計(jì)算機(jī)軟件安全檢測(cè)存在的問(wèn)題及方法綜述論文

　　計(jì)算機(jī)軟件安全檢測(cè)主要是進(jìn)行計(jì)算機(jī)軟件漏洞的檢測(cè)，計(jì)算機(jī)軟件漏洞的檢測(cè)主要針對(duì)軟件可能存在的缺陷且該缺陷有可能導(dǎo)致軟件在應(yīng)用中存在一定的風(fēng)險(xiǎn)。由于軟件安全檢測(cè)對(duì)于軟件開(kāi)發(fā)工作是極為重要的過(guò)程，對(duì)軟件安全檢測(cè)工作也是需要相應(yīng)地高度重視。

　　1 計(jì)算機(jī)軟件安全檢測(cè)

　　計(jì)算機(jī)軟件安全檢測(cè)是利用運(yùn)行程序的方式來(lái)發(fā)現(xiàn)軟件編寫(xiě)過(guò)程中存在的一些漏洞并對(duì)漏洞進(jìn)行修改的過(guò)程，從而對(duì)計(jì)算機(jī)軟件本身可能存在的風(fēng)險(xiǎn)進(jìn)行有效地避免和改正，軟件安全檢測(cè)是軟件開(kāi)發(fā)中及其重要的一環(huán)。軟件安全檢測(cè)所需要達(dá)到的目標(biāo)是用更少的測(cè)試過(guò)程來(lái)實(shí)現(xiàn)更大的軟件安全覆蓋面，達(dá)到高效快速地發(fā)現(xiàn)軟件漏洞。目前網(wǎng)絡(luò)中存在很多種對(duì)計(jì)算機(jī)軟件安全檢查的方法，但從本質(zhì)上看，進(jìn)行計(jì)算機(jī)軟件安全測(cè)試的方法主要兩大類。大部分檢測(cè)方案都是基于靜態(tài)檢測(cè)和動(dòng)態(tài)監(jiān)測(cè)兩大類檢測(cè)方法。

　　2 進(jìn)行軟件安全檢測(cè)的意義

　　計(jì)算機(jī)軟件的安全檢測(cè)過(guò)程是整個(gè)軟件開(kāi)發(fā)中極為重要的一個(gè)步驟，越早發(fā)現(xiàn)軟件中可能存在的一些故障問(wèn)題，就意味著越早解決問(wèn)題，就能將軟件出現(xiàn)問(wèn)題的概率降到最低，有效地預(yù)防軟件崩潰。而計(jì)算機(jī)軟件的安全檢測(cè)則主要是對(duì)軟件中可能留存的一些漏洞進(jìn)行測(cè)試，以免該漏洞在今后的日常使用中致使軟件出現(xiàn)故障，因此，對(duì)計(jì)算機(jī)軟件的安全進(jìn)行檢測(cè)是很有必要性的。

　　3 軟件安全檢測(cè)存在的問(wèn)題

　　3.1軟件安全檢測(cè)人員涉及廣泛

　　由于計(jì)算機(jī)軟件的相關(guān)特性，軟件安全檢測(cè)工作涉及的方面廣泛，所需要的檢測(cè)人員及技術(shù)的要求也就對(duì)應(yīng)地提高，需要各方面的技術(shù)人才。對(duì)于檢測(cè)人員的多元化問(wèn)題就極為重要，不僅人員要齊，各方面的合作也要密切。只有多部門(mén)的密切合作以及與軟件開(kāi)發(fā)相關(guān)部門(mén)的密切溝通，才能高效的解決軟件檢測(cè)中出現(xiàn)的各種疑難問(wèn)題。如果沒(méi)有密切的合作，在軟件安全檢測(cè)中，各自為戰(zhàn)，沒(méi)有有效的溝通，不能從實(shí)際出發(fā)，軟件安全檢測(cè)將無(wú)法順利進(jìn)行下去，即使發(fā)現(xiàn)問(wèn)題也沒(méi)有有效的辦法解決問(wèn)題。

　　3.2軟件安全檢測(cè)工作量巨大

　　計(jì)算機(jī)檢測(cè)是一個(gè)系統(tǒng)的復(fù)雜的過(guò)程，有時(shí)候檢測(cè)工作量巨大。在進(jìn)行對(duì)于系統(tǒng)級(jí)軟件或者代碼級(jí)工程的分析工作時(shí)，進(jìn)行軟件安全相關(guān)檢測(cè)必須需要進(jìn)行大量的工作的。不僅如此，在所需檢測(cè)的軟件的規(guī)模較大的時(shí)候，還要對(duì)軟件的結(jié)構(gòu)設(shè)計(jì)方面進(jìn)行必要的分析。而且在對(duì)所需檢測(cè)的軟件的各個(gè)方面進(jìn)行分析的過(guò)程中一般采用仿真環(huán)境和相應(yīng)的分析工具來(lái)進(jìn)行相關(guān)的檢測(cè)工作，因?yàn)檫@兩種分析比較切合實(shí)際工作，較為合理，所以這些分析工作都是必須進(jìn)行的，這些必須進(jìn)行的工作會(huì)大大增加軟件安全檢測(cè)過(guò)程的工作量。

