久久精品99久久|国产剧情网站91|天天色天天干超碰|婷婷五天月一av|亚州特黄一级片|亚欧超清无码在线|欧美乱码一区二区|男女拍拍免费视频|加勒比亚无码人妻|婷婷五月自拍偷拍

信息安全畢業(yè)論文

計(jì)算軟件的安全檢測(cè)方法

時(shí)間:2022-10-05 22:13:03 信息安全畢業(yè)論文 我要投稿

計(jì)算軟件的安全檢測(cè)方法

  計(jì)算軟件的安全檢測(cè)方法【1】

  摘要:隨著科學(xué)技術(shù)水平的不斷提高,計(jì)算機(jī)軟件在生產(chǎn)生活中的應(yīng)用也越來(lái)越廣泛,已經(jīng)深入到國(guó)民經(jīng)濟(jì)的各個(gè)領(lǐng)域,但隨之而來(lái)的軟件安全問(wèn)題也正在得到大家的注意。

  眾所周知,一旦軟件出現(xiàn)重大安全問(wèn)題,將直接導(dǎo)致計(jì)算機(jī)文件的丟失,有的甚至造成系統(tǒng)癱瘓等更為嚴(yán)重的后果。

  本文主要以計(jì)算機(jī)軟件的安全檢測(cè)為研究對(duì)象,對(duì)計(jì)算機(jī)軟件安全的檢測(cè)方法進(jìn)行了相關(guān)論述。

  關(guān)鍵詞:計(jì)算機(jī)檢測(cè)方法;軟件安全;計(jì)算機(jī)安全

  計(jì)算機(jī)軟件安全檢測(cè)主要是為了避免由于軟件應(yīng)用問(wèn)題所產(chǎn)生的潛在的安全風(fēng)險(xiǎn)。

  近年來(lái)針對(duì)計(jì)算機(jī)的軟件安全檢測(cè),越來(lái)越受到社會(huì)各界的重視,關(guān)于計(jì)算機(jī)軟件安全的檢測(cè)方法,也在不斷的討論與研究中被大家認(rèn)識(shí)。

  本文主要針對(duì)計(jì)算機(jī)軟件的安全檢測(cè)方法進(jìn)行了相關(guān)論述,以期更好的預(yù)防計(jì)算機(jī)軟件安全問(wèn)題。

  一、計(jì)算機(jī)軟件安全測(cè)試的重要性分析

  計(jì)算機(jī)軟件的安全檢測(cè)是在計(jì)算機(jī)軟件開(kāi)發(fā)過(guò)程中的十分重要的環(huán)節(jié),計(jì)算機(jī)軟件檢測(cè)的主要目標(biāo)是為了發(fā)現(xiàn)軟件中可能存在的一些故障問(wèn)題,從而可以有效的預(yù)防計(jì)算機(jī)存在的潛在風(fēng)險(xiǎn)。

  計(jì)算機(jī)的安全測(cè)試是保障計(jì)算機(jī)程序安全的有效手段。

  從目前計(jì)算機(jī)安全測(cè)試的方法來(lái)看,一般是分為靜態(tài)測(cè)試和動(dòng)態(tài)測(cè)試。

  就計(jì)算機(jī)軟件安全測(cè)試來(lái)講,計(jì)算機(jī)軟件安全檢測(cè)是為了檢測(cè)計(jì)算機(jī)是否能夠安全運(yùn)行計(jì)算機(jī)軟件預(yù)定所預(yù)設(shè)的程序。

  軟件測(cè)試的過(guò)程一般包括功能測(cè)試和滲透測(cè)試以及驗(yàn)證過(guò)程這三個(gè)主要程序。

  計(jì)算機(jī)軟件安全測(cè)試的安全性和一般意義上所說(shuō)的軟件缺陷存在著很大區(qū)別,軟件安全檢測(cè)所側(cè)重的是軟件應(yīng)該做什么,而不是可以做什么。

  在進(jìn)行計(jì)算機(jī)軟件安全檢測(cè)時(shí),一般分為計(jì)算機(jī)安全檢測(cè)和計(jì)算機(jī)安全漏洞檢測(cè)。

  計(jì)算機(jī)安全功能的測(cè)試是檢測(cè)計(jì)算機(jī)的軟件安全功能和安全功能之間的步調(diào)是否一致。

  軟件的安全功能測(cè)試所涉及的內(nèi)容非常的廣泛,具體包括了機(jī)密性和授權(quán),同時(shí)還包括訪問(wèn)控制及安全管理等等。

  相比之下計(jì)算機(jī)軟件的安全漏洞就非常不同,主要是針對(duì)軟件中可能存在的一些缺陷進(jìn)行測(cè)試,如果不進(jìn)行相關(guān)測(cè)試。

  則該缺陷很有可能會(huì)導(dǎo)致軟件日常的應(yīng)用中出現(xiàn)故障,所以,進(jìn)行計(jì)算機(jī)安全測(cè)試是十分有必要的。

  二、計(jì)算機(jī)軟件安全檢測(cè)的注意事項(xiàng)

  計(jì)算機(jī)的軟件安全測(cè)試是一個(gè)動(dòng)態(tài)的測(cè)試過(guò)程,在實(shí)際操作過(guò)程中需要注意以下事項(xiàng)。

