開篇:寫作不僅是一種記錄����,更是一種創(chuàng)造��,它讓我們能夠捕捉那些稍縱即逝的靈感��,將它們永久地定格在紙上���。下面是小編精心整理的1篇計(jì)算機(jī)軟件安全檢測技術(shù)研究���,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友����,陪伴您不斷探索和進(jìn)步�。
計(jì)算機(jī)軟件開發(fā)人員,在進(jìn)行計(jì)算機(jī)軟件開發(fā)過程中�,非常有必要對(duì)不同類型的計(jì)算機(jī)軟件進(jìn)行安全性檢測����,以便于軟件開發(fā)人員事先發(fā)現(xiàn)安全隱患��,從而采取適當(dāng)?shù)母倪M(jìn)措施,確保不同計(jì)算機(jī)軟件在使用過程中順利運(yùn)轉(zhuǎn)。
【關(guān)鍵詞】計(jì)算機(jī)軟件 安全檢測技術(shù)
在社會(huì)經(jīng)濟(jì)飛速發(fā)展的今天���,計(jì)算機(jī)作為意義上的生產(chǎn)或者生活用品已經(jīng)融入人類社會(huì)的各個(gè)領(lǐng)域,并且隨著科技的日新月異,電子計(jì)算機(jī)科學(xué)技術(shù)也隨之日臻完善和成熟���。是計(jì)算機(jī)軟件在支撐著計(jì)算機(jī)的正常運(yùn)轉(zhuǎn),人們依賴計(jì)算機(jī)進(jìn)行生產(chǎn)和生活要借助不同的計(jì)算機(jī)軟件來進(jìn)行����,因而�����,計(jì)算機(jī)軟件的安全性也就提到了計(jì)算機(jī)維護(hù)的首要日程。否則�����,其安全性就極有可能對(duì)計(jì)算機(jī)的使用帶來極大的安全隱患����,同時(shí)也會(huì)給互聯(lián)網(wǎng)安全造成極大威脅。鑒于此��,計(jì)算機(jī)軟件開發(fā)人員�,在進(jìn)行計(jì)算機(jī)軟件開發(fā)過程中,非常有必要對(duì)不同類型的計(jì)算機(jī)軟件進(jìn)行安全性檢測�,以便于軟件開發(fā)人員事先發(fā)現(xiàn)安全隱患�,從而采取適當(dāng)?shù)母倪M(jìn)措施�,確保不同計(jì)算機(jī)軟件在使用過程中順利運(yùn)轉(zhuǎn)。顯而易見,計(jì)算機(jī)軟件安全檢測技術(shù)已經(jīng)成為了計(jì)算機(jī)軟件開發(fā)過程中不可或缺的一項(xiàng)優(yōu)秀內(nèi)容。
1 計(jì)算機(jī)軟件安全檢測的基本內(nèi)容
當(dāng)今社會(huì),計(jì)算機(jī)的使用在不同領(lǐng)域越來越廣泛����,而且越來越具有依賴性�,因而����,計(jì)算機(jī)軟件使用過程中的安全性則越來越成為計(jì)算機(jī)用戶的終極要求,主要表現(xiàn)在以下幾方面:
1.1 軟件之間的沖突導(dǎo)致計(jì)算機(jī)運(yùn)行的不通暢
安裝某一款計(jì)算機(jī)軟件后,用戶發(fā)現(xiàn)這對(duì)計(jì)算機(jī)木身并沒有產(chǎn)生多么明顯的影響����,甚至?xí)驗(yàn)樵撥浖推渌浖_突因而導(dǎo)致計(jì)算機(jī)運(yùn)行速度明顯變慢等�;
1.2 計(jì)算機(jī)軟件安全性得不到保證
計(jì)算機(jī)用戶在使用軟件的過程中許多個(gè)人信息會(huì)被留下���,用戶的私密信息隨之就不可避免地被泄露�,自然,用戶的個(gè)人隱私就會(huì)得不到有效的�、必要的保護(hù)����。
因此�,在不同計(jì)算機(jī)軟件開發(fā)過程中,軟件開發(fā)人員要利用成熟的的安全檢測技術(shù)對(duì)計(jì)算機(jī)軟件中存在的安全漏洞進(jìn)行檢測����,并對(duì)其進(jìn)行安全修復(fù)�,從而達(dá)到提高安全性���,降低風(fēng)險(xiǎn)的目的��。
2 計(jì)算機(jī)軟件安全檢測的具體技術(shù)
2.1 語法安全檢測技術(shù)
語法安全監(jiān)測技術(shù)主要是對(duì)計(jì)算機(jī)軟件中的語法進(jìn)行實(shí)質(zhì)性����、技術(shù)性檢測�。最初輸人條件的不同會(huì)使最終檢測結(jié)果產(chǎn)生差異。語法安全檢測技術(shù)通常被用于檢測源程序中的安全漏洞,該檢測技術(shù)可及時(shí)有效地檢測出系統(tǒng)函數(shù)與C語言庫函數(shù)的切換,并及時(shí)恰當(dāng)?shù)刈鞒鎏幚恚瑥亩⒁哉Z法為基礎(chǔ)的測試數(shù)據(jù)。同時(shí)該檢測技術(shù)還能實(shí)現(xiàn)對(duì)計(jì)算機(jī)軟件的安全檢測,排除潛存的安全風(fēng)險(xiǎn)����,保證計(jì)算機(jī)安全運(yùn)行。
2.2 動(dòng)態(tài)安全檢測技術(shù)
這項(xiàng)技術(shù)是對(duì)計(jì)算機(jī)軟件運(yùn)行環(huán)境變量進(jìn)行的必要檢測����,漏洞等風(fēng)險(xiǎn)因素是它主要進(jìn)行的檢測目標(biāo)��。這種安全動(dòng)態(tài)檢測技術(shù)的使用,計(jì)算機(jī)軟件源碼不需要在運(yùn)作過程中進(jìn)行修改,因而計(jì)算機(jī)用戶的隱私安全得到了很大程度地保證。在這類檢測技術(shù)應(yīng)用過程中�����,如果計(jì)算機(jī)軟件的漏洞被發(fā)現(xiàn)�,就會(huì)自動(dòng)完成相關(guān)修復(fù)工作。今天��,由于計(jì)算機(jī)在商務(wù)應(yīng)用中也發(fā)揮著越來越大的作用��,這種軟件的檢測技術(shù)更加適用于商務(wù)性��,隨著普及率的越來越高,對(duì)保證商業(yè)機(jī)密的安全���,必將發(fā)揮著越來越大的作用。
2.3 靜態(tài)安全檢測技術(shù)
近年來����,計(jì)算機(jī)程序開發(fā)人員根據(jù)程序代碼內(nèi)部特性和結(jié)構(gòu)是靜態(tài)安全檢測技術(shù)這一特征�����,事先構(gòu)建合理的測試模型,以滿足計(jì)算機(jī)讀取的相關(guān)要求�,對(duì)計(jì)算機(jī)進(jìn)行安全靜態(tài)檢測����,這就是所謂的靜態(tài)安全檢測技術(shù)�����。這種檢測技術(shù)的檢測程序是:開發(fā)人員先利用這種安全檢測技術(shù)對(duì)需要檢測的計(jì)算機(jī)進(jìn)行檢測之后,再將選定的測試模型和待檢測的程序數(shù)據(jù)進(jìn)行全面比對(duì)�,如果待測的計(jì)算機(jī)軟件安全性能良好���,其對(duì)比數(shù)據(jù)就會(huì)高度一致�����。近年來����,由于這項(xiàng)技術(shù)日臻成熟���,并且簡潔易行����,越來越多的軟件技術(shù)開發(fā)人員傾向于此項(xiàng)研究之中,從而推動(dòng)了這項(xiàng)技術(shù)得到更為充分的發(fā)展�,并且越來越大地在計(jì)算機(jī)軟件安全領(lǐng)域中發(fā)揮了重要的作用�����。
2.4 混合安全檢測技術(shù)
