陳堃

摘 要：電腦和網(wǎng)絡(luò)能夠得以存在的一個(gè)關(guān)鍵背景是軟件。軟件的安穩(wěn)性是其性能的關(guān)鍵構(gòu)成要素，而且檢測工藝又能夠保證軟件實(shí)現(xiàn)穩(wěn)定性特征。通過這個(gè)要素，我們發(fā)現(xiàn)，其安全檢測工藝已經(jīng)變成了確保其穩(wěn)定的重要性內(nèi)容，也就是說安檢工藝可以結(jié)合各種指標(biāo)開展分析活動，而且能夠辨認(rèn)其中面對的不利現(xiàn)象。文章關(guān)鍵講述了該項(xiàng)檢測工藝，以及需要注意的事項(xiàng)，以此來保證軟件的穩(wěn)定性。

關(guān)鍵詞：計(jì)算機(jī)軟件；軟件安全；檢測方法

1 概述

計(jì)算機(jī)軟件安檢活動的意義是為了深入的分析其開發(fā)中面對的不利現(xiàn)象，而且對它開展全方位的分析，將其中的不利現(xiàn)象修整，所以，該項(xiàng)技術(shù)在綜合的開發(fā)時(shí)期體現(xiàn)著非常積極的意義。站在大的層次上來看，計(jì)算機(jī)軟件安全檢測即是花費(fèi)較少的測試時(shí)間和精力獲取最大限度的軟件檢測覆蓋面，從而確保安全檢測的有效性。

2 技術(shù)簡介

該項(xiàng)技術(shù)是軟件研發(fā)的時(shí)候非常關(guān)鍵的一個(gè)組成要素，其意義非常關(guān)鍵。經(jīng)由安全檢測，能夠知道體系在運(yùn)作的時(shí)候面對的不利現(xiàn)象，進(jìn)而能夠?qū)ζ湓谶\(yùn)作的時(shí)候出現(xiàn)的問題進(jìn)行適當(dāng)?shù)奶幚怼２贿^，并不能將其看成是一種防止問題出現(xiàn)的方法，它進(jìn)行的活動是分析運(yùn)行中面對的不利現(xiàn)象。在正常的狀態(tài)中，該項(xiàng)檢測分成兩類，分別是動態(tài)的以及靜態(tài)的。

它是用來分析存在的不利現(xiàn)象的，是確保體系研發(fā)之后的特征能夠被估計(jì)的一種維護(hù)措施。針對現(xiàn)在的狀態(tài)我們發(fā)現(xiàn)，它涵蓋三種層次的內(nèi)容，即功能測試、滲透測試和驗(yàn)證過程。該項(xiàng)技術(shù)和別的類似功效的體系有著很多不一樣的地方，比如針對安全問題的檢測，它更加的關(guān)注應(yīng)對體系活動范圍之外的內(nèi)容，但是一般的體系則是關(guān)注其應(yīng)該進(jìn)行的事件。除此之外，計(jì)算機(jī)軟件安全功能是否能夠滿足用戶的需求是通過安全功能檢測來實(shí)現(xiàn)的，衡量其滿足用戶需求與否的主要包含授權(quán)、機(jī)密性、安全管理及訪問控制等因素。針對安全不良現(xiàn)象的檢測，它的關(guān)鍵意義是為了分析其中存在的不利現(xiàn)象，或者是辨別出一些不良軟件面對的問題。

3 要關(guān)注的具體內(nèi)容

站在一定的層次上來看，該項(xiàng)技術(shù)，它的本質(zhì)是對軟件開展一個(gè)持續(xù)進(jìn)行的安檢工作，結(jié)合當(dāng)前的狀態(tài)，我們發(fā)現(xiàn)其在運(yùn)行的時(shí)候，要關(guān)注如下的兩項(xiàng)內(nèi)容：

