软件安全论文十篇

软件安全论文篇1

论文摘要：随着软件行业特别是软件外包行业在国内的蓬勃发展，如何保证自身的信息安全成了摆在软件企业面前的重要课题。文章通过对软件企业现有信息安全问题的分析，提出了采用信息安全体系建设系统解决信息安全问题，着重阐述了信息安全风险管理的原理和方法在软件行业中的应用。

论文关键词：软件企业；信息安全；风险管理

随着国家大力推动软件外包行业和IT行业的发展，软件企业发展呈现良好态势，在自身业务发展壮大的同时，软件企业信息安全重要性日益凸显。互联网和IT技术的普及，使得应用信息突破了时间和空间上的障碍，信息的价值在不断提高。但与此同时，网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示，2007年5月～2008年5月间，有62．7％的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和木马程序的安全事件为85．5％，遭到端口扫描或网络攻击的占31．4％，垃圾邮件占25．4％。

信息是软件企业的重要资源，是非常重要的“无形财富”，分析当前的信息安全问题，有如下典型的信息安全问题急需解决。

(1)网络共享与恶意代码防控。

网络共享方便了不同用户、不同部门、不同单位等之间的信息交换，但是，恶意代码利用信息共享、网络环境扩散等漏洞，影响越来越大。如果对恶意信息交换不加限制，将导致网络的QoS下降，甚至系统瘫痪不可用。

(2)信息化建设超速与安全规范不协调。

网络安全建设缺乏规范操作，常常采取“亡羊补牢”之策，导致信息安全共享难度递增，也留下安全隐患。

(3)信息产品国外引进与安全自主控制。

国内信息化技术严重依赖国外，从硬件到软件都不同程度地受制于人。目前，国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中。但是这些软件或多或少存在一些安全漏洞，使得恶意攻击者有机可乘。目前，我们国家的大型网络信息系统许多关键信息产品长期依赖于国外，一旦出现特殊情况，后果就不堪设想。

(4)IT产品单一性和大规模攻击问题。

信息系统中软硬件产品单一性，如同一版本的操作系统、同一版本的数据库软件等，这样一来攻击者可以通过软件编程，实现攻击过程的自动化，从而常导致大规模网络安全事件的发生，例如网络蠕虫、计算机病毒、”零日”攻击等安全事件。

(5)IT产品类型繁多和安全管理滞后矛盾。

目前，信息系统部署了众多的IT产品，包括操作系统、数据库平台、应用系统。但是，不同类型的信息产品之间缺乏协同，特别是不同厂商的产品，不仅产品之问安全管理数据缺乏共享，而且各种安全机制缺乏协同，各产品缺乏统一的服务接口，从而造成信息安全工程建设困难，系统中安全功能重复开发，安全产品难以管理，也给信息系统管理留下安全隐患。

(6)IT系统复杂性和漏洞管理。

多协议、多系统、多应用、多用户组成的网络环境，复杂性高，存在难以避免的安全漏洞。由于管理、软件工程难度等问题，新的漏洞不断地引入到网络环境中，所有这些漏洞都将可能成为攻击切入点，攻击者可以利用这些漏洞入侵系统，窃取信息。为了解决来自漏洞的攻击，一般通过打补丁的方式来增强系统安全。但是，由于系统运行不可间断性及漏洞修补风险不可确定性，即使发现网络系统存在安全漏洞，系统管理员也不敢轻易地安装补丁。特别是大型的信息系统，漏洞修补是一件极为困难的事。因为漏洞既要做到修补，又要能够保证在线系统正常运行。

(7)攻击突发性和防范响应滞后。

网络攻击者常常掌握主动权，而防守者被动应付。攻击者处于暗处，而攻击目标则处于明处。以漏洞的传播及利用为例，攻击者往往先发现系统中存在的漏洞，然后开发出漏洞攻击工具，最后才是防守者提出漏洞安全对策。

(8)口令安全设置和口令易记性难题。

在一个网络系统中．每个网络服务或系统都要求不同的认证方式，用户需要记忆多个口令，据估算，用户平均至少需要四个口令，特别是系统管理员，需要记住的口令就更多，例如开机口令、系统进入口令、数据库口令、邮件口令、telnet口令、FTP口令、路由器口令、交换机口令等。按照安全原则，口令设置既要求复杂，而且口令长度要足够长，但是口令复杂则记不住，因此，用户选择口令只好用简单的、重复使用的口令，以便于保管，这样一来攻击者只要猜测到某个用户的口令，就极有可能引发系列口令泄露事件。

(9)远程移动办公和内网安全。

随着网络普及，移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络，安全程度难以得到保证，如果内部网络直接允许远程访问，则必然带来许多安全问题，而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网，又要保证内部网络的安全”就成了一个许多单位都面临的问题。

(10)内外网络隔离安全和数据交换方便性。

由于网络攻击技术不断增强，恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统，窃取数据或恶意破坏数据。同时，内部网的用户因为安全意识薄弱，可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全，有的安全专家建议，“内外网及上网计算机实现物理隔离，以求减少来自外网的威胁。”但是，从目前网络应用来说，许多企业或机构都需要从外网采集数据，同时内网的数据也需要到外网上。因此，要想完全隔离开内外网并不太现实，网络安全必须既要解决内外网数据交换需求，又要能防止安全事件出现。

(11)业务快速发展与安全建设滞后。

在信息化建设过程中，由于业务急需要开通，做法常常是“业务优先，安全滞后”，使得安全建设缺乏规划和整体设计，留下安全隐患。安全建设只能是亡羊补牢，出了安全事件后才去做。这种情况，在企业中表现得更为突出，市场环境的动态变化，使得业务需要不断地更新，业务变化超过了现有安全保障能力。

(12)网络资源健康应用与管理手段提升。

复杂的网络世界，充斥着各种不良信息内容，常见的就是垃圾邮件。在一些企业单位中，网络的带宽资源被员工用来在线聊天，浏览新闻娱乐、股票行情、，这些网络活动严重消耗了带宽资源，导致正常业务得不到应有的资源保障。但是，传统管理手段难以适应虚拟世界，网络资源管理手段必须改进，要求能做到“可信、可靠、可视、可控”。

(13)信息系统用户安全意识差和安全整体提高困难。

目前，普遍存在“重产品、轻服务，重技术、轻管理，重业务、轻安全”的思想，“安全就是安装防火墙，安全就是安装杀毒软件”，人员整体信息安全意识不平衡，导致一些安全制度或安全流程流于形式。典型的事例如下：用户选取弱口令，使得攻击者可以从远程直接控制主机；用户开放过多网络服务，例如：网络边界没有过滤掉恶意数据包或切断网络连接，允许外部网络的主机直接“ping”内部网主机，允许建立空连接；用户随意安装有漏洞的软件包；用户直接利用厂家缺省配置；用户泄漏网络安全敏感信息，如DNS服务配置信息。

(14)安全岗位设置和安全管理策略实施难题。

根据安全原则，一个系统应该设置多个人员来共同负责管理，但是受成本、技术等限制，一个管理员既要负责系统的配置，又要负责安全管理，安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中，一旦管理员的权限被人控制，极易导致安全失控。

(15)信息安全成本投入和经济效益回报可见性。

由于网络攻击手段不断变化，原有的防范机制需要随着网络系统环境和攻击适时而变，因而需要不断地进行信息安全建设资金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所产生的经济效益往往是间接的，不容易让人清楚明白，从而造成企业领导人的误判，进而造成信息安全建设资金投入困难。这样一来，信息安全建设投入往往是“事后”进行，即当安全事件产生影响后，企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划，基本上是“头痛医头，脚痛医脚”，信息网络工作人员整天疲于奔命，成了“救火队员”。

为了解决信息安全问题，保护企业信息的安全，建立实施信息安全管理体系是非常有效的途径。无论是自身发展需求还是国际国内客户的要求，越来越多的软件企业希望或已经建立实施信息安全管理体系。如何提高组织的信息安全，通过建设信息安全管理体系中降低组织存在的信息安全风险的方法，来提高组织信息的安全性。由此可见信息安全风险管理，是我们建立信息安全管理体系的一个重要环节，也是信息安全管理体系建立的基础。下面我们着重探讨在软件企业中的信息安全风险管理。

1．信息安全风险管理概述

我们将标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程称之为风险管理，风险管理被认为是良好管理的一个组成部分，其过程如图1所示。

2．确定范围

在建立信息安全管理体系之初，根据业务、组织、位置、资产和技术等方面的特性，我们确定了组织ISMS的范围，那么风险管理的范围应该和我们确定的ISMS的范围相一致。在软件企业中，我们要将企业的业务流程、组织架构、覆盖地址、信息系统、相关资产等都纳入到风险管理的范围当中

