計算機軟件安全檢測技術(shù)微探

1、 計算機軟件安全檢測技術(shù)微探 曹瑋麟Summary 科學(xué)技術(shù)的發(fā)展讓計算機逐漸走進(jìn)了人們的生活中，給我們的生活、學(xué)習(xí)、辦公的帶來了極大的便利。各種各樣的計算機軟件正以其強大的功能滿足著人們的多樣化需要，也正是這些功能多樣的軟件使計算機更加完美。但計算機技術(shù)自身也存在著安全隱患，尤其是軟件安全問題使我們頭疼不已，我們明白只有在計算機軟件能夠安全使用的基礎(chǔ)上才能真正方便我們的生活。筆者便是基于此，從計算機軟件安全檢測的概念和意義出發(fā)，通過分析技術(shù)軟件安全檢測存在的問題及漏洞，并結(jié)合實際提出計算機安全檢測的措施，以期對計算機軟件安全檢測研究者提供些許參考。Keys 計算機；安全檢測；技術(shù)中圖分類號

2、TP3 A 1674-6708（2018）210-0127-02隨著我國進(jìn)入信息化時代，網(wǎng)絡(luò)信息技術(shù)得到了長足發(fā)展，計算機產(chǎn)業(yè)的普及給人們的生活帶來了便利。但人們在享受便利的同時也逐漸意識到計算機技術(shù)自身的安全隱患，尤其是計算機軟件所攜帶的病毒會直接導(dǎo)致計算機數(shù)據(jù)丟失或泄露，甚至造成計算機癱瘓，因此如何對計算機軟件進(jìn)行安全可靠的檢測，避免造成損失是我們所必須面對的問題。1 計算機軟件安全檢測的概念計算機軟件的安全檢測主要指在計算軟件開發(fā)過程中，由專業(yè)技術(shù)人員通過對編程軟件的理解和把握能夠及時發(fā)現(xiàn)軟件自身存在的漏洞或安全隱患，從而采用行之有效的舉措進(jìn)行糾正，以達(dá)到提高軟件安全的目的。計算機軟件安

3、全性檢測是軟件開發(fā)項目質(zhì)量管理體系中關(guān)鍵環(huán)節(jié)，是保證軟件開發(fā)完成后的功能與設(shè)計初衷相一致的根本。這種預(yù)先檢測的方法可以有效的規(guī)避軟件開發(fā)項目的風(fēng)險，真正提高操作者的工作效率，最大程度上保證經(jīng)濟效益，把損失降到最低。但是很多情況下，軟件安全檢測只是發(fā)現(xiàn)錯誤，并不能確定消除錯誤。計算機軟件安全檢測依據(jù)使用的原理分為動態(tài)檢測與靜態(tài)檢測，但從實際工作來看，計算機軟件安全檢測主要包括驗證過程、滲透測試、功能測試3個部分。與其他檢測軟件注重軟件的設(shè)計任務(wù)相比，計算機軟件安全檢測的目的就是防止軟件超出設(shè)定的范圍。另外，計算機軟件安全檢測還可以用來評價軟件的安全性能夠滿足用戶的需要，具體涵蓋軟件的機密性、安全

4、管理、控制訪問等內(nèi)容。2 計算機軟件安全檢測的意義毫不夸張的說計算機軟件安全是保證計算機正常運行的必要條件，要確保計算機發(fā)揮其自身功能就必須對計算機軟件進(jìn)行安全檢測，并通過制定一定的標(biāo)準(zhǔn)對計算機軟件進(jìn)行安全評估，只有達(dá)到安全評估的標(biāo)準(zhǔn)才能安裝使用，確保計算機的安全性。在日常的使用中，只要計算機軟件的安全檢測工作正常運行，就可以對各類軟件應(yīng)用進(jìn)行風(fēng)險、漏洞或隱患排除。計算機軟件安全與其他普通軟件安全有著明顯的區(qū)別，因為普通的軟件存在安全問題僅僅影響到用戶的體驗，而計算機的使用則會帶來巨大傷害，造成計算機運行困難，甚至造成系統(tǒng)崩潰，影響操作者使用。只有對計算機軟件安全進(jìn)行有效的檢測才能給用戶提供一

5、個相對安全的環(huán)境，特別是當(dāng)前木馬程序繁多、黑客病毒泛濫的情況，做好計算機軟件安全檢測既關(guān)系到個人用戶的安全，更關(guān)系社會、國家的穩(wěn)定。3 計算機軟件安全檢測存在的問題在實際工作中，許多安全檢測人員為了節(jié)約時間并不會依照計算機的實際應(yīng)用環(huán)境檢測，多采用模式化的檢測手段對各種計算機軟件進(jìn)行檢測，這就在一定客觀上造成了檢測的偏差，這種沒有針對性的檢測必然也會加大后期出現(xiàn)的風(fēng)險，這也有可能造成軟件內(nèi)部的風(fēng)險沒有得到有效解決，在后期的運行中給人們的使用帶來不便。這就要求檢測者應(yīng)該依據(jù)用戶的需要、計算機系統(tǒng)類型及代碼的特點進(jìn)行專項檢測，從中選擇最為適合的檢測辦法提高軟件安全等級，為用戶提供優(yōu)質(zhì)服務(wù)。為了保證

