計(jì)算機(jī)軟件安全檢測(cè)技術(shù)研究
計(jì)算機(jī)軟件安全檢測(cè)通常是用來(lái)對(duì)軟件的安全漏洞和安全功能進(jìn)行檢測(cè)的一種手段,下面是小編搜集整理的一篇探究計(jì)算機(jī)軟件安全檢測(cè)的論文范文,供大家閱讀參考。摘要:隨著科學(xué)與技術(shù)的發(fā)展,計(jì)算機(jī)應(yīng)用更加普及。目前,計(jì)算機(jī)已經(jīng)成為人們生活和生產(chǎn)的必要工具。人們?cè)谑褂糜?jì)算機(jī)的同時(shí)對(duì)計(jì)算機(jī)性能和計(jì)算機(jī)的輔助功能的要求也逐漸提高。計(jì)算機(jī)和網(wǎng)絡(luò)賴(lài)以生存的基礎(chǔ)就是軟件。計(jì)算機(jī)軟件的安全性成為了計(jì)算機(jī)軟件性能的組成部分,同時(shí)計(jì)算機(jī)軟件安全檢測(cè)技術(shù)又可以實(shí)現(xiàn)有效確保計(jì)算機(jī)軟件的安全性。由此表明,計(jì)算機(jī)安全檢測(cè)技術(shù)已儼然成為保護(hù)計(jì)算機(jī)軟件的關(guān)鍵性因素,即安全檢測(cè)技術(shù)可根據(jù)不同的安全指標(biāo)對(duì)計(jì)算機(jī)軟件進(jìn)行安全測(cè)試,并有效識(shí)別出軟件中存在的安全隱患。本文就計(jì)算機(jī)軟件安全檢測(cè)技術(shù)及其應(yīng)注意的問(wèn)題進(jìn)行分析,以確保計(jì)算機(jī)軟件的安全性。
關(guān)鍵詞:計(jì)算機(jī)軟件;軟件安全;檢測(cè)方法
一、引言
計(jì)算機(jī)軟件安全檢測(cè)是以有效發(fā)現(xiàn)軟件開(kāi)發(fā)中所存在的故障及風(fēng)險(xiǎn),并對(duì)其進(jìn)行修改、更正為目的的,因此計(jì)算機(jī)軟件的安全檢測(cè)技術(shù)在軟件開(kāi)發(fā)的整個(gè)過(guò)程中發(fā)揮著不可或缺的作用。從根本上講,計(jì)算機(jī)軟件安全檢測(cè)即是花費(fèi)較少的測(cè)試時(shí)間和精力獲取最大限度的軟件檢測(cè)覆蓋面,從而確保安全檢測(cè)的有效性。
二、計(jì)算機(jī)軟件安全檢測(cè)簡(jiǎn)介
計(jì)算機(jī)軟件的安全檢測(cè)是計(jì)算機(jī)軟件開(kāi)發(fā)過(guò)程中的一個(gè)關(guān)鍵性環(huán)節(jié),是計(jì)算機(jī)軟件開(kāi)發(fā)中的一個(gè)重要組成部分。通過(guò)計(jì)算機(jī)軟件安全檢測(cè),我們可以發(fā)現(xiàn)軟件在應(yīng)用過(guò)程中的缺點(diǎn)和故障所在,可以實(shí)現(xiàn)對(duì)計(jì)算機(jī)軟件在應(yīng)用過(guò)程中產(chǎn)生風(fēng)險(xiǎn)的有效更正。然而,計(jì)算機(jī)軟件的安全檢測(cè)并不能作為避免軟件程序中產(chǎn)生錯(cuò)誤的主要手段,計(jì)算機(jī)安全軟件安全檢測(cè)只是負(fù)責(zé)找出程序在應(yīng)用過(guò)程中容易產(chǎn)生錯(cuò)誤的位置。通常情況下,計(jì)算機(jī)軟件安全檢測(cè)主要分為靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)兩種類(lèi)別。
