论计算机软件安全检测技术.docVIP

论计算机软件安全检测技术 　　摘 要：随着信息技术的发展，计算机软件日趋复杂，软件是计算机运行的大脑，是保障计算机安全运行的基础。而软件本身是否安全会直接影响计算机的性能，用计算机软件安全检测技术对软件进行监测，在计算机软件的保护中起着重要作用。本文主要从计算机安全检测技术概述入手，探讨计算机软件安全检测技术，并指出计算机软件安全检测应注意的问题。 　　关键词：计算机；软件安全；检测技术 　　中图分类号：TP311.52 文献标识码：A DOI：10.3969/j.issn.1003-6970.2013.08.039 　　本文著录格式：[1]王珊珊.论计算机软件安全检测技术[J].软件，2013，34（8）： 123 　　0引言 　　当前，信息技术获得了快速发展，计算机网络渗透到各行各业，计算机软件日趋复杂，软件开发给人们的生活、工作提供极大便利，但软件应用中自身出现的安全问题，给计算机带来风险，给广大用户造成巨大的资源浪费和经济损失。软件是计算机工作的核心，是确保计算机正常运行的基础，因此，必须做好计算机软件安全检测工作，以确保计算机网络的安全。 　　1计算机软件安全检测概述 　　对计算机来说，软件质量是非常重要，而软件质量又主要是通过软件安全性来体现的。所以软件开发要注重软件安全检测，及时发现软件运行中存在的各种故障，并有效的对计算机潜在的风险进行修补，从而使软件得到优化和完善。计算机软件安全检测的目标是尽可能用较少的测试用例覆盖尽可能多的软件检测，以便及时发现问题。但我们必须认识到，计算机软件安全检测技术只是一种查找程序错误的手段，并不能完全杜绝漏洞，不能确保软件不存在问题。与一般软件缺陷相比，计算机安全软件有其自身的特点：从检测的内容来看，软件安全检测技术关注的是软件的漏洞、软件的安全功能等；计算机软件安全缺陷一旦被发现，可能会被利用，给计算机用户带来严重隐患，而一般软件不存在严重安全问题；计算机软件安全缺陷一旦被发现就要立即采取相应的安全措施，发行补丁进行修复。 　　2计算机软件安全检测技术分析 　　当前，计算机软件安全检测技术中的动态监测技术通过分析环境变量、内存等软件运行环境来进行的，能提高程序的保密性，确保软件安全。软件检测中的静态检测技术主要是借助程序来分析，风险安全漏洞存在的异常，其不足在于其分析的结果往往是接近于真实情况，无法测试和确定软件的重要属性，其优势在于检测非常便捷，检测不要求运行软件。拿动态检测技术与静态检测技术来比较，因为静态检测技术方便、自动化程度高、分析速度快等优势，比较受欢迎。同时这两种检测方法又可以分出多种技术，目前，较为常用的有形式化安全检测技术、语法检测技术、模型检测技术、模糊检测技术、故障注入检测技术等。 　　2.1形式化安全检测技术 　　形式化安全检测技术需要先确立软件数学模型，在形式规格语言的支持下，进行形式化规格说明。目前，比较常用的形式规格语言有模型的语言、行为的语言、有限状态的语言等。从检测方法来说，形式化安全检测方法有模型检测、定理证明。其实，运用形式化安全检测技术是通过数学模型证明系统，这并不说明系统中一定不存在问题，所以该项技术能为保密设备提供安全性保障。 　　2.2语法检测技术 　　语法检测技术是静态检测技术中最早出现的一种，是一项以语法为基础，对检测软件功能接口的语法生成软件进行输入测试的技术。语法检测技术如果输入的条件不同，被检测软件会产生不同类型的反映，能有效识别计算机软件接口处的语言，达到会软件的安全检测。一般来说其过程：先识别软件借口语言——定义语言的语法——输入测试用例——检测软件是否存在缺陷。 　　2.3模型检测技术 　　模型检测技术主要是针对计算机软件的结构和行为，建立具有安全测试功能的模型对计算机软件进行安全检测。具体流程是先理解分析被检测软件的输入输出过程，掌握软件内部的数据交换与计算过程，接着为软件选择合适的结构模型，再建立模型并生成测试用例，最后是人工检测是否存在问题。 　　2.4模糊检测技术 　　该项技术是立足于传统模糊检测技术与动态检测技术之上的，是对两者的进一步发展，是一种有效的安全漏洞检测方法。模糊检测技术是向目标软件系统提供大量非预期的随机输入，以此检测软件是否安全，从中发现存在的安全漏洞。模糊检测技术具有成本低、检测方法简单、自动化程度高等优势，得到了广泛应用。 　　2.5故障注入检测技术 　　这项技术是根据故障模型，人为将故障注入到被测试软件中，目的是加速该目标系统故障的发生。实践证明，这是一种比较有效的安全检测技术，是计算机软件安全检测技术中的重要组成部分。 　　3计算机安全检测需注意的问题 　　3.1选择有效方案 　　计算机软件安全检测时要充分了解需要检测的软件，完全掌握其要求