软件安全论文实用13篇

软件安全论文篇1

随着国家大力推动软件外包行业和IT行业的发展，软件企业发展呈现良好态势，在自身业务发展壮大的同时，软件企业信息安全重要性日益凸显。互联网和IT技术的普及，使得应用信息突破了时间和空间上的障碍，信息的价值在不断提高。但与此同时，网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示，2007年5月～2008年5月间，有62．7％的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和木马程序的安全事件为85．5％，遭到端口扫描或网络攻击的占31．4％，垃圾邮件占25．4％。

信息是软件企业的重要资源，是非常重要的“无形财富”，分析当前的信息安全问题，有如下典型的信息安全问题急需解决。

(1)网络共享与恶意代码防控。

网络共享方便了不同用户、不同部门、不同单位等之间的信息交换，但是，恶意代码利用信息共享、网络环境扩散等漏洞，影响越来越大。如果对恶意信息交换不加限制，将导致网络的QoS下降，甚至系统瘫痪不可用。

(2)信息化建设超速与安全规范不协调。

网络安全建设缺乏规范操作，常常采取“亡羊补牢”之策，导致信息安全共享难度递增，也留下安全隐患。

(3)信息产品国外引进与安全自主控制。

国内信息化技术严重依赖国外，从硬件到软件都不同程度地受制于人。目前，国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中。但是这些软件或多或少存在一些安全漏洞，使得恶意攻击者有机可乘。目前，我们国家的大型网络信息系统许多关键信息产品长期依赖于国外，一旦出现特殊情况，后果就不堪设想。

(4)IT产品单一性和大规模攻击问题。

信息系统中软硬件产品单一性，如同一版本的操作系统、同一版本的数据库软件等，这样一来攻击者可以通过软件编程，实现攻击过程的自动化，从而常导致大规模网络安全事件的发生，例如网络蠕虫、计算机病毒、”零日”攻击等安全事件。

(5)IT产品类型繁多和安全管理滞后矛盾。

目前，信息系统部署了众多的IT产品，包括操作系统、数据库平台、应用系统。但是，不同类型的信息产品之间缺乏协同，特别是不同厂商的产品，不仅产品之问安全管理数据缺乏共享，而且各种安全机制缺乏协同，各产品缺乏统一的服务接口，从而造成信息安全工程建设困难，系统中安全功能重复开发，安全产品难以管理，也给信息系统管理留下安全隐患。

(6)IT系统复杂性和漏洞管理。

多协议、多系统、多应用、多用户组成的网络环境，复杂性高，存在难以避免的安全漏洞。由于管理、软件工程难度等问题，新的漏洞不断地引入到网络环境中，所有这些漏洞都将可能成为攻击切入点，攻击者可以利用这些漏洞入侵系统，窃取信息。为了解决来自漏洞的攻击，一般通过打补丁的方式来增强系统安全。但是，由于系统运行不可间断性及漏洞修补风险不可确定性，即使发现网络系统存在安全漏洞，系统管理员也不敢轻易地安装补丁。特别是大型的信息系统，漏洞修补是一件极为困难的事。因为漏洞既要做到修补，又要能够保证在线系统正常运行。

(7)攻击突发性和防范响应滞后。

网络攻击者常常掌握主动权，而防守者被动应付。攻击者处于暗处，而攻击目标则处于明处。以漏洞的传播及利用为例，攻击者往往先发现系统中存在的漏洞，然后开发出漏洞攻击工具，最后才是防守者提出漏洞安全对策。

(8)口令安全设置和口令易记性难题。

在一个网络系统中．每个网络服务或系统都要求不同的认证方式，用户需要记忆多个口令，据估算，用户平均至少需要四个口令，特别是系统管理员，需要记住的口令就更多，例如开机口令、系统进入口令、数据库口令、邮件口令、telnet口令、FTP口令、路由器口令、交换机口令等。按照安全原则，口令设置既要求复杂，而且口令长度要足够长，但是口令复杂则记不住，因此，用户选择口令只好用简单的、重复使用的口令，以便于保管，这样一来攻击者只要猜测到某个用户的口令，就极有可能引发系列口令泄露事件。

(9)远程移动办公和内网安全。

随着网络普及，移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络，安全程度难以得到保证，如果内部网络直接允许远程访问，则必然带来许多安全问题，而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网，又要保证内部网络的安全”就成了一个许多单位都面临的问题。

(10)内外网络隔离安全和数据交换方便性。

由于网络攻击技术不断增强，恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统，窃取数据或恶意破坏数据。同时，内部网的用户因为安全意识薄弱，可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全，有的安全专家建议，“内外网及上网计算机实现物理隔离，以求减少来自外网的威胁。”但是，从目前网络应用来说，许多企业或机构都需要从外网采集数据，同时内网的数据也需要到外网上。因此，要想完全隔离开内外网并不太现实，网络安全必须既要解决内外网数据交换需求，又要能防止安全事件出现。

(11)业务快速发展与安全建设滞后。

在信息化建设过程中，由于业务急需要开通，做法常常是“业务优先，安全滞后”，使得安全建设缺乏规划和整体设计，留下安全隐患。安全建设只能是亡羊补牢，出了安全事件后才去做。这种情况，在企业中表现得更为突出，市场环境的动态变化，使得业务需要不断地更新，业务变化超过了现有安全保障能力。

(12)网络资源健康应用与管理手段提升。

复杂的网络世界，充斥着各种不良信息内容，常见的就是垃圾邮件。在一些企业单位中，网络的带宽资源被员工用来在线聊天，浏览新闻娱乐、股票行情、，这些网络活动严重消耗了带宽资源，导致正常业务得不到应有的资源保障。但是，传统管理手段难以适应虚拟世界，网络资源管理手段必须改进，要求能做到“可信、可靠、可视、可控”。

(13)信息系统用户安全意识差和安全整体提高困难。

目前，普遍存在“重产品、轻服务，重技术、轻管理，重业务、轻安全”的思想，“安全就是安装防火墙，安全就是安装杀毒软件”，人员整体信息安全意识不平衡，导致一些安全制度或安全流程流于形式。典型的事例如下：用户选取弱口令，使得攻击者可以从远程直接控制主机；用户开放过多网络服务，例如：网络边界没有过滤掉恶意数据包或切断网络连接，允许外部网络的主机直接“ping”内部网主机，允许建立空连接；用户随意安装有漏洞的软件包；用户直接利用厂家缺省配置；用户泄漏网络安全敏感信息，如DNS服务配置信息。

(14)安全岗位设置和安全管理策略实施难题。

根据安全原则，一个系统应该设置多个人员来共同负责管理，但是受成本、技术等限制，一个管理员既要负责系统的配置，又要负责安全管理，安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中，一旦管理员的权限被人控制，极易导致安全失控。

(15)信息安全成本投入和经济效益回报可见性。

由于网络攻击手段不断变化，原有的防范机制需要随着网络系统环境和攻击适时而变，因而需要不断地进行信息安全建设资金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所产生的经济效益往往是间接的，不容易让人清楚明白，从而造成企业领导人的误判，进而造成信息安全建设资金投入困难。这样一来，信息安全建设投入往往是“事后”进行，即当安全事件产生影响后，企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划，基本上是“头痛医头，脚痛医脚”，信息网络工作人员整天疲于奔命，成了“救火队员”。

为了解决信息安全问题，保护企业信息的安全，建立实施信息安全管理体系是非常有效的途径。无论是自身发展需求还是国际国内客户的要求，越来越多的软件企业希望或已经建立实施信息安全管理体系。如何提高组织的信息安全，通过建设信息安全管理体系中降低组织存在的信息安全风险的方法，来提高组织信息的安全性。由此可见信息安全风险管理，是我们建立信息安全管理体系的一个重要环节，也是信息安全管理体系建立的基础。下面我们着重探讨在软件企业中的信息安全风险管理。

1．信息安全风险管理概述

我们将标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程称之为风险管理，风险管理被认为是良好管理的一个组成部分，

2．确定范围

在建立信息安全管理体系之初，根据业务、组织、位置、资产和技术等方面的特性，我们确定了组织ISMS的范围，那么风险管理的范围应该和我们确定的ISMS的范围相一致。在软件企业中，我们要将企业的业务流程、组织架构、覆盖地址、信息系统、相关资产等都纳入到风险管理的范围当中

3．风险分析

风险分析是标识安全风险，确定其大小和标识需要保护措施地区域的过程，其目的是分离可接受的小风险和不能接受的大风险，为风险评价和风险处置提供数据。风险分析主要有定性分析方法和定量分析方法两种。定性分析方法是最广泛使用的风险分析方法，主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性，相对于威胁发生的可能性，该方法通常更关注威胁事件带来的损失。定性分析方法在后果和可能性分析中采用数值(不是定性分析中所使用的叙述性数值范围)，并采用从不同来源中得到的数据进行分析，其主要步骤集中在现场调查阶段，针对系统关键资产进行定量的调查、分析，为后续评估工作提供参考数据。在软件企业进行风险分析时，因为定量分析方法中的数值、数据不易获取，我们通常采用定性分析方法。风险分析又包括以下4个方面，针对定性分析方法，具体过程如下：

(1)识别评估资产。

在ISMS中所识别评估的资产有别于常见的固定资产，这里的资产主要指信息、信息处理设施和信息使用者。在识别资产时，我们需要选择适合的分类原则和识别粒度。在软件企业中，通常把资产划分为硬件、软件等方面，还需要对这些方面进行细分，也就是进行二级分类。

在评估资产时，我们要从信息的三个属性即保密性、完整性和可用性来评估资产的重要度等级。资产的重要度等级是我们进行风险评价的依据之一。资产重要度等级可以按如下定义和赋值：

