序論:在您撰寫軟件安全論文時����,參考他人的優(yōu)秀作品可以開闊視野���,小編為您整理的7篇范文����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度���。
第1篇
在網(wǎng)絡安全教學中��,作為企業(yè)網(wǎng)絡管理者,最開始我們需要了解的是:(1)公司網(wǎng)絡拓撲結(jié)構(gòu)�����,雖然企業(yè)不一定給你最完整的資訊�,但是一定會告訴我們有哪些基本的網(wǎng)絡設備,我們至少應該知道這些設備可以干什么�,然后清楚地意識到在不久的將來我們都需要或多或少的對它進行配置[3]。例如:交換機����、路由器、防火墻�、VPN、無線AP�、VOIP及內(nèi)容過濾網(wǎng)關(guān)等[4]。(2)企業(yè)還會告訴我們一些功能服務器,這些也是我們?nèi)蘸笮枰M行管理的對象����。例如:企業(yè)AD、DHCP��、DNS�、FTP、WEB�����、網(wǎng)絡ghost服務器����、Share服務器、WSUS服務器和Exchange服務器等等����。我們需要記下這些網(wǎng)絡設備和功能服務器的IP地址。
2企業(yè)網(wǎng)絡安全管理的方式
2.1企業(yè)網(wǎng)絡安全管理可能遇到的問題
作為企業(yè)網(wǎng)絡安全實驗教學�,我們需要盡可能的模擬更多的企業(yè)網(wǎng)絡問題給學生來思考和解決:(1)給你一個IP地址,你能準確地找到這臺機器么?你需要什么輔助你?(2)有人說他能上內(nèi)網(wǎng)����,但外網(wǎng)不行�,你會想到什么?(3)有人說他QQ還可以聊天��,但網(wǎng)頁打不開�,你怎么想?以上模擬的問題都是企業(yè)中最容易出現(xiàn)的,在讓學生思考以上問題的同時��,以下問題才是需要讓學生們在模擬企業(yè)網(wǎng)絡管理者的時候需要規(guī)劃的:(1)研發(fā)部門的服務器突然增加了��,可是給他們的IP地址不夠分了��,怎么辦?(2)財務數(shù)據(jù)庫服務器數(shù)據(jù)很敏感����,可是外地分公司的業(yè)務又必須訪問���,你將制定怎樣的策略?(3)規(guī)劃的網(wǎng)絡是固定IP還是自動分配呢?
2.2解決問題的注意事項
2.2.1節(jié)點安全
更多的時候我們需要讓學生們了解到通過各種軟件保障設備的穩(wěn)定運行是預防節(jié)點安全的主要手段����。我們可以通過監(jiān)控系統(tǒng)日志實現(xiàn)對系統(tǒng)信息日志���、權(quán)限管理日志和資源使用率日志的管理;通過監(jiān)控硬件狀態(tài)實現(xiàn)對溫度�����、電壓���、穩(wěn)定性和硬件故障的管理;通過異常警報實現(xiàn)對沖突異常��、侵入異常�����、失去功能異常����、突發(fā)性性能異常等狀況的管理;通過容災實現(xiàn)對硬件損壞����、停電、失火�����、散熱失效等的管理��。
2.2.2軟件安全
最復雜最難管理的就是軟件安全����,因為我們所有的服務器硬件都是為運行在上面的軟件服務的�,而軟件又都是由人根據(jù)需求編寫代碼開發(fā)出來的應用程序�����。往往一款軟件需要很多人的協(xié)作開發(fā)�,由于各種局限性,在開發(fā)過程中無法考慮各種情況����,因此軟件都會有各種各樣的缺陷,需要不斷的修正�。有的缺陷是無傷大雅的,而有的缺陷卻是致命的��。你不是開發(fā)者��,這些缺陷對你來說又是不可控的�。你只能被動的防范這些缺陷���,而往往修補這些缺陷都發(fā)生在缺陷產(chǎn)生危害之后�。然而裝的軟件越多��,這些缺陷也就越多��。更要命的是,病毒�、木馬它們也是軟件,操作系統(tǒng)自身無法識別���。殺毒軟件可以處理病毒�����、木馬��,但是安全軟件一不小心也會成為不安全的因素�����。例如:金山網(wǎng)盾事件�、暴風影音事件等�。盡管如此,我們依然可以防范�,那就是把握以下原則:(1)最少安裝原則:提供什么服務就只裝什么服務或軟件,其他一律屏蔽;(2)最少開放原則:需要什么端口就開放什么端口�����,其他一律屏蔽;(3)最小特權(quán)原則:給予主體“必不可少”的權(quán)限����,多余的都不開放��。
2.2.3數(shù)據(jù)安全
不論是節(jié)點安全還是軟件安全���,我們最終的目的都是為了保障數(shù)據(jù)安全。這也是網(wǎng)絡安全的終極意義��。這是我們在課堂上務必讓學習網(wǎng)絡安全的學生了解的內(nèi)容�。數(shù)據(jù)安全其實是數(shù)據(jù)保管安全,涉及以下4個方面:(1)數(shù)據(jù)在存儲介質(zhì)上的物理安全�����。即防范存儲介質(zhì)損壞造成的數(shù)據(jù)丟失隱患���。(2)數(shù)據(jù)在存儲介質(zhì)上的邏輯安全����。即防范因各種操作造成的數(shù)據(jù)邏輯破壞��、刪除或丟失的隱患����。(3)數(shù)據(jù)在空間上的安全。即防范因各種災難造成當?shù)氐恼麄€數(shù)據(jù)完全損毀的隱患����。(4)數(shù)據(jù)在管理上的安全。即防范敏感或機密數(shù)據(jù)通過公司內(nèi)部員工人為泄露的隱患��。數(shù)據(jù)傳輸安全是互聯(lián)網(wǎng)安全的重點��,主要防范重點如下:(1)數(shù)據(jù)在傳輸過程中被阻礙(例如���,DDOS攻擊);(2)數(shù)據(jù)在傳輸過程中被竊取(因為無線上網(wǎng)設置不當造成公司資源外泄);(3)數(shù)據(jù)在傳輸過程中被修改(網(wǎng)頁注入式攻擊)��。
