摘要：計算機(jī)軟件安全檢測技術(shù)是計算軟件安全的基礎(chǔ)，它可以根據(jù)有關(guān)指標(biāo)對計算機(jī)軟件進(jìn)行安全測試，并有效識別其中存在的安全隱患。本文將對當(dāng)前計算機(jī)軟件安全檢測技術(shù)做簡要分析，希望對提高我國計算機(jī)軟件的安全性有所幫助。

關(guān)鍵詞：計算機(jī)軟件；安全檢測技術(shù)；檢測方法

中圖分類號：TP311.52 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 17-0000-02

隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，各種計算機(jī)軟件應(yīng)用已經(jīng)深入到人們生活工作的方方面面，成為人們生活和工作中不可或缺的工具。不過各種計算機(jī)軟件安全問題也隨著它們的發(fā)展而變得越來越復(fù)雜，其中計算機(jī)軟件的安全是計算機(jī)和網(wǎng)絡(luò)安全的基礎(chǔ)，因此，要想保證整個計算機(jī)網(wǎng)絡(luò)的安全，必須做好計算機(jī)軟件的安全檢測工作。

1 計算機(jī)軟件安全檢測簡介

軟件的安全性是軟件質(zhì)量的一個重要指標(biāo)，因此，對計算機(jī)軟件的安全進(jìn)行檢測也是軟件開發(fā)中的重要一環(huán)。它能夠及時發(fā)現(xiàn)計算機(jī)軟件中存在的各種故障，并對計算機(jī)軟件做出必要的修補(bǔ)，從而有效降低軟件風(fēng)險。通過使用盡量少的測試用例，以保證盡可能大的軟件檢測覆蓋范圍，發(fā)現(xiàn)盡可能多的問題，并進(jìn)行更正是計算機(jī)軟件檢測的目標(biāo)，但計算軟件安全檢測并不代表能夠保證計算機(jī)軟件沒有錯誤和安全隱患，它僅僅是一種通過檢查計算機(jī)軟件中的錯誤和軟件對各種非法入侵的防范能力來提高軟件安全性的一種方法。同時，計算機(jī)軟件安全檢測也是對計算機(jī)安全實(shí)現(xiàn)是否能夠達(dá)到預(yù)期設(shè)計的一種過程。這一過程包括對計算機(jī)軟件的功能測試、滲透測試和驗(yàn)證測試3個過程，與其它軟件缺陷測試相比，它具有如下不同點(diǎn)：首先，軟件測試內(nèi)容不一樣，安全檢測通常是檢測計算機(jī)軟件安全漏洞檢測和軟件安全功能檢測，軟件安全漏洞檢測是主要針對計算機(jī)軟件可能存在的安全缺陷，以及該缺陷可能導(dǎo)致的安全風(fēng)險。計算機(jī)軟件安全功能檢測是檢測計算機(jī)軟件安全功能是否滿足用戶對軟件安全的需要，檢測的內(nèi)容主要包括對計算機(jī)的機(jī)密性、授權(quán)、訪問控制和安全管理等。其次，危害程度不同，一般的計算機(jī)軟件缺陷，并不能給用戶帶來安全問題，而計算機(jī)軟件安全缺陷一旦被發(fā)現(xiàn)，很可能給用戶帶來嚴(yán)重的安全隱患，甚至引發(fā)嚴(yán)重的系統(tǒng)安全風(fēng)險。第三，軟件的修復(fù)方式不同，計算機(jī)軟件安全缺陷一旦發(fā)現(xiàn)，就必須馬上采取相應(yīng)的安全措施，例如，打補(bǔ)丁，升級軟件等。而對于一般的軟件問題，可以在下一個版本中進(jìn)行修復(fù)。

