時(shí)間:2023-01-05 00:48:53
序論:在您撰寫軟件安全論文時(shí),參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
在網(wǎng)絡(luò)安全教學(xué)中,作為企業(yè)網(wǎng)絡(luò)管理者,最開始我們需要了解的是:(1)公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),雖然企業(yè)不一定給你最完整的資訊,但是一定會(huì)告訴我們有哪些基本的網(wǎng)絡(luò)設(shè)備,我們至少應(yīng)該知道這些設(shè)備可以干什么,然后清楚地意識(shí)到在不久的將來(lái)我們都需要或多或少的對(duì)它進(jìn)行配置[3]。例如:交換機(jī)、路由器、防火墻、VPN、無(wú)線AP、VOIP及內(nèi)容過(guò)濾網(wǎng)關(guān)等[4]。(2)企業(yè)還會(huì)告訴我們一些功能服務(wù)器,這些也是我們?nèi)蘸笮枰M(jìn)行管理的對(duì)象。例如:企業(yè)AD、DHCP、DNS、FTP、WEB、網(wǎng)絡(luò)ghost服務(wù)器、Share服務(wù)器、WSUS服務(wù)器和Exchange服務(wù)器等等。我們需要記下這些網(wǎng)絡(luò)設(shè)備和功能服務(wù)器的IP地址。
2企業(yè)網(wǎng)絡(luò)安全管理的方式
2.1企業(yè)網(wǎng)絡(luò)安全管理可能遇到的問(wèn)題
作為企業(yè)網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué),我們需要盡可能的模擬更多的企業(yè)網(wǎng)絡(luò)問(wèn)題給學(xué)生來(lái)思考和解決:(1)給你一個(gè)IP地址,你能準(zhǔn)確地找到這臺(tái)機(jī)器么?你需要什么輔助你?(2)有人說(shuō)他能上內(nèi)網(wǎng),但外網(wǎng)不行,你會(huì)想到什么?(3)有人說(shuō)他QQ還可以聊天,但網(wǎng)頁(yè)打不開,你怎么想?以上模擬的問(wèn)題都是企業(yè)中最容易出現(xiàn)的,在讓學(xué)生思考以上問(wèn)題的同時(shí),以下問(wèn)題才是需要讓學(xué)生們?cè)谀M企業(yè)網(wǎng)絡(luò)管理者的時(shí)候需要規(guī)劃的:(1)研發(fā)部門的服務(wù)器突然增加了,可是給他們的IP地址不夠分了,怎么辦?(2)財(cái)務(wù)數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)很敏感,可是外地分公司的業(yè)務(wù)又必須訪問(wèn),你將制定怎樣的策略?(3)規(guī)劃的網(wǎng)絡(luò)是固定IP還是自動(dòng)分配呢?
2.2解決問(wèn)題的注意事項(xiàng)
2.2.1節(jié)點(diǎn)安全
更多的時(shí)候我們需要讓學(xué)生們了解到通過(guò)各種軟件保障設(shè)備的穩(wěn)定運(yùn)行是預(yù)防節(jié)點(diǎn)安全的主要手段。我們可以通過(guò)監(jiān)控系統(tǒng)日志實(shí)現(xiàn)對(duì)系統(tǒng)信息日志、權(quán)限管理日志和資源使用率日志的管理;通過(guò)監(jiān)控硬件狀態(tài)實(shí)現(xiàn)對(duì)溫度、電壓、穩(wěn)定性和硬件故障的管理;通過(guò)異常警報(bào)實(shí)現(xiàn)對(duì)沖突異常、侵入異常、失去功能異常、突發(fā)性性能異常等狀況的管理;通過(guò)容災(zāi)實(shí)現(xiàn)對(duì)硬件損壞、停電、失火、散熱失效等的管理。
2.2.2軟件安全
最復(fù)雜最難管理的就是軟件安全,因?yàn)槲覀兯械姆?wù)器硬件都是為運(yùn)行在上面的軟件服務(wù)的,而軟件又都是由人根據(jù)需求編寫代碼開發(fā)出來(lái)的應(yīng)用程序。往往一款軟件需要很多人的協(xié)作開發(fā),由于各種局限性,在開發(fā)過(guò)程中無(wú)法考慮各種情況,因此軟件都會(huì)有各種各樣的缺陷,需要不斷的修正。有的缺陷是無(wú)傷大雅的,而有的缺陷卻是致命的。你不是開發(fā)者,這些缺陷對(duì)你來(lái)說(shuō)又是不可控的。你只能被動(dòng)的防范這些缺陷,而往往修補(bǔ)這些缺陷都發(fā)生在缺陷產(chǎn)生危害之后。然而裝的軟件越多,這些缺陷也就越多。更要命的是,病毒、木馬它們也是軟件,操作系統(tǒng)自身無(wú)法識(shí)別。殺毒軟件可以處理病毒、木馬,但是安全軟件一不小心也會(huì)成為不安全的因素。例如:金山網(wǎng)盾事件、暴風(fēng)影音事件等。盡管如此,我們依然可以防范,那就是把握以下原則:(1)最少安裝原則:提供什么服務(wù)就只裝什么服務(wù)或軟件,其他一律屏蔽;(2)最少開放原則:需要什么端口就開放什么端口,其他一律屏蔽;(3)最小特權(quán)原則:給予主體“必不可少”的權(quán)限,多余的都不開放。
2.2.3數(shù)據(jù)安全
不論是節(jié)點(diǎn)安全還是軟件安全,我們最終的目的都是為了保障數(shù)據(jù)安全。這也是網(wǎng)絡(luò)安全的終極意義。這是我們?cè)谡n堂上務(wù)必讓學(xué)習(xí)網(wǎng)絡(luò)安全的學(xué)生了解的內(nèi)容。數(shù)據(jù)安全其實(shí)是數(shù)據(jù)保管安全,涉及以下4個(gè)方面:(1)數(shù)據(jù)在存儲(chǔ)介質(zhì)上的物理安全。即防范存儲(chǔ)介質(zhì)損壞造成的數(shù)據(jù)丟失隱患。(2)數(shù)據(jù)在存儲(chǔ)介質(zhì)上的邏輯安全。即防范因各種操作造成的數(shù)據(jù)邏輯破壞、刪除或丟失的隱患。(3)數(shù)據(jù)在空間上的安全。即防范因各種災(zāi)難造成當(dāng)?shù)氐恼麄€(gè)數(shù)據(jù)完全損毀的隱患。(4)數(shù)據(jù)在管理上的安全。即防范敏感或機(jī)密數(shù)據(jù)通過(guò)公司內(nèi)部員工人為泄露的隱患。數(shù)據(jù)傳輸安全是互聯(lián)網(wǎng)安全的重點(diǎn),主要防范重點(diǎn)如下:(1)數(shù)據(jù)在傳輸過(guò)程中被阻礙(例如,DDOS攻擊);(2)數(shù)據(jù)在傳輸過(guò)程中被竊取(因?yàn)闊o(wú)線上網(wǎng)設(shè)置不當(dāng)造成公司資源外泄);(3)數(shù)據(jù)在傳輸過(guò)程中被修改(網(wǎng)頁(yè)注入式攻擊)。
3結(jié)束語(yǔ)
