發布時間:2022-07-20 09:32:11
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的1篇計算機軟件安全檢測技術研究,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
計算機軟件開發人員,在進行計算機軟件開發過程中,非常有必要對不同類型的計算機軟件進行安全性檢測,以便于軟件開發人員事先發現安全隱患,從而采取適當的改進措施,確保不同計算機軟件在使用過程中順利運轉。
【關鍵詞】計算機軟件 安全檢測技術
在社會經濟飛速發展的今天,計算機作為意義上的生產或者生活用品已經融入人類社會的各個領域,并且隨著科技的日新月異,電子計算機科學技術也隨之日臻完善和成熟。是計算機軟件在支撐著計算機的正常運轉,人們依賴計算機進行生產和生活要借助不同的計算機軟件來進行,因而,計算機軟件的安全性也就提到了計算機維護的首要日程。否則,其安全性就極有可能對計算機的使用帶來極大的安全隱患,同時也會給互聯網安全造成極大威脅。鑒于此,計算機軟件開發人員,在進行計算機軟件開發過程中,非常有必要對不同類型的計算機軟件進行安全性檢測,以便于軟件開發人員事先發現安全隱患,從而采取適當的改進措施,確保不同計算機軟件在使用過程中順利運轉。顯而易見,計算機軟件安全檢測技術已經成為了計算機軟件開發過程中不可或缺的一項優秀內容。
1 計算機軟件安全檢測的基本內容
當今社會,計算機的使用在不同領域越來越廣泛,而且越來越具有依賴性,因而,計算機軟件使用過程中的安全性則越來越成為計算機用戶的終極要求,主要表現在以下幾方面:
1.1 軟件之間的沖突導致計算機運行的不通暢
安裝某一款計算機軟件后,用戶發現這對計算機木身并沒有產生多么明顯的影響,甚至會因為該軟件和其它軟件沖突因而導致計算機運行速度明顯變慢等;
1.2 計算機軟件安全性得不到保證
計算機用戶在使用軟件的過程中許多個人信息會被留下,用戶的私密信息隨之就不可避免地被泄露,自然,用戶的個人隱私就會得不到有效的、必要的保護。
因此,在不同計算機軟件開發過程中,軟件開發人員要利用成熟的的安全檢測技術對計算機軟件中存在的安全漏洞進行檢測,并對其進行安全修復,從而達到提高安全性,降低風險的目的。
2 計算機軟件安全檢測的具體技術
2.1 語法安全檢測技術
語法安全監測技術主要是對計算機軟件中的語法進行實質性、技術性檢測。最初輸人條件的不同會使最終檢測結果產生差異。語法安全檢測技術通常被用于檢測源程序中的安全漏洞,該檢測技術可及時有效地檢測出系統函數與C語言庫函數的切換,并及時恰當地作出處理,從而建立以語法為基礎的測試數據。同時該檢測技術還能實現對計算機軟件的安全檢測,排除潛存的安全風險,保證計算機安全運行。
2.2 動態安全檢測技術
這項技術是對計算機軟件運行環境變量進行的必要檢測,漏洞等風險因素是它主要進行的檢測目標。這種安全動態檢測技術的使用,計算機軟件源碼不需要在運作過程中進行修改,因而計算機用戶的隱私安全得到了很大程度地保證。在這類檢測技術應用過程中,如果計算機軟件的漏洞被發現,就會自動完成相關修復工作。今天,由于計算機在商務應用中也發揮著越來越大的作用,這種軟件的檢測技術更加適用于商務性,隨著普及率的越來越高,對保證商業機密的安全,必將發揮著越來越大的作用。
2.3 靜態安全檢測技術
近年來,計算機程序開發人員根據程序代碼內部特性和結構是靜態安全檢測技術這一特征,事先構建合理的測試模型,以滿足計算機讀取的相關要求,對計算機進行安全靜態檢測,這就是所謂的靜態安全檢測技術。這種檢測技術的檢測程序是:開發人員先利用這種安全檢測技術對需要檢測的計算機進行檢測之后,再將選定的測試模型和待檢測的程序數據進行全面比對,如果待測的計算機軟件安全性能良好,其對比數據就會高度一致。近年來,由于這項技術日臻成熟,并且簡潔易行,越來越多的軟件技術開發人員傾向于此項研究之中,從而推動了這項技術得到更為充分的發展,并且越來越大地在計算機軟件安全領域中發揮了重要的作用。
2.4 混合安全檢測技術
近年來,隨著計算機檢測軟件越來越多樣化,檢測技術要求的不斷提升,對計算機軟件越來越趨向于多項或者混合檢測,以確保效果的精準化、全面化。鑒于此,實踐中,我們往往傾向于多種檢測軟件并行的檢測方法,也即這里我們所說的混合安全檢測技術。這種混合安全檢測技術雙管齊下,動態安全檢測與靜態安全檢測并駕齊驅,采用了動態安全檢測與靜態安全檢測兩種檢測技術的優勢,揚長避短,強強聯合,確保計算機軟件檢測過程精準、全面、不留死角,極大地擴大了檢測范圍。
