安全技術(shù)在計算機軟件開發(fā)中的應用

朱冰

（上海交通大學，上海 200003）

0.引言

計算機網(wǎng)絡(luò)信息化時代的到來在一定程度上改變了人們的生活學習和工作方式，促進了社會生產(chǎn)力的提升，并為人類帶來更多的價值。使用計算機網(wǎng)絡(luò)的時候可以不受時間地域限制，當中包含大量繁雜信息數(shù)據(jù)和功能，有著共享性也將在很大程度上包含著隱患問題。

1.安全技術(shù)應用目的

安全技術(shù)在計算機軟件開發(fā)當中是不可或缺的一部分，它的出現(xiàn)最初是為了解決一些人為干預問題，在應用的過程中安全保護能夠從根本上解決病毒木馬等侵襲，并能降低人為惡意攻擊的情況，如此一來便能有效降低計算機使用過程中受到惡意攻擊概率。如果計算機中的信息數(shù)據(jù)被盜取或者受到惡意攻擊和病毒問題都能引起計算機的正常使用。所以說相關(guān)行業(yè)對計算機軟件開發(fā)的過程中有必要科學使用安全技術(shù)，建立在網(wǎng)絡(luò)功能基礎(chǔ)上確保計算機能夠穩(wěn)定運行下去。

2.計算機軟件開發(fā)中存在的安全問題

2.1 參與軟件設(shè)計和開發(fā)的人員，沒有接受有效的安全知識培訓

一個簡單的軟件開發(fā)流程包括需求分析、產(chǎn)品設(shè)計、開發(fā)和測試。由于當前具有安全技術(shù)和知識背景的設(shè)計和開發(fā)人員非常短缺，導致多數(shù)軟件的開發(fā)中，很多參與人員以及工程師，沒有足夠的掌握安全知識，最終導致開發(fā)的軟件漏洞百出。安全培訓的重點是提高全體項目人員的安全意識，包括產(chǎn)品經(jīng)理、設(shè)計和研發(fā)、測試人員的代碼安全意識。

2.2 沒有有效的軟件權(quán)限管理

權(quán)限管理通常由最基本的兩個方面組成，一個是本身軟件運行的時候，所需要申請的執(zhí)行權(quán)限，通常在安全設(shè)計中，要遵循最低的權(quán)限規(guī)則（Principle of least privilege），也就是說一個軟件要完成某項任務，如果只需要普通權(quán)限就可以做到，那么就不要請求高權(quán)限（比如超級用戶或者管理員權(quán)限）來執(zhí)行操作。軟件開發(fā)的過程中，一個常見的錯誤，就是為了開發(fā)方便，一律使用最高的權(quán)限，這常常導致，如果軟件出現(xiàn)漏洞時，黑客或者攻擊者也能夠獲得最高的權(quán)限，因此破壞性也更大。

另一個方面常常出現(xiàn)安全問題的地方是，很多軟件沒有對用戶的權(quán)限做出嚴格的基于身份認證的權(quán)限分級。這樣的錯誤，也會導致一個普通的用戶，有可能被賦予過高的操作權(quán)限，比如對某些受限的計算機資源（如信用卡數(shù)據(jù)）進行讀取和修改。這樣一旦該用戶被攻擊，或者其身份信息被攻擊者獲取，那么破壞性也會變大。

2.3 安全設(shè)計理念落后

隨著計算機技術(shù)的發(fā)展，黑客或者攻擊者的技術(shù)水平也是在不斷的提高，因此，作為軟件的設(shè)計或者開發(fā)著，也要時刻關(guān)注最新的安全設(shè)計理念的運用。比如說，隨著計算機性能的不斷提高，以及量子計算機的研究并運用，導致以前非常安全的密碼算法，很容易會被輕松的破解，因此在這種情況下，如果軟件中要對關(guān)鍵敏感的數(shù)據(jù)進行加密保護的時候，就要使用通過中國國密認證或者美國NIST （National Institute of Standards and Technology）推薦的加密或者簽名算法，同時要提高密鑰的長度（比如對稱加密算法密鑰長度要提高到256bit以上）。一個常見的錯誤，就是使用了落后的算法，或者自己團隊開發(fā)的、自認為很安全的密碼算法，有的甚至把密碼的密鑰內(nèi)容直接放在程序代碼中，這些都能導致攻擊者輕易的破解軟件，并解密受保護數(shù)據(jù)。

