第4章環(huán)境安全主要內(nèi)容概述機房環(huán)境主機安全漏洞管理安全審計取證技術(shù)安全測試安全編碼4.1概述概念、范疇、常見安全問題概念環(huán)境是承載數(shù)據(jù)的載體所處的物理的、邏輯的資源。物理環(huán)境包括計算資源、計算所在的物理平臺、物理網(wǎng)絡(luò)、基礎(chǔ)性支持設(shè)施，以及監(jiān)督和監(jiān)控系統(tǒng)等；邏輯環(huán)境包括處理信息的系統(tǒng)、支撐性系統(tǒng)和平臺（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)）、運行于物理平臺上的網(wǎng)絡(luò)系統(tǒng)等。環(huán)境安全是指環(huán)境對象的安全，包括物理環(huán)境安全和邏輯環(huán)境安全。12345678范疇12345678環(huán)境安全環(huán)境的可用性環(huán)境的完整性環(huán)境的機密性環(huán)境的真實性環(huán)境的不可否認性環(huán)境的可控性……常見安全問題常見的環(huán)境安全問題和安全屬性的關(guān)系表常見問題\安全屬性可用性完整性機密性真實性不可否認性可控性非法闖入機房√

√

√供電系統(tǒng)故障√√

√√溫濕度超標(biāo)√√

√√電磁輻射嚴(yán)重√√

√√機房網(wǎng)絡(luò)設(shè)備癱瘓√√

核心服務(wù)器宕機√√

計算環(huán)境被假冒

√

計算環(huán)境非法訪問

√√

√計算環(huán)境遭受攻擊√√

√12345678常見安全問題引發(fā)安全問題的原因分類可能的原因引發(fā)的安全問題環(huán)境脆弱性計算環(huán)境漏洞計算環(huán)境被非法訪問；計算環(huán)境遭受攻擊；非法闖入機房物理環(huán)境基礎(chǔ)設(shè)施設(shè)備老化供電系統(tǒng)故障；溫濕度超標(biāo)；電磁輻射嚴(yán)重計算環(huán)境資源有限機房網(wǎng)絡(luò)設(shè)備癱瘓；核心服務(wù)器宕機機房環(huán)境管理漏洞計算環(huán)境被非法訪問；非法闖入機房對環(huán)境威脅釣魚網(wǎng)站計算環(huán)境被假冒虛假服務(wù)進程計算環(huán)境被假冒釣魚無線接入計算環(huán)境被假冒惡意代碼計算環(huán)境非法訪問；計算環(huán)境遭受攻擊；計算環(huán)境被破壞邊界安全問題造成的威脅物理邊界非法闖入計算環(huán)境非法訪問；計算環(huán)境遭受攻擊；計算環(huán)境被破壞；非法闖入機房邊界被繞過或穿透計算環(huán)境非法訪問；計算環(huán)境遭受攻擊；計算環(huán)境被破壞邊界無法正常工作計算環(huán)境非法訪問；計算環(huán)境遭受攻擊；計算環(huán)境被破壞邊界配置信息泄露計算環(huán)境非法訪問；計算環(huán)境遭受攻擊；計算環(huán)境被破壞123456784.2機房環(huán)境基本知識機房是一種物理環(huán)境，是計算機系統(tǒng)、網(wǎng)絡(luò)、存儲等載體和環(huán)境所處的外部條件，為這些載體提供安全的保障。這里，機房環(huán)境不僅包含機房的場所，還包含確保機房安全及維護機房正常運轉(zhuǎn)的配電、照明、供水等各類系統(tǒng)、設(shè)備及措施等支撐設(shè)施。12345678基本知識機房建設(shè)的主要內(nèi)容環(huán)境安全供配電系統(tǒng)安全保安系統(tǒng)安全消防安全12345678基本知識機房的設(shè)計選址空間與面積配電與照明系統(tǒng)空調(diào)系統(tǒng)12345678基本知識機房的驗收機房的安全管理出入管理機房登記審查制度12345678基本知識相關(guān)規(guī)范1) GB50174-2008《電子信息系統(tǒng)機房設(shè)計規(guī)范》；2) GB50462-2008《電子信息系統(tǒng)機房施工及驗收規(guī)范》；3) CECS72-97《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范》；4) GBJ16-87《建筑設(shè)計防火規(guī)范》；5) GB50116-98《火災(zāi)自動報警系統(tǒng)設(shè)計規(guī)范》；6) GB2887-89《計算機場地安全要求》；7) GB50057-94《建筑物防雷設(shè)計規(guī)范》；8) GB50054-95《低壓配電設(shè)計規(guī)范》；……12345678安全案例2013年2月25日，臺北市數(shù)字通國際網(wǎng)絡(luò)公司因機房內(nèi)機電設(shè)施起火，整棟樓斷電救火。導(dǎo)致同樓的大型網(wǎng)絡(luò)交換中心、企業(yè)主機托管服務(wù)商“是方電訊”受到波及。最后造成臺灣全島網(wǎng)絡(luò)癱瘓，甚至臺灣多數(shù)電信運營商海外光纜出現(xiàn)問題，Yahoo、臺灣高鐵、微軟MSN、中華電信、遠傳、臺灣大寬頻、威寶電信等都受其影響，許多知名網(wǎng)站也因此停運。當(dāng)?shù)孛癖姼黠@感受到網(wǎng)絡(luò)連接異常緩慢，連3G網(wǎng)絡(luò)都受到影響。