2.5 基于Web技術的安全檢測技術
計算機技術檢測采用Web技術是近年來計算機檢測技術領域的一項嘗試和技術突破。Web技術是近年來伴隨著計算機互聯網技術出現的網絡資源開發技術。隨著Web技術的不斷革新,這項技術也逐漸滲透到計算機軟件安全檢測領域中,并且和其它檢測手段比起來越來顯示出它獨特的優越性能――與同是作為計算機軟件安全檢查的傳統的檢測技術,Web安全檢測技術更具有靈活性、高效性和先進性的特點,在檢測性能等各方面都表現出優異的成績。大體說來,基于Web技術的安全檢測技術不僅能夠及時檢測出風險和漏洞,而且能夠及時對這些安全風險和漏洞進行有效修復,為計算機系統安全、可靠、高效地運行提供了有力的保障。鑒于這種檢測技術的精準、高效、安全的特色,基于Web技術的安全檢測技術已經越來越多的運用到不同行業的計算機檢測技術中,并且大有取代傳統檢測軟件的趨勢。
3 結語
綜上所述,隨著計算機網絡越來越大的影響著人類的生產和生活,計算機安全檢測技術作為計算機運用過程中的輔助技術,勢必越來越彰顯出它的必不可少的重要作用。在科技日新月異的今天,相信我們人類社會在計算機安全檢測技術方面,也必將取得更多成果,以更好的服務于計算機技術,更好的造福于人類。
作者單位
濱州市安全評價中心 山東省濱州市 256600
摘要:電子信息技術的飛速發展,使我國已經走向信息化道路。但是在電子計算機技術的發展過程中,計算機軟件的安全也受到了人們的高度重視。組我誒計算機軟件安全的基礎,軟件安全檢測技術能夠針對相關指標來檢測軟件安全情況,能夠對潛在的安全隱患進行識別等。因此,本文主要針對計算機軟件安全檢測的注意事項,提出了計算機軟件安全檢測的流程與方法,以此有助于我國計算機軟件安全得到積極的保障。
關鍵詞:計算機軟件安全檢測技術檢測流程與方式
作為一種科學的技術與手段,計算機軟件安全檢測技術能夠針對軟件開發與運用過程中的問題進行檢測,然后對其進行修改。所以,計算機軟件安全檢測技術對計算機發展起著重要的作用。所以,筆者主要針對這一內容進行研究與分析,并提出了合理的建議,從而能夠促進我國計算機軟件得到積極的發展。
1計算機軟件安全檢測應注意的問題
作為一種動態的檢測過程,計算機軟件安全檢測應該注意幾個問題。首先,應該對檢測方案進行合理的選擇,盡量選擇科學、有效的安全檢測方案。并且應該事先了解與掌握計算機軟件的要求與屬性,在此基礎上針對測試的具體情況,對合理的檢測手段加以利用,然后還要制定相應的安全檢測方案,從而能夠使安全檢測方案具有有效性。其次,應該積極檢測計算機軟件的安全性,不僅要發揮計算機軟件安全測試人員的積極作用,還需要掌握此軟件特點與使用方式人員的幫助,只要相關技術人員能夠進行密切配合,能夠使計算機軟件的安全性得到一定的保證[1]。最后,在檢測計算機軟件安全性的過程中,應該從全面分析的角度出發,對代碼級、需求級與系統級進行仔細分析,然后針對實際需求,不同的層級應該借助不同的技術手段,才能使分析結果的正確性得到充分地保證。因此,只有在計算機軟件安全的檢測過程中,注意以上問題的解決,能夠使計算機軟件安全得到積極的保障。
2計算機軟件安全檢測流程與方式
2.1檢測流程
一般情況下,計算機軟件安全的檢測,對于規模較大的計算機軟件來說,包含了很多子系統,而且這些子系統之中也有很多不同的模塊。通常情況下,計算機軟件安全的檢測,主要通過模塊檢測,然后進行組裝系統,借助系統結構的安全檢驗,再進行軟件功能與性能的檢測,最后實施系統測試等。作為子系統中的最小單位的測試,模塊檢測是要保證測試覆蓋范圍的全面性與細節性,能夠將小模塊中的風險積極發現。各個模塊的測試完成以后,還要針對軟件程序的要求,組裝所有模塊,使之成為完整的系統,與此同時還要檢測組裝完畢的系統結構安全。另外,如果上述檢測內容都合格的情況下,還要測試系統軟件的功能與性能,以此能夠實現系統軟件功能與性能能夠符合用戶的需求等。最后,所有檢測完成以后,應該對整個軟件精心系統測試。這樣的層層把關,能夠積極保證用戶軟件的安全性[2]。
2.2檢測方式
2.2.1安全靜態檢測手段
所謂安全檢測方式,主要以模型為基礎,借助軟件行為,結構建模等形式,使測試模型得以形成,這一模型能夠實現機器對其的可讀性。這一檢測方式與其他檢測方式相比,能夠在模型生成過程中進行系統化的測試,借助這種測試形式能夠體現出待測系統的行為與期望的模型具有一致性。通常情況下,這種檢測方式主要有有限狀態機遇馬爾科夫鏈等方式。
