郭偉業(yè)

摘 要：隨著信息化時(shí)代的到來(lái)，計(jì)算機(jī)軟件的實(shí)際應(yīng)用范圍正在逐漸擴(kuò)大。在此形勢(shì)影響下，為了增強(qiáng)計(jì)算機(jī)軟件的使用安全性，需要充分發(fā)揮軟件安全檢測(cè)技術(shù)的優(yōu)勢(shì)，確保軟件在長(zhǎng)期使用中的安全隱患能被及時(shí)排除，最大限度地滿足使用者的實(shí)際需求。因此，需要注重計(jì)算機(jī)安全檢測(cè)技術(shù)研究，從軟件的安全性分類、安全檢測(cè)中應(yīng)注意的問(wèn)題、安全檢測(cè)的主要方法及主要技術(shù)方面進(jìn)行深入的探討，促使未來(lái)計(jì)算機(jī)軟件使用安全性能夠得到可靠的保障，推動(dòng)我國(guó)信息化產(chǎn)業(yè)的快速發(fā)展。

關(guān)鍵詞：計(jì)算機(jī)軟件 安全檢測(cè)技術(shù) 安全隱患 應(yīng)用范圍 問(wèn)題

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2017）03（a）-0008-02

加強(qiáng)計(jì)算機(jī)軟件安全檢測(cè)技術(shù)研究，需要對(duì)具體的檢測(cè)方法、檢測(cè)技術(shù)、檢測(cè)中的主要事項(xiàng)等有著必要的了解，促使計(jì)算機(jī)軟件長(zhǎng)期使用中能夠滿足實(shí)際生產(chǎn)活動(dòng)的各種需求，為人們的日常生活提供更多的便利。在具體的研究過(guò)程開(kāi)展中，應(yīng)從不同的方面對(duì)計(jì)算機(jī)軟件安全檢測(cè)技術(shù)的實(shí)際作用效果進(jìn)行綜合的評(píng)估，發(fā)揮檢測(cè)技術(shù)優(yōu)勢(shì)的同時(shí)延長(zhǎng)計(jì)算機(jī)軟件的使用壽命，擴(kuò)大計(jì)算機(jī)軟件的實(shí)際應(yīng)用范圍。

1 軟件的安全性分類

現(xiàn)階段計(jì)算機(jī)軟件安全性包括了軟件的保密安全性及失效安全性。在對(duì)軟件安全性分類的過(guò)程中，需要從這兩方面入手，確保計(jì)算機(jī)軟件使用過(guò)程中能夠達(dá)到預(yù)期的效果。

計(jì)算機(jī)軟件的失效安全性主要是指軟件運(yùn)行過(guò)程中所具備的不引起相關(guān)事故的能力，強(qiáng)調(diào)了計(jì)算機(jī)軟件安全性失效狀態(tài)下對(duì)各種財(cái)產(chǎn)、人員及其他危險(xiǎn)事故造成的影響。因此，為了增強(qiáng)計(jì)算機(jī)軟件失效安全性的綜合評(píng)估效果，需要在相關(guān)理論的支持下對(duì)軟件使用中的安全度、事故度、各類事故的發(fā)生率等進(jìn)行重點(diǎn)考慮，從而對(duì)計(jì)算機(jī)軟件失效安全性做出科學(xué)的評(píng)價(jià)，為軟件后期的安全使用打下堅(jiān)實(shí)的基礎(chǔ)。在軟件失效安全性測(cè)試的過(guò)程中，經(jīng)常采用的是基于故障樹(shù)測(cè)試及基于最小割集的測(cè)試方法。

計(jì)算機(jī)軟件的保密安全性主要是指預(yù)防程序及數(shù)據(jù)被非法獲取預(yù)防能力的質(zhì)量屬性。當(dāng)計(jì)算機(jī)軟件使用中受到非法攻擊時(shí)，利用自身的預(yù)防能力可以進(jìn)行有效的保護(hù)。在對(duì)計(jì)算機(jī)保密安全性進(jìn)行測(cè)試時(shí)，經(jīng)常采用的是語(yǔ)法測(cè)試、參考模型支持下的測(cè)試、軟件屬性的測(cè)試、基于模糊數(shù)學(xué)的測(cè)試等。這些不同安全測(cè)試方法的合理運(yùn)用，增強(qiáng)了軟件的保密安全性。

2 計(jì)算機(jī)軟件安全檢測(cè)是應(yīng)注意的問(wèn)題

在對(duì)計(jì)算機(jī)軟件進(jìn)行安全檢測(cè)的過(guò)程中，需要明確其本質(zhì)上是一種動(dòng)態(tài)測(cè)試的過(guò)程。不同測(cè)試方法與測(cè)試技術(shù)作用下計(jì)算機(jī)軟件安全檢測(cè)能否達(dá)到預(yù)期的效果，需要對(duì)檢測(cè)過(guò)程中應(yīng)注意的問(wèn)題進(jìn)行重點(diǎn)的考慮，具體表現(xiàn)在以下方面。