①资产属于“高”等级重要度，赋值为“3”，该类信息资产若发生泄露、损坏、丢失或无法使用，会给公司造成严重或无法挽回的经济损失；

②资产属于“中”等级重要度，赋值为“2”，该类信息资产若发生泄露、损坏、丢失或无法使用，会给公司造成一定的经济损失；

③资产属于“低”等级重要度，赋值为“1”，该类信息资产若发生泄露、损坏、丢失或无法使用，会给公司造成轻微的经济损失。

(2)识别评估威胁。

我们应该清楚威胁一定是与资产相对应的，某一资产可能面临多个威胁。在识别威胁时，我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后，综合考虑威胁源的动机、能力和行为，对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁，这种威胁动机、能力较强。

(3)识别评估脆弱性。

脆弱性可以理解为资产可以被某种威胁所利用的属性，一种威胁可能利用一种或多种脆弱性而产生风险。我们从管理和技术两个方面来识别脆弱性，通常采用文档审核、人员访谈、现场检查等方法。针对“识别评估威胁”中所举例的威胁，软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。

(4)识别评估控制措施。

在我们识别出威胁和脆弱性之后，我们要针对威胁利用脆弱性产生的风险，来识别组织自身是否已经采取控制措施，并采取叙述性数值的方式来描述已采取控制措施的有效性，评估的标准由组织进行制定，例如控制措施有效性可以定义进行如下定义和赋值：

①控制措施影响程度为“好”，赋值为“1”，该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果，能够满足公司的信息安全管理要求；

②控制措施影响程度为“中”，赋值为“2”，该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果，需要增加辅助的控制措施满足公司信息安全管理要求；

③控制措施影响程度为“低”，赋值为“3”，该类控制措施已经对信息资产威胁和脆弱性未起到控制效果，需要重新制定新的控制措施满足公司信息安全管理要求。

控制措施的有效性是我们风险评价的依据之一。

4．风险评价

风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程，其结果是具有不同等级的风险列表，目的是判断特定的风险是否可接受或者是否需采取其他措施处置。风险评价主要包括以下几个过程：

(1)分析评估可能性和影响。

“可能性”指威胁利用脆弱性的可能性，“影响”指威胁利用脆弱性后，对组织资产造成的影响。在分析可能性时，我们主要考虑威胁源的动机、能力和脆弱性的性质。在评估可能性时，依据组织制定的评估准则，对可能性进行描述，例如将可能性进行如下定义和赋值：

①可能性级别“高”，赋值为“1”，威胁源具有强烈动机和足够的能力，防止脆弱性被利用的防护措施是无效的；

②可能性级别“中”，赋值为“0．5”，威胁源具有一定的动机和能力，但是已经部署的安全防护措施可以阻止对脆弱性的成功利用；

③可能性级别“低”，赋值为“0”，威胁源缺少动机和能力，或者已经部署的安全防护措施能够防止——至少能大大地阻止对脆弱性的利用。

在分析影响时，我们主要考虑威胁源的能力、脆弱性的性质以及威胁利用脆弱性对组织资产保密性、可用性、完整性造成的损失。在评估影响时，同样依据组织制定的评估准则，对影响进行描述，例如将影响进行如下定义和赋值：

①影响级别“高”，赋值为“l00”，该级别影响对脆弱性的利用：a．可能导致有形资产或资源的高成本损失；b．可能严重违犯、危害或阻碍单位的使命、声誉或利益；c．可能导致人员死亡或者严重伤害；

②影响级别“中”，赋值为“50”，该级别影响对脆弱性的利用：a．可能导致有形资产或资源的损失．b．可能违犯、危害或阻碍单位使命、声誉或利益-c．可能导致人员伤害。

③影响级别“低”，赋值为“10”，该级别影响对脆弱性的利用：a．可能导致某些有形资产或资源的损失；b．可能导致单位的使命、声誉或利益造成值得注意的影响。

参考“风险分析”中的例子，病毒、木马攻击的动机、能力很强，员工很容易忽略对杀毒软件病毒库的升级，病毒、木马攻击很可能导致公司重要数据的丢失或损坏，那么这种威胁利用脆弱性的可能性就比较高，影响也比较高，均属于“高”等级。

可能性和影响都是我们进行风险评价的依据。

(2)评价风险。

在评价风险时，我们需要考虑资产的重要度等级、已采取控制措施的有效性、可能性和影响，通常可以采取叙述性赋值后依据组织制定的评价方法进行计算的方式，计算出风险值，并根据组织制定的准则，将风险进行分级，例如将风险进行如下分级：

①“高”等级风险：如果被评估为高风险，那么便强烈要求有纠正措施。一个现有系统可能要继续运行，但是必须尽快部署针对性计划；

②“中”等级风险：如果被评估为中风险，那么便要求有纠正行动，必须在一个合理的时间段内制定有关计划来实施这些行动；

③“低”等级风险：如果被评估为低风险，那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。

5．风险处置。

风险处置是选择并执行措施来更改风险的过程，其目的是将评价出的不可接受风险降低，包括以下几个过程：

①行动优先级排序。

行动优先级排序主要依据风险级别进行，对于不可接受的高等级风险应最优先。

②评估建议的安全选项

评估建议的安全选项主要考虑安全选项的可行性和有效性。

③实施成本效益分析。

对建议的安全选项进行成本效益分析，帮助组织的管理人员找出成本有效性最好的安全控制措施。

④选择控制措施。

在成本效益分析的基础上，组织的管理人员应确定成本有效性最好的控制措施，来降低组织的风险。

⑤责任分配。

根据确定的控制措施，选择拥有合适的专长和技能，能实现相应控制措施的人员，并赋以相关责任。

⑥制定控制措施的实施计划。

明确控制措施的具体行动时间表。

⑦实现所选择的安全防护措施。

软件安全论文篇2

1.2当前计算机软件安全检测的只要方法

首先是形式化的检测。形式化的安全监测实际上就是根据具体的要求来建立软件应有的数学模型，之后通过对应的标准化语言对其进行格式化的说明。形式化的安全监测通常有两种检测方法，一种是模型检测，一种是定量检测。其次就是在模型基础上的静态安全检测。模型安全监测一方面是通过软件行为和结构构建的一种方式，这样也就形成了一个可供测试的模型，这种模型在运行的过程中一方面可以在计算机上实现读取，在工作的过程中，比较常用的模型安全检测方法有两种，一种是有限状态机检测，一种是马尔科夫链检测、再次就是语法检测。语法检测实际上就是技术人员通过技术措施对软件在不同的输入条件下所产生的反应是否相同。四是基于故障注入的软件安全检测。故障注入的安全检测是应用故障分析树与故障数的最小割集来检测的。五是模糊测试和基于属性的测试。基于白盒的模糊测试较传统的模糊测试技术有很大进步，白盒模糊检测方法有效地结合了传统的模糊测试技术和动态测试用例检测技术的优点。六是混合检测技术。能有效地改善静态技术和动态技术检测存在的一些缺陷，从而更好地对计算机软件的安全进行检测。七是基于Web服务的检测技术。它是一种基于识别内容的分布式Web服务器技术。具有语言中立、互动操作性强等优点，能够将复杂的安全检测分解为子安全类型进行处理，以使其可以更有效地应对复杂的安全检测的需要。

2软件维护的主要类型

2.1改正性维护

改正性维护是指改正在系统开发阶段已发生而系统测试阶段尚未发现的错误。这方面的维护工作量要占整个维护工作量的17%～21%。所发现的错误有的不太重要，不影响系统的正常运行，其维护工作可随时进行：而有的错误非常重要，甚至影响整个系统的正常运行，其维护工作必须制定计划，进行修改，并且要进行复查和控制。

2.2适应性维护

适应性维护是指使用软件适应信息技术变化和管理需求变化而进行的修改。这方面的维护工作量占整个维护工作量的18%～25%。由于计算机硬件价格的不断下降，各类系统软件屡出不穷，人们常常为改善系统硬件环境和运行环境而产生系统更新换代的需求；企业的外部市场环境和管理需求的不断变化也使得各级管理人员不断提出新的信息需求。这些因素都将导致适应性维护工作的产生。进行这方面的维护工作也要像系统开发一样，有计划、有步骤地进行。

3提高软件的可维护性方法

3.1建立明确的软件质量目标

如果要一个可维护性的程序满足可理解的、可靠的、可测试的、可修改的、可移植的、效率高的和可使用的7个全部的要求，要付出很大的代价，甚至是不显示的。但是可理解性和可测试性以及可理解性和可修改性是相互促进的，而效率和可移植性以及效率和可修改性是相互抵触的。因此，要明确软件所追求的质量目标。

3.2使用先进的软件开发技术和工具

利用先进的软件开发技术能够大大提高软件质量和减少软件费用，并且稳定性好，容易修改、容易理解，易于测试和调试，因此可维护性好。

3.3建立明确的质量保证

最有效的方法就是质量保证检查，在软件开发的各个阶段以及软件维护中得到了广泛的应用。

软件安全论文篇3

(二)计算机网络信息安全问题

计算机用户缺乏网络安全意识和信息保密意识，同时计算机网络系统还不够完善，有一定的安全漏洞，这是引起网络风险的一个主要因素，比如，Windows系统自身存在着一定的问题、软件自身携带的插件等，这些存在着一定的安全隐患，为不法分子提供了机会，有些黑客会侵入计算机的安全系统，甚至导致数据丢失或者系统的瘫痪。此外，计算机病毒入侵也对计算机网络安全产生威胁。因为病毒具有很快的传播速度，只要病毒进入网络，既对计算机安全运行产生影响，也将计算机数据破坏，极大的损害了用户的利益。

