包志林

引言：隨著科技與經(jīng)濟(jì)的不斷發(fā)展和進(jìn)步，全球信息化發(fā)展進(jìn)程的不斷加快，逐步進(jìn)入信息化時(shí)代，世界的發(fā)展進(jìn)入了全新的高度，而實(shí)現(xiàn)信息化離不開計(jì)算機(jī)的支持，而計(jì)算機(jī)的工作離不開軟件的支持，如今，計(jì)算機(jī)的應(yīng)用越來(lái)越廣泛，逐步涉及到各個(gè)領(lǐng)域，成為人們學(xué)習(xí)、工作以及生活不可缺少的工具。計(jì)算機(jī)運(yùn)行離不開硬件的支持，而軟件是計(jì)算機(jī)工作的大腦，保證計(jì)算機(jī)安全運(yùn)行的重要內(nèi)容之一就是需要及時(shí)的進(jìn)行計(jì)算機(jī)軟件的安全檢測(cè)。本文就計(jì)算機(jī)軟件安全檢測(cè)技術(shù)進(jìn)行了深入的分析和探討。

隨著科技與經(jīng)濟(jì)的快速發(fā)展和進(jìn)步，信息化高度發(fā)展的今天，信息安全逐漸成為人們關(guān)注的焦點(diǎn)和熱點(diǎn)。計(jì)算機(jī)科學(xué)技術(shù)的發(fā)展離不開軟件的支持，對(duì)于計(jì)算機(jī)中的安全算法、操作系統(tǒng)以及網(wǎng)絡(luò)通訊等均是以計(jì)算機(jī)為基礎(chǔ)而存在的，眾所周知，每個(gè)軟件都存在自己的弱點(diǎn)，也就是軟件漏洞，這些漏洞對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全帶來(lái)了極大的威脅。如何采取合適、可靠的軟件檢測(cè)系統(tǒng)對(duì)計(jì)算機(jī)內(nèi)部的漏洞進(jìn)行檢測(cè)，提前找出軟件中存在的漏洞，消除安全隱患，在此基礎(chǔ)上，及時(shí)有效的修復(fù)軟件中存在的漏洞。如今，為了提高計(jì)算機(jī)安全性能，其內(nèi)部存在具有檢測(cè)和攔截功能的防火墻的功能，但是，并不能修復(fù)所有漏洞。在此基礎(chǔ)上，解決軟件安全問題的有效途徑可以編寫安全代碼，該方法耗時(shí)比較長(zhǎng)，不能及時(shí)取得效果。所以，采取何種方法進(jìn)行軟件安全的檢測(cè)成為了關(guān)鍵。

一、如何進(jìn)行計(jì)算機(jī)軟件的檢測(cè)

在計(jì)算機(jī)軟件開發(fā)過程中，計(jì)算機(jī)軟件的安全檢測(cè)起著重要的作用，計(jì)算機(jī)軟件缺少了它，就會(huì)顯的不完整。我們熟知計(jì)算機(jī)軟件的安全性，經(jīng)過計(jì)算機(jī)軟件的檢測(cè)，我們可以發(fā)現(xiàn)軟件中存在的漏洞和缺陷，在此基礎(chǔ)上，進(jìn)行修復(fù)，只有這樣，才能使得軟件得到完善和優(yōu)化。但是，在防治軟件錯(cuò)誤發(fā)生的主要方法卻不是計(jì)算機(jī)安全檢測(cè)手段，主要原因是在計(jì)算機(jī)安全檢測(cè)的主要任務(wù)是知識(shí)找出程序中容易發(fā)生的錯(cuò)誤。在計(jì)算機(jī)軟件安全檢測(cè)的方法，根據(jù)現(xiàn)有技術(shù)的發(fā)展?fàn)顩r。主要分為兩種，靜態(tài)檢測(cè)和動(dòng)態(tài)監(jiān)測(cè)。計(jì)算機(jī)軟件安全檢測(cè)的本質(zhì)是：為了保證計(jì)算機(jī)軟件的開發(fā)后的功能達(dá)到預(yù)期的效果，需要通過技術(shù)手段，對(duì)軟件中存在的缺陷和漏洞進(jìn)行詳細(xì)的系統(tǒng)化的檢測(cè)。

