淺談?dòng)嬎銠C軟件的安全檢測技術(shù)

淺談?dòng)嬎銠C軟件的安全檢測技術(shù)

　　現在，各種計算機軟件在各行各業(yè)中得到了普遍的利用，成為人們生活和工作中不可或缺的部分。由此帶來(lái)的計算機軟件安全問(wèn)題也隨著(zhù)它的發(fā)展越來(lái)越復雜的影響著(zhù)計算機的安全，計算機軟件的安全檢測技術(shù)就顯得尤為重要。

　　一、計算機軟件安全檢測技術(shù)概述

　　計算機軟件安全檢測是計算機軟件開(kāi)發(fā)過(guò)程中的一個(gè)重要環(huán)節，它的目的是為了發(fā)現軟件所存在的故障和安全漏洞，從而及時(shí)的對計算機軟件的潛在安全問(wèn)題進(jìn)行更改。當前的計算機軟件安全檢測技術(shù)主要包括動(dòng)態(tài)檢測和靜態(tài)檢測兩種方法。計算機軟件安全檢測是確定計算機軟件的安全性是否達到軟件預期設計的目標的一個(gè)過(guò)程，一般包括功能測試、滲透測試與驗證過(guò)程三個(gè)階段。包括安全功能與安全漏洞兩個(gè)方面的檢測，軟件安全功能涉及的方面比較多，包括機密性、授權、訪(fǎng)問(wèn)控制以及安全管理等；而計算機軟件安全漏洞檢測則是對軟件可能存在的缺陷的檢測。

　　二、計算機軟件安全檢測的注意事項

　　在進(jìn)行計算機軟件安全檢測是，要注意幾下的幾個(gè)問(wèn)題：

　　一是要預先制定出檢測方案。首先要對計算機軟件有一個(gè)全面的了解，在此基礎上作出分析然后選擇一個(gè)合適的檢測技術(shù)，設計出檢測方案；其次在檢測人員的選擇上，要進(jìn)行多元化的人員配置，安全分析人員、軟件設計人員和操作者都應參與檢測的工作，這樣可以保證在檢測的過(guò)程中對軟件的不同性能的檢測都能得到專(zhuān)業(yè)技術(shù)人員的指導和分析，提高安全檢測的效率。

　　二是在進(jìn)行計算機軟件的安全檢測時(shí)，對于系統級、代碼級與需求級的檢測是必須的。如果軟件的規模比較大，還要對軟件的結構的設計進(jìn)行分析。在具體的操作中要從實(shí)際工作的需要來(lái)選擇合理的分析技術(shù)。仿真環(huán)境和分析工具相結合是較為有效的計算機軟件的安全檢測技術(shù)。

　　三、計算機軟件安全檢測技術(shù)的方法

　　（一）計算機軟件安全檢測的流程

　　一般情況下，規模較大的 軟件是由一定數量的子系統來(lái)構成的，每個(gè)子系統又由若干的小模塊來(lái)構成。計算機軟件的安全檢測一般按照以下的步驟進(jìn)行：首先是進(jìn)行模塊的測試，測試的對象是軟件設計中的最小單位，對模塊進(jìn)行測試的目的是發(fā)現系統的各個(gè)模塊中可能存在的問(wèn)題。然后是對由模塊按照程序設計的要求組裝的系統進(jìn)行檢測，并對于其相關(guān)的體系機構進(jìn)行檢測。其次是在前兩個(gè)檢測的基礎上進(jìn)行軟件的有效性檢測，有效性檢測的目的是對軟件的功能和性能進(jìn)行檢測，檢測其是否與所設計的用戶(hù)的需求相符合。最后進(jìn)行的是系統的檢測，測試軟件在整體的環(huán)境下的運行安全情況。

　　（二）當前計算機軟件安全檢測的主要方法

　　一是形式化的安全檢測。形式化的安全檢測是確立軟件的數學(xué)模型，在通過(guò)形式規格的語(yǔ)言的支持提供形式化的規格說(shuō)明。比較常見(jiàn)的形式規格語(yǔ)言有基于有限狀態(tài)的語(yǔ)言、基于模型的語(yǔ)言以及基于行為的語(yǔ)言。形式化的安全檢測有模型檢測和定量證明兩種形式的安全檢測方法。

　　二是基于模型的靜態(tài)安全檢測。模型安全檢測，既是通過(guò)軟件行為與結構建模的方式，形成一個(gè)測試的模型，此模型同時(shí)可滿(mǎn)足計算機對其的可讀性。模型安全檢測的方式與上述的形式安全檢測的方式相比較而言，并不側重于讓檢測的軟件系統與規格說(shuō)明在所有的情況下都保持一致，而是從模型生出一組試用例，使用這組試用例來(lái)測試軟件系統，來(lái)說(shuō)明軟件的安全性。比較常用的模型安全檢測方法包括有線(xiàn)狀態(tài)機檢測和馬爾科夫鏈的檢測。