3結(jié)束語
第2篇
電子政務系統(tǒng)的應用軟件一般規(guī)模比較大�����,軟件在應用過程中面向的用戶較多���,系統(tǒng)結(jié)構(gòu)和業(yè)務流程相對復雜,以Web應用為主要實現(xiàn)方式�����。因而,系統(tǒng)安全常見的風險主要有Web應用的SQL注入漏洞���、表單繞過漏洞����、上傳繞過漏洞����、權(quán)限繞過漏洞、數(shù)據(jù)庫下載漏洞等�����。同時也常常存在應用系統(tǒng)管理員賬戶空口令或弱口令�����、未設置應用賬戶口令復雜度限制�����、無應用系統(tǒng)登錄和操作日志等風險��。在軟件應用安全層面���,安全方面的保證沒有統(tǒng)一的方法和手段�����。在保證整個系統(tǒng)安全運行過程中針對信息安全的部分�����,如對數(shù)據(jù)庫訪問安全����,訪問控制��,加密與鑒別等應用層面的安全防護����,主要從客戶端避免和減少人為非法利用應用程序,從應用軟件設計���、實現(xiàn)到使用維護�����,以及應用軟件對系統(tǒng)資源�、信息的訪問等方面保證安全。
二���、軟件應用安全要求與技術(shù)防護
2.1身份鑒別與訪問控制
用戶身份認證是保護信息系統(tǒng)安全的一道重要防線���,認證的失敗可能導致整個系統(tǒng)安全防護的失敗。電子政務系統(tǒng)的用戶對系統(tǒng)資源訪問之前����,應通過口令、標記等方式完成身份認證��,阻止非法用戶訪問系統(tǒng)資源�����。從技術(shù)防護的角度來說���,軟件應保障對所有合法用戶建立賬號�����,并在每次用戶登錄系統(tǒng)時進行鑒別�。軟件應用管理員應設置一系列口令控制規(guī)則��,如口令長度、口令多次失敗后的賬戶鎖定���,強制口令更新等�,以確??诹畎踩?��。軟件應用中對用戶登錄全過程應具有顯示�、記錄及安全警示功能���。用戶正常登錄后�,為防止長時間登錄而被冒用等情況����,系統(tǒng)應有自動退出等登錄失效處理功能。此外�����,應用系統(tǒng)需要及時清除存儲空間中關(guān)于用戶身份的鑒別信息�,如客戶端的cookie等。系統(tǒng)軟件應用中的文件��、數(shù)據(jù)庫等客體資源不是所有用戶都允許訪問的,訪問時應符合系統(tǒng)的安全策略�。系統(tǒng)中許多應用軟件在設計和使用過程中經(jīng)常會有權(quán)限控制不精確,功能劃分過于籠統(tǒng)等現(xiàn)象�,影響了系統(tǒng)的安全使用。目前,從應用軟件的研發(fā)和技術(shù)實現(xiàn)來看�����,授權(quán)訪問控制機制多采用數(shù)據(jù)庫用戶和應用客戶端用戶分離的方式��,訪問控制的粒度達到主體為用戶級�����,客體為文件�����、數(shù)據(jù)庫表級��。在分配用戶權(quán)限時���,用戶所具有的權(quán)限應該與其需使用的功能相匹配,不分配大于其使用功能的權(quán)限���,即分配所謂“最小授權(quán)”原則��。對于系統(tǒng)的一些特殊用戶或角色(如管理和審計)如分配的權(quán)限過大����,則系統(tǒng)安全風險將過于集中,因此�����,應將特別權(quán)限分配給不同的用戶�,并在他們之間形成相互制約的關(guān)系����。
2.2通信安全
電子政務系統(tǒng)應用軟件的設計、研發(fā)以及應用過程中����,需要重點關(guān)注通信安全,特別是對通信完整性的保護�。除應用加密通信外,通信雙方還應根據(jù)約定的方法判斷對方信息的有效性���。在信息通信過程中���,為使通信雙方之間能正確地傳輸信息�,需要建立一整套關(guān)于信息傳輸順序�����、信息格式和信息內(nèi)容等的約定���,因為僅僅使用網(wǎng)絡通信協(xié)議仍然無法對應用層面的通信完整性提供安全保障�����,還需在軟件層面設計并實現(xiàn)可自定義的供雙方互為驗證的工作機制���。而且,為防止合法通信的抵賴�,系統(tǒng)應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)或數(shù)據(jù)接收證據(jù)的功能。為保障信息系統(tǒng)通信的保密性�,應用軟件需具備在通信雙方建立連接之前,首先利用密碼技術(shù)進行會話初始化驗證����,以確保通信雙方的合法性的能力。其次,在通信過程中��,能保證選用符合國家有關(guān)部門要求的密碼算法對整個報文或會話過程進行加密�。通信雙方約定加密算法,對信息進行編碼和解碼�。此外,應用軟件中需設置通話超時和自動退出機制��,即當通信雙方中有一方在一段時間內(nèi)未做任何響應�,這表明可能存在通信異常情況,另一方能夠自動結(jié)束會話���,以免造成信息在通信過程中的泄露�。
2.3安全審計