二、计算机安全问题的解决对策

(一)计算机硬件安全问题的对策

当前，人们的日常工作、学习和生活和计算机息息相关，为了维持计算机更长的寿命，并促使其更好的为人类服务，我们在一定程度上要了解计算机，并且具备普通的维修常识。可是，计算机的寿命是有限的，用户有必要对操作流程进行学习，然后正确使用计算机，如果计算机发生问题要及时维修，避免计算机硬件遭到更严重的损坏。用户熟练掌握计算机日常使用规范以及基本的维护知识可以促使用户及时发现计算机安全问题，并且提早做好预防，促使计算机更好的服务于用户。

(二)计算机软件设施安全问题的对策

首先加密计算机软件，并且确保密码的安全性，因为计算机软件非常容易复制，因此计算机软件安全防护的一个重要手段是密码保护。而一个密码只在一段时间内有效，因此用户要定期对密码进行更改，确保计算机软件安全。其次，为了从源头上确保计算机软件的安全，就要做好它的安全设计。软件设计人员在开发计算机软件的过程中要全面细致考虑软件的安全问题，比如从软件用途方面来说，就要对用途肯能带来的风险进行考虑，并且提前制定应对措施；在开发完软件之后要全方位检测软件，及时修补检测出来的漏洞，并且提高检测次数，最大程度的避免软件漏洞。而用户在使用软件的过程中如果发现问题就要及时解决问题，并应用合理措施实施修补，确保安全运行软件，避免不必要的风险。

(三)计算机网络信息安全问题的对策

计算机病毒主要通过网络以及硬件传播，所以要定期升级计算机软件，应用最新的版本，确保计算机软件具有较少的漏洞。此外也要及时更新浏览器的版本，确保网页浏览的安全性。在浏览网页时尽量不要浏览不合常规的网站，不安装不合常规的软件，确保浏览的安全性。

软件安全论文篇4

2.1身份鉴别与访问控制

用户身份认证是保护信息系统安全的一道重要防线，认证的失败可能导致整个系统安全防护的失败。电子政务系统的用户对系统资源访问之前，应通过口令、标记等方式完成身份认证，阻止非法用户访问系统资源。从技术防护的角度来说，软件应保障对所有合法用户建立账号，并在每次用户登录系统时进行鉴别。软件应用管理员应设置一系列口令控制规则，如口令长度、口令多次失败后的账户锁定，强制口令更新等，以确保口令安全。软件应用中对用户登录全过程应具有显示、记录及安全警示功能。用户正常登录后，为防止长时间登录而被冒用等情况，系统应有自动退出等登录失效处理功能。此外，应用系统需要及时清除存储空间中关于用户身份的鉴别信息，如客户端的cookie等。系统软件应用中的文件、数据库等客体资源不是所有用户都允许访问的，访问时应符合系统的安全策略。系统中许多应用软件在设计和使用过程中经常会有权限控制不精确，功能划分过于笼统等现象，影响了系统的安全使用。目前，从应用软件的研发和技术实现来看，授权访问控制机制多采用数据库用户和应用客户端用户分离的方式，访问控制的粒度达到主体为用户级，客体为文件、数据库表级。在分配用户权限时，用户所具有的权限应该与其需使用的功能相匹配，不分配大于其使用功能的权限，即分配所谓“最小授权”原则。对于系统的一些特殊用户或角色（如管理和审计）如分配的权限过大，则系统安全风险将过于集中，因此，应将特别权限分配给不同的用户，并在他们之间形成相互制约的关系。

2.2通信安全

电子政务系统应用软件的设计、研发以及应用过程中，需要重点关注通信安全，特别是对通信完整性的保护。除应用加密通信外，通信双方还应根据约定的方法判断对方信息的有效性。在信息通信过程中，为使通信双方之间能正确地传输信息，需要建立一整套关于信息传输顺序、信息格式和信息内容等的约定，因为仅仅使用网络通信协议仍然无法对应用层面的通信完整性提供安全保障，还需在软件层面设计并实现可自定义的供双方互为验证的工作机制。而且，为防止合法通信的抵赖，系统应具有在请求的情况下为数据原发者或接收者提供数据原发或数据接收证据的功能。为保障信息系统通信的保密性，应用软件需具备在通信双方建立连接之前，首先利用密码技术进行会话初始化验证，以确保通信双方的合法性的能力。其次，在通信过程中，能保证选用符合国家有关部门要求的密码算法对整个报文或会话过程进行加密。通信双方约定加密算法，对信息进行编码和解码。此外，应用软件中需设置通话超时和自动退出机制，即当通信双方中有一方在一段时间内未做任何响应，这表明可能存在通信异常情况，另一方能够自动结束会话，以免造成信息在通信过程中的泄露。

2.3安全审计

安全审计通过采集各种类型的日志数据，提供对日志的统一管理和查询，使用特定规则，对系统软件应用状态实时监视，生成安全分析报告。安全审计的应用，能够规范系统用户的软件应用行为，起到预防、追踪和震慑作用。安全审计应用要覆盖所有用户，记录应用系统重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统功能的执行等。记录包括事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息，并有能力依据安全策略及时报警和中断危险操作。此外，审计记录应受到妥善保护，避免受到未预期的删除、修改或覆盖等操作，可追溯到的记录应不少于一年。在日常审计的基础上，应通过分析审计记录，及时发现并封堵系统漏洞，提升系统安全强度，定位网络安全隐患的来源，举证系统使用过程中违法犯罪的法律、刑事责任。电子政务系统软件应用安全审计可结合网络审计、数据库审计、应用和运维日志审计进行，几乎全部需要定制开发。

2.4系统资源控制

电子政务系统的资源使用主要体现在CPU、内存、带宽等资源的使用上，在这个过程中，除了系统软件以外，应用软件也需要建立一组能够体现资源使用状况的指标，来判断系统资源是否能满足软件应用的正常运行要求，当系统资源相关性能降低到预先规定的最小值时，应能及时报警。并对资源使用的异常情况进行检测，及时发现资源使用中的安全隐患。系统资源应保证优先提供给重要、紧急的软件应用。因此，在资源控制的安全策略上应设定优先级，并根据优先级分配系统资源，从而确保对关键软件应用的支持。技术实现上设计用户登录系统时，软件为其分配与其权限相对应的连接资源和系统服务，为防止系统资源的重复分配，应禁止同一用户账号在同一时间内并发登录，并且，在用户登录后防止长时间非正常占用系统资源，而降低系统的性能或造成安全隐患，通常设计根据安全策略设置登录终端的操作超时锁定和鉴别失败锁定，并规定解锁或终止方式。同样，系统对发起业务的会话分配所用到的资源，也采用根据安全属性（用户身份、访问地址、时间范围等）允许或拒绝用户建立会话连接，对一个时间段内可能的并发会话连接数和单个用户的多重并发会话数量进行限制。在系统整体资源的使用上，对最大并发会话连接数进行限制。此外，对电子政务系统被删除的文件等的剩余信息，特别是涉及国家秘密、敏感信息的内容，一定要重点关注并加强安全保护。可采用下列技术实现保护：(1)采用先进的磁盘读写技术对磁盘的物理扇区进行多次反复的写操作，直到擦写过后的磁盘扇区内数据无法恢复；(2)根据不同的分区格式进行采用不同的数据销毁处理算法，对文件在磁盘上所有存放位置进行逐个清除，确保文件不会在磁盘上留下任何痕迹；(3)进行目录、剩余磁盘空间或整个磁盘的数据销毁，销毁后的目录、剩余磁盘空间或者整个磁盘不存在任何数据，无法通过软件技术手段恢复。

2.5软件代码安全

在电子政务系统应用软件开发之前，要制定应用程序代码编写安全规范，要求开发人员遵从规范编写代码。应用程序代码自身存在的漏洞被利用后可能会危害系统安全。因此，应对应用软件代码进行安全脆弱性分析，以帮助其不断改进完善，从而有效降低软件应用的安全风险。研发工作结束后，应及时对程序代码的规范性进行审查，以查找其设计缺陷及错误信息。代码审查一般根据需要列出所需资料清单，由应用软件使用方收集并提供相应的材料。代码测试人员与开发人员书面确认测试内容和过程，配置运行环境，对代码进行预编译操作，确认可执行使用。然后使用特定的测试工具进行代码的安全测试操作，对测试结果进行分析。对发现的问题进行风险分析和估算，制作软件缺陷、问题简表，撰写测试报告并交付开发方修改，并对已经整改的部分进行复测。值得注意的是，那些已经通过安全测试的代码，还需要运行在通过安全测试的支撑平台、编译环境中才能实现真正的安全运行。

2.6软件容错

电子政务系统中应用软件的高可用性是保障系统安全、平稳运行的基础。软件容错的原理是通过提供足够的冗余信息和算法程序，使系统在实际运行时能够及时发现错误，并能采取补救措施。对系统软件应用安全来说，应充分考虑到软件自身出现异常的可能性。软件在应用过程中，除设计对软件运行状态的监测外，当故障发生时能实时检测到故障状态并报警，防止软件异常的进一步蔓延，应具有自动保护能力，即当故障发生时能够自动保存当前所有状态。此外，操作人员对应用软件的操作可能会出现失误。因此，系统应对输入的数据、指令进行有效性检查，判断其是否合法、越权，并能及时进行纠正。关键功能应支持按照操作顺序进行功能性撤销，以避免因误操作而导致的严重后果。

