計(jì)算機(jī)軟件安全檢測(cè)方法的研究

摘 要：計(jì)算機(jī)技術(shù)的迅猛發(fā)展使得計(jì)算機(jī)軟件的應(yīng)用領(lǐng)域不斷擴(kuò)大，在看到計(jì)算機(jī)軟件為我們生活帶來便利的同時(shí)，我們更應(yīng)該注意到計(jì)算機(jī)軟件中存在的漏洞和風(fēng)險(xiǎn)。對(duì)此，我們要加強(qiáng)對(duì)軟件安全性能的測(cè)試。本文通過分析計(jì)算機(jī)軟件中存在的主要漏洞和風(fēng)險(xiǎn)，介紹了幾種比較實(shí)用的安全檢測(cè)方法，為提高軟件的安全性能提供了一些建議。

關(guān)鍵詞：計(jì)算機(jī)；軟件；安全

中圖分類號(hào)：TP311.53

對(duì)計(jì)算機(jī)軟件進(jìn)行安全測(cè)試主要是為了確保軟件的安全性能與最初的設(shè)計(jì)一致，提升軟件的自我防御能力。它并不能證明應(yīng)用程序中沒有錯(cuò)誤，而是為了在危險(xiǎn)來臨之前，找出并更正軟件中存在的問題。

1 計(jì)算機(jī)軟件存在的漏洞和風(fēng)險(xiǎn)

1.1 軟件加密不可靠

加密主要存有以下弱點(diǎn)：（1）加密算法不夠嚴(yán)密，容易被破解；（2）加密鎖受處理能力的限制，無法為軟件提供強(qiáng)有力的保護(hù)；（3）數(shù)據(jù)簽名工作做得不好，數(shù)據(jù)常常被攻擊者更改。因此，在對(duì)軟件進(jìn)行安全測(cè)試時(shí)，要重點(diǎn)測(cè)試軟件的加密弱點(diǎn)。[1]

1.2 錯(cuò)誤處理

一般來說，錯(cuò)誤處理會(huì)返回部分信息給軟件使用者。在這個(gè)過程中，如果調(diào)用了一些不該有的功能，那么這些信息就有可能被其他人利用，一些黑客甚至?xí)ㄟ^分析這類錯(cuò)誤信息來制定攻擊策略。

1.3 權(quán)限設(shè)置問題

一般來說，在對(duì)軟件進(jìn)行設(shè)計(jì)時(shí)，要分權(quán)限。在軟件中分配操作員的權(quán)限，可以規(guī)劃操作員的操作權(quán)限，可以使操作人員在工作中只能操作他權(quán)力范圍內(nèi)的工作內(nèi)容，出現(xiàn)問題可以找到負(fù)責(zé)人。但是如果賦予的權(quán)限過大，那么操作人員就很可能越過權(quán)限去做一些危害安全的操作。權(quán)限過大是設(shè)計(jì)空間過大造成的。因此，測(cè)試人員在測(cè)試應(yīng)用程序的權(quán)限時(shí)，應(yīng)注意檢查設(shè)計(jì)空間的大小。

2 常用的安全檢測(cè)方法

2.1 滲透測(cè)試

滲透測(cè)試其本質(zhì)是以測(cè)試工具為輔，憑借測(cè)試人員的攻防能力和經(jīng)驗(yàn)，模擬黑客攻擊的過程，提前發(fā)現(xiàn)軟件存在的問題，并及時(shí)地予以更正。它的優(yōu)點(diǎn)在于：它能站在攻擊方的角度，深度挖掘軟件中存在的安全漏洞，一般發(fā)現(xiàn)的問題都是真實(shí)存在且極為嚴(yán)重的。但也正因?yàn)檫@樣，測(cè)試人員在選取測(cè)試工具時(shí)，要格外小心，盡量選擇可控制、不具備攻擊性的工具。因?yàn)槿绻x擇不當(dāng)，將會(huì)導(dǎo)致病毒和木馬的入侵和擴(kuò)散，給整個(gè)系統(tǒng)的運(yùn)行帶來不利影響。此外，滲透測(cè)試還存在一些缺點(diǎn)：它的成果大多取決于測(cè)試人員的攻防能力和經(jīng)驗(yàn)。它所模擬的測(cè)試數(shù)據(jù)存有局限性，覆蓋率不高。

