關于計算機軟件安全檢測技術探究

陳堃

摘 要：電腦和網絡能夠得以存在的一個關鍵背景是軟件。軟件的安穩性是其性能的關鍵構成要素，而且檢測工藝又能夠保證軟件實現穩定性特征。通過這個要素，我們發現，其安全檢測工藝已經變成了確保其穩定的重要性內容，也就是說安檢工藝可以結合各種指標開展分析活動，而且能夠辨認其中面對的不利現象。文章關鍵講述了該項檢測工藝，以及需要注意的事項，以此來保證軟件的穩定性。

關鍵詞：計算機軟件；軟件安全；檢測方法

1 概述

計算機軟件安檢活動的意義是為了深入的分析其開發中面對的不利現象，而且對它開展全方位的分析，將其中的不利現象修整，所以，該項技術在綜合的開發時期體現著非常積極的意義。站在大的層次上來看，計算機軟件安全檢測即是花費較少的測試時間和精力獲取最大限度的軟件檢測覆蓋面，從而確保安全檢測的有效性。

2 技術簡介

該項技術是軟件研發的時候非常關鍵的一個組成要素，其意義非常關鍵。經由安全檢測，能夠知道體系在運作的時候面對的不利現象，進而能夠對其在運作的時候出現的問題進行適當的處理。不過，并不能將其看成是一種防止問題出現的方法，它進行的活動是分析運行中面對的不利現象。在正常的狀態中，該項檢測分成兩類，分別是動態的以及靜態的。

它是用來分析存在的不利現象的，是確保體系研發之后的特征能夠被估計的一種維護措施。針對現在的狀態我們發現，它涵蓋三種層次的內容，即功能測試、滲透測試和驗證過程。該項技術和別的類似功效的體系有著很多不一樣的地方，比如針對安全問題的檢測，它更加的關注應對體系活動范圍之外的內容，但是一般的體系則是關注其應該進行的事件。除此之外，計算機軟件安全功能是否能夠滿足用戶的需求是通過安全功能檢測來實現的，衡量其滿足用戶需求與否的主要包含授權、機密性、安全管理及訪問控制等因素。針對安全不良現象的檢測，它的關鍵意義是為了分析其中存在的不利現象，或者是辨別出一些不良軟件面對的問題。

3 要關注的具體內容

站在一定的層次上來看，該項技術，它的本質是對軟件開展一個持續進行的安檢工作，結合當前的狀態，我們發現其在運行的時候，要關注如下的兩項內容：

第一，選取優秀的檢測規劃。針對該項技術來說，要在徹底的明白其規定以及具體特征的前提下，結合實際狀態，選擇優秀的檢測方法，而且制定和它對應的規劃內容，以此來保證方案得以有效地落實。除此之外，對于工作者還有很嚴格的規定。在開展該項檢測活動的時候，要保證參加的工作者具有非常充足的專業知識，還應該了解體系的特征以及運行等相關知識。只有相關的工作者積極地協調互動，才可以確保軟件的運行合理，實現應有的意義和價值。

第二，在開展檢測的時候，要確保綜合有序。常見的電腦軟件體系非常的復雜，而且面積不小，因此就規定工作者在開展活動的時候，要對其進行非常細微的分析。和上面講到的檢測內容是相同的，在進行軟件中不同級別時也應加強對分析技術的合理選擇，才能保證分析結果的準確性。從這方面來講，該項活動是非常繁瑣的體系步驟，所以，選取優秀的檢測工藝以及措施，是開展檢測活動時，要認真關注的內容。