計(jì)算機(jī)軟件安全檢測(cè)通常是用來(lái)對(duì)軟件的安全漏洞和安全功能進(jìn)行檢測(cè)的一種手段,是保證軟件開(kāi)發(fā)后功能與預(yù)期目標(biāo)設(shè)計(jì)保持一致的有力保障。就目前情況講,計(jì)算機(jī)軟件安全檢測(cè)的具體范疇主要包含三個(gè)方面,即功能測(cè)試、滲透測(cè)試和驗(yàn)證過(guò)程。計(jì)算機(jī)安全軟件檢測(cè)與其他檢測(cè)軟件不同,對(duì)于計(jì)算機(jī)軟件安全缺陷的檢測(cè),計(jì)算機(jī)軟件安全檢測(cè)更注重于有效避免軟件工作范疇以外的事物,而普通的檢測(cè)軟件則強(qiáng)調(diào)軟件該做的事物。另外計(jì)算機(jī)軟件安全功能是否能夠滿(mǎn)足用戶(hù)的需求是通過(guò)安全功能檢測(cè)來(lái)實(shí)現(xiàn)的,衡量其滿(mǎn)足用戶(hù)需求與否的主要包含授權(quán)、機(jī)密性、安全管理及訪問(wèn)控制等因素。而對(duì)于計(jì)算機(jī)安全漏洞的檢測(cè),其主要目的是發(fā)現(xiàn)軟件中可能存在的缺陷,亦或是識(shí)別出某些缺陷對(duì)計(jì)算機(jī)軟件存在的潛在風(fēng)險(xiǎn)。
三、計(jì)算機(jī)軟件安全檢測(cè)應(yīng)該注意的事項(xiàng)
從某種角度上分析,計(jì)算機(jī)軟件安全檢測(cè),其實(shí)質(zhì)即是對(duì)計(jì)算機(jī)軟件進(jìn)行安全檢測(cè)的一個(gè)動(dòng)態(tài)過(guò)程。通常在進(jìn)行計(jì)算機(jī)軟件安全檢測(cè)時(shí)應(yīng)注意以下兩點(diǎn)事項(xiàng):
第一,選擇有效且合理的軟件安全檢測(cè)方案。對(duì)于計(jì)算機(jī)軟件的安全檢測(cè)應(yīng)在充分了解、掌握該計(jì)算機(jī)軟件要求及特性的基礎(chǔ)上,根據(jù)測(cè)試的具體情況選用合理的安全檢測(cè)手段,并編制出與之相應(yīng)的.安全檢測(cè)方案,以確保安全檢測(cè)方案實(shí)施的有效性。此外,對(duì)軟件的檢測(cè)人員還應(yīng)該有一定的要求。計(jì)算機(jī)進(jìn)行軟件安全檢測(cè)時(shí),應(yīng)確保在有相關(guān)知識(shí)及經(jīng)驗(yàn)的軟件安全分析人員參與的同時(shí),還應(yīng)配備熟悉并掌握該軟件特點(diǎn)及使用的設(shè)計(jì)人員。唯有通過(guò)計(jì)算機(jī)軟件及安全檢測(cè)等多領(lǐng)域的相關(guān)技術(shù)人員的有效配合,才能達(dá)到有效確保計(jì)算機(jī)軟件性能安全性的理想效果。
第二,計(jì)算機(jī)進(jìn)行軟件安全檢測(cè)的過(guò)程中,應(yīng)做到全面分析。一般計(jì)算機(jī)軟件程序較為繁瑣、規(guī)模較大,這就需要相關(guān)人員在進(jìn)行計(jì)算機(jī)軟件安全檢測(cè)的過(guò)程中,應(yīng)做到對(duì)代碼級(jí)、系統(tǒng)級(jí)和需求級(jí)的細(xì)致分析。與上述選擇軟件檢測(cè)方案一樣,在進(jìn)行軟件中不同級(jí)別時(shí)也應(yīng)加強(qiáng)對(duì)分析技術(shù)的合理選擇,才能保證分析結(jié)果的準(zhǔn)確性。如此看來(lái),計(jì)算機(jī)軟件的安全檢測(cè)是一項(xiàng)較為復(fù)雜的系統(tǒng)型過(guò)程,因此選擇合理的檢測(cè)技術(shù)和檢測(cè)方案,是計(jì)算機(jī)軟件安全檢測(cè)過(guò)程中不可忽視的兩個(gè)注意事項(xiàng)。
四、計(jì)算機(jī)軟件的安全檢測(cè)方法
(一)計(jì)算機(jī)軟件安全檢測(cè)流程
通常情況下,對(duì)于計(jì)算機(jī)軟件的安全檢測(cè)程序而言,規(guī)模較大的計(jì)算機(jī)軟件系統(tǒng)包含了多個(gè)子系統(tǒng),而不同的子系統(tǒng)中又包含了多個(gè)不同的模塊。