2 計算機(jī)軟件錯誤類型、來源和檢測方法

計算機(jī)安全是一個非常復(fù)雜的系統(tǒng)，它主要通過信息系統(tǒng)的保密性、完整性和可用性來保證計算機(jī)軟件的安全?？捎嬎銠C(jī)軟件在日常的運(yùn)行中，由于操作配置失誤和安全缺陷等原因，致使計算機(jī)軟件從計算機(jī)底層操作系統(tǒng)到上級應(yīng)用程序、從系統(tǒng)配置管理到用戶操作，從通信基礎(chǔ)設(shè)施到網(wǎng)絡(luò)上層應(yīng)用服務(wù)，都存在著安全隱患。因此，這些隱患主要分兩種，一種是自身配置錯誤，一種是軟件缺陷造成。其中，系統(tǒng)配置錯誤是由于軟件供應(yīng)商和系統(tǒng)管理員在定義訪問控制規(guī)則時出現(xiàn)錯誤造成的。軟件缺陷又有基本軟件缺陷和無關(guān)軟件缺陷兩種，基本軟件缺陷是與軟件安全有關(guān)的錯誤，無關(guān)軟件安全錯誤是指一種與軟件安全無關(guān)的程序中存在軟件缺陷，缺陷發(fā)生后，影響到系統(tǒng)的安全性，配置和軟件錯誤造成各種系統(tǒng)和軟件漏洞被發(fā)現(xiàn)，從而導(dǎo)致軟件不斷被攻擊，供應(yīng)商在為這些漏洞打補(bǔ)丁時，又會將新的漏洞打入系統(tǒng)中，形成惡性循環(huán)，廣泛影響到其它產(chǎn)品。當(dāng)前比較常用的安全檢測方法有靜態(tài)檢測法、動態(tài)監(jiān)測法、混合檢測法和語法檢測法。

3 計算機(jī)軟件安全檢測技術(shù)探究

當(dāng)前常用的計算機(jī)軟件安全檢測技術(shù)有以下幾種：語法檢測技術(shù)，靜態(tài)檢測技術(shù)，動態(tài)檢測技術(shù)，混合檢測技術(shù)，基于web服務(wù)的分布式軟件安全性能檢測技術(shù)。

3.1 語法檢測檢測技術(shù)

語法檢測技術(shù)是基于語法對被檢測軟件功能接口的語法生成軟件進(jìn)行輸入測試，測試軟件在不同輸入條件下，產(chǎn)生不同類型的反應(yīng)。一般它僅僅檢測源程序中有危險的C語言庫函數(shù)和系統(tǒng)調(diào)用，并通過對軟件接口語言的識別，定義語言的語法，以及在以語法為基礎(chǔ)生產(chǎn)測試用例，同時執(zhí)行安全檢測。

3.2 靜態(tài)檢測技術(shù)

靜態(tài)檢測技術(shù)是從程序代碼的內(nèi)部結(jié)構(gòu)和特性上進(jìn)行檢測的一種安全檢測技術(shù)，它通過結(jié)構(gòu)建模和軟件行為的方法來構(gòu)造測試模型，以滿足機(jī)器對模型的可讀性，模型的安全檢測方式是系統(tǒng)化的從模型生成一組測試用例，并利用這組測試用例，來測軟件系統(tǒng)，進(jìn)而得到充分的證據(jù)來說明待測系統(tǒng)的行為與模型期望是一致的，當(dāng)前常用的檢測方法有馬爾科夫鎖鏈和有限狀態(tài)機(jī)兩種，隨著靜態(tài)檢測技術(shù)的發(fā)展，現(xiàn)在靜態(tài)檢測技術(shù)主要有以下種類：詞法分析技術(shù)，規(guī)則檢查技術(shù)和類型推導(dǎo)技術(shù)。

3.3 動態(tài)檢測技術(shù)

動態(tài)檢測技術(shù)是對計算機(jī)軟件運(yùn)行過重的運(yùn)行環(huán)境變量例如堆、棧、內(nèi)存和環(huán)境變量等進(jìn)行分析，以檢測軟件是否存在的漏洞或其它缺陷。動態(tài)監(jiān)測技術(shù)不需要對軟件的源碼和二進(jìn)制代碼做修改，進(jìn)而提高了軟件的保密性。當(dāng)前常用軟件檢測方法包括沙箱技術(shù)、程序解釋技術(shù)、安全共享庫技術(shù)、內(nèi)存映射技術(shù)、非執(zhí)行堆與數(shù)據(jù)技術(shù)、非執(zhí)行棧技術(shù)等。

3.4 混合檢測技術(shù)

混合檢測技術(shù)是計算機(jī)靜態(tài)檢測技術(shù)和動態(tài)檢測技術(shù)相結(jié)合的一種檢測技術(shù)，它克服了靜態(tài)檢測技術(shù)和動態(tài)監(jiān)測技術(shù)的一些缺點(diǎn)，可以更好地對計算機(jī)軟件安全進(jìn)行檢測。當(dāng)前主要的檢測技術(shù)包括測試庫技術(shù)、二進(jìn)制代碼改編技術(shù)、棧保護(hù)編譯擴(kuò)展技術(shù)、基于規(guī)范的檢測技術(shù)、基于異常的檢測技術(shù)等。它在一定程度上提高了檢測的準(zhǔn)確性，給軟件漏洞檢測技術(shù)提出了更多的研究方向。