4 檢測措施

4.1 計算機軟件安全檢測流程

一般狀態中，針對該項檢測活動來說，那些比較龐大的體系涵蓋很多小的體系，這些小的體系又有很多單一的模塊要素。

常見的檢測步驟如下：模塊測試→組裝系統→系統結構的安全檢測→軟件功能和性能的有效測試→系統測試。其中模塊測試是指子系統中最小單位的模塊測試，它的意義是為確保測試的區域更為寬廣，而且更加的細致，進而能夠盡快地察覺出體系中存在的不良現象。在開展好單獨模塊的測試之后，要結合設計的規定，對其進行全面的組裝活動，把它們設置成綜合的體系，而且要對重新得到的這個體系進行檢測；之后在保證前述檢驗合格的基礎上對系統軟件進行功能和性能的有效測試，有效測試的主要目的是為了確保系統軟件功能和性能與用戶需求的一致性；最后在所有相關測試完成后，實施對整個軟件的系統性測試。如此層層把關的軟件安全檢測流程可為用戶軟件的安全性提供有力的保障。

4.2 計算機軟件安全檢測的方式、方法

4.2.1 形式化的安全檢測

此種安全檢測方法是鑒于計算機軟件數學模型的基礎之上的，并且要求在形式規格語言的支持前提下，所提供的形式化規格說明。目前較為常用的形式規格語言有三種，其中包括行為語言、模型語言和有效狀態語言。有定理證明和基于模型檢查正式的安全檢測方法。

4.2.2 基于模型的安全靜態檢測方式

模型安全檢測方式，即通過軟件行為與結構建模的方法，形成一個測試模型，此模型同時滿足機器對其的可讀性。模型安全檢測方式與上述形式化安全檢測相比而言，基于模型的測試并不致力于讓待測軟件系統與規格說明在所有情況下都保持一致，而是系統化的從模型生成一組測試用例，使用這組測試用例測試待測軟件系統，得到充分的證據說明待測系統的行為與模型期望的是一致的。常用的安全功能檢測方法是有限狀態機和馬爾可夫鏈的方法。

4.2.3 語法檢測

這種檢測方法是基于語法對生成功能接口軟件進行檢測。語法檢測，通常情況下以研究反映為目的，即計算機軟件在不同的輸入條件下而產生的不同類型的反映。采用語法檢測的方法，一般即指對計算機軟件接口處語言的識別、語言語法的定義等，并在以語法為基礎生產檢測用例同時執行安全檢測。

4.2.4 以故障注入為前提的措施

通過很多具體情況，我們發現該措施有著顯著提升自動化特征的優點，是該項技術中非常關鍵的一個要素。具體的講，它是在選取問題模型的前提下，形成故障樹，并通過人為的反復測試及對軟件所反饋的故障信息，來實現檢測故障容錯性和安全性等有用信息。

4.2.5 模糊式檢測方法

該項措施有效地結合了常規的技術以及動態技術，也就是說它的存在有一個大的背景，白盒模糊檢測，它是以往措施的創新。雖說其沒有多大的難度，不過其體現出很關鍵性的內容。它能夠驗證出現實世界中的錯誤模式并在軟件發貨前對潛在的應該被阻塞的攻擊渠道進行提示。

4.2.6 關于安全屬性性質的措施

這個措施和上述方法的比對來看，能夠實現有效確保安全漏洞擴展性和交互性的全面分析。實現采用安全屬性式的檢測方法進行測試的途徑，首先應有效確定計算機軟件的安全編程規則，并將其作為軟件安全檢測的安全屬性；其次利用得到的安全屬性對系統程序的相關代碼進行檢測，以驗證系統代碼與相應規則的符合性。

除了上面講到的這些內容之外，由于社會不斷的進步，很多以Web為前提的軟件體系獲取了非常全面的發展，所以，和它相關的檢測工藝也在持續的發展壯大，而且獲取了一些創新性的內容，主要涉及部署與基礎結構、輸入驗證、身份驗證、授權、加密、異常管理等多方面。

總的來說，該項檢測技術已經成為了確保電腦信息運作穩定的一個重要的內容。由于分析到電腦體系研發以及運行的關鍵意義，在活動中，經常性的歸納知識，積攢能力，以此來確保檢測工藝朝著更加積極合理的方向發展。

參考文獻

[1]王清.軟件漏洞分析技術[M].北京：電子工業出版社，2011，6.

[2]艾倫.軟件安全工程[M].北京：機械工業出版社，2009.4.