計(jì)算機(jī)軟件的漏洞檢測(cè)與更新

周偉

摘 要：隨著電子信息在21世紀(jì)初期給世界帶來(lái)的革命性的影響，計(jì)算機(jī)軟件技術(shù)的應(yīng)用已經(jīng)普及到了幾乎每一個(gè)行業(yè)。從簡(jiǎn)單的超市結(jié)算到復(fù)雜的工業(yè)生產(chǎn)中的數(shù)控機(jī)床，都離不開(kāi)電子芯片以及芯片中植入的計(jì)算機(jī)軟件。而伴隨著軟件技術(shù)的大規(guī)模應(yīng)用，軟件的安全性，也就是我們常說(shuō)的漏洞開(kāi)始越來(lái)越受到人們的關(guān)注。該文就針對(duì)我們現(xiàn)行的軟件技術(shù)對(duì)計(jì)算機(jī)軟件的漏洞檢測(cè)以及更新做一個(gè)簡(jiǎn)要的分析。

關(guān)鍵詞：計(jì)算機(jī)軟件 漏洞 更新

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2014）01（a）-0044-01

信息時(shí)代的到來(lái)為人們帶來(lái)了很多便利，從方方面面改變了人們的生活方式，但接踵而至的就是信息化的安全性問(wèn)題。近年來(lái)，不法人員利用計(jì)算軟件的安全性不高，以及各種各樣的漏洞，通過(guò)盜竊、曝光文件、竊取身份信息等多種方式，給人們的生命和財(cái)產(chǎn)帶來(lái)了嚴(yán)重的威脅，因此，計(jì)算機(jī)軟件的安全性問(wèn)題逐漸走入了人們的視線(xiàn)。

1 計(jì)算機(jī)軟件漏洞及其現(xiàn)狀

我們常說(shuō)的計(jì)算機(jī)軟件漏洞是廣義上的軟件安全漏洞，主要是指在軟件的編寫(xiě)過(guò)程中，容易對(duì)整個(gè)計(jì)算機(jī)軟件系統(tǒng)造成安全性方面威脅的缺陷，或者是能夠?qū)φ麄€(gè)系統(tǒng)的運(yùn)行帶來(lái)影響的各類(lèi)因素的總和。由于計(jì)算機(jī)軟件都是人為編制的，所以都會(huì)因?yàn)檐浖木幹迫藛T在編制軟件過(guò)程中的考慮問(wèn)題不全面帶來(lái)安全漏洞，這是每一個(gè)計(jì)算機(jī)系統(tǒng)都存在的問(wèn)題，所以漏洞的出現(xiàn)是在正常不過(guò)了。

但于此同時(shí)，計(jì)算機(jī)軟件存在的漏洞一旦被一些黑客發(fā)現(xiàn)，就會(huì)成為攻擊的目標(biāo)和突破口，所以我們?cè)跓o(wú)法避免計(jì)算機(jī)軟件漏洞的同時(shí)，要及時(shí)對(duì)計(jì)算機(jī)軟件進(jìn)行掃描，對(duì)發(fā)現(xiàn)的漏洞及時(shí)進(jìn)行修復(fù)，這也是評(píng)測(cè)一個(gè)計(jì)算機(jī)系統(tǒng)安全性能的一個(gè)標(biāo)準(zhǔn)。

從當(dāng)前的情況來(lái)看，黑客利用計(jì)算機(jī)軟件系統(tǒng)的漏洞實(shí)施攻擊是當(dāng)下軟件系統(tǒng)安全時(shí)間中最主要發(fā)生的一類(lèi)，并且，網(wǎng)上一般活躍比較多的都是一些初級(jí)黑客，他們?cè)趯?duì)計(jì)算機(jī)軟件系統(tǒng)的漏洞進(jìn)行攻擊是呈現(xiàn)了一定的特點(diǎn)，比如，漏洞遭受攻擊的次數(shù)與漏洞發(fā)布的時(shí)間成反比，也就是說(shuō)，最新發(fā)布的軟件漏洞遭受黑客攻擊的次數(shù)比較多。著也是因?yàn)槲④洉?huì)依據(jù)在系統(tǒng)中檢測(cè)中的漏洞進(jìn)行及時(shí)的補(bǔ)丁完善而導(dǎo)致的，發(fā)布時(shí)間越長(zhǎng)的漏洞，打補(bǔ)丁的用戶(hù)會(huì)越多。因此，如何能夠快速檢測(cè)出聯(lián)網(wǎng)計(jì)算機(jī)在使用過(guò)程中產(chǎn)生的軟件漏洞問(wèn)題，并且有針對(duì)性地進(jìn)行更新，是我們當(dāng)前信息安全人員需要開(kāi)展的重要工作。