電子政務(wù)系統(tǒng)的應(yīng)用軟件一般規(guī)模比較大,軟件在應(yīng)用過(guò)程中面向的用戶較多,系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)流程相對(duì)復(fù)雜,以Web應(yīng)用為主要實(shí)現(xiàn)方式。因而,系統(tǒng)安全常見(jiàn)的風(fēng)險(xiǎn)主要有Web應(yīng)用的SQL注入漏洞、表單繞過(guò)漏洞、上傳繞過(guò)漏洞、權(quán)限繞過(guò)漏洞、數(shù)據(jù)庫(kù)下載漏洞等。同時(shí)也常常存在應(yīng)用系統(tǒng)管理員賬戶空口令或弱口令、未設(shè)置應(yīng)用賬戶口令復(fù)雜度限制、無(wú)應(yīng)用系統(tǒng)登錄和操作日志等風(fēng)險(xiǎn)。在軟件應(yīng)用安全層面,安全方面的保證沒(méi)有統(tǒng)一的方法和手段。在保證整個(gè)系統(tǒng)安全運(yùn)行過(guò)程中針對(duì)信息安全的部分,如對(duì)數(shù)據(jù)庫(kù)訪問(wèn)安全,訪問(wèn)控制,加密與鑒別等應(yīng)用層面的安全防護(hù),主要從客戶端避免和減少人為非法利用應(yīng)用程序,從應(yīng)用軟件設(shè)計(jì)、實(shí)現(xiàn)到使用維護(hù),以及應(yīng)用軟件對(duì)系統(tǒng)資源、信息的訪問(wèn)等方面保證安全。
二、軟件應(yīng)用安全要求與技術(shù)防護(hù)
2.1身份鑒別與訪問(wèn)控制
用戶身份認(rèn)證是保護(hù)信息系統(tǒng)安全的一道重要防線,認(rèn)證的失敗可能導(dǎo)致整個(gè)系統(tǒng)安全防護(hù)的失敗。電子政務(wù)系統(tǒng)的用戶對(duì)系統(tǒng)資源訪問(wèn)之前,應(yīng)通過(guò)口令、標(biāo)記等方式完成身份認(rèn)證,阻止非法用戶訪問(wèn)系統(tǒng)資源。從技術(shù)防護(hù)的角度來(lái)說(shuō),軟件應(yīng)保障對(duì)所有合法用戶建立賬號(hào),并在每次用戶登錄系統(tǒng)時(shí)進(jìn)行鑒別。軟件應(yīng)用管理員應(yīng)設(shè)置一系列口令控制規(guī)則,如口令長(zhǎng)度、口令多次失敗后的賬戶鎖定,強(qiáng)制口令更新等,以確??诹畎踩\浖?yīng)用中對(duì)用戶登錄全過(guò)程應(yīng)具有顯示、記錄及安全警示功能。用戶正常登錄后,為防止長(zhǎng)時(shí)間登錄而被冒用等情況,系統(tǒng)應(yīng)有自動(dòng)退出等登錄失效處理功能。此外,應(yīng)用系統(tǒng)需要及時(shí)清除存儲(chǔ)空間中關(guān)于用戶身份的鑒別信息,如客戶端的cookie等。系統(tǒng)軟件應(yīng)用中的文件、數(shù)據(jù)庫(kù)等客體資源不是所有用戶都允許訪問(wèn)的,訪問(wèn)時(shí)應(yīng)符合系統(tǒng)的安全策略。系統(tǒng)中許多應(yīng)用軟件在設(shè)計(jì)和使用過(guò)程中經(jīng)常會(huì)有權(quán)限控制不精確,功能劃分過(guò)于籠統(tǒng)等現(xiàn)象,影響了系統(tǒng)的安全使用。目前,從應(yīng)用軟件的研發(fā)和技術(shù)實(shí)現(xiàn)來(lái)看,授權(quán)訪問(wèn)控制機(jī)制多采用數(shù)據(jù)庫(kù)用戶和應(yīng)用客戶端用戶分離的方式,訪問(wèn)控制的粒度達(dá)到主體為用戶級(jí),客體為文件、數(shù)據(jù)庫(kù)表級(jí)。在分配用戶權(quán)限時(shí),用戶所具有的權(quán)限應(yīng)該與其需使用的功能相匹配,不分配大于其使用功能的權(quán)限,即分配所謂“最小授權(quán)”原則。對(duì)于系統(tǒng)的一些特殊用戶或角色(如管理和審計(jì))如分配的權(quán)限過(guò)大,則系統(tǒng)安全風(fēng)險(xiǎn)將過(guò)于集中,因此,應(yīng)將特別權(quán)限分配給不同的用戶,并在他們之間形成相互制約的關(guān)系。
2.2通信安全
電子政務(wù)系統(tǒng)應(yīng)用軟件的設(shè)計(jì)、研發(fā)以及應(yīng)用過(guò)程中,需要重點(diǎn)關(guān)注通信安全,特別是對(duì)通信完整性的保護(hù)。除應(yīng)用加密通信外,通信雙方還應(yīng)根據(jù)約定的方法判斷對(duì)方信息的有效性。在信息通信過(guò)程中,為使通信雙方之間能正確地傳輸信息,需要建立一整套關(guān)于信息傳輸順序、信息格式和信息內(nèi)容等的約定,因?yàn)閮H僅使用網(wǎng)絡(luò)通信協(xié)議仍然無(wú)法對(duì)應(yīng)用層面的通信完整性提供安全保障,還需在軟件層面設(shè)計(jì)并實(shí)現(xiàn)可自定義的供雙方互為驗(yàn)證的工作機(jī)制。而且,為防止合法通信的抵賴,系統(tǒng)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)或數(shù)據(jù)接收證據(jù)的功能。為保障信息系統(tǒng)通信的保密性,應(yīng)用軟件需具備在通信雙方建立連接之前,首先利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證,以確保通信雙方的合法性的能力。其次,在通信過(guò)程中,能保證選用符合國(guó)家有關(guān)部門要求的密碼算法對(duì)整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。通信雙方約定加密算法,對(duì)信息進(jìn)行編碼和解碼。此外,應(yīng)用軟件中需設(shè)置通話超時(shí)和自動(dòng)退出機(jī)制,即當(dāng)通信雙方中有一方在一段時(shí)間內(nèi)未做任何響應(yīng),這表明可能存在通信異常情況,另一方能夠自動(dòng)結(jié)束會(huì)話,以免造成信息在通信過(guò)程中的泄露。
2.3安全審計(jì)
安全審計(jì)通過(guò)采集各種類型的日志數(shù)據(jù),提供對(duì)日志的統(tǒng)一管理和查詢,使用特定規(guī)則,對(duì)系統(tǒng)軟件應(yīng)用狀態(tài)實(shí)時(shí)監(jiān)視,生成安全分析報(bào)告。安全審計(jì)的應(yīng)用,能夠規(guī)范系統(tǒng)用戶的軟件應(yīng)用行為,起到預(yù)防、追蹤和震懾作用。安全審計(jì)應(yīng)用要覆蓋所有用戶,記錄應(yīng)用系統(tǒng)重要的安全相關(guān)事件,包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等。記錄包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功,及其他與審計(jì)相關(guān)的信息,并有能力依據(jù)安全策略及時(shí)報(bào)警和中斷危險(xiǎn)操作。此外,審計(jì)記錄應(yīng)受到妥善保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等操作,可追溯到的記錄應(yīng)不少于一年。在日常審計(jì)的基礎(chǔ)上,應(yīng)通過(guò)分析審計(jì)記錄,及時(shí)發(fā)現(xiàn)并封堵系統(tǒng)漏洞,提升系統(tǒng)安全強(qiáng)度,定位網(wǎng)絡(luò)安全隱患的來(lái)源,舉證系統(tǒng)使用過(guò)程中違法犯罪的法律、刑事責(zé)任。電子政務(wù)系統(tǒng)軟件應(yīng)用安全審計(jì)可結(jié)合網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、應(yīng)用和運(yùn)維日志審計(jì)進(jìn)行,幾乎全部需要定制開發(fā)。
