软件安全与网络安全论文

摘要：档案的安全及保护工作，是实现档案事业可持续发展的重要环节。本文就当下档案安全及保护中面临的问题，从意识、制度、技术等多个层面探讨档案安全及保护的对策，以供参考。下面是小编精心推荐的《软件安全与网络安全论文(精选3篇)》，欢迎大家借鉴与参考，希望对大家有所帮助！

软件安全与网络安全论文 篇1：

“信息安全技术”实践环节教学探索

摘要：在当今的社会信息和互联网技术是计算机发展的重要方向。大数据时代的来临是必然的，所以信息的安全技术也是配合大数据时代的重要计算机技术。信息安全技术是计算机专业的重要课程，以前的教学主要是针对理论教学。由于专业需要，安全技术的实践环节比例也提高了。如何在合理的分配实践教学，设计实践教学，是实践教学改革中的重要环节。

关键词：信息安全技术；实践教学；教学改革

一、引言

信息与网络安全是当今计算机研究领域的一个重要研究方向，随着信息技术的发展，特别是互联网的迅速普及和广泛应用，信息安全的地位越来越重要，已经引起各政府、企业部门的高度重视。目前，我国在信息安全技术方面的起点还较低，国内只有少数高等院校开设信息安全技术专业，信息安全技术人才奇缺。特别是在政府机关、国家安全、银行、金融、证券等部门和领域，对信息安全人才的需求量更是惊人。因此信息安全变得至关重要，信息安全已成为信息科学的热点课题。因此信息安全技术的专业人才培养在高校计算机专业中的重要性日益凸显。

从市场需求来看，需要大量的熟悉信息安全产品销售、推广、安装、维护与用户培训的信息安全人才，也需要从事网络安全管理、保证企业网络安全运行的信息安全人才，还需要能够迅速排除或解决网络故障的信息安全人才。由此而论，信息安全专业的市场需求是潜力无限的。我院信息安全技术专业自开设以来，就以培养技能型安全技术应用人才为目标，经过专家委员会指导，结合社会市场调研，制定培养计划和教学计划，力求让培养体系达到科学合理。

我校作为应用型本科人才的培养基地，在计算机本科各专业中逐渐开设了“信息安全技术”课程，其中有课内实践环节。早在教育部教高[2001]4号文件中就明确提出“实践教学对于提高学生的综合素质、培养学生的创新精神与实践能力具有特殊作用。”。基于目前的课程设置，对“信息安全技术”课程中实践教学环节的教学研究和改革任务非常迫切。

信息安全技术课程是“软件工程”专业和“计算机科学与技术”专业分别在大学三年级上学期和下学期开设的专业必修课。课程的目的与任务是使学生了解信息与网络安全的基本知识，理解现代主流的信息加密与解密方法，掌握当前常用的信息与网络安全技术。由于信息安全技术是一门实践性较强的课程，如果仅仅通过书本内容，没有动手操作，学生是不可能深入地掌握信息安全的常用技术。因此如何合理安排有限的实验课时，如何编写合适的实验项目指导是实践教学环节中的重要任务。

二、实践方案设计

在确定软件工程专业为卓越计划试点专业后，软件工程专业的培养计划进行了较大调整，特别是“信息安全技术”课程结合“卓越工程师”培养目标，减少了理论课时数，而实践环节从无到有，总学时数减至40，其中实践环节课时数为8。依据此调整，向卓越班开设的“信息安全技术”课程需要重新组织，而其中新增加的仅8个学时实践课，如何与理论课结合，创新地进行实践设计和编写实验项目指导，的确需要深入细致的探讨和设计。

首先，由于课程开设时间短，课时数有限，要想将信息安全技术的全部知识都灌输给学生，是不可能的任务。教师的第一要务是授之以渔，而不是授之以鱼。计算机专业的日新月异是大家面对的常态，今天教会学生某种程序语言，可能过几年后早已被淘汰。因此在设计实验方案时，不能过于注重具体的某种软件环境，而应该关注教给学生设计思路和方法，具体实现和执行可以有多种表现形式。

其次，在设计实践方案时，参考和借鉴了国内外同行们的教学理念，基于教与学是一个双方互动的过程，在实验方案的设计中采用了“任务驱动模式”，在实验项目中安排一些需要学生思考或者课后完成的任务。这也是对学生实践进行考评的重要依据。在测评学生实践成绩时，不是简单地看实验报告或结果，而是注重实验过程和学生自己查找问题、解决问题的创新能力。