2.2.2語法檢測
所謂語法檢測,主要是借助語法的作用,檢測生成功能接口的軟件。這種檢測形式主要是為了研究反映,也就是在不同的輸入情況下,計算機軟件出現不同類型的反映。借助語法檢測方式,通常是要識別計算機軟件接口處語言,定義語言語法等,而且還要以語法為基礎,將檢測用例生產出來,還能同時進行安全檢測等[3]。
2.2.3形式化檢測
形式化的安全檢測,主要是考慮到計算機軟件主要是以數學模型為基礎,而且還要以形式規格語言的支持為基礎,能夠提供出形式化的規格說明。當前常見的形式規格語言主要有三種類型,主要是行為語言、模型語言以及有效狀態語言等,而檢測方式主要有定理證明、以模型檢查為基礎的正式安全檢測手段等。
2.2.4以故障注入為基礎的安全檢測
對于這種檢測的方式來說,通過實踐經驗證明,具有一定的優勢,可以實現安全檢測自動化程度的提升,作為計算機軟件安全檢測的重要手段。所謂故障注入式檢測,就是基于故障模型的選定,將故障樹構建起來,然后借助人為的反復測試,或者根據軟件反饋的信息等,能夠使檢測故障容錯性與安全性的有效信息得以呈現出來。
2.2.5安全屬性式檢測
這種檢測方式與其他檢測方式相比,可以全面分析安全漏洞的擴展與交互發展。通過借助安全屬性式的檢測手段來測試,首先應該對計算機軟件的安全編程規則進行合理確定,然后再讓它當做安全檢測的安全屬性;再借助得到的安全屬性,檢測系統程序的相關代碼,從而能夠對系統代碼與相應規則是否符合標準進行合理驗證。
2.2.3模糊式檢測
這種檢測方式,主要是與傳統檢測技術與動態檢測相結合,也就是在白盒模糊檢測基礎上,屬于對傳統檢測方式的升華。盡管模糊式檢測手段屬于簡單的技術,然而能夠對程序中的重要bug揭示出來,而且可以對現實世界的錯誤模式加以驗證,然后在此基礎上,軟件發貨之前可以提示潛在的被阻塞的攻擊途徑等。
3結語
總之,當前我國市場經濟的迅速發展,電子商務也取得了一定的進步,二計算機軟件的安全問題也得到了人們的積極關注。而要想有效保證計算機軟件的安全,應該積極運用計算機軟件安全檢測技術,能夠有效預防黑客的非法侵入,使軟件能夠得到安全的應用。因此,這就需要我國應該積極注重計算機軟件安全技術的設計人才,能夠通過不懈的研究與探索,保證我國的網絡安全與穩定,實現軟件市場的健康發展。
摘 要 進入二十一世紀,人們開始步入信息時代,互聯網的使用也越來越普遍,計算機軟件的使用也愈加頻繁,而計算機軟件安全監測技術則是保證計算機軟件安全的一個必要條件,因此,本文將對計算機安全監測技術進行研究,希望可以使我國的計算機軟件安全監測技術有所提高。
【關鍵詞】計算機軟件 檢測技術 安全
互聯網在人們的日常生活中的使用越來越頻繁,人們的工作、學習、生活也愈加的依賴于互聯網,因此計算機軟件的使用也滲入到人們的生活當中,成為現代人生活中必不可少的存在。但是,隨著各種計算機軟件的發明,計算機軟件的安全性問題也隨之而來,對計算機軟件安全的檢測也愈發重要,因此,必須對計算機軟件安全檢測技術進行深入的研究。
1 計算機軟件安全檢測技術的概述
計算機安全檢測技術顧名思義就是通過少數的測試的示例,用來擴大計算機軟件的檢測范圍,另一方面,它可以對計算機出現的任何問題做出及時的反應,并且能對出現的各種問題進行修復,從而使計算機軟件的使用風險性大大降低。但是計算機軟件安全檢測技術它只是盡可能多的去發現計算機軟件中出現的問題并給予解決,并不代表它可以使計算機軟件不會出現問題與錯誤,它只是對未出現的問題加以預防,對已出現的故障加以修復的一種可以提高計算機軟件安全性的方法。
2 計算機軟件安全檢測技術的特點
相較于其他的軟件缺陷測試,計算機安全檢測技術具有以下幾個特點:
2.1 具有不同的軟件修復方法
一般的軟件缺陷測試中,例如找補丁、軟件升級等都要等到下一個版本中才可以進行修復或升級,但是在計算機軟件安全檢測技術中,一旦發現計算機軟件中出現安全隱患,他就會立刻采取相應的安全保護措施,是軟件遠離危險。
2.2 測試范圍不同
計算機軟件安全檢測技術主要是對計算機可能存在的問題進行檢查,防患與未然,同時檢測計算機軟件安全的功能是否可以達到計算機用戶對計算機軟件安全性的要求,主要測試的范圍有:計算機的授權、訪問限制、安全的管理及保密措施等。而普通的計算機測試軟件只是對計算機可能存在的風險進行檢測,以及對于該風險可能會導致的后果進行推測。從這一方面講,計算機軟件安全檢測技術測試的范圍要廣于普通的計算機檢測軟件。