近年來,隨著計(jì)算機(jī)檢測軟件越來越多樣化�,檢測技術(shù)要求的不斷提升����,對(duì)計(jì)算機(jī)軟件越來越趨向于多項(xiàng)或者混合檢測�,以確保效果的精準(zhǔn)化、全面化�����。鑒于此���,實(shí)踐中���,我們往往傾向于多種檢測軟件并行的檢測方法����,也即這里我們所說的混合安全檢測技術(shù)���。這種混合安全檢測技術(shù)雙管齊下�����,動(dòng)態(tài)安全檢測與靜態(tài)安全檢測并駕齊驅(qū)�����,采用了動(dòng)態(tài)安全檢測與靜態(tài)安全檢測兩種檢測技術(shù)的優(yōu)勢,揚(yáng)長避短,強(qiáng)強(qiáng)聯(lián)合,確保計(jì)算機(jī)軟件檢測過程精準(zhǔn)���、全面、不留死角,極大地?cái)U(kuò)大了檢測范圍��。
2.5 基于Web技術(shù)的安全檢測技術(shù)
計(jì)算機(jī)技術(shù)檢測采用Web技術(shù)是近年來計(jì)算機(jī)檢測技術(shù)領(lǐng)域的一項(xiàng)嘗試和技術(shù)突破�。Web技術(shù)是近年來伴隨著計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)出現(xiàn)的網(wǎng)絡(luò)資源開發(fā)技術(shù)。隨著Web技術(shù)的不斷革新,這項(xiàng)技術(shù)也逐漸滲透到計(jì)算機(jī)軟件安全檢測領(lǐng)域中���,并且和其它檢測手段比起來越來顯示出它獨(dú)特的優(yōu)越性能――與同是作為計(jì)算機(jī)軟件安全檢查的傳統(tǒng)的檢測技術(shù),Web安全檢測技術(shù)更具有靈活性�����、高效性和先進(jìn)性的特點(diǎn)����,在檢測性能等各方面都表現(xiàn)出優(yōu)異的成績�����。大體說來�,基于Web技術(shù)的安全檢測技術(shù)不僅能夠及時(shí)檢測出風(fēng)險(xiǎn)和漏洞����,而且能夠及時(shí)對(duì)這些安全風(fēng)險(xiǎn)和漏洞進(jìn)行有效修復(fù),為計(jì)算機(jī)系統(tǒng)安全�、可靠�����、高效地運(yùn)行提供了有力的保障��。鑒于這種檢測技術(shù)的精準(zhǔn)、高效、安全的特色�,基于Web技術(shù)的安全檢測技術(shù)已經(jīng)越來越多的運(yùn)用到不同行業(yè)的計(jì)算機(jī)檢測技術(shù)中�,并且大有取代傳統(tǒng)檢測軟件的趨勢�。
3 結(jié)語
綜上所述,隨著計(jì)算機(jī)網(wǎng)絡(luò)越來越大的影響著人類的生產(chǎn)和生活,計(jì)算機(jī)安全檢測技術(shù)作為計(jì)算機(jī)運(yùn)用過程中的輔助技術(shù),勢必越來越彰顯出它的必不可少的重要作用�����。在科技日新月異的今天�,相信我們?nèi)祟惿鐣?huì)在計(jì)算機(jī)安全檢測技術(shù)方面,也必將取得更多成果�,以更好的服務(wù)于計(jì)算機(jī)技術(shù)����,更好的造福于人類��。
作者單位
濱州市安全評(píng)價(jià)中心 山東省濱州市 256600
計(jì)算機(jī)軟件安全檢測技術(shù)研究:淺議計(jì)算機(jī)軟件安全檢測技術(shù)
摘要:電子信息技術(shù)的飛速發(fā)展�����,使我國已經(jīng)走向信息化道路���。但是在電子計(jì)算機(jī)技術(shù)的發(fā)展過程中���,計(jì)算機(jī)軟件的安全也受到了人們的高度重視����。組我誒計(jì)算機(jī)軟件安全的基礎(chǔ),軟件安全檢測技術(shù)能夠針對(duì)相關(guān)指標(biāo)來檢測軟件安全情況�����,能夠?qū)撛诘陌踩[患進(jìn)行識(shí)別等��。因此��,本文主要針對(duì)計(jì)算機(jī)軟件安全檢測的注意事項(xiàng),提出了計(jì)算機(jī)軟件安全檢測的流程與方法�����,以此有助于我國計(jì)算機(jī)軟件安全得到積極的保障���。
關(guān)鍵詞:計(jì)算機(jī)軟件安全檢測技術(shù)檢測流程與方式
作為一種科學(xué)的技術(shù)與手段����,計(jì)算機(jī)軟件安全檢測技術(shù)能夠針對(duì)軟件開發(fā)與運(yùn)用過程中的問題進(jìn)行檢測,然后對(duì)其進(jìn)行修改���。所以,計(jì)算機(jī)軟件安全檢測技術(shù)對(duì)計(jì)算機(jī)發(fā)展起著重要的作用�。所以���,筆者主要針對(duì)這一內(nèi)容進(jìn)行研究與分析����,并提出了合理的建議�,從而能夠促進(jìn)我國計(jì)算機(jī)軟件得到積極的發(fā)展�。
1計(jì)算機(jī)軟件安全檢測應(yīng)注意的問題
作為一種動(dòng)態(tài)的檢測過程,計(jì)算機(jī)軟件安全檢測應(yīng)該注意幾個(gè)問題��。首先�����,應(yīng)該對(duì)檢測方案進(jìn)行合理的選擇�,盡量選擇科學(xué)�、有效的安全檢測方案。并且應(yīng)該事先了解與掌握計(jì)算機(jī)軟件的要求與屬性�,在此基礎(chǔ)上針對(duì)測試的具體情況����,對(duì)合理的檢測手段加以利用,然后還要制定相應(yīng)的安全檢測方案�����,從而能夠使安全檢測方案具有有效性���。其次���,應(yīng)該積極檢測計(jì)算機(jī)軟件的安全性��,不僅要發(fā)揮計(jì)算機(jī)軟件安全測試人員的積極作用���,還需要掌握此軟件特點(diǎn)與使用方式人員的幫助����,只要相關(guān)技術(shù)人員能夠進(jìn)行密切配合�����,能夠使計(jì)算機(jī)軟件的安全性得到一定的保證[1]。最后,在檢測計(jì)算機(jī)軟件安全性的過程中�����,應(yīng)該從全面分析的角度出發(fā)��,對(duì)代碼級(jí)��、需求級(jí)與系統(tǒng)級(jí)進(jìn)行仔細(xì)分析,然后針對(duì)實(shí)際需求,不同的層級(jí)應(yīng)該借助不同的技術(shù)手段,才能使分析結(jié)果的正確性得到充分地保證����。因此��,只有在計(jì)算機(jī)軟件安全的檢測過程中,注意以上問題的解決��,能夠使計(jì)算機(jī)軟件安全得到積極的保障���。
2計(jì)算機(jī)軟件安全檢測流程與方式
2.1檢測流程
一般情況下����,計(jì)算機(jī)軟件安全的檢測,對(duì)于規(guī)模較大的計(jì)算機(jī)軟件來說����,包含了很多子系統(tǒng)����,而且這些子系統(tǒng)之中也有很多不同的模塊���。通常情況下����,計(jì)算機(jī)軟件安全的檢測����,主要通過模塊檢測,然后進(jìn)行組裝系統(tǒng)�,借助系統(tǒng)結(jié)構(gòu)的安全檢驗(yàn)�,再進(jìn)行軟件功能與性能的檢測���,最后實(shí)施系統(tǒng)測試等�����。作為子系統(tǒng)中的最小單位的測試���,模塊檢測是要保證測試覆蓋范圍的全面性與細(xì)節(jié)性����,能夠?qū)⑿∧K中的風(fēng)險(xiǎn)積極發(fā)現(xiàn)。各個(gè)模塊的測試完成以后,還要針對(duì)軟件程序的要求,組裝所有模塊����,使之成為完整的系統(tǒng)���,與此同時(shí)還要檢測組裝完畢的系統(tǒng)結(jié)構(gòu)安全��。另外,如果上述檢測內(nèi)容都合格的情況下,還要測試系統(tǒng)軟件的功能與性能����,以此能夠?qū)崿F(xiàn)系統(tǒng)軟件功能與性能能夠符合用戶的需求等����。最后���,所有檢測完成以后�,應(yīng)該對(duì)整個(gè)軟件精心系統(tǒng)測試��。這樣的層層把關(guān)���,能夠積極保證用戶軟件的安全性[2]�。
2.2檢測方式
2.2.1安全靜態(tài)檢測手段
