1.1网络的设计理念
计算机网络安全涉及到计算机技术中的各个方面,如网络技术、通信技术、密码技术等等。计算机网络安全的标准是网络中的硬软件、系统的安全受到保护,在发生恶意侵入时不受破坏。在网络刚产生时,人们对于网络的要求侧重于可用性以及其方便程度,那时对于网络安全性的认识和重视度都不高。因为最初的网络没有遍布全球,主要是局域网,所以基本不存在网络安全的问题,于是人们也没有做必要的防护。后来网络技术日渐进步,互联网遍布全球,将世界联系起来,网络安全问题便逐渐成为不可忽视的重大问题。网络具有关联性的特征,所以在进行网络上的操作时,很容易在安全方面受到威胁。目前的众多网络产品,也是基于基础网络协议进行发展开发的,与互联网有着同样的安全问题。
1.2网络开放性
开放性是互联网的最基本特征,互联网的基本准则之一就是自由开放。目前我们使用的网络,处于互联网产生以来开放性最强的状态。互联网从最初的局域网发展成为今天的世界性的网络,为的就是更加方便人与人之间的交流。网络的开放性为广大用户提供了丰富的资源,但也在同时为黑客提供了可乘之机。网络安全便成了开发者和用户共同关心的核心问题。
1.3网络的控制管理性
互联网将世界联系在一起,每个用户都是网络中的一个元素,个人计算机以及局域网都连接在公共网络中。网络具有的关联性使得对网络进行攻击时,只需要对网络中的关键点进行攻击,就可以对整个安全系统造成影响,就能够击溃整个安全系统。互联网中的关键点十分重要,若这个关键部位的安全保护做到位,互联网的安全便有了保障。若关键点丧失了安全性,整个互联网的网络安全就难以维持。安全系统被破坏后,网络运行环境就会变得复杂,缺乏可控性以及安全性。这对每个互联网中的用户都会造成严重的影响,轻则导致文件的丢失,重则造成金钱的损失。
2网络安全威胁
网络面临着多方面的威胁,一方面在于网络信息的威胁,另一方面在于网络设施的威胁。网络安全受到威胁的首要原因是人为的疏忽,在对计算机进行配置时,因为操作人员产生疏忽,产生安全漏洞,这样便给了不法分子攻击计算机的机会。用户在对计算机进行设置时,没有浓厚的安全意识,例如口令密码设置不够安全以及防火墙不能及时维护,这些因素都会给电脑带来安全危害。网络安全受到威胁的第二个原因是他人的恶意攻击,其中包括两个方面:第一,主动攻击,这种方式是人为对数据流进行修改、延迟、删除、插入以及复制的操作,通过这种操作读计算机安全进行攻击,主要是对信息进行篡改和伪造;第二,被动攻击,这种方式是截获信息,通过特殊手段监视或是偷听信息,以达到信息截获的目的,这种方法比主动攻击较难发现。网络安全受到威胁的第三个原因在于软件漏洞,软件的漏洞通常会成为黑客进行攻击的主要目标,通过攻击漏洞可以摧毁整个安全系统,除了软件漏洞,开发人员在研发软件时会留有一个“后门”,方便对软件进行升级,这也容易成为黑客攻击的对象。网络安全受到威胁的第四个原因在于管理疏漏。
3基于软件工程技术的网络安全防御
3.1防火墙
防火墙可以在硬件上进行建设,它起到了分离器、分析器和限制器的作用。它在两个网络进行连接和通信的时候发挥作用,对信息进行过滤和控制。防火墙包括很多类型,应用型、检测型和过滤型是最为常见的。使用防火墙,可以对内外网络正常运行提供保障,但防火墙也存在一定的弱点,它无法阻止LAN内部的攻击。
3.2访问控制
访问控制是通过对操作系统中访问权限进行设置,限制访问主体对访问客体的访问。访问控制是通过软件技术对网络安全进行防御的主要手段,它通过对网络资源进行保护,使网络资源避免非法的访问。访问控制技术主要包括入网访问控制、网络权限控制、属性控制以及目录级控制等。
3.3杀毒软件
病毒是主要以一个程序的方式存在和传播的,也有些病毒是以一段代码的形式。病毒运行后,会对计算机造成破坏,使计算机无法正常运行,严重的则会损伤计算机的操作系统,使整个系统崩溃,乃至使硬盘遭到损害。计算机病毒还有自我复制的功能,他们可以自身进行复制后,通过移动设备和网络大肆传播出去,感染网络内开放的其他计算机,对其他计算机也造成破坏。对于计算机病毒的防治,可以分为几个模块,分别是病毒检测、病毒防御和病毒清除。目前市面上有很多种类的杀毒软件,选择高质量并且及时更新的杀毒软件,是十分重要的。安装杀毒软件后,要及时对电脑进行病毒扫描,检测出病毒的存在后,要及时进行处理和清除,保障计算机不被病毒感染,达到保护计算机安全的目的。安装好的杀毒软件,不仅是对于一台计算机安全的维护,也是对网络安全的维护,杀毒软件及时清除病毒,防止了病毒通过网络传播出去,造成大批计算机系统遭到破坏。
4结语
关键词 软件;安全性;测试技术
中图分类号:TP311 文献标识码:A 文章编号:1671-7597(2013)11-0000-00
软件的安全性主要包括软件的失效安全性以及保密安全性。失效安全性是指软件在不间断运行中,不发生系统事故的能力。其包括:因安全性失效可能造成单位的财产与人员损失、环境污染等重大安全事故。而保密安全性是指软件所具有的可以防止对数据和程序进行非法存取的预防能力。在我国,相关的软件技术人员更多的是侧重于软件的失效安全性。建立在可靠性理论基础上的失效安全性主要度量标准有软件事故率、失效度、安全度以及平均事故间隔时间。目前常有的测试方法有基于最小割集的测试、故障树的测试、ISO9126质量模型、基于模型的测试、基于属性的测试等。
1 软件安全性测试的特点和分类
软件安全性测试是通过测试手段,来确定软件的安全性是否与预期结果保持一致的过程。软件安全性的测试,是区别与其它软件的测试类型,它具有自身的特殊性、安全性,相关缺陷也与一般软件缺陷相区别的特点。软件的安全性测试主要包括验证,渗透测试,安全功能测试的过程。与其他传统测试软件相比,软件的安全性测试最大不同之处:软件安全性测试强调软件“不应该做什么”,而不是“应该做什么”,比如软件缺陷所产生的影响甚微,但难以发现的软件漏洞可能是致命错误,能让客户蒙受重大损失。软件安全性测试的这种不同,正是由其特殊性、安全性所决定的。相比软件中的非安全性测试,安全性测试更强调的是软件的否定需求,比如用户在使用该软件的时候,如果登陆三次失败就锁定账号。相比非安全性测试中的违反常规,安全性测试的缺点是由软件的副作用引起的。比如,在非安全性测试缺陷下,本来软件应该做G的,但它却做了F;而在安全性测试缺陷下,本来软件应该做G的,但是它在做完G的同时也顺带完成了F。
软件的安全测试主要包括:安全漏洞的测试与安全功能的测试。所谓软件的安全漏洞指软件系统在设计、使用等方面,存在可被利用的漏洞。当不法分子发现或者利用这些软件漏洞时,软件便处于不安全的状态。所以,利用软件的安全漏洞测试才能发现并识别软件中的这些漏洞,并及时加以修补。而所谓的安全功能需求包括数据的机密性,完整性以及可靠性,不可否认性,还包括身份认证,访问设置,跟踪追查,安全管理,隐私保护等。而基于软件的安全功能需求的安全功能测试,就是用来测试该软件是否具备与预期相一致的功能的。
2 软件安全性测试主要方法
2.1 基于故障注入的安全性测试
故障注入的软件安全性测试,就是指通过构造各类协议数据包来植入故障,以测试目标软件是否能正确处理这些预置故障。该测试方法是Wenling Du建立的一种软件与环境交互,将故障注入技术用于软件安全性测试的一种故障模型。该项目通过修改某些协议中的数据,支持的协议有HTTP、HIP、WAP、SNMP等。故障注入就是通过故障注入函数,进行故障模拟,并使程序强制进入某些特定状态,而使用常规的测试技术是很难查看到的。
2.2 基于自盒的安全性测试
基于自盒的安全测试主要是静态分析,主要考察缓冲区溢出、数据竞争等安全性缺陷代码模式,主要的技术分析有数据流分析、技术型推断和约束分析。为了在程序运行的时候插入攻击代码,测试安全机制是否真正可用,Lori Pollock和Ben Breech提出一种基于动态编译技术的安全测试框架,主要用来测试基于程序的攻击。
2.3 攻击树理论与威胁模型
安全性研究方法大致可分为:基于漏洞的方法、基于威胁的方法。前者是为了识别软件的安全漏洞,主要是从软件的内部考虑软件的安全性。而后者是通过分解应用程序(识别入口点,出口点,数据流描述),识别要保护的资产等步骤,来识别软件所面临的安全威胁并测试是否能够正常发生。最常用的威胁分类方法有篡改、欺骗、信息泄露、否认、拒绝服务等等,简称STRIDE。
2.4 基于模型的安全功能测试
Mark blackbum与Robert Busser研究出基于模型的安全功能测试,该模型安全功能测试常用的模型有:UML模型有限状态机两种。这种方法的适用范围取决于安全功能的建模能力,是一种较为一般的安全功能测试。
3 软件安全性测试工具分类与功能
为了更好地验证系统安全机制是否有效,及时地查找软件中的漏洞,检测系统的运行是否正常,最近几年产生了很多功能强大的安全性测试工具,这不仅大大地提高了软件安全性的测试效率,而且在很大的程度上也降低了软件的安全风险,为软件的顺利运行提供了一个良好的环境。
在当前的市面上,主流的软件安全测试工具有源代码分析器、字节码扫描器、网络漏洞扫描器、配置分析工具、网络应用漏洞扫描器、网络服务扫描器、动态分析工具、数据库脆弱性扫描器、设计验证工具等,这些安全性测试工具的出现与应用,让软件安全性测试技术得到了进一步的飞跃,加快了软件的发展进程。
4 结束语
本文通过具体的案例,分析了软件安全性测试的分类、特点、主要测试方法、安全性测试工具分类与功能,深入探析软件安全性测试。软件的安全性测试是通过相关的工程技术,为了尽可能地避免人为很难发现的技术缺陷和安全风险,最大限度地保障人民的生命财产安全而开发的一个工程技术,是软件开发中的一个重要的组成部分。如何通过完善的文档资料,技术分析,测试方案,最大限度的实现测试覆盖,并发现软件瑕疵,是所有的软件技术人员面临及应思考的问题。
参考文献
[1]毕媛媛,陈锦平.基于模型的安全静态检测技术[J].硅谷,2012(08).