软件安全论文篇5

随着社会的进步，科技的不断发展使得计算机行业飞速的进步。人们对计算机的普及和人们安全意识的加强使得我们对计算机软件的安全引起了足够的重视。所谓计算机软件安全，就是保护软件系统自身的安全和保证软件系统能正常连续地运行。计算机软件安全涉及的内容较多也较为复杂。从用户的角度来将，用户是需要软件系统具功能强大、价格低廉等特点的，而作为开发商，为了获得更高的利益，他们常常会在满足消费者的同时也保护自己的知识产权。用户所考虑的安全问题主要是软件系统在使用方面的安全问题，而软件开发商所考虑还有其他方面的安全问题。对于计算机软件存在的安全问题，我们要及时发现、尽早解决，维护我们整个信息系统的安全。

1 当前计算机软件存在的安全问题分析

计算机技术的跨越式的发展，使得其广泛地应用于社会的各个行业，个人电脑、家庭电脑也得到了极大的普及。然而它的背后也隐藏着各种各样的安全问题。当前计算机软件所面临的安全问题主要有非法复制、软件跟踪、软件质量问题等软件安全威胁。计算机软件一般是用某种程序设计语言来设计和完成的，它是一种逻辑实体，并非是有形可触的物理实体。软件安全包括对文档和介质的双重保护。计算机软件作为一种知识密集型产品，由于易复制性，导致软件产品的知识产权受到严重的威胁。由于我国对于知识产权的认知度不够、保护不足、监管不到位使得不法分子通过盗版软件赚盆满钵满而软件业由此而蒙受相当大的损失。计算机软件运行的安全是对软件进行必要的防护，以防止其受到人为的修改、破解、复制以及滥用，从而保证其功能的正常连续运行。一些人或者团体利用掌握的技术，特别是运用各种程序调试分析工具来对软件程序进行跟踪和逐条运行，它可以对任何格式的文件进行直接读写和修改，通过窃取软件源代码、取消软件的防复制和密保钥匙等功能，来实现对一软件的动态破译，并将破译后的软件进行非法买卖和公开传播。这样同样使得计算机软件的安全存在着相当大的问题。而在计算机软件开发过程中，软件开发商所研发出来的软件不可避免的存在一些类似于安全漏洞的缺陷，这样同样造成了计算机软件的安全问题。

2 计算机软件存在问题的防御策略探讨

计算机软件安全问题的防御策略主要有行政法律、法规上的策略、组织管理上的策略和技术层面的策略等。计算机软件安全在行政法律、法规上的策略主要是利用法律的武器对自己的权利进行维护。我们可以根据国家计算机安全的相关法律、法规，完善计算机信息系统安全保护条例、计算机软件保护条例等，做好计算机知识的普及和教育培养公众对软件版权、知识产权的法制观念。在组织管理上的策略则要求我们设立严密的组织机构和管理流程，一对软件从开发出来到最终用户的使用环节都能得到严格的监控和管理。要成立打击软件非法复制和动态跟踪的专题小组，从事相应的检查、监督工作。在技术层面的策略则要加强加密技术、防复制、反跟踪的技术，采取强硬的措施来保护自己的权益。加密技术主要是为了限制软件被复制。防止盗版的软件来保护开发者的权益。然而，仅依靠保密方法来消除盗版或者其它的安全隐患是不可能的，我们必须对已有的软件，还可以使用一些类似于密码的安全保护措施。为了防止软件的非法复制，国家应该要加强对软件产品的保护力度。这样才能够减小盗版软件带有病毒和一些捆绑的后台程序，给软件用户的数据安全带来极大的威胁。而反跟踪技术则是种防止利用调试工具活跟踪软件来窃取软件源码、取消软件防复制和加密功能的技术。根据目前软件系统的结构特点，任何软件的运行都是依附于 CPU的，如果CPU的运行被监控，就等于把程序直接在解密者的面前，那么软件在运行的时候就极易被复制，进而威胁整个软件的安全性能。

3 结语

在信息化时代，计算机日趋普及，逐渐成为人们日常生活不可或缺的一部分。计算机软件种类的丰富和其功能的日益强大，使得计算机能够满足人们个性化、全方位的需求。计算机软件的极大丰富，也使其使用的安全性面临威胁和挑战。计算机软件主要是指计算机系统中的程序及其文档，其主要分为系统软件和应用软件两大类。在电子商务繁荣的今天，加强企业计算机的安全管理，保障电子商务业务正常有序进行，确保信息和资金安全是一个现实的问题，这就给计算机软件的设计和管理带来了诸多的困难。计算机软件安全问题包括保证软件系统自身的安全和确保软件系统正常、连续的运行，它涉及两个安全主体。从软件使用者的角度看，用户需要软件的性能可靠、安全，易于操作并且质优价廉。从软件开发商的角度讲，开发商除了要满足最终用户的安全需要外，还得保护软件开发者的知识产权，以防软件系统被不法之徒为了牟取利益而低廉复制或者跟踪仿制。计算机软件的安全问题在当前越来越受到人们的重视，计算机软件相关的安全问题需要我们沉下心来去研究、去探索。虽然说我国的计算机软件安全水平相较于其他先进的国家尚有一定的差距，但是只要我们充分的认识到我国计算机软件存在的安全问题并设法去解决问题，不断的积累经验以后就能够制定防御策划，当在遇到相同的安全问题时可以及时的进行防御，以保障用户和软件开发商的合法权益。

参考文献

软件安全论文篇6

1、企业的常用软硬件现状

随着计算机技术、网络技术和企业本身的发展，企业对计算机软件、硬件、网络（互联网、局域网）、安全（系统、网络、信息）、企业信息化的要求越来越高、分得越来越细，例如：路由器、防火墙、防毒软件、ERP服务器、数据库服务器，文件服务器，打印服务器，还有web服务器，mail 服务器,fax服务器等。因为大多数企业都使用了微软产品，依据Microsoft 技术白皮书建议，服务器只做专业服务,不建议安装其他软件系统，即不同的服务器软件要安装在不同的机器上，随着用户数（license）的增加或软件升级（升级为企业版），企业的机器数量和软硬件费用也会变得越来越多，软硬件的管理也会变得越来越复杂。

2、企业如何降低常用软硬件的费用

降低软件的费用通常有多种方案，例如：改用价格便宜的软件；自行开发；使用linux。在以上方案中目前最有可能的方案是使用linux，这是因为＂linux从1991．9正式向外公布已有近20年的历史＂[3]7页，有很多发行版本及使用人群。在很多发行版中我们选择了CentOS（在R H E L基础上发展起来的）作为中小企业的服务器系统软件，理由如下：

2．1、 ”Red Hat Enterprise Linux和Fedora已经成为主流的Linux发行版” [6] 前言页；”CentOS是在Red Hat Enterprise Linux.的源代码重新编译生成的发行版本，CentOS具有和RHEL很好的兼容性，拥有RHEL的诸多优点。” [1]11页。

2．2、 ”CentOS可以算是Red Hat Enterprise Linux的克隆版，但是免费。”[3]8页；”CentOS不会遇到任何版权问题，不存在认证和支持方面的费用。，防火墙。，防火墙。”[1] 12页。

2．3、　CentOS.性能稳定：”借助CentOS.不需要商业支持就可以体验RedHat Enterprise 　Linux的稳定性、可靠性、和企业功能。”[6]4页；”linux可以连续运行数月、数年而无需要重新启动，与NT（死机）相比,这一点尤其突出.。” [1]7页。

2．4、　CentOS功能强大：”Linux现在已经拥有许多专业级别的数据库和办公程序集。其中不仅包括Oracle和IBM的数据库，而且还包括OpenOffice和Koffice的办公程序” [6] 15页,例如： CentOS自带图形界面、Firefox、OpenOffice和Java、C++、Perl 、PHP、Mysql,等脚本语言、程序设计语言和数据库，完全可以安装在个人电脑上使用。

2．5、远程管理方便：”使用linx远程管理十分方便：Linux可以通过命令行来操作的特点，就其本身来说十分适合进行远程管理，可以使用任何一种操作系统的机器” [5] 4页；例如：可以在windows下使用用telnet、ssh、 VNC(图形界面)远程管理CentOS系统。

2．6、”IPTABLES（linux的防火墙）已发展成为一个功能强大的防火墙，它已具备通常只会在专有的商业防火墙中才能发现的大多数功能。” [2] 1页。

2．7、”RHEL对Cpu的要求不是很高，。。。。。。如果系统单纯使用文本模式，则内存要求很低，一般的计算机内存都可以了；。。，防火墙。。。。。” [4]12页，所以安装CentOS系统时不选图形界面和汉字系统，系统速度会更快，可以将很多服务器软件安装在一台机器上，减少了机器数量和费用。也便于集中管理。

2．8、病毒少：到目前为止在CentOS系统上我们还没有发现病毒。

3、　用CentOS建立多功能服务器实现“一机多能”服务的简单说明（功能和过程）：

3．1、在一台机器上安装CentOS系统(不安装图形界面和汉字)并配置DHCP、DNS、IPTABLES (防火墙+路由器)、SAMBA(文件+打印服务器)、POSTFIX(邮件服务器)、MYSQL(数据库)、FTP、TOMCAT（Web应用服务器）、Apache(WEB服务器) 、Telnet、VNC、VPN等，建立DHCP服务器、DNS服务器、防火墙、路由器（双网卡）、文件服务器、打印服务器、邮件服务器、MySQL服务器、FTP服务器、TOMCAT服务器、Apache服务器、Telnet服务器、VNC等服务器。见下面图1，安装配置过程详见CentOS的相关教程。