第三，实践教学中要充分发挥学生的主观能动性。编写实验项目时不能只有規定好的步骤和参数，学生简单地重复实验指导的内容。这样的弊端是学生做完后容易遗忘。因此实验项目的编写要有创新性，不再是从实验数据到实验结果都与老师做的一模一样的“死的实验”，而是每个学生可能有不同答案的实验。由于结果是未知的，学生更能兴致盎然地投入其中。在实验中还可以安排一些学生可能感兴趣的选做内容，以便自己去研究探索。

三、实验项目实现

在新的指导思想下，创新地设计了六个实验项目，包含了必做实验和选做实验，学生可以根据自己的兴趣方向和实践能力选择完成4个实验项目。实验项目具体内容在新编写的实验指导书中描述，下表是新建实验项目简介。

由于课程的理论基础是不变的，在理论课时中已介绍了目前常用的加密和解密方法，体现在实验中分别是古典加密算法实验和现代加密算法实验。在古典加密算法实验中选取了相对较易编程实现的凯撒密码，给出了加密和解密公式，并且有关键实现语句的提示，这样学生在编程实现时比较容易完成。在思考任务中，要求学生扩展思路，改变密钥关键值，从而得出不一样的密文，使得算法更具有扩充性。学生可以用不同的流程图和编程语言，只要有正确的算法思想，无论什么样的软件开发环境，都可以加以实现，也体现出了更具个体化的教学特点。

现代加密算法实验由于算法复杂，加密过程庞大，学生较难独立编程完成，因此在授课时采取了简化的DES算法（Simple-DES）讲解和作业，讲清算法原理，在加密步骤中用S-DES让学生完成作业。实验项目中选取了非对称加密体制的RSA算法，学生只要掌握了加密原理，可以采用较简单的可分解小素数来编程实现加密和解密过程。在实验中还增加了让学生自行查找如何判断大素数的算法任务，学生可能会找到不同的检验算法，这也是实践成绩评价的重要组成部分。

“信息安全技术”课程内容广泛，既涵盖基础密码理论，还有当前与每个人息息相关的计算机安全。这部分内容又包含着计算机系统安全、网络安全、软件安全、Web安全等等丰富的内涵，在有限的课时内不可能全部讲深讲透。因此在介绍理论知识之后，实践内容中安排了系统安全实验和Web安全实验，这2部分内容可以让学生根据每个人对计算机操作系统和软件的熟悉程度，自行选做部分实验，体现出因材施教的特点。

随着计算机网络和网上购物的普及，网络安全问题被越来越多地重视。因此在设计实践方案时，将网络安全实验和网上支付作为必做实验，帮助学生了解常用的网络服务工具，掌握基本的网络安全技能，培养课后对网络安全的重视和研究。现在基本上学生都有接触网络的条件，但是很多人还没有建立网络安全的意识，在上网时面临着巨大的风险。实验项目中选择常见网络问题，常用网络工具，来帮助学生掌握网络安全基础知识。在实践教学中我们欣喜地看到，学生的潜力是无穷的，当他们喜欢钻研某件事，某个问题时，不需要老师太多的帮助，学生会废寝忘食地研究，激发出巨大的潜能。在以往的教学和实践中，我们已经看到了这样的成果。这也是在“信息安全技术”实践教学中探索的重要课题。教育的目的是通过教学的过程去唤醒受教育者的内力，而不是灌输无尽的知识。只有当学生主动地“我想要知道它”時，而不是老师主动地“我要你知道它”时，才是回归教育的本源。

四、结束语

相对于其他课程，“信息安全技术”实际上是综合性极强的一门计算机技术，课程内容也极为丰富。此次通过增加实践教学环节，迈出了改革和探索的第一步。设想今后能否增加“信息安全技术”的课程实践环节，要求学生在学习了理论和实践知识后，分组为自己的宿舍或者校园机房设计一套综合安全防御体系，提交的课程设计结果可以有多种方案，只要能利用所学知识，将加密算法、访问控制、入侵检测、病毒防范等技术应用到信息安全的不同层次。这样对于提高学生的创新能力和动手实践能力，提高实践教学效果无疑有着极大的益处。

参考文献：

[1]杨辉.浅谈信息安全技术在互联网中的运用[J].计算机光盘软件与应用，2012，（05）

[2]周卫民.网络信息安全技术综述[J].甘肃科技，2009，（17）

[3]杜少霞，李社锋.公共信息网络安全管理模式研究[J].深图通讯，2007，（03）.