3．风险分析

风险分析是标识安全风险，确定其大小和标识需要保护措施地区域的过程，其目的是分离可接受的小风险和不能接受的大风险，为风险评价和风险处置提供数据。风险分析主要有定性分析方法和定量分析方法两种。定性分析方法是最广泛使用的风险分析方法，主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性，相对于威胁发生的可能性，该方法通常更关注威胁事件带来的损失。定性分析方法在后果和可能性分析中采用数值(不是定性分析中所使用的叙述性数值范围)，并采用从不同来源中得到的数据进行分析，其主要步骤集中在现场调查阶段，针对系统关键资产进行定量的调查、分析，为后续评估工作提供参考数据。在软件企业进行风险分析时，因为定量分析方法中的数值、数据不易获取，我们通常采用定性分析方法。风险分析又包括以下4个方面，针对定性分析方法，具体过程如下：

(1)识别评估资产。

在ISMS中所识别评估的资产有别于常见的固定资产，这里的资产主要指信息、信息处理设施和信息使用者。在识别资产时，我们需要选择适合的分类原则和识别粒度。在软件企业中，通常把资产划分为硬件、软件等方面，还需要对这些方面进行细分，也就是进行二级分类。

在评估资产时，我们要从信息的三个属性即保密性、完整性和可用性来评估资产的重要度等级。资产的重要度等级是我们进行风险评价的依据之一。资产重要度等级可以按如下定义和赋值：

①资产属于“高”等级重要度，赋值为“3”，该类信息资产若发生泄露、损坏、丢失或无法使用，会给公司造成严重或无法挽回的经济损失；

②资产属于“中”等级重要度，赋值为“2”，该类信息资产若发生泄露、损坏、丢失或无法使用，会给公司造成一定的经济损失；

③资产属于“低”等级重要度，赋值为“1”，该类信息资产若发生泄露、损坏、丢失或无法使用，会给公司造成轻微的经济损失。

(2)识别评估威胁。

我们应该清楚威胁一定是与资产相对应的，某一资产可能面临多个威胁。在识别威胁时，我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后，综合考虑威胁源的动机、能力和行为，对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁，这种威胁动机、能力较强。

(3)识别评估脆弱性。

脆弱性可以理解为资产可以被某种威胁所利用的属性，一种威胁可能利用一种或多种脆弱性而产生风险。我们从管理和技术两个方面来识别脆弱性，通常采用文档审核、人员访谈、现场检查等方法。针对“识别评估威胁”中所举例的威胁，软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。

(4)识别评估控制措施。

在我们识别出威胁和脆弱性之后，我们要针对威胁利用脆弱性产生的风险，来识别组织自身是否已经采取控制措施，并采取叙述性数值的方式来描述已采取控制措施的有效性，评估的标准由组织进行制定，例如控制措施有效性可以定义进行如下定义和赋值：

①控制措施影响程度为“好”，赋值为“1”，该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果，能够满足公司的信息安全管理要求；

②控制措施影响程度为“中”，赋值为“2”，该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果，需要增加辅助的控制措施满足公司信息安全管理要求；

③控制措施影响程度为“低”，赋值为“3”，该类控制措施已经对信息资产威胁和脆弱性未起到控制效果，需要重新制定新的控制措施满足公司信息安全管理要求。

控制措施的有效性是我们风险评价的依据之一。

4．风险评价

风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程，其结果是具有不同等级的风险列表，目的是判断特定的风险是否可接受或者是否需采取其他措施处置。风险评价主要包括以下几个过程：

(1)分析评估可能性和影响。

“可能性”指威胁利用脆弱性的可能性，“影响”指威胁利用脆弱性后，对组织资产造成的影响。在分析可能性时，我们主要考虑威胁源的动机、能力和脆弱性的性质。在评估可能性时，依据组织制定的评估准则，对可能性进行描述，例如将可能性进行如下定义和赋值：

①可能性级别“高”，赋值为“1”，威胁源具有强烈动机和足够的能力，防止脆弱性被利用的防护措施是无效的；

②可能性级别“中”，赋值为“0．5”，威胁源具有一定的动机和能力，但是已经部署的安全防护措施可以阻止对脆弱性的成功利用；

③可能性级别“低”，赋值为“0”，威胁源缺少动机和能力，或者已经部署的安全防护措施能够防止——至少能大大地阻止对脆弱性的利用。

在分析影响时，我们主要考虑威胁源的能力、脆弱性的性质以及威胁利用脆弱性对组织资产保密性、可用性、完整性造成的损失。在评估影响时，同样依据组织制定的评估准则，对影响进行描述，例如将影响进行如下定义和赋值：

①影响级别“高”，赋值为“l00”，该级别影响对脆弱性的利用：a．可能导致有形资产或资源的高成本损失；b．可能严重违犯、危害或阻碍单位的使命、声誉或利益；c．可能导致人员死亡或者严重伤害；

②影响级别“中”，赋值为“50”，该级别影响对脆弱性的利用：a．可能导致有形资产或资源的损失．b．可能违犯、危害或阻碍单位使命、声誉或利益-c．可能导致人员伤害。

③影响级别“低”，赋值为“10”，该级别影响对脆弱性的利用：a．可能导致某些有形资产或资源的损失；b．可能导致单位的使命、声誉或利益造成值得注意的影响。

参考“风险分析”中的例子，病毒、木马攻击的动机、能力很强，员工很容易忽略对杀毒软件病毒库的升级，病毒、木马攻击很可能导致公司重要数据的丢失或损坏，那么这种威胁利用脆弱性的可能性就比较高，影响也比较高，均属于“高”等级。

可能性和影响都是我们进行风险评价的依据。

(2)评价风险。

在评价风险时，我们需要考虑资产的重要度等级、已采取控制措施的有效性、可能性和影响，通常可以采取叙述性赋值后依据组织制定的评价方法进行计算的方式，计算出风险值，并根据组织制定的准则，将风险进行分级，例如将风险进行如下分级：

①“高”等级风险：如果被评估为高风险，那么便强烈要求有纠正措施。一个现有系统可能要继续运行，但是必须尽快部署针对性计划；

②“中”等级风险：如果被评估为中风险，那么便要求有纠正行动，必须在一个合理的时间段内制定有关计划来实施这些行动；

③“低”等级风险：如果被评估为低风险，那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。

5．风险处置。

风险处置是选择并执行措施来更改风险的过程，其目的是将评价出的不可接受风险降低，包括以下几个过程：

①行动优先级排序。

行动优先级排序主要依据风险级别进行，对于不可接受的高等级风险应最优先。

②评估建议的安全选项

评估建议的安全选项主要考虑安全选项的可行性和有效性。

③实施成本效益分析。

对建议的安全选项进行成本效益分析，帮助组织的管理人员找出成本有效性最好的安全控制措施。

④选择控制措施。

在成本效益分析的基础上，组织的管理人员应确定成本有效性最好的控制措施，来降低组织的风险。

⑤责任分配。

根据确定的控制措施，选择拥有合适的专长和技能，能实现相应控制措施的人员，并赋以相关责任。

⑥制定控制措施的实施计划。

明确控制措施的具体行动时间表。

⑦实现所选择的安全防护措施。

根据各自不同的情况，所实现的安全防护措施可以降低风险级但不会根除风险，实现安全防护措施后仍然存在的风险为残余风险，残余风险需经过组织管理者批示，若组织管理者批准即为风险接受，若组织管理者批示不接受，则针对该风险重新进行风险评价、风险处置直到组织管理者表示风险接受为止。

软件安全论文篇2

关键词：计算机检测方法；软件安全；计算机安全

中图分类号：TP309.2文献标识码：A文章编号：1007-9599 (2012) 04-0000-02

计算机软件安全检测主要是为了避免由于软件应用问题所产生的潜在的安全风险。近年来针对计算机的软件安全检测，越来越受到社会各界的重视，关于计算机软件安全的检测方法，也在不断的讨论与研究中被大家认识。本文主要针对计算机软件的安全检测方法进行了相关论述，以期更好的预防计算机软件安全问题。

一、计算机软件安全测试的重要性分析

计算机软件的安全检测是在计算机软件开发过程中的十分重要的环节，计算机软件检测的主要目标是为了发现软件中可能存在的一些故障问题，从而可以有效的预防计算机存在的潜在风险。计算机的安全测试是保障计算机程序安全的有效手段。从目前计算机安全测试的方法来看，一般是分为静态测试和动态测试。