12345678應(yīng)用實例12345678應(yīng)用實例12345678應(yīng)用實例12345678應(yīng)用實例12345678應(yīng)用實例123456784.3主機安全基本概念主機，在這里，是一個相對網(wǎng)絡(luò)的概念，是指連接到互聯(lián)網(wǎng)上計算機系統(tǒng)，包括了服務(wù)器計算機系統(tǒng)和桌面計算機系統(tǒng)。主機是一種計算環(huán)境。主機安全是指主機系統(tǒng)作為計算環(huán)境的安全，涉及相關(guān)軟硬件的安全問題，即確保主機系統(tǒng)的可用性、真實性、完整性等安全屬性。主機加固是指針對不同目標(biāo)主機系統(tǒng)，通過打補丁、修改安全配置、增加安全機制等方法，合理進行安全性加強。其主要目的是消除與降低主機系統(tǒng)的安全隱患。12345678典型技術(shù)主機防護技術(shù)主機防火墻技術(shù)、主機入侵檢測技術(shù)、主機監(jiān)控技術(shù)主機加固技術(shù)操作系統(tǒng)加固技術(shù)、數(shù)據(jù)庫加固技術(shù)內(nèi)部存儲器的保護技術(shù)沙箱技術(shù)12345678應(yīng)用實例12345678最牛主機防火墻？瑞星？360？卡巴？應(yīng)用實例最牛密碼？不少于8位？字母+數(shù)字+其他字符？密文含義Tree_0f0=sprintf("2_Bird_ff0/a")兩個黃鸝鳴翠柳for_$n(@RenSheng)_$n+="die"人生自古誰無死while(1)Ape1Cry&&Ape2Cry兩岸猿聲啼不住dig?F*ckDang5鋤禾日當(dāng)午ps!see(5tl)shit!say(man)平生不看武騰蘭，便稱男人也枉然hold?fish:palm魚和熊掌不可兼得FLZX3000cY4yhx9day飛流直下三千尺，疑似銀河下九天12345678應(yīng)用實例Windows2003服務(wù)器安全加固系統(tǒng)的安全加固：我們通過配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強，系統(tǒng)服務(wù)和訪問控制加固您的系統(tǒng)，整體提高服務(wù)器的安全性。IIS手工加固：手工加固iis可以有效的提高web站點的安全性，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。12345678應(yīng)用實例目錄權(quán)限的配置：1除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對其下的子目錄作單獨的目錄權(quán)限，如果WEB站點目錄，你要為其目錄權(quán)限分配一個與之對應(yīng)的匿名訪問帳號并賦予它有修改權(quán)限，如果想使網(wǎng)站更加堅固，可以分配只讀權(quán)限并對特殊的目錄作可寫權(quán)限。2系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限，之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。3因為服務(wù)器只有管理員有本地登錄權(quán)限，所在要配置DocumentsandSettings這個目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán)，其下的子目錄同樣。另外還有一個隱藏目錄也需要同樣操作。因為如果你安裝有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調(diào)取這個配置文件。4配置Programfiles目錄，為CommonFiles目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)。5配置Windows目錄，其實這一塊主要是根據(jù)自身的情況如果使用默認的安全設(shè)置也是可行的，不過還是應(yīng)該進入SYSTEM32目錄下，將cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號拒絕訪問。6審核MetBase.bin，C:\WINNT\system32\inetsrv目錄只有administrator只允許Administrator用戶讀寫。12345678應(yīng)用實例MSSQL2005數(shù)據(jù)庫安全加固1.安裝MSSQL時使用混合模式，當(dāng)然SA密碼最好不能為空，在SQL2005中，可以對SA這個超級用戶名進行修改或刪除。2.SQL的認證有Windows身份認證和混合身份認證。3.管理擴展存儲過程。4.SQLServer2005本身就具有加密功能，完全集成了一個密鑰管理架構(gòu)。5.使用IPSec策略阻止所有地址訪問本機的TCP1433與UDP1434端口，也可對TCP1433端口進行修改，但是在SQL2005中，可以使用TCP動態(tài)端口6.對遠程網(wǎng)絡(luò)連接進行IP限制，SQLServer2005如同SQL2000一樣沒有提供網(wǎng)絡(luò)連接的安全解決辦法，但是Windows2000以上系統(tǒng)了提供了IPSec策略。……12345678應(yīng)用實例對SA帳號進行修改usemaster