[2]李明,高勇.基于语法的软件安全检测[J].信息安全与通信保密,2011(06).
我想很多用户都还记得,在很多年前国内出现过一个非常厉害的病毒,叫做“熊猫烧香”。最近又有用户发现,在用户的电脑上面出现类似的图标,难道“熊猫烧香”病毒重出江湖了吗?其实不是,而是因为最近出现了一款全新的敲诈者木马。这款木马不仅“加密”了用户的重要文件,还披上了“熊猫烧香”的外衣。―旦用户不小心中了这个木马病毒,它就会劫持用户系统里面的文档信息,并对杀毒软件进行破坏。更为可怕的是木马还会强制删除系统文件,这样会导致系统重启后无法进入桌面。
防范措施:
其实这个敲诈者木马和以前我们介绍的敲诈者木马有所不同,它实际上并没有对文档信息进行任何的加密。仅仅是因为篡改了系统文件的关联信息,所以给用户造成了一种视觉上的错觉。用户要解决这个木马也相对简单,首先恢复被破坏的userinit.exe文件,再把文件的关联方式重新设置即可。
化身“安全卫士”对抗安全软件
病毒危害:
随着几年前360安全卫士的火爆,各种各样的安全卫士软件如雨后春笋般出现。可是这些软件里面并不都是真正的安全卫士软件,有的只不过是打着安全的名义来“耍流氓”的软件而已。比如最近出现的“浏览器卫士”和“铠甲卫士”,当这些“卫士”软件进入到系统里面后,就会在系统目录里面释放相关的文件信息,其中驱动文件的名称是随机出现的。当这类软件成功地安装到系统里面后,就会到指定的网址下载软件安装包,通过对软件进行推广下载就可以从中获利。除此以外,这些“卫士”软件还会阻止正规安全软件的安装,―旦发现有安全软件在安装,就会结束安装包的进程。
防范措施:
无论用户下载什么软件,都需要通过正常的途径进行下载。不要下d一些非常小众、不知名的软件,甚至没有官方网站的软件,从而避免这些软件进入系统里面后给电脑造成更加严重的破坏。
专门针对微信支付的木马来袭
病毒危害:
随着智能手机的大规模普及,移动支付也变得越来越便捷,针对移动支付的攻击也开始出现。最近就出现了一个专门针对微信支付的手机木马病毒,该病毒首先伪装成一些知名的手机应用供用户下载。一旦病毒进入手机系统以后,首先会弹出一个消息框,提示微信登录已经过期,建议用户重新进行登录操作。点击登录后就会出现一个伪造的登录窗口,从而诱骗用户输入自己的微信账号和登录密码。接着病毒会迅速发送信息到黑客指定的服务器里面,但是这并没有完,病毒会接着索要微信支付的密码。一旦黑客获取到这些信息以后,就可以盗刷微信支付里面的钱款了。
关键词:信息安全专业;软件工程实践;教学改革
中图分类号:TP315 文献标识码:A 文章编号:1009-3044(2015)31-0049-03
Research on the Software Engineering Practice Teaching Oriented to the Information Security Specialty
CHENG Fan, TU Zheng-zheng, XU Qin
(School of Computer, Anhui University, Hefei 230039, China)
Abstract:Software engineering practice is an important course in the information security specialty, and is a basic guarantee of training qualified information security engineer. However, there is little research on it. To fill the gap, in this paper, we take the Anhui University as an example, and propose several improvements based on the analysis of the existing problems of software engineering practice, which include designing professional practice teaching content oriented to information security, adopting the teaching methods with information security characteristics, introducing the evaluation mode based on ability and establishing a practical teaching team consisted of information security professional etc. The following experience shows that the new practical teaching system can effectively improve the students' practical ability and innovation ability, and lay a foundation for the training of high quality information security personnel.
Key words:information security specialty; software engineering practice; teaching innovation
1 概述
自从2000年以来,随着计算机技术的不断发展,信息安全问题日益突出。怎样确保系统的安全性已成为全社会关注的热点问题。与此同时,随着我国对信息安全领域的愈加重视,自2001年起,国内高校也逐步开展了相应的信息安全教学[1]。安徽大学也于近年在计算机科学与技术学院下建立了信息安全专业,为培养合格的信息安全人才,奠定了良好的基础。
信息安全专业是一个跨学科的交叉专业,涉及计算机、通信、数学等诸多学科的内容。其专业目标是培养系统地掌握信息安全基础理论与方法,具备软件工程、计算机技术和网络技术等方面专业知识和综合能力的高级工程技术人才[2]。而软件工程是信息安全专业的一门重要专业课,它集理论性和实践性于一体,其课程目标为:通过该课程的学习,使学生能够了解和掌握软件工程开发的技术和方法,培养学生按照工程化思想来开发软件的能力,为日后成为合格的信息安全工程师奠定坚实的基础[3]。
为了达到以上目标,一个重要的保障就是软件工程实践教学。它对于学生专业知识能力和综合素质的培养与提高具有非常重要的作用。对此,我院也一直在加大对信息安全专业软件工程实践的重视和改革力度,如将软件工程实验教学的课时从18学时增加到36学时;在大三下学期增设了36课时的安全软件工程课程设计等,这些都对改进软件工程实践教学的效果起到了积极作用。尽管如此,由于我院信息安全专业建立较迟,对于整个软件工程实践教学体系的设置还缺乏一体化的规划,现有软件工程实践教学仍存在一些不足,使其很难真正达到实践教学最初预定目标。
2 信息安全专业的软件工程实践教学不足
信息安全专业的软件工程既与传统的软件工程课程有相似之处,又存在一定的不同。其最大的区别在于该课程在讲授软件生命开发周期的同时,需处处体现出“信息安全”专业性。其对应的实践教学也要突出上述特点。而现有的面向信息安全专业的软件工程实践教学体系仍多照搬传统的软件工程实践体系,主要存在以下不足:
2.1 实践教学内容无法体现专业性
我院现有信息安全专业的软件工程实践教学内容多直接照搬软件工程专业的实践内容设置,缺少专门面向信息安全专业的教学内容,实践案例与信息安全专业的课程体系关联性不强,无法体现信息安全的专业培养目标。
2.2 实践教学方法单一
虽然当前信息安全专业的软件工程实践教学课时和数目都在增加,但教学方法较为落后,多停留在简单的实验验证层面。从教学方式的角度来看,仍多基于“教师教,学生学”的传统模式,缺乏对新教学方式的考虑和引入,对学生的自主学习和创新能力的培养不足。
2.3 实践考核方式尚不合理
现有面向信息安全专业的软件工程实践考核主要采用检查文档(即规格说明书)和运行系统两种手段,并基于此给出学生的最终实践成绩。这种方式不仅过于简单,而且无法体现软件工程实践的特点。这样给出的成绩自然也无法准确的体现出对学生信息安全能力的培养效果。
