- 相關(guān)推薦
計(jì)算機(jī)軟件安全檢測技術(shù)研究
計(jì)算機(jī)軟件安全檢測通常是用來對軟件的安全漏洞和安全功能進(jìn)行檢測的一種手段,下面是小編搜集整理的一篇探究計(jì)算機(jī)軟件安全檢測的論文范文,供大家閱讀參考。摘要:隨著科學(xué)與技術(shù)的發(fā)展,計(jì)算機(jī)應(yīng)用更加普及。目前,計(jì)算機(jī)已經(jīng)成為人們生活和生產(chǎn)的必要工具。人們在使用計(jì)算機(jī)的同時對計(jì)算機(jī)性能和計(jì)算機(jī)的輔助功能的要求也逐漸提高。計(jì)算機(jī)和網(wǎng)絡(luò)賴以生存的基礎(chǔ)就是軟件。計(jì)算機(jī)軟件的安全性成為了計(jì)算機(jī)軟件性能的組成部分,同時計(jì)算機(jī)軟件安全檢測技術(shù)又可以實(shí)現(xiàn)有效確保計(jì)算機(jī)軟件的安全性。由此表明,計(jì)算機(jī)安全檢測技術(shù)已儼然成為保護(hù)計(jì)算機(jī)軟件的關(guān)鍵性因素,即安全檢測技術(shù)可根據(jù)不同的安全指標(biāo)對計(jì)算機(jī)軟件進(jìn)行安全測試,并有效識別出軟件中存在的安全隱患。本文就計(jì)算機(jī)軟件安全檢測技術(shù)及其應(yīng)注意的問題進(jìn)行分析,以確保計(jì)算機(jī)軟件的安全性。
關(guān)鍵詞:計(jì)算機(jī)軟件;軟件安全;檢測方法
一、引言
計(jì)算機(jī)軟件安全檢測是以有效發(fā)現(xiàn)軟件開發(fā)中所存在的故障及風(fēng)險,并對其進(jìn)行修改、更正為目的的,因此計(jì)算機(jī)軟件的安全檢測技術(shù)在軟件開發(fā)的整個過程中發(fā)揮著不可或缺的作用。從根本上講,計(jì)算機(jī)軟件安全檢測即是花費(fèi)較少的測試時間和精力獲取最大限度的軟件檢測覆蓋面,從而確保安全檢測的有效性。
二、計(jì)算機(jī)軟件安全檢測簡介
計(jì)算機(jī)軟件的安全檢測是計(jì)算機(jī)軟件開發(fā)過程中的一個關(guān)鍵性環(huán)節(jié),是計(jì)算機(jī)軟件開發(fā)中的一個重要組成部分。通過計(jì)算機(jī)軟件安全檢測,我們可以發(fā)現(xiàn)軟件在應(yīng)用過程中的缺點(diǎn)和故障所在,可以實(shí)現(xiàn)對計(jì)算機(jī)軟件在應(yīng)用過程中產(chǎn)生風(fēng)險的有效更正。然而,計(jì)算機(jī)軟件的安全檢測并不能作為避免軟件程序中產(chǎn)生錯誤的主要手段,計(jì)算機(jī)安全軟件安全檢測只是負(fù)責(zé)找出程序在應(yīng)用過程中容易產(chǎn)生錯誤的位置。通常情況下,計(jì)算機(jī)軟件安全檢測主要分為靜態(tài)檢測和動態(tài)檢測兩種類別。
計(jì)算機(jī)軟件安全檢測通常是用來對軟件的安全漏洞和安全功能進(jìn)行檢測的一種手段,是保證軟件開發(fā)后功能與預(yù)期目標(biāo)設(shè)計(jì)保持一致的有力保障。就目前情況講,計(jì)算機(jī)軟件安全檢測的具體范疇主要包含三個方面,即功能測試、滲透測試和驗(yàn)證過程。計(jì)算機(jī)安全軟件檢測與其他檢測軟件不同,對于計(jì)算機(jī)軟件安全缺陷的檢測,計(jì)算機(jī)軟件安全檢測更注重于有效避免軟件工作范疇以外的事物,而普通的檢測軟件則強(qiáng)調(diào)軟件該做的事物。另外計(jì)算機(jī)軟件安全功能是否能夠滿足用戶的需求是通過安全功能檢測來實(shí)現(xiàn)的,衡量其滿足用戶需求與否的主要包含授權(quán)、機(jī)密性、安全管理及訪問控制等因素。而對于計(jì)算機(jī)安全漏洞的檢測,其主要目的是發(fā)現(xiàn)軟件中可能存在的缺陷,亦或是識別出某些缺陷對計(jì)算機(jī)軟件存在的潛在風(fēng)險。
三、計(jì)算機(jī)軟件安全檢測應(yīng)該注意的事項(xiàng)