安全審計通過采集各種類型的日志數(shù)據(jù)���,提供對日志的統(tǒng)一管理和查詢,使用特定規(guī)則���,對系統(tǒng)軟件應用狀態(tài)實時監(jiān)視����,生成安全分析報告�。安全審計的應用,能夠規(guī)范系統(tǒng)用戶的軟件應用行為�,起到預防�����、追蹤和震懾作用���。安全審計應用要覆蓋所有用戶,記錄應用系統(tǒng)重要的安全相關(guān)事件����,包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等��。記錄包括事件的日期和時間���、用戶��、事件類型��、事件是否成功����,及其他與審計相關(guān)的信息��,并有能力依據(jù)安全策略及時報警和中斷危險操作。此外���,審計記錄應受到妥善保護�,避免受到未預期的刪除���、修改或覆蓋等操作�,可追溯到的記錄應不少于一年�。在日常審計的基礎上,應通過分析審計記錄�����,及時發(fā)現(xiàn)并封堵系統(tǒng)漏洞���,提升系統(tǒng)安全強度���,定位網(wǎng)絡安全隱患的來源�,舉證系統(tǒng)使用過程中違法犯罪的法律、刑事責任��。電子政務系統(tǒng)軟件應用安全審計可結(jié)合網(wǎng)絡審計��、數(shù)據(jù)庫審計、應用和運維日志審計進行�,幾乎全部需要定制開發(fā)。
2.4系統(tǒng)資源控制
電子政務系統(tǒng)的資源使用主要體現(xiàn)在CPU��、內(nèi)存��、帶寬等資源的使用上�����,在這個過程中����,除了系統(tǒng)軟件以外,應用軟件也需要建立一組能夠體現(xiàn)資源使用狀況的指標�,來判斷系統(tǒng)資源是否能滿足軟件應用的正常運行要求,當系統(tǒng)資源相關(guān)性能降低到預先規(guī)定的最小值時��,應能及時報警��。并對資源使用的異常情況進行檢測�����,及時發(fā)現(xiàn)資源使用中的安全隱患�����。系統(tǒng)資源應保證優(yōu)先提供給重要、緊急的軟件應用���。因此���,在資源控制的安全策略上應設定優(yōu)先級,并根據(jù)優(yōu)先級分配系統(tǒng)資源����,從而確保對關(guān)鍵軟件應用的支持。技術(shù)實現(xiàn)上設計用戶登錄系統(tǒng)時����,軟件為其分配與其權(quán)限相對應的連接資源和系統(tǒng)服務,為防止系統(tǒng)資源的重復分配�����,應禁止同一用戶賬號在同一時間內(nèi)并發(fā)登錄�,并且,在用戶登錄后防止長時間非正常占用系統(tǒng)資源��,而降低系統(tǒng)的性能或造成安全隱患���,通常設計根據(jù)安全策略設置登錄終端的操作超時鎖定和鑒別失敗鎖定�����,并規(guī)定解鎖或終止方式��。同樣���,系統(tǒng)對發(fā)起業(yè)務的會話分配所用到的資源,也采用根據(jù)安全屬性(用戶身份���、訪問地址�、時間范圍等)允許或拒絕用戶建立會話連接���,對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)和單個用戶的多重并發(fā)會話數(shù)量進行限制�。在系統(tǒng)整體資源的使用上�����,對最大并發(fā)會話連接數(shù)進行限制�����。此外,對電子政務系統(tǒng)被刪除的文件等的剩余信息��,特別是涉及國家秘密��、敏感信息的內(nèi)容�,一定要重點關(guān)注并加強安全保護??刹捎孟铝屑夹g(shù)實現(xiàn)保護:(1)采用先進的磁盤讀寫技術(shù)對磁盤的物理扇區(qū)進行多次反復的寫操作,直到擦寫過后的磁盤扇區(qū)內(nèi)數(shù)據(jù)無法恢復�;(2)根據(jù)不同的分區(qū)格式進行采用不同的數(shù)據(jù)銷毀處理算法,對文件在磁盤上所有存放位置進行逐個清除����,確保文件不會在磁盤上留下任何痕跡;(3)進行目錄��、剩余磁盤空間或整個磁盤的數(shù)據(jù)銷毀��,銷毀后的目錄��、剩余磁盤空間或者整個磁盤不存在任何數(shù)據(jù)��,無法通過軟件技術(shù)手段恢復�。
2.5軟件代碼安全
在電子政務系統(tǒng)應用軟件開發(fā)之前,要制定應用程序代碼編寫安全規(guī)范�����,要求開發(fā)人員遵從規(guī)范編寫代碼���。應用程序代碼自身存在的漏洞被利用后可能會危害系統(tǒng)安全����。因此�����,應對應用軟件代碼進行安全脆弱性分析�����,以幫助其不斷改進完善��,從而有效降低軟件應用的安全風險�。研發(fā)工作結(jié)束后,應及時對程序代碼的規(guī)范性進行審查����,以查找其設計缺陷及錯誤信息。代碼審查一般根據(jù)需要列出所需資料清單���,由應用軟件使用方收集并提供相應的材料�����。代碼測試人員與開發(fā)人員書面確認測試內(nèi)容和過程��,配置運行環(huán)境���,對代碼進行預編譯操作����,確認可執(zhí)行使用�����。然后使用特定的測試工具進行代碼的安全測試操作��,對測試結(jié)果進行分析�����。對發(fā)現(xiàn)的問題進行風險分析和估算�,制作軟件缺陷、問題簡表,撰寫測試報告并交付開發(fā)方修改��,并對已經(jīng)整改的部分進行復測���。值得注意的是����,那些已經(jīng)通過安全測試的代碼�����,還需要運行在通過安全測試的支撐平臺�����、編譯環(huán)境中才能實現(xiàn)真正的安全運行���。
2.6軟件容錯