所謂安全檢測方式�����,主要以模型為基礎(chǔ)���,借助軟件行為�,結(jié)構(gòu)建模等形式����,使測試模型得以形成,這一模型能夠?qū)崿F(xiàn)機(jī)器對(duì)其的可讀性��。這一檢測方式與其他檢測方式相比���,能夠在模型生成過程中進(jìn)行系統(tǒng)化的測試���,借助這種測試形式能夠體現(xiàn)出待測系統(tǒng)的行為與期望的模型具有一致性��。通常情況下����,這種檢測方式主要有有限狀態(tài)機(jī)遇馬爾科夫鏈等方式��。
2.2.2語法檢測
所謂語法檢測,主要是借助語法的作用,檢測生成功能接口的軟件。這種檢測形式主要是為了研究反映���,也就是在不同的輸入情況下,計(jì)算機(jī)軟件出現(xiàn)不同類型的反映�����。借助語法檢測方式���,通常是要識(shí)別計(jì)算機(jī)軟件接口處語言�����,定義語言語法等�����,而且還要以語法為基礎(chǔ),將檢測用例生產(chǎn)出來����,還能同時(shí)進(jìn)行安全檢測等[3]�。
2.2.3形式化檢測
形式化的安全檢測���,主要是考慮到計(jì)算機(jī)軟件主要是以數(shù)學(xué)模型為基礎(chǔ),而且還要以形式規(guī)格語言的支持為基礎(chǔ)�,能夠提供出形式化的規(guī)格說明�����。當(dāng)前常見的形式規(guī)格語言主要有三種類型,主要是行為語言�����、模型語言以及有效狀態(tài)語言等���,而檢測方式主要有定理證明���、以模型檢查為基礎(chǔ)的正式安全檢測手段等���。
2.2.4以故障注入為基礎(chǔ)的安全檢測
對(duì)于這種檢測的方式來說�����,通過實(shí)踐經(jīng)驗(yàn)證明,具有一定的優(yōu)勢,可以實(shí)現(xiàn)安全檢測自動(dòng)化程度的提升,作為計(jì)算機(jī)軟件安全檢測的重要手段��。所謂故障注入式檢測�,就是基于故障模型的選定,將故障樹構(gòu)建起來,然后借助人為的反復(fù)測試���,或者根據(jù)軟件反饋的信息等,能夠使檢測故障容錯(cuò)性與安全性的有效信息得以呈現(xiàn)出來。
2.2.5安全屬性式檢測
這種檢測方式與其他檢測方式相比,可以全面分析安全漏洞的擴(kuò)展與交互發(fā)展��。通過借助安全屬性式的檢測手段來測試����,首先應(yīng)該對(duì)計(jì)算機(jī)軟件的安全編程規(guī)則進(jìn)行合理確定,然后再讓它當(dāng)做安全檢測的安全屬性;再借助得到的安全屬性,檢測系統(tǒng)程序的相關(guān)代碼,從而能夠?qū)ο到y(tǒng)代碼與相應(yīng)規(guī)則是否符合標(biāo)準(zhǔn)進(jìn)行合理驗(yàn)證。
2.2.3模糊式檢測
這種檢測方式���,主要是與傳統(tǒng)檢測技術(shù)與動(dòng)態(tài)檢測相結(jié)合,也就是在白盒模糊檢測基礎(chǔ)上,屬于對(duì)傳統(tǒng)檢測方式的升華���。盡管模糊式檢測手段屬于簡單的技術(shù),然而能夠?qū)Τ绦蛑械闹匾猙ug揭示出來,而且可以對(duì)現(xiàn)實(shí)世界的錯(cuò)誤模式加以驗(yàn)證,然后在此基礎(chǔ)上��,軟件發(fā)貨之前可以提示潛在的被阻塞的攻擊途徑等���。
3結(jié)語
總之�,當(dāng)前我國市場經(jīng)濟(jì)的迅速發(fā)展���,電子商務(wù)也取得了一定的進(jìn)步����,二計(jì)算機(jī)軟件的安全問題也得到了人們的積極關(guān)注。而要想有效保證計(jì)算機(jī)軟件的安全��,應(yīng)該積極運(yùn)用計(jì)算機(jī)軟件安全檢測技術(shù)�����,能夠有效預(yù)防黑客的非法侵入���,使軟件能夠得到安全的應(yīng)用�����。因此,這就需要我國應(yīng)該積極注重計(jì)算機(jī)軟件安全技術(shù)的設(shè)計(jì)人才��,能夠通過不懈的研究與探索�����,保證我國的網(wǎng)絡(luò)安全與穩(wěn)定��,實(shí)現(xiàn)軟件市場的健康發(fā)展。
計(jì)算機(jī)軟件安全檢測技術(shù)研究:計(jì)算機(jī)軟件安全檢測技術(shù)研究
摘 要 進(jìn)入二十一世紀(jì),人們開始步入信息時(shí)代�����,互聯(lián)網(wǎng)的使用也越來越普遍,計(jì)算機(jī)軟件的使用也愈加頻繁,而計(jì)算機(jī)軟件安全監(jiān)測技術(shù)則是保證計(jì)算機(jī)軟件安全的一個(gè)必要條件�����,因此�,本文將對(duì)計(jì)算機(jī)安全監(jiān)測技術(shù)進(jìn)行研究�,希望可以使我國的計(jì)算機(jī)軟件安全監(jiān)測技術(shù)有所提高。
【關(guān)鍵詞】計(jì)算機(jī)軟件 檢測技術(shù) 安全
互聯(lián)網(wǎng)在人們的日常生活中的使用越來越頻繁����,人們的工作��、學(xué)習(xí)、生活也愈加的依賴于互聯(lián)網(wǎng)��,因此計(jì)算機(jī)軟件的使用也滲入到人們的生活當(dāng)中�,成為現(xiàn)代人生活中必不可少的存在。但是����,隨著各種計(jì)算機(jī)軟件的發(fā)明�����,計(jì)算機(jī)軟件的安全性問題也隨之而來,對(duì)計(jì)算機(jī)軟件安全的檢測也愈發(fā)重要����,因此��,必須對(duì)計(jì)算機(jī)軟件安全檢測技術(shù)進(jìn)行深入的研究。
1 計(jì)算機(jī)軟件安全檢測技術(shù)的概述
計(jì)算機(jī)安全檢測技術(shù)顧名思義就是通過少數(shù)的測試的示例�����,用來擴(kuò)大計(jì)算機(jī)軟件的檢測范圍��,另一方面��,它可以對(duì)計(jì)算機(jī)出現(xiàn)的任何問題做出及時(shí)的反應(yīng)���,并且能對(duì)出現(xiàn)的各種問題進(jìn)行修復(fù)�����,從而使計(jì)算機(jī)軟件的使用風(fēng)險(xiǎn)性大大降低����。但是計(jì)算機(jī)軟件安全檢測技術(shù)它只是盡可能多的去發(fā)現(xiàn)計(jì)算機(jī)軟件中出現(xiàn)的問題并給予解決����,并不代表它可以使計(jì)算機(jī)軟件不會(huì)出現(xiàn)問題與錯(cuò)誤,它只是對(duì)未出現(xiàn)的問題加以預(yù)防,對(duì)已出現(xiàn)的故障加以修復(fù)的一種可以提高計(jì)算機(jī)軟件安全性的方法。
2 計(jì)算機(jī)軟件安全檢測技術(shù)的特點(diǎn)
相較于其他的軟件缺陷測試��,計(jì)算機(jī)安全檢測技術(shù)具有以下幾個(gè)特點(diǎn):
2.1 具有不同的軟件修復(fù)方法
一般的軟件缺陷測試中���,例如找補(bǔ)丁�����、軟件升級(jí)等都要等到下一個(gè)版本中才可以進(jìn)行修復(fù)或升級(jí)�����,但是在計(jì)算機(jī)軟件安全檢測技術(shù)中,一旦發(fā)現(xiàn)計(jì)算機(jī)軟件中出現(xiàn)安全隱患�,他就會(huì)立刻采取相應(yīng)的安全保護(hù)措施����,是軟件遠(yuǎn)離危險(xiǎn)����。
2.2 測試范圍不同
計(jì)算機(jī)軟件安全檢測技術(shù)主要是對(duì)計(jì)算機(jī)可能存在的問題進(jìn)行檢查�����,防患與未然�����,同時(shí)檢測計(jì)算機(jī)軟件安全的功能是否可以達(dá)到計(jì)算機(jī)用戶對(duì)計(jì)算機(jī)軟件安全性的要求��,主要測試的范圍有:計(jì)算機(jī)的授權(quán)、訪問限制、安全的管理及保密措施等�。而普通的計(jì)算機(jī)測試軟件只是對(duì)計(jì)算機(jī)可能存在的風(fēng)險(xiǎn)進(jìn)行檢測��,以及對(duì)于該風(fēng)險(xiǎn)可能會(huì)導(dǎo)致的后果進(jìn)行推測。從這一方面講,計(jì)算機(jī)軟件安全檢測技術(shù)測試的范圍要廣于普通的計(jì)算機(jī)檢測軟件。