3．2、在多功能服务器上安装、配置开源软件HylaFAX、建立fax服务器，见上面图1“需要第三方软件支持的服务”中的FAX服务，详见HylaFAX的相关资料。

HylaFAX服务器可以实现用一个FAXmodem为局域网内所有的电脑提供传真发送功能，下面图2的左图是HylaFAX客户端监视HylaFAX收发情况的画面；下面图2的右图是用电脑发送fax的画面; 下面图3是用outlook通过多功能服务器中的邮件服务器自动接收FAX的画面（见上面图1“CentOS系统自带的服务”中的邮件服务）。，防火墙。

3．3、在多功能服务器上安装配置开源软件LeoBBS、建立论坛服务器，见上面图1“需要第三方软件支持的服务”中的论坛服务，详见LeoBBS的相关资料。下面图4是论坛主页，详见http://218.94.148.130/cgi-bin/leobbs/leobbs.cgi，需要Apache 和Perl环境支持。

3．4、在多功能服务器上安装、配置开源软件Sharetronix，建立微博服务器，见上面图1“需要第三方软件支持的服务”中的微博服务，详见Sharetronix的相关资料。，防火墙。

下图是微博主页，详见http://218.94.148.130/，需要PHP、Mysql和Apache环境支持。

3．5、在多功能服务器上安装、配置EAI软件,建立EAI服务器，见上面图1“需要第三方软件支持的服务”中的EAI服务，详见EAI的相关资料。

EAI是基于CentOS系统下用PHP+Mysql开发的异地多种数据库平台的同步软件，已经实现了两岸三地不同数据库平台（SYBASE和SQLSERVER）的相关数据的同步（包括新增、修改和删除），还有断点续传和LOG自动生成功能。下图是接收端的LOG（接收记录）。

下面是EAI实际应用情况的网络图

3．6、随着企业的发展，我们还可以随时在CentOS服务器上增加其他服务功能，例如：下图是在多功能服务器上增加了舆情监测服务平台，需要TOMCAT+JRE+MYSQL支持，

详见http://218.94.148.132:8080/WebNewsDisplay/show/new_login.jsp。，防火墙。

4、结束语

我们几乎是在零软件费用的情况下，在一台CentOS系统上建立了多功能的服务器系统，经过实际应用和测试，发现免费的多功能服务器系统的具有性能稳定、功能强大、方便实用等特性，相比其他产品（软件或硬件）不仅软件免费，而且在性能、功能、升级、扩展、管理等方面都非常不错，可以满足多数中小企业的基本要求，特别是可以用GHOST刻隆硬盘，在已有多功能服务器的情况下，只要30分钟左右，就可以安装一台新的多功能服务器，可以批量快速安装或作为备份使用，非常实用、方便、安全，完全可以作为中小企业免费的多功能服务器的解决方案。Mysql可以作为ERP或OA系统的后台，替代SQLSERVER等数据库，普通使用者可以用CentOS作为桌面系统，达到减少常用软硬件费用的目的，值得推广。

参考文献：

[1]梁如军，丛日权，周涛．CentOS 5系统管理[M]．北京：电子工业出版，2008．7

[2](美)Michael Rash 陈健．　Linux防火墙[M]．北京：人民邮电出版社，2009．6

[3]曹江华著．RHEL 5.0 服务器构件与故障排除[M]．北京：电子工业出版，2008．9

[4]卓文华讯，刘晓辉，陈洪彬编著．Red Hat Linux网络服务器管理及配置实战详解[M]．北京：化工工业出版社，2010．4

[5]周洁、刘红兵、王国平编著．Red Hat Enterprise Linux5网络配置与管理基础与实践教程[M]．北京：电子工业出版社， 2009．2

软件安全论文篇7

有关开源软件的一些问题也成为讨论话题中的热点，“开源软件安全”这个问题的争论也由来已久，在开源运动比较成熟的国家对其认识的更加深刻，大家已经用行动证明其“安全可靠”，而在国内，似乎我们的开源运动还没有真正的到来，还需要“讨论、讨论”。

在讨论“开源软件安全”这个话题之前，有必要仔细地考虑一下在使用软件时所关心的一些问题，这些问题是在成本允许的条件下:

软件是否能够满足自己的功能需要;

软件的功能特点是否安全;

软件的后期维护和支持是否到位。

虽然上面三点不是全部都应当考虑的问题，但是已经算抽象意义上比较突出的几个问题。可以看出，在这三点中，第二点就是安全问题，似乎很多企业没有意识到这个问题，或者说对这个问题认识不够深刻。

产生这种现象的原因很多，一方面是安全意识淡薄，很多公司和企业使用的软件授权还没有彻底解决，而且总觉得够用就行，忽视了软件安全方面的问题;另一方面把安全交给所谓的杀毒软件和防火墙，这并没有从根本上解决安全问题，要知道所谓的病毒和木马，之所以存在或者说危害着软件使用者，本身就是所使用的软件自身存在安全漏洞和Bug。

那么如何才能最大程度上保证软件的安全性呢，或者如何才能尽快地发现软件中的问题，并把问题解决掉呢？在软件开发中有一些共识:

设计要尽可能完善;

测试要尽量全面;

维护和跟踪及时持续;

问题解决要快速;

信息要及时透明。

在这几个方面，开源软件做得都非常不错，下面就分别说一下以上这几个问题。

开源软件文档缺乏

很多人诟病开源软件缺少文档，更没有什么设计资料，特别是国内的一些人士，由此就觉得开源软件多么不可靠。这个问题看上去似乎成立，但如果我们深入的了解一下就不会有这种片面的看法，事实上这些问题也许是开源软件早期存在的一些问题，因为毕竟这时候开源软件的目的和影响很小，而现在却在发生着根本的改变。一方面是开源软件开发模式的日渐成熟，开发人员也越来越专业化，另一方面伴随着整个软件业的成熟，开源软件也在不断的成熟。

现在成熟的开源软件基本上都有自己的网站和在线（离线）文档，也有不断完善的Wiki系统，方便了大家的学习和反馈，可以说是一种构建型应用和推广的典范，当然现在还是以英文材料为主。

严格意义而言，我们的政府应当拨款并成立相关部门解决这个问题，国内不同于国外，社区的推动模式在国内还存在很多问题，需要寻找不同的解决方案。尽管一些大项目的汉化工作有了一定的进展，比如说Linux操作系统的几个不同发行版，还有就是知名开源软件的汉化，但是我们会发现做出贡献的人未必是这个领域的专家，所以从专业性上还未达到专业的要求。

我们从计算机图书的出版也可以看到开源运动的影响和进展，从某种意义上而言，这些书籍成为开源软件的设计说明和开发参考手册，而且开源书籍的出版划分越来越详细，甚至有的公司专门以开源书籍做为自己的主要经营业务。当然，国内在这一方面做的还不够，所以我们应当学习国外成功的经验和模式，在开源运动中争取双赢或多赢。

安全从测试开始

测试作为软件前重要的一步工作，肩负着软件的可用性和安全性等诸多任务，所以也决定着软件的质量，这是一个非常关键的指标。我们很熟悉闭源软件的测试过程，正规的软件都有正式的测试文档，可以说对软件的测试已经非常到位。

测试可分为白盒测试和黑盒测试，这是一个人们比较熟知的分类方法，在软件公司内部可以进行这些测试，另一个模式就是把测试工作外包给专业的测试公司，但是这些工作还是无法保障软件的安全性。很重要的一点是由于我们自身的局限，我们很难写出一个毫无遗漏的完整的测试用例，毕竟我们每个人的大脑是有限的，而且有些问题也很难被考虑全面。

从程序本身而言，至今也没有一套完整的理论和工具证明程序本身的正确性，这是安全性本质上的硬伤，但是如果不考虑这个因素，那么软件的安全性就要通过测试保证。由于闭源软件存在开发周期、成本和代码保密等缺点，使得测试的完整性不能得到很好的保证，也就是说闭源软件最终得到的软件是通过他们自己设计的测试方案的软件，这样方案的完备性就存在自身的缺陷和不完备性。

开源软件对每个人都开放源代码，每个感兴趣的用户，无论是个人还是企业，都可以下载源代码，可以说是完全彻底的白盒，当然进行黑盒测试更不是什么问题。这样就保证了测试的最大化，相比闭源软件，这样更容易发现程序中存在的问题，更容易进行全面的测试。

还有就是现在的一些组织机构委托大学和一些商业公司做开源软件的测试，包括安全性测试。美国政府有这样的专项拨款，澳大利亚政府也有这样的部门评估，新西兰政府还安排专人作评估报告。

在南非，开源软件大踏步的前进，最为大家熟知的就是Ubuntu的发起人Mark在那里所做出的贡献，一句“Linux for Human Being”就是很好的注释。

在欧洲对开源的关注和评估更是如火如荼，用Google Map搜索一下开源软件公司就会发现在欧洲这个版图上有很多的公司，可以说是密度居世界第一，而且有的公司业务就是做开源软件安全性评估和测试的，他们提供专业的服务，这点也最大程度地保证了开源软件的安全性。

软件升级需主动

在软件的跟踪维护方面，闭源软件都是商业公司的产品，他们有资金和能力成立专门的部门做好这些事情，给客户很好的保障，而开源软件却不能。其实这种观点是片面的，因为开源软件与之相比，无论在问题发现和解决速度上都毫不逊色于闭源软件。

一个成熟的开源软件有成千上万的用户在使用，而且很大一部分就是商业用户和政府组织，他们发现的问题会及时的出来，而且还会将解决方案和建议一起提交，这对软件的维护跟踪、问题解决和信息都是十分有利的。

相对而言，闭源软件当内部人员发现问题，但还没有解决掉问题之时，一般不会公告。当外部用户发现问题，由于自己手中没有源代码，就算有能力解决，或者计划想办法解决都不可以，只能够等待软件提供商解决，在补丁之前，除了等待毫无选择。

