软件安全问题(精选12篇)
软件安全问题 篇1
1 服务器设置
1.1 服务器安装
建议使用linux操作系统做服务器的操作系统。只选择安装自己开发的软件运行环境必须的组件, 关闭不必要的运行程序, 如果有的组件以后用到也可以通过rpm、yum、make等工具进行安装。
1.2 登录方式设定
开启ssh安全登录。首先修改端口号, 使用编辑命令vi修改配置文件/etc/ssh/sshd_config, 找到Port 22, 并将22号端口改为想要的端口号, 为了保险起见, 通过增加Port+新端口号, 可以使用2个或以上ssh连接端口, 把新增加的端口在防火墙中开通, 通过service/etc/init.d/sshd restart重新启动ssh服务, 用命令ssh localhost–p+端口号测试ssh连接。然后, 增加非特权用户, 通过命令useradd–d/usr/user1-muser1增加一个user1用户, 并为该用户设定用户主目录, 运用passwd user1为user1设置密码, 当然user1也可以为其他习惯使用的名称。设置禁止root用户远程登录, 只允许非特权用户远程登录, 修改/etc/ssh/sshd_config中的Permit Root Login yes为Permit Root Login no。这样用ssh远程登录系统时就可以使用新建的非特权用户和端口登录系统, 登录成功后再使用su root命令转换到root用户进行特权操作。
1.3 防火墙设置
以root身份登录本机器, 清除iptables中的原有规则, 通过iptables-F清除预设表filter中的所有规则链的规则, 通过iptables-X清除预设表filter中使用者自定链中的规则, 使用/etc/rc.d/init.d/iptables save保存设置, 或者直接vi etc/sysconfig/iptables删除iptables中的规则。通过iptables-PINPUT DROP、iptables-P OUTPUT ACCEPT、iptables-P FORWARD DROP增加INPUT、OUTPUT和FORWARD三个链的规则。然后, 根据需求添加必要的规则, 如果需要ssh远程则添加iptables–A INPUT-s192.168.0.0/24 (用于登录的机器的地址段) -p tcp--dport端口号-j ACCEPT, 通过iptables-A FORWARD-i eth0-o eth1-m state--state RELATED, ESTABLISHED-j ACCEPT、iptables-A FORWARD-i eth1-o eh0-j ACCEPT开启转发功能, 通过iptables-A FORWARD-p TCP!--syn-m state--state NEW-j DROP丢弃坏掉的TCP包。根据需要增加必要的数据库连接端口或http (https) 端口, 添加完成后通过/etc/rc.d/init.d/iptables save保存规则到/iptables文件, 并且重启iptables。
2 安全访问控制
访问控制有自主访问控制、强制性访问控制、基于角色的访问控制等, 现在的操作系统大都支持自主访问控制, 有时为了使用方便也愿意采用自主访问控制方式。对于能使用强制访问控制的尽量使用强制性访问控制。因为强制性访问控制比较安全, 必须使用自主访问控制的情况也要坚持最小权限原则。
2.1 数据库及数据库服务器的访问控制
数据库服务器连接限制, 除了通过使用ssh登录外, 限制只有通过web服务器登录。以mysql为例, 首先, 修改端口, 编辑/etc/my.cnf文件, 修改port=3306为其他想设定的端口号, 并修改默认目录。其次, 在mysql数据库服务器的防火墙iptables文件中添加iptables–A INPUT-s (用于登录的web服务器的地址或地址段) -p tcp--dport mysql的端口号-j ACCEPT。最后, 在web数据库服务器的数据库表中添加登录地址限制, 以root身份登录服务器, 进入mysql, 输入mysql-u root-p回车, 输入登录密码, 进入mysql, 输入use mysql;回车进入mysql库, 通过insert into user (Host, User, Password) values[’172.16.0.2’, ’user1’, password (’Pswd111’) ], 增加一个用户172.16.0.2是该web服务器的地址, user1是用户名, Pswd111是密码, 通过grant select on my DB.*to user1@"172.16.0.2"identified by"Pswd111"给user1用户授权对my DB数据库进行select操作。对于只是使用查询功能的用户, 就只给select权限, 对数据库的增、删、改必须是高级用户。
2.2 WEB服务器的访问控制
web服务器的连接限制。首先在防火墙iptables文件中增加强制性访问控制, 为apache配置iptables-A INPUT-s (可以访问web服务器的地址段) -p tcp--dport80 (为了安全改为其他端口更好) -j ACCEPT, 为tomcat配置iptables-A INPUT-s (可以访问web服务器的地址段) -p tcp--dport 8080 (为了安全改为其他端口更好) -j ACCEPT。修改apache和tomcat中的访问控制条件, 添加虚拟目录, 隐藏版本号等。
2.3 程序内的安全性访问控制
程序内部添加对登录角色的安全性访问控制, B/S架构的软件其表现层是由大量页面组成。例如, 现在常用的JSP页面内部可以增加对用户合法性的判断, 从用户的ID号或上页传递过来的一个字段值, 获取用户身份, 然后判断身份的合法性及权限, 非法用户则关闭页面或给出非法提示, 不显示有用的信息, 根据不同权限显示不同的页面内容。
3 程序安全及数据备份
有些软件开发人员与软件使用人员持有一样的安全观点, 认为软件的安全主要靠防火墙、杀毒软件以及不断升级打补丁, 其实最重要的是在基础程序就把好安全关, 还要为用户做好自动备份设置, 以防用户因为嫌麻烦或时间紧而忘记及时备份重要数据。
3.1 程序安全
根据需要可以对关键性字段加密存储, 加密及解密过程可以放在c程序中或java程序中, 编译后打包以备调用, 存取的字段都是经过加密的, 这样就对关键性字段进行隔离处理, 没有经过程序处理的数据是无用的。另外, 还有对页面上的输入性内容主要是指text类型内容和textarea标签内容进行长度限制和条件过滤, 对上传的文件进行类型限制或内容审核。
3.2 数据备份
根据软件的重要性要求对数据库的定期备份十分必要, 可以使用批量处理文件来实现自动备份。增加相应的日志备份, 如访问情况、操作异常、模块状态以及机器本身的状态等。
4 结语
软件安全方面, 相关的内容非常广泛, 由于篇幅的限制, 只是对软件开发中的主要安全问题按照流程进行分析, 针对某些问题仅仅是进行大概叙述。
参考文献
[1]Russell J.T.Dyer.MySQL in a Nutshell[M].北京:机械工业出版社, 2009.
[2]Ca yS.Horstmann Gary Cornell.Core Java2, VolumeII-Advanced Features[M].北京:机械工业出版社, 2008.