3.5 基于web服務(wù)的分布式軟件安全性能檢測技術(shù)

近年來，隨著web技術(shù)的高速發(fā)展和廣泛應(yīng)用，一項基于web服務(wù)的分布式軟件安全性能檢測技術(shù)也隨之發(fā)展起來，它是一種基于識別內(nèi)容的分布式Web服務(wù)器技術(shù)，它具有松散耦合、語言中立和平臺無關(guān)、互操作性強(qiáng)的優(yōu)點(diǎn)，能夠?qū)?fù)雜的安全功能分解為7類原子安全處理類型，以使其能夠更有效地適應(yīng)復(fù)雜安全性能測試的需要，并采用故障注入機(jī)制來生成錯誤的soap消息使其支持異常測試，據(jù)近年來的實(shí)驗(yàn)結(jié)果顯示，此種方法具有靈活性、高效性和先進(jìn)性的特點(diǎn)，它能夠?qū)浖娜蒎e性、可靠性和安全性進(jìn)行測試。

4 計算機(jī)軟件安全檢測注意事項

計算機(jī)軟件安全檢測的過程是一個動態(tài)的檢測過程，在軟件的安全檢測過程中應(yīng)注意以下兩個問題。首先，要選擇合理有效的軟件安全檢測方案。在充分了解、掌握該計算機(jī)軟件的要求及特性的基礎(chǔ)上，根據(jù)測試的具體情況選用合理的檢測手段，并編制出相應(yīng)的安全檢測方案。以確保安全檢測方案實(shí)施的有效性。其次，在對計算機(jī)軟件的安全性進(jìn)行檢測時，既要有計算機(jī)軟件安全測試分析人員，還要有掌握該軟件特點(diǎn)及使用方法的設(shè)計人員參與，只有保證該軟件相關(guān)的技術(shù)人員之間的密切配合，才能有效保證計算機(jī)軟件性能安全性的理想效果。第三，在對計算機(jī)軟件進(jìn)行安全檢測時，一定要做到全面分析，分別從代碼級、系統(tǒng)級和需求級的細(xì)致分析，并根據(jù)實(shí)際需要在不同層級上需用不同的技術(shù)方法，以保證分析結(jié)果的正確性。以上三項是選好計算機(jī)軟件技術(shù)，做好計算機(jī)軟件安全的重要保障。

5 總結(jié)

計算機(jī)軟件安全檢測技術(shù)是保證計算機(jī)和網(wǎng)絡(luò)安全的一項基礎(chǔ)工作，必須不斷加強(qiáng)對相應(yīng)技術(shù)的研究，以保證計算機(jī)軟件的安全，為計算機(jī)軟件未來的發(fā)展奠定良好的基礎(chǔ)。

參考文獻(xiàn)：

[1]周寬久，鄭紅波，賴曉晨.軟件安全缺陷檢測技術(shù)最新研究進(jìn)展綜述[J].計算機(jī)工程與應(yīng)用，2010（28）.

[2]耿曉菊，王斐，陸建德.Geng Xiaoju，Wang Fei，Lu Jiande. 一種基于Netlink和Libipq實(shí)現(xiàn)安全模塊聯(lián)動的設(shè)計[J].計算機(jī)應(yīng)用與軟件，2010（05）.

[3]段艷超.軟件安全漏洞自動化識別原理評析[J].中國科技博覽，2009（11）.

[4]周寬久，鄭紅波，劉春燕.ZHOU Kuan-jiu.ZHENG Hong-bo. LIU Chun-yan.基于XML的軟件安全靜態(tài)檢測方法研究[J].計算機(jī)工程與應(yīng)用，2010（28）.

[5]顧濱兵.GU Binbing. 一種軟件模型檢測方法及其原型系統(tǒng)[J].微計算機(jī)應(yīng)用，2010（11）.

[6]李永華，竇春軼.談計算機(jī)安全漏洞動態(tài)檢測的原理方法與實(shí)踐[J].數(shù)字技術(shù)與應(yīng)用，2010（07）.