蔡炎峰

摘 要 隨著計(jì)算機(jī)技術(shù)的發(fā)展，不斷地豐富著人們的生活，為人們生活而服務(wù)，可見信息技術(shù)在人們生活中所取得的重要地位，所以一旦信息系統(tǒng)出現(xiàn)了安全問題就會(huì)令人們普遍的關(guān)注，在計(jì)算軟件當(dāng)中，安全漏洞是威脅最大的問題，對(duì)電腦的軟件有時(shí)會(huì)帶來致命的打擊。所以對(duì)這方面進(jìn)行研究是非常必要的，因此安全漏洞就成為了信息軟件工程探討的主要問題。

關(guān)鍵詞 計(jì)算機(jī) 軟件 安全漏洞

中圖分類號(hào)：TP31 文獻(xiàn)標(biāo)識(shí)碼：A

隨著計(jì)算機(jī)軟件技術(shù)的不斷發(fā)展，為人們享受更加高端的技術(shù)帶來了幫助，然而在發(fā)展的同時(shí)，軟件中的問題也開始不斷的產(chǎn)生。其中，安全漏洞問題就是主要問題之一，因此研究解決漏洞的技術(shù)是現(xiàn)在急需解決的問題。因此，本文針對(duì)這方面進(jìn)行了詳細(xì)的探析。

1存在于計(jì)算機(jī)軟件中的漏洞

所謂漏洞，是指在計(jì)算的軟件系統(tǒng)中所存在的弱項(xiàng)及不足項(xiàng)目，對(duì)于這些弱項(xiàng)很容易導(dǎo)致計(jì)算機(jī)軟件系統(tǒng)對(duì)于一些特殊的隱患或?qū)﹄[患出現(xiàn)極高的敏感性，更甚者會(huì)對(duì)系統(tǒng)產(chǎn)生攻擊。計(jì)算機(jī)軟件中的漏洞產(chǎn)生的原因主要是對(duì)軟件的研制和開發(fā)的過程中，設(shè)計(jì)人員的操作出現(xiàn)誤差導(dǎo)致的。一般來講，漏洞的表現(xiàn)形式分為兩種：即安全性的漏洞和功能性的漏洞。安全性的漏洞指在通常的情況下不能影響到軟件和計(jì)算機(jī)的正常工作，但是一旦被黑客所利用，軟件的運(yùn)行就會(huì)出現(xiàn)錯(cuò)誤，或是產(chǎn)生一些惡意的執(zhí)行代碼，發(fā)出不正確的指令，這樣的危險(xiǎn)性就很高。功能性的漏洞指可以對(duì)計(jì)算技術(shù)的正常運(yùn)行帶來影響的漏洞，比如說運(yùn)行流程或是運(yùn)行結(jié)果出現(xiàn)錯(cuò)誤。

漏洞有著自身獨(dú)特的性質(zhì)，主要表現(xiàn)在：首先，在程序的制作過程中出現(xiàn)一些邏輯性錯(cuò)誤是很平常的事，出現(xiàn)的原因就是由于編制者的疏忽導(dǎo)致；其次，在計(jì)算的軟件進(jìn)行運(yùn)算或是處理的過程時(shí)也容易發(fā)生以上的錯(cuò)誤，將過大或過小的程序與同等的模塊比較，就會(huì)覺察到它是很容易出現(xiàn)邏輯錯(cuò)誤的；再次計(jì)算機(jī)的漏洞與時(shí)間也有著緊密的聯(lián)系，會(huì)隨著時(shí)間而不斷的增加，一些平常的漏洞會(huì)被修補(bǔ)及糾正，這樣新的漏洞情況也就會(huì)不斷地凸顯出來。

2計(jì)算機(jī)軟件當(dāng)中有關(guān)安全漏洞的監(jiān)測(cè)技術(shù)

針對(duì)出現(xiàn)的安全漏洞問題我們可以按照以下的方法進(jìn)行解決：動(dòng)態(tài)監(jiān)測(cè)與靜態(tài)監(jiān)，下文就針對(duì)這兩項(xiàng)技術(shù)進(jìn)行下詳細(xì)的闡述。

2.1計(jì)算機(jī)安全漏洞中的靜態(tài)檢測(cè)技術(shù)的應(yīng)用

所謂靜態(tài)的檢測(cè)技術(shù)就是應(yīng)用程序的分析方式對(duì)程序中的源代碼或二進(jìn)制代碼進(jìn)行分析的技術(shù)方法，就是對(duì)被檢測(cè)的有關(guān)程序代碼進(jìn)行掃描檢測(cè)，從語(yǔ)法和語(yǔ)義上弄清楚程序的具體行為，把被測(cè)程序的基本特征直接的分析出來，把導(dǎo)致錯(cuò)誤的異常找出來。這樣的靜態(tài)檢測(cè)技術(shù)的優(yōu)點(diǎn)就是計(jì)算機(jī)的軟件根本就不用處于運(yùn)行的狀態(tài)，在檢測(cè)的過程中就會(huì)比較容易和順利。

