緩沖區(qū)溢出攻擊課件

1、2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)1應(yīng)用系統(tǒng)的編程安全1 緩沖區(qū)溢出2 格式化字符串漏洞3 安全編程2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)21 緩沖區(qū)溢出1)什么是緩沖區(qū)溢出簡單的說，緩沖區(qū)溢出(Buffer Overflow)就是通過在程序的緩沖區(qū)寫入超出其長度的內(nèi)容，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令，以達(dá)到攻擊的目的。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)31 緩沖區(qū)溢出1)什么是緩沖區(qū)溢出程序是從內(nèi)存低端向高端按順序存放的，輸入的形參按照自右至左的順序入棧，而堆棧的生長方向與內(nèi)存的生長方向相反，因此在堆棧中壓入的數(shù)據(jù)超過預(yù)先給堆棧分

2、配的容量時，就會出現(xiàn)堆棧溢出。簡單地說，緩沖區(qū)溢出的原因是由于字符串處理等函數(shù)沒有對數(shù)組的越界加以監(jiān)視和限制，結(jié)果覆蓋了堆棧數(shù)據(jù)。緩沖區(qū)的溢出有各種不同的類型。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)41 緩沖區(qū)溢出1)什么是緩沖區(qū)溢出一般而言，有以下幾種緩沖區(qū)溢出攻擊的方式：1）攻擊者可用任意數(shù)據(jù)覆蓋堆棧中變量的內(nèi)容。2）覆蓋堆棧中保存的寄存器內(nèi)容，導(dǎo)致程序崩潰。3）把堆棧里面的返回地址覆蓋，替換成一個自己指定的地方，而在那個地方，可以植入一些精心設(shè)計了的代碼以達(dá)到攻擊的目的。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)51 緩沖區(qū)溢出基礎(chǔ)知識-寄存器32位CPU所含有的

3、寄存器有：4個數(shù)據(jù)寄存器(EAX、EBX、ECX和EDX)2個變址和指針寄存器(ESI和EDI) 2個指針寄存器(ESP和EBP) 6個段寄存器(ES、CS、SS、DS、FS和GS)1個指令指針寄存器(EIP) 1個標(biāo)志寄存器(EFlags) 2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)61 緩沖區(qū)溢出基礎(chǔ)知識-寄存器4個數(shù)據(jù)寄存器(EAX、EBX、ECX和EDX)：數(shù)據(jù)寄存器主要用來保存操作數(shù)和運算結(jié)果等信息，從而節(jié)省讀取操作數(shù)所需占用總線和訪問存儲器的時間。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)71 緩沖區(qū)溢出基礎(chǔ)知識-寄存器2個變址寄存器(ESI和EDI) ：寄存器

4、ESI、EDI稱為變址寄存器(Index Register)，它們主要用于存放存儲單元在段內(nèi)的偏移量，用它們可實現(xiàn)多種存儲器操作數(shù)的尋址方式，為以不同的地址形式訪問存儲單元提供方便。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)81 緩沖區(qū)溢出基礎(chǔ)知識-寄存器2個指針寄存器(ESP和EBP) ：它們主要用于訪問堆棧內(nèi)的存儲單元，并且規(guī)定：EBP為基指針(Base Pointer)寄存器，用它可直接存取堆棧中的數(shù)據(jù)； ESP為堆棧指針(Stack Pointer)寄存器，用它只可訪問棧頂。 2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)91 緩沖區(qū)溢出基礎(chǔ)知識-寄存器6個段寄存器(E

5、S、CS、SS、DS、FS和GS)：段寄存器是根據(jù)內(nèi)存分段的管理模式而設(shè)置的。內(nèi)存單元的物理地址由段寄存器的值和一個偏移量組合而成的，這樣可用兩個較少位數(shù)的值組合成一個可訪問較大物理空間的內(nèi)存地址。CPU內(nèi)部的段寄存器：ECS代碼段寄存器(Code Segment Register)，EDS數(shù)據(jù)段寄存器(Data Segment Register)，2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)101 緩沖區(qū)溢出基礎(chǔ)知識-寄存器EES附加段寄存器(Extra Segment Register)，ESS堆棧段寄存器(Stack Segment Register)，EFS附加段寄存器(Ext