2 計(jì)算機(jī)軟件漏洞檢測(cè)常用的技術(shù)

針對(duì)軟件存在漏洞的問(wèn)題，信息安全人員也已經(jīng)于漏洞以及黑客打了半個(gè)多世紀(jì)的交道，因此，在漏洞檢測(cè)技術(shù)中，也形成了一系列檢測(cè)的慣例。如今我們?cè)谟?jì)算機(jī)軟件漏洞的檢測(cè)中比較常用的檢測(cè)方法主要有一下幾種：

（1）靜態(tài)檢測(cè)。靜態(tài)檢測(cè)技術(shù)就是我們軟件工程師常說(shuō)的軟件靜態(tài)測(cè)試，通過(guò)一定的技術(shù)直接分析軟件的源代碼，通過(guò)對(duì)編程源代碼中的語(yǔ)法、語(yǔ)義進(jìn)行分析，從最基本的邏輯中檢測(cè)和去除可能存在的安全隱患或者說(shuō)軟件漏洞。目前在靜態(tài)測(cè)試過(guò)程中主要采取的方法有推斷、數(shù)據(jù)流分析以及約束分析這三類(lèi)。其中，推斷主要是將同語(yǔ)法類(lèi)型的源代碼進(jìn)行總結(jié)，有針對(duì)性地進(jìn)行推斷，而數(shù)據(jù)流分析是通過(guò)斷點(diǎn)檢測(cè)的方法分析源代碼中數(shù)據(jù)的走向，以此來(lái)判斷源程序中是否會(huì)有安全隱患，約束分析就是在源代碼的一些地方認(rèn)為增加一些可能發(fā)生的約束條件，看軟件是否會(huì)產(chǎn)生存在安全隱患的相應(yīng)。

靜態(tài)分析雖然能夠最直接地對(duì)軟件的安全隱患進(jìn)行解除和排查，但是并不能完全排查出軟件中存在的漏洞，因此我們還需要尋找其他配合使用的軟件測(cè)試方法。

（2）動(dòng)態(tài)測(cè)試。動(dòng)態(tài)測(cè)試不同于靜態(tài)分析，是首先將軟件“跑起來(lái)”，在軟件執(zhí)行的情況下對(duì)軟件中的變量在特定時(shí)間域內(nèi)的數(shù)值變化提取出來(lái)進(jìn)行分析，看其是否符合我們預(yù)定的變化軌道，以此來(lái)判斷軟件在哪一個(gè)環(huán)節(jié)會(huì)存在安全。動(dòng)態(tài)測(cè)試中的一種方式是在動(dòng)態(tài)測(cè)試的過(guò)程中就進(jìn)行軟件數(shù)據(jù)信息的收集工作，而另外一種方式是將執(zhí)行過(guò)程中的信息做全紀(jì)錄，之后再用這些信息進(jìn)行漏洞模式匹配，查找軟件漏洞。

（3）混合檢測(cè)?；旌蠙z測(cè)并不是單純地將靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)結(jié)合起來(lái)形成先靜態(tài)后動(dòng)態(tài)或者先動(dòng)態(tài)后靜態(tài)的檢測(cè)方法。而是在結(jié)合了二者的內(nèi)容衍生出的檢測(cè)方法，兼顧有兩種檢測(cè)方法的特點(diǎn)。這其中就包括了測(cè)試庫(kù)技術(shù)、源代碼的改編技術(shù)以及異常檢測(cè)技術(shù)等多種技術(shù)。這些技術(shù)都是使用在不同需求和不同環(huán)境下的混合軟件漏洞檢測(cè)技術(shù)。

通過(guò)計(jì)算機(jī)漏洞的檢測(cè)技術(shù)，讓計(jì)算機(jī)軟件以及計(jì)算機(jī)自身的漏洞能夠盡快找出，從而進(jìn)行軟件的及時(shí)漏洞修補(bǔ)與更新，在一定程度上完成對(duì)于漏洞的檢測(cè)工作。為了讓計(jì)算機(jī)更好的運(yùn)行，并且保證期運(yùn)行的安全性。漏洞檢測(cè)技術(shù)是必然要進(jìn)行開(kāi)發(fā)與研究的，此外要注意對(duì)于漏洞的危險(xiǎn)性級(jí)別的分類(lèi)。