2.3 危害程度大
普通的計算機軟件安全出現缺陷,對于用戶計算機系統的安全影響并不大,但是計算機軟件安全一旦發現缺陷,則會給計算機用戶帶來嚴重的安全隱患,很有可能導致計算機系統的全面癱瘓。
3 計算機軟件中存在的安全性問題
計算機軟件可以幫助人們解決各種工作、學習、生活中遇見的問題,強大如它,但是計算機軟件也不是完美的、萬能的,它自身也會出現一些問題,其中以下幾點較為突出:
3.1 字符串被格式化
字符串被格式化是由于程序代碼的缺陷,它可以在內存空間中寫入指定的數據,從而危害計算機系統。同時,它還可以將一些重要的信息顯現出來,進而毀壞。
3.2 緩沖區溢出
緩沖區溢出是計算機軟件中經常出現的危險性缺陷,它經常會導致計算機中程序運行的失敗、系統崩潰、死機、重新啟動等。進而對它進行非常授權的指令,對計算機軟件造成危害。
3.3 出現競爭性條件
在軟件BUG中經常會出現這一漏洞,由于每個用戶登陸網站之后,計算機中被調用函數的現象就會出現,造成競爭條件的急劇增多,最后在操作多的任務系統里就會導致鎖死等后果。
4 計算機軟件安全檢測技術的方法
4.1 混合檢測技術
靜態檢測技術同動態檢測技術相結合就是混合檢測技術。它的出現很好的將這兩種檢測技術的優點相結合,克服了這兩種檢測技術單獨使用時所產生的不足,更好的對計算機軟件的安全性進行檢測,也在一定程度上提高了檢測結果的準確性。
4.2 靜態檢測技術
對程序代碼的內部結構和特點進行檢測的技術就是靜態檢測技術,通過構成結構模型來增加模型的可讀性。由模型產生測試是安全檢查的系統化的方式,同時利用測試來檢測軟件系統,從而得到充分的論據證明被檢測系統的行為與模型的相同性。
4.3 動態檢測技術
相較于靜態檢測技術,動態檢測技術是指在對過重環境下所產生的如:內存、堆及環境等的變量進行研究分析,以此對計算機軟件中存在的漏洞或缺陷進行檢查。因為不需要修改軟件的二進制代碼及源碼,所以可以有效的提高了軟件的機密性。
4.4 語法檢測技術
功能接口語法被語法的軟件進行輸入的測試就是語法檢測技術,在程序源中具有危險性的系統和C語言中會使用,通過輸入不同的口令,而產生不同的反響,一般是通過識別接口上的語言,之后進行語法的定義,在語法的基礎上產生測試,對計算機軟件進行安全性的檢測。
5 使用計算機軟件安全檢測技術的注意事項
在使用計算機安全檢測技術時要注意一下幾個問題:
(1)進行計算機軟件安全技術檢測時要有專業的技術分析人員及設備,這是進行安全檢測的一個重要前提。
(2)進行檢測的時候要對軟件進行全面的分析,不能以點概面,以偏概全,要從實際需要的角度分析研究。
(3)選取方案時要注重安全有效,要在安全的基礎上謀求有效。
6 結論
計算機網絡系統不斷發展的今天,各種計算機軟件也在不斷的更新換代,但是因此也為計算機軟件的使用帶來許多的威脅與隱患,只有提高軟件安全檢測技術的水平,才能是計算機軟件發揮其應有的作用。
作者單位
成都理工大學 四川省成都市 610059
摘要:隨著計算機技術和網絡技術的快速發展,計算機軟件也日趨復雜,軟件是計算機重要的優秀內容,是保證計算機安全和通信安全的基礎,對計算機安全運行和日常維護具有重要的意義,而編寫計算機軟件和檢測是防止計算機安全漏洞的重要的對策,下面我們就詳細進行分析計算機軟件安全檢測技術及其應用。
關鍵詞:計算機軟件;安全檢測技術;應用
隨著計算機技術和互聯網的快速發展,用戶對于軟件的需求也日漸復雜,軟件中會存在難以發現的漏洞,只有確保軟件的安全才能保證計算機通信、信息安全,否則即便防火墻、殺毒軟件、入侵檢測等再強大,若軟件自身存在安全隱患,也無法提升整體安全性能[1]。計算機軟件安全檢測的目的主要是為了防止由于軟件漏洞對計算機造成安全威脅,對計算機軟件安全檢測技術的研究及應用對保證計算機軟件安全具有重要的作用和價值。
1 軟件安全漏洞概述