[4]刘晔.企业网络信息安全研究[J].中国科技信息，2006，（20）.

[5]张波.浅谈电子商务网络信息安全关键技术[J].科技资讯，2010，（13）.

作者：张成姝 林捷 于万钧

软件安全与网络安全论文 篇2：

档案安全及保护中存在的问题及对策分析

摘要：档案的安全及保护工作，是实现档案事业可持续发展的重要环节。本文就当下档案安全及保护中面临的问题，从意识、制度、技术等多个层面探讨档案安全及保护的对策，以供参考。

关键词：档案安全;安全保护;问题;对策

引言

随着数字化时代的到来，计算机技术及网络技术等快速发展，使得档案的形式和属性有了较大的变化。显然，传统的档案安全管理方式难以满足当前档案事业发展的需求，尤其是在数字化环境下，大量的电子档案出现，其安全问题更加突出，所以需要高度重视档案的安全保护，应及时转变落后的管理观念和管理模式，提升对档案安全保护的重视程度，实现对档案的有效保护，从而保障档案事业的稳定发展。

1、档案安全及保护中面临的问题

1.1  档案形成基础较差

在影响档案寿命的要素中，档案载体材料和记录材料是关键所在。以往对于文書资料的记载，主要是通过纸张来完成，但受到纸张制作工艺差异的影响，纸质的质量也呈现出差异化，虽然纸质档案可保存很长的时间，但在实际的保管过程中，可能会表现出颜色发黄、容易断裂破碎等问题。而相比纸质档案，电子档案寿命更短，主要受录音、录像、光盘等介质质量不高的影响，加之计算机软件不断更新和网络系统不稳定，使得电子档案信息存有较多安全隐患。

1.2  档案保管条件达不到要求

由于受到经济方面的条件限制，一些部门未能按照标准化进行档案库房的建设，使得档案得不到可靠的安全保护，比如在库存温度控制方面，有的档案部门未能将库房温度控制在合理的范围内容;有的库存配置了灭火设备，但配置水平低，缺乏针对档案专用的灭火器材;库房中火灾报警和灭火系统设计不合理等。另外，不同地域气候条件不同，尤其是南北方地区的气候差异，在夏季南方地区的下雨天、高温高湿天气较多，这容易对档案的耐久性产生影响，而北方地区在夏季时，主要表现为高温、高湿，也容易出现发霉、虫蛀等问题，同时北方地区在冬季时天气较为寒冷、干燥，这也会使得档案变得脆化。而有的单位在这些方面防护不足，严重危及档案的安全。

1.3  突发应急预案缺失

突发事件具有不可预测性，包括自然灾害和人为事件，一旦发生突发事件，造成的损失是非常大的。依据《档案工作突发事件应急管理办法》，要求各单位结合自身库存实际制定细则，但在实际执行中存在不到位的问题。有的单位应急预案缺失，有的单位虽然制定了应急预案，但是内容简单，未能结合自身情况制定针对性的应对细则，更多是照搬照抄，以致于在发生突发事件时，不知所措。

1.4  制度保障不足

目前还尚未形成一套专门的档案信息安全保证的法律法规体系，更多是通过通用的档案法规来为档案信息安全工作提供依据，缺乏对档案信息强有力的法律保护，导致档案被恶意攻击、窃取等问题频频发生。另外，还存在有的部门重视档案开放利用忽视档案安全保护的问题，从而缺乏有效、可操作性的档案安全保护管理制度，导致档案安全保护工作难以顺利进行。即便有的单位制定了档案安全保护管理制度，但制度内容表面化、与实际情况不贴合，形同虚设。

1.5  专业性、技术性问题突出

人是档案安全保护工作开展的主体，起到决定性作用。但目前从事档案保护工作的人员主要是档案工作者，他们具备一定的档案安全管理知识，其中有一部分接受过技术培训，有的是在工作中自学掌握，但由于未经过系统化的培训，难以胜任当前档案安全保护工作。另外，受到经费的影响，一些先进的档案保护技术和设备难以推广运用到实际工作中，使得档案的安全问题仍然较突出。

