淺談?dòng)?jì)算機(jī)軟件的安全檢測技術(shù)

　　現(xiàn)在，各種計(jì)算機(jī)軟件在各行各業(yè)中得到了普遍的利用，成為人們生活和工作中不可或缺的部分。由此帶來的計(jì)算機(jī)軟件安全問題也隨著它的發(fā)展越來越復(fù)雜的影響著計(jì)算機(jī)的安全，計(jì)算機(jī)軟件的安全檢測技術(shù)就顯得尤為重要。

　　一、計(jì)算機(jī)軟件安全檢測技術(shù)概述

　　計(jì)算機(jī)軟件安全檢測是計(jì)算機(jī)軟件開發(fā)過程中的一個(gè)重要環(huán)節(jié)，它的目的是為了發(fā)現(xiàn)軟件所存在的故障和安全漏洞，從而及時(shí)的對(duì)計(jì)算機(jī)軟件的潛在安全問題進(jìn)行更改。當(dāng)前的計(jì)算機(jī)軟件安全檢測技術(shù)主要包括動(dòng)態(tài)檢測和靜態(tài)檢測兩種方法。計(jì)算機(jī)軟件安全檢測是確定計(jì)算機(jī)軟件的安全性是否達(dá)到軟件預(yù)期設(shè)計(jì)的目標(biāo)的一個(gè)過程，一般包括功能測試、滲透測試與驗(yàn)證過程三個(gè)階段。包括安全功能與安全漏洞兩個(gè)方面的檢測，軟件安全功能涉及的方面比較多，包括機(jī)密性、授權(quán)、訪問控制以及安全管理等；而計(jì)算機(jī)軟件安全漏洞檢測則是對(duì)軟件可能存在的缺陷的檢測。

　　二、計(jì)算機(jī)軟件安全檢測的注意事項(xiàng)

　　在進(jìn)行計(jì)算機(jī)軟件安全檢測是，要注意幾下的幾個(gè)問題：

　　一是要預(yù)先制定出檢測方案。首先要對(duì)計(jì)算機(jī)軟件有一個(gè)全面的了解，在此基礎(chǔ)上作出分析然后選擇一個(gè)合適的檢測技術(shù)，設(shè)計(jì)出檢測方案；其次在檢測人員的選擇上，要進(jìn)行多元化的人員配置，安全分析人員、軟件設(shè)計(jì)人員和操作者都應(yīng)參與檢測的工作，這樣可以保證在檢測的過程中對(duì)軟件的不同性能的檢測都能得到專業(yè)技術(shù)人員的指導(dǎo)和分析，提高安全檢測的效率。

　　二是在進(jìn)行計(jì)算機(jī)軟件的安全檢測時(shí)，對(duì)于系統(tǒng)級(jí)、代碼級(jí)與需求級(jí)的檢測是必須的。如果軟件的規(guī)模比較大，還要對(duì)軟件的結(jié)構(gòu)的設(shè)計(jì)進(jìn)行分析。在具體的操作中要從實(shí)際工作的需要來選擇合理的分析技術(shù)。仿真環(huán)境和分析工具相結(jié)合是較為有效的計(jì)算機(jī)軟件的安全檢測技術(shù)。

　　三、計(jì)算機(jī)軟件安全檢測技術(shù)的方法

　　（一）計(jì)算機(jī)軟件安全檢測的流程

　　一般情況下，規(guī)模較大的 軟件是由一定數(shù)量的子系統(tǒng)來構(gòu)成的，每個(gè)子系統(tǒng)又由若干的小模塊來構(gòu)成。計(jì)算機(jī)軟件的安全檢測一般按照以下的步驟進(jìn)行：首先是進(jìn)行模塊的測試，測試的對(duì)象是軟件設(shè)計(jì)中的最小單位，對(duì)模塊進(jìn)行測試的目的是發(fā)現(xiàn)系統(tǒng)的各個(gè)模塊中可能存在的問題。然后是對(duì)由模塊按照程序設(shè)計(jì)的要求組裝的系統(tǒng)進(jìn)行檢測，并對(duì)于其相關(guān)的體系機(jī)構(gòu)進(jìn)行檢測。其次是在前兩個(gè)檢測的基礎(chǔ)上進(jìn)行軟件的有效性檢測，有效性檢測的目的是對(duì)軟件的功能和性能進(jìn)行檢測，檢測其是否與所設(shè)計(jì)的用戶的需求相符合。最后進(jìn)行的是系統(tǒng)的檢測，測試軟件在整體的環(huán)境下的運(yùn)行安全情況。

　　（二）當(dāng)前計(jì)算機(jī)軟件安全檢測的主要方法

　　一是形式化的安全檢測。形式化的安全檢測是確立軟件的數(shù)學(xué)模型，在通過形式規(guī)格的語言的支持提供形式化的規(guī)格說明。比較常見的形式規(guī)格語言有基于有限狀態(tài)的語言、基于模型的語言以及基于行為的語言。形式化的安全檢測有模型檢測和定量證明兩種形式的安全檢測方法。

　　二是基于模型的靜態(tài)安全檢測。模型安全檢測，既是通過軟件行為與結(jié)構(gòu)建模的方式，形成一個(gè)測試的模型，此模型同時(shí)可滿足計(jì)算機(jī)對(duì)其的可讀性。模型安全檢測的方式與上述的形式安全檢測的方式相比較而言，并不側(cè)重于讓檢測的軟件系統(tǒng)與規(guī)格說明在所有的情況下都保持一致，而是從模型生出一組試用例，使用這組試用例來測試軟件系統(tǒng)，來說明軟件的安全性。比較常用的模型安全檢測方法包括有線狀態(tài)機(jī)檢測和馬爾科夫鏈的檢測。