  首先要針對(duì)所檢測(cè)的計(jì)算機(jī)軟件進(jìn)行深入的了解,了解計(jì)算性軟件的相關(guān)特性。

  經(jīng)過(guò)綜合分析后,進(jìn)行選擇想對(duì)應(yīng)的檢測(cè)技術(shù)手段,本著從實(shí)際出發(fā)的角度制定出安全合理的檢測(cè)方案,方案必須經(jīng)濟(jì)合理且保證檢測(cè)的效果。

  在人員配置方面,要注意檢測(cè)人員專(zhuān)業(yè)的多源化。

  在進(jìn)行計(jì)算機(jī)的軟件安全檢測(cè)的時(shí)候,不僅僅是要配備相應(yīng)的軟件安全分析人員,同時(shí)還需要與軟件設(shè)計(jì)相關(guān)的總體設(shè)計(jì)人員,只有多方面全力配合,才能分析解決軟件測(cè)試中的多種疑難問(wèn)題。

  其次在進(jìn)行計(jì)算軟件安全的相關(guān)檢測(cè)時(shí),對(duì)系統(tǒng)級(jí)以及需求級(jí)和代碼級(jí)的分析是必須進(jìn)行的。

  當(dāng)軟件規(guī)模較大的時(shí)候,還要對(duì)軟件的結(jié)構(gòu)設(shè)計(jì)方面進(jìn)行必要的分析。

  在進(jìn)行分析的過(guò)程中要選擇實(shí)際工作中較為合理的分析方法,一般采用仿真環(huán)境和相應(yīng)的分析工具來(lái)進(jìn)行相關(guān)的檢測(cè)工作。

  計(jì)算機(jī)檢測(cè)是一個(gè)系統(tǒng)的過(guò)程,單一的方法有時(shí)候往往難以獨(dú)立完成,需要多方面技術(shù)人才的通力配合才能準(zhǔn)確無(wú)誤的完成檢測(cè)。

  三、計(jì)算機(jī)軟件安全檢測(cè)方法論述

  (一)計(jì)算機(jī)軟件測(cè)試的步驟

  對(duì)于計(jì)算機(jī)軟件的程序來(lái)講,規(guī)模較大的軟件系統(tǒng)一般是由是由一些子系統(tǒng)共同組成的,而不同的一些子系統(tǒng)又由若干個(gè)小的模塊構(gòu)成。

  計(jì)算機(jī)軟件測(cè)試一般的步驟是,先進(jìn)行一定的單元測(cè)試,就是通常所說(shuō)的模塊測(cè)試,模塊測(cè)試一般是依據(jù)軟件設(shè)計(jì)中的最小單位所進(jìn)行的測(cè)試。

  模塊測(cè)試的目標(biāo)是為了發(fā)現(xiàn)系統(tǒng)模塊可能存在的一些缺陷。

  在模塊測(cè)試之后,將所有的模塊按照一定的程序進(jìn)行設(shè)計(jì)并組裝成系統(tǒng)。

  并且需要對(duì)相關(guān)的體系進(jìn)行一定的安全測(cè)試。

  在此基礎(chǔ)之上,進(jìn)一步進(jìn)行有效性的測(cè)試,有效性測(cè)試是十分必要的步驟。

  有效性測(cè)試的主要目的是對(duì)軟件的性能和功能進(jìn)行檢查,檢測(cè)是否與用戶(hù)的需求相吻合。

  最后的步驟是進(jìn)行系統(tǒng)測(cè)試,就是通過(guò)有效性的軟件將計(jì)算機(jī)支持軟件、數(shù)據(jù)已經(jīng)硬件等結(jié)合起來(lái)進(jìn)行測(cè)試。

  (二)計(jì)算機(jī)軟件安全檢測(cè)的方法論述

  1.形式化與模型的安全測(cè)試。

  對(duì)于安全檢測(cè)方法來(lái)講,首先是要確立軟件的數(shù)學(xué)模型,運(yùn)用形式規(guī)格說(shuō)明語(yǔ)言的支持來(lái)進(jìn)行形式化的規(guī)格說(shuō)明。

  一般經(jīng)常用到的形式規(guī)格和語(yǔ)言包括了基于模型語(yǔ)言、以及基于有限狀態(tài)的語(yǔ)言和基于行為的語(yǔ)言。

  基于模型的安全的功能測(cè)試方法該方法,是對(duì)計(jì)算機(jī)的軟件行為和結(jié)構(gòu),通過(guò)建模的方式生成測(cè)試的模型。

