购物车(0) 期刊中心 科普订阅 范文中心
400-808-1731期刊服务 在线咨询7X16小时在线
公务员期刊网 精选范文 软件安全论文范文

软件安全论文精选(九篇)

软件安全论文

第1篇:软件安全论文范文

在网络安全教学中,作为企业网络管理者,最开始我们需要了解的是:(1)公司网络拓扑结构,虽然企业不一定给你最完整的资讯,但是一定会告诉我们有哪些基本的网络设备,我们至少应该知道这些设备可以干什么,然后清楚地意识到在不久的将来我们都需要或多或少的对它进行配置[3]。例如:交换机、路由器、防火墙、VPN、无线AP、VOIP及内容过滤网关等[4]。(2)企业还会告诉我们一些功能服务器,这些也是我们日后需要进行管理的对象。例如:企业AD、DHCP、DNS、FTP、WEB、网络ghost服务器、Share服务器、WSUS服务器和Exchange服务器等等。我们需要记下这些网络设备和功能服务器的IP地址。

2企业网络安全管理的方式

2.1企业网络安全管理可能遇到的问题

作为企业网络安全实验教学,我们需要尽可能的模拟更多的企业网络问题给学生来思考和解决:(1)给你一个IP地址,你能准确地找到这台机器么?你需要什么辅助你?(2)有人说他能上内网,但外网不行,你会想到什么?(3)有人说他QQ还可以聊天,但网页打不开,你怎么想?以上模拟的问题都是企业中最容易出现的,在让学生思考以上问题的同时,以下问题才是需要让学生们在模拟企业网络管理者的时候需要规划的:(1)研发部门的服务器突然增加了,可是给他们的IP地址不够分了,怎么办?(2)财务数据库服务器数据很敏感,可是外地分公司的业务又必须访问,你将制定怎样的策略?(3)规划的网络是固定IP还是自动分配呢?

2.2解决问题的注意事项

2.2.1节点安全

更多的时候我们需要让学生们了解到通过各种软件保障设备的稳定运行是预防节点安全的主要手段。我们可以通过监控系统日志实现对系统信息日志、权限管理日志和资源使用率日志的管理;通过监控硬件状态实现对温度、电压、稳定性和硬件故障的管理;通过异常警报实现对冲突异常、侵入异常、失去功能异常、突发性性能异常等状况的管理;通过容灾实现对硬件损坏、停电、失火、散热失效等的管理。

2.2.2软件安全

最复杂最难管理的就是软件安全,因为我们所有的服务器硬件都是为运行在上面的软件服务的,而软件又都是由人根据需求编写代码开发出来的应用程序。往往一款软件需要很多人的协作开发,由于各种局限性,在开发过程中无法考虑各种情况,因此软件都会有各种各样的缺陷,需要不断的修正。有的缺陷是无伤大雅的,而有的缺陷却是致命的。你不是开发者,这些缺陷对你来说又是不可控的。你只能被动的防范这些缺陷,而往往修补这些缺陷都发生在缺陷产生危害之后。然而装的软件越多,这些缺陷也就越多。更要命的是,病毒、木马它们也是软件,操作系统自身无法识别。杀毒软件可以处理病毒、木马,但是安全软件一不小心也会成为不安全的因素。例如:金山网盾事件、暴风影音事件等。尽管如此,我们依然可以防范,那就是把握以下原则:(1)最少安装原则:提供什么服务就只装什么服务或软件,其他一律屏蔽;(2)最少开放原则:需要什么端口就开放什么端口,其他一律屏蔽;(3)最小特权原则:给予主体“必不可少”的权限,多余的都不开放。

2.2.3数据安全

不论是节点安全还是软件安全,我们最终的目的都是为了保障数据安全。这也是网络安全的终极意义。这是我们在课堂上务必让学习网络安全的学生了解的内容。数据安全其实是数据保管安全,涉及以下4个方面:(1)数据在存储介质上的物理安全。即防范存储介质损坏造成的数据丢失隐患。(2)数据在存储介质上的逻辑安全。即防范因各种操作造成的数据逻辑破坏、删除或丢失的隐患。(3)数据在空间上的安全。即防范因各种灾难造成当地的整个数据完全损毁的隐患。(4)数据在管理上的安全。即防范敏感或机密数据通过公司内部员工人为泄露的隐患。数据传输安全是互联网安全的重点,主要防范重点如下:(1)数据在传输过程中被阻碍(例如,DDOS攻击);(2)数据在传输过程中被窃取(因为无线上网设置不当造成公司资源外泄);(3)数据在传输过程中被修改(网页注入式攻击)。

3结束语

第2篇:软件安全论文范文

【关键词】核电厂;软件验证;导则

0 前言

核反应堆分析软件是核反应堆设计和安全分析的重要工具,需要开展全面的验证与确认,我国在核反应堆设计和软件开发方面取得了重要的成果。经过近十年的努力,在核动力厂安全相关计算机软件领域,我国已经制订并颁布了一批软件工程标准。随着我国核电自主化的推进,核电软件自主化应运而生,相应的专用法规导则体系也就亟待完善,从而为我国核反应堆工程用计算机软件的开发与应用提供相应的技术指导。本文通过调用国内外相关的软件技术和制定的标准规范,为核反应堆工程软件的验证提供理论指导和技术支持。

1 国内法规与标准调研

1.1 HAF102核动力厂设计安全规定

该规定于2004年4月18日国家核安全局批准,规定中提出了陆上固定式热中子反应堆核动力厂的核安全原则,确定了保证核安全所必需的基本要求。这些要求适用于核动力厂安全功能及相关的构筑物、系统和部件,并适用于核动力厂中的安全重要规程。规定中只强调设计中必须满足的要求,对于如何满足这些要求则不作具体规定。本规定在第五部分,核恿ι杓埔求中提出了进行全面安全评价的要求,以确定核动力厂在各种运行状态和事故工况下可能产生的潜在危险。安全分析中应用的计算机程序、分析方法和核动力厂模型必须加以验证和确认,并必须充分考虑各种不确定性。这种安全评价过程涉及确定论安全分析和概率论安全分析这两种互补的技术。

1.2 HAD102/17核动力厂安全评价与验证

该规定于2006年6月5日国家核安全局批准,规定中为设计单位在初始设计和设计修改过程中对核动力厂进行安全评价提供了建议,也为营运单位对于新核动力厂(使用新的或现有设计的)的安全评价进行独立验证提供了建议。实施安全评价的建议也适用于指导对现有核动力厂进行安全审查。依据现行的标准和实践对现有核动力厂进行安全审查,其目的在于确定是否存在影响核动力厂安全的任何偏离。本导则中的方法和建议同样适用于国家核安全监管部门进行的监管审查和评价。虽然本导则中大部分建议是通用的,并适用于所有类型的反应堆,但也有一部分特殊建议和范例主要用于水冷反应堆。本规定在第四部分,核动力厂安全评价与验证中提出了安全分析的相关规则和要求。

1.3 GB/T 8567-2006计算机软件文档编制规范

本标准根据GB/T8566―2001《信息技术软件生存周期过程》的规定,主要对软件的开发过程和管理过程应编制的主要文档及其编制的内容、格式规定了基本要求。

本标准原则上适用于所有类型的软件产品的开发过程和管理过程。使用者可根据实际情况对本标准进行适当剪裁(可剪裁所需的文档类型,也可对规范的内容作适当裁剪)。软件文档从使用的角度大致可分为软件的用户需要的用户文档和开发方在开发过程中使用的内部文档(开发文档)两类。供方应提供的文档的类型和规模,由软件的需方和供方在合同中规定。该标准中对软件文档编制过程进行了详细说明,包括源材料准备、文档计划、文档开发、评审、与其他公司的文档开发子合同、文档编制要求、软件生存周期与各种文档的编制、文档编制中的考虑因素、文档编制格式、可行性分析(研究)报告等。

1.4 EJ/T 890-94 核电厂安全有关计算机软件质量保证细则

本标准规定了核电厂安全有关计算机软件在开发和维护中质量保证的具体方法和规程。本规则适用于核电厂安全有关计算机软件在开发和维护中质量保证活动。

该规定首先介绍了软件质量保证大纲,提出软件开发应接受总项目质保大纲的控制,从质保大纲的范围、编制(总纲、软件质量计划、工作规程及指导书)、安全有关软件的质保等级、质保计划、质保组织、文档和配置控制、设计控制、测试、错误控制和纠正措施、质保记录和监查进行了详细的说明和规范。

