软件安全论文篇1

1.1计算机软件安全检测的流程

通常计算机软件安全检测的过程中只要有以下几个流程，首先是为了彻底全面的对计算机软件系统当中可能存在的缺陷予以充分的检测和了解，要对软件设计过程中最小的模块进行进行全面的测试，之后是要严格按照设计的标准和要求对组装的系统进行检测，此外还要对与之相关的体系机构进行全面的检查。其次就是要在做好了上述各项功能工作之后，还要对软件自身的有效性和功能性进行详细科学的检测，最后一点就是要对整个系统进行全面的检测，测试整个软件在各种环境下运行的安全性和可靠性。

1.2当前计算机软件安全检测的只要方法

首先是形式化的检测。形式化的安全监测实际上就是根据具体的要求来建立软件应有的数学模型，之后通过对应的标准化语言对其进行格式化的说明。形式化的安全监测通常有两种检测方法，一种是模型检测，一种是定量检测。其次就是在模型基础上的静态安全检测。模型安全监测一方面是通过软件行为和结构构建的一种方式，这样也就形成了一个可供测试的模型，这种模型在运行的过程中一方面可以在计算机上实现读取，在工作的过程中，比较常用的模型安全检测方法有两种，一种是有限状态机检测，一种是马尔科夫链检测、再次就是语法检测。语法检测实际上就是技术人员通过技术措施对软件在不同的输入条件下所产生的反应是否相同。四是基于故障注入的软件安全检测。故障注入的安全检测是应用故障分析树与故障数的最小割集来检测的。五是模糊测试和基于属性的测试。基于白盒的模糊测试较传统的模糊测试技术有很大进步，白盒模糊检测方法有效地结合了传统的模糊测试技术和动态测试用例检测技术的优点。六是混合检测技术。能有效地改善静态技术和动态技术检测存在的一些缺陷，从而更好地对计算机软件的安全进行检测。七是基于Web服务的检测技术。它是一种基于识别内容的分布式Web服务器技术。具有语言中立、互动操作性强等优点，能够将复杂的安全检测分解为子安全类型进行处理，以使其可以更有效地应对复杂的安全检测的需要。

2软件维护的主要类型

2.1改正性维护

改正性维护是指改正在系统开发阶段已发生而系统测试阶段尚未发现的错误。这方面的维护工作量要占整个维护工作量的17%～21%。所发现的错误有的不太重要，不影响系统的正常运行，其维护工作可随时进行：而有的错误非常重要，甚至影响整个系统的正常运行，其维护工作必须制定计划，进行修改，并且要进行复查和控制。

2.2适应性维护

适应性维护是指使用软件适应信息技术变化和管理需求变化而进行的修改。这方面的维护工作量占整个维护工作量的18%～25%。由于计算机硬件价格的不断下降，各类系统软件屡出不穷，人们常常为改善系统硬件环境和运行环境而产生系统更新换代的需求；企业的外部市场环境和管理需求的不断变化也使得各级管理人员不断提出新的信息需求。这些因素都将导致适应性维护工作的产生。进行这方面的维护工作也要像系统开发一样，有计划、有步骤地进行。

3提高软件的可维护性方法

3.1建立明确的软件质量目标

如果要一个可维护性的程序满足可理解的、可靠的、可测试的、可修改的、可移植的、效率高的和可使用的7个全部的要求，要付出很大的代价，甚至是不显示的。但是可理解性和可测试性以及可理解性和可修改性是相互促进的，而效率和可移植性以及效率和可修改性是相互抵触的。因此，要明确软件所追求的质量目标。

3.2使用先进的软件开发技术和工具

利用先进的软件开发技术能够大大提高软件质量和减少软件费用，并且稳定性好，容易修改、容易理解，易于测试和调试，因此可维护性好。

3.3建立明确的质量保证

最有效的方法就是质量保证检查，在软件开发的各个阶段以及软件维护中得到了广泛的应用。

4结束语

软件安全论文篇2

接连不断的蠕虫病毒使当前安全技术和措施的有效性再次受到质疑。尽管安全是世界上所有机构的头等大事之一，安全攻击事件的数量仍然是逐年攀升，造成的危害一次比一次大。在最近的数年中，大量的投资被用于阻击安全事件的发生，但只有少数公司确保了它们网络的安全。