软件安全问题 篇2
“是人!”赛门铁克资深首席解决方案顾问林育民说,“在电脑的使用过程中,恶意软件的下载、个人信息泄露大都是由于用户的低警惕性和不良的使用习惯造成的,”赛门铁克《流氓安全软件报告》的最新调查结果显示,从开始,网络上就出现了貌似好心的安全软件。
其实,这些全都是流氓安全软件,它们非但不保护用户的终端安全,反而使用户面临更大的遭受攻击的风险。
撕开流氓安全软件的伪装
随着互联网的不断发展,基于Web的攻击成为了互联网上进行恶意活动的主要手段。而这种新的攻击手段也造成了互联网上的恶意代码数量高速增长。,赛门铁克检测到的恶意代码数量为624267个,而到了20,恶意代码的数量爆增到了1656227个。
“恶意代码数量增长的背后,是一条逐渐成熟的地下经济产业链。为了达到目的, 并不满足攻击数量的增加,产业链背后巨大的利益诱惑致使他们使用更多手段提高他们的攻击成功率。”林育民说。
赛门铁克监测到,从年开始,网络上出现了大量的仿冒安全软件。 正是利用了人们的恐惧心理来诱骗用户下载、安装这些流氓安全软件,从而达到他们的非法目的。
为了提高欺骗用户的成功率,流氓安全软件的制作者们对自己的程序进行了设计,并模仿合法安全软件程序的外观,使这些软件看起来更具可信度。“这些流氓软件的广告很迷惑人,比如说我这个软件获得过什么奖了,或者得过什么好评了,让用户相信并且去使用它,
”林育民详细地解说道,“甚至在一些合法的网站,如博客、论坛、社交网站等都可以看到这种诱导的方式。”
此外,经过对搜索结果的精心排序,骗局的策划者还让流氓安全软件的下载网站出现在搜索结果的前列。林育民举了一个例子来说明:“一旦用户发现自己感染了病毒,并且他发现自己电脑上安装的杀毒软件杀不掉这个病毒时,那么他要做的第一件事就是上搜索网站寻找方法。搜索结果则显示有一种移除工具,你可以下载下来用来杀毒。其实,这个所谓的移除工具本身就是流氓安全软件。”
一些恶意网站还使用了合法在线支付服务来处理信用卡及其他交易,并为受害者回复一封带有购物发票的电子邮件,购物发票上还附有序列号和客户服务号码。这样千方百计想让用户中招,可谓“用心良苦”!“所以用户在使用的时候要很小心,有时候看起来整个过程是合法的,购买的时候也显得相当规矩,可是实际上是要骗取你消费用的信用卡号码!”林育民接着说道。
调查显示,排名前五十位的流氓安全软件骗局中,93软件是用户有意识下载的。截至6月,赛门铁克公司已监测到250多个具有明显特征的流氓安全软件程序。
下载这些流氓安全软件产品的用户,其初期的金钱损失从30美元至100美元不等。然而,找回个人身份信息相关的成本将远不止这些。这些流氓程序不仅可以骗取用户的钱财,而且还会将用户购买产品时提供的个人详情和信用卡信息用于更多的诈欺活动或在黑市上贩卖,从而导致个人身份被窃。
基于信誉的安全技术
软件安全问题 篇3
关键词 计算机 软件安全 防御措施
中图分类号:TP31 文献标识码:A
1计算机软件主要存在的安全隐患
当今社会,计算机的使用已经越来越普及,它影响着人们生活的方方面面,但是在使用计算机的过程中人们会遇到一些安全隐患,这增强了人们的安全意识,如何解决计算机软件的安全问题成为当务之急。当下,计算机软件安全的问题主要体现在以下几个方面。
首先,计算机软件自身方面的问题。第一,计算机软件只有通过对软件知识的掌握和对软件技能的熟练才能创作出来,一旦创作出新的软件产品,则原创者具有知识产权,可以申请产品专利。但是,由于我国对这种看不见的知识产权的安全意识不高,再加上软件的本身的易复制性,使得我国在计算机软件产权方面的问题没能够引起特别足够的关注与重视,一些非法分子对计算机软件的非法复制,出现了很多山寨盗版软件,这对计算机软件行业的发展造成了严重的不良影响。第二,我国计算机软件本身的质量不过硬,开发商制作出来的软件,就如同出售的商品一样,肯定存在瑕疵和缺陷的地方,这是难以避免的,这些瑕疵和缺陷难免给计算机软件的正常运行带来安全方面的问题。
其次,计算机软件在运行的过程中出现的问题。这种问题主要是通过非法分子对计算机软件进行破译之后进行了非法的买卖与传播,这在很大程度上对计算机软件的安全造成了影响,尤其是一些个人或者团体将自己在软件方面的知识用在了非法跟踪软件的运行程序或者对不同格式的文件进行读取、修改等将计算机软件进行破译。因此,计算机软件的运行必须有安全的保障,尤其是防止非法分子对软件的破译和复制,以保证软件的正常运行。
最后,人为的因素以及其他因素给计算机软件造成的影响。人为的因素表现在计算机的用户在使用计算机的过程中安全意识淡薄,几乎没有安全防护的技术,这给黑客们入侵提供了可能。其他方面的因素比如计算机软件的安全的管理体制不完善不严谨、对安全防护的技术水平不高、或者没有严格按照软件的操作程序和说明进行操作,这些因素均会对计算机软件的安全造成重大的影响。
2解决计算机软件安全隐患的重要性
随着经济的快速发展,信息化和数字化时代的到来,计算机已经于人们的生活紧密地联系在了一起,而计算机软件的发展也随着科技的进步在不断地完善。计算机软件的功能越来越强,软件的类型越来越丰富,因此,计算机软件几乎能满足人们日常生活的各种需求,从而彰显出计算机在社会中的地位越来越高,同时计算机软件的安全也成为所有人们面临的一个重要问题。在一些特殊的行业中,计算机软件的安全尤为重要,比如金融业、电子商务业以及信息资源行业等,安全的网络环境与软件的正常运行是这些行业顺利运作的前提与保障。计算机软件的安全主要体现在以下两个方面:首先,软件使用用户应该注重软件自身的安全性能与使用价值;其次,在软件制作的过程中,开发商不仅要对软件自身的安全有严格的要求,同时还要考虑到使用着对其安全的需求、软件在运行过程中可能存在的安全问题,都要有一定的防御措施。虽然我国的计算机软件水平仍然处在发展阶段,但是我们应该在不断的发展过程中总结经验,不断取得进步,避免重复性的安全问题出现,促使我国计算机软件行业向着更高的水平发展。
3对计算机软件安全的防御策略
第一,不断完善计算机软件安全的发挥,制定严格法规。在计算机软件的安全方面,国家应该制定一系列相关的法律法规,让计算机软件的安全有法律的保护,同时国家应该加强对公民进行计算机软件安全意识的宣传教育,增强公民的法律意识规范自己的行为,对于受到侵害的公民可以通过法律途径来维护自己的正当权益。对于计算机软件市场进行整顿,建立监督和社会舆论的平台,及时对计算机软件的非法利用进行处理,为计算机软件市场建立良好的环境。
第二,在计算机软件的设计方面要高要求高标准。计算机软件的设计水平高低直接影响着计算机的安全是否存在问题。因此,在计算机软件设计的时候,应该充分考虑到其安全问题,并且及时认真地分析出现问题的原因,并制定解决相应问题的措施办法。良好的计算机软件设计应该具备以下三点:首先,对软件的安全漏洞进程监测,提高对监测程序的设计;其次,重视对用户访问这一功能的审核与设计,主要的办法是对用户认证进行加密,采取自验的手段;最后,对源代码的保密设计要进行严格的要求,对系统的源代码进行加密,以提高计算机软件系统的安全。
第三,加强对计算机软件安全意识的培养,提高用户对软件安全的保护意识与行為。用户对计算机软件安全意识的淡薄是造成安全隐患的主要根源之一。所以,用户应该学习相关的计算机软件保护技术,比如定期对计算机进行扫描检测,对重要的文档进行备份,对病毒定期查杀,对计算机中的垃圾定期清理,以此保证计算机软件的快速和安全运行。
参考文献
[1] 高加琼.论计算机软件存在的漏洞及防范策略[J].无线互联科技, 2012(03).
[2] 吴塍勤.对计算机软件安全问题的分析及其防御策略[J].电脑编程技巧与维护,2013(02).
[3] 贾旭.浅析计算机软件安全问题及其防护策略[J].中小企业管理与科技(下旬刊),2012(08).
浅谈计算机软件安全问题及其防护 篇4
1 软件面对的不利现象
1.1 不正当复制
众所周知, 软件具有一大特征, 即知识密集, 它在研发的时候会使用非常多的人力以及物资等, 为了探索而花费的费用有时候高达很多的数额。不过, 此类产品存在一个很大的特征, 即能够复制, 所以其严重的干扰到产权。通过相关信息中我们得知, 最近几年, 整个世界的软件领域由于盗版而受到的损失在总的损失中占的比例大约在一百多亿美元, 同时还不断的增加, 一些区域的盗版率有时候可以升高到百分之九十多。在很多国家中, 盗版问题都受到高度的关注。
1.2 软件跟踪
计算机软件在开发出来以后, 总有人利用各种程序调试分析工具对程序进行跟踪和逐条运行、窃取软件源码、取消防复制和加密功能, 从而实现对软件的动态破译。当前软件跟踪技术主要是利用系统中提供的单步中断和断点中断功能实现的, 可分为动态跟踪和静态跟踪两种。动态跟踪是利用调试工具强行把程序中断到某处, 使程序单步执行, 从而跟踪分析。静态分析是利用反编译工具将软件反编译成源代码形式进行分析
1.3 软件的品质较差
因为很多不利现象的存在, 此时开发单位使用的软件会有一些不利现象, 就算是微软企业也是这样的, 一般将软件中的这些不利现象叫做漏洞, 它们的存在干扰到运作的稳定性。最近几年, 由于其存在而导致的不利现象严重的增多了。很多不法分子通过多种方式来探索这些漏洞, 其利用漏洞进行一些不正当的活动, 对于使用人来说, 十分的不利。
2 计算机软件安全的具体策略
2.1 计算机软件的加密
由于计算机软件是一种特殊的商品, 极易复制, 所以加密就成了保护软件产权的一种最重要的手段。现在市场上流行的软件大都采取了一定的加密方法, 其目的就在于保护软件开发者的利益, 防止软件被盗版。但我们往往看到, 一套好的正版软件刚刚在市场上流行起来, 就出现了盗版的软件。
(1) 密码方式:密码方式
就是在软件执行过程中在一些重要的地方询问密码, 用户依照密码表输入密码, 程序才能继续执行。此种方式实现简单, 但也存在着缺点:破坏了正常的人机对话, 很容易让用户感到厌烦;密码相对固定, 非法用户只需复制密码表就可以非法使用该软件;加密点比较固定, 软件容易被解密。
(2) 软件自校验方式:软件自校验方式