還有一些錯誤，就是軟件缺乏有效的現(xiàn)代軟件升級以及管理技術(shù)。因為任何軟件都不可避免的在使用中會出現(xiàn)漏洞，因此，如果高效快速的升級、修復漏洞，也是衡量軟件安全的一個重要因素。

3.安全技術(shù)在計算機軟件開發(fā)中的應用

針對上面的內(nèi)容，增加相關(guān)的安全培訓 （項目中可開展針對性的培訓，例如代碼中經(jīng)常出現(xiàn)的問題、測試過程中多次出現(xiàn)的漏洞等都可以作為培訓的重點），以及應用最新的安全設(shè)計理念。

3.1 入侵檢測

入侵檢測作為一種安全技術(shù)，它被運用于計算機系統(tǒng)中是安全穩(wěn)定的保障，一旦計算機系統(tǒng)遭到攻擊，入侵檢測技術(shù)能最快時間展開分析識別，對攻擊自己的目標追蹤，最后的結(jié)果在利用手段將其處理。結(jié)合入侵檢測技術(shù)對計算機運行的系統(tǒng)和網(wǎng)絡(luò)全面檢測屬于基礎(chǔ)性保障，可有效解決計算機中存在的一些問題。入侵檢測技術(shù)本身就綜合了許多先進技術(shù)，應用的時候又融合了人工智能，整個計算機系統(tǒng)都能及時檢測，一旦有異?，F(xiàn)象發(fā)生，就會優(yōu)先保護用戶信息資金安全。除此之外，這項技術(shù)應用到其他方面對于計算機主機來說能對信息自動化識別，系統(tǒng)中的數(shù)據(jù)也會定期展開檢查，達到實時保護效果，計算機網(wǎng)絡(luò)當中這項技術(shù)也能對信息的傳輸展開安全保護[1]。

3.2 加密

加密技術(shù)對于計算機軟件的開發(fā)也非常重要，屬于安全防范功能之一，合理使用加密技術(shù)能夠?qū)⒅匾臄?shù)據(jù)信息提供給開發(fā)者并進行隱藏保護處理，能進一步避免信息損失。合理使用加密技術(shù)屬于計算機軟件系統(tǒng)雙層保護，無論是病毒黑客還是木馬攻擊計算機系統(tǒng)的時候會降低泄漏率，并減少風險問題發(fā)生，從而保全用戶利益。除此之外，結(jié)合用戶的多元化需求通過加密技術(shù)展開保護讓他們的隱私不受侵犯，例如，對加密文件傳輸?shù)倪^程中進行加密處理，可抵擋病毒木馬侵犯，也能讓計算機程序時刻處于安全環(huán)境下運行。

3.3 病毒查殺

計算機網(wǎng)絡(luò)中的病毒類型非常多，他們的特點是傳染性強且危害大，一般無法識別出來，要是計算機網(wǎng)絡(luò)和系統(tǒng)受到病毒攻擊的話，計算機會形成漏洞或者資源損失現(xiàn)象，所以有必要采用病毒防范技術(shù)。它除了能防止病毒滋生以外，還能對病毒全面清除，計算機軟件開發(fā)工作中必須先行設(shè)計防病毒防范系統(tǒng)，運行的同時把它開啟，全面凈化病毒，尤其是潛在的那些被以最快的時間隔擋，檢測出來要立即清除。工作人員操作當中把病毒的感染特征全面分析，計算出計算機程序中是否還有病毒或者什么類型的，最終將其解決以后記錄下來，結(jié)合大數(shù)據(jù)技術(shù)發(fā)揮好病毒防范技術(shù)在計算機軟件開發(fā)中的作用。

3.4 安全認證

安全認證技術(shù)建立在模塊化理念基礎(chǔ)上，把計算機軟件系統(tǒng)改善，能有效促進網(wǎng)絡(luò)程序安全，他按照硬件驅(qū)動、操作、應用等系統(tǒng)結(jié)合。包括硬件驅(qū)動的程序就是計算機外接設(shè)備運行狀態(tài)的控制，這樣就能保證信息數(shù)據(jù)能傳輸?shù)接嬎銠C軟件內(nèi)部，操作系統(tǒng)是設(shè)備和各種移動終端設(shè)備連接組合而成，運用一些先進的技術(shù)。

4.總結(jié)

要想讓計算機軟件順利完成開發(fā)，并保障安全有效性，就必須讓其中的計算機輔助網(wǎng)絡(luò)系統(tǒng)保持安全和穩(wěn)定，采用多種安全技術(shù)對系統(tǒng)全方位保護，及時排除隱患，更新技術(shù)類型，最大化保障用戶利益不受任何損失。