就计算机软件安全测试来讲，计算机软件安全检测是为了检测计算机是否能够安全运行计算机软件预定所预设的程序。软件测试的过程一般包括功能测试和渗透测试以及验证过程这三个主要程序。计算机软件安全测试的安全性和一般意义上所说的软件缺陷存在着很大区别，软件安全检测所侧重的是软件应该做什么，而不是可以做什么。在进行计算机软件安全检测时，一般分为计算机安全检测和计算机安全漏洞检测。计算机安全功能的测试是检测计算机的软件安全功能和安全功能之间的步调是否一致。软件的安全功能测试所涉及的内容非常的广泛，具体包括了机密性和授权，同时还包括访问控制及安全管理等等。相比之下计算机软件的安全漏洞就非常不同，主要是针对软件中可能存在的一些缺陷进行测试，如果不进行相关测试。则该缺陷很有可能会导致软件日常的应用中出现故障，所以，进行计算机安全测试是十分有必要的。

二、计算机软件安全检测的注意事项

计算机的软件安全测试是一个动态的测试过程，在实际操作过程中需要注意以下事项。

首先要针对所检测的计算机软件进行深入的了解，了解计算性软件的相关特性。经过综合分析后，进行选择想对应的检测技术手段，本着从实际出发的角度制定出安全合理的检测方案，方案必须经济合理且保证检测的效果。在人员配置方面，要注意检测人员专业的多源化。在进行计算机的软件安全检测的时候，不仅仅是要配备相应的软件安全分析人员，同时还需要与软件设计相关的总体设计人员，只有多方面全力配合，才能分析解决软件测试中的多种疑难问题。

其次在进行计算软件安全的相关检测时，对系统级以及需求级和代码级的分析是必须进行的。当软件规模较大的时候，还要对软件的结构设计方面进行必要的分析。在进行分析的过程中要选择实际工作中较为合理的分析方法，一般采用仿真环境和相应的分析工具来进行相关的检测工作。计算机检测是一个系统的过程，单一的方法有时候往往难以独立完成，需要多方面技术人才的通力配合才能准确无误的完成检测。

三、计算机软件安全检测方法论述

（一）计算机软件测试的步骤

对于计算机软件的程序来讲，规模较大的软件系统一般是由是由一些子系统共同组成的，而不同的一些子系统又由若干个小的模块构成。计算机软件测试一般的步骤是，先进行一定的单元测试，就是通常所说的模块测试，模块测试一般是依据软件设计中的最小单位所进行的测试。模块测试的目标是为了发现系统模块可能存在的一些缺陷。在模块测试之后，将所有的模块按照一定的程序进行设计并组装成系统。并且需要对相关的体系进行一定的安全测试。在此基础之上，进一步进行有效性的测试，有效性测试是十分必要的步骤。有效性测试的主要目的是对软件的性能和功能进行检查，检测是否与用户的需求相吻合。最后的步骤是进行系统测试，就是通过有效性的软件将计算机支持软件、数据已经硬件等结合起来进行测试。

（二）计算机软件安全检测的方法论述

1.形式化与模型的安全测试。对于安全检测方法来讲，首先是要确立软件的数学模型，运用形式规格说明语言的支持来进行形式化的规格说明。一般经常用到的形式规格和语言包括了基于模型语言、以及基于有限状态的语言和基于行为的语言。基于模型的安全的功能测试方法该方法，是对计算机的软件行为和结构，通过建模的方式生成测试的模型。然后以测试模型作为基础进而生成检测，从而驱动软件的计算机安全检测。一般较为常用的模型安全功能测试的方法主要有马尔可夫链。

2.语法测试与故障注入的安全测试。语法测试是对被检测的软件的功能接口的语法生成的软件测试输入的方法。这种方法可以测试软件对于不同类型输入的反应情况。语法测试进行测试的程序是对软件接口的语言的识别以及定义语言的语法。故障注入的安全性测试是利用故障分析树和故障树的最小割集来进行检测。故障分析树分析法使用系统最不应该出现的时间作为顶事件，以此来寻找故障可能发生的中间事件和底事件，故障注入法可以提高检测的自动化程度，是比较充分的计算机安全检测方法。

3.模糊测试与基于属性的测试。模糊测试，目前使用较多的是基于白盒的模糊测试方法，这种方法是对传统意义上的模糊测试方法的一种进步。这种检测方法比较有效的结合了传统的模糊测试与动态的测试方法。而基于属性的测试的测试方法是先确定软件的安全编程规则，然后将确定的规则编码做为安全属性来验证系统是不是遵守这些程序。这种检测方法的主要优势在于能够比较有效的分析安全漏洞的扩展性和交互性等。

四、结束语

计算机软件的安全测试对于计算机的正常使用有着非常重要的意义，本文主要介绍了计算机软件测试的几种比较常见的方法，通过分析计算机软件测试的重要意义，引起对计算机软件安全的重视，探究出更科学合理的计算机软件测试方法，以保证计算机软件的安全。

参考文献：

[1]王维静,王树明,陈震,申春,彭秀增. 软件安全的多指标综合评测[J].计算机工程与应用,2006,(11)

[2]William B Bierce,Michael Harold. New Us patent gwildelines offer hope to software developers in era of diminishing copyright protection .Tolley‘s computer law And Practise,1995,Vol.11,Vol.11 (No.4)

软件安全论文篇3

计算机理论谈软件的破解与保护

常见的软件破解方法

首先我们来了解一下破解中几个重要的专业术语。

(1)断点，所谓断点就是程序被中断的地方，中断就是由于有特殊事件发生，计算机暂停当前的任务，转而去执行另外的任务，然后再返回原先的任务继续执行。解密的过程就是等到程序去获取我们输人的注册码并准备和正确的注册码相比较的时候将它中断下来，然后我们通过分析程序，找到正确的注册码。

(2)领空，所谓程序的领空，就是程序自己的领土地盘，也就是我们要破解的程序自己程序码所处的位置。每个程序的编写都没有固定的模式，所以我们要在想要切人程序的时候中断程序，就必须不依赖具体的程序设置断点，也就是我们设置的断点应该是每个程序都会用到的东西。

(3)API，即Application Programming Interface的简写，我们叫应用程序编程接口，是一个系统定义函数的大集合，它提供了访问操作系统特征的方法。API包含了几百个应用程序调用的函数，这些函数执行所有必须的与操作系统相关的操作，如内存分配、向屏幕输出和创建窗口等，WINDOWS程序以API为基础来实现和系统打交道。无论什么样的应用程序，其底层最终都是通过调用各种API函数来实现各种功能的。

了解了以上三个专业术语后，我们看下基本的软件破解方法。

2.2利用算法注册机。算法注册机是要在分析了软件的注册码算法的基础上，制作出来的一种可以自动生成软件注册码的程序。所以软件的算法很重要，一般软件作者自己也编写，方便软件的销售使用。这类软件加密的特点是一个注册码只能在一台电脑上使用，像和电脑进行了一对一的绑定。使用步骤是首先运行试用的软件，得到本台机器的软件机器码，再用算法注册机算号注册，然后用算法注册机直接算出合适的注册码，最后用算出来的注册码直接注册。

2.3利用内存破解。我们知道所有正在运行的程序的数据，全部都要加载到内存中去，软件在进行注册码认证的时候会有个比较的过程，所以我们只须知道所要破解软件的注册码的内存地址，就达到目的了。这种方法的优点是无须花大力气掌握软件注册码的算法，非常节省编写内存注册机的时间。步骤是先加载内存注册机，再通过它去获得内存中软件的真实注册码，或修改内存中软件相关的某些数据，来达到破解软件的目的。主要有2种方式，第一种直接从内存中得到注册码，第二种在内存中模拟已注册程序的运行环境。

2.4补丁破解法和文件注册法。补丁破解法是指用相关的补丁程序来修改软件，以达到破解软件的目的。此方法一般是破解软件的验证注册码或时间，基本上都是修改原程序的判断语句。比如程序试用期是一个月，就可以把这个修改掉，来达到无限使用的目的。文件注册法就是把软件的注册内容放到一个文件里，以方便自己或别人用它来注册，主要有注册表导人和注册文件导人两种方式。

求学网小编为你提供论文范文：“计算机理论探析计算机网络安全的现状和防范”，大家可以结合自身的实际情况写出论文。

计算机理论探析计算机网络安全的现状和防范

现在，计算机通信网络以及Internet已成为我们社会结构的一个基本组成部分。网络被应用于各个方面，包括电子银行、电子商务、现代化的企业管理、信息服务业等都以计算机网络系统为基础。安全性是互联网技术中很关键的也是很容易被忽略的问题。在网络广泛使用的今天，我们更应该了解网络安全，做好防范措施，做好网络信息的保密性、完整性和可用性。