ALTERLOGIN[sa]WITHNAME=[zxs]/*修改SA帳號*/

sp_password"111111","123456","sa"/*修改SA密碼*/

使用以上命令可修改SA帳號，也可進行圖形化的修改123456784.4漏洞管理基本知識漏洞是環(huán)境在其生命周期的各個階段（從設(shè)計、到實現(xiàn)、運維等過程），由于與環(huán)境相關(guān)的硬件、軟件的結(jié)構(gòu)、配置和協(xié)議存在缺陷，以及環(huán)境的管理、信任過程中存在某些問題，從而使得攻擊者能夠在未授權(quán)的情況下實現(xiàn)對系統(tǒng)的訪問或破壞。具體指如在硬件芯片中的邏輯錯誤，程序員在編程中的錯誤，以及管理員在配置匿名FTP服務(wù)時由于配置不當(dāng)?shù)榷伎赡鼙还粽呃谩?2345678基本知識常見的漏洞產(chǎn)生的原因和導(dǎo)致漏洞產(chǎn)生的因素主要包括：系統(tǒng)復(fù)雜性設(shè)備熟知度基礎(chǔ)操作系統(tǒng)的設(shè)計缺陷用戶的使用與配置錯誤常見的代碼bug針對用戶輸入的非有效驗證漏洞分類：硬件漏洞、操作系統(tǒng)漏洞、數(shù)據(jù)庫系統(tǒng)漏洞、開發(fā)平臺和工具的漏洞、應(yīng)用程序漏洞和網(wǎng)絡(luò)漏洞。12345678基本知識漏洞管理漏洞預(yù)警、漏洞發(fā)現(xiàn)、漏洞風(fēng)險、修復(fù)確認零日攻擊漏洞管理技術(shù)CVE標(biāo)準(zhǔn)、OVAL評估語言漏洞管理組織漏洞庫漏洞發(fā)現(xiàn)技術(shù)漏洞掃描技術(shù)滲透測試技術(shù)12345678心血漏洞事件2014年4月7日，OpenSSL發(fā)布了安全公告，在OpenSSL1.0.1版本中存在嚴(yán)重漏洞。該漏洞允許“互聯(lián)網(wǎng)上的任何人”都能夠讀取“脆弱版本OpenSSL”保護下的系統(tǒng)內(nèi)存。會讓很多用戶名、密碼，包括用戶登陸的操作，收發(fā)郵件等私密明文信息。全球有240多萬服務(wù)器受影響，覆蓋面甚廣。兩個月后，仍然還有30萬個系統(tǒng)存在該漏洞。12345678SQL注入漏洞很多Web應(yīng)用程序都使用數(shù)據(jù)庫來存儲信息。SQL命令就是前端Web和后端數(shù)據(jù)庫之間的接口，使得數(shù)據(jù)可以傳遞至Web應(yīng)用程序。很多Web站點都會利用用戶輸入的參數(shù)動態(tài)地生成SQL查詢要求，攻擊者通過在URL、表單域，或者其他的輸入域中輸入自己的SQL命令，以此改變查詢屬性，騙過應(yīng)用程序，從而可以對數(shù)據(jù)進行不受限的訪問。12345678RetinaCS企業(yè)漏洞管理系統(tǒng)2011年，RetinaCS被InformationSecurity評為年度最佳漏洞管理產(chǎn)品金獎，被SC評定為5星級產(chǎn)品。123456784.5安全審計基本知識安全審計就是對有關(guān)操作系統(tǒng)、系統(tǒng)應(yīng)用或用戶活動所產(chǎn)生的一系列有關(guān)安全的活動進行記錄、檢查及審核。管理員采用審計系統(tǒng)來監(jiān)控系統(tǒng)的狀態(tài)和活動，并對日志文件進行分析、及時發(fā)現(xiàn)系統(tǒng)中存在的安全問題。