1 軟件開發(fā)控制概述

• 由于惡意的/粗心的開發(fā)人員創(chuàng)建后門、緩沖區(qū)溢出漏洞或其他導(dǎo)致系統(tǒng)被惡意人員利用的弱點，定制解決方案可能存在巨大的安全漏洞，為了防范這些漏洞，在系統(tǒng)開發(fā)的聲明周期內(nèi)引入安全性是至關(guān)重要的

1.1 軟件開發(fā)

• 系統(tǒng)開發(fā)的每個階段都應(yīng)當(dāng)考慮安全性，這些階段包括整個軟件開發(fā)過程，開發(fā)人員應(yīng)該力求在他們開發(fā)的所有應(yīng)用程序中構(gòu)建安全性，并且為關(guān)鍵的應(yīng)用程序和敏感信息的應(yīng)用程序提供更高級別的安全性
  1、編程語言
  • 使用二進制數(shù)字的語言被稱為機器語言
  • 高級語言分為編譯型和解釋型，變異語言，編程人員可以使用被稱為編譯器的工具將高級語言轉(zhuǎn)換為在特定 操作系統(tǒng)中使用的可執(zhí)行文件，解釋型語言，編譯人員會分源代碼，源代碼中包含以高級語言編寫的指令
    2、面向?qū)ο缶幊?/li>
  • 面向?qū)ο缶幊剃P(guān)注交互設(shè)計的對象，可以間這些對象視為被請求執(zhí)行特定操作或顯示特定行為的一組對象，對象一起共奏，從而提供系統(tǒng)的功能或能力
  • 面向?qū)ο缶幊烫峁┝顺橄蟮暮诤蟹椒?，用戶需要知道對象的接口細?jié)，但不一定需要知道內(nèi)部如何有效的使用它們來工作
  • 面向?qū)ο缶幊绦g(shù)語：
    • 消息：對象的通信或輸入
    • 方法：定義對象執(zhí)行響應(yīng)消息操作的內(nèi)部代碼
    • 行為：由對象呈現(xiàn)的結(jié)果或輸出是一種行為，行為是通過方法處理消息的結(jié)果
    • 類：定義對象行為的一組對象的公共方法的集合就是類
    • 實例： 對象是包含對象方法的類的實例或例子
    • 繼承：某各類的方法被另一個子類集成時就會出現(xiàn)繼承性
    • 委托：某個對象將請求轉(zhuǎn)發(fā)給另一個對象或委托對象，如果某個對象沒有處理特定消息的方法，就需要委托
    • 多態(tài)性：對象的特性，當(dāng)外部條件變化時允許以不同的行為響應(yīng)相同的消息或方法
    • 內(nèi)聚：描述相同類中方法目的之間的關(guān)系強度
    • 耦合：對象之間的交互級別，好的程序應(yīng)該是高內(nèi)聚低耦合
      3、保證
  • 確保新應(yīng)用程序中構(gòu)建的安全控制機制能夠在系統(tǒng)的整個生命周期內(nèi)正確的實現(xiàn)安全策略，保證過程只是據(jù)此在系統(tǒng)生命周期內(nèi)構(gòu)建信任的正規(guī)過程
    4、避免和緩解系統(tǒng)故障
  • 系統(tǒng)在某些時候可能出現(xiàn)故障，可以通過許多方法來避免故障，包括使用極限檢測或創(chuàng)建故障防護或應(yīng)急開發(fā)過程：
    • 輸入驗證：輸入驗證核實用戶提供的值是否匹配程序員的期望，之后才允許進一步處理，
      • 通過代碼檢測確保數(shù)字落在一個可接受的范圍內(nèi)，被稱為限制檢測，
      • 輸入驗證程序改變輸入，移除風(fēng)險特征序列，以及用安全的值代替，這個過程被稱為換碼輸入，
      • 輸入驗證應(yīng)該存在于事務(wù)處理的服務(wù)端
    • 故障防護和應(yīng)急開放：應(yīng)用程序會遭遇不可預(yù)測的或無法解釋的情況，當(dāng)應(yīng)對系統(tǒng)故障做計劃時有兩個基本選擇：
      • 故障防護狀態(tài)將系統(tǒng)置入高級別安全（甚至可能完全禁用），直至管理員能夠診斷問題并將系統(tǒng)還原至正常操作狀態(tài)
      • 應(yīng)急開放狀態(tài)允許用戶繞開失敗的安全控制，此時用戶獲得的特權(quán)過高