一、网络安全的含义及特征

（一） 含义。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

（二）网络安全应具有以下五个方面的特征。

保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。

完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。

可控性：对信息的传播及内容具有控制能力。

可审查性：出现的安全问题时提供依据与手段

二、网络安全现状分析和网络安全面临的威胁

（一）网络安全现状分析。

互联网和网络应用以飞快的速度不断发展，网络应用日益普及并更加复杂，网络安全问题是互联网和网络应用发展中面临的重要问题。网络攻击行为日趋复杂，各种方法相互融合，使网络安全防御更加困难。黑客攻击行为组织性更强，攻击目标从单纯的追求“荣耀感”向获取多方面实际利益的方向转移，网上木马、间谍程序、恶意网站、网络仿冒等的出现和日趋泛滥；手机、掌上电脑等无线终端的处理能力和功能通用性提高，使其日趋接近个人计算机，针对这些无线终端的网络攻击已经开始出现，并将进一步发展。总之，网络安全问题变得更加错综复杂，影响将不断扩大，很难在短期内得到全面解决。总之，安全问题已经摆在了非常重要的位置上，网络安全如果不加以防范，会严重地影响到网络的应用。

（二）网络安全面临的威胁。

计算机网络所面临的威胁是多方面的，既包括对网络中信息的威胁，也包括对网络中设备的威胁，归结起来，主要有三点：一是人为的无意失误。如操作员安全配置不当造成系统存在安全漏洞，用户安全意识不强，口令选择不慎，将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。二是人为的恶意攻击。这也是目前计算机网络所面临的最大威胁，比如敌手的攻击和计算机犯罪都属于这种情况。三是网络软件的漏洞和“后门”。任何一款软件都或多或少存在漏洞，这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。绝大部分网络入侵事件都是因为安全措施不完善，没有及时补上系统漏洞造成的。此外，软件公司的编程人员为便于维护而设置的软件“后门”也是不容忽视的巨大威胁，一旦“后门”洞开，别人就能随意进入系统，后果不堪设想。

3、常见的软件保护方法

3.1注册码。软件的注册码一般都是一机一个，不能重复。下面我们来看看如何实现的。

第一步根据硬盘卷标和CPU序列号，生成机器码，首先编写public static string GetDiskVolumeSerialNum-ber（）函数取得设备硬盘的卷标号，其次编写public static string getCpu（）函数获得CPU的序列号，最后生成机器码，函数如下:

String Number; String public static string getsoftNum（）

{strNum-=getCpu+GetDiskVolumeSerial-strsoftNum=strNum.Substring(0, 24);//从生成的字符串中取出前24个字符做为机器码return strsoftNum; }

第二步根据机器码生成注册码，需要编写public static string getRegistNum（）函数来实现。

第三步。检查注册状况，若没有注册，可自定义试用天数，延迟，未注册画面等等，可编写private void CheckRegist0 Cpl数来实现。

3.2软加密。所谓软加密就是不依靠特别硬件来实现的对软件的保护技术。当前国际上比较通用的软件都采取软加密的方式，例如微软的windows系统、杀毒软件等，它的最大优势在于极低的加密成本。目前主要有密码法、计算机硬件校验法、钥匙盘法等。目前比较流行的是使用外壳，外壳分为压缩壳和加密壳，其中压缩壳的保护性比较弱，所以一般采用加密壳，其原理是利用堆栈平衡原理，修改程序人口处代码，使其跳转到壳代码执行解密程序，将原程序代码解密后跳回原程序的OEP继续执行。目前比较强的加密壳采用的是动态解密代码、SMC , IAT加密技术，程序在运行过程中动态解密代码，执行完毕后立刻删除，并且对IAT加密，当需要调用API时用解密算法算出API的实际地址来调用，更有甚者，壳里有壳。目前常见的比较强的5大壳有:( I ) EncryptPE，其特点是对IAT加密比较强，( 2 ) ASProtect，其特点是采用多层SEH，很容易把人转晕，( 3) ACProtect，其特点是采用stolen code的办法，( 4 ) Armadillo，其特点是双进程互相检测，(5)themida,其特点是采用虚拟机技术。好的加密效果在于让盗版者在破解被保护的软件时，付出巨大的代价，耗费极大的时间精力，最终被迫放弃攻击。

3.3硬加密。硬加密就是我们所说的加密狗或加密锁，是一种插在计算机USB口或并口上的软硬件结合的加密产品，目前绝大部分都是USB口形式，是基于硬件保护技术，其目的是通过对软件与数据的保护防止知识产权被非法使用，是保证高档软件在市场生命周期中免受盗版侵害的功能强大的工具。加密狗一般都有几十或几百字节的非易失性存储空间可供读写，现在较新的狗内部还包含了单片机。软件开发者可以通过接口函数和软件狗进行数据交换，来检查软件狗是否插在接口上。加密狗内置的单片机里包含有专用于加密的算法软件，该软件被写人单片机后，就不能再被读出。这样，就保证了加密狗硬件不能被复制。同时，加密算法是不可预知、不可逆的。加密算法可以把一个数字或字符变换成一个整数，如DConvert (6)=67876,DConvert(X)=34567 0

4、结束语

软件安全论文篇4

1.作为消费者，你是否认为防毒软件拖慢了你的PC？

同意79%

不同意21%

2.你认为防毒软件会向功能越来越全、占用资源越来越大发展？还是会变得越来越小，功能越来越单一分化？

越来越全55%

越来越专30%

防毒扫描95%是多余的？别惊讶，这可是安全软件业界人士自己说的。随着病毒、蠕虫、木马等恶意程序越来越肆虐，防毒软件也变得不可或缺。尽管人们普遍认为防毒软件功能越强大、防范范围越广越好，可结果却造成了防毒软件越来越肥厚，拖慢了用户PC的效能。某安全软件厂商表示，存在于全球许多PC上、恒久不变、已知的良性文件（known good files），比如Adobe、OS、浏览器、Office等软件，其实是可以跳过而不需要扫描的。那么，改善效能，瘦身以使软件安装、启动及下载更快速会不会是下一代防毒软件的目标呢？《电脑爱好者》广泛采访了业内各大厂商，来看看他们各自的态度吧。

江民科技：跳过良性文件着实是一种加快扫描速度的方式，这种判断不仅可以在一定程度上提高软件运作的效能，而且还可以较好地解决误报问题。在江民杀毒软件KV2008中，我们已经加入相应的技术。总的来讲，杀毒软件需要的资源，特别是内存占用还是会变多的，不过现在计算机配置都比较高，而且内存也比较便宜。我们认为，占用一些资源，换来更好的病毒防杀效果还是值得。

金山毒霸：现在金山的病毒收集系统每天收集到的样本量达上万个，其中确认为病毒的达数千个之多，对所有文件进行所有特征库的匹配显然会消耗很多时间，我们也已经感觉到特征库的膨胀对杀毒软件执行效率带来的压力。杀毒软件肯定不会为了追求安全，过度去消耗用户的系统资源，这样的软件，用户是无法接受的。对此，金山毒霸正在建设可信认证平台（白名单机制）。但由于二进制文件是海量的，所以我们没将白名单库保存在客户端，而是将客户端与互联网可信认证相结合。我们认为，完全基于客户端的杀毒软件将会消失。

东方微点：“防毒扫描95%是多余的”这个大概念是对的，这是对手动扫描解决病毒问题的客观评价。目前大部分杀毒软件都有实时监控（另一种形式上的扫描）功能，手动扫描只是针对以前实时监控未能阻止的部分病毒（升级后可以发现的病毒），所以其作用十分有限。跳过对良性文件的扫描，这种方式虽然可以在一定程度上缓解功能和能效的矛盾，但是治标不治本，病毒数量暴增的大趋势没有变，矛盾迟早要被激化和爆发，所以光靠瘦身这样的量变过程，是无法彻底解决问题的。

卡巴斯基：我们对此观点持保留意见。大家都知道，正常文件（良性文件）的数量远远大于“恶意程序”。但无论安全软件尝试去判断一个文件是“良性文件”还是“恶意程序”，都需要花费时间。“跳过”一个文件，也需要在判断它是“良性文件”后。有的用户的计算机中会有很多的应用，那么他就需要功能全面的安全软件。有的用户只需要他的计算机从事有限的几项工作，就需要功能单一的反病毒软件。我们很早就预见了这个趋势，因此无论是功能全面而强大的还是功能专一的安全软件产品，我们都有。

趋势科技：减少文件扫描的总数与频率的确可以大大增加系统效能，但良性文件的定义仍有很大的空间有待讨论，我们认为是否是良性文件基本上不应该取决于是否为知名软件发行者发行的或是流通率高的软件。趋势科技对此已经拟有对策，将会在近期内发表此项新技术。趋势科技未来消费端的产品将会以轻量化为基础，客户可依照个人的需求订制自己专属的解决方案，更多的资源将可以由远程的服务站来提供。

网友点评：

软件安全论文篇5

 