12345678基本知識安全審計的范圍較廣，可覆蓋桌面系統(tǒng)、網(wǎng)絡(luò)、各類服務(wù)器，可涉及用戶的各類網(wǎng)絡(luò)行為與數(shù)據(jù)內(nèi)容（瀏覽網(wǎng)頁、訪問論壇空間、發(fā)表言論、傳輸文件、發(fā)送電子郵件等等）、數(shù)據(jù)和文件的訪問操作行為與內(nèi)容、數(shù)據(jù)庫的操作和訪問行為與內(nèi)容等等諸多方面和層次。安全審計中檢查的內(nèi)容包括審計事件類型；事件安全級；引用事件的用戶；報警；指定時間內(nèi)的事件以及惡意用戶表等。12345678基本知識安全審計的形式人工審計計算機手動分析處理審計記錄并與審計人員最后決策相結(jié)合的半自動審計依靠專家系統(tǒng)作出判斷結(jié)果的自動化的智能審計等12345678基本知識審計日志分析技術(shù)統(tǒng)計分析Syslog標(biāo)準(zhǔn)與Syslog系統(tǒng)12345678基本知識安全審計系統(tǒng)是安全審計的工具，其通過對安全審計日志的分析和處理來對系統(tǒng)的活動進行檢查和審核，即進行安全審計。操作系統(tǒng)安全審計系統(tǒng)數(shù)據(jù)庫安全審計系統(tǒng)網(wǎng)絡(luò)安全審計系統(tǒng)12345678基本知識安全審計的作用對于已經(jīng)發(fā)生的系統(tǒng)破壞行為，提供有效的追蹤證據(jù)；為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，便于及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞；重建事件；評估損失；監(jiān)測系統(tǒng)的問題區(qū)；發(fā)現(xiàn)和阻止系統(tǒng)的不正當(dāng)使用。12345678安全事件小A和小B是大學(xué)同學(xué)，畢業(yè)后小B被分配到某醫(yī)院的信息中心負責(zé)數(shù)據(jù)庫系統(tǒng)的管理，小A進入了一家醫(yī)藥公司任醫(yī)藥代表。有一次吃飯的時候，小B發(fā)現(xiàn)小A心事重重的樣子，細問之下原來是銷售業(yè)績的壓力，雖然小B也是在醫(yī)院工作，但是他不在業(yè)務(wù)口，對醫(yī)院用藥情況并不清楚，為了哥們義氣,他告訴小A可以登錄到數(shù)據(jù)庫將醫(yī)院各科室用藥情況進行查詢。小A如獲至寶,幾個月過去后,在這些情報的指導(dǎo)下,小A有的放矢,銷售業(yè)績大漲...12345678應(yīng)用案例某安全審計系統(tǒng)典型部署（旁路部署模式）12345678應(yīng)用案例小型網(wǎng)絡(luò)之精細審計方案12345678應(yīng)用案例中型網(wǎng)絡(luò)之集中審計方案12345678應(yīng)用案例某產(chǎn)品大型網(wǎng)絡(luò)之分級審計方案123456784.6取證技術(shù)基本知識證據(jù)是證明犯罪行為的事實依據(jù)，是法律訴訟的重要內(nèi)容。根據(jù)《刑事訴訟法》規(guī)定，電子數(shù)據(jù)屬于證據(jù)中的一種，是以二進制形式存儲和傳輸?shù)男畔ⅰｋ娮幼C據(jù)可能包括罪犯在計算環(huán)境中留下的對數(shù)據(jù)、載體進行訪問和操作的任何痕跡與信息。取證是運用計算機及其相關(guān)科學(xué)技術(shù)的原理與方法，獲取與計算機相關(guān)的電子證據(jù)并加以整理分析，以便法庭或調(diào)查使用。