2.3 危害程度大
普通的計(jì)算機(jī)軟件安全出現(xiàn)缺陷�����,對(duì)于用戶計(jì)算機(jī)系統(tǒng)的安全影響并不大����,但是計(jì)算機(jī)軟件安全一旦發(fā)現(xiàn)缺陷,則會(huì)給計(jì)算機(jī)用戶帶來嚴(yán)重的安全隱患���,很有可能導(dǎo)致計(jì)算機(jī)系統(tǒng)的全面癱瘓。
3 計(jì)算機(jī)軟件中存在的安全性問題
計(jì)算機(jī)軟件可以幫助人們解決各種工作�����、學(xué)習(xí)�����、生活中遇見的問題���,強(qiáng)大如它,但是計(jì)算機(jī)軟件也不是完美的����、萬能的��,它自身也會(huì)出現(xiàn)一些問題,其中以下幾點(diǎn)較為突出:
3.1 字符串被格式化
字符串被格式化是由于程序代碼的缺陷����,它可以在內(nèi)存空間中寫入指定的數(shù)據(jù)���,從而危害計(jì)算機(jī)系統(tǒng)�����。同時(shí),它還可以將一些重要的信息顯現(xiàn)出來,進(jìn)而毀壞�。
3.2 緩沖區(qū)溢出
緩沖區(qū)溢出是計(jì)算機(jī)軟件中經(jīng)常出現(xiàn)的危險(xiǎn)性缺陷���,它經(jīng)常會(huì)導(dǎo)致計(jì)算機(jī)中程序運(yùn)行的失敗��、系統(tǒng)崩潰、死機(jī)��、重新啟動(dòng)等����。進(jìn)而對(duì)它進(jìn)行非常授權(quán)的指令,對(duì)計(jì)算機(jī)軟件造成危害�。
3.3 出現(xiàn)競爭性條件
在軟件BUG中經(jīng)常會(huì)出現(xiàn)這一漏洞�,由于每個(gè)用戶登陸網(wǎng)站之后�,計(jì)算機(jī)中被調(diào)用函數(shù)的現(xiàn)象就會(huì)出現(xiàn),造成競爭條件的急劇增多�,最后在操作多的任務(wù)系統(tǒng)里就會(huì)導(dǎo)致鎖死等后果�����。
4 計(jì)算機(jī)軟件安全檢測技術(shù)的方法
4.1 混合檢測技術(shù)
靜態(tài)檢測技術(shù)同動(dòng)態(tài)檢測技術(shù)相結(jié)合就是混合檢測技術(shù)��。它的出現(xiàn)很好的將這兩種檢測技術(shù)的優(yōu)點(diǎn)相結(jié)合�,克服了這兩種檢測技術(shù)單獨(dú)使用時(shí)所產(chǎn)生的不足����,更好的對(duì)計(jì)算機(jī)軟件的安全性進(jìn)行檢測,也在一定程度上提高了檢測結(jié)果的準(zhǔn)確性��。
4.2 靜態(tài)檢測技術(shù)
對(duì)程序代碼的內(nèi)部結(jié)構(gòu)和特點(diǎn)進(jìn)行檢測的技術(shù)就是靜態(tài)檢測技術(shù)�,通過構(gòu)成結(jié)構(gòu)模型來增加模型的可讀性。由模型產(chǎn)生測試是安全檢查的系統(tǒng)化的方式,同時(shí)利用測試來檢測軟件系統(tǒng)�,從而得到充分的論據(jù)證明被檢測系統(tǒng)的行為與模型的相同性����。
4.3 動(dòng)態(tài)檢測技術(shù)
相較于靜態(tài)檢測技術(shù),動(dòng)態(tài)檢測技術(shù)是指在對(duì)過重環(huán)境下所產(chǎn)生的如:內(nèi)存��、堆及環(huán)境等的變量進(jìn)行研究分析�����,以此對(duì)計(jì)算機(jī)軟件中存在的漏洞或缺陷進(jìn)行檢查����。因?yàn)椴恍枰薷能浖亩M(jìn)制代碼及源碼�,所以可以有效的提高了軟件的機(jī)密性。
4.4 語法檢測技術(shù)
功能接口語法被語法的軟件進(jìn)行輸入的測試就是語法檢測技術(shù)��,在程序源中具有危險(xiǎn)性的系統(tǒng)和C語言中會(huì)使用�,通過輸入不同的口令,而產(chǎn)生不同的反響�����,一般是通過識(shí)別接口上的語言�,之后進(jìn)行語法的定義,在語法的基礎(chǔ)上產(chǎn)生測試�,對(duì)計(jì)算機(jī)軟件進(jìn)行安全性的檢測����。
5 使用計(jì)算機(jī)軟件安全檢測技術(shù)的注意事項(xiàng)
在使用計(jì)算機(jī)安全檢測技術(shù)時(shí)要注意一下幾個(gè)問題:
(1)進(jìn)行計(jì)算機(jī)軟件安全技術(shù)檢測時(shí)要有專業(yè)的技術(shù)分析人員及設(shè)備�����,這是進(jìn)行安全檢測的一個(gè)重要前提。
(2)進(jìn)行檢測的時(shí)候要對(duì)軟件進(jìn)行全面的分析,不能以點(diǎn)概面,以偏概全�����,要從實(shí)際需要的角度分析研究�。
(3)選取方案時(shí)要注重安全有效,要在安全的基礎(chǔ)上謀求有效����。
6 結(jié)論
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)不斷發(fā)展的今天�,各種計(jì)算機(jī)軟件也在不斷的更新?lián)Q代�,但是因此也為計(jì)算機(jī)軟件的使用帶來許多的威脅與隱患,只有提高軟件安全檢測技術(shù)的水平��,才能是計(jì)算機(jī)軟件發(fā)揮其應(yīng)有的作用�����。
作者單位
成都理工大學(xué) 四川省成都市 610059
計(jì)算機(jī)軟件安全檢測技術(shù)研究:芻議計(jì)算機(jī)軟件安全檢測技術(shù)的應(yīng)用
摘要:隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展�����,計(jì)算機(jī)軟件也日趨復(fù)雜,軟件是計(jì)算機(jī)重要的優(yōu)秀內(nèi)容,是保證計(jì)算機(jī)安全和通信安全的基礎(chǔ),對(duì)計(jì)算機(jī)安全運(yùn)行和日常維護(hù)具有重要的意義�,而編寫計(jì)算機(jī)軟件和檢測是防止計(jì)算機(jī)安全漏洞的重要的對(duì)策��,下面我們就詳細(xì)進(jìn)行分析計(jì)算機(jī)軟件安全檢測技術(shù)及其應(yīng)用。
關(guān)鍵詞:計(jì)算機(jī)軟件;安全檢測技術(shù)�;應(yīng)用
隨著計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)的快速發(fā)展�����,用戶對(duì)于軟件的需求也日漸復(fù)雜���,軟件中會(huì)存在難以發(fā)現(xiàn)的漏洞�,只有確保軟件的安全才能保證計(jì)算機(jī)通信、信息安全�����,否則即便防火墻����、殺毒軟件、入侵檢測等再強(qiáng)大,若軟件自身存在安全隱患,也無法提升整體安全性能[1]�。計(jì)算機(jī)軟件安全檢測的目的主要是為了防止由于軟件漏洞對(duì)計(jì)算機(jī)造成安全威脅����,對(duì)計(jì)算機(jī)軟件安全檢測技術(shù)的研究及應(yīng)用對(duì)保證計(jì)算機(jī)軟件安全具有重要的作用和價(jià)值。
1 軟件安全漏洞概述
