共查询到19条相似文献,搜索用时 921 毫秒
1.
2.
3.
软件安全性测试研究综述 总被引:1,自引:1,他引:0
近年来,软件安全性在保证系统安全、避免重大人员伤亡和财产损失方面起到了重要作用;然而在软件安全性工程中,软件安全性并不能完全依靠常规的软件工程方法和软件测评手段来进行测试;如何在工程中开展软件安全性测试仍然是一个悬而未决的问题;首先从软件安全性测试的发展现状入手,分析我国在该领域工程应用中所遇到的问题;然后阐述当前主要的软件安全性测试流程和方法,将现有的测试方法分3类进行描述,并分析和比较这些测试方法的特点;最后总结并展望软件安全性测试研究的发展方向. 相似文献
4.
近年来,软件安全性与可靠性在保证系统安全、避免重大人员伤亡和财产损失方面起到了重要作用,工程中对软件安全性与可靠性分析的应用有着十分迫切的需求;然而,工程中目前还缺乏软件安全性与可靠性分析的实施方案作为指导;为了促进软件安全性与可靠性分析工作的有效开展,文中结合FHA(功能危险评估)、PHA(初步危险分析)、SFMEA(软件失效模式及影响分析)、SFTA(软件故障树分析)4种分析技术,提出一种基于系统危险的软件安全性与可靠性分析方案;该方案使用FHA进行危险识别,根据PHA进行危险的追踪与控制,运用SFMEA进行软件失效模式、影响分析,再通过SFTA分析软件失效原因并提取软件安全性需求;然后,文中利用这种方案进行实例应用研究,指导软件安全性与可靠性分析的有效开展;最后,文中总结并展望了软件安全性与可靠性分析技术研究的发展方向。 相似文献
5.
金力 《数字社区&智能家居》2010,6(10):2409-2412
软件安全性评估的目的是评价软件是否达到系统规范所要求的安全性。该文对国内外关于软件安全性评估的方法进行了分析,将其分为风险矩阵评估、模糊评估和基于可靠性模型的评估等类别,并对上述几种方法做了相应的比较。 相似文献
6.
7.
8.
机载嵌入式软件是航空电子系统的重要组成部分,其安全性直接关系到飞行安全。由于软件安全性包含的范围较广,对安全性的评价往往周期长、结果不明确。针对嵌入式软件安全性评价的难题,在软件的整个生命周期采用分类模糊综合评价方法,建立了评价模型,提出了一种嵌入式软件安全性评价方法,在软件生命周期的5个阶段提出了59种评价元素,每种评价元素均反应出软件在每个阶段的关键活动。在各个阶段选择相关项目人员对每个元素进行评价,并依据计算公式得出软件安全分值。通过工程实践证明,该方法切实可用,评价过程相比传统的方法节约了时间,评价结果准确、直观,为航空机载嵌入式软件尤其是型号软件的安全性评价提供了一种新方法,为软件总体质量的评价和软件安全性的改进方向提供支撑。 相似文献
9.
文章分析了在等级保护过程中进行威胁建模的必要性,结合《实施指南》提出一种基于威胁建模的软件安全需求分析方法,通过威胁一攻击图(TAG)评估攻击,根据评估结果及《基本要求》确定应对方案,将等级保护思想融入到软件安全设计阶段中,使得应对方案能更高效地改进软件设计以增强软件安全性,并通过实际案例对本方法进行了验证。 相似文献
10.
11.
Charles Weir Ingolf Becker James Noble Lynne Blair M. Angela Sasse Awais Rashid 《Software》2020,50(3):275-298
Though some software development teams are highly effective at delivering security, others either do not care or do not have access to security experts to teach them how. Unfortunately, these latter teams are still responsible for the security of the systems they build: systems that are ever more important to ever more people. We propose that a series of lightweight interventions, six hours of facilitated workshops delivered over three months, can improve a team's motivation to consider security and awareness of assurance techniques, changing its security culture even when no security experts are involved. The interventions were developed after an Appreciative Inquiry and Grounded Theory survey of security professionals to find out what approaches work best. We tested the interventions in a participatory action research field study where we delivered the workshops to three software development organizations and evaluated their effectiveness through interviews beforehand, immediately afterwards, and after twelve months. We found that the interventions can be effective with teams with limited or no security experience and that improvement is long-lasting. This approach and the learning points arising from the work here have the potential to be applied in many development teams, improving the security of software worldwide. 相似文献
12.
软件安全是网络空间安全中最重要的环节。早期的软件安全解决方案大多是发现安全威胁后再逐一解决的被动防御方案。为了有效应对各类安全威胁,防御方法逐渐从被动过渡到主动。在众多的主动防御方法中,从系统执行架构角度出发构建内生防御能力的软件多变体执行架构技术受到了广泛关注,它通过异构、冗余执行体之间的相对正确性检查发现攻击行为,不依赖于具体安全威胁的特征检测,可实时检测并防御大多数已知、甚至未知安全威胁。然而,该方法面向实际应用部署存在较大的性能瓶颈。控制流完整性(CFI)是一种理想的安全解决方案,但由于其性能损失和兼容性问题也未被广泛采用。本文将两者有效结合提出一种基于多变体执行架构的CFI (MVX-CFI)。MVX-CFI是一种基于执行架构的、动态、透明的CFI实施方法,它能够有效捕获软件整个运行时控制流的走向并发现由攻击等恶意行为引起的非法路径转移。MVX-CFI通过MVX可形式化验证的高可信表决机制在运行时动态建立描述应用程序高频执行路径的控制流子图(Sub-CFG),并作为检测模型正向反馈到MVX用于辅助检测,减少了传统MVX大量重复的表决工作,提高了MVX的执行性能。Sub-CFG具有在线分离软件执行过程中高频路径和低频路径的能力,这一特性为软件预置后门的检测提供了一种思路。实验评估表明,本文的改进方法提高了原架构的执行效率,同时保证了在安全防御方面的有效性。 相似文献
13.