電子政務系統(tǒng)中應用軟件的高可用性是保障系統(tǒng)安全、平穩(wěn)運行的基礎����。軟件容錯的原理是通過提供足夠的冗余信息和算法程序,使系統(tǒng)在實際運行時能夠及時發(fā)現(xiàn)錯誤���,并能采取補救措施���。對系統(tǒng)軟件應用安全來說��,應充分考慮到軟件自身出現(xiàn)異常的可能性��。軟件在應用過程中�,除設計對軟件運行狀態(tài)的監(jiān)測外����,當故障發(fā)生時能實時檢測到故障狀態(tài)并報警,防止軟件異常的進一步蔓延�����,應具有自動保護能力�,即當故障發(fā)生時能夠自動保存當前所有狀態(tài)。此外����,操作人員對應用軟件的操作可能會出現(xiàn)失誤。因此�,系統(tǒng)應對輸入的數(shù)據(jù)、指令進行有效性檢查����,判斷其是否合法��、越權(quán)����,并能及時進行糾正�。關(guān)鍵功能應支持按照操作順序進行功能性撤銷,以避免因誤操作而導致的嚴重后果����。
三����、結(jié)語
第3篇
隨著互聯(lián)網(wǎng)的觸角深入到生產(chǎn)生活中的各個層面,軟件已經(jīng)不像以前那樣只是支持辦公和家庭娛樂這兩大主題了����,而是成為現(xiàn)代商業(yè)的靈魂。軟件安全問題主要圍繞著軟件漏洞和易被攻擊脆弱點�����,它們都來自于軟件的設計和實現(xiàn)����。Internet催生了電子商務�����,移動互聯(lián)網(wǎng)使得APP變得如火如荼�����,未來物聯(lián)網(wǎng)也許可以將生活中的一切元素都納入到通信網(wǎng)絡中去�。因此軟件安全問題將成為計算機安全的核心�����,而非防火墻等網(wǎng)絡硬件�����,或是諸如加密等手段����。軟件安全是一切計算機安全性問題的根源,如果軟件行為出現(xiàn)異常���,與之相關(guān)的可靠性�、可用性等方面問題就會隨之暴露。軟件安全問題并不是互聯(lián)網(wǎng)出現(xiàn)后才有的���,只不過互聯(lián)網(wǎng)是目前最容易攻擊軟件的途徑罷了����。
2軟件安全的現(xiàn)狀
2.1人們的認知
隨著黑客攻擊的新聞時常見諸媒體���,人們對計算機安全問題有了一定認識��。但不幸很多計算機安全人員和計算機教育培訓人員都忽視了軟件安全的問題�。一味地推崇某種軟件平臺是安全的����,單純大力增加對網(wǎng)絡安全硬件和軟件的投入����,這些做法是盲目甚至荒謬的。一切安全性都不是靜態(tài)特性����,也沒有任何軟件是絕對安全的。軟件安全問題的關(guān)鍵節(jié)點是軟件的設計�。
2.2軟件安全設計的先天不足
世界上知名的軟件廠商并不是不了解軟件安全設計安全性的重要性�,而是商業(yè)模式讓軟件安全方面存在著先天不足��。稍縱即逝的商業(yè)機會�����、敏捷的軟件開發(fā)過程和短暫的軟件開發(fā)周期使得安全性方面的設計在很多時候都是被舍棄的�����。隨之而來的處理方式則是常見的penetrate-and-pach方法����,即不停地補丁。這種做法從長遠來看��,其成本與作用遠不及一開始就做好安全性的設計和審計���。
3軟件安全設計應引入風險管理
從項目管理的角度看����,風險指損失或損害的可能性��。軟件項目涉及到的是:項目中可能發(fā)生的潛在問題和它們?nèi)绾畏恋K項目成功��。風險管理則是對應軟件項目生命周期內(nèi)的風險的科學和藝術(shù)。軟件安全性的設計與軟件設計的其他一些質(zhì)量性能是互相抵觸的�,例如冗余性、高效性�����。而軟件開發(fā)過程中的風險管理與軟件開發(fā)的諸如時間����、范圍、成本等因素也是相互抵觸的���。但是絕不能因為這些可能發(fā)生的抵觸行為而放棄對安全性和風險管理的考慮����,反而應該將軟件安全性設計納入到風險管理的范疇中去��。事實表明�����,93%的失控項目都忽視了風險管理�����。
4軟件安全設計風險管理的實施
目前國際上對軟件安全方面的風險管理存在著一個共同的認知�,那就是采用高質(zhì)量的軟件工程的方法論可以在一定程度上解決這方面的問題,歐美一些國家也在試圖制定或修訂相關(guān)的一些“通用準則”來指導軟件安全性設計的實踐�。但是這只是從科學技術(shù)方面做出努力,我們可以學習借鑒���。而在管理技術(shù)和藝術(shù)方面需要做出的努力則應該嘗試本地化做法�����。完整的風險管理的過程應該包括以下幾個環(huán)節(jié):風險管理計劃的編制�����、風險識別���、風險定性分析、風險定量分析���、風險應對計劃編制和風險監(jiān)督控制�。將整個流程都走完的項目和企業(yè)都不多����,一般來自于所謂的學院派��。而時下大多數(shù)國內(nèi)外企業(yè)的做法是將這個7個流程簡化為誰來識別風險�����、誰來對風險負責這兩個環(huán)節(jié)�。原因則是上文所提到的先天不足所致�����。從技術(shù)上講���,風險管理的效益來自于潛在風險最小化和潛在回報的最大化�。而這個技術(shù)的應用則一定需要經(jīng)歷風險定量分析的過程�。在這個過程中,可以使用的主要技術(shù)是決策樹分析�、蒙特卡羅分析、PERT分析等等���。這些技術(shù)都是建立在一定的數(shù)學和會計基礎之上����。而令人遺憾的是���,很多決策者本身對這些技術(shù)的認知或理解欠缺�,以至于會抵觸這種方法��。大多數(shù)做法是采用小團隊開發(fā)小軟件的做法��,即采用訪談和敏感性分析來幫助風險定量分析���。然而我們并不是要反對這種簡化做法�����,只是一定不能在簡化的做法之上再次簡化或敷衍了事�����。首先要做的工作是做好需求管理�,在建立一組需求輸入的時候��,一定要將安全性作為一個重要需求考慮進去�����。有一個比較好的方法是,在軟件設計時采用螺旋模型���,需求的輸入可以在螺旋模型的各個生命周期中進行�����,而有關(guān)安全性的需求輸入則最好是在最初的一個螺旋中進行���。之后要做的工作是確定最大風險。不可避免的要使用風險定性和風險定量分析的各種技術(shù)和方法���。這個工作一定要有軟件設計師�、項目決策者和用戶的參與����,采用頭腦風暴和專家訪談是不錯的選擇。而這個工作恰恰是現(xiàn)實生活中中小企業(yè)乃至客戶最容易忽略的��。企業(yè)要考慮成本問題���,而客戶的參與往往難以落實�����,認為軟件的設計和開發(fā)應該由軟件公司負責�����,客戶付款只關(guān)心最后軟件是否可以使用��。而一旦由于軟件安全性問題造成了一定后果后將演變成各種糾纏不清的官司�,這是企業(yè)和客戶都不想看到的結(jié)果���。