2 国外法规与标准

2.1 法国法规与标准

法国电力公司、法马通公司和诺瓦通公司于1980年10月19日组成法国核岛设计和建造规程协会(AFCEN)。AFCEN是以法规的形式出版的法国核电电气设备设计和建造规则(RCC-E),主要针对那些发生故障就有可能威胁人身安全或电厂核安全的设备和软件。AFCEN于2005年出版了RCC-E第五版,该版本对法国核电厂或是现运行电厂项目以及目前在建的EPR电厂(欧洲压水堆)通用。其中该法规的C5000部分主要介绍了可编程系统开发过程中涉及的基本技术活动及其规范。

2.2 IAEA软件研发相关要求

IAEA已印发了技术标准,目的是用于证明核动力厂基于计算机的安全重要系统的软件在系统生存周期的所有阶段是安全的,帮助成员国确保核动力厂中基于计算机的安全重要系统的完全是得到认证许可的。安全导则适用于所有类型的软件:已有软件或固件(例如操作系统)、准备专门为该项目开发的软件、或准备针对先前开发的已有硬件或软件模块的设备家族开发的软件。供参与基于计算机的系统的生产、评定和许可证审批的工作人员使用,包括核动力厂系统的设计人员、软件设计人员和程序员、确认人员、验证人员、证明人和监管人员,也可供核动力厂操纵员使用。并考虑了这些人员间的各种接口。安全导则中首先提供基于计算机系统技术因素的建议,并论述了此类系统的利弊、安全性和可靠性问题,以及开发该项目的组织条件;然后提供用于基于计算机的安全重要系统的安全管理要求的建议;接着提供系统开发项目规划阶段的建议,并介绍了相关文件资料的结构和内容,其中包括开发计划、质量保证大纲、验证和确认计划以及配置管理计划;最后详细介绍了开发过程的各个阶段,主要介绍了计算机系统的要求、计算机系统设计、软件要求、软件设计、软件实现、验证和分析、计算机系统的集成、计算机系统的确认、安装和调试、运行和交付后修改等方面。

2.3 美国软件研发法规和标准

美国NRC于2004年颁布了导则文件REGULATORY GUIDE 1.168“Verification,Validation,Reviews,and Audits for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”,其中对核电厂安全系统中使用的数字计算机软件的验证、确认、审查和监查方面的工作规范进行了详细指导说明。

美国NRC于2005年颁布了导则文件REGULATORY GUIDE 1.203 “Transient and Accident Analysis Methods”,其中对评价模型的开发和评估过程进行了详细规定,是安全分析应用的计算机软件开发及其质量控制的重要依据。

美国NRC于2013年颁布了导则文件REGULATORY GUIDE 1.169 “Configuration Management Plans for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”以及IEEE于2005年颁布了标准文件“IEEE Standard for Software Configuration Management Plans”,其中核电厂安全系统数字计算机软件的配置管理计划进行了详细说明。

美国NRC颁布了导则文件REGULATORY GUIDE 1.170,“Software Test Documentation for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”,其中对核电厂安全系统数字计算机软件的测试文档的使用进行了详细说明。

美国NRC颁布了导则文件REGULATORY GUIDE 1.171,“Software Unit Testing for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”,其中对核电厂安全系统数字计算机软件单元测试工作进行了详细说明。

美国NRC颁布了导则文件REGULATORY GUIDE 1.172,“Software Requirement Specifications for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”,其中对核电厂安全系统数字计算机软件工作中的特定需求进行了详细说明。

IEEE于1993年颁布了标准文件“IEEE Standard for Software Unit Testing”,其中对计算机软件的测试计划进行了详细说明,通过描述软件工程的概念以及测试假设,对软件测试活动提供指导和资源信息,以协助实施和标准单元测试方法的使用。

IEEE于2004年颁布了标准文件“IEEE Standard for Software Verification and Validation”,其中对核电厂安全系统计算机软件的验证和确认计划进行了详细说明。

3 结论

通过对国内外核反应堆分析软件验证与确认相关导则的调研,国内相关导则还不完善,且缺少软件验证的实践经验,需要在核反应堆分析软件验证与确认方面开展进一步的研究工作。

【参考文献】

[1]HAF102 核动力厂设计安全规定[S].

[2]HAD102/17 核动力厂安全评价与验证[S].

[3]GJB 102-1997 软件可靠性和安全性设计准则[S].

[4]GB/T 8567-2006 计算机软件文档编制规范[S].

[5]EJ/T 890-94 核电厂安全有关计算机软件质量保证细则[S].

[6]RCC-E 核岛电气设备设计和建造规则[S].

[7]IAEA,No.NS-G-1.1 Software for Computer Based on Systems Important to Safety in Nuclear Power Plant.

[8]IAEA,No.NS-R-1 Safety of Nuclear Power Plants:Design.

[9]RG 1.168,“Verification,Validation, Reviews, and Audits for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”.

[10]RG 1.203,“Transient and Accident Analysis Methods”.

[11]RG 1.1169,“Configuration Management Plans for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”.

第3篇:软件安全论文范文

关键词 气象;网络系统;安全防护;病毒

中图分类号 P4 文献标识码 A 文章编号 1673-9671-(2012)031-0206-01

随着气象事业的发展,气象信息网络系统已成为气象业务的重要支撑基础,而省级气象信息系统更是在整个国家信息系统中担负着承上启下的中坚作用,因此,安全、快捷、高效和高度共享的省级信息网络系统是全面提高气象业务服务能力的关键。江西省气象局信息网络在逐步开放和实现共享的同时,因各种各样混合型入侵导致的病毒感染、网络故障等安全隐患日益突显,如何保障气象信息网络安全、可靠及持续运行,是当前气象信息网络安全保障体系建设的首要问题。江西省气象信息中心网络安全建设已建立了互联网出口硬件防御设装置、局域网内部多层次防护,针对工作人员信息网络安全意识淡薄、应用程序存在漏洞及内网病毒难以防范等安全问题,要进一步加强气象信息网络安全体系建设,完善服务器、网络入侵检测系统等综合部署,有效避免病毒等入侵,从而保障计算机系统和局域网络等安全、可靠运行。

1 江西省气象信息中心网络结构形式

经过近几年网络升级改造的不断完善,江西省气象信息中心网络按照不同的安全等级形成三种网络结构形式:一是安全等级要求最高的内部局域网,各部门计算机均在此网上;二是以数字专线与相关政府职能机构构成的政务专网和通过不同授权等级共享的各级数据资源;三是通过宽带接入气象网站、供广大用户浏览的公众互联网。

2 气象信息网络建设实践

2.1 对互联网出口设置硬件防御

1)硬件防火墙。防火墙作为不同网络安全域间通信唯一的通道,用于设置不同网络安全域之间的一系列部件组合,可防止从网络外部访问本地网络的所有设备。根据气象业务运行,由硬件防火墙进行相关的安全策略控制进出网络的访问行为,不但解决了普通客户机软件防火墙存在的一些弊端,又加强了局域网对外的防护性。通常,将硬件防火墙部署在互联网与DMZ之间,以此保护区域内重要业务服务器的安全运行,所配备的防火墙日志还可记录网络访问行踪,便于过后对历史访问进行查询。但防火墙仅作为安全体系结构的一部分,不能起到对信息网络安全的全面保护。

2)网页防篡改系统。在气象信息网络系统DMZ区内部署的网页防篡改系统,是使其处于WEB服务器与防火墙之间,发挥实时监控、报警和自动恢复等功能,并通过日志对网站文件的更新过程进行全程监控,达到对WEB网站的全面防护,以防止黑客、或网络病毒对网站网页、电子文档、图片等文件进行恶意破坏或非法篡改。

2.2 局域网内部多层次防护

1)网络管理软件。将安装有网络管理软件的服务器与核心交换机直接相连接,网络管理人员通过软件对网络设备进行监控管理,以查看交换机或路由器等设备流量,并自动生成网络拓扑图,有助于管理员随时判断出网络故障发生点等。

