浅析软件安全的问题以及策略.docVIP

精品论文 参考文献 浅析软件安全的问题以及策略 骆其城（广东广播电视大学，广东 广州 510091） 摘 要：软件安全是一门新兴学科，目前还没有统一的标准定义。根据我国现有的教材和资料，软件安全（Software Security）是指采取工程的方法使得软件在敌对攻击的情况下仍能够继续正常工作。软件安全涉及领域广泛，包括软件工程、计算机网络、密码学、法律等。 关键词：软件安全；软件缺陷；反跟踪技术 软件安全是计算机安全的一个关键问题。从用户角度来讲，使用的软件必须具有高度的安全性，这是软件首先必须具备的条件。任何公司都不希望敏感信息被泄漏出去，特别是涉及个人隐私或对公司具有重大商业价值的资料。从软件开发者的角度来讲，开发的软件在满足人们日常生活、工作的需求以外，还要很好的保护自己的知识产权，防止软件被复制或被跟踪仿制。可是，软件在开??过程中，不可避免存在着缺陷，包括软件在运行时的错误或设计时存在着漏洞。另外，由于互联网的使用越来越广泛，截至目前，中国超过5亿人在使用各种各样的互联网应用软件，使得安全的隐患也在不断地增多，例如各种病毒的出现以及木马程序的入侵。因此，如何保证软件的安全，尤其显得重要。 1 计算机软件的安全隐患 软件缺陷（Defect），常常又被叫做Bug。所谓软件缺陷，即为计算机软件或程序中存在的某种破坏正常能力的问题、错误，或者隐藏的功能缺陷。根据IEEE729-1983对缺陷有一个标准的定义：从产品内部看，缺陷是软件产品开发或维护过程中存在的错误、毛病等各种问题；从产品外部看，缺陷是系统所需要实现的某种功能的失效或违背。软件缺陷产生的主要原因有：（1）软件开发过程中自身的特点造成的问题，由于需求说明书包含了错误的需求或者漏掉一些需求，或者软件需求定义难以做到清晰明白，从而引起功能和产品的缺陷；（2）系统设计中的不合理性，将导致功能模块的划分不科学，使开发的流程不够完善，容易产生问题；（3）技术的问题，包括错误的算法、复杂的逻辑等都将产生缺陷。软件漏洞是软件开发者在开发时的疏忽，或者编程语言的局限性而产生的。常见的漏洞有堆栈溢出、格式化字符串漏洞和SQL注入漏洞等。在计算机软件中，如我们日常所使用的OFFICE、Windows XP系统等就存在着许多的漏洞，黑客利用这些漏洞来获取资料或入侵电脑，因此我们必须为我们的系统和软件下载补丁，以保护我们的系统和软件不被入侵。 由于软件存在着缺陷以及漏洞，给黑客们制造恶意软件提供了后门，如病毒、蠕虫和木马等。病毒通常会将其包含的负载放置在一个本地计算机上，然后执行恶意的操作，如删除用户数据，或者不断进行自身的复制，这都将会损坏数据、消耗系统资源并占用网络带宽等。而木马通常是在系统中提供后门，使黑客窃取数据。 另外，由于反编译软件的出现，通过对他人软件的目标程序进行逆向分析、研究，推导出他人软件产品所使用的思路、结构、算法等设计要素，作为自己开发软件的参考或者直接用于自己的软件产品中，使得软件开发者蒙受巨大的损失。 2 计算机软件安全的策略 从用户的角度来讲，软件安全主要是指访问控制策略，主要是保护资源不被非法使用和访问。它主要包括入网访问控制策略、操作权限控制策略和防范恶意代码的攻击。具体可以采取以下一些措施： 2.1 设置安全的口令和不同权限的帐号，阻止非法的入侵和访问。计算机软件最常用口令的方式来控制系统资源的使用，如果没有使用安全的口令或缺口令的系统帐号，容易被入侵者进入系统内部。当当网宣布，今年3月19日至21日紧急冻结该网所有账户的余额及礼品卡，原因就是个别消费者账户出现被盗、余额被盗用等情况。黑客利用木马程序，获取用户的帐号和密码，然后把金额和礼品转到另外的帐户，导致金钱的损失。经验表明，木马程序利用记录键盘的操作从而截取用户的帐号和密码。一个安全的密码最好的设置方式是包括大小写字母、数字以及特殊符号。另外，如果软件提供软键盘（即通过点击鼠标输入密码），则采用此方式输入密码。这都将有效地保护用户的帐号和密码。 2.2 安装杀毒软件、更新病毒库和下载补丁。由于病毒等恶意代码能够入侵我们的电脑，从而对系统资源构成威胁以及窃取用户资料。安装杀毒软件能够有效的保护我们的电脑系统和软件。杀毒软件必须购买正版的杀毒软件不仅是对软件开发者知识产权的尊重，同时市面上的盗版软件有些本身就带有病毒。另外，我们必须及时的更新病毒库以及下载系统和软件的补丁，阻止最新的病毒等恶意代码的入侵。 从软件开发者的角度来看，开发的软件不仅需要满足用户的需求，更需要保护自己的知识产权，防止软件系统被复制和被跟踪仿制。对于软件安全，只