　　三是語法檢測。語法檢測技術(shù)是根據(jù)語法對(duì)被檢測軟件的功能接口的語法生成軟件進(jìn)行輸入的測試，測試軟件在不同的輸入條件下產(chǎn)生的不同的反應(yīng)。一般語法檢測適用于檢測源程序中存在安全隱患的C語言函數(shù)和系統(tǒng)的調(diào)用，并通過軟件接口語言的識(shí)別、定義語言的語法以及以語法為基礎(chǔ)進(jìn)行生產(chǎn)測試用例，同時(shí)進(jìn)行安全檢測。

　　四是基于故障注入的軟件安全檢測。故障注入的安全檢測是應(yīng)用故障分析樹與故障數(shù)的最小割集來檢測的。故障樹分析法通過將系統(tǒng)最不該發(fā)生的事件做為頂事件，再以此尋找導(dǎo)致事故發(fā)生的中間事件與低事件，再通過邏輯門符號(hào)將頂事件、中間事件和低事件之間的關(guān)系進(jìn)行連接，形成故障樹。故障樹檢測擁有較高的檢測自動(dòng)化程度，是比較合理的計(jì)算機(jī)軟件安全檢測的方法。

　　五是模糊測試和基于屬性的測試。模糊測試一般是基于白盒的模糊測試，較傳統(tǒng)的模糊測試技術(shù)有所進(jìn)步，白盒模糊檢測方法有效的結(jié)合了傳統(tǒng)的模糊測試技術(shù)和動(dòng)態(tài)測試用例檢測技術(shù)的優(yōu)點(diǎn)�；�于屬性的測試方法首先要確定計(jì)算機(jī)軟件的安全編程規(guī)則，以此來作為安全屬性來驗(yàn)證軟件系統(tǒng)程序的代碼是否遵守了這些規(guī)則�；�于屬性的安全檢測法的優(yōu)點(diǎn)是能夠較好的分析軟件安全漏洞的擴(kuò)展性及安全性等。

　　六是混合檢測技術(shù)�；旌蠙z測技術(shù)是指將計(jì)算機(jī)的靜態(tài)安全檢測技術(shù)和動(dòng)態(tài)安全檢測技術(shù)相結(jié)合的一種檢測技術(shù)，它能有效的改善靜態(tài)技術(shù)和動(dòng)態(tài)技術(shù)檢測存在的一些缺陷，從而更好的對(duì)計(jì)算機(jī)軟件的安全進(jìn)行檢測。當(dāng)前主要的檢測技術(shù)包括二進(jìn)制代碼改編技術(shù)、測試庫技術(shù)、基于規(guī)范的檢測技術(shù)、基于異常的檢測技術(shù)等�；旌蠙z測技術(shù)在一定程度上提高了軟件安全檢測的準(zhǔn)確性，是較合理的檢測方式。

　　七是基于Web服務(wù)的檢測技術(shù)。近年來，隨著Web服務(wù)技術(shù)的發(fā)展和廣泛的應(yīng)用，基于此的分布式軟件安全檢測技術(shù)也隨之產(chǎn)生和發(fā)展，它是一種基于識(shí)別內(nèi)容的分布式Web服務(wù)器技術(shù)。具有語言中立、互動(dòng)操作性強(qiáng)等優(yōu)點(diǎn)，能夠?qū)��?fù)雜的安全檢測分解為子安全類型進(jìn)行處理，以使其可以更有效的應(yīng)對(duì)復(fù)雜的安全檢測的需要。分布式安全檢測還采用了故障注入機(jī)制來生成錯(cuò)誤的soap消息，來用于異常測試。此種檢測方法在實(shí)踐中具有高效、先進(jìn)和靈活的特點(diǎn)，能夠?qū)�軟件的可靠性、容錯(cuò)性和安全性的檢測到達(dá)較高的標(biāo)準(zhǔn)。

　　四、總結(jié)

　　計(jì)算機(jī)軟件的安全檢測技術(shù)是保證計(jì)算機(jī)和互聯(lián)網(wǎng)安全的基礎(chǔ)，必須不斷的加強(qiáng)檢測技術(shù)的創(chuàng)新，以保證計(jì)算機(jī)軟件的安全，促進(jìn)計(jì)算機(jī)軟件的發(fā)展。

【淺談?dòng)?jì)算機(jī)軟件的安全檢測技術(shù)】相關(guān)文章：

淺談?dòng)?jì)算機(jī)軟件安全漏洞檢測技術(shù)論文07-04

談?dòng)?jì)算機(jī)軟件的安全檢測技術(shù)論文07-04

計(jì)算機(jī)軟件安全檢測技術(shù)分析論文07-03

計(jì)算機(jī)軟件安全檢測技術(shù)解析論文07-03

計(jì)算機(jī)軟件安全檢測技術(shù)簡析論文07-04

計(jì)算機(jī)軟件安全檢測技術(shù)研究論文07-04

計(jì)算機(jī)軟件安全漏洞檢測技術(shù)分析論文07-03

計(jì)算機(jī)軟件安全漏洞檢測技術(shù)的應(yīng)用論文07-02

解讀計(jì)算機(jī)軟件中安全漏洞檢測技術(shù)論文07-03

淺談?dòng)?jì)算機(jī)軟件工程管理技術(shù)07-02