5結(jié)語
第4篇
1.1計算機軟件安全檢測的流程
通常計算機軟件安全檢測的過程中只要有以下幾個流程�����,首先是為了徹底全面的對計算機軟件系統(tǒng)當中可能存在的缺陷予以充分的檢測和了解�,要對軟件設計過程中最小的模塊進行進行全面的測試�,之后是要嚴格按照設計的標準和要求對組裝的系統(tǒng)進行檢測,此外還要對與之相關(guān)的體系機構(gòu)進行全面的檢查���。其次就是要在做好了上述各項功能工作之后���,還要對軟件自身的有效性和功能性進行詳細科學的檢測,最后一點就是要對整個系統(tǒng)進行全面的檢測��,測試整個軟件在各種環(huán)境下運行的安全性和可靠性。
1.2當前計算機軟件安全檢測的只要方法
首先是形式化的檢測�。形式化的安全監(jiān)測實際上就是根據(jù)具體的要求來建立軟件應有的數(shù)學模型,之后通過對應的標準化語言對其進行格式化的說明��。形式化的安全監(jiān)測通常有兩種檢測方法�����,一種是模型檢測�����,一種是定量檢測��。其次就是在模型基礎上的靜態(tài)安全檢測����。模型安全監(jiān)測一方面是通過軟件行為和結(jié)構(gòu)構(gòu)建的一種方式,這樣也就形成了一個可供測試的模型����,這種模型在運行的過程中一方面可以在計算機上實現(xiàn)讀取,在工作的過程中�,比較常用的模型安全檢測方法有兩種,一種是有限狀態(tài)機檢測�,一種是馬爾科夫鏈檢測�、再次就是語法檢測�。語法檢測實際上就是技術(shù)人員通過技術(shù)措施對軟件在不同的輸入條件下所產(chǎn)生的反應是否相同。四是基于故障注入的軟件安全檢測�����。故障注入的安全檢測是應用故障分析樹與故障數(shù)的最小割集來檢測的�����。五是模糊測試和基于屬性的測試����?;诎缀械哪:郎y試較傳統(tǒng)的模糊測試技術(shù)有很大進步,白盒模糊檢測方法有效地結(jié)合了傳統(tǒng)的模糊測試技術(shù)和動態(tài)測試用例檢測技術(shù)的優(yōu)點��。六是混合檢測技術(shù)���。能有效地改善靜態(tài)技術(shù)和動態(tài)技術(shù)檢測存在的一些缺陷����,從而更好地對計算機軟件的安全進行檢測��。七是基于Web服務的檢測技術(shù)。它是一種基于識別內(nèi)容的分布式Web服務器技術(shù)�。具有語言中立、互動操作性強等優(yōu)點���,能夠?qū)碗s的安全檢測分解為子安全類型進行處理����,以使其可以更有效地應對復雜的安全檢測的需要�����。
2軟件維護的主要類型
2.1改正性維護
改正性維護是指改正在系統(tǒng)開發(fā)階段已發(fā)生而系統(tǒng)測試階段尚未發(fā)現(xiàn)的錯誤�。這方面的維護工作量要占整個維護工作量的17%~21%。所發(fā)現(xiàn)的錯誤有的不太重要��,不影響系統(tǒng)的正常運行�,其維護工作可隨時進行:而有的錯誤非常重要,甚至影響整個系統(tǒng)的正常運行����,其維護工作必須制定計劃,進行修改��,并且要進行復查和控制�����。
2.2適應性維護
適應性維護是指使用軟件適應信息技術(shù)變化和管理需求變化而進行的修改。這方面的維護工作量占整個維護工作量的18%~25%�����。由于計算機硬件價格的不斷下降���,各類系統(tǒng)軟件屢出不窮�����,人們常常為改善系統(tǒng)硬件環(huán)境和運行環(huán)境而產(chǎn)生系統(tǒng)更新?lián)Q代的需求;企業(yè)的外部市場環(huán)境和管理需求的不斷變化也使得各級管理人員不斷提出新的信息需求�。這些因素都將導致適應性維護工作的產(chǎn)生。進行這方面的維護工作也要像系統(tǒng)開發(fā)一樣�,有計劃、有步驟地進行�。
3提高軟件的可維護性方法
3.1建立明確的軟件質(zhì)量目標
如果要一個可維護性的程序滿足可理解的、可靠的����、可測試的、可修改的�����、可移植的、效率高的和可使用的7個全部的要求��,要付出很大的代價�����,甚至是不顯示的�。但是可理解性和可測試性以及可理解性和可修改性是相互促進的,而效率和可移植性以及效率和可修改性是相互抵觸的��。因此��,要明確軟件所追求的質(zhì)量目標�。
3.2使用先進的軟件開發(fā)技術(shù)和工具
利用先進的軟件開發(fā)技術(shù)能夠大大提高軟件質(zhì)量和減少軟件費用,并且穩(wěn)定性好����,容易修改、容易理解���,易于測試和調(diào)試�,因此可維護性好����。
3.3建立明確的質(zhì)量保證
最有效的方法就是質(zhì)量保證檢查���,在軟件開發(fā)的各個階段以及軟件維護中得到了廣泛的應用。
4結(jié)束語
第5篇