软件的升级一般有两层意思:一层是功能上的增加和提升;另一层是对原有软件的安全性，也就是发现的漏洞和问题的修正。

在这个问题上我们要探讨升级的主动性和被动性，对“生产”闭源软件的商业软件提供商而言，对升级的问题不是很主动;而在软件后的安全问题上，更是以被动为主，都是根据市场反馈和用户投诉解决问题，不能够从公司内部积极的查找问题，修正错误。

一个例外就是软件由于时间期限的压力，一些内部知道的安全问题本身就随着软件一起，但是暂时不为人知，商业公司会继续投入人员进行解决，然后以“升级”的名义对其进行修正。

而开源软件却是另外一种情况，从开发团队核心到的普通用户，大家都努力将软件打造的尽可能安全，这种对软件中问题的一致情绪源于大家的责任心和对开源软件精神的认同，当然也有少数的个人英雄主义人士的存在，但是这一切都是主动的，而不是被动的，这种主动性让开源软件的安全性有了可以站立的基石，使得开源软件愈发安全。

链接

软件安全论文篇8

一是盗版软件在“免费”的背后是巨大的安全隐患。正版软件被盗版或破解大体有两种方式:一种是修改正版软件的原有文件;另一种是使用算号器得到软件的注册码。无论是哪种方式,盗版软件制作者都有可能病毒或者恶意代码植入原有软件。根据美国微软公司2006年的《获取和使用盗版软件的风险》白皮书中的调查以及得出的结论:25%提供算号器等破解工具的网站试图安装恶意或有害软件;从网站下载的破解工具有11%含有恶意或有害软件;从点对点网络下载的破解工具中59%含有恶意或有害软件。在内网中传播的软件基本都直接或间接的(盗版软件光盘)来自于互联网,其中包含了Windows操作系统以及各种改版(如番茄花园Windows XP),防火墙及杀毒软件,办公套件,各类行业软件,娱乐软件等几乎所有类别的系统和应用软件。而其中绝大多数都是盗版软件。其中有多少含有病毒或者恶意代码很难做出准确的判断,但含有病毒或者恶意代码的软件一旦在内网传播和使用,其潜在的安全威胁以及可能造成的损失将是不可估量的。

二是内网系统平台过于单一,一旦病毒爆发极易引发大规模感染。内网的大部分服务器以及绝大多数用户终端使用的都是美国微软公司的Windows操作系统,而互联网流行的病毒大部分是针对该系统的,由于内网中传播的软件大多来自于互联网,不可避免的会携带病毒进入内网。而且,借由互联网进入内网的病毒或恶意软件中是否含有蓄意编制的针对保密系统的程序还是一个未知数,但是可以肯定的是,针对内网的窃密活动绝不会放弃任何向内网的渗透窃密机会,出现针对现有保密系统的窃密程序只会是时间问题。

二、应对措施

(一)建立可信软件审核机制,严把软件准入关。首先,应成立统一的可信软件审核机构。该机构的职责应包括:内网软件需求论证;根据需求提出软件采购、引进计划;确定用于软件安全检测的技术及标准;使用一定的安全检测手段审核采购和引进的软件;对审核通过的软件进行安全等级评定和划分;入网前,应对软件进行全面测试并负责收集用户反馈等。其次,应补充和完善内网软件使用的相关法规,使入网软件审核制度化。任何个人未经软件审核机构批准,不得以任何形式在内网软件或其源代码,所有在内网未经审核的软件都应受到相应的惩处。

(二)建立软件采购机制,保证信息安全关键软件品质。内网对安全保密有极高的要求,但盗版软件,尤其是盗版操作系统、防火墙以及杀毒软件的滥用极有可能使与互联网的物理隔离形同虚设。因此,应立足于内网实际,建立起一套软件采购机制,确保软件的源头安全。

首先,软件采购应有计划性。应由软件审核机构根据内网需求、安全特性以及运行效率和可承受的价格等因素,统一指定软件采购计划,确保采购的软件种类齐全,安全可靠且杜绝过高的软件冗余造成的资金浪费。此外,软件采购计划的指定权与执行权应当分离。

其次,软件采购应注重安全性。软件采购应充分考察软件的历史沿革,看是否出现过重大安全问题,以及软件提供商的资质。如果可能,应尽量选择软件源代码开放的或其源代码允许软件审核机构进行审查的软件。这样可以从软件生产源头对软件的各项品质以及安全性进行全面的审查,有助于确保软件在内网运行的安全可靠。

再次,软件采购应兼顾实用性。在确保采购的软件安全可靠的基础上,还应兼顾软件的性价比,界面设计,可升级性等因素。这些因素虽不是关键,但却直接关系广大内网用户的实际使用效果和接受程度,因此,也需要列入考虑范围。

(三)加大开源软件的引进力度。开源软件,即开放源代码软件(Open Source Software)。在内网推广使用开源软件有以下三大优势:

一是可以大大降低软件采购成本。相比商业软件动辄数万元的专利费、软件使用费,开源软件则可以以较低廉的价格购得甚至是免费获取。究其原因在于,开源软件秉承了自由、开放的精神而摒弃了商业软件所谓“专利”,它从开发、测试到维护、升级都是由来源于软件社区。开放的软件开发模式成就了开源软件低价格、高品质的佳话。选择开源软件不仅可以节省有限的经费,更能够从软件源头确保可靠和安全;二是可以提高内网的自主信息安全。对于使用封闭源代码的商业软件,我们无法了解其内部构造和具体运行机制,因此在安全性方面只能被动的依赖软件的制造商,对出现的安全漏洞也无法第一时间进行修补;而对于开源软件,我们可以根据其源代码对软件的安全性进行完全自主的控制,并且可以根据内网用户的反馈和错误报告,不断的完善和提高软件及系统的安全性;三是可以提高软件自主研发的能力。通过引进、使用技术先进的开源软件并对其进行必要的分析和研究,可以使内部软件研发机构更加准确的把握当今最先进的软件编程语言和技术,学习和借鉴优秀的软件算法和编程技巧,有助于内部软件研发的整体水平和能力的提高。

软件安全论文篇9

1 计算机软件中的安全风险

1.1 计算机软件自身的安全漏洞

我们在日常的工作、学习和生活中使用到的计算机软件，无论大小，其自身都会存在一定的安全漏洞，这是事实，并且对于一些安全系数较低的软件，会为非法用户的访问或攻击提供机会，对计算机内部的数据信息的安全有很大的威胁。

1.2 容易遭受病毒的攻击

病毒是影响计算机软件安全的主要安全因素，是一种由非法用户编写的程序或代码；当用户在正常使用计算机软件或者访问互联网软件时，通过将病毒程序以邮件或非法链接的形式显示在用户面前，使用户在毫无察觉之中计算机就感染了病毒。另外，用户在进行文件传输的时候，如果没有对文件进行加密处理的话，文件本身以及传输过程中的安全系数极低，很容易受到黑客等非法来源的攻击或截取，非常不利于用户信息的安全。

1.3 计算机软硬件水平偏低

目前很多计算机上安装使用的软件多为盗版软件，这对计算机本地信息文件带来了很大的安全隐患；而针对这一问题的有效解决办法为优化计算机硬件的配置，因为计算机硬件配置对软件的安全有很重要的影响。在计算机的日常使用过程中，注意硬件设备过于陈旧时及时作出升级或更换，软件的使用也尽可能选用正版，并且做好后期的维护工作，即定期更新、修复软件补丁等。

2 信息安全模型下的计算机软件开发

2.1 切实做好计算机软件开发的维护工作

计算机软件在开发的过程中，要对其进行实时的跟踪和维护，确保软件可以正常运行；以便在检测中发现软件存在的问题，可以及时修复和改进。但目前软件运行的环境相对复杂，因为计算机使用的普遍性，人们使用的计算机硬件配置等级各不相同，所以软件在开发完成后，实际的应用环境较为复杂，所以开发人员必须加强对软件开发过程中的维护工作，提升软件对运行环境的适应性。另外还需要对计算机软件的维护工作要注意加强配置工作的管理，对相应的配置状态有及时的了解，保证计算机本地文件的有序性和稳定性。

2.2 深入探索计算机软件开发技术

虽然现在的计算机软件以及达到了较高的水平，但随着互联网、计算机方面的发展，软件也要随之做出相应的发展和进步，以更好的适应计算机硬件和网络运行的环境和平台。在这一背景下，对软件的开发技术提出了更高的要求，相关的软件开发人员要不断学习相关知识，来提升自身的软件开发技术专业技能；笔者认为软件开发人员可以在开发过程中引进一些国外相关的技术条件，来提升软件的质量；在注重质量的同时也要加强创新意识，这样可以保证开发出的软件具有更高的市场竞争力。对于软件开发企业来说，可以建立起一支专业的软件开发研究团队，针对时下的社会背景、用户需求等多方面进行分析，不断提升软件的创新性，推进企业的发展。

3 信息安全模式下的计算机软件安全技术应用

3.1 信息加密技术

信息加密技术是一种计算机软件在运行中或者数据信息在传输中对其进行加密的一种计算方式，将原有的信息转换成为密文，即便被非法用户攻击或截取，也无法清晰破解原文件的信息，从而起到保护的作用。

密钥是信息加密技术中较为常见的数据保护方法，密钥具有一定的私密性，但在使用的过程中，用户双方会共享同一密钥，而密钥的种类有很多，长期共享之后，密钥的安全系数就会有所降低，如果不及时更换，密钥就很有可能被第三方获得，相应的数据信息也就么有多大的安全性可言了。相应的解决对策为，建立起一个密钥分配中心，这一中心需要具备较高的安全性和隐秘性，保证密钥分配的过程不被第三方获悉，每个用户只能单独与密钥中心联系，获得单个密钥；在保证信息安全的基础上，减少密钥的重复使用，提升密钥的安全性。

3.2 量子加密技术

量子加密技术主要是用于判断计算机信息是否遭受非法用户或程序的攻击，通过使用该项技术，可以使密钥在交换过程中的安全系数更高，相应的信息保密程度也就越高。在实际的应用中，非法用户如果对信息进行截取，量子状态则会出现波动，而用户则需要对照量子波动的保准来进行判断，确定计算机是否遭受到了攻击，如果有则可以及时采取有效的措施进行控制或解决。

4 结语

计算机的快速发展，为我们的工作和生活都带来了很多便利，并且已经成为了我们工作、学习必不可少的工具；计算机也已经普遍地应用于社会的各行各业，计算机软件的开发与使用，也为就算计的使用增添了更多的互动性和交流性。随着计算机的普及和应用，信息技术的安全性问题日益突出，海量的网络数据信息和复杂的用户身份，使得人们对信息安全的重视度越来越高。以上本文基于信息安全模式，分析论述计算机软件开发与实现。

参考文献

[1]郭庆，黄勇.基于信息安全环境分析计算机软件的开发及应用[J].通讯世界，2015（19）：282-282，283.