在現(xiàn)階段技術(shù)發(fā)展的狀況，計(jì)算機(jī)軟件的安全檢測(cè)技術(shù)主要有以下三個(gè)方面的內(nèi)容：檢驗(yàn)測(cè)試、滲透測(cè)試以及功能測(cè)試。計(jì)算機(jī)安全軟件，相對(duì)于其他軟件來(lái)講，具有屬于自己特別的地方，普通軟件的特定是以軟件該做的事情為主，而安全軟件的檢測(cè)特點(diǎn)是避免軟件工作范圍以外的事物為主。需要通過軟件的安全程度測(cè)試，體現(xiàn)出用戶對(duì)軟件的依賴程度，安全檢測(cè)功能發(fā)揮著巨大的作用，他能發(fā)現(xiàn)其他軟件中存在的漏洞，也就是潛在的風(fēng)險(xiǎn)和隱患，而且，還能通過對(duì)某款軟件的安全性能的檢測(cè)，識(shí)別出計(jì)算機(jī)產(chǎn)生的安全風(fēng)險(xiǎn)。

二、計(jì)算機(jī)軟件的安全檢測(cè)注意的事項(xiàng)

計(jì)算機(jī)軟件的安全檢測(cè)的本質(zhì)是通過對(duì)計(jì)算機(jī)進(jìn)行安全檢測(cè)的非靜態(tài)的過程。通常情況，在進(jìn)行計(jì)算機(jī)軟件檢測(cè)的過程中需要有兩個(gè)方面引起注意：

（一）在進(jìn)行軟件檢測(cè)的過程中，需要采取合理科學(xué)的方案

而檢測(cè)工作的人員在檢測(cè)中，需要具備以下幾個(gè)方面的基本的素質(zhì)：首先，對(duì)于軟件安全檢測(cè)的工作需要做到充分了解，其次，對(duì)于計(jì)算機(jī)軟件的特性需要做到熟練掌握。以上兩種基本素質(zhì)是保證檢測(cè)方案實(shí)施起來(lái)的重要基礎(chǔ)。與此同時(shí)，對(duì)于軟件檢測(cè)的工作者需要提出相應(yīng)的要求，而且，在進(jìn)行該工作的人員需要具備相應(yīng)的專業(yè)素質(zhì)和修養(yǎng)，在此周圍需要配備相關(guān)軟件的特點(diǎn)以及使用技術(shù)性的專員。為了保證計(jì)算機(jī)軟件檢測(cè)工作的順利完成，而且，使得計(jì)算機(jī)軟件的安全性和性能達(dá)到預(yù)期的效果，需要做到與計(jì)算機(jī)軟件專業(yè)的各種技術(shù)人員進(jìn)行有效密切的配合。

（二）計(jì)算機(jī)軟件安全檢測(cè)過程中，應(yīng)深入分析

在進(jìn)行計(jì)算機(jī)軟件的安全檢測(cè)的過程中，計(jì)算機(jī)安全檢測(cè)員應(yīng)當(dāng)充分利用自己的專業(yè)素質(zhì)和先進(jìn)的技術(shù)設(shè)備進(jìn)行深入的檢測(cè)和分析。在常見的計(jì)算機(jī)安全軟件存在諸多的問題，例如計(jì)算機(jī)編寫的程序十分的繁瑣，不易掌握，而且規(guī)模十分龐大，數(shù)據(jù)處理十分的復(fù)雜，所以，相關(guān)的計(jì)算機(jī)安全軟件編寫人員在進(jìn)行安全檢測(cè)過程中應(yīng)該注重對(duì)代碼級(jí)、系統(tǒng)級(jí)以及需求及深入分析。更為重要的是，要根據(jù)不同的級(jí)別采取不同的選擇不同的措施，最重要達(dá)到合理，科學(xué)的檢測(cè)目的。從這樣可以得出，計(jì)算機(jī)的安全監(jiān)測(cè)是一個(gè)是一個(gè)十分繁瑣復(fù)雜的過程，因此可知計(jì)算機(jī)安全監(jiān)測(cè)人員一定要冷靜思考如何選擇一個(gè)科學(xué)合理的方案。