2)防病毒软件。用于消除电脑病毒、木马及恶意软件等的另一类软件为杀毒软件,气象部门除网络服务器通过安全配置进行管理外,其他工作站机器必须安装优秀的杀毒软件进行安全防护,江西省气象信息中心安装有金山毒霸、瑞星、卡巴斯基、官方360等,并及时做到病毒库和扫描引擎等的更新升级。在实际应用中,计算机被病毒感染机率很小,防病毒效果明显;但对于一些配置较低的老机器和专网微机来说,仅适用于安装占用系统资源较小的360杀毒软件。因此,采用多种防病毒软件的相互配合较利于全网的安全稳定运行。

3 对气象信息网络安全的思考

3.1 安全隐患问题分析

当前江西局对信息网络进行了多层安全防护建设,但还是不能完全杜绝局域网内网络遭受病毒侵袭、病毒软件破坏等现象发生,并且还会出现配置良好的机器却运行很慢或无法运行等故障,对这些安全问题进行分析,得知主要为。

1)工作人员网络安全意识淡薄。很多工作人员只是会使用互联网,却对互联网上病毒传播方式一无所知,不知道选择下载安全软件,无意识的就会下载一些有安全隐患的软件,或不清楚的访问了一些恶意网页,以至于感染上病毒,并导致局域网内其他机器一并传播感染;还有少数人员下载游戏、电影、软件等大型文件,不但严重占用大量内存空间,致使关键业务应用系统带宽无法承受,还有着新病毒通过这些软件传播病毒的风险,如若又不及时更新系统,被病毒感染机率将会加大。

2)应用程序存在漏洞。非正版的应用软件和网络直接下载软件均可能带有病毒,或由工作人员自行编写的软件,难免存在一些代码漏洞,这些都给黑客和病毒提供了一定的可趁之机。同时,气象网中供公众随意访问的服务器通常未设密码也是病毒攻击的薄弱环节,而且内网病毒难以防范。

3.2 气象信息安全体系完善措施

针对气象网络安全问题的分析,首先要加强工作人员的安全意识,制定规范、严格的安全管理制度和安全操作流程,做到责权明确,详细记录网络访问行为,加强安全审计,及时发现非法行为,并定期接受网络安全培训。还要进一步加强气象局域网整体安全型、完善服务器、网络入侵检索系统以及网络审计系统的综合部署是当前江西省气象局信息网络安全建设的重点。一是通过在内部网中配置WSUS服务器,把Windows更新集中下载到WSUS服务器中,同时内部网中客户机也作相应配置,然后与服务器关联,这样局域网中所有的计算机都可通过WSUS服务器进行更新,有效保障系统和局域网的安全;二是可利用在业务系统部署网络入侵检测系统,对业务网络和计算机系统关键点收集信息并加以分析,从而发现系统中是否存在威胁安全的行为和被攻击现象;三是针对核心业务系统交换机旁路配置安全审计引擎,由安全审计控制台作远程管理,审计引擎对各类行为进行抓包分析并规范审计,后再由控制台接受审计信息且保存。

参考文献

[1]熊雄,熊凌云,刘小刚,等.江西省气象局信息网络安全探讨[J].科技广场,2010,7.

[2]曹磊.浅谈网络安全在气象系统网络中的应用[J].科技论文集,2005.

[3]刘军.气象基层台站信息网络安全维护的探讨[J].科技信息,,2011.4:96.

[4]尹常红,王康,柳戊弼.气象业务系统建设中的信息网络安全问题[J].第三届湖北省科技论坛气象分论坛暨2005年湖北省气象学会学术年会学术论文详细文摘汇集,2005.

[5]林苗苗,胡晓光,马耀,等.浅谈气象信息网络安全防御[J].工程科学.

[6]杨明,周群,袁锋.云南省级气象信息系统建设初探[J].信息技术在气象领域的开发应用论文集(二),2006.

第4篇:软件安全论文范文

 

现在的社会环境下,计算机和网络的应用越来越广泛,在各个行业领域都有较高程度的应用,相对应的信息安全也是众多学者和专家重点研究的内容。然而事实上,构建起一个安全的网络环境是一项非常复杂的系统工程,对计算机信息安全的保护有着重要的作用,同时也有利于计算机软件的开发和实现。信息加密的技术手段是保证计算机信息数据安全性的重要方式,我们需要对其进行深入性的分析和研究,进而可以在信息安全模式下更好的进行计算机软件的开发与实现。

 

1 计算机软件中的安全风险

 

1.1 计算机软件自身的安全漏洞

 

我们在日常的工作、学习和生活中使用到的计算机软件,无论大小,其自身都会存在一定的安全漏洞,这是事实,并且对于一些安全系数较低的软件,会为非法用户的访问或攻击提供机会,对计算机内部的数据信息的安全有很大的威胁。

 

1.2 容易遭受病毒的攻击

 

病毒是影响计算机软件安全的主要安全因素,是一种由非法用户编写的程序或代码;当用户在正常使用计算机软件或者访问互联网软件时,通过将病毒程序以邮件或非法链接的形式显示在用户面前,使用户在毫无察觉之中计算机就感染了病毒。另外,用户在进行文件传输的时候,如果没有对文件进行加密处理的话,文件本身以及传输过程中的安全系数极低,很容易受到黑客等非法来源的攻击或截取,非常不利于用户信息的安全。

 

1.3 计算机软硬件水平偏低

 

目前很多计算机上安装使用的软件多为盗版软件,这对计算机本地信息文件带来了很大的安全隐患;而针对这一问题的有效解决办法为优化计算机硬件的配置,因为计算机硬件配置对软件的安全有很重要的影响。在计算机的日常使用过程中,注意硬件设备过于陈旧时及时作出升级或更换,软件的使用也尽可能选用正版,并且做好后期的维护工作,即定期更新、修复软件补丁等。

 

2 信息安全模型下的计算机软件开发

 

2.1 切实做好计算机软件开发的维护工作

 

计算机软件在开发的过程中,要对其进行实时的跟踪和维护,确保软件可以正常运行;以便在检测中发现软件存在的问题,可以及时修复和改进。但目前软件运行的环境相对复杂,因为计算机使用的普遍性,人们使用的计算机硬件配置等级各不相同,所以软件在开发完成后,实际的应用环境较为复杂,所以开发人员必须加强对软件开发过程中的维护工作,提升软件对运行环境的适应性。另外还需要对计算机软件的维护工作要注意加强配置工作的管理,对相应的配置状态有及时的了解,保证计算机本地文件的有序性和稳定性。

 

2.2 深入探索计算机软件开发技术

 

虽然现在的计算机软件以及达到了较高的水平,但随着互联网、计算机方面的发展,软件也要随之做出相应的发展和进步,以更好的适应计算机硬件和网络运行的环境和平台。在这一背景下,对软件的开发技术提出了更高的要求,相关的软件开发人员要不断学习相关知识,来提升自身的软件开发技术专业技能;笔者认为软件开发人员可以在开发过程中引进一些国外相关的技术条件,来提升软件的质量;在注重质量的同时也要加强创新意识,这样可以保证开发出的软件具有更高的市场竞争力。对于软件开发企业来说,可以建立起一支专业的软件开发研究团队,针对时下的社会背景、用户需求等多方面进行分析,不断提升软件的创新性,推进企业的发展。

 

3 信息安全模式下的计算机软件安全技术应用

 

3.1 信息加密技术

 

信息加密技术是一种计算机软件在运行中或者数据信息在传输中对其进行加密的一种计算方式,将原有的信息转换成为密文,即便被非法用户攻击或截取,也无法清晰破解原文件的信息,从而起到保护的作用。

 

密钥是信息加密技术中较为常见的数据保护方法,密钥具有一定的私密性,但在使用的过程中,用户双方会共享同一密钥,而密钥的种类有很多,长期共享之后,密钥的安全系数就会有所降低,如果不及时更换,密钥就很有可能被第三方获得,相应的数据信息也就么有多大的安全性可言了。相应的解决对策为,建立起一个密钥分配中心,这一中心需要具备较高的安全性和隐秘性,保证密钥分配的过程不被第三方获悉,每个用户只能单独与密钥中心联系,获得单个密钥;在保证信息安全的基础上,减少密钥的重复使用,提升密钥的安全性。

 

3.2 量子加密技术

 