6、ra Segment Register)，EGS附加段寄存器(Extra Segment Register)，2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)111 緩沖區(qū)溢出基礎(chǔ)知識-寄存器1個指令指針寄存器(EIP)：指令指針EIP(Instruction Pointer)是存放下次將要執(zhí)行的指令在代碼段的偏移量。121 緩沖區(qū)溢出基礎(chǔ)知識-常用匯編指令sub：減法指令第一個參數(shù)是被減數(shù)所在的寄存器，第二個參數(shù)是減數(shù)。add：加法指令第一個參數(shù)是被加數(shù)所在的寄存器，第二個參數(shù)是加數(shù)。注：sub和add指令常被用來操作堆棧，例如，如果要在堆棧中分配四個四字節(jié)長整型數(shù)的空間，就沒有必要調(diào)用

7、四次push指令，簡單調(diào)用sub esp，16（16=4*4）就可以了，當(dāng)然也可以調(diào)用add指令恢復(fù)堆棧。131 緩沖區(qū)溢出基礎(chǔ)知識-常用匯編指令push：入棧指令32位平臺，push指令將一個32位的操作數(shù)壓入堆棧，導(dǎo)致esp減4。因為esp指向棧頂，且堆棧是向小地址生長的，所以會導(dǎo)致esp減4。pop：出桟指令跟push指令對應(yīng)，在32位平臺，pop指令將一個32的數(shù)彈出堆棧，會導(dǎo)致esp加4. pop指令的參數(shù)一般是寄存器，將棧頂?shù)臄?shù)據(jù)彈出到寄存器。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)141 緩沖區(qū)溢出基礎(chǔ)知識-常用匯編指令call：調(diào)用函數(shù)call指令和jmp指令不同，

8、call指令會先把下一條要執(zhí)行的指令入棧，然后跳到被調(diào)用的函數(shù)的地方。所以，call指令相當(dāng)于push+jmp。 ret：從函數(shù)返回ret指令和jmp指令不同，ret指令會先把函數(shù)的返回地址出桟，再跳到返回的地址。所以，ret指令相當(dāng)于pop+jmp。棧幀的一般結(jié)構(gòu)2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)15local1 local2 localnEBPRET地址參數(shù)1 參數(shù)2參數(shù)n緩沖區(qū)溢出程序1（test）關(guān)注函數(shù)調(diào)用時堆棧變化void foo(int m,int n)int local;local=m+n; void main()int t1=0 x1111;int t2=0

9、 x2222;foo(t1,t2);2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)16緩沖區(qū)溢出方式緩沖區(qū)溢出的原因是由于字符串處理等函數(shù)（ strcpy 、strcmp）沒有對數(shù)組的越界加以監(jiān)視和限制，結(jié)果覆蓋了堆棧數(shù)據(jù)。有以下幾種緩沖區(qū)溢出攻擊方式：1）攻擊者可用任意數(shù)據(jù)覆蓋堆棧中變量的內(nèi)容；2）覆蓋堆棧中保存的寄存器內(nèi)容，導(dǎo)致程序崩潰；3）把堆棧里面的返回地址覆蓋，替換成一個自己指定的地方，而在這個個地方，可以植入一些精心設(shè)計了的代碼以達(dá)到攻擊的目的。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)172022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)18 緩沖區(qū)溢出程序22

10、)覆蓋堆棧中變量的內(nèi)容（7-2pass）2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)19 緩沖區(qū)溢出程序33)覆蓋堆棧中寄存器的內(nèi)容（ 7-3字符覆蓋溢出）在棧上聲明的各種變量的位置就緊靠著調(diào)用函數(shù)的返回地址。如果用戶輸入的數(shù)據(jù)越過邊界就會將調(diào)用函數(shù)的返回地址覆蓋，造成程序崩潰。 緩沖區(qū)溢出程序4void come()printf(Success!);void test(int i)char buf12;/用于發(fā)生溢出的數(shù)組int addr4;int k=(int)&i-(int)buf;int go=(int)&come;addr0=(go24;addr1=(go24;addr2=(