軟件安全漏洞即可能引發(fā)安全問題的軟件中的代碼。漏洞通常有以下信息披露地方。(1)Bugtraq。這是一項(xiàng)郵件列表服務(wù)�,是專門針對(duì)安全性問題存在的郵件討論列表���。很多軟件漏洞首先在這里被披露���,它是重要的安全入侵新聞來源�。(2)PISKS Digest�。它同樣是一個(gè)郵件列表服務(wù),包括安全性、保密性�、可靠性等�����,有很高的技術(shù)含量,是目前已經(jīng)發(fā)表的計(jì)算機(jī)軟件安全研究圈內(nèi),有效攻擊首選地方之一��。目前計(jì)算機(jī)軟件安全漏洞常常被忽略主要有以下幾點(diǎn):(1)Zgeronimo2.0 這個(gè)安全漏洞主要是讓遠(yuǎn)程攻擊者能夠繞過身份識(shí)別而在計(jì)算機(jī)軟件中插入惡意代碼或者訪問的權(quán)限����。(2)LIBTIFF開源軟件庫�,其主要是為了讀寫標(biāo)簽圖像文件格式的文件。(3)ZLIB主要是指用于數(shù)據(jù)壓縮的軟件庫���,計(jì)算機(jī)軟件漏洞主要是通過一個(gè)不完整的代碼進(jìn)行解釋長度大于1的代碼造成的安全漏洞。(4)Net―SNMP,是指安全漏洞存在Net中或者存在SNMP中的協(xié)議文件里���。在計(jì)算機(jī)軟件系統(tǒng)中當(dāng)“master agents”模式運(yùn)行NET_SNMP時(shí),軟件可以讓攻擊者通過引起一個(gè)特征的TCP的連接中斷達(dá)到拒絕服務(wù)的攻擊�����,最終造成計(jì)算機(jī)系統(tǒng)崩潰的現(xiàn)象�。(5)Jboss應(yīng)用服務(wù)器主要是應(yīng)用在服務(wù)器3.2.4至4.05版的“DeploymentFileRepository”類中的目錄遍歷的安全漏洞。
2 軟件中存在的安全漏洞及缺陷
計(jì)算機(jī)軟件安全是一個(gè)非常復(fù)雜的系統(tǒng)�����,其主要是通過計(jì)算機(jī)系統(tǒng)的完整性�����、保密性以及可靠性實(shí)現(xiàn)計(jì)算機(jī)軟件的安全可靠�����。但是計(jì)算機(jī)軟件運(yùn)行的過程中,由于計(jì)算機(jī)或者軟件自身的缺陷或者操作配置失誤等因素造成計(jì)算機(jī)軟件從操作系統(tǒng)到應(yīng)用程序���,從通信基礎(chǔ)設(shè)施到網(wǎng)絡(luò)的應(yīng)用服務(wù)以及從系統(tǒng)的配置和管理到用戶操作層面等諸多的方面都存在安全因素。
目前多采用C語言或C++編寫協(xié)議通信軟件���,軟件的安全漏洞潛在程序源代碼中,可以引發(fā)編程遺漏或錯(cuò)誤��。軟件安全漏洞主要有:(1)緩沖區(qū)溢出�����。這種軟件漏洞主要是在程序的緩沖區(qū)寫超出長度的內(nèi)容,進(jìn)而造成緩沖區(qū)溢出��,最終造成的最直接結(jié)果是導(dǎo)致堆棧被摧毀����,使得任意數(shù)據(jù)都能引起目標(biāo)程序徹底崩潰;緩沖區(qū)溢出是一種非常普通而且危險(xiǎn)的漏洞��,其在計(jì)算機(jī)軟件和操作系統(tǒng)中廣泛存在��,緩沖區(qū)溢出很容易造成程序運(yùn)行失敗�、系統(tǒng)宕機(jī)�、重新啟動(dòng)等后果的發(fā)生,利用它執(zhí)行非常授權(quán)的指令��,進(jìn)而造成計(jì)算機(jī)軟件漏洞的產(chǎn)生����。(2)競爭條件。這是一項(xiàng)經(jīng)常出現(xiàn)的軟件BUG�����,其相對(duì)于緩沖區(qū)溢出漏洞來說,其更加難解決�,造成這種漏洞發(fā)生的原因主要是由于每一個(gè)用戶登錄網(wǎng)站后���,函數(shù)就會(huì)出現(xiàn)被調(diào)用的現(xiàn)象�,進(jìn)而會(huì)造成競爭條件的值增加�,最終到時(shí)競爭條件問題的發(fā)生,如果在操作的多進(jìn)程多任務(wù)系統(tǒng)里面出現(xiàn)這種現(xiàn)象��,將會(huì)造成死鎖等嚴(yán)重的后果��;(3)格式化字符串����。格式化字符串是程序函數(shù)中一個(gè)相對(duì)比較特殊的字符串的參數(shù)��。此漏洞是一項(xiàng)微妙的程序代碼缺陷,它可以將重要的信息顯示出來�,還能將指定數(shù)據(jù)寫入進(jìn)程的內(nèi)存空間里��;進(jìn)而對(duì)系統(tǒng)造成危害(4)隨機(jī)數(shù)。在Netscape中就存在有隨機(jī)數(shù)的現(xiàn)象�����,其采用一種不好的方法給偽隨機(jī)數(shù)進(jìn)行播種��,其種子主要是有進(jìn)行ID和機(jī)器時(shí)間等決定的��,造成攻擊者和被攻擊者使用同一機(jī)器,從而造成系統(tǒng)密碼的破解,最終造成系統(tǒng)安全問題的發(fā)生�。并且隨機(jī)數(shù)它能夠生成序列號(hào)及密鑰�����。也是軟件安全漏洞的重要組成部分。
3 計(jì)算機(jī)軟件安全檢測技術(shù)方法
3.1 計(jì)算機(jī)軟件安全監(jiān)測步驟
通常,計(jì)算機(jī)軟件有一定數(shù)量的子系統(tǒng)組成的軟件規(guī)模比較大�,并且不同的子系統(tǒng)中有若干的模塊組成�����。計(jì)算機(jī)軟件安全檢測主要是為了確定軟件預(yù)期設(shè)計(jì)和軟件具有的安全實(shí)現(xiàn)是否一致的檢測過程,其中軟件檢測過程主要包括功能測試、滲透測試和驗(yàn)證測試等�����。計(jì)算機(jī)軟件安全檢測程序主要是將通過有效性的檢測軟件與計(jì)算機(jī)硬件��、數(shù)據(jù)以及輔助軟件等元素結(jié)合起來的測試過程[4]����。計(jì)算機(jī)軟件安全監(jiān)測步驟如下:先進(jìn)行單元(即模塊)測試��,從軟件設(shè)計(jì)最小單位開始實(shí)施安全檢測,能將各模塊中的缺陷問題一一找出,并解決�。然后根據(jù)程序設(shè)計(jì)的要求對(duì)計(jì)算機(jī)軟件中所有的模塊組裝成系統(tǒng)��,并檢測軟件體系結(jié)構(gòu)的安全性,接著對(duì)各個(gè)模塊實(shí)施有效性的測試�,從而確定計(jì)算機(jī)軟件是否與用戶需求相符�����。最后是對(duì)計(jì)算機(jī)軟件的系統(tǒng)進(jìn)行測試。如下圖所示為計(jì)算機(jī)軟件安全檢測的靜態(tài)分析技術(shù)的過程�����,首先輸入源代碼�����,構(gòu)成一個(gè)表示所要分析的模型����,然后結(jié)合安全知識(shí)對(duì)模型進(jìn)行分析�,最后輸出檢測的結(jié)果。
3.2 計(jì)算機(jī)軟件安全檢測方法
(1)形式化安全檢測�。這種方式需要先建立軟件的數(shù)學(xué)模型��,以模型說明提供語言支持的形式化規(guī)格?���;谀P偷恼Z言����、基于行為的語言及基于有限狀態(tài)的語言是常用的形式規(guī)格語言[5]。
(2)模型的安全功能測試。這種方法主要是針對(duì)計(jì)算機(jī)軟件的結(jié)構(gòu)和行為,以建立模型方式生成具有安全測試功能的模型�����,基于模型基礎(chǔ)生成檢測用例����,進(jìn)而對(duì)計(jì)算機(jī)軟件實(shí)施安全監(jiān)測�����?���;谀P偷挠邢逘顟B(tài)機(jī)是目前常用的模型安全功能測試方式�����。