就是开发商将软件装入用户硬盘, 安装程序自动记录计算机硬件的奇偶校验和、软件安装的磁道位置等信息, 或者在硬盘的特殊磁道、CMOS中做一定标记, 而后自动改写被安装的程序。当设置好软件以后, 在运作的时候就能够自行的分析此类安装时具体的信息等内容。采取这种加密措施的使用人在平时运行软件的时候, 不会得知加密, 此时的加密非常的稳定, 很多开发机构都用这种方式, 不过它也有一些不利现象, 如果使用人添加或者是减少电脑的硬件等的话, 就会使得其无法有效的运作, 要再次设置。
(3) 硬加密:硬加密也是目前广泛采用的加密手段
所谓硬加密就是通过硬件和软件结合的方式来实现软件的加密, 加密后软件执行时需访问相应的硬件, 如插在计算机扩展槽上的卡或插在计算机并口上的“狗”。采用硬加密的软件执行时需和相应的硬件交换数据, 若没有相应的硬件, 加密后的软件也将无法执行。目前比较典型的产品包括加密卡、软件锁/狗、智能化软件锁/狗及智能型软件锁/狗等。其中加密卡方式加密强度高, 反跟踪措施完备。不过当软件放到别的电脑中运行的话, 要将两者的机箱都开启, 还要换插, 此时使用人在运作的时候非常的不便利, 同时加密的费用也很多, 所以一般作为系统集成开发商所使用。
2.2 反跟踪技术
反跟踪技术是一种防止利用调试工具或跟踪软件来窃取软件源码、取消软件防复制和加密功能的技术。一个好的加密软件通常是和反跟踪分不开的。由于软件被干扰均是从最初的被跟踪的时候就具有的, 因此加入不存在该项技术的话, 就相当于将程序放到解密人的跟前。假如其存在漏洞的话, 就可能干扰到技术的安全性特征。
2.3 避免不正当的复制发生
由于其有着一个非常显著的特征, 即容易被复制。而且, 因为社会以及法律等为其提供的维护并不是非常多, 此时就使得很多的软件单位和工作者不断的探索自卫的措施, 此时就存在了软件保护科技。由于其不正当的复制, 在未使用应对方法的背景下, 指对软件未经授权的非法复制后出售或使用软件;在有加密措施的情况下, 指破解防盗版加密, 并非法复制后出售或使用软件。很多不正当复制的软件本身存在病毒, 此时就导致使用者面对非常多的不利现象。此类病毒等会在使用人不知情的状态中, 运作于后台之中, 一些电脑会出现很多非常烦人的问题, 如果厉害的话就会使得体系崩溃, 有时候还导致网络发生问题。对于很多的后台程序来讲, 它可能会使得设备中存放的关键的信息被不正当的修改等, 很显然使用人的设备安全性就降低了。
3 结束语
针对使用人来说, 都希望其软件是非常安稳, 而且不存在漏洞问题的, 就算是有漏洞的话, 也不想让它被不法分子使用, 针对开发单位来说, 要降低其中的漏洞问题, 积极的处理, 避免其给使用人带来的不利现象。
参考文献
[1]晁永胜, 郑秋梅.基于模型的软件安全预测与分析[J].计算机工程与设计, 2008 (14) .[1]晁永胜, 郑秋梅.基于模型的软件安全预测与分析[J].计算机工程与设计, 2008 (14) .
[2]晁永胜, 郑秋梅.软件安全建模与检测[J].计算机仿真, 2007 (10) .[2]晁永胜, 郑秋梅.软件安全建模与检测[J].计算机仿真, 2007 (10) .
[3]张林, 曾庆凯.软件安全洞的静态检测技术[J].计算机工程, 2008 (12) .[3]张林, 曾庆凯.软件安全洞的静态检测技术[J].计算机工程, 2008 (12) .
[4]王维静, 王树明, 陈震, 等.软件安全的多指标综合评测[J].计算机程与应用, 2006 (11) .[4]王维静, 王树明, 陈震, 等.软件安全的多指标综合评测[J].计算机程与应用, 2006 (11) .
软件检测过的安全网站安全么? 篇5
网站安全主要从网络安全、主机系统安全、WEB服务安全及页面数据安全等方面进行检测,网络、主机等基础环境的安全检测此处不再述。
2、 Web 服务安全防护
2.1 Web 应用安全检测
(一) 对于商业软件,如Oracle,Apache等通用组件系统,应当依据厂商或第三方安全机构提供的安全配置加固列表进行安全设置,在厂商推出安全修补程序后应及时进行安全补丁更新。
(二) 应当定期对采用通用程序(如Apache,Websphere等)的应用系统进行弱点扫描,并及时解决所发现的问题;扫描应当在非关键业务时段进行,并制定详细的回退计划。
(三) 隐藏Apache的版本号及其它敏感信息
默认情况下,很多Apache安装时会显示版本号及操作系统版本,甚至会显示服务器上安装的是什么样的Apache模块。这些信息可以为黑客所用,并且黑客还可以从中得知你所配置的服务器上的很多设置都是默认状态。‘
这里有两条语句,你需要添加到你的httpd.conf文件中:
Serversignature off
Servertokens prod
Serversignature出现在Apache所产生的像404页面、目录列表等页面的底部。Servertoken目录被用来判断Apache会在Server HTTP响应包的头部填充什么信息。如果把ServerTokens设为Products,那么HTTP响应包头就会被设置成:
Server:Apache
(四)确保web根目录之外的文件没有提供服务
拒绝Apache访问web根目录之外的任何文件。假设你的所有Web站点文件都放在一个目录下(例如/web),你可以如下设置:
Order Deny,ALLow
Deny from all
Options None
Allowoverride None
Order ALLow,Deny
Allow from all
注意,因为轩opitins None和Allowoverride None,这将关闭服务器的所有Options和OCerride。必须明确把每个目录设置成Options或者Override。
(五)、关闭目录浏览
在Directory标签内用Options命令来实现这个功能。设置Options为None或者-Indexes.
(六)、关闭Includes
通过在Directory标签内使用Options命令实现。设备Options为None或者-Includes。
Options –Includes
(七) 、关闭CGI执行程序
如果不用CGI,对其进行关闭。在目录标签中把选项设置成None或——ExecCGI就可以:
Options —ExecCGI
(八) 、禁止Apache遵循符号连接
同上,把选项设置成None或者—FollowsymLinks:
Options —FollowSymlinks
2.2 Web 网站化代码安全检测
(一) 、采用最新版本的Web服务程序;
(二) 、采用最小权限的原则设置专门帐户用于运行网站服务、数据库服务;
(三) 网站与数据库分离,禁止Web服务与数据库服务运行于同一台服务器上;
(四) 对IIS、Apache等Web服务进行合理配置,防范目录权限、写权限、文件下载等漏洞;
(五) 加强网站代码的安全性,对互联网用户提交网站数据库的数据进行严格过滤,防范SQL注入,如“_、’、”、and、exec、--、or”等:
(六) 对于互联网用户提交的URL、留言等内容进行严格过滤,防范跨站攻击,如:“<、>、’、”、script、/、(、)”等;
(七) 严格限制对外网站的文件上传功能,对需要提供上传功能的网站 要加强上传文件的格式、内容松果,并进行病毒查杀,防止互联网用户上传恶意代码;
“脱轨”的安全软件 篇6
安全软件曝“诱杀” 卡巴斯基遭“误伤”
“甲之错,乙受过。一时间卡巴斯基的负面报道铺天盖地。面对这样的不审而判,我感觉到无奈又无力。”卡巴斯基实验室亚太区董事总经理张立申近日在其微博就央视曝光杀毒软件代理公司存在“诱杀”一事发表感言。
央视《每周质量报告》9月25日曝光新空气广告公司和优霓博得通信技术有限公司两家卡巴斯基代理公司利用网站网页进行虚假病毒提示,让用户误以为电脑有病毒,从而诱骗电脑用户输入自己手机号码,购买卡巴斯基反病毒软件及趋势全功能安全软件。由于此事直接涉及两家杀毒软件代理公司的“诱杀”行为,还间接牵扯到卡巴斯基及趋势科技两款国际知名杀毒软件,因而节目播出后,立即引起社会普遍关注。
9月26日,卡巴斯基和趋势科技纷纷作出回应。
卡巴斯基发表声明称,新空气和优霓博得的行为构成了对消费者和卡巴斯基公司的双重欺诈,损害了消费者的权益和卡巴斯基品牌的声誉,卡巴斯基将保留依法追究这两家公司的法律责任的权利。另外,卡巴斯基还启动了客户服务一级响应,并强调受损失的用户可与卡巴斯基官方销售站或客服联系。
趋势科技则表示,从未授权任何第三方销售趋势科技PC-cillin云安全软件全功能版—免费试用版产品。该公司还指出,将对此事进一步调查,追究相关方法律责任。
然而,事情并未因此趋于平静。
在央视《每周质量报道》被广泛转载期间,一些网络媒体将涉案的主角直接指向卡巴斯基。诸如《卡巴斯基虚报病毒遭央视曝光:诱导用户点击广告》、《卡巴斯基虚报“病毒”诱导用户付费买免费软件》、《卡巴斯基虚报病毒诱导用户付费》等报道相继问世。
9月29日下午,卡巴斯基将新空气和优霓博得告上法庭。同日,卡巴斯基宣布起诉新浪,指新浪在没有进行任何深入调查的情况下,肆意篡改央视原本报道内容,对卡巴斯基品牌形象造成重大伤害。
“央视曝光‘新空气’和‘优霓博得’的骗局陷井无可厚非,但主持人的总结语却不分青红皂白地把无辜的卡巴斯基也捎带上了,而新浪转载时的标题语,更把卡巴斯基坐实了。卡巴斯基就这样‘被’虚报病毒了。” 卡巴斯基实验室亚太区董事总经理张立申在其微博中表示。
9月30日晚,卡巴斯基发表《卡巴斯基致中央电视台每周质量报告栏目组的一封信》,尽数央视报道中存在的偏颇、不慎之处。
针对性法律缺乏维权之路落实难
消费者权益受损已是既定事实,需要有人为此买单,但目前缺乏针对性的法律条文,可参照的相关法律规范适用性也较差。因此,眼下问题的关键是,在现实生活中,如果真的遭遇“诱杀”,应该如何将现有法律转化成执行力,并付诸实施、落实维权。
“据我了解,我国目前没有专门针对安全软件研发标准、市场运营要求等方面做全面规定的法律,相关依据可参考《中华人民共和国产品质量法》及其《实施细则》等相关法律法规、技术标准。”施永宝表示。
那么,参考上述法律,如果卡巴斯基所言属实,它是否需要为其代理公司的‘诱杀’行为承担法律责任呢?如若卡巴斯基所言非实,又当如何呢?