软件安全一般分为应用程序级别的安全性和操作系统级别的安全性。应用程序级别的安全性,包括对数据或业务功能的访问,在预期的安全性情况下,操作者只能访问应用程序的特定功能、有限的数据等。操作系统级别的安全性是确保只有具备系统平台访问权限的用户才能访问,包括对系统的登录或远程访问。[2]

 

1 基于软件工程的软件安全性保障框架

 

1.1 传统开发方法在安全方面的不足

 

在传统面向对象项目开发过程中,在安全性方面存在以下不足[3]:

 

1) 设计阶段,由于以类为单位组织建模,因此它不能全面地反映软件系统的安全需求。

 

2) 编码阶段,将数据和方法封装到类中的思想增强了数据的安全性和软件的模块化,但是有一些数据和方法是特定于应用的,对于系统安全方面的考虑比较少。

 

3) 维护阶段,一般是系统在使用过程中发现了漏洞再去修补,不仅效率低而且工作量大。

 

2.2 基于软件工程原理的软件安全性保障框架

 

本文依据系统安全工程的原理,将软件安全引入到软件开发生命周期之中。为了开发出安全的应用软件,提出一个软件安全性保障框架,将软件安全保障实施到软件开发的各个模块当中。

 

该框架具体分为:软件安全需求分析、软件安全设计与编码、软件安全检测与评估、漏洞响应和维护阶段。首先分析软件开发中可能出现的安全问题,了解项目的安全需求,之后再要保证程序设计和编码过程中的安全性,开发完成后对软件进行安全性检测和评估,最后进行产品的维护,对产品中存在的漏洞问题进行响应和处理。

 

2.2.1软件安全需求分析

 

软件安全分析开始于项目开发初期并贯穿于整个系统生命周期的始终。在完成项目需求分析的同时,也要建立安全需求。在这个阶段主要完成两个任务:

 

1) 软件需求危险分析计划制定

 

在系统需求分析阶段,首先建立软件安全需求定义,确保软件安全需求定义的正确性,然后制定一个危险分析计划。

 

2) 写出初步的软件安全需求文档

 

安全分析的结果应写成软件安全需求文档,应用到软件需求文档、软件设计文档、软件测试计划、软件维护计划中去。

 

2.2.2 软件安全设计和编码阶段

 

安全从设计开始。设计阶段如果出了安全问题,那下一步的测试维护工作会更加困难而又低效。这个阶段主要有三个任务:

 

1) 进行软件设计危险分析

 

明确在设计阶段有哪些安全方面的目标需要达到,识别软件可能会遇到的攻击和一些安全隐患,划出安全边界、哪些数据是比较可信的、哪些输入接口较易成为攻击目标、列出潜在的攻击方式等,确保设计的完整性和正确性。

 

2) 软件安全设计

 

进行安全分析之后,还必须进行软件安全设计。设计时要注意尽量降低危险发生率,对可能发生危险的地方要提供警告,危险发生后采取有效措施进行控制,同时还要注意所额外增加的复杂度。

 

3) 基于编码的软件安全分析

 

在软件代码编写阶段,也要注意编码过程中是否会引入新的危险,因为编码人员可能会不小心使用一个不安全的函数。除了要求编码人员提高程序质量之外,还可以使用第三方的安全编译来提高编码阶段的安全水平。

 

2.2.3 软件安全检测与评估阶段

 

软件安全性测试是软件安全开发生命周期不可缺少的一个组成部分,测试中的投入要远远小于项目完成后再进行的漏洞修补和安全维护。

 

安全性测试和普通的功能性测试的测试目的是不同的。软件安全测试的目的是确保软件不会去完成没有预先设计的功能,而且所有预料到的危险已经被消除或减轻。如代码运行过程中系统是不是处于安全的状态,系统运行风险是否可以接受,操作人员的失误包括极端环境在内的各种异常和故障是否被妥当控制,尽可能找到软件中的所有漏洞,减少软件遭到攻击的可能性。

 

软件的安全检测通常包括一下几个方面:静态检测、动态检测、文档检查、出错处理和异常情况检测。

 

1) 动态检测

 

选择合适的测试用例,实际执行待测程序,通过分析程序运行时的内存、变量、内部寄存器等中间结果来检测程序运行时的正确性。

 

2) 静态检测

 

静态检测是在程序没有运行的情况下,静态分析程序的数据流和控制流,然后给出相应的测试分析报告。

 

3) 检查文档

 

检查需求说明书、概要设计说明书、详细设计说明书中是否有对安全性的设计和描述,对安全性的描述是否和需求一致,还有用户文档是否有安全性注意事项等。

 

4) 出错处理和异常情况检测

 

保证各种出错和异常情况都被处理,提示给用户的出错信息不会涉及到程序设计的细节,而且软件的异常情况不能导致程序进入不可知的危险情况。

 

2.4.4 漏洞响应和维护阶段

 

即使我们在需求分析,软件设计,代码编写,以及软件测试过程中都加入了安全因素的考虑,最终的软件产品还是可能会存在漏洞,所以漏洞响应和维护是很重要的一个环节,软件的维护和跟踪,响应、修复漏洞是很重要的。漏洞发现后要在第一时间采取措施,确保客户的利益不被侵害。这个阶段大致可分为以下两个阶段:

 

1) 漏洞响应

 

发现漏洞,首先通知客户收到漏洞报告,联系相关的开发部门进行技术细节的分析,为漏洞进行风险评估。

 

2) 修复漏洞

 

开发部门和安全响应部门协商进行解决方案的制定,对修复漏洞的补丁进行严格测试之后对外公布安全补丁,安全简报。

 

3 结论

 

真实有效的安全解决方案能为开发安全的关键软件提供好的思路。本文运用系统安全工程的原则,对软件安全工程进行详细分析,提出初步的软件安全性保障框架,详细论述了框架各阶段的安全分析工作,并结合实际提出一些实用的改进方法,有一定的参考价值,希望在大量的实际应用中逐步完善成为使用有效的软件安全性保障方案。

 

参考文献:

 

[1] 软件安全速成课 企业系统有多脆弱?[EB/OL].

[2] 软件系统的安全必须能够经受住正面的攻击

 

[3] 于东辉.基于面向方面的软件安全框架的研究[D].大连:大连理工大学,2005.

 

[4] 蔡霞,陈基熊.软件安全及有关技术浅析[J].计算机应用,1999(11).

 

[5] 崔丹丹,张二峰.软件安全问题初探[J].商场现代化,2009(2).

软件安全论文篇6

随着我国互联网技术的快速发展，互联网功能已经逐渐遍及了各大领域中。大多软件都需要在互联网的支持下进行，尤其是时下热门的各类社交软件。互联网支持下的软件具有强大的信息资源获取，查询以及日常交流功能。因此受到了人们一致的热爱。随着互联网系统的日益更新。其网络中除了一些充满正能量的日常所需软件外，同时还存在着许多盗取个人信息，影响网络安全的恶意软件。互联网在恶意软件的作用下经常会出现个人信息的窃取以及企业内部信息的篡改等问题。因此如何在网络化的软件中进行个人信息的安全防护成为了目前学者们热议的话题。本文针对目前网络化软件现状进行了分析。并对该网络化软件中的个人信息安全防护系统进行了设计。

关键词:

系统设计;网络环境;个人信息;安全防护

1引言

随着我国互联网时代的快速发展，互联网已经逐渐成为了人们进行日常交流资源获取的必备工具。目前我国大多数软件均需要在互联网环境下运行。互联网环境在为国民日常生活带来便利的同时也为个人信息安全带来了一定的隐患。由于各大软件都需要在互联网的环境下运行，因此，其在运行和使用过程中很容易受到外界不法软件的非法入侵。入侵后的个人信息会遭到窃取，篡改等一系列的不法行为。目前，各大软件的用户注册方式均需要实名制注册。实名制注册一方面可以为软件的使用带来便利，但是同时也为不法分子的个人信息窃取提供了渠道。今年来，我国发生了多起软件个人信息盗取事件。导致用户受到了一系列的财务以及名义的损失。因此，如何在网络环境下对软件应用中的个人信息进行安全防护成为了国民十分关注的问题。本文针对目前这一问题，进行了深入的分析，并提出了相应的安全系统设计。