第一，選取優(yōu)秀的檢測規(guī)劃。針對該項(xiàng)技術(shù)來說，要在徹底的明白其規(guī)定以及具體特征的前提下，結(jié)合實(shí)際狀態(tài)，選擇優(yōu)秀的檢測方法，而且制定和它對應(yīng)的規(guī)劃內(nèi)容，以此來保證方案得以有效地落實(shí)。除此之外，對于工作者還有很嚴(yán)格的規(guī)定。在開展該項(xiàng)檢測活動的時(shí)候，要保證參加的工作者具有非常充足的專業(yè)知識，還應(yīng)該了解體系的特征以及運(yùn)行等相關(guān)知識。只有相關(guān)的工作者積極地協(xié)調(diào)互動，才可以確保軟件的運(yùn)行合理，實(shí)現(xiàn)應(yīng)有的意義和價(jià)值。

第二，在開展檢測的時(shí)候，要確保綜合有序。常見的電腦軟件體系非常的復(fù)雜，而且面積不小，因此就規(guī)定工作者在開展活動的時(shí)候，要對其進(jìn)行非常細(xì)微的分析。和上面講到的檢測內(nèi)容是相同的，在進(jìn)行軟件中不同級別時(shí)也應(yīng)加強(qiáng)對分析技術(shù)的合理選擇，才能保證分析結(jié)果的準(zhǔn)確性。從這方面來講，該項(xiàng)活動是非常繁瑣的體系步驟，所以，選取優(yōu)秀的檢測工藝以及措施，是開展檢測活動時(shí)，要認(rèn)真關(guān)注的內(nèi)容。

4 檢測措施

4.1 計(jì)算機(jī)軟件安全檢測流程

一般狀態(tài)中，針對該項(xiàng)檢測活動來說，那些比較龐大的體系涵蓋很多小的體系，這些小的體系又有很多單一的模塊要素。

常見的檢測步驟如下：模塊測試→組裝系統(tǒng)→系統(tǒng)結(jié)構(gòu)的安全檢測→軟件功能和性能的有效測試→系統(tǒng)測試。其中模塊測試是指子系統(tǒng)中最小單位的模塊測試，它的意義是為確保測試的區(qū)域更為寬廣，而且更加的細(xì)致，進(jìn)而能夠盡快地察覺出體系中存在的不良現(xiàn)象。在開展好單獨(dú)模塊的測試之后，要結(jié)合設(shè)計(jì)的規(guī)定，對其進(jìn)行全面的組裝活動，把它們設(shè)置成綜合的體系，而且要對重新得到的這個(gè)體系進(jìn)行檢測；之后在保證前述檢驗(yàn)合格的基礎(chǔ)上對系統(tǒng)軟件進(jìn)行功能和性能的有效測試，有效測試的主要目的是為了確保系統(tǒng)軟件功能和性能與用戶需求的一致性；最后在所有相關(guān)測試完成后，實(shí)施對整個(gè)軟件的系統(tǒng)性測試。如此層層把關(guān)的軟件安全檢測流程可為用戶軟件的安全性提供有力的保障。

4.2 計(jì)算機(jī)軟件安全檢測的方式、方法

4.2.1 形式化的安全檢測

此種安全檢測方法是鑒于計(jì)算機(jī)軟件數(shù)學(xué)模型的基礎(chǔ)之上的，并且要求在形式規(guī)格語言的支持前提下，所提供的形式化規(guī)格說明。目前較為常用的形式規(guī)格語言有三種，其中包括行為語言、模型語言和有效狀態(tài)語言。有定理證明和基于模型檢查正式的安全檢測方法。