軟件安全漏洞即可能引發安全問題的軟件中的代碼。漏洞通常有以下信息披露地方。(1)Bugtraq。這是一項郵件列表服務,是專門針對安全性問題存在的郵件討論列表。很多軟件漏洞首先在這里被披露,它是重要的安全入侵新聞來源。(2)PISKS Digest。它同樣是一個郵件列表服務,包括安全性、保密性、可靠性等,有很高的技術含量,是目前已經發表的計算機軟件安全研究圈內,有效攻擊首選地方之一。目前計算機軟件安全漏洞常常被忽略主要有以下幾點:(1)Zgeronimo2.0 這個安全漏洞主要是讓遠程攻擊者能夠繞過身份識別而在計算機軟件中插入惡意代碼或者訪問的權限。(2)LIBTIFF開源軟件庫,其主要是為了讀寫標簽圖像文件格式的文件。(3)ZLIB主要是指用于數據壓縮的軟件庫,計算機軟件漏洞主要是通過一個不完整的代碼進行解釋長度大于1的代碼造成的安全漏洞。(4)Net―SNMP,是指安全漏洞存在Net中或者存在SNMP中的協議文件里。在計算機軟件系統中當“master agents”模式運行NET_SNMP時,軟件可以讓攻擊者通過引起一個特征的TCP的連接中斷達到拒絕服務的攻擊,最終造成計算機系統崩潰的現象。(5)Jboss應用服務器主要是應用在服務器3.2.4至4.05版的“DeploymentFileRepository”類中的目錄遍歷的安全漏洞。
2 軟件中存在的安全漏洞及缺陷
計算機軟件安全是一個非常復雜的系統,其主要是通過計算機系統的完整性、保密性以及可靠性實現計算機軟件的安全可靠。但是計算機軟件運行的過程中,由于計算機或者軟件自身的缺陷或者操作配置失誤等因素造成計算機軟件從操作系統到應用程序,從通信基礎設施到網絡的應用服務以及從系統的配置和管理到用戶操作層面等諸多的方面都存在安全因素。
目前多采用C語言或C++編寫協議通信軟件,軟件的安全漏洞潛在程序源代碼中,可以引發編程遺漏或錯誤。軟件安全漏洞主要有:(1)緩沖區溢出。這種軟件漏洞主要是在程序的緩沖區寫超出長度的內容,進而造成緩沖區溢出,最終造成的最直接結果是導致堆棧被摧毀,使得任意數據都能引起目標程序徹底崩潰;緩沖區溢出是一種非常普通而且危險的漏洞,其在計算機軟件和操作系統中廣泛存在,緩沖區溢出很容易造成程序運行失敗、系統宕機、重新啟動等后果的發生,利用它執行非常授權的指令,進而造成計算機軟件漏洞的產生。(2)競爭條件。這是一項經常出現的軟件BUG,其相對于緩沖區溢出漏洞來說,其更加難解決,造成這種漏洞發生的原因主要是由于每一個用戶登錄網站后,函數就會出現被調用的現象,進而會造成競爭條件的值增加,最終到時競爭條件問題的發生,如果在操作的多進程多任務系統里面出現這種現象,將會造成死鎖等嚴重的后果;(3)格式化字符串。格式化字符串是程序函數中一個相對比較特殊的字符串的參數。此漏洞是一項微妙的程序代碼缺陷,它可以將重要的信息顯示出來,還能將指定數據寫入進程的內存空間里;進而對系統造成危害(4)隨機數。在Netscape中就存在有隨機數的現象,其采用一種不好的方法給偽隨機數進行播種,其種子主要是有進行ID和機器時間等決定的,造成攻擊者和被攻擊者使用同一機器,從而造成系統密碼的破解,最終造成系統安全問題的發生。并且隨機數它能夠生成序列號及密鑰。也是軟件安全漏洞的重要組成部分。
3 計算機軟件安全檢測技術方法
3.1 計算機軟件安全監測步驟
通常,計算機軟件有一定數量的子系統組成的軟件規模比較大,并且不同的子系統中有若干的模塊組成。計算機軟件安全檢測主要是為了確定軟件預期設計和軟件具有的安全實現是否一致的檢測過程,其中軟件檢測過程主要包括功能測試、滲透測試和驗證測試等。計算機軟件安全檢測程序主要是將通過有效性的檢測軟件與計算機硬件、數據以及輔助軟件等元素結合起來的測試過程[4]。計算機軟件安全監測步驟如下:先進行單元(即模塊)測試,從軟件設計最小單位開始實施安全檢測,能將各模塊中的缺陷問題一一找出,并解決。然后根據程序設計的要求對計算機軟件中所有的模塊組裝成系統,并檢測軟件體系結構的安全性,接著對各個模塊實施有效性的測試,從而確定計算機軟件是否與用戶需求相符。最后是對計算機軟件的系統進行測試。如下圖所示為計算機軟件安全檢測的靜態分析技術的過程,首先輸入源代碼,構成一個表示所要分析的模型,然后結合安全知識對模型進行分析,最后輸出檢測的結果。
3.2 計算機軟件安全檢測方法
(1)形式化安全檢測。這種方式需要先建立軟件的數學模型,以模型說明提供語言支持的形式化規格。基于模型的語言、基于行為的語言及基于有限狀態的語言是常用的形式規格語言[5]。
(2)模型的安全功能測試。這種方法主要是針對計算機軟件的結構和行為,以建立模型方式生成具有安全測試功能的模型,基于模型基礎生成檢測用例,進而對計算機軟件實施安全監測。基于模型的有限狀態機是目前常用的模型安全功能測試方式。