2、档案安全及保护的策略

2.1  区分不同的载体材料，分类保管

在档案安全及保护工作中，应在区分不同的载体材料的基础上，分类做好纸质档案与电子档案的保管工作。

在纸质档案方面，对其发生水解和氧化条件加以控制，预防纸质纤维水解和氧化。同时也要注重档案库房标准化建设，充分利用先进的技术和设备，实现对档案库房的规范化管理。另外，也要做好档案库房的“八防”工作，如要做档案库房的放盗工作，应在库房建设时注重防盗门窗的安装;光照方面，需要在库房窗户上安装窗帘，避免档案被阳光直接照射，且库房中所安装的照明装置，建议以白炽灯为宜，避免对档案纸质造成不利影响;在库房温度湿度控制上，可通过洒冷水、自然通风、机械通风等方式降低温度，同时配备去湿机和放置吸潮剂，避免库房湿度过大;在防火方面，需要将库房周围一切火源迹象灭除，并严令禁止在库房中吸烟，配备完善的防火灭火器材和制定完善的防火制度;档案柜架需放置防虫药，以防虫害破坏档案等。

对于电子档案的安全防护，首先需要从其存储环境方面着手，应做好磁盘、光盘等储存媒介的保护工作，避免这些储存媒介受到强光、磁场、温度等因素的干扰。同时做好档案系统的保护工作，可利用数字签名、防火墙系统、访问权限控制等方式，形成有力的档案信息安全监测系统，对档案系统进行有效的保护，以防出现系统被恶意攻击、非法入侵。另外，也要及时对存储设备补丁进行更新形成从档案收集到利用全过程的安全防护系统，做好档案数据资料的备份工作。同时也要建立专门的电子档案查阅和利用制度，制定严格审批程序，实现有效的保护。

2.2  完善突发应急预案

档案部门应针对可能出现的紧急情况，编制各种应急预案，同时也要结合自身实际制定完善应对细则。积极寻求政府部门的帮助，并通过合作的方式组织开展各种防火、防盗的演习，提升风险抵御和应急处理能力。

2.3  建立健全法律法规及制度体系

在现有的《档案法》基础上，对不适应的规章制度进行修订、完善，为档案安全保护工作提供依据。针对数字档案方面的安全保护，可借鉴国外一些国家或单位在数字档案安全保护上的成功的经验，并立足于自身实际情况基础上，对相关政策法规及逆行完善，提高政策的执行力度和可行性。档案部门需要建立完善的档案安全保护制度，并确保制度建设的规范化，可系统学习和吸收上级部门出台的档案安全管理相关制度，然后立足于自身实际需求和特点基础上，形成可行性高的档案安全管理制度，实现对档案管理各个环节工作的有效防护，尤其是在档案归档环节，制定严格的档案归档流程，采取有效的风险管控措施，定期对档案的存储环境进行综合评估，化被动保护为主动保护。

2.4  加强专业化队伍建设

加强档案安全及保护，有必要建设一支档案信息安全队伍，专门负责档案实体安全和信息安全。在实际工作中，档案人员除了要做好“八防”工作以外，也要定期对馆藏档案质量和信息安全进行评估，一旦发现问题，及时采取措施处理。档案部门要落实岗位责任制，明确档案人员的档案安全管理责任。同时做好档案人员的培训工作，定期对从事档案管理的人员进行培训，增强其档案安全意识和做好安全工作的责任心，提升其档案管理技术水平，从而为档案安全保护提供有力的人才支持。

2.5  建立档案信息安全技术保障体系

在数字化环境下，各部门应加快档案数字化建设的进程，做好纸质档案向电子档案转变的衔接工作，从而最大化发挥档案的价值。同时，对于档案的安全及保护，加大财力、物力、人力方面的投入力度，并加强不同档案保护部门间的合作，发挥聚集效应，促使档案安全保护工作有效开展。除此之外，应注重系统安全技术的运用，档案从收集、管理、保存到使用整个过程都需要安全技术支持，主要体现在软件安全、网络安全和数据安全三个方面，在软件安全方面，需要重点关注系统软件安全和应用系统软件安全，应加强软件开发、安装、加密、安全检测等技术的研发和应用;在网络安全方面，主要是针对网络系统中的软件和网络数据进行安全保护，需要不断完善网络结构，做好物理隔离、网络监控等工作;在数据安全方面，积极采用数据加密、数据安全存储、数据备份及恢复、运数据安全等技术，提升档案管理水平。