  然后以測(cè)試模型作為基礎(chǔ)進(jìn)而生成檢測(cè),從而驅(qū)動(dòng)軟件的計(jì)算機(jī)安全檢測(cè)。

  一般較為常用的模型安全功能測(cè)試的方法主要有馬爾可夫鏈。

  2.語(yǔ)法測(cè)試與故障注入的安全測(cè)試。

  語(yǔ)法測(cè)試是對(duì)被檢測(cè)的軟件的功能接口的語(yǔ)法生成的軟件測(cè)試輸入的方法。

  這種方法可以測(cè)試軟件對(duì)于不同類(lèi)型輸入的反應(yīng)情況。

  語(yǔ)法測(cè)試進(jìn)行測(cè)試的程序是對(duì)軟件接口的語(yǔ)言的識(shí)別以及定義語(yǔ)言的語(yǔ)法。

  故障注入的安全性測(cè)試是利用故障分析樹(shù)和故障樹(shù)的最小割集來(lái)進(jìn)行檢測(cè)。

  故障分析樹(shù)分析法使用系統(tǒng)最不應(yīng)該出現(xiàn)的時(shí)間作為頂事件,以此來(lái)尋找故障可能發(fā)生的中間事件和底事件,故障注入法可以提高檢測(cè)的自動(dòng)化程度,是比較充分的計(jì)算機(jī)安全檢測(cè)方法。

  3.模糊測(cè)試與基于屬性的測(cè)試。

  模糊測(cè)試,目前使用較多的是基于白盒的模糊測(cè)試方法,這種方法是對(duì)傳統(tǒng)意義上的模糊測(cè)試方法的一種進(jìn)步。

  這種檢測(cè)方法比較有效的結(jié)合了傳統(tǒng)的模糊測(cè)試與動(dòng)態(tài)的測(cè)試方法。

  而基于屬性的測(cè)試的測(cè)試方法是先確定軟件的安全編程規(guī)則,然后將確定的規(guī)則編碼做為安全屬性來(lái)驗(yàn)證系統(tǒng)是不是遵守這些程序。

  這種檢測(cè)方法的主要優(yōu)勢(shì)在于能夠比較有效的分析安全漏洞的擴(kuò)展性和交互性等。

  四、結(jié)束語(yǔ)

  計(jì)算機(jī)軟件的安全測(cè)試對(duì)于計(jì)算機(jī)的正常使用有著非常重要的意義,本文主要介紹了計(jì)算機(jī)軟件測(cè)試的幾種比較常見(jiàn)的方法,通過(guò)分析計(jì)算機(jī)軟件測(cè)試的重要意義,引起對(duì)計(jì)算機(jī)軟件安全的重視,探究出更科學(xué)合理的計(jì)算機(jī)軟件測(cè)試方法,以保證計(jì)算機(jī)軟件的安全。

  參考文獻(xiàn):

  [1]王維靜,王樹(shù)明,陳震,申春,彭秀增. 軟件安全的多指標(biāo)綜合評(píng)測(cè)[J].計(jì)算機(jī)工程與應(yīng)用,2006,(11)

  [2]William B Bierce,Michael Harold. New Us patent gwildelines offer hope to software developers in era of diminishing copyright protection .Tolley‘s computer law And Practise,1995,Vol.11,Vol.11 (No.4)

  [3]Shahid Alikhan,Raghunath Mashelkar.Intellectual Property and Competitive Strategies in the 21st Century .Kluwer Law International,2004

  [4]Bernard A. Galler. Software and Intellectual Property Protection: Copyright and Patent Issues for Computer and Legal Professionals .Quorum Books,1995

  計(jì)算機(jī)軟件安全檢測(cè)方法【2】

  摘要:隨著現(xiàn)代科學(xué)技術(shù)的不斷發(fā)展,越來(lái)越多的領(lǐng)域需要利用計(jì)算機(jī)軟件,為了發(fā)現(xiàn)計(jì)算機(jī)軟件中的故障,才有了軟件安全檢測(cè),并且對(duì)計(jì)算機(jī)軟件中的風(fēng)險(xiǎn)進(jìn)行有效的避免與更正。

  在如今病毒與黑客橫行的時(shí)代,維護(hù)計(jì)算機(jī)的安全更是成為一項(xiàng)重要的任務(wù)。

  軟件的應(yīng)用越來(lái)越廣泛,規(guī)模和復(fù)雜度不斷提高,軟件中的安全缺陷與漏洞也在不斷增多,隨著使用范圍的擴(kuò)大,軟件的安全性問(wèn)題也越來(lái)越多。

  軟件的安全測(cè)試保證了計(jì)算機(jī)和軟件的安全性,降低了計(jì)算機(jī)的風(fēng)險(xiǎn)。

  關(guān)鍵詞:檢測(cè);安全;軟件

  隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展,計(jì)算機(jī)軟件的安全隱患問(wèn)題也漸漸增多,所以軟件的安全檢測(cè)也越來(lái)越重要,而軟件的安全檢測(cè)研究技術(shù)也需要進(jìn)一步加強(qiáng)。

  本文重點(diǎn)闡述了關(guān)于計(jì)算機(jī)軟件檢測(cè)的一些方法和工具。

  1 什么叫計(jì)算機(jī)的安全檢測(cè)

  這里所說(shuō)的安全檢測(cè),是指用科學(xué)和技術(shù)的手段來(lái)發(fā)現(xiàn)軟件中出現(xiàn)的各種故障、問(wèn)題和風(fēng)險(xiǎn),并且進(jìn)行修正、診斷,以確保計(jì)算機(jī)和軟件的安全。

  具體的檢測(cè)過(guò)程中,要選擇正確而安全的檢測(cè)方法。

  2 軟件的檢測(cè)應(yīng)注意以下幾點(diǎn)