2.4系統(tǒng)資源控制
電子政務(wù)系統(tǒng)的資源使用主要體現(xiàn)在CPU、內(nèi)存、帶寬等資源的使用上,在這個(gè)過(guò)程中,除了系統(tǒng)軟件以外,應(yīng)用軟件也需要建立一組能夠體現(xiàn)資源使用狀況的指標(biāo),來(lái)判斷系統(tǒng)資源是否能滿足軟件應(yīng)用的正常運(yùn)行要求,當(dāng)系統(tǒng)資源相關(guān)性能降低到預(yù)先規(guī)定的最小值時(shí),應(yīng)能及時(shí)報(bào)警。并對(duì)資源使用的異常情況進(jìn)行檢測(cè),及時(shí)發(fā)現(xiàn)資源使用中的安全隱患。系統(tǒng)資源應(yīng)保證優(yōu)先提供給重要、緊急的軟件應(yīng)用。因此,在資源控制的安全策略上應(yīng)設(shè)定優(yōu)先級(jí),并根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源,從而確保對(duì)關(guān)鍵軟件應(yīng)用的支持。技術(shù)實(shí)現(xiàn)上設(shè)計(jì)用戶登錄系統(tǒng)時(shí),軟件為其分配與其權(quán)限相對(duì)應(yīng)的連接資源和系統(tǒng)服務(wù),為防止系統(tǒng)資源的重復(fù)分配,應(yīng)禁止同一用戶賬號(hào)在同一時(shí)間內(nèi)并發(fā)登錄,并且,在用戶登錄后防止長(zhǎng)時(shí)間非正常占用系統(tǒng)資源,而降低系統(tǒng)的性能或造成安全隱患,通常設(shè)計(jì)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定和鑒別失敗鎖定,并規(guī)定解鎖或終止方式。同樣,系統(tǒng)對(duì)發(fā)起業(yè)務(wù)的會(huì)話分配所用到的資源,也采用根據(jù)安全屬性(用戶身份、訪問(wèn)地址、時(shí)間范圍等)允許或拒絕用戶建立會(huì)話連接,對(duì)一個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)和單個(gè)用戶的多重并發(fā)會(huì)話數(shù)量進(jìn)行限制。在系統(tǒng)整體資源的使用上,對(duì)最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制。此外,對(duì)電子政務(wù)系統(tǒng)被刪除的文件等的剩余信息,特別是涉及國(guó)家秘密、敏感信息的內(nèi)容,一定要重點(diǎn)關(guān)注并加強(qiáng)安全保護(hù)。可采用下列技術(shù)實(shí)現(xiàn)保護(hù):(1)采用先進(jìn)的磁盤讀寫技術(shù)對(duì)磁盤的物理扇區(qū)進(jìn)行多次反復(fù)的寫操作,直到擦寫過(guò)后的磁盤扇區(qū)內(nèi)數(shù)據(jù)無(wú)法恢復(fù);(2)根據(jù)不同的分區(qū)格式進(jìn)行采用不同的數(shù)據(jù)銷毀處理算法,對(duì)文件在磁盤上所有存放位置進(jìn)行逐個(gè)清除,確保文件不會(huì)在磁盤上留下任何痕跡;(3)進(jìn)行目錄、剩余磁盤空間或整個(gè)磁盤的數(shù)據(jù)銷毀,銷毀后的目錄、剩余磁盤空間或者整個(gè)磁盤不存在任何數(shù)據(jù),無(wú)法通過(guò)軟件技術(shù)手段恢復(fù)。
2.5軟件代碼安全
在電子政務(wù)系統(tǒng)應(yīng)用軟件開發(fā)之前,要制定應(yīng)用程序代碼編寫安全規(guī)范,要求開發(fā)人員遵從規(guī)范編寫代碼。應(yīng)用程序代碼自身存在的漏洞被利用后可能會(huì)危害系統(tǒng)安全。因此,應(yīng)對(duì)應(yīng)用軟件代碼進(jìn)行安全脆弱性分析,以幫助其不斷改進(jìn)完善,從而有效降低軟件應(yīng)用的安全風(fēng)險(xiǎn)。研發(fā)工作結(jié)束后,應(yīng)及時(shí)對(duì)程序代碼的規(guī)范性進(jìn)行審查,以查找其設(shè)計(jì)缺陷及錯(cuò)誤信息。代碼審查一般根據(jù)需要列出所需資料清單,由應(yīng)用軟件使用方收集并提供相應(yīng)的材料。代碼測(cè)試人員與開發(fā)人員書面確認(rèn)測(cè)試內(nèi)容和過(guò)程,配置運(yùn)行環(huán)境,對(duì)代碼進(jìn)行預(yù)編譯操作,確認(rèn)可執(zhí)行使用。然后使用特定的測(cè)試工具進(jìn)行代碼的安全測(cè)試操作,對(duì)測(cè)試結(jié)果進(jìn)行分析。對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行風(fēng)險(xiǎn)分析和估算,制作軟件缺陷、問(wèn)題簡(jiǎn)表,撰寫測(cè)試報(bào)告并交付開發(fā)方修改,并對(duì)已經(jīng)整改的部分進(jìn)行復(fù)測(cè)。值得注意的是,那些已經(jīng)通過(guò)安全測(cè)試的代碼,還需要運(yùn)行在通過(guò)安全測(cè)試的支撐平臺(tái)、編譯環(huán)境中才能實(shí)現(xiàn)真正的安全運(yùn)行。
2.6軟件容錯(cuò)
電子政務(wù)系統(tǒng)中應(yīng)用軟件的高可用性是保障系統(tǒng)安全、平穩(wěn)運(yùn)行的基礎(chǔ)。軟件容錯(cuò)的原理是通過(guò)提供足夠的冗余信息和算法程序,使系統(tǒng)在實(shí)際運(yùn)行時(shí)能夠及時(shí)發(fā)現(xiàn)錯(cuò)誤,并能采取補(bǔ)救措施。對(duì)系統(tǒng)軟件應(yīng)用安全來(lái)說(shuō),應(yīng)充分考慮到軟件自身出現(xiàn)異常的可能性。軟件在應(yīng)用過(guò)程中,除設(shè)計(jì)對(duì)軟件運(yùn)行狀態(tài)的監(jiān)測(cè)外,當(dāng)故障發(fā)生時(shí)能實(shí)時(shí)檢測(cè)到故障狀態(tài)并報(bào)警,防止軟件異常的進(jìn)一步蔓延,應(yīng)具有自動(dòng)保護(hù)能力,即當(dāng)故障發(fā)生時(shí)能夠自動(dòng)保存當(dāng)前所有狀態(tài)。此外,操作人員對(duì)應(yīng)用軟件的操作可能會(huì)出現(xiàn)失誤。因此,系統(tǒng)應(yīng)對(duì)輸入的數(shù)據(jù)、指令進(jìn)行有效性檢查,判斷其是否合法、越權(quán),并能及時(shí)進(jìn)行糾正。關(guān)鍵功能應(yīng)支持按照操作順序進(jìn)行功能性撤銷,以避免因誤操作而導(dǎo)致的嚴(yán)重后果。