(3)語法測試�����。語法測試是一種基于語法對(duì)檢測軟件功能接口的語法生成軟件進(jìn)行輸入測試的技術(shù),語法測試技如果輸入條件不同�����,則將會(huì)產(chǎn)生不同類型的反應(yīng)�����,其主要應(yīng)用在對(duì)計(jì)算機(jī)軟件源程序中有錯(cuò)誤或者危險(xiǎn)的C語言庫函數(shù)和系統(tǒng)調(diào)用中��。計(jì)算機(jī)軟件的功能接口語言,能夠生成軟件測試輸入�,并檢測各種語言輸入計(jì)算機(jī)后的反映情況�����,這種方式能夠有效識(shí)別計(jì)算機(jī)軟件接口處語言��,并對(duì)語言的語法進(jìn)行定義����,實(shí)現(xiàn)軟件安全檢測�。
(4)模糊測試。目前模糊測試大多基于白盒安全測試,是傳統(tǒng)模糊測試技術(shù)的進(jìn)一步發(fā)展��,能夠與傳統(tǒng)模糊測試技術(shù)有機(jī)結(jié)合���,實(shí)現(xiàn)計(jì)算機(jī)軟件安全的有效檢測���。
3.3 動(dòng)態(tài)檢測技術(shù)與靜態(tài)檢測技術(shù)
動(dòng)態(tài)檢測技術(shù):主要為了確保目標(biāo)程序源碼不會(huì)發(fā)生改動(dòng)���,維持二進(jìn)制代碼原樣�����。利用對(duì)程序執(zhí)行過程中的漏洞狀況進(jìn)行判定�,確定計(jì)算機(jī)軟件的安全狀態(tài)���。動(dòng)態(tài)監(jiān)測主要有以下措施:(1)非執(zhí)行棧技術(shù)����,以有效禁止執(zhí)行代碼能力的方式抵抗攻擊者;(2)非執(zhí)行堆與數(shù)據(jù)技術(shù)����。起到阻礙軟件繼續(xù)執(zhí)行的作用,使惡意代碼失去執(zhí)行途徑���;(3)內(nèi)存映射技術(shù)�。結(jié)合代碼頁攔截攻擊者的非法操作���;(4)安全的共享庫技術(shù)����。依賴動(dòng)態(tài)鏈接技術(shù),阻止不安全函數(shù)的運(yùn)行;(5)沙箱技術(shù)�。利用控制某項(xiàng)進(jìn)程訪問的資源實(shí)現(xiàn)防范惡意攻擊的目的�����;(6)程序解釋技術(shù)。對(duì)正在運(yùn)行的程序進(jìn)行檢查,維護(hù)系統(tǒng)的運(yùn)行�����。
靜態(tài)檢測技術(shù):主要是通過程序分析技術(shù)深入分析二進(jìn)制代碼�。需要計(jì)算機(jī)操作人員做好相應(yīng)工作。靜態(tài)檢測技術(shù)主要為:(1)詞法檢測技術(shù)�����。限用于對(duì)程序源代碼中存在不穩(wěn)定因素的C庫函數(shù)的檢測以及系統(tǒng)的調(diào)用����;(2)程序評(píng)注技術(shù)����。對(duì)各種語言注釋說明���,以此加深靜態(tài)研究�����,確定內(nèi)部存在的漏洞;(3)類型推斷技術(shù)��,通過對(duì)應(yīng)修飾方式對(duì)數(shù)據(jù)信息等進(jìn)行安全束縛�;(4)約束解算器技術(shù)[6]。直接約束目標(biāo)程序的特定屬性建模���,結(jié)合靜態(tài)分析解算實(shí)行二次約束,防止安慰威脅產(chǎn)生����;(5)元編譯技術(shù)�����。元編譯技術(shù)主要是利用編譯器的簡單技術(shù),這種技術(shù)的誤報(bào)率低��,并且這種技術(shù)對(duì)于語言特性的擴(kuò)展不會(huì)更新����。在計(jì)算機(jī)軟件安全檢測中元編譯技術(shù)主要是將計(jì)算機(jī)程序的安全屬性看做是輕量級(jí)的編譯器進(jìn)行擴(kuò)展,并根據(jù)擴(kuò)展的內(nèi)容建立相應(yīng)的模型實(shí)現(xiàn)計(jì)算機(jī)軟件安全檢測�����。利用此技術(shù)能夠自動(dòng)判斷代碼安全屬性����,同時(shí)編寫編譯擴(kuò)展;(6)變異語言技術(shù)���。變異語言技術(shù)主要是通過對(duì)指針?biāo)阈g(shù)運(yùn)算和不安全類型的轉(zhuǎn)換,setjmp/longjmp等不安全的操作進(jìn)行限制���,其中安全編程變異技術(shù)一般都采用C語言或C++�,實(shí)現(xiàn)類型轉(zhuǎn)換、標(biāo)志轉(zhuǎn)換�����、算術(shù)運(yùn)算等過程的安全操作。由于靜態(tài)檢測對(duì)軟件的二進(jìn)制代碼和源代碼進(jìn)行檢測�����,因此采用靜態(tài)檢測的錯(cuò)誤越多���,則編寫的程序就越可靠��。
3.4 web服務(wù)器技術(shù)的應(yīng)用
隨著科學(xué)技術(shù)的快速發(fā)展���,web技術(shù)的廣泛應(yīng)用���,一種基于web服務(wù)的分布式軟件安全性能檢測技術(shù)也逐步發(fā)展起來���,其主要是基于識(shí)別內(nèi)容的分布是web服務(wù)器技術(shù)�����,這種技術(shù)的特點(diǎn)有好互操作性強(qiáng)、松散耦合�����、語言中立和平臺(tái)無關(guān)等�,在計(jì)算機(jī)軟件安全檢測中使用這種技能夠?qū)?fù)雜的安全功能分解成不同的安全處理類型,以方便采用故障注入機(jī)制實(shí)現(xiàn)錯(cuò)誤的soap消息以達(dá)到支持異常測試[7]�。通過實(shí)驗(yàn)研究表明,將web服務(wù)器技術(shù)應(yīng)用到計(jì)算機(jī)軟件安全檢測中不僅具有先進(jìn)性、高效性以及靈活性的特點(diǎn),而且還能夠?qū)崿F(xiàn)度對(duì)軟件的可靠性和容錯(cuò)性以及安全性進(jìn)行檢測�。
3.5 故障注入的軟件安全檢測技術(shù)
在計(jì)算機(jī)軟件安全檢測中��,故障注入的安全檢測技術(shù)具有提高安全檢測自動(dòng)化程度的獨(dú)特的優(yōu)點(diǎn),是計(jì)算機(jī)軟件安全檢測技術(shù)中一項(xiàng)重要的檢測技術(shù)。故障注入安全檢測技術(shù)主要是指在選定的故障模型上進(jìn)行構(gòu)建故障樹�,然后通過人為的反復(fù)測試和對(duì)軟件反饋的故障信息以達(dá)到檢測故障安全性和容錯(cuò)性的效果�����。
3.6 基礎(chǔ)設(shè)施即服務(wù)安全策略
(1)實(shí)施入侵檢測:可以檢測出違反安全策略的行為、及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中異?;蛭词跈?quán)的現(xiàn)象����,從而使計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的安全性得到保證����。具體操作是:審計(jì)系統(tǒng)的弱點(diǎn)和構(gòu)造、對(duì)系統(tǒng)和用戶的活動(dòng)進(jìn)行分析和監(jiān)視�、跟蹤關(guān)系操作系統(tǒng)的審計(jì)����、統(tǒng)計(jì)分析異常行為模式��、對(duì)數(shù)據(jù)文件和重要系統(tǒng)的完整性進(jìn)行評(píng)估����、對(duì)用戶違反安全策略的行為進(jìn)行識(shí)別[8]�。(2)實(shí)施包括可維護(hù)性、容錯(cuò)性、耐久性在內(nèi)的可靠性網(wǎng)絡(luò)系統(tǒng)措施�,其中耐久性決定著網(wǎng)路系統(tǒng)各個(gè)組件連續(xù)無故障不間斷運(yùn)行的平均時(shí)間��;容錯(cuò)性決定網(wǎng)絡(luò)系統(tǒng)的平均恢復(fù)時(shí)間;可維護(hù)性屬于事后很快定位和解決故障,通過配置有責(zé)任心專業(yè)的技術(shù)管理人員提高這一性能。(3)加強(qiáng)對(duì)設(shè)備操作管理人員的教育培訓(xùn)提高設(shè)備壽命和使用效率����,盡量應(yīng)用光纖或加壓電纜作為傳輸介質(zhì)并做好防護(hù)措施��,另外人工/自動(dòng)的檢查維護(hù)也是必要的���,這樣可以很大7���、建立以數(shù)據(jù)為中心的安全系統(tǒng)