　　三是語(yǔ)法檢測。語(yǔ)法檢測技術(shù)是根據語(yǔ)法對被檢測軟件的功能接口的語(yǔ)法生成軟件進(jìn)行輸入的測試，測試軟件在不同的輸入條件下產(chǎn)生的不同的反應。一般語(yǔ)法檢測適用于檢測源程序中存在安全隱患的C語(yǔ)言函數和系統的調用，并通過(guò)軟件接口語(yǔ)言的識別、定義語(yǔ)言的語(yǔ)法以及以語(yǔ)法為基礎進(jìn)行生產(chǎn)測試用例，同時(shí)進(jìn)行安全檢測。

　　四是基于故障注入的軟件安全檢測。故障注入的安全檢測是應用故障分析樹(shù)與故障數的最小割集來(lái)檢測的。故障樹(shù)分析法通過(guò)將系統最不該發(fā)生的事件做為頂事件，再以此尋找導致事故發(fā)生的中間事件與低事件，再通過(guò)邏輯門(mén)符號將頂事件、中間事件和低事件之間的關(guān)系進(jìn)行連接，形成故障樹(shù)。故障樹(shù)檢測擁有較高的檢測自動(dòng)化程度，是比較合理的計算機軟件安全檢測的方法。

　　五是模糊測試和基于屬性的測試。模糊測試一般是基于白盒的模糊測試，較傳統的模糊測試技術(shù)有所進(jìn)步，白盒模糊檢測方法有效的結合了傳統的模糊測試技術(shù)和動(dòng)態(tài)測試用例檢測技術(shù)的優(yōu)點(diǎn)�；�于屬性的測試方法首先要確定計算機軟件的安全編程規則，以此來(lái)作為安全屬性來(lái)驗證軟件系統程序的代碼是否遵守了這些規則�；�于屬性的安全檢測法的優(yōu)點(diǎn)是能夠較好的分析軟件安全漏洞的擴展性及安全性等。

　　六是混合檢測技術(shù)�；旌蠙z測技術(shù)是指將計算機的靜態(tài)安全檢測技術(shù)和動(dòng)態(tài)安全檢測技術(shù)相結合的一種檢測技術(shù)，它能有效的改善靜態(tài)技術(shù)和動(dòng)態(tài)技術(shù)檢測存在的一些缺陷，從而更好的對計算機軟件的安全進(jìn)行檢測。當前主要的檢測技術(shù)包括二進(jìn)制代碼改編技術(shù)、測試庫技術(shù)、基于規范的檢測技術(shù)、基于異常的檢測技術(shù)等�；旌蠙z測技術(shù)在一定程度上提高了軟件安全檢測的準確性，是較合理的檢測方式。

　　七是基于Web服務(wù)的檢測技術(shù)。近年來(lái)，隨著(zhù)Web服務(wù)技術(shù)的發(fā)展和廣泛的應用，基于此的分布式軟件安全檢測技術(shù)也隨之產(chǎn)生和發(fā)展，它是一種基于識別內容的分布式Web服務(wù)器技術(shù)。具有語(yǔ)言中立、互動(dòng)操作性強等優(yōu)點(diǎn)，能夠將復雜的安全檢測分解為子安全類(lèi)型進(jìn)行處理，以使其可以更有效的應對復雜的安全檢測的需要。分布式安全檢測還采用了故障注入機制來(lái)生成錯誤的soap消息，來(lái)用于異常測試。此種檢測方法在實(shí)踐中具有高效、先進(jìn)和靈活的特點(diǎn)，能夠對軟件的可靠性、容錯性和安全性的檢測到達較高的標準。

　　四、總結

　　計算機軟件的安全檢測技術(shù)是保證計算機和互聯(lián)網(wǎng)安全的基礎，必須不斷的加強檢測技術(shù)的創(chuàng )新，以保證計算機軟件的安全，促進(jìn)計算機軟件的發(fā)展。

【淺談?dòng)嬎銠C軟件的安全檢測技術(shù)】相關(guān)文章：

淺談?dòng)嬎銠C軟件安全漏洞檢測技術(shù)論文07-04

談?dòng)嬎銠C軟件的安全檢測技術(shù)論文07-04

計算機軟件安全檢測技術(shù)分析論文07-03

計算機軟件安全檢測技術(shù)解析論文07-03

計算機軟件安全檢測技術(shù)簡(jiǎn)析論文07-04

計算機軟件安全檢測技術(shù)研究論文07-04

計算機軟件安全漏洞檢測技術(shù)分析論文07-03

計算機軟件安全漏洞檢測技術(shù)的應用論文07-02

解讀計算機軟件中安全漏洞檢測技術(shù)論文07-03

淺談?dòng)嬎銠C軟件工程管理技術(shù)07-02