特别值得一提的是，为了满足用户和业务的需求，时刻保持竞争优势，企业不得不持续扩张网络体系。然而，很多人可能不知道，网络的每一次扩张，即便是一台新计算机、一台新服务器以及软件应用平台，都将给病毒、蠕虫、黑客留下可乘之机，为企业网络带来额外的安全风险。同时，纯病毒时代已经一去不复返，几年前占据着新闻头条的计算机病毒事件在今天看来已经不是什么新闻，取而代之的是破坏程度呈几何增长的新型病毒。这种新型病毒被称为混合型病毒，这种新病毒结合了传统电子邮件病毒的破坏性和新型的基于网络的能力，能够快速寻找和发现整个企业网络内存在的安全漏洞，并进行进一步的破坏，如拒绝服务攻击，拖垮服务器，攻击计算机或系统的薄弱环节。在这种混合型病毒时代，单一的依靠软件安全防护已开始不能满足客户的需求。

网络安全不只是软件厂商的事

今年上半年，网络安全软件及服务厂商——趋势科技与网络业界领导厂商——思科系统公司在北京共同宣布签署了为企业提供综合性病毒和蠕虫爆发防御解决方案的合作协议。该协议进一步扩展了双方此前针对思科网络准入控制（NAC）计划建立的合作关系，并将实现思科网络基础设施及安全解决方案与趋势科技防病毒技术、漏洞评估和病毒爆发防御能力的结合。

根据合作协议，思科首先将在思科IOS路由器、思科Catalyst交换机和思科安全设备中采用的思科入侵检测系统（IDS）软件中添加趋势科技的网络蠕虫和病毒识别码技术。此举将为用户提供高级的网络病毒智能识别功能和附加的实时威胁防御层，以抵御各种已知和未知的网络蠕虫的攻击。

“在抵御网络蠕虫、防止再感染、漏洞和系统破坏的过程中，用户不断遭受业务中断的损失，这导致了对更成熟的威胁防御方案需求的增长。”趋势科技创始人兼首席执行官张明正评论说，“传统的方法已无法满足双方客户的需求。”

“现在的网络安全已不是单一的软件防护，而是扩充到整个网络的防治。”思科全球副总裁杜家滨在接受记者采访时表示：“路由器和交换机应该是保护整个网络安全的，如果它不安全，那它就不是路由器。从PC集成上来看，网络设备应该能自我保护，甚至实现对整个网络安全的保护。”

业界专家指出，防病毒与网络基础设施结合，甚至融入到网络基础架构中，这是网络安全的发展潮流，趋势科技和思科此次合作引领了这一变革，迈出了安全发展史上里程碑式的重要一步。

“软”+“硬”=一步好棋

如果细细品味这次合作的话，我们不难发现这是双方的一步好棋，两家公司都需要此次合作。

作为网络领域的全球领导者，思科一直致力于推动网络安全的发展并独具优势。自防御网络（Self-DefendingNetwork，SDN）计划是思科于今年3月推出的全新的安全计划，它能大大提高网络发现、预防和对抗安全威胁的能力。思科网络准入控制（NAC）计划则是SDN计划的重要组成部分，它和思科的其他安全技术一起构成了SDN的全部内涵。

SDN是一个比较全面、系统的计划，但是它缺乏有效的病毒防护功能。随着网络病毒的日见猖獗，该计划防毒功能的欠缺日益凸显。趋势科技领先的防毒安全解决方案正是思科安全体系所亟需的。

趋势科技作为网络安全软件及服务厂商，以卓越的前瞻和技术革新能力引领了从桌面防毒到网络服务器和网关防毒的潮流。趋势科技的主动防御的解决方案是防毒领域的一大创新，其核心是企业安全防护战略（EPS）。EPS一反过去被动地以防毒软件守护的方式，将主动预防和灾后重建的两大阶段纳入整个防卫计划当中，并将企业安全防护策略延伸至网络的各个层次。