　　4 軟件檢測(cè)問(wèn)題解決方法

　　4.1在對(duì)軟件進(jìn)行綜合分析的基礎(chǔ)上進(jìn)行檢測(cè)

　　檢測(cè)人員在進(jìn)行軟件安全檢測(cè)的工作時(shí)，必須考慮到每個(gè)軟件都有其獨(dú)一性，每個(gè)軟件都有不同的側(cè)重點(diǎn)，只有在對(duì)軟件進(jìn)行系統(tǒng)化的綜合分析的基礎(chǔ)上，才能高效的制定符合該軟件的有效檢測(cè)方案，只有合適的才是最好的，在進(jìn)行綜合分析時(shí)還應(yīng)考慮到符合用戶需求，這樣實(shí)行的檢測(cè)程序才是最為可靠的。

　　4.2大力推廣檢測(cè)人員多元化

　　由于軟件安全檢測(cè)工作涉及范圍大，需要的檢測(cè)人員的技術(shù)方面也不盡相同。所以需要推廣人員多元化需要在進(jìn)行軟件安全檢測(cè)時(shí)注意安排相近但不完全相同的人員在一起。大力推廣檢測(cè)人員的多元化，對(duì)于軟件可能存在的安全問(wèn)題能夠更可能的發(fā)現(xiàn)，并且由于檢測(cè)人員的多元化，對(duì)于出現(xiàn)的問(wèn)題得以解決的可能性也會(huì)增加。在推廣多元化的同時(shí)，也需要注意各部門(mén)之間的合作問(wèn)題，集中優(yōu)勢(shì)技術(shù)人才，加以密切的合作，將專業(yè)技術(shù)人才的潛力發(fā)揮到極致。多元化的人員和密切化的合作能夠到達(dá)檢測(cè)工作的事半功倍，提高軟件安全檢測(cè)效率。

　　4.3選擇合理的安全檢測(cè)方法

　　對(duì)于大量種類不同;用戶需求也不同的軟件，檢測(cè)人員需要選擇合理的檢測(cè)方法。對(duì)于有些系統(tǒng)級(jí)軟件和代碼級(jí)工程，如果采用了不符合要求的檢測(cè)方法，有可能造成工作白費(fèi)，耗費(fèi)大量人工精力和大量資源及時(shí)間，最后所得的結(jié)果有可能不符人意。沒(méi)有一個(gè)能夠符合所有軟件檢測(cè)工作要求的安全檢測(cè)方法，只有選擇合適的檢測(cè)方法，才能達(dá)到預(yù)定的目標(biāo)。軟件的安全檢測(cè)是系統(tǒng)化的一個(gè)過(guò)程，要解決整個(gè)系統(tǒng)內(nèi)全部的安全問(wèn)題，普通的方法是十分困難的，故進(jìn)行具體的安全檢測(cè)時(shí)，如何選擇有效的、具有可行性的方案，是軟件檢測(cè)員必須認(rèn)真思考的問(wèn)題。

　　總體來(lái)說(shuō)，合理地利用安全檢測(cè)方法，在最短時(shí)間內(nèi)有效的找出漏洞，及時(shí)進(jìn)行修改。以下對(duì)于幾種方案進(jìn)行簡(jiǎn)要地介紹：

　　1)安全檢測(cè)方式實(shí)行形式化。安全檢測(cè)方式的形式化，是指通過(guò)在需檢測(cè)軟件之上建立科學(xué)模型來(lái)檢測(cè)的。其在確立相應(yīng)模型后，在規(guī)范的形式語(yǔ)言支持下做出形式性規(guī)格說(shuō)明。當(dāng)前主要運(yùn)用的形式規(guī)則語(yǔ)言主要有行為語(yǔ)言和模型語(yǔ)言以及有效狀態(tài)語(yǔ)言等。手段也主要分為模型檢測(cè)及定理證明等方式。