  (1)從軟件的特點(diǎn)和要求出發(fā),選擇軟件適合軟件的檢測(cè)方法,并且盡量使檢測(cè)人員多樣化,并從多個(gè)角度制定合理安全的檢測(cè)方法,只有多個(gè)領(lǐng)域同時(shí)配合,才能對(duì)軟件進(jìn)行更好的檢測(cè)。

  (2)選擇合理的安全檢測(cè)方法,計(jì)算機(jī)軟件的安全檢測(cè)僅僅是查找程序錯(cuò)誤的手段,所以如果此類(lèi)軟件比較大,就應(yīng)該對(duì)這種軟件的內(nèi)部進(jìn)行分析和研究,而且要根據(jù)實(shí)際選擇不同的分析方法,這樣才合理。

  3 安全檢測(cè)軟件的意義是什么

  計(jì)算機(jī)軟件安全檢測(cè)的目的是為了發(fā)現(xiàn)軟件所存在的故障,并且對(duì)故障進(jìn)行修正和診斷,以此來(lái)避免和降低計(jì)算機(jī)的危險(xiǎn)性。

  2003年發(fā)生了蠕蟲(chóng)病時(shí)間以及后來(lái)的熊貓燒香病毒,都給用戶(hù)帶來(lái)了風(fēng)險(xiǎn)性。

  只有做好軟件安全工作,防治漏洞被利用,才能保證用戶(hù)信息的安全性,為用戶(hù)的計(jì)算機(jī)安全保駕護(hù)航,才是軟件檢測(cè)的最終目的。

  4 檢測(cè)計(jì)算機(jī)軟件的幾種方法

  4.1 靜態(tài)檢測(cè)

  靜態(tài)檢測(cè)是指是不實(shí)際的運(yùn)行被測(cè)試的計(jì)算機(jī)軟件,而是靜態(tài)的檢測(cè)和分析計(jì)算機(jī)的程序和代碼,檢測(cè)計(jì)算機(jī)軟件中潛在的安全問(wèn)題,從而對(duì)軟件的風(fēng)險(xiǎn)性進(jìn)行修正和診斷。

  靜態(tài)檢測(cè)包含了代碼質(zhì)量和代碼檢查等幾項(xiàng),它可以用軟件進(jìn)行檢測(cè),也可以由人工進(jìn)行檢測(cè)。

  很多時(shí)候靜態(tài)檢測(cè)僅僅只是作為特性分析的方法,所以,靜態(tài)檢測(cè)又被稱(chēng)之為“分析”,總而言之,靜態(tài)檢測(cè)就是對(duì)被檢測(cè)的軟件或程序進(jìn)行分析的一種方法的總稱(chēng)。

  靜態(tài)檢測(cè)的任務(wù)包括了以下幾項(xiàng):(1)檢查模塊接口的正確性;(2)檢查輸入?yún)?shù)是否有合法性檢查;(3)檢查算法的邏輯正確性;(4)檢查是否設(shè)置了適當(dāng)?shù)腻e(cuò)誤處理;(5)檢查程序的風(fēng)格的一致性和規(guī)范性;(6)檢查代碼是否可以?xún)?yōu)化;(7)檢查代碼注釋是否是完整的。

  4.2 動(dòng)態(tài)檢測(cè)

  動(dòng)態(tài)檢測(cè)又分為三種,這三種分別是灰盒測(cè)試、白盒測(cè)試、以及黑盒測(cè)試。

  白盒測(cè)試又被稱(chēng)為透明盒測(cè)試,它基于代碼,有一定的邏輯性。

  白盒測(cè)試的目的是通過(guò)分析軟件內(nèi)部的邏輯和原理,并且對(duì)內(nèi)部的結(jié)構(gòu)進(jìn)行覆蓋性的檢測(cè),檢查點(diǎn)隨程序的不同而不同,檢查程序是為了確定內(nèi)部的結(jié)構(gòu)與邏輯是不是與預(yù)測(cè)的一樣。

  它的檢測(cè)過(guò)程共有幾項(xiàng),(1)檢查設(shè)計(jì)階段;(2)檢測(cè)計(jì)劃階段;(3)檢測(cè)執(zhí)行階段;(4)檢測(cè)的結(jié)尾,里面主要有錯(cuò)誤推測(cè)和因果圖,還有分析邊界的值,等等。

  黑盒測(cè)試,黑盒測(cè)試又被稱(chēng)為是數(shù)據(jù)驅(qū)動(dòng)測(cè)試和功能測(cè)試,它根據(jù)規(guī)格說(shuō)明書(shū)設(shè)計(jì)測(cè)試用例,黑盒測(cè)試不程序內(nèi)部構(gòu)造,并且是一種從用戶(hù)功能出發(fā)的測(cè)試。

  黑盒測(cè)試包括幾個(gè)過(guò)程,(1)測(cè)試計(jì)劃階段;(2)測(cè)試設(shè)計(jì)階段;(3)測(cè)試執(zhí)行階段;(4)測(cè)試的結(jié)果。