“如果此次与思科合作的不是趋势科技，我们恐怕连觉都睡不好。”张明正的戏言无不透露出趋势科技对此次合作的迫切性和重要性。

更让张明正高兴的是，通过此次合作，趋势科技大大扩充了渠道。“我们的渠道重叠性很小。”张明正表示。而此次“1+1<2”的低成本产品集成将使这次合作发挥更大的空间。

网络安全路在何方？

如今，虽然业界有形形的安全解决方案，网络安全的形势却不断恶化。究其原因，主要是由于现在的网络威胁形式越来越多，攻击手段越来越复杂，呈现出综合的多元化的特征。

软件安全论文篇3

在网络安全教学中，作为企业网络管理者，最开始我们需要了解的是:(1)公司网络拓扑结构，虽然企业不一定给你最完整的资讯，但是一定会告诉我们有哪些基本的网络设备，我们至少应该知道这些设备可以干什么，然后清楚地意识到在不久的将来我们都需要或多或少的对它进行配置［3］。例如:交换机、路由器、防火墙、VPN、无线AP、VOIP及内容过滤网关等［4］。(2)企业还会告诉我们一些功能服务器，这些也是我们日后需要进行管理的对象。例如:企业AD、DHCP、DNS、FTP、WEB、网络ghost服务器、Share服务器、WSUS服务器和Exchange服务器等等。我们需要记下这些网络设备和功能服务器的IP地址。

2企业网络安全管理的方式

2.1企业网络安全管理可能遇到的问题

作为企业网络安全实验教学，我们需要尽可能的模拟更多的企业网络问题给学生来思考和解决:(1)给你一个IP地址，你能准确地找到这台机器么?你需要什么辅助你?(2)有人说他能上内网，但外网不行，你会想到什么?(3)有人说他QQ还可以聊天，但网页打不开，你怎么想?以上模拟的问题都是企业中最容易出现的，在让学生思考以上问题的同时，以下问题才是需要让学生们在模拟企业网络管理者的时候需要规划的:(1)研发部门的服务器突然增加了，可是给他们的IP地址不够分了，怎么办?(2)财务数据库服务器数据很敏感，可是外地分公司的业务又必须访问，你将制定怎样的策略?(3)规划的网络是固定IP还是自动分配呢?

2.2解决问题的注意事项

2.2.1节点安全

更多的时候我们需要让学生们了解到通过各种软件保障设备的稳定运行是预防节点安全的主要手段。我们可以通过监控系统日志实现对系统信息日志、权限管理日志和资源使用率日志的管理;通过监控硬件状态实现对温度、电压、稳定性和硬件故障的管理;通过异常警报实现对冲突异常、侵入异常、失去功能异常、突发性性能异常等状况的管理;通过容灾实现对硬件损坏、停电、失火、散热失效等的管理。

2.2.2软件安全

最复杂最难管理的就是软件安全，因为我们所有的服务器硬件都是为运行在上面的软件服务的，而软件又都是由人根据需求编写代码开发出来的应用程序。往往一款软件需要很多人的协作开发，由于各种局限性，在开发过程中无法考虑各种情况，因此软件都会有各种各样的缺陷，需要不断的修正。有的缺陷是无伤大雅的，而有的缺陷却是致命的。你不是开发者，这些缺陷对你来说又是不可控的。你只能被动的防范这些缺陷，而往往修补这些缺陷都发生在缺陷产生危害之后。然而装的软件越多，这些缺陷也就越多。更要命的是，病毒、木马它们也是软件，操作系统自身无法识别。杀毒软件可以处理病毒、木马，但是安全软件一不小心也会成为不安全的因素。例如:金山网盾事件、暴风影音事件等。尽管如此，我们依然可以防范，那就是把握以下原则:(1)最少安装原则:提供什么服务就只装什么服务或软件，其他一律屏蔽;(2)最少开放原则:需要什么端口就开放什么端口，其他一律屏蔽;(3)最小特权原则:给予主体“必不可少”的权限，多余的都不开放。

2.2.3数据安全

不论是节点安全还是软件安全，我们最终的目的都是为了保障数据安全。这也是网络安全的终极意义。这是我们在课堂上务必让学习网络安全的学生了解的内容。数据安全其实是数据保管安全，涉及以下4个方面:(1)数据在存储介质上的物理安全。即防范存储介质损坏造成的数据丢失隐患。(2)数据在存储介质上的逻辑安全。即防范因各种操作造成的数据逻辑破坏、删除或丢失的隐患。(3)数据在空间上的安全。即防范因各种灾难造成当地的整个数据完全损毁的隐患。(4)数据在管理上的安全。即防范敏感或机密数据通过公司内部员工人为泄露的隐患。数据传输安全是互联网安全的重点，主要防范重点如下:(1)数据在传输过程中被阻碍(例如，DDOS攻击);(2)数据在传输过程中被窃取(因为无线上网设置不当造成公司资源外泄);(3)数据在传输过程中被修改(网页注入式攻击)。