[2]范晓鹏.基于信息安全环境谈计算机软件的开发以及应用[J].科技致富向导，2015（06）：128-128，162.

[3]姜顺清.信息安全环境下计算机软件的开发与应用[J].信息技术与信息化，2014（06）：117-118.

作者简介

软件安全论文篇10

“毕业论文查重”的一种软件工具曝然走红。但是这些软件好像都是被捆绑了病毒，导致的结果就是篡改浏览器的主页面。

并且频繁的弹出广告，建议广大的毕业生开启一些安全软件譬如木马防火墙等以免中招。

目前搜索“毕业论文查重软件”可以找到约百万条结果，其中有些网站宣称可以免费下载，有些网站则是明码标价售卖，五花

八门的下载地址让人难以甄别。然而木马往往就暗藏在一些下载链接中，用户在下载运行后，木马就会自动释放并潜伏在电脑

里，通过刷广告流量非法获利。

360互联网安全中心检测发现，网上流传的“查重软件”多数都不具备相应功能，而是伪装热门资源诱骗下载。此外，由于论

文比对技术比较复杂，评判标准不统一，论文数据库庞大，此类软件实际效果也很难保障。不法分子就抓住部分毕业生投机取

软件安全论文篇11

1 引言

在全球经济一体化的趋势下，我国的国民经济在进出口贸易和国内加工业有了较大的发展，国民生产总值（GDP）有了很大的提升，国人的消费水平也在不断的提升。当前，我国已经初步进入了信息化的生活时代，网络信息技术得到大量的推广和使用，给我们的生活带来了极大的便利。但是在给人们生活提供便利的同时，计算机软件安全存在的问题也困扰着我们。在本文中，将会对计算机软件安全检测的内容进行解释，并对检测方式分类，这样我们提供的办法就可以对应于不同的客户解决计算机软件安全隐患。

2 计算机软件安全检测基本内容

2.1 计算机软件安全检测的基本概念

计算机软件的开发和应用是一个非常长周期的过程，一开始需要进行编程开发，最后必须实行安全使用检测，这其中的所有环节对于一个计算机软件的成功都十分重要。众所周知，几乎所有的软件产品都有一些潜在的风险。计算机在是电子产品中最高端的，但是风险也是最大的，所以，在计算机软件的开发过程中，计算机软件安全性能的检测十分重要，这关系到计算机的质量。很多的软件公司经常为了最大利润为目的，却忽视软件的安全，这是十分失策的，既不对客户负起责任，也不对公司名誉负责，常常有大量的软件使计算机陷入风险。软件公司必须注重软件安全检测，以扩大用户的使用量和功能的优化利益作为主要的利润来源，而不是杀鸡取卵，迫害用户的利益来赢取更大的资本。目前计算机检测方法有两种，第一种方法是静态安全检测，另外一个方法是动态安全检测，使用这两种方法，公司的软件就变得高效安全。

计算机软件安全检测不是单独的领域可以实现的，这一系列过程较为繁杂。在安全监测之时，需要各个部门的默契配合。我国是一个发展中国家，计算机软件的应用普遍落后于他国，但是我国的信息软件的发展速度却十分迅猛。以其他发达国家为鉴，我国必须加大重视软件安全检测问题，从其它国家的软件检测历程中学习经验，为促进我国计算机的整体发展和普及做贡献。

2.2 计算机软件安全测试过程的主要问题

计算机软件的安全问题是全世界的信息产业工作者所关注的问题，我国的信息产业工作者对软件安全十分重视，并得出了结论：一，由于计算机的软件的多样化，必须采用更加多样化的检测技术进行安全检测，以保证软件的安全性，软件开发部门对于各类检测技术方法的研究需要与不同的领域相结合一起共轭作用。二，计算机安全检测中必须建立一个全面的分析立体表格，进行对比分析。计算机分析是十分重要的环节检测人员需要对不同软件的功能进行了解和应用，以防止软件突发性的失误，保证软件的顺利运行。

3 计算机软件安全的检测方法

3.1 静态检测技术

本文中已经阐述了计算机软件检测的有静态和动态等不同的检测技术。静态检测技术是依照不同的软件编程来实现本质分析检测的，目的是实现计算机软件安全检测。静态检测技术有一定的约束问题：比如数据的信息量和类型。在计算机软件进行安全检测的过程中，静态技术有十分大的优势，操作比较简单，容易查出错误所在，可以剖析的分析软件的安全问题，可重复的应用于不同的软件。

3.2 对软件安全开展形式化检测

计算机软件安全性检测方法在静态检测和动态监测之外，还有一些其他的检测方法比较常用，比如在安全监测时以故障为基础的基于软件属性的一种检测方法，这是一种比较重要直接的检测方法。但是这种检测方法是基于计算机安全的数值模型的，并在数值模型的基础上对标准的各种信息进行检测。

3.3 利用编程语言进行检测

在检测方法中还有一种是利用编程语言对软件安全进行检测的技术。众所周知，计算机软件都是通过编程实现的，使用编程可以得到多样化的软件。检测计算机软件安全需要将检测的软件的代入检测安全的软件中，之后通过观察计算机的状况来得出计算机的软件的各项参数和性能，并得到安全性能。

3.4 利用动态检测技术完成软件检测

计算机软件安全性检测中除了静态检测还有一种方法是动态检测技术。动态检测是指在计算机软件操作环境中，对软件进行不同的操作分析并动态时刻检查。使用动态安全检测技术根本的需要时保护用户安全，但是存在一些缺陷比如操作复杂等。不同的检测方法都有一些优势和缺陷，在实际的操作过程中我们需要依照不同的情况利用不同的检测方法，以达到最优化的效果和结论，可以采用多种安全检测技术耦合的方式，以便我们能更好的应用软件，生活中的软件也更加健康。

3.5 故障导入式检测安全

还有一种故障导入的方式检测软件的安全，在计算机中，将故障导入软件中，观察软件的可靠性和稳定性，最后依据软件的表现判断根本的安全性能。计算机软件进行故障解析的过程是非常繁杂的，因为有很多的不确定性，包括检测时间不确定和失败的原因的不确定，这些都是检测失败的原因。由于故障导入技术需要专业的水平，所以我们一般不采用这种方式检测软件的安全。

3.6 计算技术性检测技术

除了以上的五种方法之外，我们还可以使用计算机属性对软件的安全进行检测，使用这种方法的前提是对于所有的软件的功能和运行方式都有一定的了解和应用，然后对软件的程序和电脑软件属性进行对比分析，运行要检测的软件，并对比电脑中的软件属性，控制变量法以确定软件的安全性能。

从以上可以知道，计算机的安全检测方法有很多种，需要“对症下药”，并采用多种检测方式共行的方式，对同一待检测的软件实行安全检查，这样才能提高软件的安全可靠性，以方便我们的生活和工作。

参考文献

[1]贾杰.计算机软件安全检测技术研究[J].计算机光盘软件与应用，2012，（5）：204-204，189.

[2]马英英.论述计算机软件安全检测需要注意的问题和检测方法[J].管理学家，2012，（6）：733.

[3]覃英琼.分析计算机软件安全检测存在问题及措施[J].数字化用户，2013，（23）：54.

