【太原理工大学】软件体系安全 - 本人认为大概会出的 （最精简！！背！！！ ...

纯个人猜测，背住最基本的，自己上考场得当加词
  1. **零日攻击**：利用未公开的软件毛病进行的攻击，成功率高，破坏性大。
2. **软件毛病**：软件设计、编码或运行中的安全缺陷。
3. **恶意代码**：未经授权，旨在破坏或窃取信息的软件或代码片段，如病毒、蠕虫等。
4. **软件安全**：体系方法辨认、分析追踪软件安全风险并控制。
5. **CIA三属性**：保密性、完整性、可用性，是信息安全的基本属性。
6. **软件可靠性**：软件在规定条件下不引起体系失效的概率。
7. **可信软件**：行为和结果可预测，符合预期的软件体系。
8. **软件定义网络（SDN）**：通过网络软件化进步网络创新本领。
9. **软件定义安全（SDS）**：通过软件编程实现网络安全防护。
10. **软件安全防护**：围绕毛病消除，从软件开发生命周期早期开始安全思量。
11. **Web安全毛病**：Web应用中的安全缺陷，如SQL注入、XSS等。
12. **软件生命周期**：定义、开发、维护时期，每个时期包括多个阶段。
13. **安全开发生命周期（SDL）**：将安全运动分散到软件生命周期各阶段。
14. **软件安全需求分析**：确定软件安全需求，基于体系客观属性。
15. **软件安全设计**：将安全属性融入软件架构，包括架构安全性设计和分析。
16. **软件安全编码**：选择安全的编程语言，进行代码检测和安全编译。
17. **软件测试与安全测试**：从用户和攻击者角度出发，发现并修复毛病。
18. **模糊测试**：通过非预期输入发现软件问题的技术。
19. **XSS蠕虫Samy**：存储型XSS攻击，攻击者上传恶意脚本到服务器。
20. **敏捷SDL**：适用于快速迭代开发的SDL模型，与传统SDL的主要区别在于开发模型和发布要求。

一些“方法”及“头脑”：
   简答大概会涉及到“如何做”或者“什么原理”之类的问题，现在我们来梳理一下“通用模版”，注意：通用不代表可以什么都不管直接套，有时间的话还是自己背背不同的应对步伐，这是没有办法的办法。
  怎么做：（通过这些方法可以在肯定程度上包管软件安全，万金油答案）

• 减少受攻击面：移除或限定不须要的功能、服务和协议，减少潜在的攻击点
  
• 最小授权原则：仅授予用户或体系执行任务所需的最小权限，减少权限滥用风险
  
• 权限分离：将关键功能分散至多个条件或脚色，避免单一故障点
  
• 纵深防御：多层次安全步伐，确保即使一层防御失败，体系仍受保护
  
• 完全控制：对全部访问受保护资源的行为进行细粒度的权限检查
  
• 输入验证：对全部输入进行验证，防止恶意数据导致安全问题。
  
• 经济性原则（KISS原则）：简单设计减少复杂性，低落成本，进步安全性
  
• 心理可担当原则：安全机制应用户友好，易于担当和利用
  
• 均衡安全设计：在不同的安全原则之间找到均衡，根据业务需求做出合理折衷
  

理念类：（将安全运动分散到软件生命周期各阶段，大部门安全设计都采取这个头脑，可根据题目灵活变动，同时这也是SDL的核心步骤）

• 培训：进行安全培训，“赛前预备”
  
• 需求分析：确定安全需求
  
• 设计：确定设计要求，减少攻击面，威胁建模
  
• 实行：弃用不安全函数等
  
• 验证：程序动态分析
  
• 发布：变乱相应操持，最终安全审核
  
• 相应：执行变乱相应操持
  

“洋文”汇总：
   经常会出来英笔墨母，看见别懵，知道啥意思就好写了
  零日毛病：0 day
CIA：信息安全三大基本属性——保密性、完整性、可用性
SDN：“分离”出来以到达“控制”目标
SDS：底层抽象，顶层统一
/GS：防止栈溢出攻击
DEP：防止恶意代码
ASLR：随机化内存加载位置
SafeSEH：防止攻击者滥用结构化非常处理

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。