2.4 缺乏专业化实践教学团队
现有的软件工程教师多是各自为政,在实践经验和教学方式上缺乏必要的沟通协作,没有形成一个统一的教学团队,且部分教师不具有信息安全专业背景,一线队伍中“双师型”教师人才严重匮乏。
从以上可看出,当前软件工程实践教学无论是内容还是方法等方面都不能满足信息安全专业的培养要求,构建面向信息安全专业新的实践教学体系已成为一个迫切需求。
3 面向信息安全专业的软件工程实践教学改革
针对已有软件工程实践教学的不足,我院自2014年起,在安徽省重点质量工程项目――“信息安全振兴计划专业改造与新专业建设”的资助下,组织了信息安全专业和软件工程专业的教师共同对软件工程实践教学进行会诊和大讨论,重点研究了信息安全专业下的软件工程实践教学改革,为培养具有专业能力的信息安全工程师奠定基础。主要的实践改革包括:
3.1 设计面向信息安全专业的实践教学内容
现有软件工程实践教学内容不够专业化,缺乏对实践教学的统一规划和过程化管理。对此本次改革提出以信息安全专业的培养目标为导向,结合软件工程课程的自身特点,研究设置专业化的实践教学内容。其核心是构造面向信息安全专业的软件案例,并将工程化思想引入实践教学。具体来说,我院由软件工程教师和信息安全教师紧密配合,从实际的安全项目中提炼出若干个典型案例,从软件生命周期的各个阶段出发,整理出对应的工程文档,作为实践教学的内容。
同时,根据学生对信息安全专业知识储备的不同将软件工程实践重新划分为《软件工程实验》和《软件工程课程设计》两部分。其中《软件工程实验》是与《软件工程》课程相配套的实验课,开于大二下学期。此时学生掌握的基础知识较少,而专业开设的信息安全核心课也不多,主要是《密码学》和《网络安全》等少量专业理论课。因此,这一阶段的实验案例紧紧围绕着“密码学”和“网络安全”两个主线,主要涉及两大类12个案例:1)密码应用类:文件保险箱系统、安全通信软件系统、XML加密系统、简易数字签名系统、简易数字证书系统,简易数字指纹系统等。2)网络安全类:网络扫描系统、网络嗅探系统、网络流量统计系统、网络远程控制系统、简易入侵检测系统、简易网络防火墙等。而《软件工程课程设计》开于大三下学期,这时学生对本专业的相关知识已经有了一定的掌握,课程设计的实践案例需要更多的体现本专业的特色,且多为综合应用类,本阶段主要涉及12个案例:校园网安全系统、代码复审与静态分析系统、恶意代码的剖析与清除系统、U盘病毒及免疫系统、数字水印系统、高性能文件加密系统、面向移动平台的安全隐蔽系统、基于动态加密的校园社交平台、基于个人隐私保护的医疗管理系统、面向信息安全的电子快递系统、面向智能平台的信息隐藏系统、面向敏感数据的管理信息系统等。
3.2 采用具有信息安全特点的实践教学方法
结合信息安全专业特点,运用满足工程化需要的创新教学方法,重点研究面向问题和案例驱动的实践教学。其中在软件工程实践的前期主要采用面向问题的启发式教学[4],而在软件工程实践的后期随着学生对专业知识掌握的加深,重点采用案例驱动的教学方式[5]。
同时,建立面向信息安全专业的软件工程实践平台,以辅助实践案例的完成。这些平台包括:网络安全实践平台、密码学辅助平台、信息安全辅助平台等。
在以上基础上,将国内外最新的翻转课堂[6]引入实践教学中,变教师教学生学的被动教学方式为学生自主学习为主,教师引导为辅的主动式教学。通过上述方式,重点培养学生的思考问题,分析问题和解决问题能力。
3.3 引入突出能力化的实践考核方式
考核是软件工程实践教学的一个重要组成部分,对于实践教学的最终效果具有直接影响。对此,我院结合软件工程实践教育的特点,以培养学生的信息安全能力为依据,引入基于能力化的实践考核方式。新的考核方式要求对团队成绩和个人贡献两者兼顾,着重实践过程质量和项目最终成果的平衡。具体来说新的考核方式包括:
1)对不同阶段的实践采用不同的考核方式。对于大二下的《软件工程实验》主要采用基于设计型考核,考核内容包括设计方案、实验报告、实验日志以及演示程序。而对于大三下的《软件工程课程设计》采用基于综合型考核方式,内容包括需求分析、软件设计、编码实现、现场演示以及交互式汇报等考核方式。
2)为每个候选案例设定相应的难度系数,鼓励学生根据自身能力选择合适的题目,并在成绩评定时将实验难度直接反映到每位学生的最终成绩上。
3)在注重完成结果的同时,重视项目的过程化管理,在项目中对学生进行不定期检查,随时了解项目的开展情况,并将这些结果体现在学生的最终成绩上。
4)鼓励教师采用不同的有效方法衡量学生的综合能力。如允许教师采用口试、表现考察、学生反映、学生互评、学生自评等手段对学生的能力进行考核;同时对于大型综合型实验进行多教师参与下的答辩式多角度考核。
通过新的考核方式,全面而又准确地掌握学生的系统构建能力、软件开发能力和团队协作能力。
3.4 建立基于信息安全专业的创新型实践教学团队
现有软件工程实践教学中教师各自为政,缺乏统一的实践团队,学院提出建立一支基于信息安全专业的创新性软件工程实践教学团队。主要从以下几个方面展开工作:
1)建立一支实践能力突出、学术能力互补、年龄结构合理的软件工程课程组。课程组主要由信息安全专业和软件工程专业教师组成,通过课程组的团队力量共同撰写实践内容,一起实施培养过程,集体评价培养质量,突出群体化教学优势。
2)深化以实践教学为主的“双师型”教师队伍建设。在团队教师中重视实践能力的培养,积极创造条件,重点培养团队教师的信息安全项目能力和经验。
3)加强同信息安全企业的合作,定期对课程组教师进行企业培训。将组内教师按照教学研究方向选派到合适的单位,使得教师在企业一线获得真正的信息安全项目实战经验。通过以上途径,在让课题组老师了解企业真实需求的同时,也锻炼了自身的信息安全实践能力。
4)引进信息安全企业的高级技术人才,充实到一线实践教师队伍中。引进的人才需具有较强的项目实战经验,能够对现有的实践教学起到补充和改进的作用。而这些高级专业技术人才的加入也为推进我院“双师型”队伍建设,共建一支“产学研”相结合的实践教学队伍奠定了基础。
4 实践教学改革后的效果
自新的软件工程实践教学体系在我院信息安全专业进行试点到现在,总共涉及100多名学生,总体实施效果明显,学生一致反映改革后的专业实践教育确实有效地提高了自身的实际动手能力,并在一定程度上锻炼学生的工程实践能力和创新能力,为培养学生的信息安全素质奠定了坚实的基础。
在此基础上,在2015年第八届全国大学生信息安全竞赛决赛暨首届网络安全人才创新创业论坛上,由我院教师指导,学生组成的三支代表队获得二等奖1项,三等奖2项。其中由安徽大学汤锐、殷清风、曹天娇、纪冬4名同学组成的“Fate”代表队,以作品“面向移动社交平台的安全隐秘通信系统”荣获全国二等奖;由陈雷、张亦明、谢志强、江骐含4名同学组成的“DNA208”代表队,以作品“基于零知识证明和图像识别的认证系统”荣获全国三等奖;由陈火彬、夏彦、曹泽坤、牛雪静4名同学组成的“NewBee”代表队,以作品“基于Android的可信音频通信系统”荣获全国三等奖。
5 结束语
本文以安徽大学信息安全专业的软件工程实践为例,在分析已有实践教学不
足的基础上,提出从多个角度对实践教学体系进行改革。包括设计面向信息安全专业的实践教学内容、采用具有信息安全特点的实践教学方法、引入突出信息安全能力的实践考核方式、建立基于信息安全专业的创新型实践教学团队。后续的试点效果表明:新的实践教学体系提高了学生的工程能力、团队协作能力和沟通能力,为培养具有扎实理论基础、较强分析能力的高素质信息安全创新人才打下了良好的基础。
参考文献:
[1] 杜瑞颖,张焕国,王丽娜,等.本科信息安全专业课程体系研究[J].计算机教育, 2011(18): 1-3.
[2] 唐敏,肖楠.浅谈信息安全专业学生综合能力的培养[C].//Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security (NTS-CIS 2011) Vol. 1. 2011.
[3]范洁,冯雁,娄嘉鹏.安全软件工程课程实践教学研究与改革[J].实验科学与技术,2014,12(3): 96-98.
[4] 罗晨,刘勇,权冀川,等.基于在线教学案例的启发式教学模式研究[J].计算机工程与科学, 2014, 36(A02): 64-67.