4.2.2 基于模型的安全靜態(tài)檢測方式

模型安全檢測方式，即通過軟件行為與結(jié)構(gòu)建模的方法，形成一個(gè)測試模型，此模型同時(shí)滿足機(jī)器對其的可讀性。模型安全檢測方式與上述形式化安全檢測相比而言，基于模型的測試并不致力于讓待測軟件系統(tǒng)與規(guī)格說明在所有情況下都保持一致，而是系統(tǒng)化的從模型生成一組測試用例，使用這組測試用例測試待測軟件系統(tǒng)，得到充分的證據(jù)說明待測系統(tǒng)的行為與模型期望的是一致的。常用的安全功能檢測方法是有限狀態(tài)機(jī)和馬爾可夫鏈的方法。

4.2.3 語法檢測

這種檢測方法是基于語法對生成功能接口軟件進(jìn)行檢測。語法檢測，通常情況下以研究反映為目的，即計(jì)算機(jī)軟件在不同的輸入條件下而產(chǎn)生的不同類型的反映。采用語法檢測的方法，一般即指對計(jì)算機(jī)軟件接口處語言的識別、語言語法的定義等，并在以語法為基礎(chǔ)生產(chǎn)檢測用例同時(shí)執(zhí)行安全檢測。

4.2.4 以故障注入為前提的措施

通過很多具體情況，我們發(fā)現(xiàn)該措施有著顯著提升自動化特征的優(yōu)點(diǎn)，是該項(xiàng)技術(shù)中非常關(guān)鍵的一個(gè)要素。具體的講，它是在選取問題模型的前提下，形成故障樹，并通過人為的反復(fù)測試及對軟件所反饋的故障信息，來實(shí)現(xiàn)檢測故障容錯(cuò)性和安全性等有用信息。

4.2.5 模糊式檢測方法

該項(xiàng)措施有效地結(jié)合了常規(guī)的技術(shù)以及動態(tài)技術(shù)，也就是說它的存在有一個(gè)大的背景，白盒模糊檢測，它是以往措施的創(chuàng)新。雖說其沒有多大的難度，不過其體現(xiàn)出很關(guān)鍵性的內(nèi)容。它能夠驗(yàn)證出現(xiàn)實(shí)世界中的錯(cuò)誤模式并在軟件發(fā)貨前對潛在的應(yīng)該被阻塞的攻擊渠道進(jìn)行提示。

4.2.6 關(guān)于安全屬性性質(zhì)的措施

這個(gè)措施和上述方法的比對來看，能夠?qū)崿F(xiàn)有效確保安全漏洞擴(kuò)展性和交互性的全面分析。實(shí)現(xiàn)采用安全屬性式的檢測方法進(jìn)行測試的途徑，首先應(yīng)有效確定計(jì)算機(jī)軟件的安全編程規(guī)則，并將其作為軟件安全檢測的安全屬性；其次利用得到的安全屬性對系統(tǒng)程序的相關(guān)代碼進(jìn)行檢測，以驗(yàn)證系統(tǒng)代碼與相應(yīng)規(guī)則的符合性。

除了上面講到的這些內(nèi)容之外，由于社會不斷的進(jìn)步，很多以Web為前提的軟件體系獲取了非常全面的發(fā)展，所以，和它相關(guān)的檢測工藝也在持續(xù)的發(fā)展壯大，而且獲取了一些創(chuàng)新性的內(nèi)容，主要涉及部署與基礎(chǔ)結(jié)構(gòu)、輸入驗(yàn)證、身份驗(yàn)證、授權(quán)、加密、異常管理等多方面。

總的來說，該項(xiàng)檢測技術(shù)已經(jīng)成為了確保電腦信息運(yùn)作穩(wěn)定的一個(gè)重要的內(nèi)容。由于分析到電腦體系研發(fā)以及運(yùn)行的關(guān)鍵意義，在活動中，經(jīng)常性的歸納知識，積攢能力，以此來確保檢測工藝朝著更加積極合理的方向發(fā)展。

參考文獻(xiàn)

[1]王清.軟件漏洞分析技術(shù)[M].北京：電子工業(yè)出版社，2011，6.

[2]艾倫.軟件安全工程[M].北京：機(jī)械工業(yè)出版社，2009.4.