“如果安全软件公司对于‘虚假病毒警示广告信息’欺诈消费者一事完全不知情,而仅是其授权公司在授权以外实施了‘虚假病毒警示广告信息’欺诈行为,那么,在安全软件公司本身并未实施违法行为、其主观上没有错误的情况下,则不承担法律责任,相应法律责任由其授权的代理公司承担。”施永宝进一步解释道:“如果安全软件公司知情(包括授权代理公司实施的情况、或虽未授权代理公司实施但代理公司实施了行为,但安全软件公司知情后不予制止的情况)则构成与代理公司共同实施欺诈行为,均应承担相应法律责任。”
卡巴斯基究竟是否“诱杀”行为,我们目前不得而知,不过,其代理公司新空气和优霓博得难脱“诱杀”罪名是肯定的。
对此,施永宝告诉记者,如果安全软件代理公司作为经营者为扩大销售量而利用广告公司发布“虚假病毒警示广告信息”的事实成立,则其至少违背了我国《民法通则》、《合同法》的诚实信用原则、公序良俗原则以及《消费者权益保护法》的自愿、公平等原则。
“依照我国《消费者权益保护法》第四十九条规定,经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或者接受服务的费用的一倍。”施永宝指出。
施永宝还表示,按照第五十条规定,经营者对商品或者服务作引人误解的虚假宣传的,《中华人民共和国产品质量法》和其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上五倍以下的罚款,没有违法所得的,处以一万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照。
记者以“诱杀”事件受害者的名义拨通了中国消费者协会的电话,向其咨询有关情况并投诉。中消协客服人员告诉记者,除非产品本身存在质量问题,或者厂商与消费者之间有书面承诺,中消协才能受理,并要求对方进行赔付或退换。
在新空气、优霓博得的“诱杀”事件中,既不存在书面承诺,杀毒产品本身也没有明显的质量问题,这样看来,尽管法律上占上风,但通过中消协进行投诉和维权的难度似乎较大、可能性较小。
南京易讯通网络科技有限公司CEO于斌向网络导报记者解释道:“现在关于网络投诉方面的相关法律法规存在滞后性,不能把传统产品的投诉与网络产品混为一谈,就像去年360与腾讯之间的争斗一样,虽然最终的受害群体是用户,但是不能通过任何有效的法律法规进行处理。
“如果遇到了类似卡巴斯基的这种情况,可以通过中国互联网违法和不良信息举报中心对受骗的网站或产品进行投诉,再向各地的省市公安厅(局)网络举报和信息安全中心投诉,一般這些部门都能通过网站进行投诉流程。”于斌建议。
在于斌的建议下,记者拨通了中国互联网违法和不良信息举报中心举报电话12377。不过由于电话无人接听,记者只好通过电话留言和网上留言的方式等待回复。
另外,施永宝还向记者建议,“如因一时疏忽或错误操作,确认导致损失,应尽量搜集相关证据,及时向工商行政管理部门投诉、举报,如果情况复杂、损失巨大,也可以向公安部门报案,进而主张对方赔偿损失。”
商业利益驱动行业乱象丛生
其实,“诱杀”并非安全软件曝出的首个乱象。 除“诱杀”之外,“误杀”、“主动投毒”、禁止卸载等各种事件也曾频频曝光,安全软件市场乱象丛生。乱象的背后,归根结底,是利益的驱动;乱象的结果,不难预料,是行业整体的“自杀”。
事实上,就在此次“诱杀”曝光前不久,金山毒霸的“误杀”事件曾一度引起微博热议。据悉,金山毒霸不仅“误判”来优网为欺诈网站,还一度“误杀”了360安全卫士和灵格斯词霸等软件,个别用户甚至连系统文件都难逃厄运。
而安全软件行业的种种乱象早已延伸至移动互联网,手机杀毒软件公司网秦就是“主动投毒”、禁止卸载典型代表。
今年“3·15”晚会,央视曾曝光手机杀毒软件公司网秦串通飞流下载软件恶意扣取手机用户费用。报道称,当用户安装飞流软件后,会出现手机故障,用户只有通过网秦交费更新病毒库后才能正常使用。而报道中还指出,网秦和飞流有着直接的投资合作关系,是飞流的第二大股东。显然,在此种合作关系下,安装飞流软件出现的手机故障无异于网秦“主动投毒”。
另外,“只要安装了网秦的智能手机,如果再想安装360手机卫士,就会被网秦认为是‘病毒木马’,安装不了,如果卸载网秦的话,该软件还会驻留在手机内存中。”于斌坦言。
从“误杀”、“误判”到“诱杀”,从“主动投毒”到“禁止卸载”,从传统网络到以手机为代表的移动互联网,安全软件的乱象愈演愈烈。而催生种种乱象的却并非是病毒,似乎更多的是来自安全软件本身。
“安全软件变得不安全,其根本驱动力就是利益。”于斌坦言。“诱毒”一事说明了安全行业的几个现状:第一,传统的安全软件在免费的互联网潮流中显得力不从心,国产安全软件厂商瑞星、江民都在走下坡路,金山的重心也转移到了游戏领域,从国内电脑普及初始的“不差钱”到现在的“急缺钱”,反映了安全软件不免费,到最后之后死路一条;第二,传统的安全软件赚钱难,现在大多数用户不像5-10年前那么不熟悉病毒木马,而且市场上也有多款免费的杀毒软件可以应用,在这样的前提下,安全软件厂商的收入越来越少,他们必须通过其他的途径营利。
“因此,诱骗用户点广告采用的非法方式之一,网秦和飞流一个杀毒一个制毒的方式,也是当下安全厂商所热衷的方式之一。除此之外,安全软件厂商还会和一些终端商合作,比如瑞星喜欢和电脑终端商合作,让用户在使用的过程中对安全软件进行付费,网秦喜欢和水货厂商合作,只要用户买了手机,就会给相应的号码发送扣费指令。”于斌进一步解释。
另外,于斌还指出:“误杀不可避免的……早些年误杀不断,包括瑞星、金山、江民、诺顿、卡巴斯基、360等安全软件厂商都出现过误杀的情况,包括现在依然存在。”究其原因有二:一是为了遏制竞争对手的发展,安全软件厂商会故意“误杀”;二是由于病毒库更新不及时,会导致对一些破解软件的误会,进而使安全软件厂商无意“误杀”。
“从行业发展的角度上看,误杀是对行业未来极其不利的,”于斌坦言,“它会造成各家厂商都在针对竞争对手做误杀,以及防备竞争对手对其误杀,而没有精力去应对新型的病毒木马。”
“误杀和诱杀一直在安全领域普受重视,小则文件丢失,大则系统崩溃,现在各杀毒软件厂商在误杀现象中,很多都是针对竞争对手的排挤行为,这已然成为行业中的潜规则。无论是误杀还是诱杀,受害的一方却是用户,比如用户使用A款杀毒软件,可是在访问某网站后,点击了右下角的信息,一下子A款杀毒软件便被强行关闭,并被安装上B款杀毒软件。”于斌感慨:“在群雄并起的时代,众多安全软件厂商都把目光放在相互排挤上,甚少有厂商会一直做产品和服务。”
找准病根给安全软件“开药”
在利益的驱动下,在相关法律缺失的现实背景影响下,安全软件行业“误杀”、“诱杀”、“投毒”等“安全隐患”在所难免。当务之急,需找准病根,对症下药,方可药到病除。
互联网的普及、移动互联网的发展,使民众同网络安全之间的关系日渐密切。也正因如此,安全软件的乱象才会备受重视。2011年3月至今,时隔半年,央视就已两次对安全软件进行曝光,其重要程度不言而喻。可是,如何才能一扫安全软件市场之乱象、促进安全软件之发展呢?