6、檢測的完整性，計算機軟件安全檢測過程必須對軟件的內(nèi)部結(jié)構(gòu)實施系統(tǒng)分析，但是一線的檢測者對計算機軟件的內(nèi)部結(jié)構(gòu)了解不足，缺乏責(zé)任意識、檢測意識，很容易造成危險漏洞，長期存在有可能造成計算機軟件出現(xiàn)未知錯誤。由于軟件的研發(fā)是一個動態(tài)的過程，計算機軟件從一開就會受到各種各樣的潛在威脅，尤其以軟件質(zhì)量威脅最為嚴(yán)重，這是無法避免的。應(yīng)用計算機軟件的過程也會給計算機自身帶來一些隱患，甚至?xí)斐晌ｋU，給用戶帶來一定的損失，一些黑客或不法分子更是會利用軟件自身的漏洞肆意攻擊用戶的計算機，以達(dá)到獲取信息取得利益的目的。在計算機操作系統(tǒng)中，大多采用C、C+來開發(fā)，盡管這種語言方便靈活，但是隨著計算機軟件的發(fā)展也逐

7、漸暴露出了一些安全漏洞，這在一定程度上威脅著計算機用戶的軟件安全。類似于緩沖區(qū)溢出漏洞就是因為程序的緩沖區(qū)超過了長度的內(nèi)容造成緩沖區(qū)溢出，造成堆棧被破壞，致使任意數(shù)據(jù)出現(xiàn)錯誤就有可能造成程序崩潰，這也是現(xiàn)在比較常見的危險漏洞，最常見的表現(xiàn)就是程序運行失敗、重新啟動及系統(tǒng)宕機。競爭條件也是經(jīng)常出現(xiàn)的軟件BUG，比緩沖區(qū)溢出漏洞更難以解決，出現(xiàn)的原因在于用戶登錄網(wǎng)站造成函數(shù)被調(diào)用，進(jìn)而出現(xiàn)競爭條件增加，在多任務(wù)多程序的操作下有可能造成死鎖等后果。同時，格式化字符串也是比較常見得的計算機軟件漏洞類型，這種程序代碼極難察覺，會造成內(nèi)存空間隨意讀寫，破壞計算機的正常運行。在Netscape中會存在隨機數(shù)

8、的現(xiàn)象，通過給隨機數(shù)進(jìn)行播種，造成攻擊者與被攻擊中使用同一臺機器，導(dǎo)致系統(tǒng)密碼被破解，最終造成系統(tǒng)安全問題，而隨機數(shù)產(chǎn)生的序列號和密鑰又暴露了用戶的信息，威脅用戶的信息安全。4 計算機安全檢測的解決途徑4.1 選擇科學(xué)的檢測方法依據(jù)計算機軟件的不同，其用途架構(gòu)也不相同，這就要求檢測人員擁有較高的專業(yè)標(biāo)準(zhǔn)，針對不同的計算機軟件選擇最為合適的檢測方法。由于每個軟件在實際開發(fā)過程中都會在程序編寫和基本功能上存在不同，所以必須依據(jù)軟件的基本情況選擇合適的方法以獲得預(yù)期的檢測效果，要做好前期的準(zhǔn)備工作，要對用戶的計算機軟件特性及使用的檢測方法有個全面的了解，根據(jù)自己的專業(yè)知識制定合理的檢測方法，通過科學(xué)

9、的檢測方法確保檢測結(jié)果真實有效。同時也要做好細(xì)節(jié)處理，依據(jù)用戶的需求或建議選擇定向服務(wù)，確保計算機軟件安全檢測的正確性，讓用戶滿意。4.2 提升檢測人員專業(yè)素養(yǎng)安全檢測人員的專業(yè)素養(yǎng)對計算機軟件安全檢測的結(jié)果有著決定性的影響，所以必須重視檢測人員的專業(yè)素養(yǎng)提升，通過專業(yè)培訓(xùn)、實地參觀、一線實踐等手段提高專業(yè)人員的職業(yè)技能，增強他們應(yīng)付突發(fā)事件的能力，通過良好的競爭機制和團隊協(xié)作讓檢測人員綜合素質(zhì)有個較大的飛躍。在實際檢測中要確保檢測人員擁有豐富的經(jīng)驗和專業(yè)背景，讓熟悉軟件使用的技術(shù)人員共同協(xié)作，保證檢測人員的多樣化，確保檢測的有效性。還要通過檢測人員的多樣化實現(xiàn)檢測方法的多樣化，多渠道多方法進(jìn)

10、行實操，盡可能的減少漏洞，既提升工作效率又降低錯誤率。4.3 組織開展綜合分析要細(xì)心進(jìn)行軟件安全檢測，檢測人員要明確軟件所要表現(xiàn)的重點，全面分析權(quán)衡，進(jìn)行系統(tǒng)化的綜合分析，要模擬用戶的需要，保證軟件檢測的可靠安全，要加深對計算機軟件的整體認(rèn)知水平，從使用者角度提升軟件的易用性，推動計算機技術(shù)不斷發(fā)展，要求所有人員把系統(tǒng)分析放在首位，不斷優(yōu)化檢測水平，提升優(yōu)化效率，達(dá)到用戶使用的安全標(biāo)準(zhǔn)。5 結(jié)論總之，當(dāng)前的計算機安全問題依然嚴(yán)峻，要想真正解決這一問題就必須在軟件安全層面下功夫，通過更多的行之有效的方法確保計算機使用者的信息安全。計算機軟件安全檢測技術(shù)的發(fā)展還將面臨更多的問題，如何對軟件進(jìn)行分析，有效解決安全漏洞還需要多方面的努力。要樹立科學(xué)發(fā)展的觀點，在實踐中勇于開拓和創(chuàng)新，不斷積累經(jīng)驗，最終推動計算機軟件安全事業(yè)的發(fā)展。Refe