量子加密技术主要是用于判断计算机信息是否遭受非法用户或程序的攻击,通过使用该项技术,可以使密钥在交换过程中的安全系数更高,相应的信息保密程度也就越高。在实际的应用中,非法用户如果对信息进行截取,量子状态则会出现波动,而用户则需要对照量子波动的保准来进行判断,确定计算机是否遭受到了攻击,如果有则可以及时采取有效的措施进行控制或解决。

 

4 结语

 

计算机的快速发展,为我们的工作和生活都带来了很多便利,并且已经成为了我们工作、学习必不可少的工具;计算机也已经普遍地应用于社会的各行各业,计算机软件的开发与使用,也为就算计的使用增添了更多的互动性和交流性。随着计算机的普及和应用,信息技术的安全性问题日益突出,海量的网络数据信息和复杂的用户身份,使得人们对信息安全的重视度越来越高。以上本文基于信息安全模式,分析论述计算机软件开发与实现。

 

作者简介

第5篇:软件安全论文范文

【关键词】软件 安全漏洞 检测技术

信息技术快速发展,尤其Internet的广泛应用,在如今大数据时代,软件是计算机技术一种,在其软件开发过程中,计算机软件存在一定漏洞,要保障计算机软件的安全性,必须提高计算机软件的检测技术,提升计算机软件性能,是提高计算机网络安全的有效途径。

1 计算机软件安全漏洞目前的状况

计算机软件在开发的时候有的就存在一定漏洞,当时可能没有技术解决软件漏洞问题,但在软件使用的过程中,会出现一系列问题,必须加强软件安全漏洞的检测技术,检测软件是否合格,不合格的软件必须加强软件补丁,促使软件达到合格标准,经过测试后,才能投入市场使用。还有的软件开发时候没有任何漏洞,但随着时间的推移,软件会出现一定漏洞,软件必须是在使用的过程中,逐步进行软件完善,提升软件性能,让其达标,减少软件的漏洞,出现漏洞以后要及时修复,提高软件的生命周期,在一个友好的界面下,充分发挥软件的功能,让其在使用过程中,起到一定的作用,提升性能,减少漏洞。软件在使用的过程中,根据技术的发展与变化,计算机软件的漏洞必须技术检测,延长软件的生命周期,提高软件性能,满足其需要。

2 计算机软件安全漏洞检测技术解读

2.1 静态程序解析

静态程序解析是软件安全常用的检测技术,这种检测技术是通过程序代码,通过利用机器语言、汇编语言等进行编译,利用反代码形式,对检测出来的软件漏洞,及时进行修复,提高软件性能,在实际应用过程中,涉及到程序设计中的语言、函数、数组、过程、集合、文件等。利用软件技术解决软件漏洞问题,静态程序解析对程序设计起到保护作用,检测软件漏洞,提升计算机软件性能,这是一种常用的计算机软件安全漏洞检测技术,通过该技术对软件漏洞进行合理检测,提高软件性能,延长软件的生命周期。

2.2 利用逻辑公式对程序性质进行表达

根据程序的性质,对计算机软件漏洞进行检测,判断其中的应用能力,逻辑公式能对计算机软件的性能进行检测,检测其的合法性,是否存在软件漏洞,有的软件漏洞是需要升级与更新软件就可以解决的,有的是出现软件错误,必须合理采用措施,解决软件漏洞问题。其中的公理化方法的逻辑是完整的体系,其中的每个公式都是由单个程序语句和其前后置断言共同构成,具体理论当中只有一条赋值公理,形式演算系统以一阶谓词逻辑为基础,各自为顺序、分支以及循环指令增加了相应的演算法则。公理化方法已经被证明具有较强的可靠性和完整性,但匹配的形式演算系统存在半可判定的情况。程序的正确性涉及程序设计人员利用逻辑公式对程序对应的功能规约展开描述,另外一个问题就是要为循环体确定循环不变式。逻辑公式的应用提高了逻辑判断能力,在利用语句进行科学判断,检测计算机软件是否存在漏洞,根据逻辑公式的判断能力,检测软件是否存在漏洞,如果存在漏洞,对其合理的进行修补,解决软件漏洞问题,提升软件性能,完善软件功能。

2.3 测试库技术

测试库技术是计算机软件检测中常用技术,对解决计算机软件漏洞起到帮助作用。测试库技术是检测计算机软件中的核心部件,判断计算机软件是否存在漏洞。利用测试库技术只能对动态内存操作函数导致的错误进行判定。而且其主要对运行过程中输入数据进行监控,发现其中的弱点。这种检测并不是从整体上进行判定。这也表明检测过程只是验证 BUG 是否被发现,但是无法证实BUG的存在。使用这项技术对于普通应用程序而言,并不会存在任何兼容问题。使用测试库技术的主要优势不存在误报。从性能上对这个技术展开分析,其性能消耗较大,从其工作原理很容易能推导出这个结论。利用测试库技术检测计算机软件是否存在漏洞,是所有检测技术中最科学的,也是最准确的,但其测试有一定难度,对计算机软件本身也是一种伤害,提高计算机软件性能,必须合理的利用软件的检测技术,科学的选择检测技术,有目的的进行检测软件是否存在漏洞,科学的解决软件漏洞问题,提高软件性能。

2.4 源码改编

利用软件漏洞检测技术,检测出计算机软件存在一定漏洞,没有合理方法进行漏洞修复,就有必要根据软件漏洞的阶段,去修改程序的源代码,这种源码改编技术,是彻底解决计算机软件漏洞的最根本方法,该检测技术对人员的要求很高,能利用其它技术检测出软件漏洞,能利用源码改编技术进行修改,这是计算机软件检测技术的高级阶段,是计算机软件发展到一定程度的需要,也是社会发展对计算机软件技术提出的新要求。

总之,计算机软件技术存在一定漏洞,要解决计算机软件漏洞,必须利用软件检测技术,及时检测,发现问题要及时解决,但在计算机软件发展的过程中,计算机软件肯定存在一定问题,必须科学的合理解决计算机软件的安全问题,提高对软件安全认识,增加计算机软件的应用性,符合现代计算机软件技术发展需要。

参考文献

[1]许跃颖.计算机软件中安全漏洞检测技术及其应用[J].电子制作,2016(02).

[2]颜汉权.基于模糊测试的软件漏洞检测方法[J].求知导刊,2015(11).

[3]高妍.计算机软件安全漏洞检测技术与应用[J].计算机光盘软件与应用,2014(04).

[4]陈斯,卢华.计算机软件中安全漏洞检测技术及其应用[J].电子技术与软件工程,2016(11).

[5]王垌尧.计算机软件安全漏洞检测技术与应用[J].黑龙江科技信息,2016(09).

作者简介

刘璇(1975-),女,辽宁省沈阳市人。大学本科学历、硕士学位。现为辽宁现代服务职业技术学院副教授。研究方向为计算机应用。

第6篇:软件安全论文范文

[关键词] 网站安全安全防范搜索软件局域网

一、引言

网络用户为了能很容易在浩如烟海的网页中搜索到自己想要的网址、文档、程序等,频繁地使用搜索软件。搜索软件(Robot或称Spider)作为一个程序,可以运行在Unix、Solaris、Windows、NT、OS2和MAC等平台上,其核心技术为机器程序抓取网页。这种软件自动搜集和索引系统,由软件程序自动在Internet上搜寻www、gopher和ftp等站点资源,返回相应数据并对它建立索引,产生一个数据库。

搜索软件有渗透到Internet每一个角落的趋势,甚至是一些配置不当的数据库、网站里的私人信息,例如Google的桌面搜索工具Desktop Search存在一个信息泄漏的漏洞,入侵者能通过脚本程序欺骗Desktop Search提供用户信息,最常见的就是泄漏磁盘数据。利用这个漏洞提供的信息,入侵者可以伪造相关信件并建立欺骗性的电子商务网站,让用户误以为是大公司发给自己的信函而受欺骗。同时因为Robot一般都运行在速度快、带宽高的主机上,如果它快速访问一个速度比较慢的目标站点,就有可能会导致该站点出现阻塞甚至停机,更为严重的是搜索软件对网络资源的搜索已逐渐成为病毒和黑客窥视的焦点,对网站、局域网安全构成严重的威胁。