2网络化软件中信息安全问题

近年来，互联网软件逐渐在我国国民生活中盛行起来。互联网软件为我国过国民日常交流以及娱乐活动提供了相应的平台。同时也为国民个人信息的安全问题带来了一定的隐患。互联网软件在使用前大多需要提供实名制的注册方式。因此，当软件受到外来恶意信息的攻击下，则会造成一定的个人信息盗取。导致个人信息遭受不法分子盗取，从而从事一系列的诈骗等不法行为。近些年来，我国国内已发生多起因个人隐私信息被盗取而发生的诈骗事件。在众多的软件个人信息安全中以恶意骚扰和隐私泄露为最为常见的安全问题。其中恶意骚扰通常包括短信骚扰以及电话骚扰两种骚扰形式。短信骚扰一般为一些不法的广告商或群发商同过发送大量垃圾短信的形式造成手机资源被大量耗费，有些恶意软件入侵后的系统可以通过发送垃圾短信的形式来收取运营商的费用。导致用户话费被恶意扣除。而骚扰电话则会给用户的正常通话带来一定的困扰。除此之外，部分社交软件中存在着大量不法分子进行个人信息的盗取，隐私的泄露主要是由于木马软件或恶意程序造成。恶意程序会通过各种网络途径向外发送搜集到的用户隐私信息，从而危害用户个人信息安全。除此之外，某些软件开发商出于商业目的也会在在正常应用软件运行中搜集用户信息，而用户对这些行为却毫无察觉。对于时下热门的社交软件，恶意程序通常会利用用户盗取的方式来向用户的朋友群发诈骗消息等，以此来进行不法钱财的获取。

3安全防护系统设计及功能

网络环境下的恶意程序主要包括短信盗贼，X卧底，窃听猫和跟踪隐形人四个大类。短信大盗顾名思义就是通过窃取用户短信内容和地理位置来进行个人隐私信息的窃取。X卧底和窃听猫主要是通过窃听用户语音交流或手机通话来进行录音，从而窃取用户个人隐私。跟踪隐形人则是通过跟踪用户的地理位置，以及窃取用户所使用的IP地址来进行个人信息的恶意盗取，或恶意收取运营商费用等。根据软件恶意程序的现状我们将个人信息安全防护系统主要设计为四大系统板块。分别是个人信息实时监控板块，外来信息数据分析板块，数据信息管理板块以及数据信息丢失保护板块。个人信息实时监控板块的主要功能是对用户在软件使用过程中的信息安全实施实时的系统监控。其监控内容包括对软件日常信息交流的监控，软件语音信息的监控，手机通话记录的监控，软件连网后的实时定位信息监控等。一旦发现有第三方非法进行程序访问时，立即将该信息记录下来并提交给分析模块进行处理，在根据系统分析结果由用户进行接受或拒绝访问选择。数据信息管理模块是系统根据恶意软件的分类将恶意程序分别设置在允许访问或拒绝访问黑名单中。将设置信息存储于系统数据信息库中，并随时对数据库中的恶意程序种类进行更新。数据信息分析模块则是根据监控信息模块中提交的第三方访问程序数据进行与信息管理模块中的数据进行对比。并分析其第三方访问程序的安全性。并将其安全性分析结果反馈给监控模块，由监控模块向用户递交允许或拒绝访问请求。数据信息丢失保护板块则主要是负责对窃取的个人信息进行保护的模块。其板块主要适用于手机客户端以及各大社交软件客户端等。对于手机客户端的用户一旦出现手机丢失的情况，则可以统一其他手机客户端进行远程锁屏设置，并执行备份隐私信息以及丢失手机隐私信息删除等操作。而对于社交软件发生用户账号窃取时，则可以通过隐私密码防护在第一时间清空所有聊天记录以及个人隐私，并进行账号找回，锁定，更改密码等操作。

4结论

近年来，互联网软件的使用在我国国民生活中逐渐普及，其软件在为国民日常生活带来便利的同时也存在着一定的安全风险。近年来，我国已发生多起因个人信息恶意盗取而发生的诈骗等不法事件。在极大程度上影响了国民的个人隐私安全。本文针对这一现状。对网络化软件中的个人信息安全系统进行了设计。系统设置有个人信息实时监控板块，外来信息数据分析板块，数据信息管理板块以及数据信息丢失保护板块四大板块，对软件个人信息进行实时的监控，并将时下所有的恶意程序进行记录。一旦有第三方软件进行入侵时，系统将在第一时间进行程序的分析以及对比。当个人隐私信息被窃取后，可以通过安全防护系统进行远程的信息删除以及锁定等操作。在极大程度上增大了网络软件的个人信息安全性。

参考文献

[1]刘小林,刘克胜.手机恶意软件的原理分析及防护措施研究[J].网络安全技术与应用,2012(09):41-43.

[2]王亚.基于的木马关键技术研究[D].成都:电子科技大学,2011.

[3]李硕.电子文档防泄密软件的设计与实现[C].上海:上海交通大学(硕士学位论文),2013:30-32.

软件安全论文篇7

随着网络和信息化的全球化普及，搜索软件已经在各种各样的软件和程序中被使用，然而搜索软件带来便捷的同时也伴随着黑客和病毒的入侵。网络安全一般分为硬件安全和软件安全两类，软件安全主要分为个人信息的泄露和各种有害信息的拦截。搜索软件带来的安全隐患主要在软件安全上面，只有在使用电脑的时候注意到安全问题，提高安全意识，才能从源头上防止搜索软件所带来的不安全问题。本文分析了网络安全的基本内涵，然后阐述了其影响和应对策略，以供参考。

【关键词】

搜索软件；网络安全；信息泄露；个人隐私

互联网让地球变成了地球村，这给人们的生活和生产带来了极大的便利。但是伴随而来的网络安全也是近来大多学者所担心和极力解决的问题。同时，随着手机、平板、手提电脑和无线网络的普及，网络安全不再是像过去那样只在电脑上存在，而是渗透进了我们周围的方方面面。这其中包括隐私泄露、个人信息泄露、木马攻击等不安全因素。在搜索软件大量运用，提高搜索效率和运行与处理速度时，把自身的漏洞更加明显的暴露了出来。在搜索软件运用之下所产生的网络安全问题，前所未有的密集起来。

1网络安全分类及其重要性

从20世纪发现第一个网络病毒开始至今，不管是手机还是电脑发现的病毒数不胜数，而现在随着搜索软件的应用普及，每年新病毒以一倍多的速度增长着。自发现病毒开始，不少的学者和专家对网络安全就进行了不懈的研究。在大量的研究数据的支持下，网络安全分为两类：①硬件安全；②软件安全。硬件安全也可以叫系统安全，主要是指网络设备、硬件、操作系统的安全问题。其中网络设备和硬件是指网络的传输路线和相关设备都达到了传输信息和国家的相关标准，不影响信息的正常传输或是对信息的传输有促进作用。操作系统的安全是指各个操作系统均可实现操作者的一般诉求，跟随着操作者发出的指令顺利进行各项指令的完成和实现。软件安全也可称为信息安全，主要是指在信息的传输和存储过程中不出现信息泄露和遗失。它所反映出来的是信息的安全性和完整性，不被某些恶意的程序或是木马侵入和盗取，这其中最主要的便是当今搜索软件下个人信息的泄露。还有一种信息安全，是针对青少年群体的，是指在搜索指令的结果中不出现不健康的，有碍于青少年健康成长的内容，比如成人内容、暴力、反政府和人民的内容。当然，大多数网络安全问题的出现是由于人为植入了木马或是病毒，导致信息泄露或是系统瘫痪，但是在搜索软件的命令写入中也存在着某些不经意的漏洞，造成软件的使用出现停滞、无响应。这就需要在网络安全上提出一个安全管理的过程，旨在网络安全问题出现时及时高效地解决问题，恢复网络的正常使用。网络安全的重要性不言而喻。网络已经和柴米油盐一样成为了我们生活和工作不可分割的一部分，网络安全问题直接影响到我们的工作和学习，生活和健康，甚至是影响到国家经济和政治的健康有序发展。良好的网络环境可以提高人们的工作效率，生活质量，促进经济政治稳步向前发展。恶意的程序和木马破坏了网络的整体平衡，导致数据丢失，个人信息严重泄漏，给人们的生活和工作带来不可估量的损失。其中在搜索软件上产生的网络安全问题是如今主要的安全问题，它不亚于一场车祸，一次坠机，一场雷暴，它造成的影响是无形的，产生的后果是严重的。

2搜索软件对网络安全的影响

搜索软件越来越兴盛，在网络普及的基础上极大方便了人们的生活，这种搜索形式给生活和工作带来的便利使人类社会发展水平一瞬间进步了近一百年。但随之而来的对网络安全的影响也在潜移默化进行着。

2.1搜索软件的匿名

绝大多数搜索软件的运行模式是通过使用者给出一定的命令，在互联网搜集到相关的信息。这一特征很容易被黑客所利用，黑客们使用嵌套技术或是网络技术随着命令一起侵入网站，窃取自身需要的，或是不愿让用户使用的数据。

2.2病毒侵入

很多病毒在被发现之前，都能够毫无迹象地进入某些网站篡改数据和内容，同时写上自己想要写上的内容。这种形式的病毒最大程度上改变了网站的内容，对于一些群体论坛来说，产生了大量负面的舆论，控制了舆论导向，对社会各界都会造成不同程度的伤害。