11、go24;addr3=go24;for(int j=0;j4;j+)bufk-j-1=addr3-j;void main()void test(int i);test(1);202022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)212 格式化字符串漏洞格式化字符串的漏洞產(chǎn)生于數(shù)據(jù)輸出函數(shù)中對輸出格式解析的缺陷，其根源也是C程序中不對數(shù)組邊界進(jìn)行檢查的緩沖區(qū)錯誤。以printf()函數(shù)為例：int printf(const char*format,agr1,agr2,);format的內(nèi)容可能為(%s,%d,%p,%x,%n)，將數(shù)據(jù)格式化后輸出。這種函數(shù)的問題在于函數(shù)printf不能確定數(shù)據(jù)

12、參數(shù)arg1,arg2,究竟在什么地方結(jié)束，也就是說，它不知道參數(shù)的個數(shù)。printf函數(shù)只會根據(jù)format中的打印格式的數(shù)目依次打印堆棧中參數(shù)format后面地址的內(nèi)容。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)222 格式化字符串漏洞1printf中的缺陷第一個printf調(diào)用是正確的，第二個調(diào)用中則缺少了輸出數(shù)據(jù)的變量列表。那么第二個調(diào)用將引起編譯錯誤還是照常輸出數(shù)據(jù)？如果輸出數(shù)據(jù)又將是什么類型的數(shù)據(jù)呢？2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)232 格式化字符串漏洞1printf中的缺陷2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)242 格式化字符串漏洞

13、2用printf讀取內(nèi)存數(shù)據(jù)輸入“%p,%p,%p”，實際上可以讀出棧中的數(shù)據(jù)2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)252 格式化字符串漏洞3用printf向內(nèi)存寫數(shù)據(jù)在格式化控制符中，有一種鮮為人知的控制符%n。這個控制符用于把當(dāng)前輸出的所有數(shù)據(jù)的長度寫回一個變量中去2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)262 格式化字符串漏洞3用printf向內(nèi)存寫數(shù)據(jù)2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)272 格式化字符串漏洞3用printf向內(nèi)存寫數(shù)據(jù)這是因為程序中將變量num的地址壓入堆棧，作為printf()的第二個參數(shù)，“%n”會將打印總長度保存到對應(yīng)

14、參數(shù)的地址中去。打印結(jié)果見圖7-25，0 x616161的十進(jìn)制值為1633771873，按照DWORD類型，其值長度為20。 2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)283 安全編程程序的正確性是由程序的編寫者來保證的。為了避免出現(xiàn)緩沖區(qū)溢出的漏洞，在編寫程序的一開始就必須將安全因素考慮在內(nèi)。忽略了編碼的安全性大致來說有兩種。第一種是直接進(jìn)行設(shè)計、編寫、測試，然后發(fā)布，忘記了程序的安全性?；蛘咴O(shè)計者自認(rèn)為已經(jīng)考慮到了，而做出了錯誤的設(shè)計。第二種錯誤是在程序完成以后才考慮添加安全因素，在已經(jīng)完成了的功能外包裹上安全功能。這樣做不僅要付出非常昂貴的代價，更重要的是添加的安全功能有可能

15、會影響已經(jīng)實現(xiàn)的功能，甚至?xí)斐赡承┕δ艿牟豢蓪崿F(xiàn)。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)293 安全編程1C語言的安全編程（1）對內(nèi)存訪問錯誤的檢測和修改。（2）對于緩沖區(qū)溢出的覆蓋錯誤，可由程序員預(yù)設(shè)緩沖區(qū)的大小。（3）指針引用是C中最靈活、最核心、最復(fù)雜，也是最易出錯的部分。（4）出于保密的需要，在程序設(shè)計時要涉及到創(chuàng)建密鑰或密碼等問題，具體到C程序設(shè)計中則是隨機數(shù)的選取和使用問題。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)303 安全編程1C語言的安全編程（5）C語言沒有提供異常處理機制，其異常檢測處理是由程序員預(yù)設(shè)完成的。微軟的Michael Howard與D