　　2)實(shí)行以模型為基礎(chǔ)的檢測(cè)方式。使用結(jié)構(gòu)建模方式及軟件行為構(gòu)建測(cè)試模型，以達(dá)到預(yù)期的理想檢測(cè)效果。以模型為基礎(chǔ)的檢測(cè)過(guò)程并不苛求軟件在各種具體情況下的一致性，其主要通過(guò)一些生成的試用例來(lái)測(cè)評(píng)的，并通過(guò)測(cè)查被測(cè)軟件系統(tǒng)與理想模型結(jié)果是否相同來(lái)進(jìn)行安全檢測(cè)的。

　　3)模糊檢測(cè)

　　當(dāng)今采用的模糊檢測(cè)是在傳統(tǒng)檢測(cè)技術(shù)上進(jìn)行改進(jìn)的檢測(cè)技術(shù)，其主要是在白盒技術(shù)上發(fā)展改進(jìn)的檢測(cè)技術(shù)，有效地繼承了模糊測(cè)試和動(dòng)態(tài)測(cè)試的優(yōu)點(diǎn)，具有準(zhǔn)確高效的特點(diǎn)。

　　4)基于故障注入的安全性測(cè)試

　　故障樹(shù)的建立工作是該安全檢測(cè)方法的基本。此方法將系統(tǒng)發(fā)生故障幾率最小的時(shí)間作為頂事件，在此基礎(chǔ)上在進(jìn)行中間事件、底事件的尋找工作，利用邏輯門(mén)符號(hào)再將頂事件、中間事件與底事件進(jìn)行連接，完成形成故障樹(shù)的工作。在保證精度的條件下，此方法可以實(shí)現(xiàn)故障檢測(cè)的自動(dòng)化，實(shí)現(xiàn)檢測(cè)的高效性。

　　5)基于屬性的測(cè)試

　　基于屬性的檢測(cè)工作首先要完成確定軟件的安全編程規(guī)則工作，再進(jìn)行檢測(cè)待測(cè)程序的代碼是否都遵守其確定的規(guī)則編碼，采用這種方法能夠有效地分析安全漏洞。另外，近年大量分布式軟件快速發(fā)展就是基于web服務(wù)的快速發(fā)展，如何利用好web服務(wù)的優(yōu)勢(shì)，將很大程度上取決于如何合理完成這些軟件的安全檢測(cè)工作。而基于web服務(wù)的軟件的安全檢測(cè)也將是適用于基于屬性的測(cè)試方法中的一項(xiàng)重要部分，高效的完成確定軟件的安全編程規(guī)則工作，也就將檢測(cè)工作完成了一大步。

　　7)運(yùn)用語(yǔ)言測(cè)試技術(shù)。在靜態(tài)檢測(cè)技術(shù)中最早出現(xiàn)的檢測(cè)方法就是語(yǔ)言檢測(cè)技術(shù)，它所檢測(cè)的對(duì)象是軟件程序的源代碼及可能產(chǎn)生威脅的C語(yǔ)言函數(shù)庫(kù)調(diào)用，語(yǔ)言檢測(cè)常用的方式是進(jìn)行對(duì)反應(yīng)的研究，其過(guò)程通常是進(jìn)行軟件接口的語(yǔ)言識(shí)別，再進(jìn)行語(yǔ)法的定義，直至生成試用例來(lái)實(shí)際進(jìn)行安全檢測(cè)。

　　8)以故障注入技術(shù)為基礎(chǔ)。如果想要檢測(cè)的比較全面，則可以用基于故障自如的安全測(cè)試。這種方式運(yùn)用故障分析樹(shù)以產(chǎn)生用于檢測(cè)的試用實(shí)例來(lái)進(jìn)行檢測(cè)。故障分析樹(shù)指的是把系統(tǒng)中出現(xiàn)可能最低的事件作為頂事件，再通過(guò)仔細(xì)檢測(cè)來(lái)找出事故發(fā)生過(guò)程中的中間事件及底事件。以邏輯門(mén)符號(hào)，將項(xiàng)事件和中間事件以及底事件連成完整的一棵故障樹(shù)的方式。

　　5 結(jié)束語(yǔ)

　　軟件安全檢測(cè)是重要的一環(huán)軟件開(kāi)發(fā)工作，合理利用安全檢測(cè)，做到軟件潛在漏洞的早發(fā)現(xiàn)、早修正、早解決，有效地避免軟件出現(xiàn)故障的惡性后果。隨著計(jì)算機(jī)技術(shù)的發(fā)展，對(duì)于軟件安全的重要性也在增加，進(jìn)行軟件安全檢測(cè)的必要性也在增加。對(duì)于研究軟件安全檢測(cè)的方法具有重要意義和廣闊前景。