2.3批量黑客攻击技术

在很多的搜索软件上都存在着批量黑客搜索攻击技术，这种技术主要用于植入搜索软件中发现软件自身存在的漏洞，并加以利用。当人们搜索到这些网页时，这些漏洞就暴漏在黑客面前，造成信息泄露和篡改。

2.4系统自身缺陷

某些网络系统自身存在的缺陷可能一时并没有开发者或是维护者使用者发现，然而有些病毒在侵入网络中时先是潜藏起来，没有发动攻击，而是找到该系统中最薄弱的地方，然后搜集大量的相关信息，最后进行攻击。这种情况主要针对那些没有安全管理软件和及时更新补丁的新电脑。

2.5桌面特性攻击计算机

有一款叫做“谷歌桌面”的软件可以让使用者轻易发现该电脑里面的所有信息和数据，包括已被隐藏的文件内容。这样，在使用一些社交软件时，当登出后，使用的痕迹和一些重要信息并没有随着登出而消失不见，而是储存在某些文件之中，利用“谷歌桌面”这一工具就能很轻易地盗取到社交软件上的隐私信息。

3网络安全策略

针对搜索软件给网络带来的安全问题，网络安全的策略就显得尤为重要。这其中最主要的防治策略就是控制访问。还有一系列非常规的策略，比如屏蔽cookie程序，及时清理电脑中的cookie文件，浏览记录，各种社交软件的密码定期修改，安装安全软件和防木马软件并定期查杀木马和清理电脑。控制访问是针对内部网络出现安全问题的一种常规方法。其中包括控制访问权限，控制访问量，控制文件的安全属性，控制网络服务器的安全，控制网络端口和节点的安全。这些控制措施可以防止恶意登陆，防止恶意访问，对哪些网站内容可以访问，哪些网站内容不能访问做一个明确规定，避免一些带着木马程序和病毒的网站被打开。同时，对于网络接口和端口的控制也是极为重要的，这从源头上控制了各种网络安全问题的产生。而现今各种wifi极大的普及，在使用公共wifi时要谨慎、小心，大多数时候数据的盗取和病毒的植入就是通过公共wifi网络实现的。现在是一个网络信息的时代，各种社交软件层出不穷，相应的搜索功能也一应俱全。在使用社交软件的时候要注意个人隐私和信息的保护，定期修改密码，定期查杀木马和病毒，定期清理社交软件使用后产生的缓存。在使用搜索软件时要注意搜索的内容，搜索的方式和结果，从日常生活中一点一滴上防止网络安全问题的发生。

4结束语

网络安全问题已经上升到了一个新的高度，网络安全意识也是在这个时代不容忽视的问题，只有提高人们的意识，在思想上有所防范，在行为上防微杜渐才能共同打造一个良好的网络环境，让那些恶意程度或是网络犯罪无可乘之机。同时，也要清楚地认识到搜索软件的大量应用给生活和工作带来便利的同时潜在的危害，使用搜索软件时要小心谨慎，养成良好的网络生活的习惯，加强网络安全的设置，安装最新的防毒软件，大力打击各种恶意程序和软件。

作者：刘建军 单位：河北科怡科技开发有限公司

参考文献

[1]雷江涛.搜索软件对网络安全的影响[J].电子技术与软件工程，2015（03）：78.

[2]徐炯.论搜索软件对网络安全的影响[J].网络安全技术与应用，2014（10）：206~207.

软件安全论文篇8

在软件工程工程硕士培养的诸多问题上，做了一些有益探索与研究，针对性地提出了一套适合于省属高校软件工程全日制工程硕士培养的解决方案，希望能为同类型高校提供人才培养的借鉴。研究生培养方案的制定，重点需要解决课程体系设置、培养流程规划与控制。对专业学位研究生而言，还需要解决专业实践能力的培养与训练这一关键问题。

1．课程体系设置软件工程学科正式确立的两个标志性文件是2004年IEEE推出的软件工程知识体(SWEBOK)和软件工程教育知识体(SEEK)。两个文件内容相近，都包含了软件工程核心类的知识领域、基础类或前导类的知识领域，以及其他相关领域的知识［4］。软件工程研究生的培养从原则上说应遵循上述两个文件，围绕上述知识领域进行教学。但由于这两个文件将软件工程的知识体系划分为知识点，各领域之间必然存在重复和交叠。在课程设置上无法照搬上述两个文件。以SEEK为基础，我们对软件工程的课程设置进行规划。整个课程设置被分为五个层次，分别为工程基础课程、计算机基础课程、软件工程核心课程、扩展课程和实践课程，如图1所示。课程开设顺序大体按照五个层次由低到高依次开展。其中，工程基础课程提供软件工程所需数学理论基础、外语能力培养、软件工程文档写作、论文写作基本功训练。计算机基础课程提供软件开发必须的计算机基础知识，如网络、算法和数据库知识。相对于本科课程而言，此类课程讲授内容更深入全面。软件工程核心课程设置了高级软件工程、软件体系结构和软件测试与质量保证三门课程。高级软件工程侧重于软件分析与设计、软件工程过程、软件开发案例分析。软件体系结构侧重于结构风格、案例研究、共享信息系统、结构描述、结构的分析与评估、特定领域的软件体系结构和流行的软件体系结构等。软件测试与质量保证着重于软件质量的改进，讨论如何提高软件质量的方法。扩展课程包含系列领域知识课程，研究生可根据研究方向选择两门;软件开发工具讲授最新流行的软件开发、过程管理所需要的软件工具的使用，以实践教学为主。软件开发新技术研讨课程以讲座形式开展，教师和学生均可作为一个专题的主讲。实践课程包含校内实践、校外实践和毕业设计三个环节。

2．培养流程与实施教育部明文规定，专业学位研究生学制原则上为两年，同时要求应届本科生进行专业实践不少于一年。一般来说，研究生在校课程学习时间应有一年左右，加上专业实践的一年，如何合理安排学习计划，在两年内完成培养环节成了一个现实的重要问题。我校以周为单位制定了四川师范大学软件工程专业学位研究生培养流程，如表1所示:上表规划了研究生培养中的几个关键环节，依次为报到入学、课程学习、校内实践、校外实践、开题、毕业设计、论文写作和送审答辩。第一学期研究生主要是课程学习，同时在校内导师指导下开展文献阅读和编程能力锻炼。第二学期前半学期结束理论课程的学习。后半学期和暑期开展校内实践和毕业设计开题工作。第三学期研究生到实习基地进行校外实践。从第二学期后半段和整个第三学期，学生在专业实践的同时，需完成毕业设计。从第二个寒假开始直到第四学期前六周，研究生完成毕业论文的初稿。从第七周开始，进行论文修改、、盲评和答辩工作。从培养流程表可以看出，这种安排具有两个显著特点。一是理论课程学习安排在一个半学期完成，二是实践课程分为校内实践和校外实践。研究生理论课程学习任务并不重，完全可压缩到一学期半，同时可为实践提供更多时间。校内实践非常有必要。由于是省属高校学生大多能力一般，为保障学生进入企业能融入研发团队从事技术工作，必须先期培训其实践能力。这种安排时间较为紧凑，也比较合理，符合专业学位研究生侧重于实践能力培养的要求，也在两年的学制内确保了研究生的实践时间不少于36周。

二、专业实践能力的培养与训练

软件开发能力是软件工程专业硕士必备的核心能力，其能力培养既是对前端课程学习效果的检验，也是后端毕业设计和就业的必然需要。我校将软件工程专业硕士实践能力培养融入了众多环节。从前期的实验型课程教学，到中期的校内实践、再到后期的校外实践和毕业设计。实验型课程教学解决软件设计开发的基础技能，校内实践解决中小规模软件设计开发能力，校外实践和毕业设计解决中大规模软件设计能力。

1．实验型课程教学包含软件工具的使用训练、软件开发环境的搭建、软件开发案例分析和新技术研讨。软件工具的使用训练学生单个软件开发工具的使用，如项目管理软件Project、开发文档化软件Rational、软件测试工具LOADRUNNER、QTP、TD等。由于这些工具结构分散，还需进行开发环境的搭建训练。开发环境搭建训练内容一为搭建基于微软的VSTS和VisualStudio的开发平台，适合．net方向;内容二位、为搭建基于IBMRSA和Eclipse的开发平台，适合J2EE方向。软件开发案例分析中研究生将自己放在决策者的角度来思考项目所涉及到的具体问题，增强了学生的实际应对能力。新技术研讨促进学生或主动或被动地掌握了一些新兴技术，拓宽了技术领域。