12345678取證的基本步驟1) 證據(jù)的獲取2) 位拷貝3) 分析檢查4) 取證提交5) 證據(jù)存檔6) 證據(jù)呈供12345678取證須遵守的原則（IOCE）處理電子證據(jù)時，必須遵守所有的常規(guī)取證步驟、原則。獲取電子證據(jù)時，必須保證證據(jù)的不變性。進行原始證據(jù)處理的取證人員應(yīng)該經(jīng)過專業(yè)培訓(xùn)。所有和電子證據(jù)的獲取、訪問、存儲、傳送相關(guān)的處理都必須完全歸檔、保存好。個人在擁有和案例相關(guān)的電子證據(jù)時，應(yīng)該對其所有在電子證據(jù)上所進行的相關(guān)操作負有責(zé)任。任何代理機構(gòu)，在負責(zé)提取、訪問、保存或傳送電子證據(jù)時都必須遵守這些原則。12345678取證技術(shù)證據(jù)獲取技術(shù)磁盤映像技術(shù)數(shù)據(jù)恢復(fù)技術(shù)網(wǎng)絡(luò)實時數(shù)據(jù)獲取技術(shù)證據(jù)分析技術(shù)內(nèi)容分析技術(shù)證據(jù)鑒定技術(shù)數(shù)據(jù)解密技術(shù)反取證技術(shù)數(shù)據(jù)擦除數(shù)據(jù)隱藏數(shù)據(jù)加密清除偽造日志12345678取證/反取證工具取證工具國外軟件LiveView、OpenFilesView、Helix、Wireshark反取證工具磁盤擦除工具Diszapper、隱藏信息的StealthDisk、以隱寫術(shù)為主的Cloak和數(shù)據(jù)隱藏工具InvisibleSecrets12345678應(yīng)用案例1：毒品販賣案子山東XX公安局破獲一起重大的毒品販賣案子，嫌疑已經(jīng)抓獲，得知對方是使用手機短信和QQ聯(lián)絡(luò)互相聯(lián)系。警方繳獲了手機30臺，便攜式計算機3臺，臺式機計算機15臺，并對證據(jù)進行安全保存。123456781警方采用手機取證設(shè)備對手機進行了提取和恢復(fù)分析，得出了基本的聯(lián)系圖和上下級關(guān)系內(nèi)容；2采用硬盤取證復(fù)制機將嫌疑人的計算機硬盤進行復(fù)制，避免對原始電子證據(jù)的破壞；3使用FTK司法分析軟件對復(fù)制后硬盤中的所有文檔進行了分析，在其中一臺臺式機中發(fā)現(xiàn)了這個集團的賬本，以及交易記錄，通訊錄等內(nèi)容。4針對其中一臺蘋果便攜式計算機，由于硬盤取出不方便，警方利用免拆機取證工具，直接通過USB接口對計算機進行了取證和分析。應(yīng)用案例2：某單位經(jīng)濟案XX市人民檢察院技術(shù)處接到案件，要求查找嫌疑人計算機中的財務(wù)數(shù)據(jù)，并分析其數(shù)據(jù)的關(guān)聯(lián)性。繳獲的3臺臺式機計算機，皆為單獨主機，沒有網(wǎng)卡和光驅(qū)。123456781拆除硬盤，使用硬盤復(fù)制機，將數(shù)據(jù)全盤拷貝到證據(jù)硬盤；2采用司法分析軟件Encase進行了分析，獲取了諸多數(shù)據(jù)文件。3由于財務(wù)數(shù)據(jù)需要財務(wù)軟件環(huán)境展示，因此檢方采用仿真設(shè)備，還原操作系統(tǒng)環(huán)境并進入財務(wù)軟件，輸入登錄密碼和插上加密狗，導(dǎo)出了所有的報表文件，最后為確保文件的完整性，采用Encase對文件采用哈希算法進行了完整性保護。