從某種角度上分析,計(jì)算機(jī)軟件安全檢測,其實(shí)質(zhì)即是對計(jì)算機(jī)軟件進(jìn)行安全檢測的一個動態(tài)過程。通常在進(jìn)行計(jì)算機(jī)軟件安全檢測時應(yīng)注意以下兩點(diǎn)事項(xiàng):
第一,選擇有效且合理的軟件安全檢測方案。對于計(jì)算機(jī)軟件的安全檢測應(yīng)在充分了解、掌握該計(jì)算機(jī)軟件要求及特性的基礎(chǔ)上,根據(jù)測試的具體情況選用合理的安全檢測手段,并編制出與之相應(yīng)的安全檢測方案,以確保安全檢測方案實(shí)施的有效性。此外,對軟件的檢測人員還應(yīng)該有一定的要求。計(jì)算機(jī)進(jìn)行軟件安全檢測時,應(yīng)確保在有相關(guān)知識及經(jīng)驗(yàn)的軟件安全分析人員參與的同時,還應(yīng)配備熟悉并掌握該軟件特點(diǎn)及使用的設(shè)計(jì)人員。唯有通過計(jì)算機(jī)軟件及安全檢測等多領(lǐng)域的相關(guān)技術(shù)人員的有效配合,才能達(dá)到有效確保計(jì)算機(jī)軟件性能安全性的理想效果。
第二,計(jì)算機(jī)進(jìn)行軟件安全檢測的過程中,應(yīng)做到全面分析。一般計(jì)算機(jī)軟件程序較為繁瑣、規(guī)模較大,這就需要相關(guān)人員在進(jìn)行計(jì)算機(jī)軟件安全檢測的過程中,應(yīng)做到對代碼級、系統(tǒng)級和需求級的細(xì)致分析。與上述選擇軟件檢測方案一樣,在進(jìn)行軟件中不同級別時也應(yīng)加強(qiáng)對分析技術(shù)的合理選擇,才能保證分析結(jié)果的準(zhǔn)確性。如此看來,計(jì)算機(jī)軟件的安全檢測是一項(xiàng)較為復(fù)雜的系統(tǒng)型過程,因此選擇合理的檢測技術(shù)和檢測方案,是計(jì)算機(jī)軟件安全檢測過程中不可忽視的兩個注意事項(xiàng)。
四、計(jì)算機(jī)軟件的安全檢測方法
(一)計(jì)算機(jī)軟件安全檢測流程
通常情況下,對于計(jì)算機(jī)軟件的安全檢測程序而言,規(guī)模較大的計(jì)算機(jī)軟件系統(tǒng)包含了多個子系統(tǒng),而不同的子系統(tǒng)中又包含了多個不同的模塊。
一般計(jì)算機(jī)軟件安全檢測的流程為:模塊測試→組裝系統(tǒng)→系統(tǒng)結(jié)構(gòu)的安全檢測→軟件功能和性能的有效測試→系統(tǒng)測試。其中模塊測試是指子系統(tǒng)中最小單位的模塊測試,其目的是為了使測試的覆蓋范圍更加全面化、細(xì)節(jié)化,從而及時發(fā)現(xiàn)小模塊中所隱藏的潛在風(fēng)險;在進(jìn)行各個模塊測試完成后,應(yīng)根據(jù)軟件程序的設(shè)計(jì)要求對所有模塊進(jìn)行組裝,將其組裝成完整的系統(tǒng),同時對組裝后的系統(tǒng)結(jié)構(gòu)進(jìn)行相應(yīng)的安全檢測;之后在保證前述檢驗(yàn)合格的基礎(chǔ)上對系統(tǒng)軟件進(jìn)行功能和性能的有效測試,有效測試的主要目的是為了確保系統(tǒng)軟件功能和性能與用戶需求的一致性;最后在所有相關(guān)測試完成后,實(shí)施對整個軟件的系統(tǒng)性測試。如此層層把關(guān)的軟件安全檢測流程可為用戶軟件的安全性提供有力的保障。
(二)計(jì)算機(jī)軟件安全檢測的方式、方法
1.形式化的安全檢測
此種安全檢測方法是鑒于計(jì)算機(jī)軟件數(shù)學(xué)模型的基礎(chǔ)之上的,并且要求在形式規(guī)格語言的支持前提下,所提供的形式化規(guī)格說明。目前較為常用的形式規(guī)格語言有三種,其中包括行為語言、模型語言和有效狀態(tài)語言。有定理證明和基于模型檢查正式的安全檢測方法[3]。
2.基于模型的安全靜態(tài)檢測方式