接連不斷的蠕蟲病毒使當前安全技術(shù)和措施的有效性再次受到質(zhì)疑����。盡管安全是世界上所有機構(gòu)的頭等大事之一,安全攻擊事件的數(shù)量仍然是逐年攀升�,造成的危害一次比一次大。在最近的數(shù)年中���,大量的投資被用于阻擊安全事件的發(fā)生�,但只有少數(shù)公司確保了它們網(wǎng)絡的安全����。
特別值得一提的是�,為了滿足用戶和業(yè)務的需求,時刻保持競爭優(yōu)勢����,企業(yè)不得不持續(xù)擴張網(wǎng)絡體系。然而���,很多人可能不知道���,網(wǎng)絡的每一次擴張���,即便是一臺新計算機、一臺新服務器以及軟件應用平臺�����,都將給病毒���、蠕蟲����、黑客留下可乘之機�,為企業(yè)網(wǎng)絡帶來額外的安全風險。同時��,純病毒時代已經(jīng)一去不復返�,幾年前占據(jù)著新聞頭條的計算機病毒事件在今天看來已經(jīng)不是什么新聞,取而代之的是破壞程度呈幾何增長的新型病毒�。這種新型病毒被稱為混合型病毒,這種新病毒結(jié)合了傳統(tǒng)電子郵件病毒的破壞性和新型的基于網(wǎng)絡的能力,能夠快速尋找和發(fā)現(xiàn)整個企業(yè)網(wǎng)絡內(nèi)存在的安全漏洞�,并進行進一步的破壞,如拒絕服務攻擊��,拖垮服務器�,攻擊計算機或系統(tǒng)的薄弱環(huán)節(jié)。在這種混合型病毒時代��,單一的依靠軟件安全防護已開始不能滿足客戶的需求�。
網(wǎng)絡安全不只是軟件廠商的事
今年上半年,網(wǎng)絡安全軟件及服務廠商——趨勢科技與網(wǎng)絡業(yè)界領(lǐng)導廠商——思科系統(tǒng)公司在北京共同宣布簽署了為企業(yè)提供綜合性病毒和蠕蟲爆發(fā)防御解決方案的合作協(xié)議�����。該協(xié)議進一步擴展了雙方此前針對思科網(wǎng)絡準入控制(NAC)計劃建立的合作關(guān)系����,并將實現(xiàn)思科網(wǎng)絡基礎設施及安全解決方案與趨勢科技防病毒技術(shù)、漏洞評估和病毒爆發(fā)防御能力的結(jié)合��。
根據(jù)合作協(xié)議��,思科首先將在思科IOS路由器�、思科Catalyst交換機和思科安全設備中采用的思科入侵檢測系統(tǒng)(IDS)軟件中添加趨勢科技的網(wǎng)絡蠕蟲和病毒識別碼技術(shù)��。此舉將為用戶提供高級的網(wǎng)絡病毒智能識別功能和附加的實時威脅防御層,以抵御各種已知和未知的網(wǎng)絡蠕蟲的攻擊���。
“在抵御網(wǎng)絡蠕蟲����、防止再感染�、漏洞和系統(tǒng)破壞的過程中,用戶不斷遭受業(yè)務中斷的損失����,這導致了對更成熟的威脅防御方案需求的增長?!壁厔菘萍紕?chuàng)始人兼首席執(zhí)行官張明正評論說,“傳統(tǒng)的方法已無法滿足雙方客戶的需求�����?���!?/p>
“現(xiàn)在的網(wǎng)絡安全已不是單一的軟件防護,而是擴充到整個網(wǎng)絡的防治�����。”思科全球副總裁杜家濱在接受記者采訪時表示:“路由器和交換機應該是保護整個網(wǎng)絡安全的����,如果它不安全,那它就不是路由器�����。從PC集成上來看�,網(wǎng)絡設備應該能自我保護,甚至實現(xiàn)對整個網(wǎng)絡安全的保護�����?��!?/p>
業(yè)界專家指出�,防病毒與網(wǎng)絡基礎設施結(jié)合�,甚至融入到網(wǎng)絡基礎架構(gòu)中,這是網(wǎng)絡安全的發(fā)展潮流��,趨勢科技和思科此次合作引領(lǐng)了這一變革�,邁出了安全發(fā)展史上里程碑式的重要一步。
“軟”+“硬”=一步好棋
如果細細品味這次合作的話����,我們不難發(fā)現(xiàn)這是雙方的一步好棋,兩家公司都需要此次合作���。
作為網(wǎng)絡領(lǐng)域的全球領(lǐng)導者��,思科一直致力于推動網(wǎng)絡安全的發(fā)展并獨具優(yōu)勢����。自防御網(wǎng)絡(Self-DefendingNetwork�����,SDN)計劃是思科于今年3月推出的全新的安全計劃�����,它能大大提高網(wǎng)絡發(fā)現(xiàn)���、預防和對抗安全威脅的能力�。思科網(wǎng)絡準入控制(NAC)計劃則是SDN計劃的重要組成部分���,它和思科的其他安全技術(shù)一起構(gòu)成了SDN的全部內(nèi)涵�。
SDN是一個比較全面、系統(tǒng)的計劃�����,但是它缺乏有效的病毒防護功能���。隨著網(wǎng)絡病毒的日見猖獗�,該計劃防毒功能的欠缺日益凸顯�。趨勢科技領(lǐng)先的防毒安全解決方案正是思科安全體系所亟需的。
趨勢科技作為網(wǎng)絡安全軟件及服務廠商�����,以卓越的前瞻和技術(shù)革新能力引領(lǐng)了從桌面防毒到網(wǎng)絡服務器和網(wǎng)關(guān)防毒的潮流�。趨勢科技的主動防御的解決方案是防毒領(lǐng)域的一大創(chuàng)新,其核心是企業(yè)安全防護戰(zhàn)略(EPS)����。EPS一反過去被動地以防毒軟件守護的方式,將主動預防和災后重建的兩大階段納入整個防衛(wèi)計劃當中��,并將企業(yè)安全防護策略延伸至網(wǎng)絡的各個層次����。
“如果此次與思科合作的不是趨勢科技���,我們恐怕連覺都睡不好?���!睆埫髡膽蜓詿o不透露出趨勢科技對此次合作的迫切性和重要性����。
更讓張明正高興的是,通過此次合作���,趨勢科技大大擴充了渠道�����?�!拔覀兊那乐丿B性很小��?���!睆埫髡硎?�。而此次“1+1<2”的低成本產(chǎn)品集成將使這次合作發(fā)揮更大的空間。
網(wǎng)絡安全路在何方�?