首先,要对准相关法律空白这一病根,进行下药。
“立法层面,要根据安全软件行业的发展现状、存在问题、用户需求、发展趋势等制定相应法律、法规,明确行业发展的方向与预期,规范、明确行业内相关主体的权责、处罚制裁等内容。”施永宝指出。
金山毒霸反病毒工程师李铁军在接受网络导报记者采访时还提到了违法成本低的问题。“一些公然侵权的官司,判决结果对违法侵权没有任何约束力;而违法成本过低,又无形中令主动侵权成为了最大受益者,致使侵权行为频频发生。”
其次,要对准多龙治水、效率低下这一病根,进行下药。
“行政执法层面上,由于软件行业是发展迅猛的行业,且有涉及面广、更新速度快、技术含量高等特点,因而也极其容易产生市场主体竞争激烈、产品标准与质量参差不齐、市场规模庞大、受害人数众多、手法极为隐秘等现实情况,给行政执法主体带来了难度,越是这样越应当从严执法,加强监督,努力培育一个良好的市场环境,让安全软件行业更好地服务经济发展和人民生活。” 施永宝强调。
他还指出,相关政府部门应当作出积极地反应,主要包括确认“诱毒”行为的违法性、制止相关经营主体的违法行为并追究其行政责任、告知消费者享有的权利以及避免继续受害的方法等。
“依据我国相关法律规定,工商行政管理部门的主要职责包括市场经营秩序的规范与监督、监督管理广告发布与广告经营活动、组织查处违法广告、依法保护消费者合法权益等。基于此,国家及各地方工商行政管理部门或消费者保护协会等机构应当在‘诱杀’事件发生后及时作出反应,积极监管、严厉制裁,避免事态扩大,维护消费者合法权益。”施永宝详细解释道。
再次,配置药方时,要考虑到个别安全软件企业为追逐自身利益而实施违法行为这一病根。
于斌强调:“软件厂商严于律己,从道德上约束自己。”
“市场主体应自律与自勉。”施永宝表示:“安全软件行业的良好发展对于专业技术、互联网等多各领域均有巨大影响,发展空间更是无穷无尽,如果各市场主体能够潜心研发、规范运营、交流共进,一定能够实现企业效益的不断增长。”
“安全软件本身是个小市场,以安全为借口,却可以控制互联网的入口,这是大生意。”李铁军表示,由于互联网本身并不安全,对于安全软件厂商而言,更应该专注于解决安全问题。
最后,还要设身处地的从用户角度出发,进行配药。
“用户需要加强自我辨别,一般桌面右下角弹窗,只要涉及到安全漏洞、美女诱惑、中奖信息、视频通话等等,基本上都是带有利益色彩的诱导信息。”于斌说。
软件安全问题 篇7
(一) 软件自身的问题。作为计算机系统的重要组成部分, 计算机软件在使用的过程中存在着许多的问题, 常见的计算机软件主要分为系统软件和应用软件。因此, 计算机软件自身的问题也主要表现在系统方面的缺陷及应用程序的漏洞。系统方面的漏洞主要针对的是操作系统:设计者在具体的设计过程中, 逻辑上的不合理或者设计方法的不科学, 将会为系统的正常运行带来重大的安全隐患。当操作系统出现一定的漏洞时, 将会为黑客的侵入创造有利的条件, 促使他们利用携带病毒的相关软件攻击用户的电脑, 影响了用户计算机的正常使用。而用户计算机中的应用软件在使用的过程中也会存在一系列的问题。主要表现在: (1) 软件在逻辑设计方面缺乏科学的参考依据, 为软件的推广使用带来了较大的风险; (2) 不同的应用软件所需的操作平台有所差异, 带来了许多不确定的影响因素, 影响了软件的正常使用; (3) 盗版软件的存在使得软件内部存在着大量的病毒, 威胁着用户计算机系统的安全稳定性。
(二) 计算机软件具体使用过程中的问题。当用户利用自身的计算机软件开展相关的工作时, 一些不法分子利用相关的技术手段, 诱导用户执行某些风险系数较高的程序, 增加了系统的安全隐患。同时, 市场上存在的盗版软件在具体的使用过程中, 某些非法程序将会对用户的操作行为进行实时地监控, 自动运行携带病毒的软件程序, 获取用户计算机系统内部的机密信息, 为用户计算机软件的正常使用带来了潜在地威胁。
(三) 权限使用的混乱及使用者的技术水平偏低。某些计算机软件的正常使用需要用户登陆自身的账号密码, 主要目的在于防止软件受到外来非法技术手段的攻击。但是, 一些用户将自身的软件账号信息交付他人使用, 将会为系统带来潜在的安全风险。不同的用户对于风险识别的能力有所差异, 权限使用的混乱加大了软件安全隐患存在的几率。同时, 计算机使用者的技术水平也会对软件的正常使用带来许多的问题。主要在于使用者自身的安全防范意识较低, 容易受到网上钓鱼软件的诱导, 降低了软件的安全性能。
二、计算机软件安全问题的防御策略
(一) 做好软件设计阶段的相关工作。为了有效地预防用户计算机软件问题的发生, 需要通过相关的防御策略做好基本的预防工作。其中, 做好软件设计阶段的相关工作, 对于软件安全隐患的消除具有积极的作用。这些工作主要包括: (1) 软件开发者在构建软件的结构框架时, 需要利用科学的方法保证逻辑方面的合理科学性, 减少软件自身的漏洞; (2) 新的软件在投入市场之间, 需要经过反复地测试, 完善软件的相关管理机制, 提升软件的运行水平。
(二) 强化软件使用者的安全防范意识。结合目前软件问题发生的相关事件, 使用者安全防范意识较低是软件问题频繁发生的重要原因。因此, 为了提高软件的使用效率, 减少软件的安全隐患, 需要强化使用者的安全防范意识。实现这样的目标, 首先需要让使用者意识到软件问题发生可能造成的重大影响。然后通过有效的途径为软件使用者提供影响软件安全常见因素的相关信息, 加强他们软件安全使用的认识, 减少软件使用中的误操作行为。同时, 相关的信息安全管理部门应该加大软件教育的宣传教育力度, 为我国信息行业的更好发展提供可靠地保障。
(三) 加快软件加密技术的更新速度。现阶段预防软件安全问题发生的常用技术手段有:计算机系统内部引入加密技术, 利用限制访问权限功能的作用提高软件的安全性能。这些加密技术一定程度上降低了软件安全问题发生的几率, 保证了人们正常的工作生活。但是, 信息化技术的快速发展, 黑客的攻击手段千变万化, 需要加快软件加密技术的更新速度。利用先进的加密技术, 能够为计算机系统带来科学的预防机制, 保证软件的正常使用不受影响。
结束语
信息化技术的不断发展, 为社会各行业经济效益的增加带来了积极的推动作用。与此同时, 计算机软件在实际的应用过程中出现了许多的问题, 影响了相关行业的生产效率。因此, 针对计算机软件不同问题的表现方式, 需要建立可靠的防御机制进行及时地预防, 保证系统的正常运行。
参考文献
[1]陈宏, 朱秀娟.计算机软件安全问题的分析及其防御措施研究[J].河南科技, 2014 (01) .