值得注意的是:搜索软件对网络的访问在主观上并非都是恶意的,有些甚至是被允许的。

二、搜索软件主要的安全漏洞

1.搜索软件被作为匿名。像A1taVista、HotBot等搜索软件能无意识地响应使用者的命令,把一些合乎搜索条件的网页传递给使用者,一般黑客就是利用这一点,利用嵌套技术,层层使用网络,通过搜索软件搜索有缺陷的网站并入侵。同时,网络上存在大量的诸如www.anonymizer.com等网站专门提供匿名服务,这极大地方便了黑客,他们只需要几行简单的网页查询语句就能得到一些装有微软信息服务器((IIS)3.0和4.0但配置不当的电脑上的boot.in:文件。

2.搜索软件被作为病毒查找攻击对象的工具。例如,Santy蠕虫病毒的爆发最初发生在一周前,这一蠕虫病毒能够删除BBS论坛上的内容,在上面“涂鸦”它自己的内容。据安全公司表示,该病毒攻击的对象是运行phpBB软件的论坛网站,而且就是利用Google查找攻击目标。在Google公司采取措施对Santy蠕虫病毒对存在有漏洞的BBS论坛网站的查找进行查杀之后,Santy蠕虫病毒的变种正在利用Google、AOL和雅虎等搜索软件进行大肆传播。

3.Google批量黑客搜索攻击技术。事实证明使用Google搜索软件可以让普通人做一次黑客,其原理很简单,很多有特定漏洞的网站都有类似的标志页面,而这些页面如果被Google索引到,我们就可以通过搜索指定的单词来找到某些有指定漏洞的网站。例如FrontPage Extensions是微软IIS上的一个产品,但是其Netscape版本中的口令文件的访问权限设置有错误,黑客取得这些口令文件后,使用暴力破解工具就有可能获取一些弱用户账号口令。利用搜索软件搜索一下这个ext:pwd inurl:(service | authors | administrators | users):“# -FrontPage-”,可以发现有128个口令文件可供下载。

4.搜索软件被利用查找有缺陷的系统。一般黑客入侵的标准程序是首先寻找易受攻击的目标,接着再收集一些目标的信息,最后发起攻击。一般来说,新开通网络服务的主机容易成为攻击目标,因为这些主机最有可能没有很好的防范措施,如安全补丁、安装及时更新的防火墙等。那么搜索软件是怎么成为黑客人侵的工具的呢了?一般来说,装有网络服务的操作系统如Linux和windows通常把管理帮助文件和HTML配置文件放在网络服务的一些标准目录。当搜索软件搜索到这些文件时就会列出来,于是黑客知道这个系统可能是没有很好防范的系统而把它当作攻击目标。比如某个流行的网络产品有漏洞,那么就搜索这个产品的相同的字符串,比如某天phpBB论坛系统出现一个漏洞,那么我们就使用Google搜索“Powered by phpBB”,就可以搜索出几乎所有使用phpBB系统的论坛。

5.搜索软件能用来搜索秘密文件。搜索软件中的FTP搜索软件,与HTTP搜索软件相比,存在着更大的网络漏洞。诸如LycosFTP的搜索软件,它产生的成千上万的网络链接能够探测到一些配置不当的FTP服务器上的敏感信息。任何网络使用者,稍懂网络知识,使用这种搜索软件,都可以链接到一些保密的数据和信息,更不用说一些资深的黑客了。并且,一些随意的FIP设置很容易暴露CUTEftp的smdata.dat文件和Netscape Enterprise Server的admpw文件,这些文件都是一些很容易被破译的加密器加密了的密码文件。若用FTP搜索软件搜索出smdata.dat或admpw文件,那么,登陆该ETP服务器的用户名和密码就唾手可得了。至于窃取FTP服务器上放置的保密文件对于黑客来说就更是如探囊取物了。

6.黑客利用桌面搜索攻击个人计算机。近来金山公司发现一种名为“Google DeskTop”的工具能够让使用者很轻易地找到机器当中的私人信息。同时,这个搜索工具还可以搜出系统隐藏的文件,如果利用这个搜索工具就能轻易地修改掉系统文件,而在隐藏文件暴露的情况下,非常容易受到攻击,而且病毒会利用操作系统漏洞进行攻击。所以用户在QQ、MSN聊天时,或者利用电子邮件收发时,个人信息会存在缓存当中,利用这一搜索会轻易搜索到网页的记录。如果有用户在公共场合通过web方式接收邮件,个人隐私会存留在缓存中,通过使用这个工具,输入了某些关键字,会造成使用者轻易搜到相关信息。专家提醒广大用户,不要在公共场所使用这个工具,特别是在网吧,以免造成信息泄露。

三、局域网的信息安全

如果企业内部网络,甚至个人电脑的硬盘都在可搜索之列,那么如何保证信息的安全呢?由于缺乏自主技术支撑,CPU芯片、操作系统和数据库、网关软件大多依赖进口,使我国计算机网络的安全性能大大降低。尤其是企业内部网的信息安全将成为问题的焦点。

影响局域网信息安全的因素主要有:非授权访问、冒充合法用户、破坏数据的完整性、干扰系统正常运行、病毒与恶意攻击、线路窃听等等。

1.常规策略:访问控制。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段,是保证网络安全最重要的核心策略之一。

(1)入网访问控制。它是第一层访问控制,控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。这样的访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。

(2)网络的权限控制。这是针对网络非法操作所提出的一种安全保护措施。控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。

(3)目录级安全控制。控制用户对目录、文件、设备的访问,或可进一步指定对目录下的子目录和文件的权限。

(4)属性安全控制。应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。

(5)网络服务器安全控制。包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

(6)网络监测和锁定控制。服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应有一定的报警方式。同时应能自动记录企图尝试进入网络的对象和次数,并设置阈值以自动锁定和驱逐非法访问的账户。

(7)网络端口和节点的安全控制。网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。

2.非常规却有时更有效的安全策略和技术

(1)屏蔽Cookie程序。Cookie是Web服务器发送到电脑里的数据文件,它记录了诸如用户名、口令和关于用户兴趣取向的信息,因此有可能被入侵者利用,造成安全隐患,因此,我们可以在浏览器中做一些必要的设置,要求浏览器在接受Cookie之前提醒您,或者干脆拒绝它们。通常来说,Cookie会在浏览器被关闭时自动从计算机中删除,可是,有许多Cookie会一反常态,始终存储在硬盘中收集用户的相关信息。

(2)屏蔽ActiveX控件。由于ActiveX控件可以被嵌入到HTML页面中,并下载到浏览器端加以执行,因此会给浏览器端造成一定程度的安全威胁。目前已有证据表明,在客户端的浏览器中,如IE中插入某些ActiveX控件,也将直接对服务器端造成意想不到的安全威胁。同时,一些其他技术,如内嵌于IE的VB Script语言,用这种语言生成的客户端可执行的程序模块,也同 Java小程序一样,有可能给客户端带来安全性能上的漏洞。此外,还有一些新技术,如ASP(Active server Pages)技术,由于用户可以为ASP的输出随意增加客户脚本、ActiveX控件和动态HTML,因此在ASP脚本中同样也都存在着一定的安全隐患。

(3)定期清除缓存、历史记录,以及临时文件夹中的内容。我们在上网浏览信息时,浏览器会把我们在上网过程中浏览的信息保存在浏览器的相关设置中,这样下次再访问同样信息时可以很快地达到目的地,从而提高了我们的浏览效率。但是浏览器的缓存、历史记录,以及临时文件夹中的内容保留了我们太多的上网的记录,这些记录一旦被那些无聊的人得到,他们就有可能从这些记录中寻找到有关个人信息的蛛丝马迹。

(4)内部网络系统的密码要定期修改。由于许多入侵者利用穷举法来破解密码,像john这一类的密码破解程序可从因特网上免费下载,只要加上一个足够大的字典在足够快的机器上没日没夜地运行,就可以获得需要的账号及密码,因此,经常修改密码对付这种盗用就显得十分奏效。

(5)不要使用“MyDocuments”文件夹存放Word、Excel文件。Word、Excel默认的文件存放路径是根目录下的“MyDocuments”文件夹,在特洛伊木马把用户硬盘变成共享硬盘后,入侵者从这个目录中的文件名一眼就能看出这个用户是干什么的,这个目录几乎就是用户的特征标识,所以为安全起见应把工作路径改成别的目录,并且层次越深越好,比如:c:\abc\def\ghi\jkl。

