熊永亮

摘 要：隨著計算機技術(shù)的快速發(fā)展，計算機在人們?nèi)粘Ｉ钪械牡匚辉絹碓街匾鋵θ藗兩詈凸ぷ鞯挠绊懺絹碓酱?，改變了人們的生活模式。特別是隨著信息時代的到來，網(wǎng)絡(luò)的普及越發(fā)迅速，人們在享受計算機便利的同時，也遭受著軟件帶來的不同風險。在這樣的社會背景下，筆者結(jié)合自身研究成果，闡述當下軟件使用所面臨的風險，探討軟件安全開發(fā)關(guān)鍵技術(shù)，從而讓整個軟件的使用階段都能實現(xiàn)網(wǎng)絡(luò)安全覆蓋，這對于加強軟件的安全使用和長遠發(fā)展都有著重要影響。

關(guān)鍵詞：軟件安全 關(guān)鍵技術(shù) 開發(fā) 研究

中圖分類號：TP30 文獻標識碼：A 文章編號：1674-098X（2017）01（a）-0113-02

隨著信息技術(shù)的不斷進步，計算機在人們?nèi)粘Ｉ钪械牡匚辉絹碓街匾?，無論是生活還是工作都離不開對計算機軟件的使用。相比蒸汽時代和工業(yè)時代，信息時代極大地加快了生產(chǎn)力的發(fā)展，軟件的發(fā)明和使用更是直接轉(zhuǎn)變了我們的生活方式。從日常的娛樂再到每個人都不得不面對的交通、醫(yī)療等方面，都在大規(guī)模地使用軟件。隨著軟件使用的不斷推廣，其給用戶和開發(fā)商帶來的風險我們也必須加以重視。目前，大多數(shù)的軟件開發(fā)商都缺少安全意識，在軟件構(gòu)件過程中對于安全漏洞都不重視，其關(guān)注的重點主要是維護軟件使用，為其開發(fā)補丁并升級，實際上這是舍本逐末的做法。因為開發(fā)商從完善安全漏洞中并不能得到多少經(jīng)濟收益，這對于以追逐利益為天性的商人來說沒有吸引力，使得他們還是將業(yè)務(wù)轉(zhuǎn)移到其他高利潤的地方。所以，筆者將在該文中就軟件安全開發(fā)的關(guān)鍵技術(shù)等方面進行闡述。

1 軟件所帶來的風險

在筆者調(diào)查和查閱資料后發(fā)現(xiàn)，目前對軟件安全造成威脅的原因有兩點：首先是正版軟件費用太高，個人或團體因不愿付費使用軟件而對其進行破解，違法傳播賺取利益；其次則是大多數(shù)軟件中都存在安全漏洞，被技術(shù)高超的黑客盯上進行攻擊，來滿足自己的私欲。上述情況中，不管出現(xiàn)哪種都會對企業(yè)造成難以挽回的利益損失。

一般來說，軟件的版權(quán)保護問題主要表現(xiàn)為軟件被非法破解、違法傳播和使用，也就是國內(nèi)屢禁不止的盜版問題，不僅會損害軟件開發(fā)者利益，更會給軟件使用帶來高風險，使其更容易遭受攻擊。

隨著互聯(lián)網(wǎng)的普及，使得越來越多的人能夠享受到網(wǎng)絡(luò)服務(wù)，特別是云計算概念的研發(fā)，極大地方便了用戶的網(wǎng)絡(luò)操作。對于用戶而言，往往只需要一臺計算機，接上互聯(lián)網(wǎng)，就能享受網(wǎng)絡(luò)給他帶來的便利。不過，在軟件給人們帶來便利的同時，卻面臨著安全漏洞遭受攻擊的巨大風險，攻擊者利用對數(shù)據(jù)的篡改、竊取來獲取利益，使得用戶或服務(wù)商的個人隱私或經(jīng)濟利益受到威脅。

2 軟件安全開發(fā)的關(guān)鍵技術(shù)探討

2.1 基于硬件的版權(quán)保護技術(shù)

該技術(shù)指的是在軟件授權(quán)加密過程中在計算機上連接外部硬件，通過硬件技術(shù)的安全性來避免軟件受到攻擊或是被惡意復制。這些外接于計算機上的硬件設(shè)備以加密狗或加密卡為主，而這些設(shè)備中基本都內(nèi)置了CPU和一定容量的存儲空間，軟件開發(fā)時都會把一些關(guān)鍵性模塊存儲在該硬件里。只有程序在執(zhí)行時由硬件中的CPU先對關(guān)鍵模塊實施解密，接著軟件再開始繼續(xù)工作。所以，只有當計算機接入硬件準確，同時成功解密模塊后，軟件才會繼續(xù)工作，由此來防止軟件被惡意盜取的情況。

2.2 動態(tài)軟件水印技術(shù)

目前，隨著人類社會的不斷進步，對于知識產(chǎn)權(quán)的保護也愈加關(guān)注，在軟件知識產(chǎn)權(quán)保護領(lǐng)域也是如此，特別是隨著互聯(lián)網(wǎng)技術(shù)的成熟，軟件傳播的不斷加快，使得軟件知識產(chǎn)權(quán)被侵權(quán)的現(xiàn)象更加普遍。過去由于技術(shù)限制，基本上對軟件知識產(chǎn)權(quán)保護的措施以加密為主，盡管這些手段對于軟件保護有著短期保護作用，但從長遠來看，并不能進行長期保護。