2.6  加大宣传，增强全民保护意识

档案安全及保护工作，不仅是档案部门的事情，也需要社会各界积极参与其中，以实现对档案更好的保护，从而保障我国档案事业的稳健发展。政府部门需要发挥示范、领导作用，落实领导责任制的同时，将档案完整性、安全性作为重要的考核指标进行。同时加大社会的宣传力度，可通过制定有关档案安全保护的手册或举办有关的专题展览，也可充分利用大众传媒手段，向社会各界灌输档案安全保护的理念。另外，加強与博物馆、图书馆等机构的合作，共同致力于文化遗产保护意识的提高，增强全民的保护意识。

结语：

在数字化时代背景下，档案安全管理中机遇和挑战并存，档案部门既要抓住机遇，利用先进的技术和设备，做好档案在收集、保管、利用等环节的安全防范工作，同时也要针对现有的安全管理问题，采取有效的措施加以完善，形成长效、动态的档案安全管理机制体系，实现对档案的有效保护。

参考文献：

[1]毕凤娜.档案安全之我见[J].山东档案，2020（04）：31-32.

[2]马娟娟.浅谈档案安全保护工作[J].机电兵船档案，2019（06）：52-54.

[3]档案安全管理对策探析[J]. 马荣.  中国市场. 2018（11）

作者：王乾懿

软件安全与网络安全论文 篇3：

刍议计算机软件安全检测技术的应用

摘要：随着计算机技术和网络技术的快速发展，计算机软件也日趋复杂，软件是计算机重要的核心内容，是保证计算机安全和通信安全的基础，对计算机安全运行和日常维护具有重要的意义，而编写计算机软件和检测是防止计算机安全漏洞的重要的对策，下面我们就详细进行分析计算机软件安全检测技术及其应用。

关键词：计算机软件；安全检测技术；应用

随着计算机技术和互联网的快速发展，用户对于软件的需求也日渐复杂，软件中会存在难以发现的漏洞，只有确保软件的安全才能保证计算机通信、信息安全，否则即便防火墙、杀毒软件、入侵检测等再强大，若软件自身存在安全隐患，也无法提升整体安全性能[1]。计算机软件安全检测的目的主要是为了防止由于软件漏洞对计算机造成安全威胁，对计算机软件安全检测技术的研究及应用对保证计算机软件安全具有重要的作用和价值。

1 软件安全漏洞概述

软件安全漏洞即可能引发安全问题的软件中的代码。漏洞通常有以下信息披露地方。（1）Bugtraq。这是一项邮件列表服务，是专门针对安全性问题存在的邮件讨论列表。很多软件漏洞首先在这里被披露，它是重要的安全入侵新闻来源。（2）PISKS Digest。它同样是一个邮件列表服务，包括安全性、保密性、可靠性等，有很高的技术含量，是目前已经发表的计算机软件安全研究圈内，有效攻击首选地方之一。目前计算机软件安全漏洞常常被忽略主要有以下几点：（1）Zgeronimo2.0 这个安全漏洞主要是让远程攻击者能够绕过身份识别而在计算机软件中插入恶意代码或者访问的权限。（2）LIBTIFF开源软件库，其主要是为了读写标签图像文件格式的文件。（3）ZLIB主要是指用于数据压缩的软件库，计算机软件漏洞主要是通过一个不完整的代码进行解释长度大于1的代码造成的安全漏洞。（4）Net—SNMP，是指安全漏洞存在Net中或者存在SNMP中的协议文件里。在计算机软件系统中当“master agents”模式运行NET_SNMP时，软件可以让攻击者通过引起一个特征的TCP的连接中断达到拒绝服务的攻击，最终造成计算机系统崩溃的现象。（5）Jboss应用服务器主要是应用在服务器3.2.4至4.05版的“DeploymentFileRepository”类中的目录遍历的安全漏洞。