(3)語法測試。語法測試是一種基于語法對檢測軟件功能接口的語法生成軟件進行輸入測試的技術,語法測試技如果輸入條件不同,則將會產生不同類型的反應,其主要應用在對計算機軟件源程序中有錯誤或者危險的C語言庫函數和系統調用中。計算機軟件的功能接口語言,能夠生成軟件測試輸入,并檢測各種語言輸入計算機后的反映情況,這種方式能夠有效識別計算機軟件接口處語言,并對語言的語法進行定義,實現軟件安全檢測。
(4)模糊測試。目前模糊測試大多基于白盒安全測試,是傳統模糊測試技術的進一步發展,能夠與傳統模糊測試技術有機結合,實現計算機軟件安全的有效檢測。
3.3 動態檢測技術與靜態檢測技術
動態檢測技術:主要為了確保目標程序源碼不會發生改動,維持二進制代碼原樣。利用對程序執行過程中的漏洞狀況進行判定,確定計算機軟件的安全狀態。動態監測主要有以下措施:(1)非執行棧技術,以有效禁止執行代碼能力的方式抵抗攻擊者;(2)非執行堆與數據技術。起到阻礙軟件繼續執行的作用,使惡意代碼失去執行途徑;(3)內存映射技術。結合代碼頁攔截攻擊者的非法操作;(4)安全的共享庫技術。依賴動態鏈接技術,阻止不安全函數的運行;(5)沙箱技術。利用控制某項進程訪問的資源實現防范惡意攻擊的目的;(6)程序解釋技術。對正在運行的程序進行檢查,維護系統的運行。
靜態檢測技術:主要是通過程序分析技術深入分析二進制代碼。需要計算機操作人員做好相應工作。靜態檢測技術主要為:(1)詞法檢測技術。限用于對程序源代碼中存在不穩定因素的C庫函數的檢測以及系統的調用;(2)程序評注技術。對各種語言注釋說明,以此加深靜態研究,確定內部存在的漏洞;(3)類型推斷技術,通過對應修飾方式對數據信息等進行安全束縛;(4)約束解算器技術[6]。直接約束目標程序的特定屬性建模,結合靜態分析解算實行二次約束,防止安慰威脅產生;(5)元編譯技術。元編譯技術主要是利用編譯器的簡單技術,這種技術的誤報率低,并且這種技術對于語言特性的擴展不會更新。在計算機軟件安全檢測中元編譯技術主要是將計算機程序的安全屬性看做是輕量級的編譯器進行擴展,并根據擴展的內容建立相應的模型實現計算機軟件安全檢測。利用此技術能夠自動判斷代碼安全屬性,同時編寫編譯擴展;(6)變異語言技術。變異語言技術主要是通過對指針算術運算和不安全類型的轉換,setjmp/longjmp等不安全的操作進行限制,其中安全編程變異技術一般都采用C語言或C++,實現類型轉換、標志轉換、算術運算等過程的安全操作。由于靜態檢測對軟件的二進制代碼和源代碼進行檢測,因此采用靜態檢測的錯誤越多,則編寫的程序就越可靠。
3.4 web服務器技術的應用
隨著科學技術的快速發展,web技術的廣泛應用,一種基于web服務的分布式軟件安全性能檢測技術也逐步發展起來,其主要是基于識別內容的分布是web服務器技術,這種技術的特點有好互操作性強、松散耦合、語言中立和平臺無關等,在計算機軟件安全檢測中使用這種技能夠將復雜的安全功能分解成不同的安全處理類型,以方便采用故障注入機制實現錯誤的soap消息以達到支持異常測試[7]。通過實驗研究表明,將web服務器技術應用到計算機軟件安全檢測中不僅具有先進性、高效性以及靈活性的特點,而且還能夠實現度對軟件的可靠性和容錯性以及安全性進行檢測。
3.5 故障注入的軟件安全檢測技術
在計算機軟件安全檢測中,故障注入的安全檢測技術具有提高安全檢測自動化程度的獨特的優點,是計算機軟件安全檢測技術中一項重要的檢測技術。故障注入安全檢測技術主要是指在選定的故障模型上進行構建故障樹,然后通過人為的反復測試和對軟件反饋的故障信息以達到檢測故障安全性和容錯性的效果。
3.6 基礎設施即服務安全策略
(1)實施入侵檢測:可以檢測出違反安全策略的行為、及時發現并報告系統中異常或未授權的現象,從而使計算機系統和網絡的安全性得到保證。具體操作是:審計系統的弱點和構造、對系統和用戶的活動進行分析和監視、跟蹤關系操作系統的審計、統計分析異常行為模式、對數據文件和重要系統的完整性進行評估、對用戶違反安全策略的行為進行識別[8]。(2)實施包括可維護性、容錯性、耐久性在內的可靠性網絡系統措施,其中耐久性決定著網路系統各個組件連續無故障不間斷運行的平均時間;容錯性決定網絡系統的平均恢復時間;可維護性屬于事后很快定位和解決故障,通過配置有責任心專業的技術管理人員提高這一性能。(3)加強對設備操作管理人員的教育培訓提高設備壽命和使用效率,盡量應用光纖或加壓電纜作為傳輸介質并做好防護措施,另外人工/自動的檢查維護也是必要的,這樣可以很大7、建立以數據為中心的安全系統