（1）檢測(cè)過(guò)程中應(yīng)結(jié)合計(jì)算機(jī)軟件自身的特點(diǎn)及相關(guān)的檢測(cè)要求，從不同的方面對(duì)軟件檢測(cè)流程進(jìn)行綜合性的分析，從而選擇出最佳的檢測(cè)技術(shù)手段，確保這些檢測(cè)技術(shù)使用中能夠滿足計(jì)算機(jī)軟件安全檢測(cè)的相關(guān)要求，并結(jié)合檢測(cè)方案的經(jīng)濟(jì)性與可行性確定最終的安全檢測(cè)方案。同時(shí)，為了增強(qiáng)檢測(cè)結(jié)果的有效性，檢測(cè)過(guò)程中應(yīng)充分地發(fā)揮不同技術(shù)人員的專業(yè)優(yōu)勢(shì)，保持檢測(cè)人員的多元化。比如，軟件安全檢測(cè)過(guò)程中需要配備一定數(shù)量的安全分析員，也需要配備軟件設(shè)計(jì)人員，在多領(lǐng)域的協(xié)調(diào)配合下共同完成軟件安全檢測(cè)工作。

（2）在開(kāi)展軟件安全檢測(cè)作業(yè)計(jì)劃時(shí)，為了增強(qiáng)檢測(cè)結(jié)果的合理科學(xué)性，需要從軟件的代碼級(jí)、系統(tǒng)級(jí)及需求級(jí)這三方面進(jìn)行深入的分析。當(dāng)軟件的整體規(guī)模較大時(shí)，還需要對(duì)軟件自身的組成結(jié)構(gòu)進(jìn)行分析，運(yùn)用可靠的分析技術(shù)進(jìn)行軟件結(jié)構(gòu)的全面分析，一定條件下也應(yīng)注重仿真環(huán)境的合理運(yùn)用，提高軟件檢測(cè)效率及檢測(cè)精度。結(jié)合計(jì)算機(jī)安全檢測(cè)的具體過(guò)程，可知其本質(zhì)上是系統(tǒng)化的檢測(cè)過(guò)程，實(shí)際操作中需要通過(guò)加強(qiáng)對(duì)多個(gè)安全檢測(cè)方法的合理運(yùn)用，增強(qiáng)檢測(cè)結(jié)果的準(zhǔn)確性，為計(jì)算機(jī)軟件長(zhǎng)期使用中安全性能的優(yōu)化提供可靠的保障，為軟件實(shí)際應(yīng)用范圍的擴(kuò)大打下堅(jiān)實(shí)的基礎(chǔ)。

3 計(jì)算機(jī)軟件安全檢測(cè)的主要方法

計(jì)算機(jī)軟件安全檢測(cè)過(guò)程中需要對(duì)各種方法進(jìn)行有效的選擇，結(jié)合實(shí)際的需要確定最佳的檢測(cè)方法?，F(xiàn)階段計(jì)算機(jī)軟件安全檢測(cè)方法主要包括以下方面。

3.1 靜態(tài)化分析的安全檢測(cè)

在運(yùn)用這種檢測(cè)方法的過(guò)程中，主要針對(duì)的是軟件的源代碼。利用掃描的方式對(duì)計(jì)算機(jī)軟件的所有源代碼進(jìn)行安全掃描，從各程序的數(shù)據(jù)流、語(yǔ)義信息等與既有計(jì)算機(jī)安全性能良好的軟件進(jìn)行比對(duì)，促使其中存在的安全漏洞能夠得到及時(shí)的處理，加強(qiáng)對(duì)可能存在安全風(fēng)險(xiǎn)代碼的針對(duì)性操作，為計(jì)算機(jī)軟件使用中潛在安全問(wèn)題的解決提供可靠的保障。

3.2 形式化安全測(cè)試、語(yǔ)法測(cè)試及模糊測(cè)試

運(yùn)用形式化安全測(cè)試方法的過(guò)程中，需要構(gòu)建與軟件特性相符的數(shù)學(xué)參考模型，運(yùn)用形式規(guī)格的方式對(duì)其中的相關(guān)語(yǔ)言進(jìn)行形式化說(shuō)明，實(shí)現(xiàn)軟件安全的有效檢測(cè)。像基于有限狀態(tài)下的語(yǔ)言、基于模型的語(yǔ)言、基于行為的語(yǔ)言等，都屬于形式化安全檢測(cè)方法的范疇。

語(yǔ)法測(cè)試主要是通過(guò)對(duì)被檢測(cè)軟件功能接口語(yǔ)法的深入分析，對(duì)最終得到的軟件進(jìn)行測(cè)試輸入，從而對(duì)不同輸入形式下軟件的安全性做出科學(xué)的評(píng)價(jià)。在運(yùn)用這種測(cè)試方法對(duì)軟件程序進(jìn)行測(cè)試時(shí)，需要對(duì)其中的接口語(yǔ)言進(jìn)行必要的識(shí)別，在基于語(yǔ)法的生產(chǎn)測(cè)試過(guò)程中同步進(jìn)行軟件的安全測(cè)試。