三、結(jié)語(yǔ)
隨著互聯(lián)網(wǎng)的觸角深入到生產(chǎn)生活中的各個(gè)層面,軟件已經(jīng)不像以前那樣只是支持辦公和家庭娛樂(lè)這兩大主題了,而是成為現(xiàn)代商業(yè)的靈魂。軟件安全問(wèn)題主要圍繞著軟件漏洞和易被攻擊脆弱點(diǎn),它們都來(lái)自于軟件的設(shè)計(jì)和實(shí)現(xiàn)。Internet催生了電子商務(wù),移動(dòng)互聯(lián)網(wǎng)使得APP變得如火如荼,未來(lái)物聯(lián)網(wǎng)也許可以將生活中的一切元素都納入到通信網(wǎng)絡(luò)中去。因此軟件安全問(wèn)題將成為計(jì)算機(jī)安全的核心,而非防火墻等網(wǎng)絡(luò)硬件,或是諸如加密等手段。軟件安全是一切計(jì)算機(jī)安全性問(wèn)題的根源,如果軟件行為出現(xiàn)異常,與之相關(guān)的可靠性、可用性等方面問(wèn)題就會(huì)隨之暴露。軟件安全問(wèn)題并不是互聯(lián)網(wǎng)出現(xiàn)后才有的,只不過(guò)互聯(lián)網(wǎng)是目前最容易攻擊軟件的途徑罷了。
2軟件安全的現(xiàn)狀
2.1人們的認(rèn)知
隨著黑客攻擊的新聞時(shí)常見(jiàn)諸媒體,人們對(duì)計(jì)算機(jī)安全問(wèn)題有了一定認(rèn)識(shí)。但不幸很多計(jì)算機(jī)安全人員和計(jì)算機(jī)教育培訓(xùn)人員都忽視了軟件安全的問(wèn)題。一味地推崇某種軟件平臺(tái)是安全的,單純大力增加對(duì)網(wǎng)絡(luò)安全硬件和軟件的投入,這些做法是盲目甚至荒謬的。一切安全性都不是靜態(tài)特性,也沒(méi)有任何軟件是絕對(duì)安全的。軟件安全問(wèn)題的關(guān)鍵節(jié)點(diǎn)是軟件的設(shè)計(jì)。
2.2軟件安全設(shè)計(jì)的先天不足
世界上知名的軟件廠商并不是不了解軟件安全設(shè)計(jì)安全性的重要性,而是商業(yè)模式讓軟件安全方面存在著先天不足。稍縱即逝的商業(yè)機(jī)會(huì)、敏捷的軟件開發(fā)過(guò)程和短暫的軟件開發(fā)周期使得安全性方面的設(shè)計(jì)在很多時(shí)候都是被舍棄的。隨之而來(lái)的處理方式則是常見(jiàn)的penetrate-and-pach方法,即不停地補(bǔ)丁。這種做法從長(zhǎng)遠(yuǎn)來(lái)看,其成本與作用遠(yuǎn)不及一開始就做好安全性的設(shè)計(jì)和審計(jì)。
3軟件安全設(shè)計(jì)應(yīng)引入風(fēng)險(xiǎn)管理
從項(xiàng)目管理的角度看,風(fēng)險(xiǎn)指損失或損害的可能性。軟件項(xiàng)目涉及到的是:項(xiàng)目中可能發(fā)生的潛在問(wèn)題和它們?nèi)绾畏恋K項(xiàng)目成功。風(fēng)險(xiǎn)管理則是對(duì)應(yīng)軟件項(xiàng)目生命周期內(nèi)的風(fēng)險(xiǎn)的科學(xué)和藝術(shù)。軟件安全性的設(shè)計(jì)與軟件設(shè)計(jì)的其他一些質(zhì)量性能是互相抵觸的,例如冗余性、高效性。而軟件開發(fā)過(guò)程中的風(fēng)險(xiǎn)管理與軟件開發(fā)的諸如時(shí)間、范圍、成本等因素也是相互抵觸的。但是絕不能因?yàn)檫@些可能發(fā)生的抵觸行為而放棄對(duì)安全性和風(fēng)險(xiǎn)管理的考慮,反而應(yīng)該將軟件安全性設(shè)計(jì)納入到風(fēng)險(xiǎn)管理的范疇中去。事實(shí)表明,93%的失控項(xiàng)目都忽視了風(fēng)險(xiǎn)管理。
4軟件安全設(shè)計(jì)風(fēng)險(xiǎn)管理的實(shí)施
目前國(guó)際上對(duì)軟件安全方面的風(fēng)險(xiǎn)管理存在著一個(gè)共同的認(rèn)知,那就是采用高質(zhì)量的軟件工程的方法論可以在一定程度上解決這方面的問(wèn)題,歐美一些國(guó)家也在試圖制定或修訂相關(guān)的一些“通用準(zhǔn)則”來(lái)指導(dǎo)軟件安全性設(shè)計(jì)的實(shí)踐。但是這只是從科學(xué)技術(shù)方面做出努力,我們可以學(xué)習(xí)借鑒。而在管理技術(shù)和藝術(shù)方面需要做出的努力則應(yīng)該嘗試本地化做法。完整的風(fēng)險(xiǎn)管理的過(guò)程應(yīng)該包括以下幾個(gè)環(huán)節(jié):風(fēng)險(xiǎn)管理計(jì)劃的編制、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)定性分析、風(fēng)險(xiǎn)定量分析、風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃編制和風(fēng)險(xiǎn)監(jiān)督控制。將整個(gè)流程都走完的項(xiàng)目和企業(yè)都不多,一般來(lái)自于所謂的學(xué)院派。而時(shí)下大多數(shù)國(guó)內(nèi)外企業(yè)的做法是將這個(gè)7個(gè)流程簡(jiǎn)化為誰(shuí)來(lái)識(shí)別風(fēng)險(xiǎn)、誰(shuí)來(lái)對(duì)風(fēng)險(xiǎn)負(fù)責(zé)這兩個(gè)環(huán)節(jié)。原因則是上文所提到的先天不足所致。從技術(shù)上講,風(fēng)險(xiǎn)管理的效益來(lái)自于潛在風(fēng)險(xiǎn)最小化和潛在回報(bào)的最大化。而這個(gè)技術(shù)的應(yīng)用則一定需要經(jīng)歷風(fēng)險(xiǎn)定量分析的過(guò)程。在這個(gè)過(guò)程中,可以使用的主要技術(shù)是決策樹分析、蒙特卡羅分析、PERT分析等等。這些技術(shù)都是建立在一定的數(shù)學(xué)和會(huì)計(jì)基礎(chǔ)之上。而令人遺憾的是,很多決策者本身對(duì)這些技術(shù)的認(rèn)知或理解欠缺,以至于會(huì)抵觸這種方法。大多數(shù)做法是采用小團(tuán)隊(duì)開發(fā)小軟件的做法,即采用訪談和敏感性分析來(lái)幫助風(fēng)險(xiǎn)定量分析。然而我們并不是要反對(duì)這種簡(jiǎn)化做法,只是一定不能在簡(jiǎn)化的做法之上再次簡(jiǎn)化或敷衍了事。首先要做的工作是做好需求管理,在建立一組需求輸入的時(shí)候,一定要將安全性作為一個(gè)重要需求考慮進(jìn)去。有一個(gè)比較好的方法是,在軟件設(shè)計(jì)時(shí)采用螺旋模型,需求的輸入可以在螺旋模型的各個(gè)生命周期中進(jìn)行,而有關(guān)安全性的需求輸入則最好是在最初的一個(gè)螺旋中進(jìn)行。之后要做的工作是確定最大風(fēng)險(xiǎn)。不可避免的要使用風(fēng)險(xiǎn)定性和風(fēng)險(xiǎn)定量分析的各種技術(shù)和方法。這個(gè)工作一定要有軟件設(shè)計(jì)師、項(xiàng)目決策者和用戶的參與,采用頭腦風(fēng)暴和專家訪談是不錯(cuò)的選擇。而這個(gè)工作恰恰是現(xiàn)實(shí)生活中中小企業(yè)乃至客戶最容易忽略的。企業(yè)要考慮成本問(wèn)題,而客戶的參與往往難以落實(shí),認(rèn)為軟件的設(shè)計(jì)和開發(fā)應(yīng)該由軟件公司負(fù)責(zé),客戶付款只關(guān)心最后軟件是否可以使用。而一旦由于軟件安全性問(wèn)題造成了一定后果后將演變成各種糾纏不清的官司,這是企業(yè)和客戶都不想看到的結(jié)果。