2 软件中存在的安全漏洞及缺陷

计算机软件安全是一个非常复杂的系统，其主要是通过计算机系统的完整性、保密性以及可靠性实现计算机软件的安全可靠。但是计算机软件运行的过程中，由于计算机或者软件自身的缺陷或者操作配置失误等因素造成计算机软件从操作系统到应用程序，从通信基础设施到网络的应用服务以及从系统的配置和管理到用户操作层面等诸多的方面都存在安全因素。

目前多采用C语言或C++编写协议通信软件，软件的安全漏洞潜在程序源代码中，可以引发编程遗漏或错误。软件安全漏洞主要有：（1）缓冲区溢出。这种软件漏洞主要是在程序的缓冲区写超出长度的内容，进而造成缓冲区溢出，最终造成的最直接结果是导致堆栈被摧毁，使得任意数据都能引起目标程序彻底崩溃；缓冲区溢出是一种非常普通而且危险的漏洞，其在计算机软件和操作系统中广泛存在，缓冲区溢出很容易造成程序运行失败、系统宕机、重新启动等后果的发生，利用它执行非常授权的指令，进而造成计算机软件漏洞的产生。（2）竞争条件。这是一项经常出现的软件BUG，其相对于缓冲区溢出漏洞来说，其更加难解决，造成这种漏洞发生的原因主要是由于每一个用户登录网站后，函数就会出现被调用的现象，进而会造成竞争条件的值增加，最终到时竞争条件问题的发生，如果在操作的多进程多任务系统里面出现这种现象，将会造成死锁等严重的后果；（3）格式化字符串。格式化字符串是程序函数中一个相对比较特殊的字符串的参数。此漏洞是一项微妙的程序代码缺陷，它可以将重要的信息显示出来，还能将指定数据写入进程的内存空间里；进而对系统造成危害（4）随机数。在Netscape中就存在有随机数的现象，其采用一种不好的方法给伪随机数进行播种，其种子主要是有进行ID和机器时间等决定的，造成攻击者和被攻击者使用同一机器，从而造成系统密码的破解，最终造成系统安全问题的发生。并且随机数它能够生成序列号及密钥。也是软件安全漏洞的重要组成部分。

3 计算机软件安全检测技术方法

3.1 计算机软件安全监测步骤

通常，计算机软件有一定数量的子系统组成的软件规模比较大，并且不同的子系统中有若干的模块组成。计算机软件安全检测主要是为了确定软件预期设计和软件具有的安全实现是否一致的检测过程，其中软件检测过程主要包括功能测试、渗透测试和验证测试等。计算机软件安全检测程序主要是将通过有效性的检测软件与计算机硬件、数据以及辅助软件等元素结合起来的测试过程[4]。计算机软件安全监测步骤如下：先进行单元（即模块）测试，从软件设计最小单位开始实施安全检测，能将各模块中的缺陷问题一一找出，并解决。然后根据程序设计的要求对计算机软件中所有的模块组装成系统，并检测软件体系结构的安全性，接着对各个模块实施有效性的测试，从而确定计算机软件是否与用户需求相符。最后是对计算机软件的系统进行测试。如下图所示为计算机软件安全检测的静态分析技术的过程，首先输入源代码，构成一个表示所要分析的模型，然后结合安全知识对模型进行分析，最后输出检测的结果。

3.2 计算机软件安全检测方法

（1）形式化安全检测。这种方式需要先建立软件的数学模型，以模型说明提供语言支持的形式化规格。基于模型的语言、基于行为的语言及基于有限状态的语言是常用的形式规格语言[5]。

（2）模型的安全功能测试。这种方法主要是针对计算机软件的结构和行为，以建立模型方式生成具有安全测试功能的模型，基于模型基础生成检测用例，进而对计算机软件实施安全监测。基于模型的有限状态机是目前常用的模型安全功能测试方式。

（3）语法测试。语法测试是一种基于语法对检测软件功能接口的语法生成软件进行输入测试的技术，语法测试技如果输入条件不同，则将会产生不同类型的反应，其主要应用在对计算机软件源程序中有错误或者危险的C语言库函数和系统调用中。计算机软件的功能接口语言，能够生成软件测试输入，并检测各种语言输入计算机后的反映情况，这种方式能够有效识别计算机软件接口处语言，并对语言的语法进行定义，实现软件安全检测。