近几年,信息安全事件发生数量急剧增加,并且呈现快速增长趋势。政府部门所应用的信息系统,在出现信息安全问题,所造成的后果将十分严重,所以信息安全问题已经成社会各界广泛关注的一个问题,但是系统在实际应用中,硬件及软件方面都会存在一些无法避免的问题,伴随着系统的不断应用,新型漏洞也会逐渐出现。攻击者就可以根据软件所存在的漏洞,做出窃取信息的行为。所以对于计算机软件漏洞问题进行分析研究具有重要的现实意义。
【关键词】补丁管理 漏洞检测 网络安全
只从进入信息时代之后,信息建设水平子啊短时间内取得了显著成果,已经在人们的生活及工作中广泛应用。但是人们在享受信息化所具有的便捷的同时,人们也开始逐渐发现信心安全的重要性,特别是近几年各种信心安全事件的发生,让信息安全已经成为社会各界广泛关注的一个问题。所以,如果对于计算机软件内部所存在的安全漏洞进行快速检测,特别是对于操作系统内所存在的软件,在攻击者没有发现之前就进行针对性修复,已经成为有关演技人员重点研究内容。
1 系统需求分析和总体设计
1.1 系统需求
1.1.1 系统开发目标
本文所研究的计算机软件漏洞检测系统设计及实现研究中,主要就是对于公安信息专用网络计算机软件在实际够用中所存在的漏洞进行检测及修补,提高公安信息专用网络计算机软件管理水平,降低公安信息网计算机软件维护成本,及时发现计算机所存在的漏洞并对其进行修复,降低计算机软件所存在的风险。
1.1.2 系统功能范围
计算机软件漏洞检测系统在公安信息网络内应用,主要是根据信息网拓扑结构及实际情况, 根据计算机漏洞检测形式,对于计算机所存在的漏洞进行修补,下载针对性补丁,判断出计算机软件程序所存在的木马,对于信息网进行全面性分析,提出针对性意见,增加对于局域网管理水平,让管理人员及时了解到公安信息网内的基础信息。
1.1.3 系统性能显著
(1)客户端运行负担较低:公安部门所应用的计算机采购时间较长,硬件设施水平较低,所以客户端运算量最好能够适当进行降低,这样才能够降低对于公安正常办公的影响。
(2)漏洞信心更新速率较高:根据有关部门统计,计算机内部所存在的漏洞会伴随着时间的延长所下降,计算机所存在的新漏洞,经常容易被计算,对于计算机造成较大的影响,破坏程度较高。所以,计算机系统整体漏洞扫描能力与系统漏洞数据库之间有着紧密关联,提高系统漏洞数据库的全面性,进而能够显著提高系统整体性能,所以系统漏洞必须根据数据库信息进行同步。
(3)服务器负载压力较低:公安部门在信息化建设过程中,在硬件设施上面投入了较大材料,为了能够降低信息化经济成本,减少在硬件设施上面的成本,公安部门对于原有系统进行了升级,将并不是一台计算机应用一个软件。所以,系统在实际运行过程中,就必须提高对于计算机硬件资源的使用数量,降低服务器负载压力,进而保证服务器网页稳定运行。
1.2 系统的总体设计思路
系统总体设计思路在制定过程中,需要将系统所具有的功能及非功能性能进行限制。按照系统功能特点及业务实际运行的实际要求,需要利用以下几点技术思路。
1.2.1 模块化设计开发模式
软件设计开发过程中,需要采用模块化设计方式,提高软件代码的可用性及兼容性,这样设计人员对于软件功能及特点设计方面,能够有效进行完善,缩短软件更新速度,在实际设计过程中遵循模块化技术思路。根据软件功能及数据耦合度之间的差异,可以对于功能模块进行针对性设计及测试。
1.2.2 动态检测技术
软件在设计开发过程中,要是利用动态检测技术,能够有效保证计算机在进行漏洞扫描过程中,计算机操作并不会受到任何影响,进而有效躲避网络对于计算机所造成的攻击。计算机按照安全漏洞数据库内具有的信息,对于目标系统内部所存在的漏洞进行检测。动态监测技术在实际应用中能够有效降低计算机对于网络流动的负载水平,泄漏报告不会被监听。
1.2.3 两层结构设计
在计算机服务器内应用两层结构设计,能够有效解决计算机用户使用适量,网络结构复杂等等特征,对于客户端计算机状态管理更加便捷高效,与此同时还能够对于计算机漏洞及补丁文件进行高效率分布。
1.3 系统的总体技术方案
根据公安信息网计算机在实际应用中主要应用的软件,是计算机漏洞检测系统主要对象,计算机主要应用的软件有三类软件,分别是微软操作系统软件、MircrosoftOffic系统应用软件及Adobe Flash必备软件。计算机软件漏洞检测系统在设计及开发过程中,需要针对性开发,根据公安信息网实际运行情况,按照用户数量大及网络结构复杂等等特点进行设计。
为了能够让计算机软件漏洞检测系统该校在公安信息网内应用,系统在设计开发过程中,需要有效将服务器及模块化技术进行结合。计算机软件漏洞系统检测系统主要有三部分构成,分别是一级服务器、二级服务器就客户端。
1.3.1 一级服务器
一级服务器为漏洞信息库更新提供良好的基础条件。一级服务器在实际运行过程中,主要工作职责就是及时发现软件所存在的漏洞,并且下载针对性补丁文件,所产生的信息传输到子服务器。一级服务器是计算机软件漏洞检测系统内唯一一个能够与外部网络进行两个的的服务器,进而保证对于计算机进行及时更新。所以,计算机软件漏洞检测系统信息库数据更新水品与一级服务器之间的有着紧密关联。
1.3.2 二级服务器
二级服务器所具有的信息是一级服务器内部所包含的漏洞信息,公安信息网由于环境属于物理隔离,因此二级服务器想要与一级服务器信息保证同步,只能够应用储存介质的方式进行实现,这样二级服务器才能够与子服务器进行有效连接。二级服务器能够有效与子服务器进行补丁分配,进而做到信息资源的共享,提高系统拓展性能。
1.3.3 客户端
补丁及补丁信息在上级服务器下载完毕之后,在对于计算机漏洞扫描之后,对于补丁进行安装。客户端在实际应用过程中,需要将客户端与服务端之间连接,提高通信传效率,提升系统效率。
2 系统有关技术
2.1 基于主机的静态漏洞检测
基于主机的静态漏洞检测属于漏洞动态监测技术中的一种。在对于主机的静态漏洞检测过程中,首先需要注册表,计算机操作系统内的重要数据库就是注册表,注册表能够将操作系统及应用软件所设置及有关信心全部进行记录及储存,也可以注册表能够有效将计算机软件漏洞检测系统实际运行环境客观性反应出来。计算机软件漏洞检测系统内的客户端应用漏洞扫描模考,能够有效对于注册表所具有的特点进行针对性监测,进而找到计算机软件漏洞检测系统所存在的信息记录全部找出,将有关数据与漏洞信息数据库进行对比,进而形成漏洞列表的自动修复,用户就可以根据自身实际情况,对于补丁进行筛选及下载。
静态的主机系统对于漏洞检测国学中,首先需要以漏洞匹配表作为漏洞检测作为基础,这就需要漏洞匹配表内数据拥有较高的可靠性,并且还能够实时进行更新。本文在对于计算机软件漏洞检测系统设计及实现研究中,选择的是微软所的补丁知识库,该知识库在实际应用中需要及时进行更新维护,微软公司每个月都会对于知识库所存在的漏洞进行最新补丁颁布。
2.2 基于补丁的漏洞修复
客户端在启动之后,就会在网络环境内获得终端列表,利用终端列表能够有效获得网络环境内的终端地址及有关信息,进而保证计算机与网络进行连接,对于所获得的数据信息资源进行读取。终端计算机要是不存在有关数据资源,就可以重新选择一台计算机,让计算机与网络进行连接,进而获得数据资源,满足实际应用的需求。
终端列表所获得的数据资源要是与用户实际需求之间存在较大差距,终端列表就可以直接向服务端计算机进行连接,并且对于数据资源进行请求。服务器要是并没有找到做需要的数据资源,漏洞补丁下载就将失败。
漏洞补丁在下载安装之后,为了能够让用户应用更加方便,在安装过程中就需要应用静默式安全方式,在漏洞补丁知识库找到漏洞补丁所需要的有关参数,进而直接将漏洞补丁进行安装就可以了。漏洞补丁在安装完毕之后,就可以对于下一个漏洞补丁进行安装,直到最后一个漏洞补丁安装完毕。
2.3 漏洞信息与补丁文件的获取
2.3.1 漏洞信息与补丁文件的获取
计算机软件漏洞检测系统所获得的补丁信息全部都是在微软官网上面获取,进而能够有效保证补丁信息的全面及精准。在微软官网上面或者信息公告,主要目的就是满足系统在实际应用中的覆盖范围及实时性需求。
2.3.2 一级服务器对补丁文件的自动下载
计算机软件漏洞检测系统要是能够具有补丁自动下载功能,最为关键的就是能够自行对于补丁下载地址进行获取。首先,计算机软件漏洞检测系统需要将微软公司的网址下载到本地后,对于网址进行分离分析,进而找到网址内所具有的安全信息,例如公告号、漏洞描述等等;其次就是公告上面的URL下载到计算机系统内,对于安全公告进行划分分析,这样就能够获得每一个补丁的相信信息,例如补丁安全等级、软件名称等等;最后就是有服务器端将补丁全部数据都生成表格,并且将自动下载的全部补丁文件所对应的网址都自动读取,填写到本地文件目录中, 为用户提供补丁下载资源。
3 系统设计与实现
3.1 客户端的漏洞检测设计与实现
客户端漏洞检测主要有五部分构成,分别是漏洞扫描模块、用户界面模块、端口扫描模块、程序指纹识别模块及分布式下载模块。
3.1.1 漏洞检测模块