参考文献

第7篇:软件安全论文范文

[关键词] 网站安全安全防范搜索软件局域网

一、引言

网络用户为了能很容易在浩如烟海的网页中搜索到自己想要的网址、文档、程序等,频繁地使用搜索软件。搜索软件(robot或称spider)作为一个程序,可以运行在unix、solaris、windows、nt、os2和mac等平台上,其核心技术为机器程序抓取网页。这种软件自动搜集和索引系统,由软件程序自动在internet上搜寻/dianzijixie/">电子商务网站,让用户误以为是大公司发给自己的信函而受欺骗。同时因为robot一般都运行在速度快、带宽高的主机上,如果它快速访问一个速度比较慢的目标站点,就有可能会导致该站点出现阻塞甚至停机,更为严重的是搜索软件对网络资源的搜索已逐渐成为病毒和黑客窥视的焦点,对网站、局域网安全构成严重的威胁。

值得注意的是:搜索软件对网络的访问在主观上并非都是恶意的,有些甚至是被允许的。

二、搜索软件主要的安全漏洞

1.搜索软件被作为匿名。像a1tavista、hotbot等搜索软件能无意识地响应使用者的命令,把一些合乎搜索条件的网页传递给使用者,一般黑客就是利用这一点,利用嵌套技术,层层使用网络,通过搜索软件搜索有缺陷的网站并入侵。同时,网络上存在大量的诸如等网站专门提供匿名服务,这极大地方便了黑客,他们只需要几行简单的网页查询语句就能得到一些装有微软信息服务器((iis)3.0和4.0但配置不当的电脑上的boot.in:文件。

2.搜索软件被作为病毒查找攻击对象的工具。例如,santy蠕虫病毒的爆发最初发生在一周前,这一蠕虫病毒能够删除bbs论坛上的内容,在上面“涂鸦”它自己的内容。据安全公司表示,该病毒攻击的对象是运行phpbb软件的论坛网站,而且就是利用google查找攻击目标。在google公司采取措施对santy蠕虫病毒对存在有漏洞的bbs论坛网站的查找进行查杀之后,santy蠕虫病毒的变种正在利用google、aol和雅虎等搜索软件进行大肆传播。

3.google批量黑客搜索攻击技术。事实证明使用google搜索软件可以让普通人做一次黑客,其原理很简单,很多有特定漏洞的网站都有类似的标志页面,而这些页面如果被google索引到,我们就可以通过搜索指定的单词来找到某些有指定漏洞的网站。例如frontpage extensions是微软iis上的一个产品,但是其netscape版本中的口令文件的访问权限设置有错误,黑客取得这些口令文件后,使用暴力破解工具就有可能获取一些弱用户账号口令。利用搜索软件搜索一下这个ext:pwd inurl:(service | authors | administrators | users):“# -frontpage-”,可以发现有128个口令文件可供下载。

4.搜索软件被利用查找有缺陷的系统。一般黑客入侵的标准程序是首先寻找易受攻击的目标,接着再收集一些目标的信息,最后发起攻击。一般来说,新开通网络服务的主机容易成为攻击目标,因为这些主机最有可能没有很好的防范措施,如安全补丁、安装及时更新的防火墙等。那么搜索软件是怎么成为黑客人侵的工具的呢了?一般来说,装有网络服务的操作系统如linux和windows通常把管理帮助文件和html配置文件放在网络服务的一些标准目录。当搜索软件搜索到这些文件时就会列出来,于是黑客知道这个系统可能是没有很好防范的系统而把它当作攻击目标。比如某个流行的网络产品有漏洞,那么就搜索这个产品的相同的字符串,比如某天phpbb论坛系统出现一个漏洞,那么我们就使用google搜索“powered by phpbb”,就可以搜索出几乎所有使用phpbb系统的论坛。

5.搜索软件能用来搜索秘密文件。搜索软件中的ftp搜索软件,与http搜索软件相比,存在着更大的网络漏洞。诸如lycosftp的搜索软件,它产生的成千上万的网络链接能够探测到一些配置不当的ftp服务器上的敏感信息。任何网络使用者,稍懂网络知识,使用这种搜索软件,都可以链接到一些保密的数据和信息,更不用说一些资深的黑客了。并且,一些随意的fip设置很容易暴露cuteftp的smdata.dat文件和netscape enterprise server的admpw文件,这些文件都是一些很容易被破译的加密器加密了的密码文件。若用ftp搜索软件搜索出smdata.dat或admpw文件,那么,登陆该etp服务器的用户名和密码就唾手可得了。至于窃取ftp服务器上放置的保密文件对于黑客来说就更是如探囊取物了。

6.黑客利用桌面搜索攻击个人计算机。近来金山公司发现一种名为“google desktop”的工具能够让使用者很轻易地找到机器当中的私人信息。同时,这个搜索工具还可以搜出系统隐藏的文件,如果利用这个搜索工具就能轻易地修改掉系统文件,而在隐藏文件暴露的情况下,非常容易受到攻击,而且病毒会利用操作系统漏洞进行攻击。所以用户在qq、msn聊天时,或者利用电子邮件收发时,个人信息会存在缓存当中,利用这一搜索会轻易搜索到网页的记录。如果有用户在公共场合通过web方式接收邮件,个人隐私会存留在缓存中,通过使用这个工具,输入了某些关键字,会造成使用者轻易搜到相关信息。专家提醒广大用户,不要在公共场所使用这个工具,特别是在网吧,以免造成信息泄露。

三、局域网的信息安全

如果企业内部网络,甚至个人电脑的硬盘都在可搜索之列,那么如何保证信息的安全呢?由于缺乏自主技术支撑,cpu芯片、操作系统和数据库、网关软件大多依赖进口,使我国计算机网络的安全性能大大降低。尤其是企业内部网的信息安全将成为问题的焦点。

影响局域网信息安全的因素主要有:非授权访问、冒充合法用户、破坏数据的完整性、干扰系统正常运行、病毒与恶意攻击、线路窃听等等。

1.常规策略:访问控制。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段,是保证网络安全最重要的核心策略之一。

(1)入网访问控制。它是第一层访问控制,控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。这样的访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。

(2)网络的权限控制。这是针对网络非法操作所提出的一种安全保护措施。控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(irm)可作为其两种实现方式。

(3)目录级安全控制。控制用户对目录、文件、设备的访问,或可进一步指定对目录下的子目录和文件的权限。

(4)属性安全控制。应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。

(5)网络服务器安全控制。包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

(6)网络监测和锁定控制。服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应有一定的报警方式。同时应能自动记录企图尝试进入网络的对象和次数,并设置阈值以自动锁定和驱逐非法访问的账户。

(7)网络端口和节点的安全控制。网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。

2.非常规却有时更有效的安全策略和技术

(1)屏蔽cookie程序。cookie是web服务器发送到电脑里的数据文件,它记录了诸如用户名、口令和关于用户兴趣取向的信息,因此有可能被入侵者利用,造成安全隐患,因此,我们可以在浏览器中做一些必要的设置,要求浏览器在接受cookie之前提醒您,或者干脆拒绝它们。通常来说,cookie会在浏览器被关闭时自动从计算机中删除,可是,有许多cookie会一反常态,始终存储在硬盘中收集用户的相关信息。

(2)屏蔽activex控件。由于activex控件可以被嵌入到html页面中,并下载到浏览器端加以执行,因此会给浏览器端造成一定程度的安全威胁。目前已有证据表明,在客户端的浏览器中,如ie中插入某些activex控件,也将直接对服务器端造成意想不到的安全威胁。同时,一些其他技术,如内嵌于ie的vb script语言,用这种语言生成的客户端可执行的程序模块,也同 java小程序一样,有可能给客户端带来安全性能上的漏洞。此外,还有一些新技术,如asp(active server pages)技术,由于用户可以为asp的输出随意增加客户脚本、activex控件和动态html,因此在asp脚本中同样也都存在着一定的安全隐患。

(3)定期清除缓存、历史记录,以及临时文件夹中的内容。我们在上网浏览信息时,浏览器会把我们在上网过程中浏览的信息保存在浏览器的相关设置中,这样下次再访问同样信息时可以很快地达到目的地,从而提高了我们的浏览效率。但是浏览器的缓存、历史记录,以及临时文件夹中的内容保留了我们太多的上网的记录,这些记录一旦被那些无聊的人得到,他们就有可能从这些记录中寻找到有关个人信息的蛛丝马迹。