關(guān)于靜態(tài)的檢測(cè)方式還可以分類出以下的幾種方式：①有關(guān)詞法的檢測(cè)，這是最先產(chǎn)生的一種靜態(tài)檢測(cè)的方式，它就是單純的對(duì)語(yǔ)法進(jìn)行檢查驗(yàn)證，換句話說，就是單純的對(duì)程序源代碼里面存在危險(xiǎn)的C語(yǔ)言中的系統(tǒng)調(diào)用和庫(kù)函數(shù)進(jìn)行檢測(cè)。②有關(guān)程序的評(píng)注方式，人們可以利用程序的有關(guān)評(píng)注信息進(jìn)行有關(guān)的分析，接下來找出隱藏在計(jì)算機(jī)當(dāng)中的安全漏洞，此外這時(shí)還要將外面的數(shù)據(jù)標(biāo)識(shí)為tainted，最后的步驟就是把其再轉(zhuǎn)交給專業(yè)代碼審計(jì)的有關(guān)人員對(duì)出現(xiàn)的這些漏洞進(jìn)行排查與檢測(cè)。③類型推斷的檢測(cè)技術(shù)，指的是通過運(yùn)用一種最新的修飾方法，對(duì)幾類特殊的使用用戶輸入指針等一些數(shù)據(jù)以此來提高對(duì)安全漏洞問題的制約。

2.2計(jì)算機(jī)安全漏洞中的動(dòng)態(tài)檢測(cè)技術(shù)的應(yīng)用

所謂動(dòng)態(tài)的檢測(cè)即是在不修改二級(jí)代碼或是不修改目標(biāo)程序的情況下，進(jìn)而來對(duì)程序的執(zhí)行階段能否存在著漏洞進(jìn)行檢測(cè)的一種技術(shù)方式，動(dòng)態(tài)檢測(cè)的技術(shù)主要是利用對(duì)修改運(yùn)行環(huán)境進(jìn)行分析（內(nèi)存，環(huán)境變量，桟和堆等），以此來進(jìn)行完成，可以提高程序的保密性，并且還會(huì)逐漸的提高，進(jìn)而達(dá)到安全的效果。

動(dòng)態(tài)檢測(cè)的技術(shù)方式可以概括為下面的幾種類型：①非執(zhí)行桟的技術(shù)，這種技術(shù)指的是：當(dāng)黑客對(duì)桟中的人惡意的注入不正常代碼進(jìn)行有關(guān)的破壞時(shí)，該技術(shù)會(huì)使用阻止桟執(zhí)行代碼能力的方式防御黑客進(jìn)行攻擊。②數(shù)據(jù)和非執(zhí)行堆技術(shù)，這種技術(shù)是指：在軟件還沒有進(jìn)行正常運(yùn)行的時(shí)候，會(huì)對(duì)其進(jìn)行禁止執(zhí)行的方式，數(shù)據(jù)和非執(zhí)行堆技術(shù)可以用于檢測(cè)甚至可以阻止全部?jī)?nèi)存中的惡意的代碼。③有關(guān)內(nèi)存映射的技術(shù)。④沙箱技術(shù)。⑤安全的共享庫(kù)技術(shù)。⑥有關(guān)程序的解釋技術(shù)。

3結(jié)語(yǔ)

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，人們對(duì)于計(jì)算機(jī)的應(yīng)用越來越廣泛，然而作為計(jì)算機(jī)核心的軟件在技術(shù)的發(fā)展中有不斷的問題暴漏出來，尤其是安全漏洞問題已經(jīng)成為了計(jì)算機(jī)軟件中的一大殺手之一，給軟件的合理、安全的運(yùn)轉(zhuǎn)埋下了巨大的隱患，因此對(duì)于安全漏洞問題進(jìn)行研究，找到一種合理的解決方式，是現(xiàn)在軟件系統(tǒng)的重要工作。對(duì)此本文對(duì)計(jì)算機(jī)安全漏洞的檢測(cè)技術(shù)進(jìn)行了探析，在實(shí)際的應(yīng)用中給人們以幫助。

參考文獻(xiàn)

[1] 浙江重點(diǎn)學(xué)科——計(jì)算機(jī)軟件與理論[J].浙江師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2006（04）.

[2] 馬海濤.計(jì)算機(jī)軟件安全漏洞原理及防范方法[J].科協(xié)論壇，2009（06）.

[3] 龔靜.論計(jì)算機(jī)網(wǎng)絡(luò)安全與漏洞掃描技術(shù)[J].株洲給工學(xué)院學(xué)報(bào)，2005（04）.