2.2 靜態(tài)測(cè)試

與其他測(cè)試方法相比，靜態(tài)測(cè)試并不是通過運(yùn)行被檢測(cè)軟來完成的，而是通過分析源程序的語法、結(jié)構(gòu)等來檢測(cè)軟件的編程是否合符標(biāo)準(zhǔn)。此類測(cè)試方法既可以靠測(cè)試人員完成，也可以通過某些特定的軟件工具自動(dòng)完成，比較常見的靜態(tài)測(cè)試工具有：Log scope、PRQA兩種。與動(dòng)態(tài)測(cè)試相比，它具有快速找到安全漏洞，返工成本低、覆蓋率和查錯(cuò)率高等優(yōu)點(diǎn)。但是，它測(cè)試所需要的時(shí)間也很長。[2]

2.3 黑盒測(cè)試

所謂黑盒測(cè)試就是把軟件看作一個(gè)黑箱子，測(cè)試人員不需要知道這個(gè)黑箱子里面裝的是什么、黑箱是怎么操作的，即不需要花心思去了解軟件的內(nèi)部構(gòu)造。測(cè)試人員需要做的就是嚴(yán)格把關(guān)黑箱的進(jìn)出口，即僅僅需要了解軟件的輸入和輸出結(jié)果。這樣一來，為測(cè)試人員減少了很多測(cè)試工序和測(cè)試時(shí)間，測(cè)試人員的工作與編程人員的工作完全是分開的。但是，如果完全像軟件使用者一樣去使用和操作軟件，也會(huì)產(chǎn)生一些問題。首先測(cè)試人員只能對(duì)一小部分輸入進(jìn)行測(cè)試，不能對(duì)所有輸入進(jìn)行測(cè)試。其次，測(cè)試人員在測(cè)試軟件時(shí)，采用的測(cè)試用例很可能是開發(fā)人員已經(jīng)使用過的，測(cè)試效率不高。再者，它并不能對(duì)軟件的某個(gè)程序段進(jìn)行單獨(dú)測(cè)試，而這類程序段或許存在錯(cuò)誤。因此，本文認(rèn)為測(cè)試人員在使用黑盒測(cè)試方法時(shí)，應(yīng)該按照以下四個(gè)步驟來判斷程序的正確性：（1）認(rèn)真審視軟件的行為是否處于正常范圍；（2）仔細(xì)檢查輸出結(jié)果的正確性；（3）輸入各種信息，結(jié)合（1）和（2）來觀測(cè)軟件的反應(yīng)程度；（4）時(shí)常對(duì)軟件的關(guān)鍵部位進(jìn)行診斷。

2.4 白盒測(cè)試

如果黑盒測(cè)試是中醫(yī)，那么白盒測(cè)試就是西醫(yī)了。與黑盒測(cè)試相比，白盒測(cè)試方法是把被軟件產(chǎn)品視為一個(gè)打開的盒子，需要測(cè)試人員去理解軟件的內(nèi)部結(jié)構(gòu)以及運(yùn)行方式。測(cè)試人員需要利用某些測(cè)試工具，跟蹤并檢查某個(gè)輸入信息進(jìn)入軟件之后對(duì)軟件的影響、軟件是如何處理這些影響以及處理方式是否符合標(biāo)準(zhǔn)。比如對(duì)于一個(gè)與SQL Server數(shù)據(jù)庫連接的軟件系統(tǒng)來說，可以簡單地把程序的作用看作是：把用戶輸入的數(shù)據(jù)通過SQL命令請(qǐng)求后臺(tái)數(shù)據(jù)庫，數(shù)據(jù)庫把請(qǐng)求的數(shù)據(jù)返回給程序的界面層展示給用戶。可以把SQL Server自帶的工具事件探查器當(dāng)成是一個(gè)檢查SQL數(shù)據(jù)傳輸?shù)木軆x器，它可以記錄軟件客戶端與服務(wù)器數(shù)據(jù)庫之間交互的所有舉動(dòng)，測(cè)試人員能清楚地知道軟件究竟發(fā)揮了什么作用。

白盒測(cè)試的優(yōu)點(diǎn)在于它能幫助測(cè)試人員熟悉代碼的每條路徑，檢查出藏于代碼中的錯(cuò)誤。但是它也有缺點(diǎn)，那就是測(cè)試成本高，無法檢測(cè)代碼中遺漏的路徑和數(shù)據(jù)敏感性錯(cuò)誤。