  黑盒測(cè)試的幾種主要方法包括等價(jià)類(lèi)劃分,邊界值分析,錯(cuò)誤推測(cè)和因果圖。

  黑盒測(cè)試和白盒測(cè)試的對(duì)比,雖然黑盒測(cè)試的效率比白盒測(cè)試要高,黑盒測(cè)試由于不涉及程序內(nèi)部,所以只能觀察到軟件的表面現(xiàn)象,而白盒測(cè)試則相反,白盒測(cè)試能發(fā)現(xiàn)程序內(nèi)部的問(wèn)題和風(fēng)險(xiǎn),比如誤差累計(jì)等方面。

  兩種測(cè)試相比較,黑盒測(cè)試的性能與白盒測(cè)試相比有較大差異。

  4.3 形式化的軟件檢測(cè)法

  形式化檢測(cè)的基本思想是建立軟件的數(shù)學(xué)模型,所以這種測(cè)試方法必須要求測(cè)試者了解數(shù)學(xué)的模型,所以大體上將它分為兩類(lèi),一類(lèi)是模型測(cè)試,另一類(lèi)是定理證明。

  模型檢測(cè)用狀態(tài)遷移系統(tǒng)S描述軟件的行為,通過(guò)自動(dòng)搜索S中的不滿(mǎn)足公式F的狀態(tài)來(lái)發(fā)現(xiàn)計(jì)算機(jī)軟件中所帶的危險(xiǎn)性。

  4.4 語(yǔ)法軟件測(cè)試

  語(yǔ)法測(cè)試是要求被測(cè)軟件接口要與語(yǔ)法生成對(duì)接,檢測(cè)被測(cè)軟件對(duì)各類(lèi)輸入的響應(yīng),目的在于發(fā)現(xiàn)一些很可能會(huì)導(dǎo)致電腦崩潰的一些軟件缺陷,如不能存儲(chǔ)、或者數(shù)組發(fā)生變化等缺陷,語(yǔ)法測(cè)試不但能發(fā)現(xiàn)這些缺陷,還提高系統(tǒng)的可靠性和穩(wěn)定性。

  4.5 模糊測(cè)試

  這種模糊測(cè)試的功能是發(fā)現(xiàn)系統(tǒng)中的一些高危漏洞,模糊測(cè)試在安全檢測(cè)中顯得尤為重要,就目前來(lái)看,一般應(yīng)用的模糊測(cè)試都是基于白盒的安全測(cè)試。

  目前來(lái)看,雖然采用模糊測(cè)試中的功能可以發(fā)現(xiàn)其它的軟件測(cè)試法很難發(fā)現(xiàn)的一些安全缺陷,但模糊測(cè)試很沒(méi)有穩(wěn)定性,而且不可靠。

  4.6 故障測(cè)試

  該測(cè)試方法最主要的特點(diǎn)是高度靈活性,一方面,它可以對(duì)軟件的可靠性和安全性進(jìn)行測(cè)試,另一方面,它也能實(shí)現(xiàn)軟件方法的故障注入測(cè)試技術(shù),雖然該軟件具有靈活性和突破性,但是也存在故障的有效注入、故障的精確模擬、通用性等等問(wèn)題,所以仍有待改善和提高。

  綜上所述,計(jì)算機(jī)的安全檢測(cè)在計(jì)算機(jī)安全體系中屬于不能缺少重要部分,計(jì)算機(jī)軟件安全檢測(cè)方法技術(shù)還有待提高,因?yàn)樗怯?jì)算機(jī)軟件的安全保障,能夠?yàn)橛?jì)算機(jī)的運(yùn)行和工作保駕護(hù)航。

  安全性測(cè)試一般要重點(diǎn)考慮SQL注入和XSS,這是最容易攻擊的漏洞。

  安全測(cè)試的工具可采取各類(lèi)方法,一個(gè)好的檢測(cè)方法應(yīng)該要滿(mǎn)足明確性、廣泛性、易用性、客觀性等要求。

  5 安全檢測(cè)的最終目的

  安全檢測(cè)是保障軟件和計(jì)算機(jī)安全的重要工作之一。

  計(jì)算機(jī)軟件安全檢測(cè)是通過(guò)對(duì)軟件測(cè)試、計(jì)算、考核與驗(yàn)證來(lái)最終分析和確定軟件是否不會(huì)為使用者帶來(lái)威脅。

  廣大的技術(shù)人員和測(cè)試人員,以及軟件開(kāi)發(fā)員要充分認(rèn)識(shí)到軟件安全檢測(cè)的重要性,只有不斷提高安全檢測(cè)的技術(shù),才能更好的為廣大的用戶(hù)服務(wù)。

  6 總結(jié)

  綜上所述,當(dāng)今計(jì)算機(jī)技術(shù)飛速發(fā)展,黑客和病毒也泛濫成災(zāi),為了防止計(jì)算機(jī)的安全被威脅,而軟件安全檢測(cè)方法主要就是對(duì)軟件進(jìn)行一系列的分析、計(jì)算,檢測(cè),從而得出結(jié)論,判斷出軟件設(shè)計(jì)中是否存在一定的危險(xiǎn)性,并且排除威脅,對(duì)軟件進(jìn)行隔離或者改善。

  網(wǎng)絡(luò)時(shí)代飛速發(fā)展的今天,軟件的可行與否直接關(guān)系到整個(gè)網(wǎng)絡(luò)的安全,也成為大多數(shù)網(wǎng)民和用戶(hù)所關(guān)注的問(wèn)題。

  技術(shù)人員只有不斷開(kāi)拓和研發(fā)新技術(shù),才能使計(jì)算機(jī)和軟件的風(fēng)險(xiǎn)大大降低,軟件的安全性已經(jīng)不容小視,并且越來(lái)越受到人們的重視,安全測(cè)試軟件的技術(shù)也在不斷的發(fā)展與進(jìn)步。

  參考文獻(xiàn):

  [1]高婷.計(jì)算機(jī)軟件安全檢測(cè)技術(shù)研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2012(17):73-74.