3结束语

软件安全论文篇4

关键词：计算机软件 安全 策略

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2013）01-0167-01

随着社会的进步，科技的不断发展使得计算机行业飞速的进步。人们对计算机的普及和人们安全意识的加强使得我们对计算机软件的安全引起了足够的重视。所谓计算机软件安全，就是保护软件系统自身的安全和保证软件系统能正常连续地运行。计算机软件安全涉及的内容较多也较为复杂。从用户的角度来将，用户是需要软件系统具功能强大、价格低廉等特点的，而作为开发商，为了获得更高的利益，他们常常会在满足消费者的同时也保护自己的知识产权。用户所考虑的安全问题主要是软件系统在使用方面的安全问题，而软件开发商所考虑还有其他方面的安全问题。对于计算机软件存在的安全问题，我们要及时发现、尽早解决，维护我们整个信息系统的安全。

1 当前计算机软件存在的安全问题分析

计算机技术的跨越式的发展，使得其广泛地应用于社会的各个行业，个人电脑、家庭电脑也得到了极大的普及。然而它的背后也隐藏着各种各样的安全问题。当前计算机软件所面临的安全问题主要有非法复制、软件跟踪、软件质量问题等软件安全威胁。计算机软件一般是用某种程序设计语言来设计和完成的，它是一种逻辑实体，并非是有形可触的物理实体。软件安全包括对文档和介质的双重保护。计算机软件作为一种知识密集型产品，由于易复制性，导致软件产品的知识产权受到严重的威胁。由于我国对于知识产权的认知度不够、保护不足、监管不到位使得不法分子通过盗版软件赚盆满钵满而软件业由此而蒙受相当大的损失。计算机软件运行的安全是对软件进行必要的防护，以防止其受到人为的修改、破解、复制以及滥用，从而保证其功能的正常连续运行。一些人或者团体利用掌握的技术，特别是运用各种程序调试分析工具来对软件程序进行跟踪和逐条运行，它可以对任何格式的文件进行直接读写和修改，通过窃取软件源代码、取消软件的防复制和密保钥匙等功能，来实现对一软件的动态破译，并将破译后的软件进行非法买卖和公开传播。这样同样使得计算机软件的安全存在着相当大的问题。而在计算机软件开发过程中，软件开发商所研发出来的软件不可避免的存在一些类似于安全漏洞的缺陷，这样同样造成了计算机软件的安全问题。

2 计算机软件存在问题的防御策略探讨

计算机软件安全问题的防御策略主要有行政法律、法规上的策略、组织管理上的策略和技术层面的策略等。计算机软件安全在行政法律、法规上的策略主要是利用法律的武器对自己的权利进行维护。我们可以根据国家计算机安全的相关法律、法规，完善计算机信息系统安全保护条例、计算机软件保护条例等，做好计算机知识的普及和教育培养公众对软件版权、知识产权的法制观念。在组织管理上的策略则要求我们设立严密的组织机构和管理流程，一对软件从开发出来到最终用户的使用环节都能得到严格的监控和管理。要成立打击软件非法复制和动态跟踪的专题小组，从事相应的检查、监督工作。在技术层面的策略则要加强加密技术、防复制、反跟踪的技术，采取强硬的措施来保护自己的权益。加密技术主要是为了限制软件被复制。防止盗版的软件来保护开发者的权益。然而，仅依靠保密方法来消除盗版或者其它的安全隐患是不可能的，我们必须对已有的软件，还可以使用一些类似于密码的安全保护措施。为了防止软件的非法复制，国家应该要加强对软件产品的保护力度。这样才能够减小盗版软件带有病毒和一些捆绑的后台程序，给软件用户的数据安全带来极大的威胁。而反跟踪技术则是种防止利用调试工具活跟踪软件来窃取软件源码、取消软件防复制和加密功能的技术。根据目前软件系统的结构特点，任何软件的运行都是依附于 CPU的，如果CPU的运行被监控，就等于把程序直接在解密者的面前，那么软件在运行的时候就极易被复制，进而威胁整个软件的安全性能。