计算机软件安全检测问题与方法 篇8
对计算机软件进行安全检测, 主要目的在于找出软件中潜在的某些故障及程序运行风险, 以对其采取相应的更正、解决措施。软件安全检测的最终目标在于, 运用各种测试用例来对软件各个方面进行检测, 从而解决其中出现的各类问题。计算机软件安全检测并无法证实程序中存在错误, 它只能作为程序错误进行查找的一种手段。从当前计算机软件安全检测状况分析, 安全测试方法大体可分为静态、动态两类。软件安全检测过程基本可分为三个环节, 分别为功能测试、渗透测试以及最终验证。计算机软件的安全性与普通软件有所不同, 其指向多为软件的不足。从检测内容上看, 计算机软件安全检测基本上是以安全功能和漏洞检测为主。安全功能测试, 主要是查看计算机软件自身的安全功能是否能满足标准的安全需求。软件安全功能需求应通过机密性检测、访问控制和授权等检测后方可得知。计算机软件安全漏洞则主要是检测软件内部的某些缺陷或风险, 通过采取措施来提高软件的应用效果。
2 软件安全检测现状
2.1 检测人员日益多元化, 协作性不强
基于计算机软件的某些特性, 软件安全检测工作往往涉及多个方面, 对检测人员的技术要求在不断提升。与此同时, 检测工作人员的相对多元化, 要求各方面展开密切合作。软件开发部门只有加强同其他部门间的密切合作, 才能更有效地处理软件检测中遇到的各类疑难问题。假如合作不够密切, 各部门各自为营, 互不沟通, 软件安全检测工作便不能全面地开展, 很多潜在的问题也得不到有效解决。
2.2 工作量巨大, 检测手段有待进一步更新
计算机检测十分复杂, 属于一个系统过程, 检测工作量相对较大。计算机软件安全主要可分为系统安全、代码安全及需求安全三个方面, 检测中我们应从上述三个层面展开。针对那些规模较大的软件, 在安全检测过程中, 还应检测其结构性的设计情况。软件检测手段有待进一步更新, 这是当前计算机软件检测中出现的又一大问题。在实际的软件检测工作中, 除应运用各种先进的检测手段外, 还必须将软件检测工作落到实处, 在实践中发现和找出问题。有些安全检测工作, 可能还需运用多种软件技术, 随着时间的更替, 检测软件如得不到及时更新, 操作中出现的问题也将越来越多。
3 计算机软件安全的检测方法
3.1 静态检测技术
计算机软件的检测方法可分为静态检测与动态检测两大类。静态检测技术, 即运用计算机软件编程中的源代码来对整个软件进行安全检测。静态检测技术在使用过程中, 应充分考虑数据量的流动性等影响因素。在安全检测过程中, 静态检测技术不管是在操作还是在检测效果方面, 都有着极大的优势, 它能全面排查计算机软件中的安全隐患, 并检测出其中存在的问题文件。
3.2 动态检测技术
动态安全性检测, 是计算机软件安全检测另一种方法。动态安全性检测主要是在计算机软件操作过程中, 运用该项技术来对软件的运行状况进行检测。动态安全性检测的运用, 应以软件的隐私保护为基准, 其在操作方面相对复杂。动态检测技术不同于静态检测技术, 它主要通过调试器运行被检测的软件的某项功能, 分析和对比运行结果和预期结果之间的差距, 并以此判定检测软件此功能上是否存在安全缺陷。动态检测软件主要是针对软件功能进行检测, 大体包含构造测试用例、调试和分析软件程序这三大部分, 其检测准确率相对较高。
3.3 形式化安全测试
除静态与动态检测技术外, 计算机软件也可通过正规的安全测试、模型安全功能测法试来达到安全检测之目的。该种检测方法要求我们事先建立好教学模型, 运用标准的语言形式来对计算机软件进行安全测试。在实际中, 计算机软件潜在的很多运行故障, 都可通过正规的安全检测方法进行检测。还有一种, 模型安全功能测试。该种方法主要是生成以用例为基础的检测试验模型结构, 而后实现对软件的安全测试。最具代表性的模型安全功能测试法, 主要有有限状态机与马尔可夫链等。
3.4 编程语言
计算机软件的安全检测方法有多种, 编程语言也常被用来对之精细安全性测试。众所周知, 一切计算机软件的运行均是以编程语言为支撑, 运用软件编程, 还可实现视频播放、图片编辑等软件的应用。程序语言检测是一种辅助性检测方法, 其步骤如下:先在计算机软件编辑程序中切换和输入即将被检测的软件, 而后对该台计算机软件运行状况进行观察, 根据其最终结果来判定计算机软件当前的安全性能及存在故障。另外一种为模糊检测, 它是对传统检测技术的一种改进与延伸, 充分传承了模糊测试与动态测试的优势, 其检测结果较为精确。
3.5 故障导入方式
顾名思义, 故障导入方式即通过导入办法来检测计算机软件的安全性。换而言之, 也就是在计算机软件中导入安全检测方法, 以实现故障检测与分析, 并由此判断计算机软件的安全性。导入法能够有效提高检测的自动化程度, 是较为理想的一种安全检测方法。但是, 该种方法具有较强的专业性, 且故障分析与导入过程相对较为复杂, 容易受检测时间与检测结果不确定性等因素影响, 检测难度偏大, 因而很多人都不会选择该种方法来对计算机软件进行安全检测。
3.6 软件属性测试方法
计算机软件属性也可被用来检测计算机的安全性。使用该种检测方法前, 应先了解软件的编程规则, 并对编程规则的安全性进行测试, 而后观察计算机软件在运行中是否遵守了相应的规则, 以此来检测计算机软件存在的漏洞及其安全性。
4 结论
软件安全检测是计算机软件开发中相对复杂却又关键的工作。正确运用安全检测方法, 能够及早发现计算机软件中存在的漏洞, 从而避免软件故障带来的恶性后果。当前, 计算机技术在不断发展, 其对软件的安全性也提出了更高的要求。只有深入研究和创新运用软件安全检测方法, 才能为广大用户带去更大便利。
参考文献
[1]肖俊.计算机软件安全检测方法分析[J].科技资讯, 2013 (3) .
[2]乔素艳.浅析软件安全中的反跟踪技术[J].无线互联科技, 2014 (2) .
软件安全问题 篇9
1 当前计算机软件存在的安全问题分析
计算机技术的跨越式的发展, 使得其广泛地应用于社会的各个行业, 个人电脑、家庭电脑也得到了极大的普及。然而它的背后也隐藏着各种各样的安全问题。当前计算机软件所面临的安全问题主要有非法复制、软件跟踪、软件质量问题等软件安全威胁。计算机软件一般是用某种程序设计语言来设计和完成的, 它是一种逻辑实体, 并非是有形可触的物理实体。软件安全包括对文档和介质的双重保护。计算机软件作为一种知识密集型产品, 由于易复制性, 导致软件产品的知识产权受到严重的威胁。由于我国对于知识产权的认知度不够、保护不足、监管不到位使得不法分子通过盗版软件赚盆满钵满而软件业由此而蒙受相当大的损失。计算机软件运行的安全是对软件进行必要的防护, 以防止其受到人为的修改、破解、复制以及滥用, 从而保证其功能的正常连续运行。一些人或者团体利用掌握的技术, 特别是运用各种程序调试分析工具来对软件程序进行跟踪和逐条运行, 它可以对任何格式的文件进行直接读写和修改, 通过窃取软件源代码、取消软件的防复制和密保钥匙等功能, 来实现对一软件的动态破译, 并将破译后的软件进行非法买卖和公开传播。这样同样使得计算机软件的安全存在着相当大的问题。而在计算机软件开发过程中, 软件开发商所研发出来的软件不可避免的存在一些类似于安全漏洞的缺陷, 这样同样造成了计算机软件的安全问题。
2 计算机软件存在问题的防御策略探讨
计算机软件安全问题的防御策略主要有行政法律、法规上的策略、组织管理上的策略和技术层面的策略等。计算机软件安全在行政法律、法规上的策略主要是利用法律的武器对自己的权利进行维护。我们可以根据国家计算机安全的相关法律、法规, 完善计算机信息系统安全保护条例、计算机软件保护条例等, 做好计算机知识的普及和教育培养公众对软件版权、知识产权的法制观念。在组织管理上的策略则要求我们设立严密的组织机构和管理流程, 一对软件从开发出来到最终用户的使用环节都能得到严格的监控和管理。要成立打击软件非法复制和动态跟踪的专题小组, 从事相应的检查、监督工作。在技术层面的策略则要加强加密技术、防复制、反跟踪的技术, 采取强硬的措施来保护自己的权益。加密技术主要是为了限制软件被复制。防止盗版的软件来保护开发者的权益。然而, 仅依靠保密方法来消除盗版或者其它的安全隐患是不可能的, 我们必须对已有的软件, 还可以使用一些类似于密码的安全保护措施。为了防止软件的非法复制, 国家应该要加强对软件产品的保护力度。这样才能够减小盗版软件带有病毒和一些捆绑的后台程序, 给软件用户的数据安全带来极大的威胁。而反跟踪技术则是种防止利用调试工具活跟踪软件来窃取软件源码、取消软件防复制和加密功能的技术。根据目前软件系统的结构特点, 任何软件的运行都是依附于CPU的, 如果CPU的运行被监控, 就等于把程序直接裸露在解密者的面前, 那么软件在运行的时候就极易被复制, 进而威胁整个软件的安全性能。
3 结语
在信息化时代, 计算机日趋普及, 逐渐成为人们日常生活不可或缺的一部分。计算机软件种类的丰富和其功能的日益强大, 使得计算机能够满足人们个性化、全方位的需求。计算机软件的极大丰富, 也使其使用的安全性面临威胁和挑战。计算机软件主要是指计算机系统中的程序及其文档, 其主要分为系统软件和应用软件两大类。在电子商务繁荣的今天, 加强企业计算机的安全管理, 保障电子商务业务正常有序进行, 确保信息和资金安全是一个现实的问题, 这就给计算机软件的设计和管理带来了诸多的困难。计算机软件安全问题包括保证软件系统自身的安全和确保软件系统正常、连续的运行, 它涉及两个安全主体。从软件使用者的角度看, 用户需要软件的性能可靠、安全, 易于操作并且质优价廉。从软件开发商的角度讲, 开发商除了要满足最终用户的安全需要外, 还得保护软件开发者的知识产权, 以防软件系统被不法之徒为了牟取利益而低廉复制或者跟踪仿制。计算机软件的安全问题在当前越来越受到人们的重视, 计算机软件相关的安全问题需要我们沉下心来去研究、去探索。虽然说我国的计算机软件安全水平相较于其他先进的国家尚有一定的差距, 但是只要我们充分的认识到我国计算机软件存在的安全问题并设法去解决问题, 不断的积累经验以后就能够制定防御策划, 当在遇到相同的安全问题时可以及时的进行防御, 以保障用户和软件开发商的合法权益。
参考文献
[1]杨静惠.网络安全的发展现状与预防措施[J].信息与电脑 (理论版) , 2012年04期.
