導(dǎo)語(yǔ)：計(jì)算機(jī)軟件安全漏洞檢測(cè)分析一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

【摘要】隨著我國(guó)科學(xué)技術(shù)的持續(xù)快速發(fā)展，計(jì)算機(jī)已成為人們?nèi)粘９ぷ骱蜕畹闹匾獦?gòu)成單元，為生活與工作帶來了極大便利。而計(jì)算機(jī)軟件在為計(jì)算機(jī)在應(yīng)用層面上帶來強(qiáng)大功能的基礎(chǔ)上，也極大地滿足了日常所需?？梢哉f，人們對(duì)計(jì)算機(jī)的有效運(yùn)用正是基于軟件前提下出現(xiàn)。因此，隨著計(jì)算機(jī)軟件應(yīng)用的日益廣泛，其安全性更加受到人們的高度重視，計(jì)算機(jī)軟件本身也可直接影響到計(jì)算機(jī)本身的性能。本文概述了計(jì)算機(jī)軟件安全漏洞檢測(cè)的價(jià)值，結(jié)合實(shí)際，并對(duì)當(dāng)前檢測(cè)存在的問題展開梳理與分析，提出相關(guān)策略。

【關(guān)鍵詞】計(jì)算機(jī)軟件；安全檢測(cè)；漏洞；問題

當(dāng)前，我國(guó)已經(jīng)步入了高度信息化的生活時(shí)代，網(wǎng)絡(luò)信息技術(shù)得到了大量的推廣與應(yīng)用，為民眾的生活創(chuàng)造了極大便利。需要注意的是，在人們充分享受計(jì)算機(jī)網(wǎng)絡(luò)所帶來的便利時(shí)，也需要意識(shí)到計(jì)算機(jī)技術(shù)所存在的潛在安全問題。其中，計(jì)算機(jī)軟件最易遭受的安全問題便是病毒，一些惡性病毒甚至可直接對(duì)計(jì)算機(jī)造成癱瘓，并且對(duì)用戶的計(jì)算機(jī)數(shù)據(jù)帶來巨大的風(fēng)險(xiǎn)隱患，導(dǎo)致隱私泄露。故而，對(duì)計(jì)算機(jī)軟件進(jìn)行可靠、有效的安全檢測(cè)有著重要的現(xiàn)實(shí)意義。

1計(jì)算機(jī)軟件安全檢測(cè)的意義

對(duì)計(jì)算機(jī)軟件實(shí)施安全檢測(cè)，其目的其實(shí)并非是判斷某項(xiàng)程序有無出現(xiàn)錯(cuò)誤，而是去分析這一項(xiàng)程序是否存在缺陷。因?yàn)?，即使某?xiàng)程序存在漏洞，軟件也是可以照常運(yùn)行的，只是其安全性能發(fā)生了降低。縱觀當(dāng)下我國(guó)的軟件安全檢測(cè)技術(shù)而言，其安全檢測(cè)形式基本可以分成動(dòng)態(tài)和靜態(tài)兩種。進(jìn)行對(duì)軟件的安全檢測(cè)，是為了可以明確其運(yùn)行是不是達(dá)到了最初的預(yù)期目標(biāo)。通常意義上，安全檢測(cè)主要可以分成三個(gè)環(huán)節(jié)：①功能性檢測(cè)；②滲透性檢測(cè)；③對(duì)檢測(cè)結(jié)果實(shí)施再次驗(yàn)證。在安全檢測(cè)的過程中，如果發(fā)現(xiàn)了程序漏洞，那么則會(huì)對(duì)其展開兩方面的檢測(cè)：①檢測(cè)軟件的安全功能能夠達(dá)到運(yùn)行需求；②對(duì)訪問控制、保密性能、安全管理等進(jìn)行安全監(jiān)測(cè)。

2計(jì)算機(jī)軟件安全檢測(cè)存在的普遍問題

現(xiàn)階段，有相當(dāng)數(shù)量的檢測(cè)人員并不會(huì)按照計(jì)算機(jī)軟件的實(shí)際應(yīng)用環(huán)境進(jìn)行安全監(jiān)測(cè)，而是實(shí)施模式化的檢測(cè)手段對(duì)計(jì)算機(jī)的各種軟件展開測(cè)試，導(dǎo)致其檢測(cè)結(jié)果出現(xiàn)偏差。毫無疑問，這種缺乏針對(duì)性的軟件安全檢測(cè)方式，無法確保軟件檢測(cè)結(jié)果的普適性。基于此，會(huì)導(dǎo)致軟件中那些潛在的安全風(fēng)險(xiǎn)并未獲得根本上的解決，以至于在后期運(yùn)行中給人們的運(yùn)行造成不利影響。須知檢測(cè)人員更應(yīng)當(dāng)針對(duì)計(jì)算機(jī)使用用戶的需求、計(jì)算機(jī)系統(tǒng)及代碼等特點(diǎn)，并以軟件的規(guī)模為依據(jù)，選擇最為恰當(dāng)?shù)囊环N安全檢測(cè)方法，只有這樣，才能夠提高檢測(cè)水平，使用戶獲得優(yōu)質(zhì)的服務(wù)。在進(jìn)行對(duì)計(jì)算機(jī)軟件的安全監(jiān)測(cè)過程中，必須應(yīng)當(dāng)對(duì)軟件的內(nèi)部結(jié)構(gòu)實(shí)施系統(tǒng)分析，方能體現(xiàn)檢測(cè)過程的完成性。然而，卻又許多的檢測(cè)人員對(duì)計(jì)算機(jī)軟件的內(nèi)部結(jié)構(gòu)所知甚少，缺乏系統(tǒng)的認(rèn)知與檢測(cè)意識(shí)，使得在面臨安全性問題時(shí)，檢測(cè)人員無法第一時(shí)間對(duì)所發(fā)生的問題展開及時(shí)處理，最終致使計(jì)算機(jī)軟件運(yùn)行不穩(wěn)定。