漏洞检测模块还分为三个功能单元,分别是操作系统漏洞检测子模块、第三方软件漏洞检测子模块及漏洞复子模块。
(1)操作系统漏洞检测子模块。操作系统漏洞检测子模块所应用的检测方式,是根据主机静态库漏洞扫描检测技术作为前提,所应用的静态库按照微软公司系统所的漏洞信息,具体步骤为:首先就需要对于漏洞信息模块进行调用获取,为漏洞补丁下载提供数据库,数据库在实际应用中,对于程序所具有的信息进行有效保护,防止其他恶意程序及违法行为对于造成影响,结构数据库具有64位的密钥匙;其次对于漏洞信息进行模块调用获取,对于系统通过漏洞库信息进行下载更新,在将漏洞信息库转变为普通数据库,按照普通数据库内数据结构对于漏洞数据库内的信息资源进行查找分析,并且将结果储存到针对性容器内,后期漏洞检测对比更加方便;最后就是将计算机系统内所存在的漏洞列表进行删除,进而有效得有系统所存在的漏洞列表。
(2)第三方软件漏洞检测子模块。计算机软件漏洞检测系统需要通过第三方软件获得补丁信息,并且安装目前操作系统内。
第三方软件漏洞检测模块所包含的内容角度,分别是:①从第三方软件内获取最新漏洞补丁及软件版本有关信息,并且将下载的第三方软件新系统信息安装到操作系统内;②第三方软件能够间系统最新版本信息及补丁信息在获取之后进行比较,并且安装到操作系统中,操作系统在安装第三方软件之后,就能够对于第三方软件不断进行更新;③第三方软件在当前操作系统安装之后,需要对于最新软件版本及漏洞补丁进行下载安装,不断对于软件进行完善;④第三方软件版本信息主要包含三方面信息,分别是第三方软件的名称、对于第三方软件最新信息进行描述及第三方软件最新版本下载地址。
(3)漏洞修复子模块。计算机软件漏洞检测系统在应用补丁的漏洞修复技术之后,漏洞检测模块能够有效将计算机内部下载但是并没有安装的补丁文件检测出来,漏洞修复子模块在补丁知识库内找到针对性启动参数之后,就能够直接将补丁文件进行安全,补丁在安全之后,系统就会对于下一个补丁进行安装,并且对于重启操作等等操作进行阻止,全部补丁文件在安装完毕之后,系统才会询问,用户根据自身实际情况选择计算机是否需要重启。
3.1.2 用户界面模块
在用户界面模块内,应用WTL基于SDK封装方式,能够提供一个十分有效的窗口架构,这种界面操作方式,能够为用户提供更加便捷的操作。
3.1.3 进程扫描模块
进程扫描模块能够根据系统操作进程所产生的信息,并且根据系统端口实际运行情况,能够给出安全的信息。
在对于知识库判别中,最佳方式就是对于服务端进行下载更新,在对于知识库分类分析之后,对于当前系统活动信息进行扫描,系统网络端口在分析占据之后,对于知识库进行阐述,对于系统资料及威胁程度进行针对性提出。所以,扫描步骤为:首先对于进程知识库进行下载更新,根据服务端允许下载,为服务器提供最新知识库,知识库所选择的本地数据库;其次就是对于进程列表进行扫描;最后就是通过知识库对于进程进行描述。
3.1.4 程序指纹识别模块
计算机程序在启动之后,客户端就会进入到一个监控模块内,对于计算机程序所进行的全部操作进行实时性监控监测。计算机软件漏洞检测系统要是实现实时性监控,就需要在系统上安装监视及控制进程。进程在实际创建过程中所需要包含的内容较多,并且需要分为多个步骤进行,在当全部步骤都落实之后,进程才能够启动。
进程在启动过程中所设计到的每一个步骤都是必要步骤。为了能够创建监视及控制进程,就需要利用计算机软件漏洞检测系统内所具有的函数关系式,对于保证进程步骤无法通过所创建的代码。
3.1.5 分布式下载模块
在计算机软件漏洞检测系统内应用分布式下载模块,主要目的就是降低局域网对于服务器所造成的影响,任何一个终端都能够提供相同的服务,并且每一个终端内都具有下载模块,终端在启动之后,都能够向服务器传输自身地址等等基础信息。服务器终端内会形成一个信息列表,对于用户提供有关信息。
3.2 服务端的漏洞检测设计与实现
服务端是计算机软件漏洞检测系统信息数据的源头,与此同时还能够对于信息数据进行知识类别及漏洞的实现,漏洞补丁也是从服务端进行下载,对于网络流量能够有效进行控制。服务端除了用户界面模块部分,还具有四部分模块,分别是漏洞信息库模块、评估规则模块、用户信息库模块及特征指纹模块。
3.2.1 漏洞信息库模块
漏洞信息库模块主要包括两个子模块,分别是操作系统漏洞获取子模块及第三方软件漏洞获取子模块。操作系统漏洞获取子模块在对于信息获取中,主要是根据微软所公布出现的漏洞信息进行跟踪,对于系统所存在的已知漏洞信息进行收集,并且将操作系统所具有的补丁信息进行读取。
(1)操作系统漏洞获取子模块。操作系统漏洞获取子模块主要是对于微软所公布出现的信息进行跟踪,同时对于系统所具有的最近漏洞信息进行收集,进而保证对于系统最新漏洞信息济宁掌握。系统最新漏洞信息主要包括三种,分别是漏洞名称、漏洞危险程度及漏洞所影响的系统版本。
(2)第三方软件漏洞获取子模块。第三方软件漏洞获取子模块主要是对于计算机系统内的第三方软件进行完善,更新及维护第三方软件所公布出来的漏洞信息,保证计算机系统内所应用第三方软件信息与官网漏洞信息相吻合,下子第三方软件最近补丁或者是版本,并且将最新补丁或者是版本安装到计算机内。
3.2.2 评估规则库模块
评估规则库模块属于判别知识库,能够根据用户实际应用需求进行扩展,并且对其安全性能进行判断,主要就是对于客户端所存在的异常端口进行扫描,判断计算机中那个端口真正运行。管理人员能够通过评估规则库模块对于服务端接口进行了解,掌握对于软件造成影响的信息,进而构成具有结构性的知识库。管理人员在对于知识库输入信息之后,知识库能够根据实际情况进行扩充,增加知识库内信息数量。
3.2.3 用户信息库模块
用户信息库模块是计算机软件漏洞检测系统内的重要组成部分,主要是对于分布式下载进行控制,属于知识库。在用户信息库模块内的知识库中,该知识库将用户在客户端上面所产生的全部数据信息都进行记录及储存。客户端在获取知识库数据信息之后,能够直接从网络环境中进行下载,或者是提供下载功能。
服务终端在启动之后,服务端就能够为用户提供NgixWEB服务,与此同时附带模块也能够运行,在这个过程中计算机防火墙还能够添加策略信息,对于防火墙进行初始化设置,保证防火墙的启动与函数关系计算所的得到的参数相吻合。防火墙要是在启动之后就添加策略信息,就能够启动提供服务。
3.2.4 用户界面模块
计算机软件漏洞检测系统在用户界面模块中,选择的是WTL基于SDK封装的窗口框架。用户界面模块主要应用就是能够为用户提供一个良好的界面体验,在实际操作过程中更加便捷。
4 结论
本文在对于计算机软件漏洞检测系统的设计与实验研究中,根据计算机软件漏洞有关理论知识,对于计算机软件漏洞检测方法进行了详细分析研究,并且根据公安部门计算机漏洞检测的实际情况,形成了一个较为完善的解决方案,能够有效将计算机软件漏洞自我检测与网络修复结合在一起。计算机软件漏洞检测系统在实际应用中不仅仅能够对于已知漏洞进行检测,还能够对于补丁进行下子及自动安全,有效提高计算机安全性能。
参考文献
[1]翟钰,张玉清,武维善,胡建武.系统安全漏洞研究及数据库实现[J].计算机工程,2014(04):68-71.
[2]朱静.安全漏洞及其修补技术的研究[D].西安:西安电子科技大学计算机系统结构专业硕士学位论文,2015:5-9.
[3]柳崧轶.基于C语言的程序安全性分析[D].长春:吉林大学计算机应用专业硕士学位论文,2013:6-9.
[4]CNCERT安全报告:软件漏洞成重大隐患[J].网络与信息,2011(04):57.
[5]单国栋,戴英侠,王航.计算机漏洞分类研究[J].计算机工程,2012(10):3-6.
[6]王志平.基于指标体系的网络安全态势评估研究[D].长沙:国防科学技术大学计算机科学与技术学院硕士学位论文,2015:5-9.
[7]潘玉.桌面安全管理技术现状与发展趋势[J].信息安全与技术,2014(08):13-16.
[8]刘欣.Windows 2000操作系统的安全漏洞检测方法及其安全对策的研究[D].北京:中国电力科学研究院计算机应用技术专业硕士学位论文,2015:12-17.
[9]任亚洲.Windows系统漏洞的研究[J].科技信息,2014(25):426.
[10]黄明,曾庆凯.软件脆弱性分类属性研究[J].计算机工程,2013(01):184-187.
[11]王湘新.湖南省公安消防部队补丁管理系统建设方案[J].信息安全与通信保密,2014(05):99-101.
[12]薛冰,孙寿利.局域网内Windows系统补丁自动更新的实现与应用[J].网络与信息,2013(11):27.
[13]李建安,谷利泽,杨义先.漏洞扫描与补丁管理系统的设计与实现[C].第一届中国高校通信类院系学术研讨会论文集[M].北京:电子工业出版社,2013:471-475.
[14]康峰.网络漏洞扫描系统的研究与设计[J].电脑开发与应用,2014(10):27-29.
[15]王雨晨.系统漏洞原理与常见攻击方法[J].计算机工程与应用,2015(03):62-64.