5結(jié)語(yǔ)
1.1計(jì)算機(jī)軟件安全檢測(cè)的流程
通常計(jì)算機(jī)軟件安全檢測(cè)的過(guò)程中只要有以下幾個(gè)流程,首先是為了徹底全面的對(duì)計(jì)算機(jī)軟件系統(tǒng)當(dāng)中可能存在的缺陷予以充分的檢測(cè)和了解,要對(duì)軟件設(shè)計(jì)過(guò)程中最小的模塊進(jìn)行進(jìn)行全面的測(cè)試,之后是要嚴(yán)格按照設(shè)計(jì)的標(biāo)準(zhǔn)和要求對(duì)組裝的系統(tǒng)進(jìn)行檢測(cè),此外還要對(duì)與之相關(guān)的體系機(jī)構(gòu)進(jìn)行全面的檢查。其次就是要在做好了上述各項(xiàng)功能工作之后,還要對(duì)軟件自身的有效性和功能性進(jìn)行詳細(xì)科學(xué)的檢測(cè),最后一點(diǎn)就是要對(duì)整個(gè)系統(tǒng)進(jìn)行全面的檢測(cè),測(cè)試整個(gè)軟件在各種環(huán)境下運(yùn)行的安全性和可靠性。
1.2當(dāng)前計(jì)算機(jī)軟件安全檢測(cè)的只要方法
首先是形式化的檢測(cè)。形式化的安全監(jiān)測(cè)實(shí)際上就是根據(jù)具體的要求來(lái)建立軟件應(yīng)有的數(shù)學(xué)模型,之后通過(guò)對(duì)應(yīng)的標(biāo)準(zhǔn)化語(yǔ)言對(duì)其進(jìn)行格式化的說(shuō)明。形式化的安全監(jiān)測(cè)通常有兩種檢測(cè)方法,一種是模型檢測(cè),一種是定量檢測(cè)。其次就是在模型基礎(chǔ)上的靜態(tài)安全檢測(cè)。模型安全監(jiān)測(cè)一方面是通過(guò)軟件行為和結(jié)構(gòu)構(gòu)建的一種方式,這樣也就形成了一個(gè)可供測(cè)試的模型,這種模型在運(yùn)行的過(guò)程中一方面可以在計(jì)算機(jī)上實(shí)現(xiàn)讀取,在工作的過(guò)程中,比較常用的模型安全檢測(cè)方法有兩種,一種是有限狀態(tài)機(jī)檢測(cè),一種是馬爾科夫鏈檢測(cè)、再次就是語(yǔ)法檢測(cè)。語(yǔ)法檢測(cè)實(shí)際上就是技術(shù)人員通過(guò)技術(shù)措施對(duì)軟件在不同的輸入條件下所產(chǎn)生的反應(yīng)是否相同。四是基于故障注入的軟件安全檢測(cè)。故障注入的安全檢測(cè)是應(yīng)用故障分析樹與故障數(shù)的最小割集來(lái)檢測(cè)的。五是模糊測(cè)試和基于屬性的測(cè)試?;诎缀械哪:郎y(cè)試較傳統(tǒng)的模糊測(cè)試技術(shù)有很大進(jìn)步,白盒模糊檢測(cè)方法有效地結(jié)合了傳統(tǒng)的模糊測(cè)試技術(shù)和動(dòng)態(tài)測(cè)試用例檢測(cè)技術(shù)的優(yōu)點(diǎn)。六是混合檢測(cè)技術(shù)。能有效地改善靜態(tài)技術(shù)和動(dòng)態(tài)技術(shù)檢測(cè)存在的一些缺陷,從而更好地對(duì)計(jì)算機(jī)軟件的安全進(jìn)行檢測(cè)。七是基于Web服務(wù)的檢測(cè)技術(shù)。它是一種基于識(shí)別內(nèi)容的分布式Web服務(wù)器技術(shù)。具有語(yǔ)言中立、互動(dòng)操作性強(qiáng)等優(yōu)點(diǎn),能夠?qū)?fù)雜的安全檢測(cè)分解為子安全類型進(jìn)行處理,以使其可以更有效地應(yīng)對(duì)復(fù)雜的安全檢測(cè)的需要。
2軟件維護(hù)的主要類型
2.1改正性維護(hù)
改正性維護(hù)是指改正在系統(tǒng)開發(fā)階段已發(fā)生而系統(tǒng)測(cè)試階段尚未發(fā)現(xiàn)的錯(cuò)誤。這方面的維護(hù)工作量要占整個(gè)維護(hù)工作量的17%~21%。所發(fā)現(xiàn)的錯(cuò)誤有的不太重要,不影響系統(tǒng)的正常運(yùn)行,其維護(hù)工作可隨時(shí)進(jìn)行:而有的錯(cuò)誤非常重要,甚至影響整個(gè)系統(tǒng)的正常運(yùn)行,其維護(hù)工作必須制定計(jì)劃,進(jìn)行修改,并且要進(jìn)行復(fù)查和控制。
2.2適應(yīng)性維護(hù)
適應(yīng)性維護(hù)是指使用軟件適應(yīng)信息技術(shù)變化和管理需求變化而進(jìn)行的修改。這方面的維護(hù)工作量占整個(gè)維護(hù)工作量的18%~25%。由于計(jì)算機(jī)硬件價(jià)格的不斷下降,各類系統(tǒng)軟件屢出不窮,人們常常為改善系統(tǒng)硬件環(huán)境和運(yùn)行環(huán)境而產(chǎn)生系統(tǒng)更新?lián)Q代的需求;企業(yè)的外部市場(chǎng)環(huán)境和管理需求的不斷變化也使得各級(jí)管理人員不斷提出新的信息需求。這些因素都將導(dǎo)致適應(yīng)性維護(hù)工作的產(chǎn)生。進(jìn)行這方面的維護(hù)工作也要像系統(tǒng)開發(fā)一樣,有計(jì)劃、有步驟地進(jìn)行。
3提高軟件的可維護(hù)性方法
3.1建立明確的軟件質(zhì)量目標(biāo)
如果要一個(gè)可維護(hù)性的程序滿足可理解的、可靠的、可測(cè)試的、可修改的、可移植的、效率高的和可使用的7個(gè)全部的要求,要付出很大的代價(jià),甚至是不顯示的。但是可理解性和可測(cè)試性以及可理解性和可修改性是相互促進(jìn)的,而效率和可移植性以及效率和可修改性是相互抵觸的。因此,要明確軟件所追求的質(zhì)量目標(biāo)。
3.2使用先進(jìn)的軟件開發(fā)技術(shù)和工具
利用先進(jìn)的軟件開發(fā)技術(shù)能夠大大提高軟件質(zhì)量和減少軟件費(fèi)用,并且穩(wěn)定性好,容易修改、容易理解,易于測(cè)試和調(diào)試,因此可維護(hù)性好。
3.3建立明確的質(zhì)量保證
最有效的方法就是質(zhì)量保證檢查,在軟件開發(fā)的各個(gè)階段以及軟件維護(hù)中得到了廣泛的應(yīng)用。