模型安全檢測方式,即通過軟件行為與結(jié)構(gòu)建模的方法,形成一個測試模型,此模型同時滿足機(jī)器對其的可讀性。模型安全檢測方式與上述形式化安全檢測相比而言,基于模型的測試并不致力于讓待測軟件系統(tǒng)與規(guī)格說明在所有情況下都保持一致,而是系統(tǒng)化的從模型生成一組測試用例,使用這組測試用例測試待測軟件系統(tǒng),得到充分的證據(jù)說明待測系統(tǒng)的行為與模型期望的是一致的。常用的安全功能檢測方法是有限狀態(tài)機(jī)和馬爾可夫鏈的方法的。
3.語法檢測
這種檢測方法是基于語法對生成功能接口軟件進(jìn)行檢測。語法檢測,通常情況下以研究反映為目的,即計(jì)算機(jī)軟件在不同的輸入條件下而產(chǎn)生的不同類型的反映。采用語法檢測的方法,一般即指對計(jì)算機(jī)軟件接口處語言的識別、語言語法的定義等,并在以語法為基礎(chǔ)生產(chǎn)檢測用例同時執(zhí)行安全檢測。
4.基于故障注入的安全檢測。
此種方法經(jīng)實(shí)踐證實(shí),具有明顯提高安全檢測自動化程度的獨(dú)特優(yōu)勢,是計(jì)算機(jī)軟件安全檢測技術(shù)中的重要組成部分。這里講的故障注入式安全檢測,即指在選定故障模型的基礎(chǔ)上,構(gòu)建故障樹,并通過人為的反復(fù)測試及對軟件所反饋的故障信息,來實(shí)現(xiàn)檢測故障容錯性和安全性等有用信息.
5.模糊式檢測方法
模糊式的檢測方法有效的融合了傳統(tǒng)檢測技術(shù)與動態(tài)檢測的具體應(yīng)用,即是建立于白盒模糊檢測的基礎(chǔ)之上的,是傳統(tǒng)檢測方法的升華。模糊檢測法雖然是一項(xiàng)簡單的技術(shù),單他卻揭示出程序中重要的bug。它能夠驗(yàn)證出現(xiàn)實(shí)世界中的錯誤模式并在軟件發(fā)貨前對潛在的應(yīng)該被阻塞的攻擊渠道進(jìn)行提示[3]。
6.安全屬性式的檢測方法
安全屬性式的檢測方法相比于其他軟件安全檢測方法來說,能夠?qū)崿F(xiàn)有效確保安全漏洞擴(kuò)展性和交互性的全面分析。實(shí)現(xiàn)采用安全屬性式的檢測方法進(jìn)行測試的途徑,首先應(yīng)有效確定計(jì)算機(jī)軟件的安全編程規(guī)則,并將其作為軟件安全檢測的安全屬性;其次利用得到的安全屬性對系統(tǒng)程序的相關(guān)代碼進(jìn)行檢測,以驗(yàn)證系統(tǒng)代碼與相應(yīng)規(guī)則的符合性。
除上述所講,隨著社會各領(lǐng)域的快速發(fā)展,基于Web服務(wù)的分布式軟件得到廣泛應(yīng)用,因此與之相應(yīng)的軟件安全檢測技術(shù)也應(yīng)不斷分析總結(jié),并實(shí)現(xiàn)安全檢測的技術(shù)創(chuàng)新。
總而言之,計(jì)算機(jī)軟件的安全檢測儼然已經(jīng)成為有效確保計(jì)算機(jī)信息安全性的關(guān)鍵性因素。鑒于軟件安全對計(jì)算機(jī)軟件開發(fā)及使用的重要作用,我們應(yīng)在實(shí)踐中不斷學(xué)習(xí)并積累經(jīng)驗(yàn),以實(shí)現(xiàn)計(jì)算機(jī)軟件安全檢測技術(shù)的不斷創(chuàng)新。
參考文獻(xiàn):
[1]王清.軟件漏洞分析技術(shù).北京:電子工業(yè)出版社,2011,6
[2]艾倫.軟件安全工程.北京:機(jī)械工業(yè)出版社,2009.4
[3]李龍.軟件測試實(shí)用技術(shù)與常用模板.北京:機(jī)械工業(yè)出版社,2010,10
【計(jì)算機(jī)軟件安全檢測技術(shù)研究】相關(guān)文章:
淺論計(jì)算機(jī)軟件安全檢測技術(shù)08-24
計(jì)算機(jī)軟件技術(shù)中插件技術(shù)研究09-19
簡論軌道交通地下工程建筑安全檢測系統(tǒng)技術(shù)研究論文06-02
鋼筋混凝土橋梁結(jié)構(gòu)振動機(jī)理及檢測技術(shù)研究07-31
網(wǎng)絡(luò)安全與通信技術(shù)研究論文07-23
變壓器的安全運(yùn)行及安裝技術(shù)研究06-19
企業(yè)信息化安全技術(shù)研究10-05