互联网环境下的计算机软件安全检测技术研究

2017年第5期

信息与电脑

China Computer&Communication

计算机工程应用技术

互联网环境下的计算机软件安全检测技术研究

吴永康　彭晓华

（广东南方职业学院，广东 江门　529000）

摘　要：伴随着互联网技术的不断发展和社会的进步，各种各样的计算机软件被广泛应用于人们日常生活及工作中。由于软件中存在着一些安全隐患，因此，为了使计算机软件的安全性能够得到进一步的保障，应在软件的应用过程当中，采取有效的技术手段对计算机软件安全实施检测，以解决一直存在于计算机软件中的安全隐患问题。基于此，在当前互联网环境下对计算机软件安全检测技术展开分析，首先阐述了互联网环境下的计算机软件存在的漏洞，然后介绍了计算机软件安全检测过程中的注意事项，最后分析了计算机软件安全检测技术的检测步骤和方法，期望通过此研究，弥补计算机软件在安全方面的不足，进一步提升计算机软件安全性能。

关键词：互联网；计算机软件；安全检测技术

中图分类号：TP311.53 文献标识码：A 文章编号：1003-9767（2017）05-053-03

Research on Computer Software Security Detection Technology in Internet

Environment

Wu Yongkang, Peng Xiaohua

(Guangdong Nanfang Vocational College, Jiangmen Guangdong 529000, China) Abstract: With the continuous development of Internet technology and social progress, a variety of computer software has been widely used in people's daily life and work. Because there are some security risks in the software, so in order to make the safety of computer software can be further protected in the software application process, it should take effective technical means to detect the security of computer software to solve the safety problems existed in computer software. Based on this, this paper analyzes computer software security testing technology in the current Internet environment, firstly expounds the existing vulnerabilities in the environment of the Internet computer software, and then introduces the precautions in the process of computer software security detection, the final analyzes the testing process and method of computer software security testing technology, hopes that through this study, makes up lack of computer software in the field of security, and further enhances the safety performance of the computer software.

Key words: Internet; computer software; security detection technology

当前，计算机系统处于随时都可能被入侵的状态，软件安全是计算机和网络安全的基础，软件安全检测是保障并促进计算机应用发展的有力后盾，做好软件安全检测工作能够不仅及时发现软件漏洞并加以修复，而且可以有效提升计算机的安全性能，保证计算机系统可靠运行。必须对其加以重视并提升其地位，更好地为人们日常生活及工作服务，从而促进计算机软件的发展和进步。1　概述

1.1　软件安全漏洞

在当今计算机软件应用领域，软件运行过程中存在的安全隐患，基本都是由于安全缺陷或操作配置失误因素而造成的。这些安全隐患主要分为两大类：一类是软件本身在设计过程中的不足而导致的安全隐患，主要包含基本软件缺陷与无关软件缺陷；另一类是系统管理员或软件供应商在定义访

作者简介：吴永康（1987-），男，广东恩平人，本科。研究方向：软件开发、数据管理。

2017年第5期

信息与电脑

China Computer&Communication

计算机工程应用技术

问控制规则时，由于自身配置的错误而生成的安全隐患。

当软件出现缺陷时，软件的错误或配置措施操作的错误，都会导致各种各样的漏洞出现，其中包括系统漏洞和软件漏洞，这些漏洞会引起软件不断地遭受攻击。供应商对于出现的这些漏洞，采取的措施是打补丁，但在打补丁的同时，往往会使得系统或软件产生新的漏洞，导致恶性循环，对软件造成不良的影响[1]。

软件安全漏洞主要指的是可能引发安全问题的软件代码

[2]