作者简介
张小敏(1979-),女,陕西省咸阳市人。曾毕业于兰州交通大学,获得硕士学位。现为西北师范大学数学与统计学院助教。研究方向为计算机软件与理论。
摘要及结论—软件可靠性预测可以增加安全关键性软件的信誉,比如NASA航空电子空间往返主要控制软件系统(往返飞行软件)。用一种新方法使目标到达,它综合了软件―安全标准,风险分析,可靠性预测及停止测试准则。这种途径也可应用于其它安全关键性软件。我们仅仅保证在一个安全关键系统中软件的安全。但在这样的系统中硬件和人为操作是不确定因素,容易导致软件的故障。所关心的是减少归因软件所有故障的风险。因此,安全指的是软件的安全而不是系统的安全。我们通过提高软件可靠性,也就是与任务和整体安全相关的可靠性测量和预测来加强系统安全的。
需要预先获得一部分RF及距下次故障时间(TTNF)的剩余故障数(RF),最大故障数和总共测试时间(TTT)表明对可靠性及预测是有帮助的,因为:
· 它提供软件达到安全目标的信誉及测试的必要时间。
· 分析没有达到RF及TTNF目标的风险。预测软件没有RF的程度及为可能遭遇TTNF任务提供拆分软件风险的评估准则。而且,部分RF可以既用作在预测TTT要求的操作质量目标。相反也可当TTT功能下降时作为操作质量的指示。
软件可靠性建模提供了几种工具中的一种,如往返飞行软件的监督—用来保证软件达到预期安全目标。
而其它工具是检查、软件复查、测试、改变控制板和可能最重要的实践及判断。
1.简介
两类软件可靠性测量和用参数模式的可靠性预测一起协助确保在安全关键系统中软件的安全,就像往返飞行软件一样。这两类是:
:9000多字
有参考文献
200元
备注:此文版权归本站所有;。
关键词:安全技术;计算机软件开发;应用策略;安全性
现如今,计算机软件水平直接影响着社会的发展,在各大领域当中都能够看到计算机的身影,同时计算机正在发挥着不可估量及不可代替的作用。计算机在创造价值的过程中,主要是通过计算机软件的应用得以实现,但是实际在应用过程中,存在着一定程度的安全隐患,这些安全隐患不仅严重影响到计算机软件正常使用,同时还会造成一定程度的经济损失,因此,安全技术在计算机软件开发中的作用成为社会十分重视的一项问题。
1安全技术以及计算机软件开发的简要概述
1.1计算机软件开发技术原理以及现状
针对于计算机软件开发技术而言,其主要原理是建立在软件工程基础上进行,是计算机中存在的最为基础的学科,通过对软件的维护以及开发,能够对其实现系统化以及规范化设计,这种情况下能够有效解决计算机软件开发过程中存在的各种问题。在计算机软件开发的过程中,其主要工作内容包括计算机软件定义可行性分析、软件需求分析、概要设计、详细设计、开发阶段、测试阶段、软件维护。而在计算机软件研发的过程中,首先,相关技术工作人员应针对开发项目进行充分的研究分析,然后再深入到市场进行调查,建立在市场调查后的基础上,制订可行性报告,并在此过程中明确客户需求标准。计算机软件分析虽然技术性不强,但是仍然具有非常重要的价值,其直接决定着后期软件用户下载率以及使用率,同时还能够为软件后期的开发环节、维护环节提供指导作用。软件开发是建立在实际标准的基础上进行的,在完成软件编码之后,应开展软件测试工作,在测试之后没有发现任何漏洞或者错误即可上报,进而形成软件源代码,这种情况下能够使得软件在开发之后无论是在性能方面,还是在功能方面都能够满足设计要求标准。最后,依据市场实际需求以及用户实际需求进行软件维护,定期或者是不定期地针对软件系统进行维护或者升级。软件维护贯穿于软件整个使用阶段。为了能够满足现如今时代需求、人们对于计算机软件逐渐增长的生产需求或者是日常生活需求等,为现代信息社会发展提供源源不断的动力,计算机软件的发展方向逐渐趋向于灵敏性、便捷性以及功能性的服务功能,进而促使计算机软件应用功能不断增强,这种情况下也就意味着计算机软件所承担的为社会创造价值的责任越来越重,因此,计算机软件在应用的过程中,其安全性越加重要,同时深受人们重视,虽然在科技技术不断发展的背景下,计算机软件不断地被开发,并应用越来越广泛,但是,针对于网络而言,病毒软件或者是黑客的计算机技术水平也会越来越高,这种情况下说明了现如今安全技术是计算机软件开发中最为有待解决的一项问题。
1.2计算机安全技术简要概述
针对于现如今时代而言,人们无论是在生活方面,还是在生产方面,对于计算机的需求以及依赖性都非常大,在大领域以及人们日常生活的各个方面中都存在计算机的身影,其主要原因是计算机具有十分强大的功能,能够为人们的生活以及生产提供强大便捷性,有效提高生产效率和工作效率等,对促使社会更好发展起到极其重要、不可代替的作用。但是计算机也有双面性特点,计算机在实际应用的过程中不仅仅存在着一系列的优势,与此同时也存在一定的安全隐患,例如病毒软件污染、黑客攻击等。在此基础上会出现信息资源被盗、恶意篡改等事件,并且这些事件的普遍发生,严重影响到计算机正常使用,同时在一定程度上阻碍计算机更好发展。因此,针对于计算机软件开发而言,安全技术必不可少,能够有效避免黑客入侵、病毒软件入侵、抵挡恶意事件发生,还能够在一定程度提高计算机的使用性能,进而使得计算机在使用的过程中更加具备可靠性和安全性,使得计算机获得更加有效的使用。
2安全技术在计算机软件开发中的应用策略
2.1防火墙安全技术的应用
在计算机软件开发的过程中,防火墙安全技术的应用已经十分普遍,防火墙安全技术的应用主要作用就是能够防止外部攻击,在应用的过程中,通常情况下都是在计算机内部网以及外部网之间设置一道防火墙,这一道防火墙就是计算机的保护屏障,这种情况下就能够对计算机起到保护作用,能够将潜在安全隐患以及恶意攻击抵挡在防火墙外面,进而有效减少计算机安全风险。另外,对于防火墙安全技术来说,其具备非常强大的抗攻击能力,抗攻击能力无论是在计算机网络安全保护过程中,还是在信息安全保护过程中都起到极其重要的作用。防火墙安全技术在计算机软件中应用能够获得较为良好的使用效果,其不仅仅能够起到将安全隐患抵挡在防火墙外部,还能够对计算机关键网络起到保护作用,进一步有效提高计算机安全系数。防护墙具备访问权限功能,这种情况下就说明了在接收外部信息的过程中,具有访问权限的信息能够通过防火墙。
2.2加密安全技术的应用
将加密安全技术应用到计算机软件开发过程中,能够将计算机中存在的真实信息资源隐藏,这种情况下就能够避免病毒软件或者是黑客入侵盗取或者是恶意篡改信息资源,进而有效避免为用户带来巨大损失,同时还能够有效保障信息资源的安全性、准确性和完整性。另外,将加密安全技术应用到计算机软件开发中还能够有效保护用户的隐私,进而避免用户的信息资源被泄露或者是被恶意盗取。针对于加密安全技术而言,一般情况下分为两个部分,分别是针对文件以及程序进行安全加密和针对需要传输的文件或者是信息资源进行安全加密,因此,加密安全技术能够防止病毒软件以及黑客对计算机系统的入侵破坏,能够极大程度上维护相关用户的核心利益。
2.3漏洞修补安全技术的应用
实际上,每一款计算机软件的开发以及应用都只是能够满足于当下短时间之内人们对其的应用需求,一旦计算机软件被长时间的应用,那么就可能会出现各种各样的漏洞,因此,软件在开发的过程中一定要充分重视对软件的漏洞修补,积极应用漏洞修补安全技术,进而针对安全等级不断降低的计算机软件进行漏洞修补,这种情况下不仅仅能够促使计算机软件安全性能有效提高,同时还能在一定程度上提高软件整体水平,进而避免软件落后现象发生,使软件安全防御能力不断提高。另外,在计算机软件开发过程中,应用漏洞修补安全技术能够对软件的整个系统进行扫描,这种情况下通过扫描工作就能够将软件中存在的安全隐患或者是安全风险检验出来,进而及时开展针对性的修补工作,进而确保计算机软件的正常应用。值得注意的是,定期应用漏洞修补安全技术对计算机软件进行检查是十分有必要的,同时也是保护计算机安全运行的一项重要技术手段。
2.4入侵检查安全技术的应用
针对计算机软件开发而言,入侵检查安全技术是近些年来开发出的创新型安全技术,能够有效避免网络受到恶意攻击。在计算机软件开发中,应用入侵检查安全技术能够实现快速有效分析计算机网络的特点以及系统结构,与此同时在应用的过程中还能够及时针对可能发生攻击的现象或者是存在的异常现象进行警报。针对于入侵检查安全技术而言,实际上就是指将推理技术、统计技术以及通信技术组成为一体的技术形式,不仅如此,入侵检查安全技术中还涉及到人工智能技术,这种情况就意味着入侵检查安全技术在应用的过程中能够针对计算机软件开发的整个规程实现精准实时监督,进而能够将计算机软件开发过程中的异常现象有效检查出来。另外,入侵检查安全技术还包括网络、主机以及混合型入侵检查安全技术形式,主要是针对监控对象存在的不同差异实现划分。在计算机软件开发过程中,应用入侵检查安全技术是通过针对于网络数据的流通进行分析,以此起到保护安全的作用价值。在这其中,针对于混合型入侵检查安全技术而言,能够将网络入侵检查安全技术以及主机入侵检查安全技术存在的优点有效综合,这种情况下就意味这混合型入侵检查安全技术所涉及到的范围更加全面,更加广泛,同时安全保护作用效果也会更加明显。
3总结
总而言之,计算机软件已经成为现如今时代背景下人们生活以及生产各个方面必不可少的重要工具,因此,应注重针对安全技术在计算机软件开发中的应用进行分析探究,将安全技术的作用价值充分发挥,提高计算机软件安全性,促使中国网络安全水平不断提高,这种情况下能够使得计算机作用价值有效提高,进而为人们以及社会提供更好的服务。
参考文献:
[1]曹盛男.安全漏洞检测技术在计算机软件中的应用[J].黑龙江科学,2020,11(8):80-81.