[2]袁飞.基于NDIS的内网安全管理技术探讨[A].全国第19届计算机技术与应用 (CACIS) 学术会议论文集 (下册) [C], 2008年.
软件安全问题 篇10
当前社会飞速发展,科技领域更是日新月异,计算机行业也随之迅速发展起来。随着计算机的普及以及人们逐渐加强的安全意识使得计算机软件的安全问题得到了重视。计算机软件安全就是指软件系统得到保护并且能够持续正常运行。有关计算机软件安全方面的知识多且复杂。就计算机用户而言,功能强大且价格低廉的软件系统是倍受青睐的,而开发者则会追求利益最大化,尽可能在满足消费者需求的同时使自己的知识产权得到保护。计算机用户所考虑的软件安全问题仅仅是在使用过程中所涉及到的安全问题,而软件开发商则需要考虑更多方面的内容。为了保障整个信息系统的正常运行,我们必须及时发现并解决计算机软件中存在的安全隐患。
1当前计算机软件存在的安全问题分析
在飞速发展的信息技术的影响下,计算机软件不论是种类还是功能方面都日益丰富。在这种局面之下,计算机软件安全问题也变得越来越重要。计算机软件在安全方面呈现出了较多的问题。就此,作者做出了相关的分析与探讨。
1.1计算机软件自身存在的问题
一是计算机软件自身存在的质量问题。由于在生产过程中受到一些诸如技术、人员等问题,市面上一些计算机软件大多存在一定的缺陷,及我们所谓的安全漏洞;二是计算机软件本身具有相应的易复制性。由于当前我国的知识产权意识尚较为薄弱,一些不法分子便利用这些可乘之机非法复制计算机软件,生产盗版软件,从而在短时间内牟取暴利。这是目前计算机软件市场存在的十分严重的问题,而且这类非法行为严重影响了计算机软件行业的正常健康发展。
1.2计算机软件运行使用过程中存在的问题
首先,有些不法分子利用相关工具以及自身所掌握的一些技能,非法跟踪并运行相关的软件程序。通过相应的操作破译计算机软件,进而读取并修改不同形式的文件。其次,计算机软件病毒。病毒是计算机软件安全问题中最为常见的问题之一。其起因多为不法分子非法破译计算机软件后对其进行非法买卖与传播。随着计算机产业的发展,这些买卖与传播的方式也日益多样化。最后,计算机软件的黑客攻击。黑客攻击问题是相关安全问题中比较棘手的问题之一,这主要是由于计算机软件的虚拟性使得网络监控人员无法准确搜索并定位黑客身份,这就使得这些黑客有恃无恐。
1.3计算机软件的管理问题
有些计算机用户安全意识十分薄弱且不具备专业的安全防护技术。这无疑为诸如计算机软件病毒以及黑客入侵等非法入侵行为提供了极大的便利。这样一来,计算机软件安全就面临着极大的威胁。同时存在其他方面的问题,譬如缺乏一套完善的计算机软件安全管理体制。
2计算机软件存在问题的防御策略
2.1做好计算机软件的安全设计工作
为保障计算机软件的安全,在设计软件的阶段就应当全面考虑其安全问题并采取相关措施防患于未然。具体实施过程如下:对系统安全漏洞的检测设计予以足够的重视,设计人员应当定期扫描软件的系统漏洞,只有这样,才能使用户在使用过程中及时发现并解决问题;重视用户访问的认证与设计工作,在软件访问路径的关键部位进行加密,对目录、文件、设备的访问操作加强限制;重视源代码的保密设计工作,设计人员需要对源代码进行加密以确保计算机软件的安全。
2.2防治非法复制
鉴于软件易复制这一特点,加之我国当前知识产权保护方面的相关法律尚不完善,许多开发者不得不采取自卫手段对自己的软件进行防复制的保护。所谓非法复制即不法分子在未取得软件开发者授权的情况下利用自身所掌握的技术等非法破解并大量制作相关软件。而许多非法复制出来的软件都带有病毒以及一些后门程序,这会给用户带来安全隐患,这些病毒和后门程序大多是在计算机用户不知情的情况下运行,对计算机正常运行带来不必要的故障与干扰,甚至会导致计算机用户的个人信息被篡改乃至丢失,因此防止软件被复制是保护软件安全的重要措施。
2.3完善计算机软件相关的法律法规。
有关部门应当及时完善相关法律法规,借助法律手段保障计算机软件安全。各级部门应当切实履行其职责,大力规范并整顿计算机软件市场,只有这样,计算机软件市场的正常运行与健康发展才能得到保障。此外,有必要建立一套行之有效的监督体系,借助网络监管与社会舆论的效力,力求及时发现和解决计算机软件盗版与侵权现象,整顿并净化计算机软件市场。
2.4提高计算机软件的安全保护意识
计算机用户应学习计算机相关技术知识和法律法规,提高安全意识,在日常操作过程中严格遵守相关规定。并且定期备份计算机软件系统,更新并恢复日志,平时应当管理并控制好计算机软件系统,对自己计算机软件的安全状况予以足够的重视。及时修复系统漏洞,定期查杀计算机病毒,保障计算机的系统软件安全和正常运行。
3结语
软件定义向安全领域蔓延 篇11
通过SDS,未来安全控制会变得与网络分段、入侵检测和访问控制等一样简单,通过软件就可以实现全面的自动化和可视化。
市场研究机构Gartner将SDS视为2014年IT安全领域十大技术之一,这足以说明其将对安全产业造成的影响。“SDS并不意味着企业不再需要专用的安全设备。”该公司说,“恰恰相反,就像软件定义网络一样,SDS只是将更多的操作和管理转移到了软件层面。”
虽然目前SDS属于相对比较新颖的话题,各厂商对于SDS的见解也不尽相同。但是考虑到近些年软件定义的发展势头,SDS的发展普及可以说已是必然。
究竟SDS能够带来哪些好处?通过采访行业分析师和安全管理人员,他们给出了以下建议。
更简单
通过使网络层和安全层分离,SDS能够使安全环境变得更加简单,西捷航空公司IT安全部门解决方案架构师Richard Sillito表示,“我们公司已经启动了一系列信息安全改造项目,其中包括实施SDS,这将帮助公司IT架构进一步实现更大规模的自动化和最终的自服务。”
据悉,西捷航空已经在其一个数据中心部署了VMware的NSX网络虚拟化和安全平台,目前该数据中心的第一个应用程序也正在实施当中。
“我们的IT团队正在学习与VMware NSX配套API接口的相关开发工作,包括如何自动化地创建逻辑交换机、构建安全组织、应用安全策略等。”Sillito说,“目前,该团队正在使用相关工具创建和策划今后的工作流程。”
“这意味着安全配置将成为工作流程的一个部分,从而确保安全并不会因为急于生产而被忽略。”Sillito说。未来,该团队还会使用其他工具来发布服务,向自助式服务的目标更进一步。
“SDS允许我们将网络层和安全层剥离。”Sillito补充说,“因此,我们没有必要再将数据包单独路由到防火墙过滤,流量过滤将统一在网络层之上进行。这意味着企业不再需要购买多个防火墙并在不同的数据中心进行部署。”
网络层和安全层分离会减少互相之间的依赖,Sillito说,对企业而言这意味着更少的变化和更低的总体成本支出。“简单是实现自动化的第一步,越简单的东西越容易实现自动化。任何能够帮助简化IT和安全的技术都是有益的。”
“当前,我们的计算环境已经非常复杂。不过,随着智能终端数量及种类的不断增加,IT环境的复杂性还会愈演愈烈。”Kusnetzky集团创始人兼杰出分析师Dan Kusnetzky说。
“有如此多可移动的设备,企业必须能够做到时刻锁定所有的访问设备,即便他们是虚拟化的设备。”Kusnetzky说。“使用传统方法保障安全需要绑定所有的设备。但面对日益复杂的IT环境,这显然已经不适用。如今的安全工具必须变得足够敏捷,以应对愈发复杂的IT环境。”
网络更可信
SDS将能够使零信任(Zero Trust)网络变得更加安全。零信任的本质是企业不信任全部的网络流量,而这就需要企业使用先进技术密切监测企业内部和外部的所有网络流量,Forrester副总裁兼首席分析师John Kindervag说,“Zero Trust”是必要的,因为现有的基于信任机制的安全方法并不起效。Forrester说,不过组织机构需要摆脱内部网络可信,外部网络不可信的想法。
“SDS技术能够帮助用户更简便地构建部署Zero Trust网络安全。”Kindervag说。“在组织机构中通过软件管理安全,使得用户能够为网络环境建立更细致的安全策略,而且安全策略的设定也将变得更加简单。网络同时变得更加灵活、更加安全。”