（4）模糊测试。目前模糊测试大多基于白盒安全测试，是传统模糊测试技术的进一步发展，能够与传统模糊测试技术有机结合，实现计算机软件安全的有效检测。

3.3 动态检测技术与静态检测技术

动态检测技术：主要为了确保目标程序源码不会发生改动，维持二进制代码原样。利用对程序执行过程中的漏洞状况进行判定，确定计算机软件的安全状态。动态监测主要有以下措施：（1）非执行栈技术，以有效禁止执行代码能力的方式抵抗攻击者；（2）非执行堆与数据技术。起到阻碍软件继续执行的作用，使恶意代码失去执行途径；（3）内存映射技术。结合代码页拦截攻击者的非法操作；（4）安全的共享库技术。依赖动态链接技术，阻止不安全函数的运行；（5）沙箱技术。利用控制某项进程访问的资源实现防范恶意攻击的目的；（6）程序解释技术。对正在运行的程序进行检查，维护系统的运行。

静态检测技术：主要是通过程序分析技术深入分析二进制代码。需要计算机操作人员做好相应工作。静态检测技术主要为：（1）词法检测技术。限用于对程序源代码中存在不稳定因素的C库函数的检测以及系统的调用；（2）程序评注技术。对各种语言注释说明，以此加深静态研究，确定内部存在的漏洞；（3）类型推断技术，通过对应修饰方式对数据信息等进行安全束缚；（4）约束解算器技术[6]。直接约束目标程序的特定属性建模，结合静态分析解算实行二次约束，防止安慰威胁产生；（5）元编译技术。元编译技术主要是利用编译器的简单技术，这种技术的误报率低，并且这种技术对于语言特性的扩展不会更新。在计算机软件安全检测中元编译技术主要是将计算机程序的安全属性看做是轻量级的编译器进行扩展，并根据扩展的内容建立相应的模型实现计算机软件安全检测。利用此技术能够自动判断代码安全属性，同时编写编译扩展；（6）变异语言技术。变异语言技术主要是通过对指针算术运算和不安全类型的转换，setjmp/longjmp等不安全的操作进行限制，其中安全编程变异技术一般都采用C语言或C++，实现类型转换、标志转换、算术运算等过程的安全操作。由于静态检测对软件的二进制代码和源代码进行检测，因此采用静态检测的错误越多，则编写的程序就越可靠。

3.4 web服务器技术的应用

随着科学技术的快速发展，web技术的广泛应用，一种基于web服务的分布式软件安全性能检测技术也逐步发展起来，其主要是基于识别内容的分布是web服务器技术，这种技术的特点有好互操作性强、松散耦合、语言中立和平台无关等，在计算机软件安全检测中使用这种技能够将复杂的安全功能分解成不同的安全处理类型，以方便采用故障注入机制实现错误的soap消息以达到支持异常测试[7]。通过实验研究表明，将web服务器技术应用到计算机软件安全检测中不仅具有先进性、高效性以及灵活性的特点，而且还能够实现度对软件的可靠性和容错性以及安全性进行检测。

3.5 故障注入的软件安全检测技术

在计算机软件安全检测中，故障注入的安全检测技术具有提高安全检测自动化程度的独特的优点，是计算机软件安全检测技术中一项重要的检测技术。故障注入安全检测技术主要是指在选定的故障模型上进行构建故障树，然后通过人为的反复测试和对软件反馈的故障信息以达到检测故障安全性和容错性的效果。

3.6 基础设施即服务安全策略

（1）实施入侵检测：可以检测出违反安全策略的行为、及时发现并报告系统中异常或未授权的现象，从而使计算机系统和网络的安全性得到保证。具体操作是：审计系统的弱点和构造、对系统和用户的活动进行分析和监视、跟踪关系操作系统的审计、统计分析异常行为模式、对数据文件和重要系统的完整性进行评估、对用户违反安全策略的行为进行识别[8]。（2）实施包括可维护性、容错性、耐久性在内的可靠性网络系统措施，其中耐久性决定着网路系统各个组件连续无故障不间断运行的平均时间；容错性决定网络系统的平均恢复时间；可维护性属于事后很快定位和解决故障，通过配置有责任心专业的技术管理人员提高这一性能。（3）加强对设备操作管理人员的教育培训提高设备寿命和使用效率，尽量应用光纤或加压电缆作为传输介质并做好防护措施，另外人工/自动的检查维护也是必要的，这样可以很大7、建立以数据为中心的安全系统