  [2]王兵兵.計(jì)算機(jī)軟件安全檢測(cè)存在問(wèn)題及方法探討[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2011(20):116-116.

  [3]周曉成.關(guān)于計(jì)算機(jī)軟件安全檢測(cè)技術(shù)的研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2011(23):87-87.

  [4]肖俊.計(jì)算機(jī)軟件安全檢測(cè)方法分析[J].科技資訊,2012(3):32-32.

  [5]朱巖.淺析計(jì)算機(jī)軟件安全檢測(cè)存在問(wèn)題及方法[J].科技創(chuàng)新與應(yīng)用,2012(11):51-51.

  [6]王俊民.關(guān)于計(jì)算軟件的安全檢測(cè)方法探究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2012(4):51-51,47.

  計(jì)算機(jī)軟件安全檢測(cè)方法【3】

  摘 要:計(jì)算機(jī)技術(shù)的迅猛發(fā)展使得計(jì)算機(jī)軟件的應(yīng)用領(lǐng)域不斷擴(kuò)大,在看到計(jì)算機(jī)軟件為我們生活帶來(lái)便利的同時(shí),我們更應(yīng)該注意到計(jì)算機(jī)軟件中存在的漏洞和風(fēng)險(xiǎn)。

  對(duì)此,我們要加強(qiáng)對(duì)軟件安全性能的測(cè)試。

  本文通過(guò)分析計(jì)算機(jī)軟件中存在的主要漏洞和風(fēng)險(xiǎn),介紹了幾種比較實(shí)用的安全檢測(cè)方法,為提高軟件的安全性能提供了一些建議。

  關(guān)鍵詞:計(jì)算機(jī);軟件;安全

  對(duì)計(jì)算機(jī)軟件進(jìn)行安全測(cè)試主要是為了確保軟件的安全性能與最初的設(shè)計(jì)一致,提升軟件的自我防御能力。

  它并不能證明應(yīng)用程序中沒(méi)有錯(cuò)誤,而是為了在危險(xiǎn)來(lái)臨之前,找出并更正軟件中存在的問(wèn)題。

  1 計(jì)算機(jī)軟件存在的漏洞和風(fēng)險(xiǎn)

  1.1 軟件加密不可靠

  加密主要存有以下弱點(diǎn):(1)加密算法不夠嚴(yán)密,容易被破解;(2)加密鎖受處理能力的限制,無(wú)法為軟件提供強(qiáng)有力的保護(hù);(3)數(shù)據(jù)簽名工作做得不好,數(shù)據(jù)常常被攻擊者更改。

  因此,在對(duì)軟件進(jìn)行安全測(cè)試時(shí),要重點(diǎn)測(cè)試軟件的加密弱點(diǎn)。[1]

  1.2 錯(cuò)誤處理

  一般來(lái)說(shuō),錯(cuò)誤處理會(huì)返回部分信息給軟件使用者。

  在這個(gè)過(guò)程中,如果調(diào)用了一些不該有的功能,那么這些信息就有可能被其他人利用,一些黑客甚至?xí)ㄟ^(guò)分析這類(lèi)錯(cuò)誤信息來(lái)制定攻擊策略。

  1.3 權(quán)限設(shè)置問(wèn)題

  一般來(lái)說(shuō),在對(duì)軟件進(jìn)行設(shè)計(jì)時(shí),要分權(quán)限。

  在軟件中分配操作員的權(quán)限,可以規(guī)劃操作員的操作權(quán)限,可以使操作人員在工作中只能操作他權(quán)力范圍內(nèi)的工作內(nèi)容,出現(xiàn)問(wèn)題可以找到負(fù)責(zé)人。

  但是如果賦予的權(quán)限過(guò)大,那么操作人員就很可能越過(guò)權(quán)限去做一些危害安全的操作。

  權(quán)限過(guò)大是設(shè)計(jì)空間過(guò)大造成的。

  因此,測(cè)試人員在測(cè)試應(yīng)用程序的權(quán)限時(shí),應(yīng)注意檢查設(shè)計(jì)空間的大小。

  2 常用的安全檢測(cè)方法

  2.1 滲透測(cè)試

  滲透測(cè)試其本質(zhì)是以測(cè)試工具為輔,憑借測(cè)試人員的攻防能力和經(jīng)驗(yàn),模擬黑客攻擊的過(guò)程,提前發(fā)現(xiàn)軟件存在的問(wèn)題,并及時(shí)地予以更正。

  它的優(yōu)點(diǎn)在于:它能站在攻擊方的角度,深度挖掘軟件中存在的安全漏洞,一般發(fā)現(xiàn)的問(wèn)題都是真實(shí)存在且極為嚴(yán)重的。

