浅谈计算机软件安全漏洞原理及防范措施

2017年第4期信息通信2017

(总第172 期）INFORMATION & COMMUNICATIONS (Sum. N o 172)浅谈计算机软件安全漏洞原理及防范措施

罗超1j

(1.广东科学技术职业学院;2.天津掌通无线科技有限公司珠海分公司，广东珠海5190卯2)

摘要：计算机软件是计算机技术发展的重要元件。随着计算机技术的飞速发展，软件安全问题随之受到越来越多的关注，提高软件安全性是保证计算机软件安全的重要措施。文章分析了计算机软件安全漏洞攻击原理，对安全漏洞进行分类并指出了漏洞的原因。根据安全漏洞的类型和原因，提出了出安全漏洞的防范策略。

关键词:计算机软件;安全漏洞；原理;措施

中图分类号:TP393.08 文献标识码:A文章编号：1673-1131(2017)04-0134-02

计算机的应用已经称为社会发展的重要工具，遍布于人

们生活当中。而计算机软件的发展是当前计算机发展的一大

特点，并为计算机的发展提供了新的契机，同时，软件漏洞问

题给用户带来困扰以致产生经济财产损失的案例也比比皆是。

入侵者或入侵软件在未经授权的情况下通过计算机软件安全

漏洞进行攻击，会对系统形成较大的破坏，造成诸多的问题。

因此，有必要从源头入手,通过对计算机软件安全漏洞原理进

行分析，找出应对策略。

1计算机软件安全及漏洞的类型

1.1计算机软件安全

一般来说,进入计算机系统访问信息时，需要经过授权的

对象，以被授权对象名义才被允许进入系统，进行信息操作。

计算机软件的安全性对于计算机几乎有着决定性的作用，是

信息资源和系统资源安全的主要保障。对计算机软件安全进

行维护是目前保障计算机用户信息安全的常用方式，也是比

较有效的一种。在提高网络信息保密性、完整性和可利用性

方面，该方式具有良好的效果。

1.2计算机软件安全漏洞的类型

对软件安全漏洞进行合理分类是有效提高漏洞检测效率

和检测针对性的方式，也有助于工作人员对软件漏洞的共性

进行合理把握。C或C#是当前的操作系统和协议通信软件

开发主要借助语言,对计算机软件的安全漏洞进行分类，也需

要从以上两个层面出发。

(1)缓冲区溢出。缓冲区溢出会造成较多的安全问题。引

起缓冲区溢出漏洞的原因主要是编程语言自身没有边界检查,

造成数组或指针的访问经常性越界，导致语言不安全并引起

漏洞。计算机的每个程序都有其存储信息的内存空间，C或

C++语言能够保证程序运行中使用两个不同的存储器：堆和

采取逐个集中器厂家试点升级、调试、确认可靠后，再扩大实

施范围。

参考文献：

[1]GB 13955-2005剩余电流动作保护装置安装和运行[S].

[2]李维，傅静.苏州供电试点推广居民漏电监测仪[N].江苏

电力报,2015-2-10

[3]钱立军，陆寒熹，尹建悦.基于智能电表的剩余电流监测功

能研究[J].电气应用,2008, (S1):204-207.

[4]Q / GDW376.1-2009•电力用户用电信息采集系统通信

协议:主站与采集终端通信协议[S].栈。在外部，缓冲区溢出问题的副作用没有特异表现,在测试

期内也难以被发现，由此造成软件安全漏洞。目标程序的执

行古怪、崩溃是溢出漏洞导致的常见程序行为,而有时候溢出

漏洞出现后并没有明显异常。

(2) 竞争条件。这是系统中的反常现象，由于现代Linux 系统中大量使用并发编程，对资源进行共享，如果产生错误的

访问模式，便可能产生内存泄露，系统崩溃，数据破坏，甚至

安全问题。竞争条件漏洞就是多个进程访问同一资源时产

生的时间或者序列的冲突，并利用这个冲突来对系统进行攻

击。一个看起来无害的程序如果被恶意攻击者利用，将发生

竞争条件漏洞。竞争条件造成的漏洞是一种常见的软件BUG,竞争条件BUG的表现异常且具有不确定性，解决起来

也相对棘手。

(3) 格式化字符串。格式化字符串,也是一种比较常见的 漏洞类型。会触发该漏洞的函数主要是p rin tf还有sprintf, Qnintf等等c库中print家族的函数。该漏洞属于一种程序代

码缺陷，目前有较多的软件产品存在格式化字符串漏洞。攻

击者利用该漏洞，通过打印内存、改写内存等方式，就能窃取

和改写信息。一旦存在格式化字符串漏洞，恶意攻击者就能

够任意读写信息，造成较为日严重的危害。

(4) 随机数。序列号或密钥的生成需要依靠随机数完成。如果选用了不好的方法来给伪随机数播种，就可能会造成信

息的泄漏。这是因为该随机数播种的种子由机器时间、进程

ID和父进程ID来决定的。攻击者通过适用相同的浏览器就

能够猜出ID,并借助Sniffer工具，对数据报文进行拦截，左后

分析出系统时间。攻击者可在几秒钟内获得随机种子，并立

即完成实时地破解密码。不好的随机数产生技术会导致数据

报文序列号很容易就被猜到，攻击者欺骗报文并插入通信的

难度较低。

[5]DLT645-2007,多功能电能表通信协议[S].

[6]剩余电流动作保护器通信规约(报批稿)[S].

作者简介:严永辉(1978-),男，中级工程师，从事用电信息采集

系统的设计开发工作;李新家(1967-)，男，正高级工程师，多年

来在电力企业从事电力自动控制工程和信息化应用系统设计

开发工作;周瑞雪(1980-)，女，中级工程师，从事用电信息采集

系统的运行监控工作;李平(1985-)，男，中级工程师，从事用电

信息采集系统的开发工作;赵勇(1980-)，男，助理工程师，从事

用电信息采集系统相关的通信规约设计开发工作。

134