万余台主机。1.2软件安全威胁360263189369104230105056966700500001000001500002000002500003000003500004000002012年2013年2014年2015年2016年单位(个)2012年至2016年木马和僵尸网络控制端数量对比来源:CNCERT/CC2016 年在传统 PC
4、 端,捕获敲诈勒索类恶意程序样本约1.9万个,勒索软件已逐渐由针对个人终端设备延伸道企业用户1.2软件安全威胁个人终端设备企业用户勒索软件勒索软件勒索软件勒索软件个人终端设备企业用户勒索软件勒索软件勒索软件勒索软件 1.2软件安全威胁来源:CNCERT/CC52671102084161664624916298170286195105914774502053501050000010000001500000200000025000002005年2006年2007年2008年2009年2010年2011年2012年2013年2014年2015年2016年单位(个)2005年至2016年移动互联网恶意程序走势互联网恶意程序下载链接近 67 万条,较 2015 年增长近 1.2 倍,涉及的传播源域名 22 万余个,IP 地址 3 万余个,恶意程序传播次数达 1.24 亿次。数据泄露威胁日益加剧:美国大选候选人希拉里的邮件泄露,直接影响到美国大选的进程 2016年我国免疫规划系统网络被恶意入侵,20 万儿童信息被窃取并在网上公开售卖对Mirai 僵尸网络进行抽样监测:截至 2016 年年底,共发现 2526 台控制服务器控制 125.4 万余台物联网智能设备1.2软件安全威胁2526台控制服务器125.4万余台物联网智能设备