3 结语

在信息化时代，计算机日趋普及，逐渐成为人们日常生活不可或缺的一部分。计算机软件种类的丰富和其功能的日益强大，使得计算机能够满足人们个性化、全方位的需求。计算机软件的极大丰富，也使其使用的安全性面临威胁和挑战。计算机软件主要是指计算机系统中的程序及其文档，其主要分为系统软件和应用软件两大类。在电子商务繁荣的今天，加强企业计算机的安全管理，保障电子商务业务正常有序进行，确保信息和资金安全是一个现实的问题，这就给计算机软件的设计和管理带来了诸多的困难。计算机软件安全问题包括保证软件系统自身的安全和确保软件系统正常、连续的运行，它涉及两个安全主体。从软件使用者的角度看，用户需要软件的性能可靠、安全，易于操作并且质优价廉。从软件开发商的角度讲，开发商除了要满足最终用户的安全需要外，还得保护软件开发者的知识产权，以防软件系统被不法之徒为了牟取利益而低廉复制或者跟踪仿制。计算机软件的安全问题在当前越来越受到人们的重视，计算机软件相关的安全问题需要我们沉下心来去研究、去探索。虽然说我国的计算机软件安全水平相较于其他先进的国家尚有一定的差距，但是只要我们充分的认识到我国计算机软件存在的安全问题并设法去解决问题，不断的积累经验以后就能够制定防御策划，当在遇到相同的安全问题时可以及时的进行防御，以保障用户和软件开发商的合法权益。

参考文献

[1]杨静惠.网络安全的发展现状与预防措施[J].信息与电脑（理论版），2012年04期.

软件安全论文篇5

关键词：开源软件，FAX服务器，防火墙，mail服务器

 

1、企业的常用软硬件现状

随着计算机技术、网络技术和企业本身的发展，企业对计算机软件、硬件、网络（互联网、局域网）、安全（系统、网络、信息）、企业信息化的要求越来越高、分得越来越细，例如：路由器、防火墙、防毒软件、ERP服务器、数据库服务器，文件服务器，打印服务器，还有web服务器，mail 服务器,fax服务器等。因为大多数企业都使用了微软产品，依据Microsoft 技术白皮书建议，服务器只做专业服务,不建议安装其他软件系统，即不同的服务器软件要安装在不同的机器上，随着用户数（license）的增加或软件升级（升级为企业版），企业的机器数量和软硬件费用也会变得越来越多，软硬件的管理也会变得越来越复杂。

2、 企业如何降低常用软硬件的费用

降低软件的费用通常有多种方案，例如：改用价格便宜的软件；自行开发；使用linux。在以上方案中目前最有可能的方案是使用linux，这是因为＂linux从1991．9正式向外公布已有近20年的历史＂[3]7页，有很多发行版本及使用人群。在很多发行版中我们选择了CentOS（在R H E L基础上发展起来的）作为中小企业的服务器系统软件，理由如下：

2．1、 ”Red Hat Enterprise Linux和Fedora已经成为主流的Linux发行版” [6] 前言页；”CentOS是在Red Hat Enterprise Linux.的源代码重新编译生成的发行版本，CentOS具有和RHEL很好的兼容性，拥有RHEL的诸多优点。” [1]11页。

2．2、 ”CentOS可以算是Red Hat Enterprise Linux的克隆版，但是免费。”[3]8页；”CentOS不会遇到任何版权问题，不存在认证和支持方面的费用。，防火墙。，防火墙。”[1] 12页。

2．3、　CentOS.性能稳定：”借助CentOS.不需要商业支持就可以体验RedHat Enterprise 　Linux的稳定性、可靠性、和企业功能。”[6]4页；”linux可以连续运行数月、数年而无需要重新启动，与NT（死机）相比,这一点尤其突出.。” [1]7页。

2．4、　CentOS功能强大：”Linux现在已经拥有许多专业级别的数据库和办公程序集。其中不仅包括Oracle和IBM的数据库，而且还包括OpenOffice和Koffice的办公程序” [6] 15页,例如： CentOS自带图形界面、Firefox、OpenOffice和Java、C++、Perl 、PHP、Mysql,等脚本语言、程序设计语言和数据库，完全可以安装在个人电脑上使用。

2．5、远程管理方便：”使用linx远程管理十分方便：Linux可以通过命令行来操作的特点，就其本身来说十分适合进行远程管理，可以使用任何一种操作系统的机器” [5] 4页；例如：可以在windows下使用用telnet、ssh、 VNC(图形界面)远程管理CentOS系统。

