魯艷麗

[摘 要] 隨著科學(xué)技術(shù)的不斷發(fā)展與創(chuàng)新，計(jì)算機(jī)已經(jīng)成為人們?nèi)粘Ｉ罟ぷ髦械谋匾ぞ撸瑫r(shí)隨著計(jì)算機(jī)的應(yīng)用不斷深入，人們對計(jì)算機(jī)使用性能和安全程度有了更高的要求。計(jì)算機(jī)的功能由硬件和軟件共同支撐，其中計(jì)算機(jī)軟件是計(jì)算機(jī)賴以工作的基礎(chǔ)，針對計(jì)算機(jī)軟件的安全檢測技術(shù)又是確保計(jì)算機(jī)安全工作的重要內(nèi)容。計(jì)算機(jī)軟件安全檢測技術(shù)是針對計(jì)算機(jī)軟件不同的安全指標(biāo)進(jìn)行安全檢測，該技術(shù)的科學(xué)應(yīng)用可以準(zhǔn)確高效地識(shí)別出計(jì)算機(jī)軟件中存在的安全漏洞。在本文中對計(jì)算機(jī)軟件安全檢測技術(shù)中存在的問題和解決方案進(jìn)行簡單分析，以幫助相關(guān)技術(shù)人員在實(shí)際應(yīng)用中進(jìn)行參考。

[關(guān)鍵詞] 計(jì)算機(jī)軟件；安全漏洞；檢測技術(shù)

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016 . 05. 098

[中圖分類號(hào)] TP31 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2016）05- 0182- 02

0 引 言

對計(jì)算機(jī)軟件安全性能進(jìn)行考評是在計(jì)算機(jī)的軟件開發(fā)和使用過程中極為重要的步驟，該步驟的順利實(shí)施可以幫助相關(guān)技術(shù)人員找到軟件運(yùn)行中存在的故障和安全隱患，并可以根據(jù)檢測結(jié)果及時(shí)進(jìn)行修補(bǔ)，以保證軟件的正確使用和推廣。現(xiàn)行的計(jì)算機(jī)檢測技術(shù)在應(yīng)用過程中仍無法完全避免漏洞和錯(cuò)誤的發(fā)生，因此在實(shí)際的應(yīng)用中需要相關(guān)技術(shù)人員采取科學(xué)高效的安全檢測手法對計(jì)算機(jī)軟件進(jìn)行評定。

1 計(jì)算機(jī)軟件安全檢查流程及注意問題

1.1 計(jì)算機(jī)軟件安全檢查流程

在對計(jì)算機(jī)軟件進(jìn)行安全檢查時(shí)，軟件多為大型的應(yīng)用軟件，該軟件內(nèi)部往往包含著由多人開發(fā)的冗雜子系統(tǒng)，因此對大型軟件進(jìn)行安全檢查是一項(xiàng)龐大復(fù)雜的工程。在實(shí)際的安全檢測過程中通常將大型軟件的子系統(tǒng)分割成互不影響的模塊，對這些模塊進(jìn)行安全檢測。大型軟件的檢測工作通常情況下先對模塊進(jìn)行測試，之后將各個(gè)模塊組裝成系統(tǒng)，然后對該系統(tǒng)的結(jié)構(gòu)進(jìn)行安全檢測，最后在對軟件整體的功能和性能進(jìn)行有效測試，以判斷軟件的性能指標(biāo)是否與預(yù)期相符，采用這樣的檢測流程就可以實(shí)現(xiàn)對軟件安全指標(biāo)進(jìn)行科學(xué)的考評。

1.2 制定高效合理的軟件安全檢測方案

在對計(jì)算機(jī)軟件進(jìn)行安全檢測之前，需要對計(jì)算機(jī)軟件的功能和特性進(jìn)行充分的考察，并根據(jù)具體的情況制定出科學(xué)合理的軟件檢測方案，以確保安全檢測方案實(shí)施的高效性。在進(jìn)行軟件安全檢測具體工作時(shí)，應(yīng)邀請具有專業(yè)知識(shí)經(jīng)驗(yàn)的人員參與，并再配備熟悉和掌握該軟件特點(diǎn)的技術(shù)人員參與，另外還可以聘請多領(lǐng)域相關(guān)的專家參與工作，從多個(gè)方面對軟件進(jìn)行考評測試與修正，以保證計(jì)算機(jī)軟件可以達(dá)到理想的應(yīng)用效果。

1.3 系統(tǒng)化全面性的分析

計(jì)算機(jī)軟件安全檢測是一個(gè)冗雜繁復(fù)的過程，如何選擇有效且可行的檢測方案是執(zhí)行人員需要著重考慮的問題，在實(shí)際工作中應(yīng)該對計(jì)算機(jī)軟件做到系統(tǒng)化和全面性的分析。大型計(jì)算機(jī)軟件的程序通常具有較大規(guī)模，在進(jìn)行軟件安全檢測時(shí)就要求技術(shù)人員對軟件進(jìn)行代碼級、系統(tǒng)級和需要級的細(xì)致檢測，另外進(jìn)行計(jì)算機(jī)軟件安全檢測時(shí)對同級別檢測也需要進(jìn)行合理的技術(shù)分析。