  但也正因?yàn)檫@樣,測(cè)試人員在選取測(cè)試工具時(shí),要格外小心,盡量選擇可控制、不具備攻擊性的工具。

  因?yàn)槿绻x擇不當(dāng),將會(huì)導(dǎo)致病毒和木馬的入侵和擴(kuò)散,給整個(gè)系統(tǒng)的運(yùn)行帶來(lái)不利影響。

  此外,滲透測(cè)試還存在一些缺點(diǎn):它的成果大多取決于測(cè)試人員的攻防能力和經(jīng)驗(yàn)。

  它所模擬的測(cè)試數(shù)據(jù)存有局限性,覆蓋率不高。

  2.2 靜態(tài)測(cè)試

  與其他測(cè)試方法相比,靜態(tài)測(cè)試并不是通過(guò)運(yùn)行被檢測(cè)軟來(lái)完成的,而是通過(guò)分析源程序的語(yǔ)法、結(jié)構(gòu)等來(lái)檢測(cè)軟件的編程是否合符標(biāo)準(zhǔn)。

  此類(lèi)測(cè)試方法既可以靠測(cè)試人員完成,也可以通過(guò)某些特定的軟件工具自動(dòng)完成,比較常見(jiàn)的靜態(tài)測(cè)試工具有:Log scope、PRQA兩種。

  與動(dòng)態(tài)測(cè)試相比,它具有快速找到安全漏洞,返工成本低、覆蓋率和查錯(cuò)率高等優(yōu)點(diǎn)。

  但是,它測(cè)試所需要的時(shí)間也很長(zhǎng)。[2]

  2.3 黑盒測(cè)試

  所謂黑盒測(cè)試就是把軟件看作一個(gè)黑箱子,測(cè)試人員不需要知道這個(gè)黑箱子里面裝的是什么、黑箱是怎么操作的,即不需要花心思去了解軟件的內(nèi)部構(gòu)造。

  測(cè)試人員需要做的就是嚴(yán)格把關(guān)黑箱的進(jìn)出口,即僅僅需要了解軟件的輸入和輸出結(jié)果。

  這樣一來(lái),為測(cè)試人員減少了很多測(cè)試工序和測(cè)試時(shí)間,測(cè)試人員的工作與編程人員的工作完全是分開(kāi)的。

  但是,如果完全像軟件使用者一樣去使用和操作軟件,也會(huì)產(chǎn)生一些問(wèn)題。

  首先測(cè)試人員只能對(duì)一小部分輸入進(jìn)行測(cè)試,不能對(duì)所有輸入進(jìn)行測(cè)試。

  其次,測(cè)試人員在測(cè)試軟件時(shí),采用的測(cè)試用例很可能是開(kāi)發(fā)人員已經(jīng)使用過(guò)的,測(cè)試效率不高。

  再者,它并不能對(duì)軟件的某個(gè)程序段進(jìn)行單獨(dú)測(cè)試,而這類(lèi)程序段或許存在錯(cuò)誤。

  因此,本文認(rèn)為測(cè)試人員在使用黑盒測(cè)試方法時(shí),應(yīng)該按照以下四個(gè)步驟來(lái)判斷程序的正確性:(1)認(rèn)真審視軟件的行為是否處于正常范圍;(2)仔細(xì)檢查輸出結(jié)果的正確性;(3)輸入各種信息,結(jié)合(1)和(2)來(lái)觀測(cè)軟件的反應(yīng)程度;(4)時(shí)常對(duì)軟件的關(guān)鍵部位進(jìn)行診斷。

  2.4 白盒測(cè)試

  如果黑盒測(cè)試是中醫(yī),那么白盒測(cè)試就是西醫(yī)了。

  與黑盒測(cè)試相比,白盒測(cè)試方法是把被軟件產(chǎn)品視為一個(gè)打開(kāi)的盒子,需要測(cè)試人員去理解軟件的內(nèi)部結(jié)構(gòu)以及運(yùn)行方式。

  測(cè)試人員需要利用某些測(cè)試工具,跟蹤并檢查某個(gè)輸入信息進(jìn)入軟件之后對(duì)軟件的影響、軟件是如何處理這些影響以及處理方式是否符合標(biāo)準(zhǔn)。

  比如對(duì)于一個(gè)與SQL Server數(shù)據(jù)庫(kù)連接的軟件系統(tǒng)來(lái)說(shuō),可以簡(jiǎn)單地把程序的作用看作是:把用戶(hù)輸入的數(shù)據(jù)通過(guò)SQL命令請(qǐng)求后臺(tái)數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)把請(qǐng)求的數(shù)據(jù)返回給程序的界面層展示給用戶(hù)。

  可以把SQL Server自帶的工具事件探查器當(dāng)成是一個(gè)檢查SQL數(shù)據(jù)傳輸?shù)木軆x器,它可以記錄軟件客戶(hù)端與服務(wù)器數(shù)據(jù)庫(kù)之間交互的所有舉動(dòng),測(cè)試人員能清楚地知道軟件究竟發(fā)揮了什么作用。