云計算系統包括網絡、存儲、計算三方面資源,在數據中心里大量應用虛擬化技術,由實變虛的資源打破了資源邊界,可被靈活調度的資源池取代了孤立的單個的資源。在共享的環境中數據的使用被進行全面的控制。基于云環境的數據應用交換安全技術應運而生,數據的安全交換采取應用交換方式,實現信心單向流動,應用不對稱的數據交互,“數據”和“用戶”能夠被用戶區分,數據信息和接收方行為信息分成兩個不同的路徑[9]。
在分級標簽交互系統中定義了系統中主、客體的重要程度,在客體信息中提取的知識表達了生成客體的主體對于客體所反映知識的重要性;通過進行數據分析獲取消息是文件中常用的方式,所以主體即人很容易進一步處理文件這種信息形式從而形成與文件信息相對應的分級知識;因為缺少對數據庫中原始文件中包含信息的提取,所以主人即人要向從中直接提煉出分級知識是相當困難的[10]。總之,數據操作的定制、數據轉化為信息、權限控制操作,這些過程都包含在應用交換方式中實現數據交換過程中的安全策略。
4 計算機軟件安全檢測應注意的問題
計算機軟件安全檢測技術屬于一個動態的檢測過程,在計算機軟件安全檢測中通常應該注意以下幾個問題:
4.1 選擇科學合理的安全檢測方案
在計算機軟件安全檢測時,通常簡答的方法很難達到解決問題的效果,因此在安全檢測中,首先應該充分了解計算機軟件的特性及其對檢測方法的要求,然后根據計算機軟件的具體情況進行詳細的分析,選擇合適的檢測方法,編制出計算機軟件安全檢測方案。同時還應該從用戶的需求為出發點,從多方面多角度制度合理的安全檢測方案。
4.2 推廣檢測人員多元化
多元化主要是指在某種程度上相似但是不相同的人員的組合。在計算機軟件安全檢測時保證檢測人員多元化能夠更好的檢檢測初出計算機軟件存在的問題或者漏洞。計算機在進行軟件安全檢測中,對軟件檢測人員也應該具有一定的要求,不僅應該具有軟件檢測相關的知識和經驗的人員參與其中,還應該具有熟悉并掌握軟件的特性及使用的相關人員,只有將計算機安全檢測人員和計算機軟件技術人員等人員相互配合,才能保證計算機軟件性能的安全性。
4.3 全面分析
在計算機軟件安全檢測中,對計算機軟件的系統級、代碼級以及需求級等進行詳細仔細分析是非常重要的。軟件檢測中,如果計算機軟件的規模較大,應對計算機軟件的結構進行詳細的分析,并且還應該根據軟件不同層級的需要選擇不同的技術方法,以保證結果的準確可靠,在必要的情況下,需要借助分析功工具和仿真環境實施計算機軟件安全檢測,以做好計算機軟件安全檢測工作。
5 總結
計算機軟件安全檢測技術是保證計算機和網絡安全的一項重要的技術,能夠有效促進計算機軟件的發展和進步。因此想要保證計算機安全可靠的運行,必須加強對相應的技術進行研究,有效提升計算機的服務性能,保證計算機軟件的安全性,從而為計算機軟件的發展奠定堅實的基礎。
【摘 要】隨著計算機軟件行業的發展,人們越來越重視計算機軟件的安全檢測技術的發展,這不僅能夠保障軟件技術的進一步提高,同時也能夠對于用戶的隱私權有所保障。隨著計算機的普及應用,無論在生活中還是各個行業的發展中,計算機軟件的應用范圍逐步擴大,這對于軟件的安全檢測技術也提出了進一步的要求。
【關鍵詞】計算機軟件;安全監測;技術研究
0 引言
就目前的社會進步而言,計算機越來越多的應用到人們的生產和生活之中,這就需要提高計算機軟件的使用性能的基礎上,注重軟件的安全性能,滿足使用需求。計算機使用軟件是為了滿足使用者的使用需求,而對于網絡安全方面,也是目前軟件開發方面的重點研究內容,計算機的安全檢測技術是非常重要的,能夠對于潛在的安全問題采取有效的應對方法,從而保障計算機軟件的使用安全性能。
計算機技術和互聯網的發展越來越快,客戶所用的軟件種類也越來越豐富,這些軟件中存在著很難發現的漏洞,只能通過計算機軟件安全檢測系統來預防軟件漏洞可能會對計算機造成的安全威脅。
1 計算機軟件安全檢測的內容和含義