如今,雖然業(yè)界有形形的安全解決方案����,網(wǎng)絡安全的形勢卻不斷惡化。究其原因����,主要是由于現(xiàn)在的網(wǎng)絡威脅形式越來越多,攻擊手段越來越復雜��,呈現(xiàn)出綜合的多元化的特征�。
第6篇
(一)計算機軟件設施的安全問題
計算機軟件是計算機運行系統(tǒng)中有關(guān)程序和文檔的總稱,屬于計算機硬件設備的控制中心����,可以滿足人們的各種實際需求。計算機安全從軟件方面來書�,軟件開發(fā)部門開發(fā)的軟件既要滿足用于的各種需求,也要有效降低開發(fā)成本��,更要避免其他軟件開發(fā)剽竊或者復制軟件�,最大程度的保護自己的知識產(chǎn)權(quán)。而用戶也要求功能齊全、實用性好�����、保密性好�、具有高性價比的軟件,尤其是軟件的安全性能�,因此計算機軟件安全指的是軟件不易被剽竊和軟件自身的安全性。
(二)計算機網(wǎng)絡信息安全問題
計算機用戶缺乏網(wǎng)絡安全意識和信息保密意識�,同時計算機網(wǎng)絡系統(tǒng)還不夠完善,有一定的安全漏洞��,這是引起網(wǎng)絡風險的一個主要因素��,比如�,Windows系統(tǒng)自身存在著一定的問題���、軟件自身攜帶的插件等���,這些存在著一定的安全隱患,為不法分子提供了機會��,有些黑客會侵入計算機的安全系統(tǒng)�,甚至導致數(shù)據(jù)丟失或者系統(tǒng)的癱瘓。此外�����,計算機病毒入侵也對計算機網(wǎng)絡安全產(chǎn)生威脅。因為病毒具有很快的傳播速度�����,只要病毒進入網(wǎng)絡���,既對計算機安全運行產(chǎn)生影響����,也將計算機數(shù)據(jù)破壞�����,極大的損害了用戶的利益��。
二�����、計算機安全問題的解決對策
(一)計算機硬件安全問題的對策
當前�����,人們的日常工作、學習和生活和計算機息息相關(guān)�����,為了維持計算機更長的壽命���,并促使其更好的為人類服務�,我們在一定程度上要了解計算機����,并且具備普通的維修常識?����?墒?���,計算機的壽命是有限的�,用戶有必要對操作流程進行學習,然后正確使用計算機���,如果計算機發(fā)生問題要及時維修�,避免計算機硬件遭到更嚴重的損壞。用戶熟練掌握計算機日常使用規(guī)范以及基本的維護知識可以促使用戶及時發(fā)現(xiàn)計算機安全問題�,并且提早做好預防,促使計算機更好的服務于用戶�。
(二)計算機軟件設施安全問題的對策
首先加密計算機軟件,并且確保密碼的安全性�,因為計算機軟件非常容易復制,因此計算機軟件安全防護的一個重要手段是密碼保護����。而一個密碼只在一段時間內(nèi)有效,因此用戶要定期對密碼進行更改��,確保計算機軟件安全�。其次,為了從源頭上確保計算機軟件的安全���,就要做好它的安全設計�。軟件設計人員在開發(fā)計算機軟件的過程中要全面細致考慮軟件的安全問題�����,比如從軟件用途方面來說�����,就要對用途肯能帶來的風險進行考慮,并且提前制定應對措施���;在開發(fā)完軟件之后要全方位檢測軟件�����,及時修補檢測出來的漏洞�����,并且提高檢測次數(shù)��,最大程度的避免軟件漏洞����。而用戶在使用軟件的過程中如果發(fā)現(xiàn)問題就要及時解決問題�����,并應用合理措施實施修補�,確保安全運行軟件����,避免不必要的風險��。
(三)計算機網(wǎng)絡信息安全問題的對策
計算機病毒主要通過網(wǎng)絡以及硬件傳播��,所以要定期升級計算機軟件�����,應用最新的版本�,確保計算機軟件具有較少的漏洞���。此外也要及時更新瀏覽器的版本�,確保網(wǎng)頁瀏覽的安全性�����。在瀏覽網(wǎng)頁時盡量不要瀏覽不合常規(guī)的網(wǎng)站�,不安裝不合常規(guī)的軟件,確保瀏覽的安全性����。
三、結(jié)語
第7篇
1計算機軟件存在的安全漏洞
隨著我國經(jīng)濟的不斷發(fā)展�,科技技術(shù)有了很大進步��,互聯(lián)網(wǎng)中的信息系統(tǒng)使用范圍不斷擴大��,在各個領(lǐng)域發(fā)揮著不可取代的作用��。由于計算機軟件中有很多的安全漏洞���,因此很大程度上信息系統(tǒng)就產(chǎn)生了一定的安全隱患。軟件中的漏洞會對信息系統(tǒng)造成非常大的威脅�,這就需要對計算機軟件中的安全漏洞進行必要檢測,安全漏洞檢測是現(xiàn)代信息系統(tǒng)安全運行中非常重要的課題�����。計算機軟件漏洞是指計算機系統(tǒng)在編程時出現(xiàn)的錯誤導致的缺點�����,這些缺點非常容易使計算機軟件產(chǎn)生一些安全隱患和計算機自身的危險�����,計算機系統(tǒng)對有惡意的網(wǎng)絡信息有非常高的敏感性�����,極容易出現(xiàn)對系統(tǒng)攻擊行為�����。