2．6、”IPTABLES（linux的防火墙）已发展成为一个功能强大的防火墙，它已具备通常只会在专有的商业防火墙中才能发现的大多数功能。” [2] 1页。

2．7、”RHEL对Cpu的要求不是很高，。。。。。。如果系统单纯使用文本模式，则内存要求很低，一般的计算机内存都可以了；。。，防火墙。。。。。” [4]12页，所以安装CentOS系统时不选图形界面和汉字系统，系统速度会更快，可以将很多服务器软件安装在一台机器上，减少了机器数量和费用。也便于集中管理。

2．8、病毒少：到目前为止在CentOS系统上我们还没有发现病毒。

3、　用CentOS建立多功能服务器实现“一机多能”服务的简单说明（功能和过程）：

3．1、在一台机器上安装CentOS系统(不安装图形界面和汉字)并配置DHCP、DNS、IPTABLES (防火墙+路由器)、SAMBA(文件+打印服务器)、POSTFIX(邮件服务器)、MYSQL(数据库)、FTP、TOMCAT（Web应用服务器）、Apache(WEB服务器) 、Telnet、VNC、VPN等，建立DHCP服务器、DNS服务器、防火墙、路由器­­（双网卡）、文件服务器、打印服务器、邮件服务器、MySQL服务器、FTP服务器、TOMCAT服务器、Apache服务器、Telnet服务器、VNC等服务器。见下面图1，安装配置过程详见CentOS的相关教程。

3．2、在多功能服务器上安装、配置开源软件HylaFAX、建立fax服务器，见上面图1“需要第三方软件支持的服务”中的FAX服务，详见HylaFAX的相关资料。

HylaFAX服务器可以实现用一个FAXmodem为局域网内所有的电脑提供传真发送功能，下面图2的左图是HylaFAX客户端监视HylaFAX收发情况的画面；下面图2的右图是用电脑发送fax的画面; 下面图3是用outlook通过多功能服务器中的邮件服务器自动接收FAX的画面（见上面图1“CentOS系统自带的服务”中的邮件服务）。，防火墙。

3．3、在多功能服务器上安装配置开源软件LeoBBS、建立论坛服务器，见上面图1“需要第三方软件支持的服务”中的论坛服务，详见LeoBBS的相关资料。下面图4是论坛主页，详见218.94.148.130/cgi-bin/leobbs/leobbs.cgi，需要Apache 和Perl环境支持。

3．4、在多功能服务器上安装、配置开源软件Sharetronix，建立微博服务器，见上面图1“需要第三方软件支持的服务”中的微博服务，详见Sharetronix的相关资料。，防火墙。

下图是微博主页，详见218.94.148.130/，需要PHP、Mysql和Apache环境支持。

3．5、在多功能服务器上安装、配置EAI软件,建立EAI服务器，见上面图1“需要第三方软件支持的服务”中的EAI服务，详见EAI的相关资料。

EAI是基于CentOS系统下用PHP+Mysql开发的异地多种数据库平台的同步软件，已经实现了两岸三地不同数据库平台（SYBASE和SQLSERVER）的相关数据的同步（包括新增、修改和删除），还有断点续传和LOG自动生成功能。下图是接收端的LOG（接收记录）。

下面是EAI实际应用情况的网络图

3．6、随着企业的发展，我们还可以随时在CentOS服务器上增加其他服务功能，例如：下图是在多功能服务器上增加了舆情监测服务平台，需要TOMCAT+JRE+MYSQL支持，

详见218.94.148.132:8080/WebNewsDisplay/show/new_login.jsp。，防火墙。

4、结束语

我们几乎是在零软件费用的情况下，在一台CentOS系统上建立了多功能的服务器系统，经过实际应用和测试，发现免费的多功能服务器系统的具有性能稳定、功能强大、方便实用等特性，相比其他产品（软件或硬件）不仅软件免费，而且在性能、功能、升级、扩展、管理等方面都非常不错，可以满足多数中小企业的基本要求，特别是可以用GHOST刻隆硬盘，在已有多功能服务器的情况下，只要30分钟左右，就可以安装一台新的多功能服务器，可以批量快速安装或作为备份使用，非常实用、方便、安全，完全可以作为中小企业免费的多功能服务器的解决方案。Mysql可以作为ERP或OA系统的后台，替代SQLSERVER等数据库，普通使用者可以用CentOS作为桌面系统，达到减少常用软硬件费用的目的，值得推广。