除了灵活性,SDS还能使安全系统更便捷地与多个网络系统相集成。“通过第三方接口,用户可以更方便地将两套不同的网络系统集成在一起。”Kindervag说。
加强管控
软件定义安全不仅能够帮助组织机构消除现有单个安全产品漏洞可能产生的影响,而且能使用户对基础设施的安全控制更为直接,独立安全与研究咨询公司Securosis CEO兼分析师Rich Mogull说。“举例而言,通过SDS,你可以瞬间识别所有脱离管理的服务器,然后自动隔离、识别服务器的所有者,并引导进入管理软件,或采取其他措施来进行安全保障。”
这使得安全工作流程的建立变得更加简便。在大幅减少手动操作和运营成本的同时,也有助于改善安全灵活性以满足新兴业务的需求,Mogull说,“听起来有些不可思议,但目前确实已有真实的应用案例,而非供应商的虚假承诺,我们已经看到了用户自身所发生的变革。”
随需而动
如今,围绕IT的所有部分都在发生变革,安全同样也不例外。组织机构信息安全负责人应该认真考虑每一种能够保护资产并满足业务目标的技术,数据存储技术提供商Iron Mountain副总裁兼首席信息安全官Lorna Koppel说,“软件定义安全就是一个值得考虑的技术。”
这对于不再想构建传统物理边界的组织机构而言十分重要,Koppel说,“传统安全工具通过获取具体的路由路径,并通过物理隔离来保障数据安全。但面对日益复杂的环境时,这些远远不够,因为一个组织机构没法掌控所有的基础设施。”
SDS能够以灵活的方式提高组织对云服务或虚拟化系统的保护,Koppel说,“因为即便运行在相同设备上、相同的虚拟环境中的不同应用仍有着不同的安全需求。因此,考虑到所有资源是处于动态环境中的,用户想要实现对资源的安全保护,且不增加更多的人力成本,就必须参与到每一个变化之中,随需而动。”
这其中的关键在于用户是否能够把握运营支持的每一个环节,包括数据处理、安全漏洞及威胁分析等,Koppel说,“在这方面,软件定义安全通过简化管理能为企业节约更多的精力和资源,这对企业而言无疑是个巨大的帮助。”(编译/刘贝贝)
软件安全问题 篇12
在全球经济一体化的趋势下, 我国的国民经济在进出口贸易和国内加工业有了较大的发展, 国民生产总值 (GDP) 有了很大的提升, 国人的消费水平也在不断的提升。当前, 我国已经初步进入了信息化的生活时代, 网络信息技术得到大量的推广和使用, 给我们的生活带来了极大的便利。但是在给人们生活提供便利的同时, 计算机软件安全存在的问题也困扰着我们。在本文中, 将会对计算机软件安全检测的内容进行解释, 并对检测方式分类, 这样我们提供的办法就可以对应于不同的客户解决计算机软件安全隐患。
2 计算机软件安全检测基本内容
2.1 计算机软件安全检测的基本概念
计算机软件的开发和应用是一个非常长周期的过程, 一开始需要进行编程开发, 最后必须实行安全使用检测, 这其中的所有环节对于一个计算机软件的成功都十分重要。众所周知, 几乎所有的软件产品都有一些潜在的风险。计算机在是电子产品中最高端的, 但是风险也是最大的, 所以, 在计算机软件的开发过程中, 计算机软件安全性能的检测十分重要, 这关系到计算机的质量。很多的软件公司经常为了最大利润为目的, 却忽视软件的安全, 这是十分失策的, 既不对客户负起责任, 也不对公司名誉负责, 常常有大量的软件使计算机陷入风险。软件公司必须注重软件安全检测, 以扩大用户的使用量和功能的优化利益作为主要的利润来源, 而不是杀鸡取卵, 迫害用户的利益来赢取更大的资本。目前计算机检测方法有两种, 第一种方法是静态安全检测, 另外一个方法是动态安全检测, 使用这两种方法, 公司的软件就变得高效安全。
计算机软件安全检测不是单独的领域可以实现的, 这一系列过程较为繁杂。在安全监测之时, 需要各个部门的默契配合。我国是一个发展中国家, 计算机软件的应用普遍落后于他国, 但是我国的信息软件的发展速度却十分迅猛。以其他发达国家为鉴, 我国必须加大重视软件安全检测问题, 从其它国家的软件检测历程中学习经验, 为促进我国计算机的整体发展和普及做贡献。
2.2 计算机软件安全测试过程的主要问题
计算机软件的安全问题是全世界的信息产业工作者所关注的问题, 我国的信息产业工作者对软件安全十分重视, 并得出了结论:一, 由于计算机的软件的多样化, 必须采用更加多样化的检测技术进行安全检测, 以保证软件的安全性, 软件开发部门对于各类检测技术方法的研究需要与不同的领域相结合一起共轭作用。二, 计算机安全检测中必须建立一个全面的分析立体表格, 进行对比分析。计算机分析是十分重要的环节检测人员需要对不同软件的功能进行了解和应用, 以防止软件突发性的失误, 保证软件的顺利运行。
3 计算机软件安全的检测方法
3.1 静态检测技术
本文中已经阐述了计算机软件检测的有静态和动态等不同的检测技术。静态检测技术是依照不同的软件编程来实现本质分析检测的, 目的是实现计算机软件安全检测。静态检测技术有一定的约束问题:比如数据的信息量和类型。在计算机软件进行安全检测的过程中, 静态技术有十分大的优势, 操作比较简单, 容易查出错误所在, 可以剖析的分析软件的安全问题, 可重复的应用于不同的软件。
3.2 对软件安全开展形式化检测
计算机软件安全性检测方法在静态检测和动态监测之外, 还有一些其他的检测方法比较常用, 比如在安全监测时以故障为基础的基于软件属性的一种检测方法, 这是一种比较重要直接的检测方法。但是这种检测方法是基于计算机安全的数值模型的, 并在数值模型的基础上对标准的各种信息进行检测。
3.3 利用编程语言进行检测
在检测方法中还有一种是利用编程语言对软件安全进行检测的技术。众所周知, 计算机软件都是通过编程实现的, 使用编程可以得到多样化的软件。检测计算机软件安全需要将检测的软件的代入检测安全的软件中, 之后通过观察计算机的状况来得出计算机的软件的各项参数和性能, 并得到安全性能。
3.4 利用动态检测技术完成软件检测
计算机软件安全性检测中除了静态检测还有一种方法是动态检测技术。动态检测是指在计算机软件操作环境中, 对软件进行不同的操作分析并动态时刻检查。使用动态安全检测技术根本的需要时保护用户安全, 但是存在一些缺陷比如操作复杂等。不同的检测方法都有一些优势和缺陷, 在实际的操作过程中我们需要依照不同的情况利用不同的检测方法, 以达到最优化的效果和结论, 可以采用多种安全检测技术耦合的方式, 以便我们能更好的应用软件, 生活中的软件也更加健康。
3.5 故障导入式检测安全
还有一种故障导入的方式检测软件的安全, 在计算机中, 将故障导入软件中, 观察软件的可靠性和稳定性, 最后依据软件的表现判断根本的安全性能。计算机软件进行故障解析的过程是非常繁杂的, 因为有很多的不确定性, 包括检测时间不确定和失败的原因的不确定, 这些都是检测失败的原因。由于故障导入技术需要专业的水平, 所以我们一般不采用这种方式检测软件的安全。
3.6 计算技术性检测技术
除了以上的五种方法之外, 我们还可以使用计算机属性对软件的安全进行检测, 使用这种方法的前提是对于所有的软件的功能和运行方式都有一定的了解和应用, 然后对软件的程序和电脑软件属性进行对比分析, 运行要检测的软件, 并对比电脑中的软件属性, 控制变量法以确定软件的安全性能。
从以上可以知道, 计算机的安全检测方法有很多种, 需要“对症下药”, 并采用多种检测方式共行的方式, 对同一待检测的软件实行安全检查, 这样才能提高软件的安全可靠性, 以方便我们的生活和工作。
摘要:随着21世纪的信息时代, 计算机技术在全世界的普及越来越广泛, 其中网络信息技术是科学技术和国民经济发展的核心生产力。然而, 随着信息化时代中网络信息技术的普及, 计算机软件的安全检测问题在当下越来越受到重视。文中作者通过对计算机软件安全检测存在的问题进行了研究, 并提出了计算机软件安全检测总结了经验, 提出了解决对策。
关键词:计算机,软件,检测,对策
参考文献
[1]贾杰.计算机软件安全检测技术研究[J].计算机光盘软件与应用, 2012, (5) :204-204, 189.
[2]马英英.论述计算机软件安全检测需要注意的问题和检测方法[J].管理学家, 2012, (6) :733.