(4)内部网络系统的密码要定期修改。由于许多入侵者利用穷举法来破解密码,像john这一类的密码破解程序可从因特网上免费下载,只要加上一个足够大的字典在足够快的机器上没日没夜地运行,就可以获得需要的账号及密码,因此,经常修改密码对付这种盗用就显得十分奏效。

(5)不要使用“mydocuments”文件夹存放word、excel文件。word、excel默认的文件存放路径是根目录下的“mydocuments”文件夹,在特洛伊木马把用户硬盘变成共享硬盘后,入侵者从这个目录中的文件名一眼就能看出这个用户是干什么的,这个目录几乎就是用户的特征标识,所以为安全起见应把工作路径改成别的目录,并且层次越深越好,比如:c:\abc\def\ghi\jkl。

参考文献:

第8篇:软件安全论文范文

【关键词】电力监控系统 安全防护 信息安全 等级保护测评 软件测试

1 背景

随着世界经济形势和能源格局的悄然变化以及通信与信息技术的飞速发展,电网这一现代人造网络也发生着新的变化。由于能源需求节节攀升,新能源不断接入,电网规模日益扩大,资源优化配置的能力得到了有效提升;利用现代化的通信与信息技术,电网的各个系统之间能够有效互联,大大提高了电网的智能程度。但在规模不断扩大、智能化不断提高的同时,电网的安全运行也面临着新的挑战。这是因为庞大的电网规模增加了电网运行与控制的复杂程度,而开放互联的结构增加的电网各系统之间的耦合度,也增加了系统受到攻击的风险,给监控系统的安全防护增加了难度。

电力监控系统,是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等。为贯彻落实公安部、国家电力监管机构对电力监控系统的安全防护要求,遵照国家信息系统等级保护的相关要求,电力监控系统的安全性测评包括二次安防整体安全、网络整体安全、交换/路由安全、防火墙安全、操作系统安全、数据库安全、应用系统安全、物理安全和数据管理安全共9个类别的测评内容,从不同的维度规定了电网监控系统安全防护的标准。

在这些维度中,应用系统安全是一个值得关注的内容。电力监控系统的应用系统安全直接关系电力生产的安全,应用系统的缺陷完全可以导致大规模停电事故的发生。使用有效手段检测电力监控系统中的软件缺陷刻不容缓。如图1所示。

2 问题分析

软件缺陷是软件制品的属性,它通常是指程序中静态存在的所有与预期需求不符的问题。软件缺陷给系统运行带来的影响包括:会导致系统意外宕机等不稳定现象的发生,为恶意攻击者入侵及破坏系统提供通道。这些问题都可能成为电力安全生产的隐患。

目前的应用系统的安全测评主要存在以下几方面的问题:

2.1 缺乏安全性测评标准

目前,对国家的信息系统等级保护相关标准,以及电力行业监管部门的电力监控系统安全防护的规定中,对应用安全的检测内容尚不充分。应用安全的检测项目如图2所示,主要侧重于对软件身份鉴别、安全标记、访问控制等方面的功能性测试,以及对软件的配置(如:用户口令的配置)等进行检查,但是对软件自身的缺陷、安全漏洞等未有明确的检测标准。

2.2 测评手段有限

对于软件功能的检查,除部分测评项目能够实地通过使用软件检查外,另一些测评项只能通过访谈系统管理员或查看系统设计文档来了解。但由于系统管理员的知识水平不同、对系统的理解程度不同,以及文档缺失、文档未及时更新等原因,软件真实的功能特性、安全特性通常难以获知。

2.3 现有软件测试工具无法直接应用于电力监控系统

在软件测试领域,动态测试是工业界已采用的成熟的软件测试手段。动态测试是指通过在抽样测试数据上运行程序来检验程序的动态行为和运行结果,以期发现程序缺陷。基于黑盒的渗透测试,是目前广泛采用的软件安全性检测方法,其实质就是动态测试。采用自动化工具对软件进行渗透测试可能消耗大量的计算资源,使系统CPU及内存负载过高;同时,由于动态测试直接应用于正在运行中的被测系统,可能对系统的稳定性带来一定的风险。对于电力监控系统这种对稳定性、可靠性要求极高的系统,动态的自动化的测试手段可能会影响系统的正常运行,尤其对于处于生产控制大区的应用系统,这会妨碍生产的安全性,因此动态测试方法并不适合于直接应用在电力监控系统中。

综上所述,有必要对电力监控系统中的软件安全性的检测方法进行探讨。

3 软件测试技术在电力监控系统安全防护中的应用

软件自动化测试,通常是指使用自动化测试工具对软件进行测试的过程,这类测试一般不需要人干预。软件测试是发现软件缺陷的有效手段,按照是否需要执行程序,可以将软件测试方法分为动态测试和静态测试。动态测试需要运行程序,它的实施步骤通常包括:生成测试用例、运行程序和验证程序运行结果三个核心内容。静态测试是指不执行程序而寻找程序代码中可能存在的缺陷或评估程序代码的过程。静态测试包括主要由人工进行的代码审查、代码走查、桌面检查以及主要由软件工具自动进行的静态分析。

静态测试与动态测试方法各有优缺点。静态测试方法的分析对象通常是应用程序的源代码,不需要运行程序,因此不会影响被测系统的正常运行,它能够覆盖所有的执行路径,但是由于方法本身的近似性,分析过程中会包含一些不可达的路径,而给测试带来一些误报。动态测试方法是通过向应用程序输入数据、运行程序、观察运行结果的方式来进行测试,因此测试的覆盖率与输入的测试集有关,通常无法覆盖程序中的所有执行路径,而使得程序中的一些漏洞无法被检测出来,给测试结果带来影响。

根据上述分析,在电力监控系统的安全防护中,我们可以在以下几方面应用软件测试技术,发现电力监控系统中的安全漏洞。

3.1 搭建模拟环境,进行自动化的动态测试

由于对在线系统进行测试可能破坏电力监控系统的正常运行,因此可以通过搭建模拟环境的方法,对电力监控系统的应用进行测试。在测试环境中,可以使用自动的测试工具对应用进行安全性测试。这种方法的优点是,自动化测试工具的测试过程高效,人工干预较少,可以检测出应用软件中的漏洞。

渗透测试工具是目前应用最为广泛的动态测试工具,其原理是对于B\S架构的应用系统利用网页爬虫算法遍历网站的URL资源,识别每个URL的交互数据,对数据进行有针对性的变异并进行重放测试,根据返回结果判断安全问题。许多软件厂商都有针对各自技术研发出的渗透测试产品,如表1所示。

通过搭建模拟环境进行动态测试的方案,其缺点在于模拟环境可能与软件应用的真实环境存在差异,给测试结果带来影响,其差异包括以下几个方面:

(1)数据不同: 测试环境中的数据通常与真实数据不同,例如测试环境中用户口令、用户权限分配等业务数据。

(2)软件配置不同:如软件运行的操作系统、中间件版本不同。

(3)硬件环境不同:由于成本等因素,在测试环境下,通常难以按照真实应用环境中的硬件设置进行部署,例如:数据的发送端通常用模拟软件代替。

这些差异都可能导致模拟环境中测试结果与真实环境下的测试结果的不同。另外,随着Web2.0的发展,AJAX、Webservice等技术的广泛应用,如今的Web应用交互方式不再只通过URL进行交互,而是通过多种方式,所交互的数据格式也不尽相同,因此自动化工具可能无法适应这种交互方式,存在部分安全风险无法被自动工具检测到的情况,而导致漏报。因此,在实际测试中,还可以通过手工测试的方法,弥补自动测试的遗漏。

3.2 使用静态测试方法检测应用的源代码

通过静态检测应用的二进制代码或源代码,同样可以在不影响程序运行的情况下发现程序中的漏洞。

静态分析是在不运行软件的前提下进行分析的过程,分析的对象可以是源代码或目标代码,甚至是程序文档。静态分析技术种类繁多,其中基本的分析方法包括词法分析、语法分析、控制流分析、数据流分析等。控制流和数据流分析通常被用于程序缺陷检测、程序优化、程序安全性分析等各个方面。但是由于分析过程中对程序进行了一些抽象和近似,会导致分析结果不精确。例如路径的可达性分析:给定一条路径,判断是否有变量的初始取值,使得程序沿该路径执行。路径可达性分析问题在理论上是一个不可判定的问题,各种精度的数据流分析方法计算出的都是近似结果。为了提高分析的准确度,研究人员采用了数学上比较成熟的形式化方法,单独或与基本的程序分析技术相结合,对程序进行更有效的分析。其中具有代表性的技术包括模型检测、约束求解等。源代码分析工具如表2所示。