1.2 系統(tǒng)開發(fā)生命周期

• 在系統(tǒng)或應(yīng)用程序的整個生命周期內(nèi)斗進行計劃和管理，安全性是最有效的，項目管理使用生命周期模型進行組織，以便指導(dǎo)開發(fā)過程，使用正規(guī)的聲明周期模型有助于確保良好的編程實踐以及在產(chǎn)品開發(fā)的每個階段都嵌入安全性
• 系統(tǒng)開發(fā)過程的動作：
  • 概念定義：為系統(tǒng)創(chuàng)建基本的概念聲明，規(guī)定項目的用途以及答題需求，定期閱讀概念聲明能夠幫助開發(fā)團隊重新瞄準(zhǔn)自己的目標(biāo)
  • 功能需求確定：這個階段，具體的系統(tǒng)功能都會被列出來，并且開發(fā)人員開始考慮系統(tǒng)的這些部分應(yīng)當(dāng)如何相互協(xié)作，以便滿足功能需求，整個開發(fā)團隊都應(yīng)該在全部階段參考功能需求文檔，以確保項目正常進行，最后的測試和評估階段，項目管理者應(yīng)當(dāng)使用這份文檔當(dāng)做核對清單，確保所有功能需求得到滿足
  • 控制規(guī)范的開發(fā)，首先恰當(dāng)?shù)脑L問控制必須被設(shè)計到所有系統(tǒng)中，其次系統(tǒng)必須通過使用正確的加密和數(shù)據(jù)保護技術(shù)來維護關(guān)鍵數(shù)據(jù)的機密性，再次系統(tǒng)不僅應(yīng)當(dāng)提供審計跟蹤來強制實施個人的可問責(zé)性，還應(yīng)當(dāng)提供對非法活動的檢測機制，最后系統(tǒng)的危險程度必須解決可用性和容錯問題，安全性設(shè)計必須主動進行，每次對涉及規(guī)范進行重大改動時應(yīng)當(dāng)再次參考安全需求
    • 設(shè)計評審，在設(shè)計的過程中，設(shè)計人員要正確的確定系統(tǒng)的不同部分將如何相互操作以及如何布置模塊化的系統(tǒng)結(jié)構(gòu)
    • 代碼審查走查，根據(jù)特定模塊的代碼副本進行走差，尋找邏輯流中的問題或其他設(shè)計/安全性缺陷，有助于確保不同開發(fā)團隊開發(fā)的代碼依據(jù)規(guī)范執(zhí)行
    • 用戶驗收測試，一旦完成這個階段，代碼可能會轉(zhuǎn)移轉(zhuǎn)移部署，與任何關(guān)鍵的開發(fā)過程一樣，保存一份書面的測試計劃和測試結(jié)果是非常重要的，可供將來審查
    • 維護和變更管理， 任何代碼的變更都要通過正式的變更流程來進行

1.3 生命周期模型

• 合適的管理模型能夠改善最終的產(chǎn)品，實施SDLC模型的初始步驟之一包括獲得管理層的批準(zhǔn)
  1、瀑布模型
  • 將系統(tǒng)開發(fā)的生命在后期看做一個系列反復(fù)活動，瀑布模型的主要批評：只準(zhǔn)許開發(fā)人員后退一個階段，瀑布模型沒有對開發(fā)周期后期發(fā)現(xiàn)錯誤做出相應(yīng)規(guī)定
    2、螺旋模型
  • 螺旋模型封裝了許多迭代的其他模型，所以被稱為元模型或“模型的模型”
    3、敏捷軟件開發(fā)
  • 采用替代的、強調(diào)客戶需求的和快速開發(fā)的新功能并以迭代的方式滿足這些需求
    4、軟件能力成熟模型（CMMI）
  • 通過實現(xiàn)從特別混沌的過程到成熟的、有紀(jì)律的軟件過程的發(fā)展路徑，從而幫助軟件組織改善軟件過程的成熟度和質(zhì)量
  • SW-CMM具有初始級、定義級、管理級、優(yōu)化級
    5、 IDEAL 模型
  • IDEAL模型具有以下階段：
    • 啟動：概述更改業(yè)務(wù)的原因，為舉措提供支持，以及準(zhǔn)備好恰當(dāng)?shù)幕A(chǔ)建設(shè)
    • 診斷：工程師分析組織的當(dāng)前狀態(tài)，并且為更改給出一般性建議
    • 建立：組織采用診斷階段的一般建議，并且開發(fā)幫助實現(xiàn)這些更改的具體動作計劃
    • 行動：停止“討論”開始“執(zhí)行”，組織開發(fā)解決方案，隨后測試、改進和實現(xiàn)解決方案
    • 學(xué)習(xí)：組織不斷分析其努力的結(jié)果，從而確定是否已實現(xiàn)期望的目標(biāo)，必要時建議采取新的行動，使組織重返正軌