一般計(jì)算機(jī)軟件安全檢測(cè)的流程為:模塊測(cè)試→組裝系統(tǒng)→系統(tǒng)結(jié)構(gòu)的安全檢測(cè)→軟件功能和性能的有效測(cè)試→系統(tǒng)測(cè)試。其中模塊測(cè)試是指子系統(tǒng)中最小單位的模塊測(cè)試,其目的是為了使測(cè)試的覆蓋范圍更加全面化、細(xì)節(jié)化,從而及時(shí)發(fā)現(xiàn)小模塊中所隱藏的潛在風(fēng)險(xiǎn);在進(jìn)行各個(gè)模塊測(cè)試完成后,應(yīng)根據(jù)軟件程序的設(shè)計(jì)要求對(duì)所有模塊進(jìn)行組裝,將其組裝成完整的系統(tǒng),同時(shí)對(duì)組裝后的系統(tǒng)結(jié)構(gòu)進(jìn)行相應(yīng)的安全檢測(cè);之后在保證前述檢驗(yàn)合格的基礎(chǔ)上對(duì)系統(tǒng)軟件進(jìn)行功能和性能的有效測(cè)試,有效測(cè)試的主要目的是為了確保系統(tǒng)軟件功能和性能與用戶(hù)需求的一致性;最后在所有相關(guān)測(cè)試完成后,實(shí)施對(duì)整個(gè)軟件的系統(tǒng)性測(cè)試。如此層層把關(guān)的軟件安全檢測(cè)流程可為用戶(hù)軟件的安全性提供有力的保障。
(二)計(jì)算機(jī)軟件安全檢測(cè)的方式、方法
1.形式化的安全檢測(cè)
此種安全檢測(cè)方法是鑒于計(jì)算機(jī)軟件數(shù)學(xué)模型的基礎(chǔ)之上的,并且要求在形式規(guī)格語(yǔ)言的支持前提下,所提供的形式化規(guī)格說(shuō)明。目前較為常用的形式規(guī)格語(yǔ)言有三種,其中包括行為語(yǔ)言、模型語(yǔ)言和有效狀態(tài)語(yǔ)言。有定理證明和基于模型檢查正式的安全檢測(cè)方法[3]。
2.基于模型的安全靜態(tài)檢測(cè)方式
模型安全檢測(cè)方式,即通過(guò)軟件行為與結(jié)構(gòu)建模的方法,形成一個(gè)測(cè)試模型,此模型同時(shí)滿(mǎn)足機(jī)器對(duì)其的可讀性。模型安全檢測(cè)方式與上述形式化安全檢測(cè)相比而言,基于模型的測(cè)試并不致力于讓待測(cè)軟件系統(tǒng)與規(guī)格說(shuō)明在所有情況下都保持一致,而是系統(tǒng)化的從模型生成一組測(cè)試用例,使用這組測(cè)試用例測(cè)試待測(cè)軟件系統(tǒng),得到充分的證據(jù)說(shuō)明待測(cè)系統(tǒng)的行為與模型期望的是一致的。常用的安全功能檢測(cè)方法是有限狀態(tài)機(jī)和馬爾可夫鏈的方法的。
3.語(yǔ)法檢測(cè)
這種檢測(cè)方法是基于語(yǔ)法對(duì)生成功能接口軟件進(jìn)行檢測(cè)。語(yǔ)法檢測(cè),通常情況下以研究反映為目的,即計(jì)算機(jī)軟件在不同的輸入條件下而產(chǎn)生的不同類(lèi)型的反映。采用語(yǔ)法檢測(cè)的方法,一般即指對(duì)計(jì)算機(jī)軟件接口處語(yǔ)言的識(shí)別、語(yǔ)言語(yǔ)法的定義等,并在以語(yǔ)法為基礎(chǔ)生產(chǎn)檢測(cè)用例同時(shí)執(zhí)行安全檢測(cè)。
4.基于故障注入的安全檢測(cè)。
此種方法經(jīng)實(shí)踐證實(shí),具有明顯提高安全檢測(cè)自動(dòng)化程度的獨(dú)特優(yōu)勢(shì),是計(jì)算機(jī)軟件安全檢測(cè)技術(shù)中的重要組成部分。這里講的故障注入式安全檢測(cè),即指在選定故障模型的基礎(chǔ)上,構(gòu)建故障樹(shù),并通過(guò)人為的反復(fù)測(cè)試及對(duì)軟件所反饋的故障信息,來(lái)實(shí)現(xiàn)檢測(cè)故障容錯(cuò)性和安全性等有用信息.