之所以出現(xiàn)這種情況�����,主要原因是在軟件開發(fā)和研制過程出現(xiàn)的一些問題����。漏洞主要有兩種:安全性漏洞和功能性漏洞。安全性漏洞指的是在大多情況下漏洞不會影響計算機的正常運行���,如果漏洞被黑客發(fā)現(xiàn)���,軟件運行時就會出現(xiàn)錯誤,嚴重者計算機會執(zhí)行錯誤的命令����,有很大的危害性。功能性的漏洞是指漏洞能夠影響計算機正常運行����,比如運行結(jié)果錯誤等等��。漏洞特性主要表現(xiàn)在四個方面:1系統(tǒng)編程時由于編制人員的疏忽很容易出現(xiàn)邏輯性的錯誤�����,這種由于疏忽出現(xiàn)的錯誤很多是疏忽大意所致����。2計算機在運行任務時很容易產(chǎn)生邏輯性錯誤����,不同大小之間的程序模塊相比可以看出邏輯性錯誤的發(fā)生率很高。3漏洞和軟件環(huán)境有很大關(guān)系�。4系統(tǒng)漏洞和時間也存在一定的聯(lián)系,隨著時間的延長�����,舊漏洞被修復但是也會產(chǎn)生新的安全漏洞���。
2計算機軟件安全漏洞的各項檢測技術(shù)及應用
2.1安全靜態(tài)檢測
計算機軟件安全靜態(tài)檢測�,注重的是系統(tǒng)內(nèi)部特性�,靜態(tài)檢測和漏洞兩者之間有共同的特點,這些特點之間也有很大的關(guān)聯(lián)。目前漏洞的劃分方法主要有安全性漏洞和內(nèi)存性的漏洞�����。安全性漏洞對數(shù)據(jù)流的誤差比較注重�����,很大程度上由于錯誤的內(nèi)存形態(tài)而形成的��;內(nèi)存性漏洞對數(shù)據(jù)的準確性和類別有很大的注重性����。因此�����,這種漏洞主要的檢測技術(shù)方法就是在內(nèi)部存儲空間進行建模���。因為靜態(tài)檢測方法之間有很大的不同之處��,漏洞的處理也有很大的不同之處�。所以�����,一些監(jiān)測技術(shù)只能對漏洞進行必要的檢測,但是一些方法在此基礎上還能夠?qū)β┒催M行很好的處理���。安全靜態(tài)檢測方法主要是對程序的代碼進行掃描����,對其中的關(guān)鍵句進行詳細分析��,然后根據(jù)設置的漏洞特性和標準對系統(tǒng)進行全面檢測���。分析關(guān)鍵語法是最早的靜態(tài)分析法����,它在分析時只對語法進行檢查����,把系統(tǒng)中的程序分為不同段落語句和數(shù)據(jù)庫相互對比,如果發(fā)現(xiàn)有疑問�����,對其進行仔細的判斷���,從而進行檢測�;另一種檢測方法就是按照標準進行檢測。由于系統(tǒng)自身就是編程的標準�,根據(jù)標準對計算機程序進行描述,可以通過語法對其進行描述����,最后對系統(tǒng)進行整體檢測����。
2.2安全動態(tài)檢測
2.2.1內(nèi)存映射很多攻擊者在對軟件進行破壞時為了達到目的,會經(jīng)常用到“NULL”結(jié)尾的字符串進行內(nèi)存覆蓋��。采用代碼頁映射技術(shù)���,攻擊者能夠利用“NULL”結(jié)尾字符串進行內(nèi)存覆蓋��。
2.2.2非執(zhí)行棧目前�,出現(xiàn)了一些棧攻擊軟件的問題�����,主要原因是系統(tǒng)中棧的執(zhí)行能力��,由于棧內(nèi)包含了所有數(shù)組變量,所以�,攻擊者通過向棧中書寫一些惡意代碼,再進行代碼執(zhí)行���。預防這種攻擊方法最為有效的方法是打破棧的執(zhí)行力�,使代碼不能夠進行執(zhí)行任務�。2.2.3安全共享庫有些計算機中的安全漏洞主要是使用了不安全的共享庫所致。安全共享庫很大程度上可以預防惡意攻擊行為�����。安全共享庫有攔截和檢測功能�����,主要是指使用動態(tài)鏈接方式進行程序運行�,把不安全函數(shù)進行攔截和檢測,最大程度上保護軟件的安全����。
2.3計算機軟件安全漏洞檢測技術(shù)的應用
安全漏洞檢測技術(shù)直接關(guān)系到計算機的安全應用,其中在計算機軟件安全漏洞檢測中����,其各項技術(shù)的應用主要集中在:第一���,防止競爭條件安全漏洞應用。這種漏洞的應用一般是采用原子化處理競爭編碼�����,這種編碼有鎖定功能����,原子化操作進入鎖定狀態(tài),詳細的描述使用文件����,很大程度上預防由于使用文件的變動使系統(tǒng)產(chǎn)生漏洞���。第二��,緩沖區(qū)安全漏洞檢測技術(shù)應用����。緩沖區(qū)安全漏洞檢測主要是對軟件程序中的一些疑問函數(shù)進行詳細檢測來預防緩沖區(qū)安全漏洞��。第三����,隨機漏洞預防應用�����。對于隨機漏洞的檢測和預防需要用到性能良好隨機發(fā)生設備�����,這種設備能夠準確的對隨機漏洞進行預防����,其中最主要的原因就是該設備有密碼算法�。第四,格式化字符串漏洞檢測技術(shù)應用�。這種檢測技術(shù)的應用一般是在代碼中使用格式常量。
3結(jié)語