1.4 甘特圖和PERT

• 甘特圖是一種顯示不同時間項目和調(diào)度之間相互關(guān)系的條形圖，提供了幫助計劃、協(xié)調(diào)和跟蹤項目中特定任務(wù)的調(diào)度圖表
• PERT被用于直接改進項目管理和軟件編程，以便開發(fā)更有效的軟件

1.5 變更和配置管理

• 變更必須有組織的方式管理所請求的變更，變更必須記錄到中央存儲庫，以支持將來的審計、調(diào)查和分析需求
• 變更管理流程
  • 請求變更： 請求控制過程提供了一個有組織的框架，在這個框架內(nèi)，用戶可以請求變更，管理者可以進行成本/效益分析，開發(fā)人員可以優(yōu)化任務(wù)
  • 變更控制：開發(fā)人員使用變更控制過程來重新創(chuàng)建用戶遭遇的特定情況，并且分析能夠進行彌補的適當(dāng)變更，變更控制過程也提供一個有組織的框架，變更控制包括：遵守質(zhì)量控制約束，開發(fā)用于更改或更改部署的工具，正確記錄任何編碼變化，以及將新代碼對安全性的負(fù)面影響最小化
  • 發(fā)布控制：發(fā)布控制必要的步驟是復(fù)核并確保更改過程中作為編程輔助設(shè)計插入的任何代碼，還包括驗收測試，從而確定對終端用戶工作任務(wù)的任何更改都是可理解的和有用的
  • 配置管理過程用戶控制整個組織范圍內(nèi)使用的軟件版本，并且正式跟蹤和控制對軟件配置的更改，配置管理的主要組件：
    • 配置標(biāo)識：配置標(biāo)識過程中，管理員記錄整個組織范圍內(nèi)的軟件產(chǎn)品的配置
    • 配置控制：配置控制確保對軟件版本的更改要與更改控制和配置管理策略一致，只有符合這些策略的授權(quán)分發(fā)才能夠執(zhí)行更改操作
    • 配置狀態(tài)統(tǒng)計：用于跟蹤所有發(fā)生的授權(quán)更改的正規(guī)過程
    • 配置審計： 定義配置審計能夠確保實際的生產(chǎn)環(huán)境與統(tǒng)計記錄一致，以及確保沒有發(fā)生未授權(quán)的配置變更

1.6 Devops方法

• devops模型與敏捷開發(fā)方法緊密配合，旨在顯著的縮短開發(fā)、測試和部署軟件更改所需的時間

1.7 應(yīng)用編程接口

• API 允許應(yīng)用程序開發(fā)人員繞過傳統(tǒng)的網(wǎng)頁，并通過函數(shù)調(diào)用直接與底層服務(wù)進行交互，API帶來的機會也帶來的安全風(fēng)險
• API必須考慮認(rèn)證 要求，API也必須徹底測試安全缺陷