云計(jì)算系統(tǒng)包括網(wǎng)絡(luò)����、存儲(chǔ)、計(jì)算三方面資源,在數(shù)據(jù)中心里大量應(yīng)用虛擬化技術(shù)�����,由實(shí)變虛的資源打破了資源邊界�����,可被靈活調(diào)度的資源池取代了孤立的單個(gè)的資源�。在共享的環(huán)境中數(shù)據(jù)的使用被進(jìn)行全面的控制。基于云環(huán)境的數(shù)據(jù)應(yīng)用交換安全技術(shù)應(yīng)運(yùn)而生�,數(shù)據(jù)的安全交換采取應(yīng)用交換方式��,實(shí)現(xiàn)信心單向流動(dòng),應(yīng)用不對(duì)稱的數(shù)據(jù)交互,“數(shù)據(jù)”和“用戶”能夠被用戶區(qū)分�����,數(shù)據(jù)信息和接收方行為信息分成兩個(gè)不同的路徑[9]����。
在分級(jí)標(biāo)簽交互系統(tǒng)中定義了系統(tǒng)中主、客體的重要程度,在客體信息中提取的知識(shí)表達(dá)了生成客體的主體對(duì)于客體所反映知識(shí)的重要性;通過進(jìn)行數(shù)據(jù)分析獲取消息是文件中常用的方式,所以主體即人很容易進(jìn)一步處理文件這種信息形式從而形成與文件信息相對(duì)應(yīng)的分級(jí)知識(shí)���;因?yàn)槿鄙賹?duì)數(shù)據(jù)庫中原始文件中包含信息的提取,所以主人即人要向從中直接提煉出分級(jí)知識(shí)是相當(dāng)困難的[10]?��?傊?����,數(shù)據(jù)操作的定制�、數(shù)據(jù)轉(zhuǎn)化為信息�����、權(quán)限控制操作����,這些過程都包含在應(yīng)用交換方式中實(shí)現(xiàn)數(shù)據(jù)交換過程中的安全策略�。
4 計(jì)算機(jī)軟件安全檢測應(yīng)注意的問題
計(jì)算機(jī)軟件安全檢測技術(shù)屬于一個(gè)動(dòng)態(tài)的檢測過程,在計(jì)算機(jī)軟件安全檢測中通常應(yīng)該注意以下幾個(gè)問題:
4.1 選擇科學(xué)合理的安全檢測方案
在計(jì)算機(jī)軟件安全檢測時(shí)��,通常簡答的方法很難達(dá)到解決問題的效果�,因此在安全檢測中,首先應(yīng)該充分了解計(jì)算機(jī)軟件的特性及其對(duì)檢測方法的要求����,然后根據(jù)計(jì)算機(jī)軟件的具體情況進(jìn)行詳細(xì)的分析�����,選擇合適的檢測方法,編制出計(jì)算機(jī)軟件安全檢測方案�。同時(shí)還應(yīng)該從用戶的需求為出發(fā)點(diǎn)��,從多方面多角度制度合理的安全檢測方案。
4.2 推廣檢測人員多元化
多元化主要是指在某種程度上相似但是不相同的人員的組合�����。在計(jì)算機(jī)軟件安全檢測時(shí)保證檢測人員多元化能夠更好的檢檢測初出計(jì)算機(jī)軟件存在的問題或者漏洞�。計(jì)算機(jī)在進(jìn)行軟件安全檢測中,對(duì)軟件檢測人員也應(yīng)該具有一定的要求����,不僅應(yīng)該具有軟件檢測相關(guān)的知識(shí)和經(jīng)驗(yàn)的人員參與其中,還應(yīng)該具有熟悉并掌握軟件的特性及使用的相關(guān)人員�,只有將計(jì)算機(jī)安全檢測人員和計(jì)算機(jī)軟件技術(shù)人員等人員相互配合��,才能保證計(jì)算機(jī)軟件性能的安全性。
4.3 全面分析
在計(jì)算機(jī)軟件安全檢測中���,對(duì)計(jì)算機(jī)軟件的系統(tǒng)級(jí)、代碼級(jí)以及需求級(jí)等進(jìn)行詳細(xì)仔細(xì)分析是非常重要的�����。軟件檢測中����,如果計(jì)算機(jī)軟件的規(guī)模較大,應(yīng)對(duì)計(jì)算機(jī)軟件的結(jié)構(gòu)進(jìn)行詳細(xì)的分析����,并且還應(yīng)該根據(jù)軟件不同層級(jí)的需要選擇不同的技術(shù)方法��,以保證結(jié)果的準(zhǔn)確可靠����,在必要的情況下���,需要借助分析功工具和仿真環(huán)境實(shí)施計(jì)算機(jī)軟件安全檢測��,以做好計(jì)算機(jī)軟件安全檢測工作���。
5 總結(jié)
計(jì)算機(jī)軟件安全檢測技術(shù)是保證計(jì)算機(jī)和網(wǎng)絡(luò)安全的一項(xiàng)重要的技術(shù)�����,能夠有效促進(jìn)計(jì)算機(jī)軟件的發(fā)展和進(jìn)步�。因此想要保證計(jì)算機(jī)安全可靠的運(yùn)行,必須加強(qiáng)對(duì)相應(yīng)的技術(shù)進(jìn)行研究�,有效提升計(jì)算機(jī)的服務(wù)性能���,保證計(jì)算機(jī)軟件的安全性����,從而為計(jì)算機(jī)軟件的發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)�����。
計(jì)算機(jī)軟件安全檢測技術(shù)研究:計(jì)算機(jī)軟件安全檢測技術(shù)研究
【摘 要】隨著計(jì)算機(jī)軟件行業(yè)的發(fā)展���,人們越來越重視計(jì)算機(jī)軟件的安全檢測技術(shù)的發(fā)展����,這不僅能夠保障軟件技術(shù)的進(jìn)一步提高���,同時(shí)也能夠?qū)τ谟脩舻碾[私權(quán)有所保障����。隨著計(jì)算機(jī)的普及應(yīng)用,無論在生活中還是各個(gè)行業(yè)的發(fā)展中,計(jì)算機(jī)軟件的應(yīng)用范圍逐步擴(kuò)大�����,這對(duì)于軟件的安全檢測技術(shù)也提出了進(jìn)一步的要求��。
【關(guān)鍵詞】計(jì)算機(jī)軟件�;安全監(jiān)測���;技術(shù)研究
0 引言
就目前的社會(huì)進(jìn)步而言���,計(jì)算機(jī)越來越多的應(yīng)用到人們的生產(chǎn)和生活之中��,這就需要提高計(jì)算機(jī)軟件的使用性能的基礎(chǔ)上,注重軟件的安全性能��,滿足使用需求�����。計(jì)算機(jī)使用軟件是為了滿足使用者的使用需求�����,而對(duì)于網(wǎng)絡(luò)安全方面,也是目前軟件開發(fā)方面的重點(diǎn)研究內(nèi)容�����,計(jì)算機(jī)的安全檢測技術(shù)是非常重要的����,能夠?qū)τ跐撛诘陌踩珕栴}采取有效的應(yīng)對(duì)方法,從而保障計(jì)算機(jī)軟件的使用安全性能。
計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)的發(fā)展越來越快�����,客戶所用的軟件種類也越來越豐富,這些軟件中存在著很難發(fā)現(xiàn)的漏洞,只能通過計(jì)算機(jī)軟件安全檢測系統(tǒng)來預(yù)防軟件漏洞可能會(huì)對(duì)計(jì)算機(jī)造成的安全威脅。
1 計(jì)算機(jī)軟件安全檢測的內(nèi)容和含義