近年来,计算机科学的发展速度越来越快,人们在日常生活中越发离不开计算机。而随着计算机技术的发展,计算机软件开发不断提速,随之产生了大量的问题。其中,鉴于计算机软件安全的重要性,安全检测工作不容忽视。现有的计算机软件安全检测方法存在不少的问题。如果能够对计算机软件进行合理的检测,势必会降低故障率,这对计算机软件安全来说有非常重要的意义。 相似文献
14.
软件与网络安全研究综述 总被引:2,自引:0,他引:2
互联网已经渗入人类社会的各个方面,极大地推动了社会进步。与此同时,各种形式的网络犯罪、网络窃密等问题频频发生,给社会和国家安全带来了极大的危害。网络安全已经成为公众和政府高度关注的重大问题。由于互联网的大量功能和网络上的各种应用都是由软件实现的,软件在网络安全的研究与实践中扮演着至关重要的角色。事实上,几乎所有的网络攻击都是利用系统软件或应用软件中存在的安全缺陷实施的。研究新形势下的软件安全问题日益迫切。本文从恶意软件、软件漏洞和软件安全机制三个方面综述国内外研究现状,进而分析软件生态系统面临的全新安全挑战与发展趋势。 相似文献
15.
随着全球信息化的迅猛发展,计算机软件已成为世界经济、科技、军事和社会发展的重要引擎。信息安全的核心在于其所依附的操作系统的安全机制以及软件本身存在的漏洞。软件漏洞本身无法构成攻击,软件漏洞利用使得把漏洞转化为攻击变为可能。文章立足于Windows操作系统,主要分析了一些常用软件的典型漏洞原理以及常见的利用方法,比较了不同利用方法在不同环境下的性能优劣,并简单分析了Windows的安全机制对软件的防护作用以及对软件漏洞利用的阻碍作用。文章着重对几种典型漏洞进行了软件漏洞利用的探索和实践,并使用当前流行的对安全机制的绕过方法分析了Windows几种安全机制的脆弱性。 相似文献
16.
对软件实施安全度量是开发安全的软件产品和实施软件安全改进的关键基础。基于Manadhata等(MANADHATA P K, TAN K M C, MAXION R A, et al. An approach to measuring a system's attack surface, CMU-CS-07-146. Pittsburgh: Carnegie Mellon University, 2007; MANADHATA P K, WING J M. An attack surface metric. IEEE Transactions on Software Engineering, 2011, 37(3): 371-386)提出的攻击面方法,结合信息熵理论,提出结合信息熵和攻击面的软件安全度量方法,可以有效地利用信息熵的计算方法对软件攻击面的各项资源进行威胁评估,从而提供具有针对性的威胁指标量化权值。在此基础之上,通过计算软件攻击面各项资源的指标值可以实现软件的安全度量。最后,通过具体的实例分析说明结合信息熵和攻击面的方法可以有效地应用于软件的安全开发过程和软件安全改进过程,为软件的安全设计开发指明可能存在的安全威胁,帮助提早避免软件产品中可能存在的漏洞;而对于已经开发完成待实施安全改进的软件则可以指出明确的改进方向。 相似文献
17.
在开发基于Internet的大型复杂软件系统时,应该在体系结构层次上考虑业务需求和安全需求,而安全需求的体系结构描述语言(SRADL)是研究和应用安全需求体系结构的基础传统的体系结构描述语言没有专门针对安全需求的构件、连接件和体系结构风格的描述,因此,在体系结构层次上描述安全需求还比较困难提出了一种基于XML的安全需求体系结构描述语言--XSSRA/ADL,它引入了安全构件、半安全构件、安全连接件、半安全连接件等设计单元,不仅能够描述安全需求的体系结构,而且也较好地解决了软件系统中业务需求与安全需求在高层的交互和依赖关系另外,XSSRA?ADL采用数据互操作标准XML作为元语言,这使得它具有与其他ADL的互操作性,并便于支持系统的精化和演化. 相似文献
18.
软件系统因具有节点众多、节点间联系复杂、随时间演化、自组织临界等特性可将其视为复杂系统。在软件安全领域,对软件体系结构的分析一直是研究的重点。软件体系结构具有自身的脆性,这体现在软件系统的运行过程会出现由于内部组件失效或外部攻击而导致的级联故障乃至系统崩溃。首次将软件系统视为复杂系统,对软件体系结构的脆性进行相关分析,并结合"数据抽象和面向对象"风格的软件体系结构,通过蚁群算法及GROD算法指出该体系结构脆性的最大崩溃路径及脆性源。这将对软件安全领域系统的设计、监控等方面的研究提供理论及实践方面的指导意义。 相似文献