客戶在使用軟件之前,對軟件的質量有很高要求,主要體現在兩方面:軟件安裝后會不會對計算機的正常運作產生重大影響,比如說拖慢運行速度等;其次是軟件本身的安全性,一般用戶在計算機操作過程中會留下大量信息。如果軟件的安全性太差,可能會使用戶的重要信息遺漏或消失等。所以,在開發軟件的時候要利用軟件安全檢測系統找出計算機軟件中的各種漏洞,通過必要的修復降低軟件的使用風險。在對開發軟件進行檢測的時候,為了保證測試質量和測試效率,要從中選擇出有代表性的軟件故障進行全方位的測試,從中檢測出更多的問題。所以,計算機安全檢測技術雖然不能保證計算機軟件的絕對安全,卻可以通過檢查軟件中的錯誤和軟件自身反入侵能力來提高軟件的使用安全性。總之,計算機軟件安全檢測就是針對計算機軟件安全是否達到預期目標的一個測試過程。它主要包括三個方面,計算機軟件的功能測試、滲透測試和驗證測試。計算機軟件安全功能檢測與安全檢測有很大不同,無論是檢測的內容,還是檢測的效果都不一樣。安全檢測的內容是針對軟件安全漏洞和軟件安全功能,比較簡單,并沒有深入問題的優秀。軟件安全漏洞的檢測內容就是直接針對軟件可能存在的安全缺陷以及它會對計算機造成的安全風險進行檢測。計算機軟件安全功能檢測通過對計算機的機密性、授權、訪問控制和安全管理等方面來檢測計算機軟件的安全功能是否起到了作用。安全檢測主要是針對普通的計算機軟件缺陷,這種缺陷平時不會給用戶帶來困擾,就算出現了只要按照修復程序在下一個版本中就可以修復。如果存在計算機軟件安全缺陷,會給用戶帶來嚴重的問題,檢測出來后要馬上采取相應措施處理。
2 軟件安全檢測過程中的兩個重點
2.1 構建合適的安全檢測程序
通常客戶所用的軟件中,規模較大的應用軟件系統是由多個子系統拼湊起來的,同時每個子系統又是由單元模塊形成的。因此,整個應用軟件系統是由很多個很小的單元模塊集合而成的。在實施軟件安全檢測過程中,對系統中最小的單元模塊進行檢測從而找出隱藏的系統缺陷,這種方法比較快捷有效。需要檢測的單元模塊有很多,可以根據軟件系統的設計模式,將單元模塊堆積成軟件的系統結構,對系統模型進行檢測。
2.2 如何決定合適的安全檢測方法
安全檢測方法非常重要,就好像一艘船在大海上決定航行的方向一樣重要。軟件檢測方法直接決定了檢測結果的正確性和軟件檢測過程中的效率。通過對各種各樣的計算機軟件安全檢測方案和現實案例進行研究,可以得出軟件安全檢測的基本規律:首先,為了能夠便于安全檢測工作的實施,要將檢測過程具象化。就是根據大概的軟件檢測方案,開始對檢測過程進行電腦模擬,建立相應的數據模型。主要是通過語言支持來實現形式化的表現,一般形式語言有行為語言和有限狀態語言等。做好上面的工作后,直接對模擬系統進行安全檢測,在檢測的同時也相當于對軟件系統的構建和運行做了較為全面有效的安全檢測,從而加強了軟件安全檢測的準確性和可靠性。通常,我們會選擇馬爾科夫鏈和有限狀態機器測試模式。
3 計算機軟件安全檢測中要注意的問題
3.1 使用科學有效的軟件安全檢測方法
計算機軟件內部非常復雜,所以對其進行安全檢測時只是利用簡單的安全測試是不能完全解決問題的,很多潛藏在深處的安全隱患根本就沒有被發現。在檢測前,要對客戶的計算機軟件的特性以及它們對檢測方法的各種要求有全面的了解,再針對軟件的具體狀況選擇合適的檢測方法,逐漸編制出計算機軟件安全檢測方案。在細節方面,還應該整合用戶的意見,根據客戶的需求去制定更合適的檢測方案。
3.2 檢測人員的多元化
在對計算機軟件進行檢測時,總是幾個檢測人員參與檢測而且他們檢測的方法也類似的話,就不能更好地檢測出更多的漏洞,因為軟件中的安全隱患隱藏在各種地方,所以檢測方法越多樣化,將安全隱患檢測出來的幾率就越大,用戶的軟件安全就越有保障。所以,進行計算機軟件安全檢測時,除了對軟件檢測有專業知識和豐富經驗的檢測人員外,還應該加入熟悉軟件特性和使用的軟件技術人員,這種組合能夠對軟件檢測進行全方位的檢測,找出更多的安全隱患,滿足用戶的軟件使用要求。
3.3 在檢測前,要對軟件進行全面、深入的研究
計算機軟件包括系統級、代碼級和需求級三個方面,在檢測前需要對它們進行詳細分析,這對之后的檢測工作很有幫助。如果將要檢測的軟件規模很大,還要對軟件的結構進行詳細分析,選用多種方法對軟件進行層層檢測,全面排除安全障礙。有時候還可以借助仿真環境和分析工具實施軟件檢測。
4 結束語
計算機軟件在社會經濟生活中占有重要作用,不僅能夠滿足人們的生活需要,也能夠滿足行業的發展需求。計算機軟件不僅僅在種類上逐漸增多,同時能夠滿足不同使用者的需求,隨之而來的計算機軟件的安全問題,也引起了軟件開發者的逐步重視。計算機軟件安全檢測技術的逐步發展,就是為了滿足使用者的安全需要,就計算機的軟件使用特點,以及在安全檢測技術等發面展開研究,以科學的安全檢測方法作為研究的主要內容,注重計算機軟件的使用性能的同時,也要提高使用方面的優勢,這樣才能夠提高計算機軟件的安全性能。軟件安全能夠對于潛在的安全問題采取有效的應對方法,從而保障計算機軟件的使用安全性能。