4結(jié)束語(yǔ)
接連不斷的蠕蟲病毒使當(dāng)前安全技術(shù)和措施的有效性再次受到質(zhì)疑。盡管安全是世界上所有機(jī)構(gòu)的頭等大事之一,安全攻擊事件的數(shù)量仍然是逐年攀升,造成的危害一次比一次大。在最近的數(shù)年中,大量的投資被用于阻擊安全事件的發(fā)生,但只有少數(shù)公司確保了它們網(wǎng)絡(luò)的安全。
特別值得一提的是,為了滿足用戶和業(yè)務(wù)的需求,時(shí)刻保持競(jìng)爭(zhēng)優(yōu)勢(shì),企業(yè)不得不持續(xù)擴(kuò)張網(wǎng)絡(luò)體系。然而,很多人可能不知道,網(wǎng)絡(luò)的每一次擴(kuò)張,即便是一臺(tái)新計(jì)算機(jī)、一臺(tái)新服務(wù)器以及軟件應(yīng)用平臺(tái),都將給病毒、蠕蟲、黑客留下可乘之機(jī),為企業(yè)網(wǎng)絡(luò)帶來(lái)額外的安全風(fēng)險(xiǎn)。同時(shí),純病毒時(shí)代已經(jīng)一去不復(fù)返,幾年前占據(jù)著新聞?lì)^條的計(jì)算機(jī)病毒事件在今天看來(lái)已經(jīng)不是什么新聞,取而代之的是破壞程度呈幾何增長(zhǎng)的新型病毒。這種新型病毒被稱為混合型病毒,這種新病毒結(jié)合了傳統(tǒng)電子郵件病毒的破壞性和新型的基于網(wǎng)絡(luò)的能力,能夠快速尋找和發(fā)現(xiàn)整個(gè)企業(yè)網(wǎng)絡(luò)內(nèi)存在的安全漏洞,并進(jìn)行進(jìn)一步的破壞,如拒絕服務(wù)攻擊,拖垮服務(wù)器,攻擊計(jì)算機(jī)或系統(tǒng)的薄弱環(huán)節(jié)。在這種混合型病毒時(shí)代,單一的依靠軟件安全防護(hù)已開始不能滿足客戶的需求。
網(wǎng)絡(luò)安全不只是軟件廠商的事
今年上半年,網(wǎng)絡(luò)安全軟件及服務(wù)廠商——趨勢(shì)科技與網(wǎng)絡(luò)業(yè)界領(lǐng)導(dǎo)廠商——思科系統(tǒng)公司在北京共同宣布簽署了為企業(yè)提供綜合性病毒和蠕蟲爆發(fā)防御解決方案的合作協(xié)議。該協(xié)議進(jìn)一步擴(kuò)展了雙方此前針對(duì)思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)計(jì)劃建立的合作關(guān)系,并將實(shí)現(xiàn)思科網(wǎng)絡(luò)基礎(chǔ)設(shè)施及安全解決方案與趨勢(shì)科技防病毒技術(shù)、漏洞評(píng)估和病毒爆發(fā)防御能力的結(jié)合。
根據(jù)合作協(xié)議,思科首先將在思科IOS路由器、思科Catalyst交換機(jī)和思科安全設(shè)備中采用的思科入侵檢測(cè)系統(tǒng)(IDS)軟件中添加趨勢(shì)科技的網(wǎng)絡(luò)蠕蟲和病毒識(shí)別碼技術(shù)。此舉將為用戶提供高級(jí)的網(wǎng)絡(luò)病毒智能識(shí)別功能和附加的實(shí)時(shí)威脅防御層,以抵御各種已知和未知的網(wǎng)絡(luò)蠕蟲的攻擊。
“在抵御網(wǎng)絡(luò)蠕蟲、防止再感染、漏洞和系統(tǒng)破壞的過(guò)程中,用戶不斷遭受業(yè)務(wù)中斷的損失,這導(dǎo)致了對(duì)更成熟的威脅防御方案需求的增長(zhǎng)?!壁厔?shì)科技創(chuàng)始人兼首席執(zhí)行官?gòu)埫髡u(píng)論說(shuō),“傳統(tǒng)的方法已無(wú)法滿足雙方客戶的需求。”
“現(xiàn)在的網(wǎng)絡(luò)安全已不是單一的軟件防護(hù),而是擴(kuò)充到整個(gè)網(wǎng)絡(luò)的防治?!彼伎迫蚋笨偛枚偶覟I在接受記者采訪時(shí)表示:“路由器和交換機(jī)應(yīng)該是保護(hù)整個(gè)網(wǎng)絡(luò)安全的,如果它不安全,那它就不是路由器。從PC集成上來(lái)看,網(wǎng)絡(luò)設(shè)備應(yīng)該能自我保護(hù),甚至實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)安全的保護(hù)?!?/p>
業(yè)界專家指出,防病毒與網(wǎng)絡(luò)基礎(chǔ)設(shè)施結(jié)合,甚至融入到網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中,這是網(wǎng)絡(luò)安全的發(fā)展潮流,趨勢(shì)科技和思科此次合作引領(lǐng)了這一變革,邁出了安全發(fā)展史上里程碑式的重要一步。
“軟”+“硬”=一步好棋
如果細(xì)細(xì)品味這次合作的話,我們不難發(fā)現(xiàn)這是雙方的一步好棋,兩家公司都需要此次合作。
作為網(wǎng)絡(luò)領(lǐng)域的全球領(lǐng)導(dǎo)者,思科一直致力于推動(dòng)網(wǎng)絡(luò)安全的發(fā)展并獨(dú)具優(yōu)勢(shì)。自防御網(wǎng)絡(luò)(Self-DefendingNetwork,SDN)計(jì)劃是思科于今年3月推出的全新的安全計(jì)劃,它能大大提高網(wǎng)絡(luò)發(fā)現(xiàn)、預(yù)防和對(duì)抗安全威脅的能力。思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)計(jì)劃則是SDN計(jì)劃的重要組成部分,它和思科的其他安全技術(shù)一起構(gòu)成了SDN的全部?jī)?nèi)涵。
SDN是一個(gè)比較全面、系統(tǒng)的計(jì)劃,但是它缺乏有效的病毒防護(hù)功能。隨著網(wǎng)絡(luò)病毒的日見(jiàn)猖獗,該計(jì)劃防毒功能的欠缺日益凸顯。趨勢(shì)科技領(lǐng)先的防毒安全解決方案正是思科安全體系所亟需的。
趨勢(shì)科技作為網(wǎng)絡(luò)安全軟件及服務(wù)廠商,以卓越的前瞻和技術(shù)革新能力引領(lǐng)了從桌面防毒到網(wǎng)絡(luò)服務(wù)器和網(wǎng)關(guān)防毒的潮流。趨勢(shì)科技的主動(dòng)防御的解決方案是防毒領(lǐng)域的一大創(chuàng)新,其核心是企業(yè)安全防護(hù)戰(zhàn)略(EPS)。EPS一反過(guò)去被動(dòng)地以防毒軟件守護(hù)的方式,將主動(dòng)預(yù)防和災(zāi)后重建的兩大階段納入整個(gè)防衛(wèi)計(jì)劃當(dāng)中,并將企業(yè)安全防護(hù)策略延伸至網(wǎng)絡(luò)的各個(gè)層次。
“如果此次與思科合作的不是趨勢(shì)科技,我們恐怕連覺(jué)都睡不好?!睆埫髡膽蜓詿o(wú)不透露出趨勢(shì)科技對(duì)此次合作的迫切性和重要性。
更讓張明正高興的是,通過(guò)此次合作,趨勢(shì)科技大大擴(kuò)充了渠道?!拔覀兊那乐丿B性很小。”張明正表示。而此次“1+1<2”的低成本產(chǎn)品集成將使這次合作發(fā)揮更大的空間。
網(wǎng)絡(luò)安全路在何方?