16、avid LeBlanc所合著的“Writing Secure Code”(編寫安全的代碼)一書中集中討論了編寫安全代碼的方方面面，讀者可進(jìn)一步閱讀。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)317.4 軟件保護7.4.1 軟件技術(shù)保護的基本原則7.4.2 密碼保護技術(shù)7.4.3 電子注冊保護技術(shù)7.4.4 結(jié)合硬件的保護技術(shù)7.4.5 基于數(shù)字簽名的保護技術(shù)7.4.6 軟件水印7.4.7 軟件的反動態(tài)跟蹤技術(shù)2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)327.4.1 安全編程軟件技術(shù)保護的基本原則（1）實用性。用戶購買的軟件，當(dāng)然會頻繁地使用，對合法用戶來說，如果在使用或安

17、裝過程中加入太多的障礙，甚至需要改變計算機的硬件結(jié)構(gòu)，會影響用戶購買的積極性。除非是功能上的需要，或是特定用戶群的強制性要求，任何純?yōu)榧用芏鴮τ脩籼岢龅囊恍┯布系囊?，都是不可接受的。況且，目前大多數(shù)計算機用戶都不敢自行改變計算機的硬件。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)337.4.1 安全編程軟件技術(shù)保護的基本原則2）局部可共享特性。相當(dāng)多的計算機用戶，都需要一定范圍內(nèi)非商業(yè)目的的軟件交流，或?qū)W術(shù)性，或社交性，必須滿足他們這方面的要求。不能交流的軟件是沒有活力的，也是難以推廣的。當(dāng)然，這種交流不應(yīng)該是大范圍的、無限制性的。3）可重復(fù)使用性。計算機軟件被裝在計算機上，難免被

18、損壞而需要重新安裝，如果因為加密而使買來的計算機軟件不能重新安裝，便可能給用戶帶來不必要的損失。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)347.4.2 密碼保護技術(shù)密碼保護技術(shù)是在每一件軟件產(chǎn)品中都附帶一個密碼，在軟件安裝和運行過程中的某些關(guān)鍵環(huán)節(jié)要求用戶輸入該密碼，只有用戶輸入正確的密碼，軟件才能正確地安裝和正常地運行。優(yōu)點是：簡便易行，且無附加成本，是目前很流行的保護方法。缺點是：由于其密碼相對固定，要保證合法用戶獲得有效的密碼，就不能防止盜版者通過合法途徑獲取密碼后再進(jìn)行非法復(fù)制流通。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)357.4.2 密碼保護技術(shù)在軟件載體上

19、所附的序列號并不能直接輸入，對軟件實現(xiàn)解密，而只能將其作為該軟件的身份識別標(biāo)志，并通過向軟件生產(chǎn)者提供該標(biāo)識，以換取針對該軟件的解密密碼(即授權(quán)號)，便可以限制該軟件的序列號直接被盜版流通，即使發(fā)生了盜版行為，也可能通過該授權(quán)過程來追訪盜版者的蹤跡?？梢栽谑跈?quán)系統(tǒng)中對每一份軟件的可授權(quán)次數(shù)加以適當(dāng)?shù)南拗?。為了更進(jìn)一步防范盜版者在購買正版軟件后，先通過正當(dāng)途徑獲取授權(quán)號，然后再將授權(quán)號隨同盜版軟件一起復(fù)制傳播，可以考慮在授權(quán)號中加入授權(quán)日期信息。那樣，該授權(quán)號可以預(yù)先設(shè)定其有效時間，如果超過了規(guī)定的日期后，該授權(quán)號即自行失效。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)367.4.3 電

20、子注冊保護技術(shù)用戶可在網(wǎng)上獲得使用采用該技術(shù)加密的軟件，這時該軟件一般是功能受限制，或者使用時間受限制，或者經(jīng)常出現(xiàn)要求注冊的畫面等。用戶使用后覺得滿意，可按要求進(jìn)行注冊，注冊法因開發(fā)商而異。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)377.4.3 電子注冊保護技術(shù)下面給出4種注冊法：1）用戶交費之后，軟件公司會告訴用戶一個地址、用戶名和密碼，然后用戶去那個地址就可以下載到正式版。2）用戶交費之后，軟件公司會通過E-mail傳給用戶一個文件，用戶把這個文件復(fù)制到軟件安裝的目錄之后，就成為正式用戶了。一般來說，這個文件很小(幾百個Bytes和幾K)。這些文件一般來說擴展名是*.reg(