所以，隨著軟件技術(shù)水平的提高，研究人員研發(fā)了一種新的保護技術(shù)——動態(tài)水印技術(shù)。從技術(shù)原理來看，該技術(shù)并不像加密等技術(shù)手段對軟件本身進行保護，而是把開發(fā)商的信息隱藏起來，存儲到軟件中，這樣這些信息就難以被黑客發(fā)現(xiàn)，同時，這些信息能夠有效地標識出作者、所有者等信息，在提取后，能夠?qū)Ξa(chǎn)品實施鑒定。經(jīng)過筆者的調(diào)查和確認，該技術(shù)對于軟件產(chǎn)品的保護是卓有成效的。

2.3 軟件靜態(tài)源代碼分析技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)的迅速普及，人們對軟件的使用頻率也在不斷提高，軟件安全漏洞也愈發(fā)嚴重。對于眾多的用戶和開發(fā)商而言，想要發(fā)現(xiàn)軟件漏洞是比較困難的，那么要想快速便捷地查找軟件漏洞，避免因為軟件漏洞而對用戶造成的利益損害，就需要使用軟件靜態(tài)源代碼分析技術(shù)。

該技術(shù)在目前屬于最為有效的安全漏洞檢測技術(shù)。從技術(shù)原理上看其優(yōu)勢在于，對待要檢測的軟件直接檢查并分析其源代碼就行了，不需要像其他安全漏洞檢測技術(shù)那樣要先運行軟件再檢測，從而提高了檢測效率。該軟件目前被廣大用戶和開發(fā)商廣泛使用，主要原因是其優(yōu)點較為突出，包括對源碼分析的速度較快、還能同時對其系統(tǒng)展開檢測。不過，該檢測手段還是有著不小的弊端，像是需要花費許多時間對所得的檢測結(jié)果分析然后得到結(jié)果，盡管能夠發(fā)現(xiàn)漏洞但卻無力修復。所以，筆者提出了一種對類進行度量來對靜態(tài)分析工具的掃面結(jié)果展開優(yōu)先級排序的算法，從而處理其弊端。

2.4 動態(tài)數(shù)據(jù)依賴安全分析與動態(tài)軟件保護

當下，隨著人們使用軟件的頻率不斷提高，越來越多的黑客盯上了這塊蛋糕，通過攻擊用戶或開發(fā)商來獲取不當利益，使得軟件的安全問題越來越嚴重。軟件的不斷研發(fā)和更新，使得其中存在的安全漏洞數(shù)量快速增長，新種類的安全漏洞被不斷發(fā)現(xiàn)，同時，來自外界的軟件破解也愈加頻繁。因此，怎樣快速地找出軟件中存在的安全漏洞，對其及時修補從而加強軟件的安全水平就成了極為重要的問題。筆者針對該問題，提出了一種動態(tài)數(shù)據(jù)依賴安全分析的辦法，該辦法能夠準確地找出安全漏洞，并提出動態(tài)軟件保護算法，可以及時地尋找出軟件中隱藏的安全漏洞并確保軟件安全。

當我們在程序的動態(tài)執(zhí)行過程中發(fā)現(xiàn)了從某個輸入函數(shù)到關(guān)鍵性函數(shù)之間有著一條不通過校驗方法的數(shù)據(jù)流路徑的話，那么我們就能確定程序中有著一個安全漏洞。如此，我們就能利用對程序在執(zhí)行過程中展示的動態(tài)數(shù)據(jù)依賴圖完成分析工作，我們利用檢測數(shù)據(jù)流路徑能否通過校驗方法，來查看程序在不同執(zhí)行路徑下是否存在著安全漏洞。這種通過對程序的動態(tài)數(shù)據(jù)依賴圖展開分析同時檢測安全漏洞的方法我們稱之為動態(tài)數(shù)據(jù)依賴安全分析。

動態(tài)數(shù)據(jù)依賴安全的工作原理就是對程序正常工作實施分析，查看程序在不同運行路徑下是否有安全漏洞的存在，由此來實現(xiàn)檢測的目的，相比靜態(tài)源代碼分析技術(shù)其檢測安全漏洞準確率明顯高了許多。當然該技術(shù)也不是絕對完美的，漏報也是時有發(fā)生。在某條程序中存在的路徑在程序執(zhí)行過程中沒有覆蓋到時，若是該路徑中含有安全問題，就無法有效檢測到。所以，利用該技術(shù)手段進行分析時，需要盡量徹底地對程序的執(zhí)行路徑實施覆蓋，從而避免漏報的情況出現(xiàn)。

3 結(jié)語

目前，隨著互聯(lián)網(wǎng)的普及，計算機網(wǎng)絡(luò)安全問題也愈加重要，來自黑客的攻擊、病毒、甚至是網(wǎng)絡(luò)犯罪等，時刻威脅著網(wǎng)絡(luò)使用的個體戶或開發(fā)商的合法利益。所以，為了提高軟件的安全性能，保護使用者的隱私和經(jīng)濟利益，就需要開發(fā)人員在軟件開發(fā)時減少安全漏洞的產(chǎn)生，避免軟件被黑客攻擊或是破解，從而有效解決軟件的安全問題，推動軟件行業(yè)發(fā)展。

參考文獻

[1] 汪普慶.計算機軟件安全及其防范探討[J].數(shù)字技術(shù)與應(yīng)用，2016（1）：219.

[2] 潘博.淺談計算機軟件安全檢測方法[J].電腦知識與技術(shù)，2013（13）：2996-2997.

[3] 張凌云.淺談計算機軟件安全檢測方法[J].信息通信，2014（1）：140.