三、計(jì)算機(jī)軟件的幾種安全檢測(cè)方法及流程

（一）計(jì)算機(jī)軟件安全檢測(cè)流程

在進(jìn)行計(jì)算機(jī)安全檢測(cè)時(shí)，因?yàn)橛?jì)算機(jī)應(yīng)用軟件包含數(shù)量很多規(guī)模很大的子系統(tǒng)，而且這些子系統(tǒng)又有很多不同的各式各樣的模塊，所以在檢測(cè)時(shí)就存在很多的問題和不便之處。一般在檢測(cè)時(shí)有一下幾個(gè)步驟： 模塊測(cè)試在后是組裝系統(tǒng)，然后是子系統(tǒng)安全測(cè)試，最后是軟件功能和效用測(cè)試，以及系統(tǒng)測(cè)試。在這些的一系列測(cè)試中最為重要的是模塊測(cè)試，模塊測(cè)試只要是對(duì)子系統(tǒng)最小的一個(gè)模塊進(jìn)行測(cè)試，其目的主要是檢測(cè)測(cè)試的輻射是否更加的廣泛和深入，而且能夠在最短的時(shí)間發(fā)現(xiàn)模塊隱藏的風(fēng)險(xiǎn)，進(jìn)而進(jìn)行檢測(cè)，再把認(rèn)真仔細(xì)檢測(cè)過的模塊進(jìn)行組裝，在組裝完成后在對(duì)模塊進(jìn)行進(jìn)一步的全面細(xì)致的檢測(cè)，進(jìn)而進(jìn)一步發(fā)現(xiàn)不足之處，看看所設(shè)計(jì)的模塊是否能達(dá)到預(yù)期，這樣的話，才能使軟件的安全工作做得更好，使得安全監(jiān)測(cè)流程也更加順暢。

（二）計(jì)算機(jī)軟件安全檢測(cè)的方式

1.形式化的安全檢測(cè)

這種安全檢測(cè)的方法比較特別，因?yàn)樗枰獢?shù)學(xué)模型支撐，而且也需要相應(yīng)的規(guī)范化的語(yǔ)言支持方式才能完成。檢測(cè)時(shí)需要常用的語(yǔ)言一般分為三種：第一，行為語(yǔ)言，第二，模型語(yǔ)言，第三，有效狀態(tài)語(yǔ)言。

2.用以模型為基礎(chǔ)的安全靜態(tài)檢測(cè)方式

模型安全檢測(cè)的方式有很多種，最常用的方式就是有限狀態(tài)機(jī)和馬爾科夫鏈，顧名思義，模型安全檢測(cè)就是通過對(duì)軟件行為和結(jié)構(gòu)進(jìn)行有效的建模，從而組成一個(gè)模型，而且保證機(jī)器對(duì)這一結(jié)構(gòu)模型進(jìn)行可讀性。這種檢測(cè)方法相較于以前的檢測(cè)方法更加的系統(tǒng)化，以為他不僅使得待測(cè)軟件系統(tǒng)和規(guī)格在所有情況下都要保持不變，而且使得待測(cè)系統(tǒng)的行為和模型和期望值相同。

3.語(yǔ)法檢測(cè)

