淺談計算機軟件安全檢測技術

摘 要：在當代社會，科技以成為第一生產力，在人們工作和生活中計算機已成為人們不可缺少的工具，各式各樣的計算機軟件被應用的越來越廣泛。網絡和計算機要生存就必須要依賴于軟件，但人們對計算機的應用歸根結底還是對軟件的應用，而判斷一個計算機軟件好壞的重要標準就是軟件的安全性了。若想要確保軟件的安全性，我們可以從安全檢測技術的運用入手。本文針對安全檢測技術應用中的問題和方法，進行了詳細的剖析。

關鍵詞：計算機軟件；計算機；安全；檢測技術

中圖分類號：TP311.53

1 軟件安全狀況簡介

在計算機的軟件開發(fā)及運用過程中，安全檢測是其不可忽略的一個重要環(huán)節(jié)。安全檢測的目的是為發(fā)現(xiàn)軟件運行時出現(xiàn)的故障，然后針對其隱藏的風險進行修補，以保證軟件的正常運行。但是目前的計算機檢測技術無法完全避免錯誤和漏洞的出現(xiàn)，不能保證軟件絕對是安全的，當下的檢測手段通常是用為數(shù)不多的檢測來達成廣泛的覆蓋檢測范圍，找出的只是其中比較明顯的漏洞。

比較各種類型的軟件漏洞間的不同，軟件安全方面的缺陷主要包括下列幾個特點：首先，計算機軟件安全缺陷通常并非是測試軟件的專業(yè)人員發(fā)現(xiàn)的，反而是由某些妄圖獲得不法利益的黑客找出的。其次，一般在發(fā)現(xiàn)危害性不強的軟件漏洞后，通常都未做到立即修復，而是等到該軟件的下一個版本才會進行修復，但一旦軟件漏洞未被及時修補，極易給軟件用戶造成損失。最后，就危害程度而言，普通的軟件漏洞不會造成特別嚴重的危害，但其安全缺口一旦被別有用心的人利用，就會使用戶的使用安全出現(xiàn)巨大風險。

計算機的軟件安全測試主要由功能測試、滲透測試以及驗證過程三方面構成。與其他種類的軟件相比，軟件安全測查所注重的不是其能做什么，反而是測試其不能做什么。一般而言，安全檢測主要是安全漏洞方面的檢測及安全功能方面的檢測構成的。軟件安全功能檢測所要求的范圍十分寬泛，包括訪問控制和授權、機密性以及安全管理等方面，檢測軟件安全功能能否達到其安全要求的過程即其安全功能檢測。

2 安全檢查應注意的問題

在需要對計算機軟件進行安全檢測的時候，有哪些問題需要注意：

2.1 要制定科學的檢測方案。要在充分的了解，把握待檢測軟件的特性的基礎上，來對其開始進行安全性能測試，并根據(jù)安全測試的具體情況，有針對性的確定有實用性的檢測方法對其進行編制，使方案得到真正有效的實施。此外也對具體執(zhí)行檢測的人員提出了相應的要求，在安全檢測過程中，必須由熟練掌握檢測知識的人員與熟悉被檢測軟件的人員進行通力合作。只有兩方面的專業(yè)技術人員的配合，才能真正保障安全檢測的效果。

2.2 做到系統(tǒng)且全面的分析。計算機軟件有程序復雜、規(guī)模龐大等特點，故而在進行安全測試時需要分別對代碼級、系統(tǒng)級以及需求級進行有針對性的詳盡檢測。如果遇到特大規(guī)模的軟件，還需從結構設計等方面進行細致的分析。并根據(jù)實際情況，按照詳細分析的過程選擇其所需要的相關分析技術。

軟件的安全檢測是系統(tǒng)化的一個過程，要解決整個系統(tǒng)內全部的安全問題，普通的方法是十分困難的，故進行具體的安全檢測時，如何選擇有效的、具有可行性的方案，是軟件檢測員必須認真思考的問題。

3 軟件安全檢測的具體方法

3.1 科學的規(guī)范化流程。在較大規(guī)模的軟件系統(tǒng)中，大多數(shù)都會有若干個子系統(tǒng)，而每一個子系統(tǒng)又由多個功能模塊組成。

模塊測試、組裝系統(tǒng)、系統(tǒng)結構的安全檢測、性能檢測、系統(tǒng)檢測是計算機軟件安全檢測必不可少的五個環(huán)節(jié)。模塊檢測我們又可以稱為單元測試，所檢測的對象是軟件設計中最小的功能單位。為準確發(fā)現(xiàn)每個系統(tǒng)功能中可能存在的漏洞，需要進行模板測試，以達到細節(jié)化、全面化的檢測。在具體的模板檢測完成后，需要進行的是系統(tǒng)的組裝過程，要根據(jù)其自身的設計理念來進行。在實際的組裝操作過程中應該對相關的每個體系結構進行相應的安全檢測。在模板測試及系統(tǒng)結構的測試都完成后，為使軟件可以達到用戶的使用要求，還需對其進行功能有效性進行測試。直至所有步驟完成之后，再結合計算機的硬件、數(shù)據(jù)庫等進行一個系統(tǒng)的測試。