模糊測(cè)試本質(zhì)上是基于白盒的模糊測(cè)試。通過(guò)對(duì)軟件動(dòng)態(tài)測(cè)試法與傳統(tǒng)模糊測(cè)試法有效結(jié)合的使用，有利于滿足計(jì)算機(jī)軟件安全檢測(cè)的具體要求。

3.3 基于模型、故障注入的安全性測(cè)試

在運(yùn)用基于模型的安全功能測(cè)試方法的過(guò)程中，需要對(duì)計(jì)算機(jī)軟件的行為與結(jié)構(gòu)進(jìn)行重點(diǎn)的考慮，構(gòu)建出相關(guān)的測(cè)試模型。在這種模型的支持下，可以生產(chǎn)檢測(cè)用例，實(shí)現(xiàn)對(duì)軟件的安全檢測(cè)，像有限狀態(tài)機(jī)、馬爾科夫鏈都屬于基于模型安全功能測(cè)試法。基于故障注入的安全性測(cè)試，在使用的過(guò)程中主要是通過(guò)運(yùn)用故障樹(shù)分析、故障數(shù)的最小割集等，對(duì)軟件的使用壽命進(jìn)行檢測(cè)。運(yùn)用故障分析樹(shù)的過(guò)程中，需要對(duì)各種影響軟件正常使用的事件進(jìn)行分析，最終形成可靠的故障數(shù)。這種方法的使用提高了軟件檢測(cè)的自動(dòng)化效率，適用性強(qiáng)。

4 計(jì)算機(jī)軟件安全檢測(cè)的主要技術(shù)

在對(duì)計(jì)算機(jī)軟件進(jìn)行安全檢測(cè)時(shí)，主要的檢測(cè)技術(shù)包括：（1）功能驗(yàn)證。這種檢測(cè)技術(shù)需要對(duì)軟件的安全模塊功能進(jìn)行必要的驗(yàn)證，并設(shè)置相關(guān)的安全防護(hù)措施，運(yùn)用與軟件程序功能相似的方法進(jìn)行檢測(cè)；（2）漏洞的有效掃描。通過(guò)對(duì)軟件開(kāi)發(fā)設(shè)計(jì)中操作系統(tǒng)漏洞、數(shù)據(jù)管理漏洞的分析，處理拒絕服務(wù)漏洞、遠(yuǎn)程用戶擴(kuò)權(quán)漏洞等：（3）實(shí)時(shí)模擬攻擊。為了對(duì)不同攻擊方式給軟件的正常使用所造成的影響進(jìn)行必要的分析，需要在軟件開(kāi)發(fā)環(huán)境中對(duì)各種攻擊方式進(jìn)行有效的模擬，找出其中安全問(wèn)題的檢測(cè)技術(shù)；（4）偵聽(tīng)技術(shù)。作為一種常用的軟件安全檢測(cè)技術(shù)手段，偵聽(tīng)技術(shù)的使用有利于及時(shí)地處理網(wǎng)絡(luò)問(wèn)題，對(duì)信息系統(tǒng)的安全運(yùn)行環(huán)境進(jìn)行必要的評(píng)估，確保軟件的安全使用。

5 結(jié)語(yǔ)

通過(guò)對(duì)計(jì)算機(jī)軟件安全檢測(cè)技術(shù)的深入研究，從軟件分類、檢測(cè)方法、檢測(cè)技術(shù)等方面進(jìn)行了系統(tǒng)的闡述，客觀地說(shuō)明了做好這項(xiàng)研究工作對(duì)于未來(lái)計(jì)算機(jī)軟件正常使用的重要性。因此，在使用計(jì)算機(jī)軟件的過(guò)程中，應(yīng)結(jié)合實(shí)際工作的需要，加強(qiáng)對(duì)軟件安全性能的綜合評(píng)估，利用可靠的軟件安全檢測(cè)技術(shù)，及時(shí)地處理計(jì)算機(jī)軟件使用中存在的相關(guān)問(wèn)題。與此同時(shí)，結(jié)合現(xiàn)階段計(jì)算機(jī)軟件的實(shí)際應(yīng)用現(xiàn)狀，可知未來(lái)安全檢測(cè)技術(shù)的使用頻率將會(huì)不斷提高。

參考文獻(xiàn)

[1] 劉志建.芻議計(jì)算機(jī)軟件安全檢測(cè)技術(shù)的應(yīng)用[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2013（2）：13-15.

[2] 王藝潼.關(guān)于計(jì)算機(jī)軟件安全檢測(cè)技術(shù)的探討[J].佳木斯教育學(xué)院學(xué)報(bào)，2012（10）：406-407.

[3] 張飛.計(jì)算機(jī)軟件安全檢測(cè)技術(shù)探究[J].信息與電腦：理論版，2016（1）：180-181.

[4] 李梅.基于計(jì)算機(jī)技術(shù)發(fā)展基礎(chǔ)上的計(jì)算機(jī)軟件安全檢測(cè)技術(shù)[J].電腦知識(shí)與技術(shù)，2016（16）：58-59.

[5] 劉姝虹.試論計(jì)算機(jī)軟件安全檢測(cè)技術(shù)[J].同行，2016（13）：195，210.