21、注冊表文件)或*.1ic。3）軟件給出該軟件的序列號，用戶交費時把這一序列號一起寄給軟件提供商或開發(fā)商，軟件開發(fā)商利用注冊機(軟件)產(chǎn)生該軟件的注冊號寄給用戶即可。4）用戶按要求填寫個人資料，交費時把這份個人資料一起寄給軟件提供商或開發(fā)商，軟件開發(fā)商利用注冊機(軟件)產(chǎn)生該軟件的注冊號寄給用戶即可。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)387.4.3 電子注冊保護技術(shù)電子注冊保護方式的優(yōu)點是：不需要任何硬件或軟盤，方便易用，價格低廉。電子注冊保護方式的缺點是：網(wǎng)上付費方式尚未標(biāo)準(zhǔn)化，能夠接受的人不2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)397.4.4 結(jié)合硬件的保護技

22、術(shù)1“鑰匙盤”2光盤3ROM片4軟件狗2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)407.4.5 基于數(shù)字簽名的保護技術(shù)一種簽名方案，該系統(tǒng)由三部分組成：1）簽證中心。中心的任務(wù)是對每個軟件供應(yīng)商的資格進(jìn)行審查，審查合格者，發(fā)給簽證密鑰。2）軟件供應(yīng)商。發(fā)行軟件的售主或個人。3）用戶。從軟件供應(yīng)商那里購買軟件的顧客。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)417.4.5 基于數(shù)字簽名的保護技術(shù)系統(tǒng)包含三個階段：1）預(yù)約階段。在本階段里，軟件供應(yīng)商向中心提出申請，中心審查軟件供應(yīng)商資格，若審查通過，中心就向他發(fā)放一個簽證密鑰。這種發(fā)放的優(yōu)點是用戶可確認(rèn)中心是否向軟件供應(yīng)商授權(quán)

23、。2）分發(fā)階段。在本階段里，軟件供應(yīng)商用簽證密鑰來簽署他們所發(fā)行的程序，并把簽名的程序分發(fā)給用戶。3）鑒別階段。當(dāng)用戶得到程序時，啟用基于身份的代理簽名系統(tǒng)驗證這些程序是否確實為軟件供應(yīng)商所發(fā)行，并進(jìn)一步驗證是否存在訛誤。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)427.4.6 軟件水印所謂軟件水印，就是把程序的版權(quán)信息和用戶身份信息嵌入到程序中。它是近年來出現(xiàn)的軟件產(chǎn)品版權(quán)保護技術(shù)，可以用來標(biāo)識作者、發(fā)行者、所有者、使用者等，并攜帶有版權(quán)保護信息和身份認(rèn)證信息，可以鑒別出非法復(fù)制和盜用的軟件產(chǎn)品。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)437.4.6 軟件水印根據(jù)水印的

24、嵌入位置，軟件水印可以分為代碼水印和數(shù)據(jù)水印。代碼水印隱藏在程序的指令部分?jǐn)?shù)據(jù)水印則隱藏在包括頭文件、字符串和調(diào)試信息等數(shù)據(jù)中。根據(jù)水印被加載的時刻，軟件水印可分為靜態(tài)水印和動態(tài)水印。靜態(tài)水印存儲在可執(zhí)行程序代碼中，比較典型的是把水印信息放在安裝模塊部分，或者是指令代碼中，或者是調(diào)試信息的符號部分。區(qū)別于靜態(tài)水印，動態(tài)水印則保存在程序的執(zhí)行狀態(tài)中，而不是程序源代碼本身。這種水印可用于證明程序是否經(jīng)過了迷亂變換處理。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)447.4.6 軟件水印根據(jù)水印的嵌入位置，軟件水印可以分為代碼水印和數(shù)據(jù)水印。代碼水印隱藏在程序的指令部分?jǐn)?shù)據(jù)水印則隱藏在包括頭

