- 相關推薦
計算機軟件安全檢測技術研究
計算機軟件安全檢測通常是用來對軟件的安全漏洞和安全功能進行檢測的一種手段,下面是小編搜集整理的一篇探究計算機軟件安全檢測的論文范文,供大家閱讀參考。摘要:隨著科學與技術的發(fā)展,計算機應用更加普及。目前,計算機已經(jīng)成為人們生活和生產(chǎn)的必要工具。人們在使用計算機的同時對計算機性能和計算機的輔助功能的要求也逐漸提高。計算機和網(wǎng)絡賴以生存的基礎就是軟件。計算機軟件的安全性成為了計算機軟件性能的組成部分,同時計算機軟件安全檢測技術又可以實現(xiàn)有效確保計算機軟件的安全性。由此表明,計算機安全檢測技術已儼然成為保護計算機軟件的關鍵性因素,即安全檢測技術可根據(jù)不同的安全指標對計算機軟件進行安全測試,并有效識別出軟件中存在的安全隱患。本文就計算機軟件安全檢測技術及其應注意的問題進行分析,以確保計算機軟件的安全性。
關鍵詞:計算機軟件;軟件安全;檢測方法
一、引言
計算機軟件安全檢測是以有效發(fā)現(xiàn)軟件開發(fā)中所存在的故障及風險,并對其進行修改、更正為目的的,因此計算機軟件的安全檢測技術在軟件開發(fā)的整個過程中發(fā)揮著不可或缺的作用。從根本上講,計算機軟件安全檢測即是花費較少的測試時間和精力獲取最大限度的軟件檢測覆蓋面,從而確保安全檢測的有效性。
二、計算機軟件安全檢測簡介
計算機軟件的安全檢測是計算機軟件開發(fā)過程中的一個關鍵性環(huán)節(jié),是計算機軟件開發(fā)中的一個重要組成部分。通過計算機軟件安全檢測,我們可以發(fā)現(xiàn)軟件在應用過程中的缺點和故障所在,可以實現(xiàn)對計算機軟件在應用過程中產(chǎn)生風險的有效更正。然而,計算機軟件的安全檢測并不能作為避免軟件程序中產(chǎn)生錯誤的主要手段,計算機安全軟件安全檢測只是負責找出程序在應用過程中容易產(chǎn)生錯誤的位置。通常情況下,計算機軟件安全檢測主要分為靜態(tài)檢測和動態(tài)檢測兩種類別。
計算機軟件安全檢測通常是用來對軟件的安全漏洞和安全功能進行檢測的一種手段,是保證軟件開發(fā)后功能與預期目標設計保持一致的有力保障。就目前情況講,計算機軟件安全檢測的具體范疇主要包含三個方面,即功能測試、滲透測試和驗證過程。計算機安全軟件檢測與其他檢測軟件不同,對于計算機軟件安全缺陷的檢測,計算機軟件安全檢測更注重于有效避免軟件工作范疇以外的事物,而普通的檢測軟件則強調軟件該做的事物。另外計算機軟件安全功能是否能夠滿足用戶的需求是通過安全功能檢測來實現(xiàn)的,衡量其滿足用戶需求與否的主要包含授權、機密性、安全管理及訪問控制等因素。而對于計算機安全漏洞的檢測,其主要目的是發(fā)現(xiàn)軟件中可能存在的缺陷,亦或是識別出某些缺陷對計算機軟件存在的潛在風險。
三、計算機軟件安全檢測應該注意的事項
從某種角度上分析,計算機軟件安全檢測,其實質即是對計算機軟件進行安全檢測的一個動態(tài)過程。通常在進行計算機軟件安全檢測時應注意以下兩點事項:
第一,選擇有效且合理的軟件安全檢測方案。對于計算機軟件的安全檢測應在充分了解、掌握該計算機軟件要求及特性的基礎上,根據(jù)測試的具體情況選用合理的安全檢測手段,并編制出與之相應的安全檢測方案,以確保安全檢測方案實施的有效性。此外,對軟件的檢測人員還應該有一定的要求。計算機進行軟件安全檢測時,應確保在有相關知識及經(jīng)驗的軟件安全分析人員參與的同時,還應配備熟悉并掌握該軟件特點及使用的設計人員。唯有通過計算機軟件及安全檢測等多領域的相關技術人員的有效配合,才能達到有效確保計算機軟件性能安全性的理想效果。
第二,計算機進行軟件安全檢測的過程中,應做到全面分析。一般計算機軟件程序較為繁瑣、規(guī)模較大,這就需要相關人員在進行計算機軟件安全檢測的過程中,應做到對代碼級、系統(tǒng)級和需求級的細致分析。與上述選擇軟件檢測方案一樣,在進行軟件中不同級別時也應加強對分析技術的合理選擇,才能保證分析結果的準確性。如此看來,計算機軟件的安全檢測是一項較為復雜的系統(tǒng)型過程,因此選擇合理的檢測技術和檢測方案,是計算機軟件安全檢測過程中不可忽視的兩個注意事項。
四、計算機軟件的安全檢測方法
(一)計算機軟件安全檢測流程
通常情況下,對于計算機軟件的安全檢測程序而言,規(guī)模較大的計算機軟件系統(tǒng)包含了多個子系統(tǒng),而不同的子系統(tǒng)中又包含了多個不同的模塊。