2 計(jì)算機(jī)軟件安全漏洞檢測方式

2.1 形式化安全檢測方式

通常情況下若是可以搭建準(zhǔn)確的計(jì)算機(jī)軟件數(shù)學(xué)模型就可以采取形式化的安全檢測方法，在實(shí)際的應(yīng)用過程中往往采取形式規(guī)格語言進(jìn)行使用，在檢測的過程中常常使用行為語言、模型語言或是有效狀態(tài)語言等規(guī)格語言。

2.2 靜態(tài)模型檢測方式

靜態(tài)模型檢測方式是在使用的過程中需要對軟件的具體行為和結(jié)構(gòu)框架進(jìn)行模型建立，在進(jìn)行檢測時(shí)實(shí)際就是對該測試模型進(jìn)行檢測，通常情況下使用的設(shè)備對該模型具有可讀性，并可以具體運(yùn)行，其中應(yīng)用最為廣泛的包括有限狀態(tài)機(jī)和馬爾可夫鏈兩種方法。靜態(tài)模型的檢測方法通常情況下采用系統(tǒng)化的建模檢測方法，因此與形式化安全檢測方法相比更加合理，不需要軟件所有的工況都保持不變，而是通過對模型建模得出一系列的測試模型，當(dāng)該模型經(jīng)測試后與軟件的期望值相同時(shí)證明該軟件不存在漏洞。

2.3 語法檢測方式

語法檢測方式是又一種較為常用的計(jì)算機(jī)軟件檢測方法，該種檢測方法通常情況下是基于語法特點(diǎn)在軟件的生成功能接口處進(jìn)行檢測，對該接口處的語言和語法進(jìn)行檢測，并在一定的條件下生成檢測用的范例，通過改變計(jì)算機(jī)軟件的上級輸入條件，并在下級處檢測不同輸入條件下的輸出結(jié)果，并根據(jù)不同的檢測結(jié)果對軟件的安全性能進(jìn)行檢測。

2.4 導(dǎo)入故障檢測方式

導(dǎo)入故障的檢測方法是一種融合了傳統(tǒng)故障檢測技術(shù)和動(dòng)態(tài)檢測技術(shù)的科學(xué)軟件安全檢測方法，該種方法建立在白盒模糊檢測基礎(chǔ)上并在操作中不需要冗雜的操作規(guī)范，但是在查找軟件漏洞方面卻有很大成效。通常情況下需要考評常見的故障和漏洞類型，并建立系統(tǒng)的故障漏洞樹，之后通過對軟件的人為測試以對軟件的漏洞和故障進(jìn)行檢測，該種檢測方法可以極大地提高安全檢測技術(shù)的自動(dòng)化程度，因此在未來的計(jì)算機(jī)安全檢測中會(huì)得到更廣泛的應(yīng)用。

2.5 安全屬性檢測方法

在進(jìn)行計(jì)算機(jī)軟件開發(fā)過程中編程人員采取不規(guī)范的編程規(guī)則就容易導(dǎo)致軟件產(chǎn)生安全漏洞和故障，因此在軟件開發(fā)之前由相關(guān)部門制定科學(xué)的安全編程規(guī)則是保證軟件安全性的重要手段。在軟件開發(fā)過程中嚴(yán)格按照安全編程規(guī)范，之后按照確定的規(guī)則對軟件程序代碼進(jìn)行檢查，這種方法可以對軟件漏洞的交互性和延展性得到及時(shí)分析。

3 結(jié) 語

在信息化高速發(fā)展的今天，各行各業(yè)對于計(jì)算機(jī)的應(yīng)用已經(jīng)達(dá)到無可替代的地步，而對于大多數(shù)的公司來說數(shù)據(jù)安全是管理者需要著重考量的問題，在信息安全體系中計(jì)算機(jī)軟件安全檢測是必不可少的部分，因此日常工作中對計(jì)算機(jī)軟件進(jìn)行科學(xué)高效的安全檢測，是促進(jìn)計(jì)算機(jī)軟件良性發(fā)展的重要內(nèi)容，相關(guān)的技術(shù)開發(fā)人員需要在今后的工作學(xué)習(xí)中不斷探索出更為有效的計(jì)算機(jī)軟件安全檢測方法，真正保障軟件使用者的安全應(yīng)用，維護(hù)軟件使用者的自身利益，促進(jìn)市場的平穩(wěn)健康發(fā)展。

主要參考文獻(xiàn)

[1]李潔.軟件測試用例設(shè)計(jì)[J].電腦編程技巧與維護(hù)，2010（4）：17-19.

[2]楊洪路，等.軟件安全靜態(tài)檢測技術(shù)與工具[J].信息化縱橫，2009（9）：70-72.

[3]羊建林，周安民.Windows異常處理與軟件安全[[J].信息安全與通信保密，2011（4）：58-60.