25、文件、字符串和調(diào)試信息等數(shù)據(jù)中。根據(jù)水印被加載的時刻，軟件水印可分為靜態(tài)水印和動態(tài)水印。靜態(tài)水印存儲在可執(zhí)行程序代碼中，比較典型的是把水印信息放在安裝模塊部分，或者是指令代碼中，或者是調(diào)試信息的符號部分。區(qū)別于靜態(tài)水印，動態(tài)水印則保存在程序的執(zhí)行狀態(tài)中，而不是程序源代碼本身。這種水印可用于證明程序是否經(jīng)過了迷亂變換處理。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)457.4.7 軟件的反動態(tài)跟蹤技術(shù)軟件的反動態(tài)跟蹤技術(shù)，是指防止破譯者利用各種各樣的軟件動態(tài)調(diào)試、動態(tài)跟蹤工具，對被保護的軟件進(jìn)行動態(tài)跟蹤、分析和破譯的技術(shù)。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)467.5 安

26、全軟件工程7.5.1 需求分析7.5.2 設(shè)計與驗證7.5.3 編程控制7.5.4 測試控制7.5.5 運行維護管理7.5.6 行政管理控制2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)477.5.1 需求分析階段的安全措施詳細(xì)說明安全與保密要求；把安全保密分配到處理流程中；確定用戶數(shù)據(jù)的敏感等級；確定安全計劃，建立安全模型。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)487.5.2設(shè)計驗證階段的安全措施驗證安全模型的正確性設(shè)計整體安全機制和安全方案（自己實現(xiàn)的和利用系統(tǒng)安全功能）把安全要求分解到相關(guān)模塊中，把對數(shù)據(jù)的安全要求體現(xiàn)在安全數(shù)據(jù)庫的設(shè)計中。2022/7/28計算機系統(tǒng)

27、安全原理與技術(shù)(第2版)497.5.3編程階段的安全控制按要求實現(xiàn)各模塊的安全功能；組織獨立人員審查模塊代碼；（仔細(xì)閱讀源程序）保護源代碼不與無關(guān)人員接觸。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)507.5.4測試階段安全控制測試各模塊安全功能，最好通過第三方獨立測試；根據(jù)安全要求綜合測試程序與運行環(huán)境；組織安全專業(yè)人員進(jìn)行攻擊性測試。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)517.5.5運行維護階段的安全控制成立軟件配置管理機構(gòu)對提交運行的軟件，對其任何修改必須得到批準(zhǔn)；對修改后的源程序需要再審查；由配置管理機構(gòu)自己對源代碼編譯生成目標(biāo)代碼，防止引入不安全功能。202

28、2/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)527.4.6 行政管理控制1、指定程序開發(fā)標(biāo)準(zhǔn) 1）設(shè)計標(biāo)準(zhǔn)：專用設(shè)計工具、語言或方法的使用；2）文件、語言和編碼風(fēng)格的標(biāo)準(zhǔn)；3）編程標(biāo)準(zhǔn)，包括強制性的程序員對等檢查，以及對程序的正確性和與標(biāo)準(zhǔn)的一致性進(jìn)行周期性的代碼審查；4）測試標(biāo)準(zhǔn)，驗證技術(shù)、獨立測試、測試結(jié)果的存檔備查；5）配置管理標(biāo)準(zhǔn)：控制對成品程序的訪問與修改；2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)537.4.6 行政管理控制2、實施程序開發(fā)標(biāo)準(zhǔn)遵循程序開發(fā)標(biāo)準(zhǔn)有利于項目的持續(xù)進(jìn)行，即使項目中途換人，也不影響項目按標(biāo)準(zhǔn)完成。對開發(fā)安全軟件的公司需要進(jìn)行安全審計。由一個獨立的安全評價小組以不聲張的方式檢查每一個項目。該小組檢查設(shè)計、文件和代碼。這本身就是一種警告性措施。程序員不太可能在模塊中放入可疑代碼。2022/7/28計算機系統(tǒng)安全原理與技術(shù)(第2版)547.4.6 行政管理控制3、責(zé)任分開：模塊化編程和設(shè)計迫使程序員取得非法的程序結(jié)果必須合謀，由獨立測試小組而不是由編寫這段程序的程序員對模塊進(jìn)行測試，這些分離措施可以使程序具有更高的安全性。4、對職員的管理：招收雇員時需要調(diào)查其背景，在公司對他取得信任之前，應(yīng)限制其訪問權(quán)限。為了