3.2 行之有效的具體方法。軟件安全檢測包括動態(tài)的檢測及靜態(tài)的檢測兩種手段。動態(tài)檢測主要指內存的分析，環(huán)境變量等的修改，結合其運行環(huán)境已進行測試的，想增強程序保密性實行軟件的安全運行，就可以通過動態(tài)檢測的方法來完成。靜態(tài)檢測是通過程序分析、程序源代碼的解析以而找到程序中導致異常的原因。靜態(tài)分析技術的兩個重要的指標就是錯誤率和誤報率，這兩個指標的出現(xiàn)是成反比的。靜態(tài)分析的主要問題在于其結果常常只是真正結果的近似值，不能夠真正反應出實際情況。但是其同時也具有不需軟件真正運行就可以檢測，實行相對方便。兩者比較而言，靜態(tài)檢測因為其技術有較高的自動化，檢測速度較快且過程方便，故更受操作人員的歡迎。

（1）安全檢測方式實行形式化。安全檢測方式的形式化，是指通過在需檢測軟件之上建立科學模型來檢測的。其在確立相應模型后，在規(guī)范的形式語言支持下做出形式性規(guī)格說明。當前主要運用的形式規(guī)則語言主要有行為語言和模型語言以及有效狀態(tài)語言等。手段也主要分為模型檢測及定理證明等方式。（2）實行以模型為基礎的檢測方式。使用結構建模方式及軟件行為構建測試模型，以達到預期的理想檢測效果。以模型為基礎的檢測過程并不苛求軟件在各種具體情況下的一致性，其主要通過一些生成的試用例來測評的，并通過測查被測軟件系統(tǒng)與理想模型結果是否相同來進行安全檢測的。（3）運用語言測試技術。在靜態(tài)檢測技術中最早出現(xiàn)的檢測方法就是語言檢測技術，它所檢測的對象是軟件程序的源代碼及可能產生威脅的C語言函數(shù)庫調用，語言檢測常用的方式是進行對反應的研究，其過程通常是進行軟件接口的語言識別，再進行語法的定義，直至生成試用例來實際進行安全檢測。（4）以故障注入技術為基礎。如果想要檢測的比較全面，則可以用基于故障自如的安全測試。這種方式運用故障分析樹以產生用于檢測的試用實例來進行檢測。故障分析樹指的是把系統(tǒng)中出現(xiàn)可能最低的事件作為頂事件，再通過仔細檢測來找出事故發(fā)生過程中的中間事件及底事件。以邏輯門符號，將項事件和中間事件以及底事件連成完整的一棵故障樹的方式。（5）踐行模糊測試法。建立在白盒檢測的基礎之上的檢測方法我們把它叫做模糊測試法，它有效的將動態(tài)檢測技術和傳統(tǒng)檢測技術合二為一，相對于傳統(tǒng)的檢測技術有了較大的發(fā)展。其具體方式是通過對被檢測系統(tǒng)提供大量無價值的、非預期的、隨機的輸入，以發(fā)現(xiàn)軟件的異常狀況。其具有成本低，運用簡單，自動化程度高等許多優(yōu)點。（6）利用根據(jù)屬性的檢測方式。要實行這種檢測方式，先要明確被測軟件的具體編程規(guī)則，并將其作為安全屬性，以檢測目標軟件的程序代碼是不是符合相關規(guī)則，通過這樣來確定其安全性。和其他檢測方式相比，這種方式可以全面的、系統(tǒng)的分析軟件存在的安全漏洞交互性及擴展性。（7）測試技術的多樣化發(fā)展。近年以來，針對WEP安全所展開的相關測試技術，發(fā)展速度也十分驚人，如分布式的軟件安全檢測技術等等?？偟膩碚f，軟件的安全檢測具備的主要功能是解決軟件在設計分析及其具體運行過程中存在的問題，以優(yōu)化計算安全性能，保證其可以維持整體軟件系統(tǒng)的正常運轉。

4 結束語

在當代，計算機軟件的安全檢測工作在軟件實際應用體系中具有日益重要的作用。只有通過不間斷的積累、創(chuàng)新，并在具體實踐中踐行，才能促進相關技術的不斷提高。與此同時，還應不斷提高我們自身的安全保障意識及防測技術，以真正保障軟件安全應用，維護軟件使用者的切身利益，從而促進市場的平穩(wěn)健康發(fā)展。

參考文獻：

[1]李潔.軟件測試用例設計[J].電腦編程技巧與維護，2010（04）.

[2]楊洪路，宮云戰(zhàn)，高文齡，白哥樂.軟件安全靜態(tài)檢測技術與工具[J].信息化縱橫，2009（09）.

[3]羊建林，周安民.windows異常處理與軟件安全[J].信息安全與通信保密，2011（04）.

作者簡介：王曉東（1978.09-），男，吉林長白人，工程師，本科，研究方向：計算機科學與技術。

作者單位：廣州出入境檢驗檢疫局，廣州 510623