客戶在使用軟件之前���,對(duì)軟件的質(zhì)量有很高要求,主要體現(xiàn)在兩方面:軟件安裝后會(huì)不會(huì)對(duì)計(jì)算機(jī)的正常運(yùn)作產(chǎn)生重大影響,比如說拖慢運(yùn)行速度等���;其次是軟件本身的安全性,一般用戶在計(jì)算機(jī)操作過程中會(huì)留下大量信息。如果軟件的安全性太差���,可能會(huì)使用戶的重要信息遺漏或消失等��。所以�����,在開發(fā)軟件的時(shí)候要利用軟件安全檢測系統(tǒng)找出計(jì)算機(jī)軟件中的各種漏洞,通過必要的修復(fù)降低軟件的使用風(fēng)險(xiǎn)�。在對(duì)開發(fā)軟件進(jìn)行檢測的時(shí)候��,為了保證測試質(zhì)量和測試效率,要從中選擇出有代表性的軟件故障進(jìn)行全方位的測試���,從中檢測出更多的問題。所以���,計(jì)算機(jī)安全檢測技術(shù)雖然不能保證計(jì)算機(jī)軟件的絕對(duì)安全,卻可以通過檢查軟件中的錯(cuò)誤和軟件自身反入侵能力來提高軟件的使用安全性�����?����?傊?���,計(jì)算機(jī)軟件安全檢測就是針對(duì)計(jì)算機(jī)軟件安全是否達(dá)到預(yù)期目標(biāo)的一個(gè)測試過程�����。它主要包括三個(gè)方面�����,計(jì)算機(jī)軟件的功能測試���、滲透測試和驗(yàn)證測試���。計(jì)算機(jī)軟件安全功能檢測與安全檢測有很大不同�,無論是檢測的內(nèi)容,還是檢測的效果都不一樣。安全檢測的內(nèi)容是針對(duì)軟件安全漏洞和軟件安全功能,比較簡單,并沒有深入問題的優(yōu)秀���。軟件安全漏洞的檢測內(nèi)容就是直接針對(duì)軟件可能存在的安全缺陷以及它會(huì)對(duì)計(jì)算機(jī)造成的安全風(fēng)險(xiǎn)進(jìn)行檢測。計(jì)算機(jī)軟件安全功能檢測通過對(duì)計(jì)算機(jī)的機(jī)密性、授權(quán)��、訪問控制和安全管理等方面來檢測計(jì)算機(jī)軟件的安全功能是否起到了作用�����。安全檢測主要是針對(duì)普通的計(jì)算機(jī)軟件缺陷����,這種缺陷平時(shí)不會(huì)給用戶帶來困擾����,就算出現(xiàn)了只要按照修復(fù)程序在下一個(gè)版本中就可以修復(fù)。如果存在計(jì)算機(jī)軟件安全缺陷����,會(huì)給用戶帶來嚴(yán)重的問題�,檢測出來后要馬上采取相應(yīng)措施處理����。
2 軟件安全檢測過程中的兩個(gè)重點(diǎn)
2.1 構(gòu)建合適的安全檢測程序
通常客戶所用的軟件中,規(guī)模較大的應(yīng)用軟件系統(tǒng)是由多個(gè)子系統(tǒng)拼湊起來的,同時(shí)每個(gè)子系統(tǒng)又是由單元模塊形成的。因此�����,整個(gè)應(yīng)用軟件系統(tǒng)是由很多個(gè)很小的單元模塊集合而成的���。在實(shí)施軟件安全檢測過程中����,對(duì)系統(tǒng)中最小的單元模塊進(jìn)行檢測從而找出隱藏的系統(tǒng)缺陷,這種方法比較快捷有效。需要檢測的單元模塊有很多,可以根據(jù)軟件系統(tǒng)的設(shè)計(jì)模式����,將單元模塊堆積成軟件的系統(tǒng)結(jié)構(gòu)��,對(duì)系統(tǒng)模型進(jìn)行檢測。
2.2 如何決定合適的安全檢測方法
安全檢測方法非常重要,就好像一艘船在大海上決定航行的方向一樣重要�����。軟件檢測方法直接決定了檢測結(jié)果的正確性和軟件檢測過程中的效率���。通過對(duì)各種各樣的計(jì)算機(jī)軟件安全檢測方案和現(xiàn)實(shí)案例進(jìn)行研究��,可以得出軟件安全檢測的基本規(guī)律:首先����,為了能夠便于安全檢測工作的實(shí)施����,要將檢測過程具象化。就是根據(jù)大概的軟件檢測方案,開始對(duì)檢測過程進(jìn)行電腦模擬����,建立相應(yīng)的數(shù)據(jù)模型����。主要是通過語言支持來實(shí)現(xiàn)形式化的表現(xiàn)�,一般形式語言有行為語言和有限狀態(tài)語言等��。做好上面的工作后�����,直接對(duì)模擬系統(tǒng)進(jìn)行安全檢測,在檢測的同時(shí)也相當(dāng)于對(duì)軟件系統(tǒng)的構(gòu)建和運(yùn)行做了較為全面有效的安全檢測����,從而加強(qiáng)了軟件安全檢測的準(zhǔn)確性和可靠性�����。通常,我們會(huì)選擇馬爾科夫鏈和有限狀態(tài)機(jī)器測試模式��。
3 計(jì)算機(jī)軟件安全檢測中要注意的問題
3.1 使用科學(xué)有效的軟件安全檢測方法
計(jì)算機(jī)軟件內(nèi)部非常復(fù)雜�,所以對(duì)其進(jìn)行安全檢測時(shí)只是利用簡單的安全測試是不能完全解決問題的,很多潛藏在深處的安全隱患根本就沒有被發(fā)現(xiàn)��。在檢測前����,要對(duì)客戶的計(jì)算機(jī)軟件的特性以及它們對(duì)檢測方法的各種要求有全面的了解,再針對(duì)軟件的具體狀況選擇合適的檢測方法���,逐漸編制出計(jì)算機(jī)軟件安全檢測方案。在細(xì)節(jié)方面��,還應(yīng)該整合用戶的意見���,根據(jù)客戶的需求去制定更合適的檢測方案���。
3.2 檢測人員的多元化
在對(duì)計(jì)算機(jī)軟件進(jìn)行檢測時(shí)��,總是幾個(gè)檢測人員參與檢測而且他們檢測的方法也類似的話,就不能更好地檢測出更多的漏洞,因?yàn)檐浖械陌踩[患隱藏在各種地方,所以檢測方法越多樣化����,將安全隱患檢測出來的幾率就越大�,用戶的軟件安全就越有保障。所以�����,進(jìn)行計(jì)算機(jī)軟件安全檢測時(shí)��,除了對(duì)軟件檢測有專業(yè)知識(shí)和豐富經(jīng)驗(yàn)的檢測人員外�����,還應(yīng)該加入熟悉軟件特性和使用的軟件技術(shù)人員,這種組合能夠?qū)浖z測進(jìn)行全方位的檢測�,找出更多的安全隱患�����,滿足用戶的軟件使用要求。
3.3 在檢測前���,要對(duì)軟件進(jìn)行全面、深入的研究
計(jì)算機(jī)軟件包括系統(tǒng)級(jí)��、代碼級(jí)和需求級(jí)三個(gè)方面�,在檢測前需要對(duì)它們進(jìn)行詳細(xì)分析,這對(duì)之后的檢測工作很有幫助�。如果將要檢測的軟件規(guī)模很大��,還要對(duì)軟件的結(jié)構(gòu)進(jìn)行詳細(xì)分析,選用多種方法對(duì)軟件進(jìn)行層層檢測�����,全面排除安全障礙����。有時(shí)候還可以借助仿真環(huán)境和分析工具實(shí)施軟件檢測���。
4 結(jié)束語
計(jì)算機(jī)軟件在社會(huì)經(jīng)濟(jì)生活中占有重要作用�����,不僅能夠滿足人們的生活需要�,也能夠滿足行業(yè)的發(fā)展需求�����。計(jì)算機(jī)軟件不僅僅在種類上逐漸增多����,同時(shí)能夠滿足不同使用者的需求���,隨之而來的計(jì)算機(jī)軟件的安全問題���,也引起了軟件開發(fā)者的逐步重視��。計(jì)算機(jī)軟件安全檢測技術(shù)的逐步發(fā)展�,就是為了滿足使用者的安全需要�,就計(jì)算機(jī)的軟件使用特點(diǎn),以及在安全檢測技術(shù)等發(fā)面展開研究,以科學(xué)的安全檢測方法作為研究的主要內(nèi)容�����,注重計(jì)算機(jī)軟件的使用性能的同時(shí)�����,也要提高使用方面的優(yōu)勢,這樣才能夠提高計(jì)算機(jī)軟件的安全性能。軟件安全能夠?qū)τ跐撛诘陌踩珕栴}采取有效的應(yīng)對(duì)方法��,從而保障計(jì)算機(jī)軟件的使用安全性能�����。