  白盒測(cè)試的優(yōu)點(diǎn)在于它能幫助測(cè)試人員熟悉代碼的每條路徑,檢查出藏于代碼中的錯(cuò)誤。

  但是它也有缺點(diǎn),那就是測(cè)試成本高,無(wú)法檢測(cè)代碼中遺漏的路徑和數(shù)據(jù)敏感性錯(cuò)誤。

  2.5 灰盒測(cè)試方法

  灰盒測(cè)試綜合了白盒測(cè)試和黑盒測(cè)試的特點(diǎn)。

  主要表現(xiàn)為:它既要檢測(cè)輸出、輸入是否正確,又要關(guān)注程序內(nèi)部運(yùn)行狀態(tài)。

  如有時(shí)輸出是正確的,但內(nèi)部早已出現(xiàn)了錯(cuò)誤,如果采用白盒測(cè)試方法來(lái)測(cè)試,效率會(huì)非常低,在此種情況下,就需要采取灰盒測(cè)試方法。[3]

  與黑、白盒測(cè)試方法相比,灰盒測(cè)試有以下幾個(gè)特點(diǎn):(1)利用灰盒測(cè)試方法,測(cè)試人員能更為全面地了解軟件產(chǎn)品;(2)與白盒測(cè)試相比,灰盒測(cè)試因?yàn)槌绦虼a的改變而導(dǎo)致用例無(wú)效的幾率更低;(3)與白盒測(cè)試相比,灰盒測(cè)試方法需要測(cè)試人員去了解程序的代碼邏輯。

  利用灰盒測(cè)試方法進(jìn)行測(cè)試需要注意以下幾點(diǎn)問(wèn)題:(1)灰盒測(cè)試是從軟件的整體出發(fā)的。

  因此,測(cè)試人員在進(jìn)行測(cè)試設(shè)計(jì)時(shí),要從軟件的整體出發(fā);(2)將灰盒測(cè)試用于單元測(cè)試,而非集成測(cè)試;(3)灰盒測(cè)試方法需要測(cè)試人員深入了解產(chǎn)品的代碼邏輯。

  因此,在測(cè)試時(shí),業(yè)務(wù)邏輯圖是非常重要的,測(cè)試人員需要按照業(yè)務(wù)邏輯圖來(lái)劃分功能點(diǎn),并擴(kuò)展用例。

  3 各種測(cè)試方法之間的聯(lián)系

  無(wú)論是黑盒測(cè)試,還是白盒測(cè)試。

  他們都不是絕對(duì)的靜態(tài)或者動(dòng)態(tài)測(cè)試方法。

  如測(cè)試人員在利用黑盒測(cè)試方法,運(yùn)行程序,看輸入輸出時(shí),黑盒測(cè)試就有可能是動(dòng)態(tài)測(cè)試;測(cè)試人員在利用黑盒測(cè)試方法,不運(yùn)行程序,只看界面時(shí),黑盒測(cè)試也有可能是靜態(tài)測(cè)試。

  測(cè)試人員在利用白盒測(cè)試方法,運(yùn)行程序并且分析代碼結(jié)構(gòu)時(shí),白盒測(cè)試有可能是動(dòng)態(tài)測(cè)試;測(cè)試人員在利用白盒測(cè)試方法,不運(yùn)行程序,只靜態(tài)察看代碼時(shí),白盒測(cè)試也有可能是靜態(tài)測(cè)試。

  4 結(jié)束語(yǔ)

  總之,計(jì)算機(jī)軟件的安全直接影響到人民的隱私、財(cái)產(chǎn)安全。

  安全測(cè)試對(duì)于提高計(jì)算機(jī)的使用效率,維護(hù)用戶(hù)的利益非常重要。

  社會(huì)各界在關(guān)注計(jì)算機(jī)軟件性能的同時(shí),更應(yīng)該注意提高軟件的安全性能。

  參考文獻(xiàn):

  [1]高曉.論軟件的破解與保護(hù)策略[J].長(zhǎng)春工程學(xué)院學(xué)報(bào)(自然科學(xué)版),2013(03).

  [2]郭向英,劉景煒.匯編語(yǔ)言自動(dòng)單元測(cè)試工具設(shè)計(jì)方法研究[J].質(zhì)量與可靠性,2006(03).

  [3]張衛(wèi)祥,劉文紅.灰盒測(cè)試方法的實(shí)踐與研究[J].飛行器測(cè)控學(xué)報(bào),2010(06).

【計(jì)算軟件的安全檢測(cè)方法】相關(guān)文章:

計(jì)算機(jī)軟件安全檢測(cè)方法10-05

計(jì)算機(jī)軟件安全檢測(cè)存在問(wèn)題及方法的研究10-09

計(jì)算機(jī)軟件安全檢測(cè)技術(shù)10-05

計(jì)算機(jī)軟件安全漏洞檢測(cè)10-05

計(jì)算機(jī)軟件安全檢測(cè)技術(shù)分析論文10-08

漏洞檢測(cè)在計(jì)算機(jī)軟件安全中的應(yīng)用09-30

測(cè)試軟件安全的方法10-05

計(jì)算機(jī)軟件安全檢測(cè)技術(shù)分析論文范文10-08

分析計(jì)算機(jī)實(shí)用檢測(cè)維修方法10-01