2．校内软件开发实践采用项目驱动形式开展。要求研究生必须申报各类实际的软件开发项目，如四川省苗子工程、学校研究生科研创新项目、学院研究生科研创先项目。研究生可组织本科生参与项目实施，但必须任项目组长，在项目中担任核心角色，完成软件需求文档审定、软件架构设计、软件详细设计、大部分编码工作、测试方案制定等重要工作。

3．校外软件开发实践在上述环节经历后，研究生已经掌握中小规模软件开发的基本技能，此时将研究生派到实习基地，实战参与企业软件开发项目。其实践由校内导师和企业导师共同负责。前期技能的培养已保证研究生胜任企业中一般性的软件开发角色。

4．毕业设计研究生在校内和校外实践的36周中，还需要同时进行毕业设计的开题、实施。研究生可结合企业实习工作完成毕业设计。专业实践的考核分为定期汇报和实践环节结束汇报两种形式。研究生应每隔两个月集中汇报一次实习期工作心得，取得的成绩等。实践结束时在全院公开汇报，其成绩作为实践课程成绩。

三、结论

软件安全论文篇9

一、软件搜索有讲究,不安全的网站咱不去

当我们需要下载某一款软件时,很多人都习惯用搜索引擎搜索,这样的好处是选择范围大。由于现在的网站多如牛毛,且鱼目混珠,甚至正规网站挂马的也时有发生,所以,中招也就在所难免了。那我们在下载软件时如何才能避免“误入歧途”呢?建议下载、安装金山网盾,或安装有360安全卫士的开启网盾各项设置,这样,当我们在上网搜索过程中,网盾会对挂马网站做到完全免疫,对未知漏洞进行智能拦截,并且对每个网站的安全与否给出评价(如图1),对于评价不好的网站最好是不打开,以免上当中招。

提示:下载软件尽量选择华军、天空、中关村、太平洋、多特软件等知名度较高的门户网站。下载绿色软件建议到绿色软件联盟网站(/soft/)下载。

二、下载地址要看仔细,从此不在被忽悠

正规的门户网站的下载地址比较规范,当我们打开下载页面后,一般都会在显著位置有下载地址的提示。而非正规网站有的要求点击广告后才能进入下载页面,有的则是在显著位置设置多处“立即下载”按钮来迷惑我们,而其链接多数是广告及其它软件,甚至是木马病毒。此时,我们就睁大眼睛看仔细了,不要被闪动的“立即下载”按钮所迷惑,一般网站会在相应位置的有“某某软件本地下载地址”的提示(如图2),只要我们多加注意,就会减少中招的几率,确保电脑的安全。

三、不是我要的不下载,远离木马和病毒

在下载软件时,无论什么时候都建议去正规的门户网站下载软件,毕竟安全是有保障的,我们还可以先打开网站,然后在利用网站内置的搜索引擎进行相关软件搜索,找到软件后只要点击“软件名-版本-下载地址”,即可打开下载链接进行下载了。不过有时我们需要的软件,门户网站不一定提供,比如说某些特别版的软件,我们就只能是上网搜索了,虽说很多下载网站也提供下载,但毕竟网站的信誉度不高,有的为了自身利益加入了太多的广告链接(甚至链接到恶意软件),那我们如何辨别下载链接是不是我们需要的软件呢?如果是用浏览器自带的下载工具下载时,点击下载链接后,一般会显示下载的文件名称、类型、发送者(如图3),我们可以以此与下载页面中的软件相比较(如果用迅雷或网际快车等下载工具,也可以进行同样的比较),如果相符就可以下载了,否则就不是我们需要的软件了。

其次,如果是正规门户网站,在软件下载链接下面一般都有软件的下载评论,我们也可以参考网友对该软件的评价。

不论是从哪里下载的软件,下载后杀下毒还是必要的,害人之心不可有,防人之心不可无嘛,所以为了安全起见,软件下载后还是要用杀毒软件扫描的。

四、软件管理工具,安全又方便

如果我们感觉直接在网上下载安装软件不安全,我们也可以利用常用的金山卫士或360安全卫士、QQ电脑管家等相关软件中的软件管理功能下载软件。使用起来非常方便,只要我们点击“软件管理”按钮打开软件管理页面,点击相关软件就可以一键装机了,并且不论哪款软件都是经过安全检测过的,所以可以完全放心地下载使用。

以金山卫士为例,当我们打开软件管理界面后,左侧是软件分类,右侧则是相关软件(如图4),点击某一软件名称时,则可以打开该软件的详细说明,以供我们详细了解。

因为软件管理器提供的软件多达一千多种,如果我们想快速寻找、下载,我们还可以利用软件中内置的搜索引擎进行直接搜索,以方便我们快速下载。

软件安全论文篇10

论文摘要：网络管理的目的就是确保一定范围内的网络及其网络设备能够稳定、可靠、高效地运行，使所有的网络资源处于良好的运行状态，达到用户预期的要求。本文首先试着明确网络管理的职责和网络管理必备的知识要求，然后就网络管理档案的建立、硬件资源的管理和维护、网络软件的管理和维护、管理网络安全等常规工作流程进行了初步的探讨。

现就常规的工作流程进行如下探讨：

一、网络文档的建立

作为网络管理员，最重要的一项任务就是建立网络文档，这是因为有很多情况要求网络管理员必须全面一贯地记录网络的情况。无论是网络突然出现问题而必须马上排除，还是因为网管员的请假或者离职，有了一份详尽、及时的文档，查找问题和维护系统的时间都将大大缩短，许多错误和混乱也可以避免。

1.何时编写文档？如果正在从草案开始设计网络文档，应该从第一天开始记录所有细节。找一个笔记本，把记录写在上面，并作为网络的一个组成部分。如果同时管理多个网络，网络文档是十分关键的。如网络管理员刚刚接手网管工作，那么第一项任务就是学习这些信息并填补缺少的细节。如果根本就没有网络文档，应立即着手查询并创建文档。网络文档需要及时更新，至少一周一次。关键是养成保持最新信息的习惯。

2.文档中记录什么？首先当然还是网络的物理基础结构；此外，应该记录所有在安装网络硬件和软件时计算机和网络适配器的配置信息。在用户进行硬件和软件升级或服务器故障需重新安装操作系统时，这些信息可以节省时间。

网络文档可以包括网络故障的恢复方案、备份步骤和日程，存储和解决方法的记录、用户请求、维护记录及长期和短期的网络扩充计划。网络管理员还可以将更新操作系统、硬件或安全措施和培训新用户的计划包容在网络文档中。

二、硬件网络资源的管理和维护

1.实施常规检查。网络管理的重大责任之一是对网络计算机实施常规、周期的诊断和防护性的维护措施。

2.排除网络故障。网络管理人员花费时间最多的就是排除网络故障。这是最能体现网络管理员的技术水平和保持冷静及逻辑思考能力的时候。随着经验的增长，解决问题的能力也会逐步提高。

网络管理员要了解各处可能发生的问题：时刻不忘在笔记本中记下调查结果和建议；利用书籍、期刊和自学培训等方式尽可能地积累常见问题的解决方法;应尽可能多地收集信息，记录在网络文档中。

3.为故障恢复作准备。提前准备不是预防网络故障发生的最好办法，但它可以减少网络故障造成的损失。在预防网络故障的计划中，网络管理员不应将自己的思维局限在普通的问题上。应该考虑得更广泛一些。设想发生了自然灾害，如地震、火灾等将整个网络全部摧毁，网络管理员该如何恢复，花费多少时间，采取哪一种步骤进行恢复。

虽然不可能对每一次自然灾害都做好充分的准备，也不可能完全避免可能会导致网络停止工作的人类的某些缺点，但却可以制订一个可靠适时的备份计划，使数据损失最小化。

三、软件管理和维护

软件管理包括添加新软件、升级现有软件和删除过时软件。如果在服务器上安装，最好在安装之前先备份好服务器。如果在工作站上安装，应该先做一个安装测试，并记录下每一个步骤，然后保证每一台工作站的一致性。如果每台工作站上都使用相同的硬件和操作系统，一致性的安装应用程序非常简单；如果网络上用户过多，可以考虑使用某些特殊工具来生成软件自动安装过程，如Microsoft系统管理服务器。

软件永远不可能完美，总会有这样或那样的问题。无论是操作系统还是设备的驱动程序，至少应每季度检查一次有无升级的提示，进行现有软件升级。对于过时软件也应及时删除。

四、管理网络安全

要想保证网络安全，应同时做好边界防护和内部网络的管理。网络管理的职责之一就是定义、实施、管理和加强网络的安全性。软件安全策略的目标是：

保证只有授权用户可以使用一定受限的网络资源，预防给予过高的权限，定时检查用户权限和用户组账号有无变更。减小数据、服务器和网络设备等由于受到疏忽操作或恶意破坏而造成的损失。防止网络中非授权的外部访问。

参考文献