2.5 灰盒測(cè)試方法

灰盒測(cè)試綜合了白盒測(cè)試和黑盒測(cè)試的特點(diǎn)。主要表現(xiàn)為：它既要檢測(cè)輸出、輸入是否正確，又要關(guān)注程序內(nèi)部運(yùn)行狀態(tài)。如有時(shí)輸出是正確的，但內(nèi)部早已出現(xiàn)了錯(cuò)誤，如果采用白盒測(cè)試方法來測(cè)試，效率會(huì)非常低，在此種情況下，就需要采取灰盒測(cè)試方法。[3]

與黑、白盒測(cè)試方法相比，灰盒測(cè)試有以下幾個(gè)特點(diǎn)：（1）利用灰盒測(cè)試方法，測(cè)試人員能更為全面地了解軟件產(chǎn)品；（2）與白盒測(cè)試相比，灰盒測(cè)試因?yàn)槌绦虼a的改變而導(dǎo)致用例無效的幾率更低；（3）與白盒測(cè)試相比，灰盒測(cè)試方法需要測(cè)試人員去了解程序的代碼邏輯。

利用灰盒測(cè)試方法進(jìn)行測(cè)試需要注意以下幾點(diǎn)問題：（1）灰盒測(cè)試是從軟件的整體出發(fā)的。因此，測(cè)試人員在進(jìn)行測(cè)試設(shè)計(jì)時(shí)，要從軟件的整體出發(fā)；（2）將灰盒測(cè)試用于單元測(cè)試，而非集成測(cè)試；（3）灰盒測(cè)試方法需要測(cè)試人員深入了解產(chǎn)品的代碼邏輯。因此，在測(cè)試時(shí)，業(yè)務(wù)邏輯圖是非常重要的，測(cè)試人員需要按照業(yè)務(wù)邏輯圖來劃分功能點(diǎn)，并擴(kuò)展用例。

3 各種測(cè)試方法之間的聯(lián)系

無論是黑盒測(cè)試，還是白盒測(cè)試。他們都不是絕對(duì)的靜態(tài)或者動(dòng)態(tài)測(cè)試方法。如測(cè)試人員在利用黑盒測(cè)試方法，運(yùn)行程序，看輸入輸出時(shí)，黑盒測(cè)試就有可能是動(dòng)態(tài)測(cè)試；測(cè)試人員在利用黑盒測(cè)試方法，不運(yùn)行程序，只看界面時(shí)，黑盒測(cè)試也有可能是靜態(tài)測(cè)試。測(cè)試人員在利用白盒測(cè)試方法，運(yùn)行程序并且分析代碼結(jié)構(gòu)時(shí)，白盒測(cè)試有可能是動(dòng)態(tài)測(cè)試；測(cè)試人員在利用白盒測(cè)試方法，不運(yùn)行程序，只靜態(tài)察看代碼時(shí)，白盒測(cè)試也有可能是靜態(tài)測(cè)試。

4 結(jié)束語

總之，計(jì)算機(jī)軟件的安全直接影響到人民的隱私、財(cái)產(chǎn)安全。安全測(cè)試對(duì)于提高計(jì)算機(jī)的使用效率，維護(hù)用戶的利益非常重要。社會(huì)各界在關(guān)注計(jì)算機(jī)軟件性能的同時(shí)，更應(yīng)該注意提高軟件的安全性能。

參考文獻(xiàn)：

[1]高曉.論軟件的破解與保護(hù)策略[J].長春工程學(xué)院學(xué)報(bào)（自然科學(xué)版），2013（03）.

[2]郭向英，劉景煒.匯編語言自動(dòng)單元測(cè)試工具設(shè)計(jì)方法研究[J].質(zhì)量與可靠性，2006（03）.

[3]張衛(wèi)祥，劉文紅.灰盒測(cè)試方法的實(shí)踐與研究[J].飛行器測(cè)控學(xué)報(bào)，2010（06）.

作者簡介：吐遜江·麥麥提（1969-），男，維吾爾族，新疆阿克蘇市人，中國農(nóng)業(yè)大學(xué)本科生，講師（新疆阿克蘇職業(yè)技術(shù)學(xué)院），主要從事計(jì)算機(jī)類課程教育教學(xué)工作。

作者單位：新疆阿克蘇職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)系，新疆阿克蘇 843000