作者简介

软件安全论文篇12

一、计算机软件概述

计算机软件是计算机应用系统中的，所使用到的程序与文档的总称。其中程序所指的是计算机在运行的过程总，一系列特定的数码编制；文档的作用是是用户能够便捷的掌握所使用程序的各项说明，所产生的一系列数据资料。计算机软件大致可分为系统软件与应用软件，其中系统软件所指的是计算机系统内部的对于各项硬件进行管理与调节所应用到的软件，例如，数据库、文件系统管理等，其主要目的是确保计算机各项硬件的正常运行，以及后期的调节，系统软件涉及到诸多种类，例如UNIX/Windouws。应用软件所指的是用户所直接应用的软件，是基于用户的需求所开发出的，类型广泛，例如游戏类别、交流类别、管理类别等[1]。

二、计算机软件所面临的安全问题

2.1软件自身的安全问题

计算机软件属于程序语言设计，包括了计算机系统中的程序与文档，是一种虚拟存在的但同时又可以进行实际操作的实物。计算机软件需要基于相关技术与知识进行开发，开发者掌握其知识产权。同时计算机软件自身可以被复制，而我国知识产权对于计算机软件的限制还不够充分，所以对于计算机软件的知识产权不易管理，致使一些非法分子对部分软件进行复制，对计算机软件行业的发展形成了严重的冲击[2]。另外，计算机自身也存在着质量问题，计算机软件是编程人员所研制的，其安全性不可能是绝对的，一定会存在着某些不够完善的地方，而这些地方弱势微不足道的则可忽略，但是如在后期大量使用后爆发了安全问题，则会造成严重的损失。

2.2运行过程中出现的安全问题

上文中有介绍到，软件可以被复制，而不法分子对软件进行复制之后，进行软件的交易与传播，也会造成计算机软件的安全问题不的控制。部分掌握计算机专业技术的人群，利用专业优势对软件进行跟踪与运行，对软件内的各种文件可以直接进行读取，或者是进行修改，进而获取到软件相关的各种信息，对计算机软件进行破解[3]。而很大一部分的计算机软件是用户日常所用的，步伐分子对软件进行破解后，可以任意的读取用户的相关信息，对用户造成了安全威胁，近年来基于计算机软件的财产被骗案件时有发生，所以计算机软件的运行过程是安全问题的一个重要形成环节。

2.3人为与其他安全问题

计算机软件的认为安全问题所指的是，一些不法人群集中了计算机的专业人士，对计算机软件进行病毒置入等，而这些被统称为黑客行为，也是导致计算机软件安全问题的一个重要方向。由于多数用户对计算机安全意识不足，对于计算机软件的安全防护水平较低，给黑客留下了漏洞，黑客进行对软件攻击或者植入病毒，对计算机软件形成了严重的安全威胁。另外还有一些造成计算机安全风险的因素包括，安全管理机制的不完善，计算机软件开发为按照安全标准执行等，都可能形成计算机软件的安全隐患。

三、计算机软件安全问题防御措施

3.1完善计算机软件安全相关法律规范

国家政府层面需要加强计算机软件安全先关的法律建设，参与对计算机软件安全的管理。政府方面可以对公民进行极端及知识与法律法规的宣传，提升用户的安全使用意识，使得公民具有计算机法律意识，进而减少人为形成的安全问题，同时也能够提升使用安全。计算机软件的知识产权相关法律也需要得以完善，确保计算机软件开发者知识产权受到保护，对防止、复制、盗版计算机软件行为进行严厉的处罚，减少盗版软件运行所带来的安全隐患出现[4]。同时规范计算机软件的交易市场与开发市场，对软件上市前进行严格的审核，确保其安全可开在予以投入使用。

3.2严格控制软件安全设计工作

计算机软件设计开发是安全防御的基础，是出现安全问题的第一道闸门，所以对于计算机软件开发进行安全控制是有效途径。计算机软件的开发者在进行软件的设计过程中，需要其实的考虑到来自各方面的安全问题，对可能出现的安全问题进行预先处理，确保软件的安全性。对于设计者的安全防御可从以下几个方面进行：1、提升系统漏洞检测的重视度，设计者在设计的过程中需要定期进行设计过程的检测，避免出现系统漏洞。2、提升用户访问安全问题的重视，对用户访问过程进行加密处理，加强软件的安全可靠性。

3.3提升计算机软件安全防护意识

用户是计算机软件的直接受用者，由于用户安全意识不足所导致的软件安全问题也是主要防御方向[5]。用户需要了解基本的计算机软件安全法律法规，与软件的相关知识，按照开发商所提供的操作规范予以操作，定期的对计算机软件进行病毒检测，在软件中进行金钱交易时要谨慎操作，出现不正常行为需要立即停止，对于软件内部所存留的各类信息进行定期备份，防止软件出现问题造成的信息丢失，同时对于软件内部的垃圾进行定期的处理，方式引入病毒信息。

四、结论

计算机软件为生活与工作提供的重要的辅助作用，计算机软件的需求市场会持续增长，但是在软件开发与使用的过程中，计算机软件安全问题不可忽视。通过上文中的讲述可以发现计算机软件安全问题存在与多个环节，对于计算机软件安全防护，首先要在设计者身上予以管理，其次是在运行过程中加以法律维护，另外要提升用户的法律意识与安全防范意识，避免计算机软件的安全问题出现。

参考文献

[1]吴塍勤.对计算机软件安全问题的分析及其防御策略[J].电脑编程技巧与维护，2013，No.27202：87-88+109.

[2]肖玉梅.对计算机软件安全问题的分析及其防御策略[J].数字技术与应用，2013，01：167.

软件安全论文篇13

搜索软件有渗透到Internet每一个角落的趋势，甚至是一些配置不当的数据库、网站里的私人信息，例如Google的桌面搜索工具DesktopSearch存在一个信息泄漏的漏洞，入侵者能通过脚本程序欺骗DesktopSearch提供用户信息，最常见的就是泄漏磁盘数据。利用这个漏洞提供的信息，入侵者可以伪造相关信件并建立欺骗性的电子商务网站，让用户误以为是大公司发给自己的信函而受欺骗。同时因为Robot一般都运行在速度快、带宽高的主机上，如果它快速访问一个速度比较慢的目标站点，就有可能会导致该站点出现阻塞甚至停机，更为严重的是搜索软件对网络资源的搜索已逐渐成为病毒和黑客窥视的焦点，对网站、局域网安全构成严重的威胁。

1搜索软件主要的安全漏洞

1.1搜索软件被作为匿名

像A1taVista、HotBot等搜索软件能无意识地响应使用者的命令，把一些合乎搜索条件的网页传递给使用者，一般黑客就是利用这一点，利用嵌套技术，层层使用网络，通过搜索软件搜索有缺陷的网站并入侵。

1.2搜索软件被作为病毒查找攻击对象的工具

例如，Santy蠕虫病毒的爆发最初发生在一周前，这一蠕虫病毒能够删除BBS论坛上的内容，在上面“涂鸦”它自己的内容。据安全公司表示，该病毒攻击的对象是运行phpBB软件的论坛网站，而且就是利用Google查找攻击目标。在Google公司采取措施对Santy蠕虫病毒对存在有漏洞的BBS论坛网站的查找进行查杀之后，Santy蠕虫病毒的变种正在利用Google、AOL和雅虎等搜索软件进行大肆传播。

1.3Google批量黑客搜索攻击技术

很多有特定漏洞的网站都有类似的标志页面，而这些页面如果被Google索引到，我们就可以通过搜索指定的单词来找到某些有指定漏洞的网站。

1.4搜索软件被利用查找有缺陷的系统

一般黑客入侵的标准程序是首先寻找易受攻击的目标，接着再收集一些目标的信息，最后发起攻击。一般来说，新开通网络服务的主机容易成为攻击目标，因为这些主机最有可能没有很好的防范措施，如安全补丁、安装及时更新的防火墙等。

1.5搜索软件能用来搜索秘密文件

搜索软件中的FTP搜索软件，与HTTP搜索软件相比，存在着更大的网络漏洞。诸如LycosFTP的搜索软件，它产生的成千上万的网络链接能够探测到一些配置不当的FTP服务器上的敏感信息。任何网络使用者，稍懂网络知识，使用这种搜索软件，都可以链接到一些保密的数据和信息，更不用说一些资深的黑客了。

1.6黑客利用桌面搜索攻击个人计算机

近来金山公司发现一种名为“GoogleDeskTop”的工具能够让使用者很轻易地找到机器当中的私人信息。同时，这个搜索工具还可以搜出系统隐藏的文件，如果利用这个搜索工具就能轻易地修改掉系统文件，而在隐藏文件暴露的情况下，非常容易受到攻击，而且病毒会利用操作系统漏洞进行攻击。所以用户在QQ、MSN聊天时，或者利用电子邮件收发时，个人信息会存在缓存当中，利用这一搜索会轻易搜索到网页的记录。

2局域网的信息安全

影响局域网信息安全的因素主要有：非授权访问、冒充合法用户、破坏数据的完整性、干扰系统正常运行、病毒与恶意攻击、线路窃听等等。

2.1常规策略：访问控制

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段，是保证网络安全最重要的核心策略之一。

(1)入网访问控制。它是第一层访问控制，控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

(2)网络的权限控制。这是针对网络非法操作所提出的一种安全保护措施。控制用户和用户组可以访问哪些目录、子目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行哪些操作。

(3)目录级安全控制。控制用户对目录、文件、设备的访问，或可进一步指定对目录下的子目录和文件的权限。

(4)属性安全控制。应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。

(5)网络服务器安全控制。包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

(6)网络监测和锁定控制。服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应有一定的报警方式。同时应能自动记录企图尝试进入网络的对象和次数，并设置阈值以自动锁定和驱逐非法访问的账户。

(7)网络端口和节点的安全控制。网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。

2.2.非常规却有时更有效的安全策略和技术

(1)屏蔽Cookie程序

Cookie是Web服务器发送到电脑里的数据文件，它记录了诸如用户名、口令和关于用户兴趣取向的信息，因此有可能被入侵者利用，造成安全隐患，因此，我们可以在浏览器中做一些必要的设置，要求浏览器在接受Cookie之前提醒您，或者干脆拒绝它们。通常来说，Cookie会在浏览器被关闭时自动从计算机中删除，可是，有许多Cookie会一反常态，始终存储在硬盘中收集用户的相关信息。

(2)屏蔽ActieX控件

由于ActieX控件可以被嵌入到HTML页面中，并下载到浏览器端加以执行，因此会给浏览器端造成一定程度的安全威胁。

(3)定期清除缓存、历史记录，以及临时文件夹中的内容

浏览器的缓存、历史记录，以及临时文件夹中的内容保留了我们太多的上网的记录，这些记录一旦被那些无聊的人得到，他们就有可能从这些记录中寻找到有关个人信息的蛛丝马迹。

(4)内部网络系统的密码要定期修改