5.模糊式檢測(cè)方法
模糊式的檢測(cè)方法有效的融合了傳統(tǒng)檢測(cè)技術(shù)與動(dòng)態(tài)檢測(cè)的具體應(yīng)用,即是建立于白盒模糊檢測(cè)的基礎(chǔ)之上的,是傳統(tǒng)檢測(cè)方法的升華。模糊檢測(cè)法雖然是一項(xiàng)簡(jiǎn)單的技術(shù),單他卻揭示出程序中重要的bug。它能夠驗(yàn)證出現(xiàn)實(shí)世界中的錯(cuò)誤模式并在軟件發(fā)貨前對(duì)潛在的應(yīng)該被阻塞的攻擊渠道進(jìn)行提示[3]。
6.安全屬性式的檢測(cè)方法
安全屬性式的檢測(cè)方法相比于其他軟件安全檢測(cè)方法來(lái)說(shuō),能夠?qū)崿F(xiàn)有效確保安全漏洞擴(kuò)展性和交互性的全面分析。實(shí)現(xiàn)采用安全屬性式的檢測(cè)方法進(jìn)行測(cè)試的途徑,首先應(yīng)有效確定計(jì)算機(jī)軟件的安全編程規(guī)則,并將其作為軟件安全檢測(cè)的安全屬性;其次利用得到的安全屬性對(duì)系統(tǒng)程序的相關(guān)代碼進(jìn)行檢測(cè),以驗(yàn)證系統(tǒng)代碼與相應(yīng)規(guī)則的符合性。
除上述所講,隨著社會(huì)各領(lǐng)域的快速發(fā)展,基于Web服務(wù)的分布式軟件得到廣泛應(yīng)用,因此與之相應(yīng)的軟件安全檢測(cè)技術(shù)也應(yīng)不斷分析總結(jié),并實(shí)現(xiàn)安全檢測(cè)的技術(shù)創(chuàng)新。
總而言之,計(jì)算機(jī)軟件的安全檢測(cè)儼然已經(jīng)成為有效確保計(jì)算機(jī)信息安全性的關(guān)鍵性因素。鑒于軟件安全對(duì)計(jì)算機(jī)軟件開(kāi)發(fā)及使用的重要作用,我們應(yīng)在實(shí)踐中不斷學(xué)習(xí)并積累經(jīng)驗(yàn),以實(shí)現(xiàn)計(jì)算機(jī)軟件安全檢測(cè)技術(shù)的不斷創(chuàng)新。
參考文獻(xiàn):
[1]王清.軟件漏洞分析技術(shù).北京:電子工業(yè)出版社,2011,6
[2]艾倫.軟件安全工程.北京:機(jī)械工業(yè)出版社,2009.4
[3]李龍.軟件測(cè)試實(shí)用技術(shù)與常用模板.北京:機(jī)械工業(yè)出版社,2010,10
【計(jì)算機(jī)軟件安全檢測(cè)技術(shù)研究】相關(guān)文章:
1.淺論計(jì)算機(jī)軟件安全檢測(cè)技術(shù)
2.淺談?dòng)?jì)算機(jī)軟件安全檢測(cè)方法
3.計(jì)算機(jī)軟件安全檢測(cè)技術(shù)探析
4.論計(jì)算機(jī)軟件安全檢測(cè)技術(shù)
6.淺談?dòng)?jì)算機(jī)軟件安全檢測(cè)技術(shù)