3完善計(jì)算機(jī)軟件安全檢測(cè)的對(duì)策

3.1選擇合理的檢測(cè)方法

計(jì)算機(jī)軟件的不同，其架構(gòu)和用途也不一樣。選擇合理的安全檢測(cè)方法至關(guān)重要，這也對(duì)檢測(cè)人員提出了更高的專業(yè)要求，檢測(cè)人員要根據(jù)不同的計(jì)算機(jī)軟件情況選擇最為合理的檢測(cè)手段，尤其對(duì)部分系統(tǒng)級(jí)軟件抑或是代碼級(jí)工程更是如此。一般來說，現(xiàn)階段應(yīng)用最廣的檢測(cè)方法有以下幾種：①模糊檢測(cè)：模糊檢測(cè)的技術(shù)基礎(chǔ)依賴于白盒技術(shù)，由于白盒技術(shù)可以較為高效地繼承模糊檢測(cè)與動(dòng)態(tài)檢測(cè)的綜合優(yōu)點(diǎn)，其檢測(cè)效果也比較準(zhǔn)確。②以故障注入為背景的安全性檢測(cè)：這種檢測(cè)方法的關(guān)鍵就在于構(gòu)建故障樹。該檢測(cè)法可以把軟件系統(tǒng)中發(fā)生故障率最小的事件先當(dāng)成是頂層事件，接著再依次明確中間事件、底層事件等，最后，就能夠通過邏輯門符號(hào)來完成對(duì)底層事件、中間事件以及頂層事件的連接，構(gòu)建故障樹[1]。該檢測(cè)法的優(yōu)勢(shì)就在于能夠?qū)崿F(xiàn)對(duì)故障檢測(cè)的自動(dòng)化，可高效地體現(xiàn)故障檢測(cè)的效果。③以屬性為背景的檢測(cè)：該辦法需要對(duì)軟件中所采用的安全編程規(guī)則加以明確，方可展開對(duì)軟件中代碼檢測(cè)。這種檢測(cè)方法不僅可以非常有效探查出軟件中的安全漏洞，還能夠通過運(yùn)用Web服務(wù)的優(yōu)勢(shì)來加強(qiáng)軟件質(zhì)量[2]。

3.2針對(duì)性的檢測(cè)技術(shù)

3.2.1非執(zhí)行棧

要防止軟件棧攻擊事件的頻發(fā)，最為有效的手段便是“釜底抽薪”，讓棧不能有效找到工作對(duì)象。此時(shí)，即便黑客在棧中插有惡意代碼，棧依然不能找到工作。但這項(xiàng)檢測(cè)技術(shù)的重大不足是需要檢測(cè)人員在操作層展開參數(shù)數(shù)據(jù)的設(shè)置修改，一旦檢測(cè)人員在設(shè)置期間出現(xiàn)錯(cuò)誤就會(huì)直接影響到計(jì)算機(jī)系統(tǒng)的整體性能，極大地削弱系統(tǒng)的運(yùn)作質(zhì)量。并且，一旦計(jì)算機(jī)中某個(gè)程序有棧溢出漏洞，還存在堆溢出漏洞的問題。因此，檢測(cè)人員在應(yīng)用該技術(shù)時(shí)，要在計(jì)算機(jī)操作系統(tǒng)內(nèi)核中將棧頁(yè)標(biāo)記成不可執(zhí)行。

3.2.2內(nèi)存映射

采用以NULL結(jié)尾的字符串覆蓋內(nèi)存來實(shí)現(xiàn)攻擊，是黑客的普遍手段。對(duì)此，檢測(cè)人員可以采取應(yīng)用內(nèi)存映射技術(shù)把代碼頁(yè)映射到任意的網(wǎng)絡(luò)地址，以便盡可能地加大安全漏洞被攻擊的難度。使病毒在大量計(jì)算后，依然無法找出其所需地址。在應(yīng)用內(nèi)存映射中，還有必要對(duì)計(jì)算機(jī)系統(tǒng)內(nèi)核加以完善修改，保證操作系統(tǒng)可以把代碼頁(yè)映射到較低的內(nèi)存空間。在程序鏈接階段二進(jìn)制地址已被確立，內(nèi)存映射無用對(duì)代碼進(jìn)行修改，但需重新鏈接。