1.8 軟件測試

• 組織在內(nèi)部分發(fā)（或市場發(fā)布）任何軟件之前都應(yīng)當(dāng)對其進行徹底測試，測試的最佳時間是設(shè)計模塊之時，
• 測試軟件時，應(yīng)該應(yīng)用于組織其他方面所使用相同的責(zé)任分離規(guī)則，
• 軟件測試方法：
  • 白盒測試：檢測程序內(nèi)部邏輯結(jié)構(gòu)并逐行執(zhí)行代碼
  • 黑盒測試：從用戶的角度檢查程序
  • 灰盒測試：白盒和黑盒的組合，從用戶角度處理軟件，分析輸入和輸出，也會訪問源代碼，并且使用源代碼來幫助設(shè)計測試
• 兩種用于評估應(yīng)用程序安全性的測試類別：
  - 靜態(tài)測試：通過分析源代碼或編譯的應(yīng)用程序來評估軟件的安全性
  - 動態(tài)測試：運行時環(huán)境中評估軟件的安全性，并且通常是部署了由其他人編寫的應(yīng)用程序的組織的唯一選擇

1.9 代碼倉庫

• 代碼倉庫作為開發(fā)人員放置源代碼的中心存儲點，還提供版本控制、錯誤跟蹤、web托管、發(fā)布管理和支持軟件開發(fā)的通信功能
• 代碼倉庫的安全風(fēng)險
  • 開發(fā)人員必須適當(dāng)?shù)目刂茖}庫的訪問

1.10 服務(wù)等級協(xié)議

• 服務(wù)等級協(xié)議是服務(wù)提供商和服務(wù)供應(yīng)商都認(rèn)同的確保組織內(nèi)部和/或外部客戶提供服務(wù)，并保持適當(dāng)服務(wù)水平的一種方法，如果不能維持協(xié)議，服務(wù)級別協(xié)議通常還包括財務(wù)和和其他合約商討好的補救費用

1.10 軟件采購

• 企業(yè)使用的大多數(shù)軟件都不是內(nèi)部開發(fā)的，而是從供應(yīng)商那里采購的，都應(yīng)該考慮安全性，安全專業(yè)人員必須了解軟件的正確配置以滿足安全目標(biāo)，還關(guān)注安全公告和補丁保持警惕，以糾正新發(fā)現(xiàn)的漏洞
• SaaS環(huán)境中，大多數(shù)安全責(zé)任由供應(yīng)商負(fù)責(zé)，但是組織的安全人員也不能逃脫責(zé)任

2 創(chuàng)建數(shù)據(jù)庫和數(shù)據(jù)倉儲

2.1 數(shù)據(jù)庫管理系統(tǒng)的體系結(jié)構(gòu)

• 數(shù)據(jù)管理系統(tǒng)（DBMS）體系結(jié)構(gòu)，層次式數(shù)據(jù)庫和分布式數(shù)據(jù)庫
  1、層次式和分布式數(shù)據(jù)庫
  • 層次式數(shù)據(jù)庫模型將關(guān)聯(lián)的記錄和字段組合成一個邏輯樹結(jié)構(gòu)，層次數(shù)據(jù)庫以一種分層的方式來存儲數(shù)據(jù)，并且對于適合該模型的專有應(yīng)用程序是有用的
  • 分布式數(shù)據(jù)庫模型將數(shù)據(jù)存儲在多個數(shù)據(jù)庫中，這些數(shù)據(jù)庫是邏輯連接，分布式數(shù)據(jù)庫的數(shù)據(jù)映射是多對多
    2、關(guān)系數(shù)據(jù)庫
  • 關(guān)系數(shù)據(jù)庫是由行和列組成的平面二維表，關(guān)系數(shù)據(jù)庫的主要構(gòu)件是表（也稱為關(guān)系）
  • 關(guān)系中行的數(shù)量被視為基數(shù)，列的數(shù)量被視為度，關(guān)系的域是一組屬性可以采用的允許值，表的基數(shù)經(jīng)常變化，表的度不會頻繁變化
  • 記錄可能由多種鍵進行標(biāo)識，應(yīng)當(dāng)熟悉的三種鍵
    • 候選鍵：被用于唯一標(biāo)識表中記錄的屬性子集，每個表可能有一個或多個候選鍵
    • 主鍵：從表的這組候選鍵后選出的用來唯一標(biāo)識表中記錄的鍵被稱為主鍵，每個表都只有一個主鍵
    • 外鍵：用于強制在兩個表之間建立關(guān)系
  • 所有關(guān)系數(shù)據(jù)庫都使用一種標(biāo)準(zhǔn)語言，即結(jié)構(gòu)化查詢語言（SQL）
  • SQL主要的安全特性是其授權(quán)的粒度，意味著SQL允許為每個極細的級別設(shè)置許可，能通過表、行、列、甚至是單獨的單元來限制用戶訪問
  • SQL本身被分為兩個截然不同的組件：數(shù)據(jù)定義語言（DDL），允許創(chuàng)建和更改數(shù)據(jù)庫的結(jié)構(gòu)；數(shù)據(jù)操縱語言（DML），允許用戶與模式內(nèi)包含的數(shù)據(jù)交互