[2]贾斌,代云皓.试论在计算机软件开发中数据库安全设计的应用实践[J].电脑知识与技术,2020,16(9):1-2.
[3]何东.分层技术在计算机软件开发中的应用研究[J].电脑编程技巧与维护,2020(3):46-47,76.
[4]吴金玲.软件工程技术在计算机系统软件开发中的应用研究[J].山西青年,2019(12):185,211.
关键词:计算机病毒,信息安全博物馆
0.引言
当前,我们正处在飞速发展的信息社会,计算机已经普及到我们工作和学习的每个角落,我们对计算机和计算机网络的依赖性也越来越高。随着博物馆信息化的推进,很多重要数据都以电子文件的形式保存,虽然现阶段博物馆拥有基本抵御网络安全威胁的能力和硬件设施,但是针对数据、信息、身份等窃取为主的入侵攻击、机密信息泄露、重要数据丢失等现象仍然时有发生,因此在博物馆信息化建设中加强信息安全迫在眉睫。
1.博物馆信息化建设中信息安全的重要性
信息是博物馆的重要资源,信息安全是博物馆信息化建设中的重要问题,特别是现代化博物馆的信息化建设将由独立的计算机服务器过渡到计算机网络集成化管理,信息的安全问题更加突出。计算机病毒与互联网黑客入侵,计算机管理及应用人员在使用中的疏漏等,都容易威胁到博物馆信息化网络系统的信息安全。
博物馆的信息系统存在安全方面的问题主要表现在:①计算机病毒和互联网黑客入侵。博物馆网站的电子信箱每天都会接收到包括病毒程序和钓鱼网页链接的垃圾邮件,这对博物馆的信息安全构成严重威胁,因此必须采取防病毒措施避免病毒和黑客程序在博物馆计算机网络内传播。②博物馆使用计算机的工作人员也必须保持安全防范意识,不要认为计算机安装了杀毒软件和病毒防火墙就不会遭受病毒和黑客的入侵,而要根据实际使用情况对杀毒软件进行合理配置,打开杀毒软件的实时监控功能,并且定期进行杀毒软件的升级和相关病毒代码库文件的更新,保证杀毒软件能够查杀互联网上最新流行的病毒。③做好计算机重要数据的备份。
博物馆的计算机专业技术人员应经常对整个计算机网络系统进行维护、检测,发现问题及时解决,消除安全隐患。同时博物馆在进行计算机硬件建设时不应忽视软件方面的投资,一方面适当购买计算机信息安全产品,如企业级网络版杀毒软件、企业级防火墙软件等,在技术方面消除安全隐患;另一方面就是对计算机技术人员的定期培训,以提高计算机管理人员的网络信息维护的能力。
2.计算机病毒的传播途径、处理方法及预防技巧
计算机病毒程序的传播途径主要有以下两种:①通过存储介质。存储介质包括软盘、硬盘(包括移动硬盘)、光盘、优盘和各种数码设备的存储介质(包括MP3、MP4、数码伴侣、SD卡、CF卡)等,这些存储介质存放用户需要的信息数据文件,一旦这些信息数据文件受到病毒的感染,这些存储介质将会成为病毒传播的物理介质。②通过网络方式。网络方式包括电子邮件、互联网地址页面、网络协议等,互联网络的普及给病毒的传播增加了新的途径。目前新型的病毒程序不但能够感染计算机的数据文件,而且能够主动对网络上的计算机进行攻击,并造成大规模的计算机中毒,进而使整个计算机网络陷入瘫痪状态。
计算机病毒的处理方法:首先判断计算机是否感染病毒程序,只需要查看计算机中的安全软件或杀毒软件能否正常运行;如果安全软件或杀毒软件都不能正常运行的话,就基本确定计算机被病毒感染了。其次为防止病毒在网络上传播和相互感染,在处理感染病毒的计算机前,都必须断开计算机的物理网络连接,然后进行计算机病毒的清除工作。再次根据计算机感染病毒的具体特性,采用针对病毒特性的方法进行查杀病毒。最后连接计算机网络并且升级安全软件和杀毒软件,确保它们处于正常运行的状态,避免计算机受到病毒程序和木马程序的重复感染。免费论文参考网。
预防计算机病毒有以下技巧:①在计算机上安装安全软件并且更新到最新版本,及时升级计算机操作系统安全补丁,定期检查计算机系统的整体安全性。免费论文参考网。②在计算机上安装杀毒软件,开启杀毒软件的实时监控功能,及时更新杀毒软件的病毒特征数据库,定期检查计算机内的所有文件,检测可能入侵计算机的未知病毒程序。③在计算机上安装防火墙软件,设置合适的防火墙软件安全策略,能够有效阻止来自互联网络上黑客的入侵攻击。④建立良好的计算机使用习惯,例如不要打开来历不明的邮件及其附件,不要访问不太了解的网站,不要运行从互联网上下载后未经杀毒处理的软件等。⑤在使用各种存储介质前,先运行杀毒软件对存储介质进行病毒检查,在确认没有病毒的情况下才打开存储介质里的文件。⑥定期对计算机进行全盘病毒木马扫描,及时发现隐藏在计算机中的各种病毒木马程序。
3.计算机网络入侵的攻击方法和防范措施
在互联网普及的时代,博物馆信息化建设需要结合计算机网络新技术,在抵御病毒入侵的同时,更加需要抵御来自互联网的黑客入侵攻击。黑客入侵的攻击方法有:扫描器法、特洛伊木马法、拒绝服务攻击法等。
(1)扫描器是利用客户机/服务器(简称C/S)结构中的“请求——应答”机制来实现的。它通过使用不同的请求信息依次向远程主机或本地主机发送服务请求,如果远程主机或本地主机有响应,则表明与服务请求所对应的服务正在进行中,这时再进一步分析和确定服务软件的版本信息,并试探该版本中的漏洞是否存在,从而实现扫描的目的。网络入侵扫描器具备的基本功能包括:利用网络命令扫描并且发现目标主机及其所在的计算机网络,发现目标主机后能够扫描目标主机正在运行的各种服务及其对应的端口,能够扫描并测试目标主机上这些服务中是否存在漏洞,能够结合其它黑客工具对目标主机实施攻击并且达到控制目标主机的作用。免费论文参考网。
预防扫描器法网络入侵攻击的方法是:使用正版的操作系统软件并及时安装操作系统的漏洞补丁升级程序,使用正版的各种应用程序软件并及时安装软件的升级补丁程序,保持操作系统和应用软件处于最新的版本,使用安全软件检查系统软件,这样能够有效防止因系统漏洞或者软件漏洞而导致计算机被网络扫描器攻击入侵。
(2)特洛伊木马(简称木马)是一种C/S结构的网络应用程序。木马的服务器端程序可以驻留在目标主机上以后台方式自动运行,攻击者使用木马的客户端程序与驻留在目标主机上的服务器木马程序进行通信,进而获取目标主机上的各种信息。例如,窃取用户口令、复制或删除文件、控制目标主机等。
计算机系统中出现木马程序的原因主要有三种:第一种是合法用户故意获得木马程序并将其安装在系统上;第二种是互联网上免费提供下载的软件被植入木马程序,合法用户在安装该软件时,无意识地将木马程序安装到了系统上;第三种是合法用户访问挂马网站激活了网页木马而中毒。网页木马防不胜防,主要有两个原因:一、网页木马利用用户电脑中的各式各样的漏洞偷偷潜入;以往最多的是系统漏洞,现在主流的都是第三方软件漏洞,因为很多用户都没有给软件打安全补丁的习惯。二、木马在变成网页木马之前,一般都会针对各种流行的杀毒软件使用加花、加壳等手段进行病毒免杀处理,从而逃避杀毒软件的查杀。
预防木马入侵的方法是:不要打开来历不明的软件程序;不要打开未知的互联网网页地址;通过安全软件检查计算机操作系统是否存在木马程序。
(3)拒绝服务攻击(简称DoS攻击)是指攻击者通过消耗或破坏目标系统上的网络带宽、系统资源、服务程序使目标系统无法提供正常的网络服务。DoS攻击会导致计算机系统资源匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快,都无法避免这种攻击带来的后果,因此DoS攻击是一种对计算机网络危害巨大的恶意攻击。DoS攻击以分布式拒绝服务攻击(简称DDoS攻击)最为典型。发动一次DDoS攻击,攻击者首先控制大量的僵尸机(攻击者通过操作系统或某些常用应用程序的漏洞来获得访问主机系统的权限,并在主机系统里安装木马程序,这些被入侵的主机系统就是僵尸机),大量的僵尸机组织在一起就形成一个僵尸网络,攻击者控制僵尸网络同时以高速度向目标主机发送大量的数据包,目标主机就会因处理源源不断的数据包而迅速消耗系统资源,最终导致目标主机无法响应正常的请求或死机。
防范拒绝服务攻击的对策有:①进行拒绝服务检测,如主机异常情况的检测、主机网络连接特征的检测、伪造数据包的检测、统计检测等;②增强容忍拒绝服务攻击的能力;③阻止拒绝服务攻击,如通过入口过滤、源端统计过滤、基于路由过滤等方式来过滤明显伪造的数据包;④追踪拒绝服务攻击;⑤网络的边界过滤;⑥合理编写防火墙规则和路由器的访问控制列表,合理过滤数据流;⑦网络的流量控制;⑧网络带宽提供冗余,关键的防火墙和服务器提供备份;⑨尽量为系统打好必须的安全补丁;⑩服务器采用DNS轮询或负载均衡技术等等。拒绝服务攻击问题一直以来得不到根本的解决,是因为这是由于计算机网络协议本身的安全缺陷造成的,因此无法从根本上抵御拒绝服务攻击。【1】
4.加强博物馆网络安全和提高安全防范技能,有效保护博物馆信息化建设成果