一般計算機軟件安全檢測的流程為:模塊測試→組裝系統(tǒng)→系統(tǒng)結構的安全檢測→軟件功能和性能的有效測試→系統(tǒng)測試。其中模塊測試是指子系統(tǒng)中最小單位的模塊測試,其目的是為了使測試的覆蓋范圍更加全面化、細節(jié)化,從而及時發(fā)現(xiàn)小模塊中所隱藏的潛在風險;在進行各個模塊測試完成后,應根據(jù)軟件程序的設計要求對所有模塊進行組裝,將其組裝成完整的系統(tǒng),同時對組裝后的系統(tǒng)結構進行相應的安全檢測;之后在保證前述檢驗合格的基礎上對系統(tǒng)軟件進行功能和性能的有效測試,有效測試的主要目的是為了確保系統(tǒng)軟件功能和性能與用戶需求的一致性;最后在所有相關測試完成后,實施對整個軟件的系統(tǒng)性測試。如此層層把關的軟件安全檢測流程可為用戶軟件的安全性提供有力的保障。
(二)計算機軟件安全檢測的方式、方法
1.形式化的安全檢測
此種安全檢測方法是鑒于計算機軟件數(shù)學模型的基礎之上的,并且要求在形式規(guī)格語言的支持前提下,所提供的形式化規(guī)格說明。目前較為常用的形式規(guī)格語言有三種,其中包括行為語言、模型語言和有效狀態(tài)語言。有定理證明和基于模型檢查正式的安全檢測方法[3]。
2.基于模型的安全靜態(tài)檢測方式
模型安全檢測方式,即通過軟件行為與結構建模的方法,形成一個測試模型,此模型同時滿足機器對其的可讀性。模型安全檢測方式與上述形式化安全檢測相比而言,基于模型的測試并不致力于讓待測軟件系統(tǒng)與規(guī)格說明在所有情況下都保持一致,而是系統(tǒng)化的從模型生成一組測試用例,使用這組測試用例測試待測軟件系統(tǒng),得到充分的證據(jù)說明待測系統(tǒng)的行為與模型期望的是一致的。常用的安全功能檢測方法是有限狀態(tài)機和馬爾可夫鏈的方法的。
3.語法檢測
這種檢測方法是基于語法對生成功能接口軟件進行檢測。語法檢測,通常情況下以研究反映為目的,即計算機軟件在不同的輸入條件下而產(chǎn)生的不同類型的反映。采用語法檢測的方法,一般即指對計算機軟件接口處語言的識別、語言語法的定義等,并在以語法為基礎生產(chǎn)檢測用例同時執(zhí)行安全檢測。
4.基于故障注入的安全檢測。
此種方法經(jīng)實踐證實,具有明顯提高安全檢測自動化程度的獨特優(yōu)勢,是計算機軟件安全檢測技術中的重要組成部分。這里講的故障注入式安全檢測,即指在選定故障模型的基礎上,構建故障樹,并通過人為的反復測試及對軟件所反饋的故障信息,來實現(xiàn)檢測故障容錯性和安全性等有用信息.
5.模糊式檢測方法
模糊式的檢測方法有效的融合了傳統(tǒng)檢測技術與動態(tài)檢測的具體應用,即是建立于白盒模糊檢測的基礎之上的,是傳統(tǒng)檢測方法的升華。模糊檢測法雖然是一項簡單的技術,單他卻揭示出程序中重要的bug。它能夠驗證出現(xiàn)實世界中的錯誤模式并在軟件發(fā)貨前對潛在的應該被阻塞的攻擊渠道進行提示[3]。
6.安全屬性式的檢測方法
安全屬性式的檢測方法相比于其他軟件安全檢測方法來說,能夠實現(xiàn)有效確保安全漏洞擴展性和交互性的全面分析。實現(xiàn)采用安全屬性式的檢測方法進行測試的途徑,首先應有效確定計算機軟件的安全編程規(guī)則,并將其作為軟件安全檢測的安全屬性;其次利用得到的安全屬性對系統(tǒng)程序的相關代碼進行檢測,以驗證系統(tǒng)代碼與相應規(guī)則的符合性。
除上述所講,隨著社會各領域的快速發(fā)展,基于Web服務的分布式軟件得到廣泛應用,因此與之相應的軟件安全檢測技術也應不斷分析總結,并實現(xiàn)安全檢測的技術創(chuàng)新。
總而言之,計算機軟件的安全檢測儼然已經(jīng)成為有效確保計算機信息安全性的關鍵性因素。鑒于軟件安全對計算機軟件開發(fā)及使用的重要作用,我們應在實踐中不斷學習并積累經(jīng)驗,以實現(xiàn)計算機軟件安全檢測技術的不斷創(chuàng)新。
參考文獻:
[1]王清.軟件漏洞分析技術.北京:電子工業(yè)出版社,2011,6
[2]艾倫.軟件安全工程.北京:機械工業(yè)出版社,2009.4
[3]李龍.軟件測試實用技術與常用模板.北京:機械工業(yè)出版社,2010,10
【計算機軟件安全檢測技術研究】相關文章:
芻議計算機軟件安全檢測方法06-30
淺論計算機軟件安全檢測技術08-24
食品包裝材料安全性及檢測技術研究論文07-22
計算機軟件技術中插件技術研究09-19
3G系統(tǒng)多用戶檢測技術研究08-16
簡論軌道交通地下工程建筑安全檢測系統(tǒng)技術研究論文06-02
鋼筋混凝土橋梁結構振動機理及檢測技術研究07-31
網(wǎng)絡安全與通信技術研究論文07-23
變壓器的安全運行及安裝技術研究06-19
企業(yè)信息化安全技術研究10-05