。在现实中，软件的安全漏洞一般潜在程序源代码中，而

软件的编程遗漏或错误一般都是由这些漏洞引发的，根据漏洞的表现形式，漏洞可以划分为以下三类。（1）缓冲区溢出。这种漏洞攻击会导致堆栈被摧毁，使得任意数据引发目标程序彻底崩溃。（2）随机数。很多软件中涉及的序列号及密钥都是由随机数产生的，产生的结果与算法有一定的关联，所采用的算法正是组成软件安全漏洞的重要部分。（3）竞争条件。这是常见的软件BUG ，如果这种现象出现于正在操作的多进程多任务系统前面，则会带来严重的后果。（4）格式化字符串。此漏洞能将指定数据写入进程的内存空间，还可以显示重要的信息，是一种程序代码缺陷。

计算机软件漏洞通常在以下三处被攻击。（1）Bugtraq 。这是一项邮件列表服务，是专门针对安全性问题存在的邮件讨论列表[3]，它是重要的安全入侵新闻来源，很多软件漏洞首先在这里被攻击。计算机安全报告通常都引用Bugtraq 为信息主要来源，它采用全曝光处理原则，完全曝光安全漏洞信息，促使尽快修复该安全漏洞。（2）PISKS Digest 。它同样是一个邮件列表服务，技术含量很高，属于计算机软件安全研究圈内有效攻击首选地方。（3）CERT 。主要是对互联网的安全漏洞进行研究，为遭受攻击的站点提供技术支持与服务，同时发布安全警告[4]。它对信息的披露较为迟缓，仅发布一些重大的问题建议，具有较高可信度的知识库。

由于计算机网络无处不在，提供给了攻击者更加方便的漏洞寻求途径，加上信息系统普遍使用低级语言研发，程序复杂且庞大，可扩展性强，造成漏洞增多，故软件安全性问题比过去更多、更严重。1.2　软件安全检测

软件的安全性在软件质量衡量中，是一个非常重要的指标。对计算机软件进行安全检测能够及时发现计算机软件中存在的错误，根据错误的类型做出相应有效的修补，降低了软件

面临的风险，是软件开发中重要环节之一[5]。软件安全检测的目标是通过使用尽可能少的测试用例，使得软件检测覆盖范围尽可能广，从而发现更多的问题[6]。计算软件安全检测不可以证明计算机软件没有存在错误或安全隐患，它只是通过检查计算机软件中的隐患或错误来提高软件安全性的方法。

2　检测过程中的注意事项

计算机软件安全检测是一个动态的过程，在计算机软件检测过程中，通常应当注意以下两点。2.1　制定合理有效的检测计划方案

检测方案在软件的运行特点的基础上，依据具体环境要求和测试情况，选择合理的安全检测手段进行检测。遵循多元化原则配备检测人员，保证参与人员具备丰富的计算机软件检测知识和经验，那样才能在提高工作效率的同时，保证软件安全检测真实且全面。2.2　选择适当的软件安全检测方式

在计算机软件安全检测过程中，应全面进行分析。检测部门或人员应细致分析代码级、系统级以及需求级。软件适宜的检测方式必须根据可行的检测规划具体内容进行选择。对软件进行安全检测时，可行的检测规划需要综合分析软件的运作状况和应用性质后得出，因此，只有完整细致的软件安全检测，才能使分析结果更加准确。

3　计算机软件安全检测过程与方法

3.1　软件安全检测过程

一般来说，规模较大的软件系统都是由大量的子系统构成的，而每个子系统则是由若干个模块组合而成。在计算机软件安全检测的过程中，首先是进行模块测试，将各模块中的缺陷逐个找出并修复，然后在模块测试的基础上，根据软件系统的设计模式，对软件的整体结构进行模拟，依据系统模型对整个系统结构进行安全检测。

检测方法的决策与软件安全检测结果的正确性以及检测过程效率息息相关[7]。检测方法的决策一般分为两部分：一部分是将检测过程形式化，首先是根据确立的软件检测方案模拟检测过程，然后建立数据模型，常用的形式语言主要包含行为语言和有限状态语言等；另一部分是完善模拟系统的安全测验，其中，比较常用的测验模式有马尔科夫链和有限状态机器。通过对模拟系统的安全测验，将软件系统进行较为全面的实际测验，进而保证软件安全检测的准确胜和可靠性。