2.2 數(shù)據(jù)庫事務(wù)

• 關(guān)系數(shù)據(jù)庫支持事務(wù)的顯式或隱式使用，從而確保數(shù)據(jù)的完整性，事務(wù)提交可以是顯式的，使用SQL的commit命令，可以是隱式的，成功到達事務(wù)結(jié)束進行提交
• 數(shù)據(jù)庫的4個必須的特征
  • 原子性：數(shù)據(jù)庫事務(wù)必須是原子的，必須要么全有，要么全無的事物，如果事務(wù)的任何部分失敗，整個事務(wù)就會被回滾
  • 一致性：所有事務(wù)都必須在與數(shù)據(jù)庫所有規(guī)則一致的環(huán)境中開始操作
  • 隔離性： 要求事務(wù)彼此之間獨立操作
  • 持久性：數(shù)據(jù)庫事務(wù)必須是持久的，也就是說一旦提交給數(shù)據(jù)庫，就會被保留下來，數(shù)據(jù)庫通過備份機制確保持久性

2.3 多級數(shù)據(jù)庫的安全性

• 多級安全性數(shù)據(jù)庫包含大量不同分類級別的信息，他們必須對分配給用戶的標(biāo)簽進行驗證，并且根據(jù)用戶的請求只提供是回檔的信息
• 不同的數(shù)據(jù)混合在一起被稱為數(shù)據(jù)庫污染，這是一個重大的安全風(fēng)險，通常，管理員會通過部署可信前端為舊式的或不安全的DBMS添加多級安全性
  1、并發(fā)性
  • 并發(fā)性或編輯控制是一種預(yù)防性的安全機制，這種機制通過數(shù)據(jù)庫中存儲的數(shù)據(jù)時鐘是正確的，或者至少使其完整性和可用性受到保護
    2、其他安全機制
  • 使用DBMS時，管理員可以部署其他一些安全機制，這些特性的實現(xiàn)相對簡單，并且是業(yè)內(nèi)常見的，如：
    • 語義完整性：確保用戶的動作不會出現(xiàn)違反任何結(jié)構(gòu)上的規(guī)范，還檢查存儲的所有數(shù)據(jù)烈性都位于有效的 域范圍內(nèi)，確保只存在邏輯值，并且確認(rèn)系統(tǒng)遵守任何和所有的唯一性約束
    • 數(shù)據(jù)庫內(nèi)能夠細粒度的控制對象，內(nèi)容相關(guān)的訪問控制重點基于要訪問的內(nèi)容或有效載荷進行控制，內(nèi)容相關(guān)的訪問控制增加了開銷，細粒度的另一種形式就是單元抑制，是對單獨的數(shù)據(jù)庫字段或單元隱藏或強加更安全的約束
    • 上下文相關(guān)的訪問控制，是對每個對象、數(shù)據(jù)包或字段如何與總體的活動或通信相聯(lián)系，任何單個元素本身看上去無關(guān)緊要，但在較大的上下文環(huán)境中就會表露出有意還是有害的
    • 數(shù)據(jù)庫分區(qū)技術(shù)，用來防止聚合、推理和污染漏洞
    • 多實例：同一個關(guān)系數(shù)據(jù)庫表中，兩行或更多行具有相同的主鍵元素，但是包含在不同分類級別使用的不同數(shù)據(jù)，就會出現(xiàn)多實例，多實例常常被用作針對某些推理攻擊類型的防范措施
    • 管理員可以利用噪聲和干擾在DBMS中插入錯誤的或欺騙的數(shù)據(jù)，從而重定向或阻擾信息機密性攻擊