3.2.3程序解釋

程序解釋不需修改計(jì)算機(jī)操作系統(tǒng)內(nèi)核和程序代碼，首先可以設(shè)置一個(gè)新的啟動(dòng)代碼，將其鏈接到所檢測(cè)的應(yīng)用程序中，讓新啟動(dòng)代碼去調(diào)用動(dòng)態(tài)優(yōu)化的程序解釋框架。一旦設(shè)置了嚴(yán)格的安全檢測(cè)策略，則已知改變程序控制流程或修改危險(xiǎn)函數(shù)參數(shù)攻擊都可以被有效檢測(cè)。

3.2.4安全共享庫(kù)

C和C++的設(shè)計(jì)函數(shù)存在不安全性，易形成軟件安全漏洞。通過安全共享庫(kù)可以有效地依據(jù)動(dòng)態(tài)鏈接技術(shù)在計(jì)算機(jī)程序運(yùn)行，預(yù)防發(fā)生調(diào)動(dòng)不安全的函數(shù)，并對(duì)一切函數(shù)參數(shù)加以科學(xué)檢測(cè)。安全共享庫(kù)已被運(yùn)用于各項(xiàng)計(jì)算機(jī)操作系統(tǒng)中，對(duì)軟件防護(hù)有積極效果。

3.3擅于開展綜合分析

在對(duì)軟件進(jìn)行安全檢測(cè)的期間，檢測(cè)人員需要有意識(shí)的對(duì)軟件的獨(dú)一性加以全面權(quán)衡，讓明白軟件所表現(xiàn)出的重點(diǎn)，利用對(duì)軟件實(shí)施系統(tǒng)化的綜合分析，來達(dá)到軟件安全測(cè)試的方案制定。需要強(qiáng)調(diào)的是，在實(shí)施系列的綜合分析時(shí)，檢測(cè)人員要充分考慮到用戶需求，保證軟件性能檢測(cè)的可靠性。

3.4加強(qiáng)檢測(cè)隊(duì)伍的綜合素質(zhì)

毋庸諱言，在進(jìn)行軟件安全檢測(cè)期間，隊(duì)伍的專業(yè)素質(zhì)水平對(duì)軟件檢測(cè)工作的實(shí)際效果有著直接的影響。故而，相關(guān)的軟件安全檢測(cè)部門更有必須著力重點(diǎn)來強(qiáng)化檢測(cè)人員的專業(yè)素質(zhì)，以此來有效地保障軟件安全檢測(cè)工作的有序進(jìn)行。在加強(qiáng)檢測(cè)人員綜合素質(zhì)的教育中，可通過以專業(yè)技能培訓(xùn)、建設(shè)健全內(nèi)部競(jìng)爭(zhēng)機(jī)制、重點(diǎn)培養(yǎng)高水平人才等路徑為主。計(jì)算機(jī)軟的應(yīng)用范圍非常廣泛，其所涉及的安全檢測(cè)內(nèi)容也會(huì)非常廣。對(duì)此，應(yīng)當(dāng)保證檢測(cè)人員隊(duì)伍的多元化，可在軟件安全檢測(cè)中找一些專業(yè)相近，專業(yè)素質(zhì)有差異的人共同工作，以提高軟件中安全問題的發(fā)現(xiàn)率。所謂旁觀者清，隊(duì)伍人員構(gòu)成的多元化，可以讓問題更加直觀地暴露在眼前，進(jìn)而獲得有效解決。同時(shí)，也需加強(qiáng)部門間的緊密合作，將優(yōu)勢(shì)人才集中起來展開密切合作，多元化人員配備可以在軟件安全檢測(cè)中起到事半功倍的效果，并且也有利于從制度層面來提高軟件安全檢測(cè)的實(shí)際效率。

4結(jié)束語(yǔ)

綜上所述，受到計(jì)算機(jī)技術(shù)持續(xù)快速發(fā)展的影響，其對(duì)軟件的安全性也提出了更好要求。提高軟件安全檢測(cè)的整體層次，不斷改進(jìn)與完善軟件安全檢測(cè)辦法，是未來計(jì)算機(jī)軟件應(yīng)用領(lǐng)域的重要課題。檢測(cè)人員只有不斷加強(qiáng)軟件檢測(cè)的技術(shù)，才能夠?yàn)橛脩籼峁└鼉?yōu)質(zhì)的服務(wù)。

作者:李文光 單位:燈塔市中等職業(yè)技術(shù)專業(yè)學(xué)校

參考文獻(xiàn)

[1]洪霞，余素珍.計(jì)算機(jī)軟件安全檢測(cè)技術(shù)探析[J].科技創(chuàng)新與應(yīng)用，2016，24（19）：83.

[2]劉露.淺議計(jì)算機(jī)軟件安全檢測(cè)技術(shù)[J].數(shù)字技術(shù)與應(yīng)用，2016，17（05）：204.收稿日期：