如今,雖然業(yè)界有形形的安全解決方案,網(wǎng)絡(luò)安全的形勢(shì)卻不斷惡化。究其原因,主要是由于現(xiàn)在的網(wǎng)絡(luò)威脅形式越來(lái)越多,攻擊手段越來(lái)越復(fù)雜,呈現(xiàn)出綜合的多元化的特征。
(一)計(jì)算機(jī)軟件設(shè)施的安全問(wèn)題
計(jì)算機(jī)軟件是計(jì)算機(jī)運(yùn)行系統(tǒng)中有關(guān)程序和文檔的總稱,屬于計(jì)算機(jī)硬件設(shè)備的控制中心,可以滿足人們的各種實(shí)際需求。計(jì)算機(jī)安全從軟件方面來(lái)書,軟件開發(fā)部門開發(fā)的軟件既要滿足用于的各種需求,也要有效降低開發(fā)成本,更要避免其他軟件開發(fā)剽竊或者復(fù)制軟件,最大程度的保護(hù)自己的知識(shí)產(chǎn)權(quán)。而用戶也要求功能齊全、實(shí)用性好、保密性好、具有高性價(jià)比的軟件,尤其是軟件的安全性能,因此計(jì)算機(jī)軟件安全指的是軟件不易被剽竊和軟件自身的安全性。
(二)計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題
計(jì)算機(jī)用戶缺乏網(wǎng)絡(luò)安全意識(shí)和信息保密意識(shí),同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)還不夠完善,有一定的安全漏洞,這是引起網(wǎng)絡(luò)風(fēng)險(xiǎn)的一個(gè)主要因素,比如,Windows系統(tǒng)自身存在著一定的問(wèn)題、軟件自身攜帶的插件等,這些存在著一定的安全隱患,為不法分子提供了機(jī)會(huì),有些黑客會(huì)侵入計(jì)算機(jī)的安全系統(tǒng),甚至導(dǎo)致數(shù)據(jù)丟失或者系統(tǒng)的癱瘓。此外,計(jì)算機(jī)病毒入侵也對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全產(chǎn)生威脅。因?yàn)椴《揪哂泻芸斓膫鞑ニ俣龋灰《具M(jìn)入網(wǎng)絡(luò),既對(duì)計(jì)算機(jī)安全運(yùn)行產(chǎn)生影響,也將計(jì)算機(jī)數(shù)據(jù)破壞,極大的損害了用戶的利益。
二、計(jì)算機(jī)安全問(wèn)題的解決對(duì)策
(一)計(jì)算機(jī)硬件安全問(wèn)題的對(duì)策
當(dāng)前,人們的日常工作、學(xué)習(xí)和生活和計(jì)算機(jī)息息相關(guān),為了維持計(jì)算機(jī)更長(zhǎng)的壽命,并促使其更好的為人類服務(wù),我們?cè)谝欢ǔ潭壬弦私庥?jì)算機(jī),并且具備普通的維修常識(shí)??墒?,計(jì)算機(jī)的壽命是有限的,用戶有必要對(duì)操作流程進(jìn)行學(xué)習(xí),然后正確使用計(jì)算機(jī),如果計(jì)算機(jī)發(fā)生問(wèn)題要及時(shí)維修,避免計(jì)算機(jī)硬件遭到更嚴(yán)重的損壞。用戶熟練掌握計(jì)算機(jī)日常使用規(guī)范以及基本的維護(hù)知識(shí)可以促使用戶及時(shí)發(fā)現(xiàn)計(jì)算機(jī)安全問(wèn)題,并且提早做好預(yù)防,促使計(jì)算機(jī)更好的服務(wù)于用戶。
(二)計(jì)算機(jī)軟件設(shè)施安全問(wèn)題的對(duì)策
首先加密計(jì)算機(jī)軟件,并且確保密碼的安全性,因?yàn)橛?jì)算機(jī)軟件非常容易復(fù)制,因此計(jì)算機(jī)軟件安全防護(hù)的一個(gè)重要手段是密碼保護(hù)。而一個(gè)密碼只在一段時(shí)間內(nèi)有效,因此用戶要定期對(duì)密碼進(jìn)行更改,確保計(jì)算機(jī)軟件安全。其次,為了從源頭上確保計(jì)算機(jī)軟件的安全,就要做好它的安全設(shè)計(jì)。軟件設(shè)計(jì)人員在開發(fā)計(jì)算機(jī)軟件的過(guò)程中要全面細(xì)致考慮軟件的安全問(wèn)題,比如從軟件用途方面來(lái)說(shuō),就要對(duì)用途肯能帶來(lái)的風(fēng)險(xiǎn)進(jìn)行考慮,并且提前制定應(yīng)對(duì)措施;在開發(fā)完軟件之后要全方位檢測(cè)軟件,及時(shí)修補(bǔ)檢測(cè)出來(lái)的漏洞,并且提高檢測(cè)次數(shù),最大程度的避免軟件漏洞。而用戶在使用軟件的過(guò)程中如果發(fā)現(xiàn)問(wèn)題就要及時(shí)解決問(wèn)題,并應(yīng)用合理措施實(shí)施修補(bǔ),確保安全運(yùn)行軟件,避免不必要的風(fēng)險(xiǎn)。
(三)計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題的對(duì)策
計(jì)算機(jī)病毒主要通過(guò)網(wǎng)絡(luò)以及硬件傳播,所以要定期升級(jí)計(jì)算機(jī)軟件,應(yīng)用最新的版本,確保計(jì)算機(jī)軟件具有較少的漏洞。此外也要及時(shí)更新瀏覽器的版本,確保網(wǎng)頁(yè)瀏覽的安全性。在瀏覽網(wǎng)頁(yè)時(shí)盡量不要瀏覽不合常規(guī)的網(wǎng)站,不安裝不合常規(guī)的軟件,確保瀏覽的安全性。
三、結(jié)語(yǔ)
1計(jì)算機(jī)軟件存在的安全漏洞
隨著我國(guó)經(jīng)濟(jì)的不斷發(fā)展,科技技術(shù)有了很大進(jìn)步,互聯(lián)網(wǎng)中的信息系統(tǒng)使用范圍不斷擴(kuò)大,在各個(gè)領(lǐng)域發(fā)揮著不可取代的作用。由于計(jì)算機(jī)軟件中有很多的安全漏洞,因此很大程度上信息系統(tǒng)就產(chǎn)生了一定的安全隱患。軟件中的漏洞會(huì)對(duì)信息系統(tǒng)造成非常大的威脅,這就需要對(duì)計(jì)算機(jī)軟件中的安全漏洞進(jìn)行必要檢測(cè),安全漏洞檢測(cè)是現(xiàn)代信息系統(tǒng)安全運(yùn)行中非常重要的課題。計(jì)算機(jī)軟件漏洞是指計(jì)算機(jī)系統(tǒng)在編程時(shí)出現(xiàn)的錯(cuò)誤導(dǎo)致的缺點(diǎn),這些缺點(diǎn)非常容易使計(jì)算機(jī)軟件產(chǎn)生一些安全隱患和計(jì)算機(jī)自身的危險(xiǎn),計(jì)算機(jī)系統(tǒng)對(duì)有惡意的網(wǎng)絡(luò)信息有非常高的敏感性,極容易出現(xiàn)對(duì)系統(tǒng)攻擊行為。