动态的程序分析技术通常从可执行程序开始,通过运行程序触发程序失效,通过可观察到的程序失效分析程序中的可疑代码,从而发现程序中的缺陷。动态分析能够利用程序的输入执行程序,获得更精确的结果。但它通常只分析对某一输入下的程序路径,而不能覆盖程序所有可能的执行情况。而静态程序分析,分析程序所有可能的执行路径,分析范围更加全面,更容易发现不易覆盖的程序路径中的缺陷。

4 结论

电力监控系统对应用软件的稳定性和安全性都有着极高的要求,将软件测试方法应用于这类系统,利用动态测试技术对模拟环境中的应用系统进行测试,利用静态测试技术对软件源代码进行测试,将动态测试与静态测试有机的结合起来,能够准确的发现电力监控系统中的缺陷,及早采取有效措施避免电力生产中软件缺陷导致的事故和不良后果,从而保障电网的安全稳定运行。

参考文献

[1]钟清.智能电网关键技术研究[M].北京:中国电力出版社,2011.

[2]李小平,钟宏,丁俨.关于应用系统安全的研究[J].北京理工大学学报(英文版),2002,11(2):198-202.

[3]王青.WU Shu-jian,李明树.软件缺陷预测技术[J].软件学报,2008,19(7):1565-1580.

[4]王升保.信息安全等级保护体系研究及应用[D].合肥:合肥工业大学,2009.

[5]范渊.应用层等级保护测评工具应用实例分析[J].信息网络安全,2012(z1):127-131.

[6]张健,徐宝文.软件测试(专辑前言)[J].计算机学报,2011,34(6):951-952.

[7]潘古兵.Web应用程序渗透测试方法研究[D].重庆:西南大学,2012.

[8]单锦辉,姜瑛,孙萍.软件测试研究进展[J].北京大学学报(自然科学版),2005,41(1):134-145.

[9]孟云秀,赵正旭.基于源代码分析的软件静态测试[J].河北省科学院学报,2013,30(2):16-21.

[10]张健.精确的程序静态分析[J].计算机学报,2008,31(9):1549-1553.

[11]安金霞,王国庆,李树芳.基于多维度覆盖率的软件测试动态评价方法[J].软件学报,2010.

[12]蒲石.Web安全渗透测试研究[D].西安:西安电子科技大学,2010.

[13]杨宇,张健.程序静态分析技术与工具[J].计算机科学,2004,31(2):171-174.

[14]林惠民,张文辉.模型检测:理论、方法与应用[J].电子学报,2002, 30(z1):1907-1912.

[15]严俊.基于约束求解的自动化软件测试研究[D].北京:中国科学院软件研究所,2007.

作者简介

伍晓泉(1984-),女,工学博士,计算机软件与理论专业。主要研究方向为软件工程、电力系统自动化、电力系统信息安全。

第9篇:软件安全论文范文

关键词 计算机 软件安全 防御措施

中图分类号:TP31 文献标识码:A

1计算机软件主要存在的安全隐患

当今社会,计算机的使用已经越来越普及,它影响着人们生活的方方面面,但是在使用计算机的过程中人们会遇到一些安全隐患,这增强了人们的安全意识,如何解决计算机软件的安全问题成为当务之急。当下,计算机软件安全的问题主要体现在以下几个方面。

首先,计算机软件自身方面的问题。第一,计算机软件只有通过对软件知识的掌握和对软件技能的熟练才能创作出来,一旦创作出新的软件产品,则原创者具有知识产权,可以申请产品专利。但是,由于我国对这种看不见的知识产权的安全意识不高,再加上软件的本身的易复制性,使得我国在计算机软件产权方面的问题没能够引起特别足够的关注与重视,一些非法分子对计算机软件的非法复制,出现了很多山寨盗版软件,这对计算机软件行业的发展造成了严重的不良影响。第二,我国计算机软件本身的质量不过硬,开发商制作出来的软件,就如同出售的商品一样,肯定存在瑕疵和缺陷的地方,这是难以避免的,这些瑕疵和缺陷难免给计算机软件的正常运行带来安全方面的问题。

其次,计算机软件在运行的过程中出现的问题。这种问题主要是通过非法分子对计算机软件进行破译之后进行了非法的买卖与传播,这在很大程度上对计算机软件的安全造成了影响,尤其是一些个人或者团体将自己在软件方面的知识用在了非法跟踪软件的运行程序或者对不同格式的文件进行读取、修改等将计算机软件进行破译。因此,计算机软件的运行必须有安全的保障,尤其是防止非法分子对软件的破译和复制,以保证软件的正常运行。

最后,人为的因素以及其他因素给计算机软件造成的影响。人为的因素表现在计算机的用户在使用计算机的过程中安全意识淡薄,几乎没有安全防护的技术,这给黑客们入侵提供了可能。其他方面的因素比如计算机软件的安全的管理体制不完善不严谨、对安全防护的技术水平不高、或者没有严格按照软件的操作程序和说明进行操作,这些因素均会对计算机软件的安全造成重大的影响。

2解决计算机软件安全隐患的重要性

随着经济的快速发展,信息化和数字化时代的到来,计算机已经于人们的生活紧密地联系在了一起,而计算机软件的发展也随着科技的进步在不断地完善。计算机软件的功能越来越强,软件的类型越来越丰富,因此,计算机软件几乎能满足人们日常生活的各种需求,从而彰显出计算机在社会中的地位越来越高,同时计算机软件的安全也成为所有人们面临的一个重要问题。在一些特殊的行业中,计算机软件的安全尤为重要,比如金融业、电子商务业以及信息资源行业等,安全的网络环境与软件的正常运行是这些行业顺利运作的前提与保障。计算机软件的安全主要体现在以下两个方面:首先,软件使用用户应该注重软件自身的安全性能与使用价值;其次,在软件制作的过程中,开发商不仅要对软件自身的安全有严格的要求,同时还要考虑到使用着对其安全的需求、软件在运行过程中可能存在的安全问题,都要有一定的防御措施。虽然我国的计算机软件水平仍然处在发展阶段,但是我们应该在不断的发展过程中总结经验,不断取得进步,避免重复性的安全问题出现,促使我国计算机软件行业向着更高的水平发展。

3对计算机软件安全的防御策略

第一,不断完善计算机软件安全的发挥,制定严格法规。在计算机软件的安全方面,国家应该制定一系列相关的法律法规,让计算机软件的安全有法律的保护,同时国家应该加强对公民进行计算机软件安全意识的宣传教育,增强公民的法律意识规范自己的行为,对于受到侵害的公民可以通过法律途径来维护自己的正当权益。对于计算机软件市场进行整顿,建立监督和社会舆论的平台,及时对计算机软件的非法利用进行处理,为计算机软件市场建立良好的环境。

第二,在计算机软件的设计方面要高要求高标准。计算机软件的设计水平高低直接影响着计算机的安全是否存在问题。因此,在计算机软件设计的时候,应该充分考虑到其安全问题,并且及时认真地分析出现问题的原因,并制定解决相应问题的措施办法。良好的计算机软件设计应该具备以下三点:首先,对软件的安全漏洞进程监测,提高对监测程序的设计;其次,重视对用户访问这一功能的审核与设计,主要的办法是对用户认证进行加密,采取自验的手段;最后,对源代码的保密设计要进行严格的要求,对系统的源代码进行加密,以提高计算机软件系统的安全。

第三,加强对计算机软件安全意识的培养,提高用户对软件安全的保护意识与行为。用户对计算机软件安全意识的淡薄是造成安全隐患的主要根源之一。所以,用户应该学习相关的计算机软件保护技术,比如定期对计算机进行扫描检测,对重要的文档进行备份,对病毒定期查杀,对计算机中的垃圾定期清理,以此保证计算机软件的快速和安全运行。

参考文献

[1] 高加琼.论计算机软件存在的漏洞及防范策略[J].无线互联科技, 2012(03).

相关热门标签
相关文章阅读
精选范文推荐
相关期刊推荐