博物馆的计算机网络安全是保护博物馆计算机网络系统中的硬件、软件和数据资源,不因偶然或其他的原因遭到破坏、更改、泄露,使博物馆计算机网络系统能够连续可靠地正常运行并提供网络服务。加强博物馆计算机网络安全和提高博物馆计算机网络安全防范技能有以下的对策:
(1)在技术层面的对策。①加强网络安全教育和管理。提高工作人员的保密观念和责任心, 教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。②运用网络加密技术保护网络传输的数据。把各种加密算法结合在一起使用,这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一,既可以对付恶意软件攻击又可以防止非授权用户的访问。③加强计算机网络访问控制。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问,也是维护网络系统安全、保护网络资源的重要手段。④信息资源数据库的备份与恢复。博物馆信息资源数据库的备份与恢复是数据库专业技术人员维护博物馆信息数据安全性和完整性的重要操作。⑤采用防火墙技术是解决网络安全问题的主要手段。防火墙是在网络之间执行访问控制策略的系统,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,而且防火墙具有较强的抗攻击能力。
(2)在物理层面的对策。①保证博物馆计算机网络系统实体有安全的物理环境条件,如温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。②选择博物馆信息中心机房安装场所十分重要,它直接影响到计算机系统的安全性和可靠性,而且要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,避免设在建筑物高层和用水设备的下层或隔壁,还要注意出入口的管理。③博物馆信息中心机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。首先物理访问控制识别访问用户的身份并对其合法性进行验证,其次对来访者必须限定其活动范围,再次要在计算机系统中心设备外设多层安全防护圈防止非法暴力入侵,最后信息中心计算机系统设备所在的建筑物应具有抵御各种自然灾害的设施。【2】
5.结论
我们只有重视博物馆信息化建设中信息安全的重要性,做好各项措施预防计算机病毒并且有效抵御互联网的黑客入侵攻击,加强博物馆计算机网络安全和提高博物馆计算机网络安全防范技能,才能保障博物馆信息化建设成果。
参考文献:
[1]王海彬. 网络拒绝服务攻击及防范对策[J]. 网管员世界,2008,24:98-102.
[2]顾巧论,高铁杠,贾春福. 计算机网络安全[M], 清华大学出版社,2008,6.
[3]张洪彪. 浅谈计算机网络安全与防范[J]. 决策与信息,2009,12:186-188.
【关键词】计算机网络 通信网络 融合
随着以计算机为核心的网络技术的发展,网络技术的应用遍及国民经济和人们日常生活的中各个领域,并融入各个领域中,促进社会发生巨大的变革。在计算机网络和信通信网络技术的发展和完善,计算机网络和通信网络技术开始趋向于融合,使通信行业进入新的发展阶段,并带来巨大的发展契机。到目前位置,计算机网络已经成为通信系统的中要组成部分。但是,计算机网络和通信技术的融合过程也会出现相应的问题,给通信安全带来一定的威胁。因而保证计算机网络和通信技术的顺利融合,解决其中的安全问题势在必行。
1 计算机网络与通信网络技术融合的前景
早期的计算机网络在某一局域网实现数据和文件的传输。计算机网络与通信网络技术融合后,计算机通信网络通过通信链路便可串联世界范围内独立的计算机,再借助相关的通信软件和硬件就可轻松时间计算机设备之间的通信。不仅如此,计算机之间可利用网络传输各种资源,实现资源共享。换言之,计算机网络与通信网络技术的融合带来的第一变革就突破了地域的限,实现了世界范围内的数据传输和共享,还能实时传输音频文件。
从以上计算机网络和通信网络技术的融合通信系统带来的改变来看,计算机通信网络技术给社会带来的巨大变革主要体现在通信设备的界限、通信内容和通信范围三个方面。通信设备界限方面,传统通信所有设别有严格的处理设备和交换传输设备的界限,而计算机网络与通信网络技术融合后,处理和传输设备的界限在不断模糊,设备的功能之间已经没有太大的差别,计算机设备可以作为处理和传输设备数据的通信设备。在通信内容上,数据、声音和视频之间有本质的差异,而融合后使三者之间已无本质区别。在通信范围上,通信设备已经不再局限于局域网之内,而可以在世界范围中的远距离网络内实现传输,既局域网和远距离网络之间的差异在消失,并逐渐被互联网取代。
从计算机网络与通信网路技术的融合前进来看,计算机产业和通信产业界限的模糊促使两者的功能和生产过程都有融合的趋势。这也进一步使通信系统的集成和扩展功能提升,通信系同种的信息处理和传输功能合于一体,表明计算机网络和通信网络技术的发展趋向于综合性通信网络方向,并形成新的技术标准,以方便信息在更大范围的进行传输和共享。
2 计算机网络与通信网络技术融合下应注意的问题
计算机网络与通信网络技术的融合使计算机网络通信系统更加开放,交互性也更加强,通信系统在传输资源和传递信息的过程中也会面临更加大的安全风险,而且风险始于计算机通信网络的产生。客户使用计算机通信网络的过程也必须承担个人私密信息遭非法窃取的风险。总的来说,计算机网路通信系统的安全风险主要来源于以下几个方面。
2.1 软件组件
软件组件由操作、应用和应用业务三类软件组成,这三类软件以有序的层次结构组成整个软件组件体系。软件组件存在的风险与软件设计有关和软件工程有关,软件功能重复多余、软件过长过大都会给软件带来不同程度的风险。
三类软件中,操作平台软件是基础软件,因而其承受的风险较多,而且操作平台软件承受风险后并可转移风险,将风险转移到应用平台软件层。基于操作软件的重要性,操作软件必须具备极高的安全等级,且安全等级需高于整个系统安全等级。因此,出于安全考虑,操作平台的软件不适宜使用商业级别的操作系统和普通的操作系统。
应用平台软件是软件组件结构的中间层,它以操作平台软件为支撑,发挥管理应用业务层的软件的作用。应用平台层承受的风险来源于操作平台软件层,而且应用平台承受的风险也可传递至到用业务软件层,因而应用平台软件的安全性能也极为重要。提高应用平台软件的安全性需同时考虑到风险对应用平台软件的影响,还需考虑到风险转移的危险性,必须为应用业务软件提供一定的安全服务功能。
应用业务软件处于软件组件结构的顶层,客户通过应用业务软件实现各种交互。应用业务软件面临风险意味着客户的信息面临非法窃取的风险。该层次的软件安全等级和安全功能的完整性都不得低于安全程度的最低要求。
2.2 通信协议
目前的计算机网络通信协议中,专用计算机网络和局域网不能直接与不同构成的计算机网络实现连接和通信,因此专用计算机网络和局域网络的通信协议表现出相对封闭性的特点。与“开放式”的因特网通信协议的安全特性相比,“封闭式”的计算机网络的通信协议有2个优点。一是计算机网络体系的封闭性更强,外部计算机网络或站点直接攻击系统的可能性更低,信息通过电磁泄漏以及在分析通信协议的基础上搭线截获信息的可能性也更低。二是专用计算机网络的安全机制较好。如网络的自身结构、权限设计以及身份鉴别的安全机制都较为完善和成熟。
2.3 硬件组件
硬件组件问的安全隐患主要来源于硬件组件设计,而且安全问题多以物理安全问题为主,因此,硬件组件的问题的固有的、难以避免的安全问题。针对这类问题可以通过加强硬件组件管理的方式进行弥补,可有效预防和减少安全问题的危害性。使用依靠软件的方式没有太大效果。在选择引硬件组件时应减少硬件组件设计阶中存在的问题,以减少或消除安全隐患。
3 结语
虽然计算机网络与通信网络技术的融合有许多的安全问题,但是机遇与风险并存,而且无论人们采取哪种完善的方法,风险也依旧存在。因此必须选择适宜的方法对计算机通信网络进行风险管理,将风险控制在可接受范围内,实现效益最大化的目标。
参考文献
[1]黄月华,程红兵.试论计算机控制中的网络与通信技术[J].科技创新与应用,2013(32).
[2]车广宇.关于计算机通信网络安全与防护策略的探讨[J].黑龙江科技信息,2014(03).
[3]王占忠.关于计算机网络与通信系统的结合探讨[J].科技创业家,2014,(06).
[4]任艳斐,亓传伟.对计算机通信网络可靠性设计技术的研究[J].信息与电脑(理论版),2013(04).
作者简介
王恺伦(1991-),男,湖南省岳阳市人。现为合肥工业大学本科在读学生。研究方向为计算机科学。
购物车(0)