之所以出現(xiàn)這種情況,主要原因是在軟件開發(fā)和研制過(guò)程出現(xiàn)的一些問(wèn)題。漏洞主要有兩種:安全性漏洞和功能性漏洞。安全性漏洞指的是在大多情況下漏洞不會(huì)影響計(jì)算機(jī)的正常運(yùn)行,如果漏洞被黑客發(fā)現(xiàn),軟件運(yùn)行時(shí)就會(huì)出現(xiàn)錯(cuò)誤,嚴(yán)重者計(jì)算機(jī)會(huì)執(zhí)行錯(cuò)誤的命令,有很大的危害性。功能性的漏洞是指漏洞能夠影響計(jì)算機(jī)正常運(yùn)行,比如運(yùn)行結(jié)果錯(cuò)誤等等。漏洞特性主要表現(xiàn)在四個(gè)方面:1系統(tǒng)編程時(shí)由于編制人員的疏忽很容易出現(xiàn)邏輯性的錯(cuò)誤,這種由于疏忽出現(xiàn)的錯(cuò)誤很多是疏忽大意所致。2計(jì)算機(jī)在運(yùn)行任務(wù)時(shí)很容易產(chǎn)生邏輯性錯(cuò)誤,不同大小之間的程序模塊相比可以看出邏輯性錯(cuò)誤的發(fā)生率很高。3漏洞和軟件環(huán)境有很大關(guān)系。4系統(tǒng)漏洞和時(shí)間也存在一定的聯(lián)系,隨著時(shí)間的延長(zhǎng),舊漏洞被修復(fù)但是也會(huì)產(chǎn)生新的安全漏洞。
2計(jì)算機(jī)軟件安全漏洞的各項(xiàng)檢測(cè)技術(shù)及應(yīng)用
2.1安全靜態(tài)檢測(cè)
計(jì)算機(jī)軟件安全靜態(tài)檢測(cè),注重的是系統(tǒng)內(nèi)部特性,靜態(tài)檢測(cè)和漏洞兩者之間有共同的特點(diǎn),這些特點(diǎn)之間也有很大的關(guān)聯(lián)。目前漏洞的劃分方法主要有安全性漏洞和內(nèi)存性的漏洞。安全性漏洞對(duì)數(shù)據(jù)流的誤差比較注重,很大程度上由于錯(cuò)誤的內(nèi)存形態(tài)而形成的;內(nèi)存性漏洞對(duì)數(shù)據(jù)的準(zhǔn)確性和類別有很大的注重性。因此,這種漏洞主要的檢測(cè)技術(shù)方法就是在內(nèi)部存儲(chǔ)空間進(jìn)行建模。因?yàn)殪o態(tài)檢測(cè)方法之間有很大的不同之處,漏洞的處理也有很大的不同之處。所以,一些監(jiān)測(cè)技術(shù)只能對(duì)漏洞進(jìn)行必要的檢測(cè),但是一些方法在此基礎(chǔ)上還能夠?qū)β┒催M(jìn)行很好的處理。安全靜態(tài)檢測(cè)方法主要是對(duì)程序的代碼進(jìn)行掃描,對(duì)其中的關(guān)鍵句進(jìn)行詳細(xì)分析,然后根據(jù)設(shè)置的漏洞特性和標(biāo)準(zhǔn)對(duì)系統(tǒng)進(jìn)行全面檢測(cè)。分析關(guān)鍵語(yǔ)法是最早的靜態(tài)分析法,它在分析時(shí)只對(duì)語(yǔ)法進(jìn)行檢查,把系統(tǒng)中的程序分為不同段落語(yǔ)句和數(shù)據(jù)庫(kù)相互對(duì)比,如果發(fā)現(xiàn)有疑問(wèn),對(duì)其進(jìn)行仔細(xì)的判斷,從而進(jìn)行檢測(cè);另一種檢測(cè)方法就是按照標(biāo)準(zhǔn)進(jìn)行檢測(cè)。由于系統(tǒng)自身就是編程的標(biāo)準(zhǔn),根據(jù)標(biāo)準(zhǔn)對(duì)計(jì)算機(jī)程序進(jìn)行描述,可以通過(guò)語(yǔ)法對(duì)其進(jìn)行描述,最后對(duì)系統(tǒng)進(jìn)行整體檢測(cè)。
2.2安全動(dòng)態(tài)檢測(cè)
2.2.1內(nèi)存映射很多攻擊者在對(duì)軟件進(jìn)行破壞時(shí)為了達(dá)到目的,會(huì)經(jīng)常用到“NULL”結(jié)尾的字符串進(jìn)行內(nèi)存覆蓋。采用代碼頁(yè)映射技術(shù),攻擊者能夠利用“NULL”結(jié)尾字符串進(jìn)行內(nèi)存覆蓋。
2.2.2非執(zhí)行棧目前,出現(xiàn)了一些棧攻擊軟件的問(wèn)題,主要原因是系統(tǒng)中棧的執(zhí)行能力,由于棧內(nèi)包含了所有數(shù)組變量,所以,攻擊者通過(guò)向棧中書寫一些惡意代碼,再進(jìn)行代碼執(zhí)行。預(yù)防這種攻擊方法最為有效的方法是打破棧的執(zhí)行力,使代碼不能夠進(jìn)行執(zhí)行任務(wù)。2.2.3安全共享庫(kù)有些計(jì)算機(jī)中的安全漏洞主要是使用了不安全的共享庫(kù)所致。安全共享庫(kù)很大程度上可以預(yù)防惡意攻擊行為。安全共享庫(kù)有攔截和檢測(cè)功能,主要是指使用動(dòng)態(tài)鏈接方式進(jìn)行程序運(yùn)行,把不安全函數(shù)進(jìn)行攔截和檢測(cè),最大程度上保護(hù)軟件的安全。
2.3計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)的應(yīng)用
安全漏洞檢測(cè)技術(shù)直接關(guān)系到計(jì)算機(jī)的安全應(yīng)用,其中在計(jì)算機(jī)軟件安全漏洞檢測(cè)中,其各項(xiàng)技術(shù)的應(yīng)用主要集中在:第一,防止競(jìng)爭(zhēng)條件安全漏洞應(yīng)用。這種漏洞的應(yīng)用一般是采用原子化處理競(jìng)爭(zhēng)編碼,這種編碼有鎖定功能,原子化操作進(jìn)入鎖定狀態(tài),詳細(xì)的描述使用文件,很大程度上預(yù)防由于使用文件的變動(dòng)使系統(tǒng)產(chǎn)生漏洞。第二,緩沖區(qū)安全漏洞檢測(cè)技術(shù)應(yīng)用。緩沖區(qū)安全漏洞檢測(cè)主要是對(duì)軟件程序中的一些疑問(wèn)函數(shù)進(jìn)行詳細(xì)檢測(cè)來(lái)預(yù)防緩沖區(qū)安全漏洞。第三,隨機(jī)漏洞預(yù)防應(yīng)用。對(duì)于隨機(jī)漏洞的檢測(cè)和預(yù)防需要用到性能良好隨機(jī)發(fā)生設(shè)備,這種設(shè)備能夠準(zhǔn)確的對(duì)隨機(jī)漏洞進(jìn)行預(yù)防,其中最主要的原因就是該設(shè)備有密碼算法。第四,格式化字符串漏洞檢測(cè)技術(shù)應(yīng)用。這種檢測(cè)技術(shù)的應(yīng)用一般是在代碼中使用格式常量。
3結(jié)語(yǔ)