计算机软件安全检测技术的研究.docVIP

计算机软件安全检测技术的研究 　　摘要：计算机软件安全检测技术是计算软件安全的基础，它可以根据有关指标对计算机软件进行安全测试，并有效识别其中存在的安全隐患。本文将对当前计算机软件安全检测技术做简要分析，希望对提高我国计算机软件的安全性有所帮助。 　　关键词：计算机软件；安全检测技术；检测方法 　　中图分类号：TP311.52 文献标识码：A 文章编号：1007-9599 （2012） 17-0000-02 　　随着计算机技术和网络技术的发展，各种计算机软件应用已经深入到人们生活工作的方方面面，成为人们生活和工作中不可或缺的工具。不过各种计算机软件安全问题也随着它们的发展而变得越来越复杂，其中计算机软件的安全是计算机和网络安全的基础，因此，要想保证整个计算机网络的安全，必须做好计算机软件的安全检测工作。 　　1 计算机软件安全检测简介 　　软件的安全性是软件质量的一个重要指标，因此，对计算机软件的安全进行检测也是软件开发中的重要一环。它能够及时发现计算机软件中存在的各种故障，并对计算机软件做出必要的修补，从而有效降低软件风险。通过使用尽量少的测试用例，以保证尽可能大的软件检测覆盖范围，发现尽可能多的问题，并进行更正是计算机软件检测的目标，但计算软件安全检测并不代表能够保证计算机软件没有错误和安全隐患，它仅仅是一种通过检查计算机软件中的错误和软件对各种非法入侵的防范能力来提高软件安全性的一种方法。同时，计算机软件安全检测也是对计算机安全实现是否能够达到预期设计的一种过程。这一过程包括对计算机软件的功能测试、渗透测试和验证测试3个过程，与其它软件缺陷测试相比，它具有如下不同点：首先，软件测试内容不一样，安全检测通常是检测计算机软件安全漏洞检测和软件安全功能检测，软件安全漏洞检测是主要针对计算机软件可能存在的安全缺陷，以及该缺陷可能导致的安全风险。计算机软件安全功能检测是检测计算机软件安全功能是否满足用户对软件安全的需要，检测的内容主要包括对计算机的机密性、授权、访问控制和安全管理等。其次，危害程度不同，一般的计算机软件缺陷，并不能给用户带来安全问题，而计算机软件安全缺陷一旦被发现，很可能给用户带来严重的安全隐患，甚至引发严重的系统安全风险。第三，软件的修复方式不同，计算机软件安全缺陷一旦发现，就必须马上采取相应的安全措施，例如，打补丁，升级软件等。而对于一般的软件问题，可以在下一个版本中进行修复。 　　2 计算机软件错误类型、来源和检测方法 　　计算机安全是一个非常复杂的系统，它主要通过信息系统的保密性、完整性和可用性来保证计算机软件的安全。可计算机软件在日常的运行中，由于操作配置失误和安全缺陷等原因，致使计算机软件从计算机底层操作系统到上级应用程序、从系统配置管理到用户操作，从通信基础设施到网络上层应用服务，都存在着安全隐患。因此，这些隐患主要分两种，一种是自身配置错误，一种是软件缺陷造成。其中，系统配置错误是由于软件供应商和系统管理员在定义访问控制规则时出现错误造成的。软件缺陷又有基本软件缺陷和无关软件缺陷两种，基本软件缺陷是与软件安全有关的错误，无关软件安全错误是指一种与软件安全无关的程序中存在软件缺陷，缺陷发生后，影响到系统的安全性，配置和软件错误造成各种系统和软件漏洞被发现，从而导致软件不断被攻击，供应商在为这些漏洞打补丁时，又会将新的漏洞打入系统中，形成恶性循环，广泛影响到其它产品。当前比较常用的安全检测方法有静态检测法、动态监测法、混合检测法和语法检测法。 　　3 计算机软件安全检测技术探究 　　当前常用的计算机软件安全检测技术有以下几种：语法检测技术，静态检测技术，动态检测技术，混合检测技术，基于web服务的分布式软件安全性能检测技术。 　　3.1 语法检测检测技术 　　语法检测技术是基于语法对被检测软件功能接口的语法生成软件进行输入测试，测试软件在不同输入条件下，产生不同类型的反应。一般它仅仅检测源程序中有危险的C语言库函数和系统调用，并通过对软件接口语言的识别，定义语言的语法，以及在以语法为基础生产测试用例，同时执行安全检测。 　　3.2 静态检测技术 　　静态检测技术是从程序代码的内部结构和特性上进行检测的一种安全检测技术，它通过结构建模和软件行为的方法来构造测试模型，以满足机器对模型的可读性，模型的安全检测方式是系统化的从模型生成一组测试用例，并利用这组测试用例，来测软件系统，进而得到充分的证据来说明待测系统的行为与模型期望是一致的，当前常用的检测方法有马尔科夫锁链和有限状态机两种，随着静态检测技术的发展，现在静态检测技术主要有以下种类：词法分析技术，规则检查技术和类型推导技术。 　　3.3 动态检测技术 　　动态检测技术是对计算机软件运行过重的运行环境变量例如堆、栈、内存和环境变量等进行分析，以检测软