語(yǔ)法檢測(cè)主要是建立在語(yǔ)法對(duì)生成功能接口軟件進(jìn)行測(cè)試，從而使得計(jì)算機(jī)軟件在不同的輸入狀態(tài)下產(chǎn)生不同狀態(tài)的反應(yīng)，它主要的檢測(cè)方法主要基于計(jì)算機(jī)軟件接口對(duì)于語(yǔ)言的識(shí)別，語(yǔ)法的定義的基礎(chǔ)上，在進(jìn)行檢測(cè)用例的同時(shí)在進(jìn)行安全檢測(cè)。

4.以故障注入為基礎(chǔ)要素的安全檢測(cè)。

這中檢測(cè)方法比較重要，因?yàn)樗侨诤狭撕芏嗟臋z測(cè)方法，諸如傳統(tǒng)檢測(cè)技術(shù)以及動(dòng)態(tài)監(jiān)測(cè)方法，而且最為重要的是基于在白盒模糊的檢測(cè)的基礎(chǔ)上，相較于舊的檢測(cè)模式已經(jīng)有了很大的改進(jìn)。它主要是在選定固定故障模型的基礎(chǔ)上，構(gòu)建了一系列的故障樹，然后人為的檢測(cè)，繼而使得軟件反饋固定信息，最終實(shí)現(xiàn)檢測(cè)故障容錯(cuò)性和安全性的檢測(cè)。模糊檢測(cè)法很特別，特很簡(jiǎn)單，因?yàn)樗粌H能在程序中找出程序中的錯(cuò)誤，而且能對(duì)對(duì)這種錯(cuò)誤潛在的攻擊渠道進(jìn)行提示。這種檢測(cè)方法不僅能夠使得計(jì)算機(jī)安全化程度的到有效的提升，而且使得計(jì)算機(jī)安全監(jiān)測(cè)技術(shù)得到很大的改善。

5.安全屬性式的檢測(cè)方法

這種軟件安全監(jiān)測(cè)方法最開始要確定定輸入計(jì)算機(jī)安全編程規(guī)則，然后將這種安全編碼進(jìn)行安全驗(yàn)證，檢驗(yàn)它是否安全，以及是否對(duì)這些代碼進(jìn)行了遵守。這中檢測(cè)具有很大的優(yōu)點(diǎn)，首先它能夠提高分析安全漏洞的互交性，其次它起高了安全分析的擴(kuò)展性。

四、結(jié)語(yǔ)

從以上分析中可以看出計(jì)算機(jī)安全監(jiān)測(cè)對(duì)于計(jì)算機(jī)信息安全體系的重要性，尤其在全球化的今天，計(jì)算機(jī)應(yīng)用技術(shù)已經(jīng)深入到各行各業(yè)，對(duì)各個(gè)領(lǐng)域額的發(fā)展都起著重要的作用，對(duì)人們的工作和生活的影響不言而喻，所以為了確?；ヂ?lián)網(wǎng)行業(yè)的健康和諧的發(fā)展，讓其發(fā)揮越來(lái)越大的積極的作業(yè)，我們一定要繼續(xù)加強(qiáng)對(duì)計(jì)算機(jī)安全的研究。

參考文獻(xiàn)

[1]徐巖柏.計(jì)算機(jī)軟件中安全漏洞檢測(cè)研究[J].工程技術(shù)（計(jì)算機(jī)光盤軟件與運(yùn)用）.2007.

[2]馬曉銀.計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)之我見[J].工程技術(shù)（計(jì)算機(jī)光盤軟件與運(yùn)用）.2010（16）.

[3]牛潔，王滈.淺談?dòng)?jì)算機(jī)軟件安全檢測(cè)技術(shù)[J].工程技術(shù)（計(jì)算機(jī)光盤軟件與運(yùn)用）.2012（13）.

[4]李龍.軟件測(cè)試實(shí)用技術(shù)與常用模板[M].北京：機(jī)械工業(yè)出版社，2010，10.

（作者單位：內(nèi)蒙古商貿(mào)職業(yè)學(xué)院）