3 計(jì)算機(jī)軟件漏洞的修復(fù)與更新

漏洞的修復(fù)與更新的概念非常廣，不僅包含了我們常說(shuō)的對(duì)計(jì)算機(jī)軟件進(jìn)行升級(jí)或者安全補(bǔ)丁的修復(fù)，我們平時(shí)經(jīng)常使用的安裝防火墻、殺毒軟件以及更改一些關(guān)鍵部位的安全口令都可以看做是最計(jì)算機(jī)軟件的漏洞修復(fù)與更新。以安裝官方的補(bǔ)丁這種修復(fù)方法為例，最早提出對(duì)計(jì)算機(jī)軟件的漏洞進(jìn)行補(bǔ)丁修復(fù)的是微軟公司，在補(bǔ)丁的全生命周期中對(duì)補(bǔ)丁的識(shí)別、部署以及評(píng)估等都需要進(jìn)行有效的管理，才不會(huì)再次成為軟件安全漏洞。在軟件漏洞與修復(fù)的管理中主要有以下幾類(lèi)成熟的管理模型：

（1）微軟補(bǔ)丁管理模型。微軟作為全球計(jì)算機(jī)系統(tǒng)的寡頭，其推行下的補(bǔ)丁管理模型已經(jīng)逐漸成為其他廠(chǎng)商的標(biāo)準(zhǔn)。微軟的補(bǔ)丁管理從漏洞的識(shí)別開(kāi)始，經(jīng)過(guò)計(jì)劃階段、測(cè)試階段和部署階段。整個(gè)流程中通過(guò)對(duì)計(jì)算機(jī)漏洞的威脅等級(jí)進(jìn)行評(píng)估和識(shí)別，在計(jì)劃階段拿出補(bǔ)丁的計(jì)劃方案并予以實(shí)施，再通過(guò)植入系統(tǒng)中進(jìn)行全方位的測(cè)試到最終的部署階段。但是后續(xù)一定要對(duì)補(bǔ)丁的反饋信息進(jìn)行及時(shí)的梳理和統(tǒng)計(jì)。

（2）CNCERT/CC補(bǔ)丁管理流程。這個(gè)補(bǔ)丁的管理流程是來(lái)自于我國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的，將補(bǔ)丁管理視為一類(lèi)特殊的工程管理，也分為事前管理、實(shí)施過(guò)程的管理以及事后管理三部分?？傮w來(lái)講與微軟的管理模式大同小異，只是在事后管理中采取一定措施來(lái)保證計(jì)算機(jī)軟件系統(tǒng)的穩(wěn)定性。

4 結(jié)語(yǔ)

總之，隨著計(jì)算機(jī)技術(shù)的普及化以及越來(lái)越多的計(jì)算機(jī)軟件方面人才的培養(yǎng)，黑客的數(shù)量也會(huì)越來(lái)越多。因此，計(jì)算機(jī)軟件的安全性也需要進(jìn)行更高技術(shù)的改革。作為我們的計(jì)算機(jī)軟件的普通用戶(hù)來(lái)講，發(fā)現(xiàn)軟件的漏洞是非常正常的，但與此同時(shí)，我們也要做好保密工作，不要將漏洞散播出去，而是即使反饋給相應(yīng)的廠(chǎng)商，讓他們?nèi)プ鱿鄳?yīng)的更新工作，這樣我們才能夠有一個(gè)更好的計(jì)算機(jī)軟件的生存環(huán)境。

參考文獻(xiàn)

[1] 王鳳霞.計(jì)算機(jī)軟件技術(shù)的發(fā)展研究[J].電腦知識(shí)與技術(shù)，2009（19）：5-6.

[2] 田銳.計(jì)算機(jī)網(wǎng)絡(luò)軟件的應(yīng)用于功能[J].科技傳播，2012（15）：10-11.

[3] 胡宇.前夕計(jì)算機(jī)軟件安全問(wèn)題及其防護(hù)策略[J].科技咨詢(xún)，2011（32）：7-8.endprint