2.4 ODBC

• 開放數(shù)據(jù)庫互連（ODBC）是一種數(shù)據(jù)庫特性，允許應(yīng)用程序與不同數(shù)據(jù)庫類型通信

3 存儲數(shù)據(jù)和信息

• DBMS安全性只適用于通過傳統(tǒng)的“前門”渠道訪問信息，數(shù)據(jù)還通過計算機的存儲資源（內(nèi)存和物理介質(zhì)）進行處理，為了確保這些基本的資源免受安全漏洞的威脅，必須采取預(yù)防措施

3.1 存儲器的類型

• 主（實際）存儲器由系統(tǒng)的CPU可以直接訪問的主要存儲資源組成，主存儲器通常由意識形態(tài)的隨機訪問的存儲器組成，并且一般是系統(tǒng)可以使用的性能最高的存儲資源
• 輔助存儲器由許多較鏈家的、非易失性的、可供系統(tǒng)長期使用的存儲資源組成，典型的輔助存儲器資源包括磁性的和光學(xué)的介質(zhì)，如磁帶、磁盤、硬盤和CD/DVD存儲
• 虛擬內(nèi)存準(zhǔn)許系統(tǒng)利用輔助存儲器模擬額外的主存儲器資源，如利用硬盤的一部分作為直接CPU尋址使用
• 虛擬存儲器準(zhǔn)許系統(tǒng)利用主存儲器模擬輔助存儲器的資源，虛擬存儲器的最常見例子是作為輔助存儲器提供給操作系統(tǒng)的RAM磁盤
• 隨機訪問存儲器準(zhǔn)許操作系統(tǒng)請求介質(zhì)上任意位置的內(nèi)容，RAM和硬盤都是隨機訪問存儲器
• 順序訪問存儲器需要從頭到指定地址進行整個介質(zhì)掃描，磁帶是常見的順序訪問存儲器的例子
• 易失性存儲器在資源斷電時會丟失上面的存儲內(nèi)容，RAM是最常見的易失性存儲器
• 非易失性存儲器不依賴電源的供電來維持存儲內(nèi)容，磁性的/光學(xué)的介質(zhì)和非易失性RAM都是非易失性存儲器的例子

3.2 存儲器威脅

• 無論使用哪種類型的存儲器，都存在對存儲器資源的非法訪問
• 隱蔽通道是對存儲器資源的第二種主要威脅，隱蔽通道準(zhǔn)許通過直接或間接的操縱共享存儲介質(zhì)

4 理解基于知識的系統(tǒng)

4.1 專家系統(tǒng)

• 專家系統(tǒng)試圖具體化人類在某個特殊學(xué)科累積的知識，并且以一致的方式將他們應(yīng)用于將來的決定，專家系統(tǒng)有兩個主要的組件：知識庫和推理引擎
  • 知識庫包含專家系統(tǒng)已知的規(guī)則
  • 推理引擎對知識庫中的信息進行分析，從而得到正確的決策
  • 專家系統(tǒng)的優(yōu)點是決策不涉及情緒影響，可能再一些情況中扮演重要的角色

4.2 神經(jīng)網(wǎng)絡(luò)

• 在神經(jīng)網(wǎng)絡(luò)中，計算單元鏈被用來嘗試模仿人腦的生物學(xué)推理過程，在神經(jīng)網(wǎng)絡(luò)中建立了相互插入和最終合計生成預(yù)期輸出結(jié)果的計算決策長鏈
• 神經(jīng)網(wǎng)絡(luò)的優(yōu)點包括線型、輸入-輸出映射和自適應(yīng)

4.3 決策支持系統(tǒng)

• 決策支持系統(tǒng)（DSS）是一種知識型應(yīng)用，它分析業(yè)務(wù)數(shù)據(jù)并且以更容易做出業(yè)務(wù)決策的形式提供給用戶
• DSS常被知識型員工和銷售服務(wù)人員所使用，這種應(yīng)用可以以圖形方式提供信息，從而連接概念和內(nèi)容并指導(dǎo)操作者，通常DSS得到了控制某個數(shù)據(jù)庫的專家系統(tǒng)支持

4.4 安全性應(yīng)用

• 下一代入侵檢測專家系統(tǒng)（NIDES），系統(tǒng)提供了一個推理引擎和知識庫，從網(wǎng)絡(luò)的多種審計日志中提取信息，并且在單個用戶的餓操作與他們的標(biāo)準(zhǔn)應(yīng)用描述不同時向管理員發(fā)出通知