應(yīng)用案例3：電話詐騙案1采用硬盤復(fù)制設(shè)備對原始證據(jù)進行復(fù)制；2采用數(shù)據(jù)恢復(fù)軟件對系統(tǒng)上的文件進行反刪除恢復(fù)；3對文件系統(tǒng)及關(guān)鍵文件進行文件瀏覽；4完成關(guān)鍵涉案文件的提取。某公安局破獲一起電話詐騙團伙案，罪犯所用計算機被損毀，硬盤被格式化。123456784.7安全測試基本知識這里，安全測試是確認計算環(huán)境的安全功能、發(fā)現(xiàn)計算環(huán)境在部署、配置及軟件代碼在設(shè)計、實現(xiàn)、操作和管理等方面缺陷的過程。安全性測試可分為安全功能測試安全漏洞測試12345678基本知識安全測試流程測試前的準(zhǔn)備階段安全測試執(zhí)行階段數(shù)據(jù)匯總分析階段12345678基本知識安全測試技術(shù)與方法黑盒測試安全審查技術(shù)目標(biāo)識別與分析技術(shù)目標(biāo)漏洞驗證技術(shù)12345678技術(shù)應(yīng)用12345678安全測試工具靜態(tài)語法檢查工具日志審查工具系統(tǒng)配置分析工具網(wǎng)絡(luò)嗅探工具完整性工具網(wǎng)絡(luò)及漏洞掃描工具應(yīng)用程序安全測試工具滲透及攻擊測試工具應(yīng)用實例12345678某公司安全測試框架應(yīng)用實例針對Web應(yīng)用進行滲透測試123456781在AppScan里建立一個新的掃描2設(shè)置需要掃描的URL3登錄AppScan4測試策略的選擇5測試配置項6掃描分為二部分：探索，實際測試7分析和修復(fù)建議8漏洞復(fù)現(xiàn)和判斷其嚴(yán)重程度4.8安全編碼基本知識安全編碼是指為了消除或降低軟件的安全風(fēng)險而在編程時所遵循的原則以及所采用的技術(shù)手段。12345678基本知識方法與措施1) 培訓(xùn)軟件開發(fā)人員，實施特定語言的安全編碼實踐并確保其應(yīng)用；2) 使用靜態(tài)分析和其他的代碼分析工具來執(zhí)行源代碼的檢查；3) 理解軟件安全測試與傳統(tǒng)的軟件測試之間的區(qū)別，并將其反映到軟件測試中；4) 執(zhí)行基于風(fēng)險的安全測試，查找常見的錯誤、可疑的軟件缺陷，并實施減輕風(fēng)險的方法，確保其運行；5) 使用一種確定的過程，確認安全需求的原因、安全需求的分類、安全需求的優(yōu)先級等內(nèi)容，根據(jù)優(yōu)先級的高低解決安全問題；6) 利用威脅建模和攻擊模式來確認安全威脅。攻擊模式包括發(fā)動攻擊的先決條件、相關(guān)漏洞、執(zhí)行攻擊所要求的技巧和資源等；7) 執(zhí)行架構(gòu)風(fēng)險分析，評估架構(gòu)和設(shè)計滿足安全需求的能力，以及從相關(guān)威脅中的恢復(fù)能力。12345678基本知識安全編碼意識培養(yǎng)1) 將安全性納入到軟件開發(fā)過程中2) 像攻擊者一樣思考3) 安全是一個風(fēng)險管理問題12345678基本知識安全編碼技術(shù)內(nèi)存安全線程進程安全異常處理安全輸入安全國際化安全面向?qū)ο缶幊贪踩玏eb編程安全安全編碼規(guī)范12345678技術(shù)應(yīng)用典型案例1：避免SQL注入StringsqlString="se