云计算系统包括网络、存储、计算三方面资源，在数据中心里大量应用虚拟化技术，由实变虚的资源打破了资源边界，可被灵活调度的资源池取代了孤立的单个的资源。在共享的环境中数据的使用被进行全面的控制。基于云环境的数据应用交换安全技术应运而生，数据的安全交换采取应用交换方式，实现信心单向流动，应用不对称的数据交互，“数据”和“用户”能够被用户区分，数据信息和接收方行为信息分成两个不同的路径[9]。

在分级标签交互系统中定义了系统中主、客体的重要程度，在客体信息中提取的知识表达了生成客体的主体对于客体所反映知识的重要性；通过进行数据分析获取消息是文件中常用的方式，所以主体即人很容易进一步处理文件这种信息形式从而形成与文件信息相对应的分级知识；因为缺少对数据库中原始文件中包含信息的提取，所以主人即人要向从中直接提炼出分级知识是相当困难的[10]。总之，数据操作的定制、数据转化为信息、权限控制操作，这些过程都包含在应用交换方式中实现数据交换过程中的安全策略。

4 计算机软件安全检测应注意的问题

计算机软件安全检测技术属于一个动态的检测过程，在计算机软件安全检测中通常应该注意以下几个问题：

4.1 选择科学合理的安全检测方案

在计算机软件安全检测时，通常简答的方法很难达到解决问题的效果，因此在安全检测中，首先应该充分了解计算机软件的特性及其对检测方法的要求，然后根据计算机软件的具体情况进行详细的分析，选择合适的检测方法，编制出计算机软件安全检测方案。同时还应该从用户的需求为出发点，从多方面多角度制度合理的安全检测方案。

4.2 推广检测人员多元化

多元化主要是指在某种程度上相似但是不相同的人员的组合。在计算机软件安全检测时保证检测人员多元化能够更好的检检测初出计算机软件存在的问题或者漏洞。计算机在进行软件安全检测中，对软件检测人员也应该具有一定的要求，不仅应该具有软件检测相关的知识和经验的人员参与其中，还应该具有熟悉并掌握软件的特性及使用的相关人员，只有将计算机安全检测人员和计算机软件技术人员等人员相互配合，才能保证计算机软件性能的安全性。

4.3 全面分析

在计算机软件安全检测中，对计算机软件的系统级、代码级以及需求级等进行详细仔细分析是非常重要的。软件检测中，如果计算机软件的规模较大，应对计算机软件的结构进行详细的分析，并且还应该根据软件不同层级的需要选择不同的技术方法，以保证结果的准确可靠，在必要的情况下，需要借助分析功工具和仿真环境实施计算机软件安全检测，以做好计算机软件安全检测工作。

5 总结

计算机软件安全检测技术是保证计算机和网络安全的一项重要的技术，能够有效促进计算机软件的发展和进步。因此想要保证计算机安全可靠的运行，必须加强对相应的技术进行研究，有效提升计算机的服务性能，保证计算机软件的安全性，从而为计算机软件的发展奠定坚实的基础。

参考文献：

[1] S.P.Leblanc，P.A.Roman.Reliability Estimation ofHierarchical Software System. 2002 PROCEEDINGS Annual RELIABILITY and MAINTAINABILITY Symposium，2002.

[2]倪俊.计算机软件中安全漏洞检测技术应用[J].现代商贸工业，2011（14）.

[3]冉崇善，周莹.软件设计中的安全漏洞动态检测技术分析[J].微计算机信息，2010（06）：105-106.

[4]朱岩.浅析计算机软件安全检测存在问题及方法[J].科技创新与应用，2012（14）：75-76.

[5]文伟平，吴兴丽，蒋建春.软件安全漏洞挖掘的研究思路及发展趋势[J].信息网络安全，2009（10）.

[6]王艺潼.关于计算机软件安全检测技术的探讨[J].佳木斯教育学院学报，2012（10）.

[7]赵妍.计算机软件安全检测方法探讨[J].科技传播，2010（16）.

[8]陈楷.计算机软件中安全漏洞检测技术的应用[J].数字技术与应用，2010（07）.

[9]王俊民.关于计算软件的安全检测方法探究[J].计算机光盘软件与应用，2012（04）.

[10]傅卓军，龙陈锋.网络安全漏洞检测软件的设计与实现[J].计算机与数字工程，2011（07）.

作者：刘志建