参考文献：

[1]梁如军，丛日权，周涛．CentOS 5系统管理[M]．北京：电子工业出版，2008．7

[2](美)Michael Rash 陈健．　Linux防火墙[M]．北京：人民邮电出版社，2009．6

[3]曹江华著．RHEL 5.0 服务器构件与故障排除[M]．北京：电子工业出版，2008．9

[4]卓文华讯，刘晓辉，陈洪彬编著．Red Hat Linux网络服务器管理及配置实战详解[M]．北京：化工工业出版社，2010．4

[5]周洁、刘红兵、王国平编著．Red Hat Enterprise Linux5网络配置与管理基础与实践教程[M]．北京： 电子工业出版社， 2009．2

[6][美]Richard Petersen著年孙天泽、袁文菊、李梅等译Fedora$ Red Hat Enterprise Linux参考大全[M]．北京：电子工业出版社， 2009．9

软件安全论文篇6

【关键词】核电厂；软件验证；导则

0 前言

核反应堆分析软件是核反应堆设计和安全分析的重要工具，需要开展全面的验证与确认，我国在核反应堆设计和软件开发方面取得了重要的成果。经过近十年的努力，在核动力厂安全相关计算机软件领域，我国已经制订并颁布了一批软件工程标准。随着我国核电自主化的推进，核电软件自主化应运而生，相应的专用法规导则体系也就亟待完善，从而为我国核反应堆工程用计算机软件的开发与应用提供相应的技术指导。本文通过调用国内外相关的软件技术和制定的标准规范，为核反应堆工程软件的验证提供理论指导和技术支持。

1 国内法规与标准调研

1.1 HAF102核动力厂设计安全规定

该规定于2004年4月18日国家核安全局批准，规定中提出了陆上固定式热中子反应堆核动力厂的核安全原则，确定了保证核安全所必需的基本要求。这些要求适用于核动力厂安全功能及相关的构筑物、系统和部件，并适用于核动力厂中的安全重要规程。规定中只强调设计中必须满足的要求，对于如何满足这些要求则不作具体规定。本规定在第五部分，核恿ι杓埔求中提出了进行全面安全评价的要求，以确定核动力厂在各种运行状态和事故工况下可能产生的潜在危险。安全分析中应用的计算机程序、分析方法和核动力厂模型必须加以验证和确认，并必须充分考虑各种不确定性。这种安全评价过程涉及确定论安全分析和概率论安全分析这两种互补的技术。

1.2 HAD102/17核动力厂安全评价与验证

该规定于2006年6月5日国家核安全局批准，规定中为设计单位在初始设计和设计修改过程中对核动力厂进行安全评价提供了建议，也为营运单位对于新核动力厂（使用新的或现有设计的）的安全评价进行独立验证提供了建议。实施安全评价的建议也适用于指导对现有核动力厂进行安全审查。依据现行的标准和实践对现有核动力厂进行安全审查，其目的在于确定是否存在影响核动力厂安全的任何偏离。本导则中的方法和建议同样适用于国家核安全监管部门进行的监管审查和评价。虽然本导则中大部分建议是通用的，并适用于所有类型的反应堆，但也有一部分特殊建议和范例主要用于水冷反应堆。本规定在第四部分，核动力厂安全评价与验证中提出了安全分析的相关规则和要求。

1.3 GB/T 8567-2006计算机软件文档编制规范

本标准根据GB/T8566―2001《信息技术软件生存周期过程》的规定，主要对软件的开发过程和管理过程应编制的主要文档及其编制的内容、格式规定了基本要求。

本标准原则上适用于所有类型的软件产品的开发过程和管理过程。使用者可根据实际情况对本标准进行适当剪裁（可剪裁所需的文档类型，也可对规范的内容作适当裁剪）。软件文档从使用的角度大致可分为软件的用户需要的用户文档和开发方在开发过程中使用的内部文档（开发文档）两类。供方应提供的文档的类型和规模，由软件的需方和供方在合同中规定。该标准中对软件文档编制过程进行了详细说明，包括源材料准备、文档计划、文档开发、评审、与其他公司的文档开发子合同、文档编制要求、软件生存周期与各种文档的编制、文档编制中的考虑因素、文档编制格式、可行性分析（研究）报告等。

1.4 EJ/T 890-94 核电厂安全有关计算机软件质量保证细则

本标准规定了核电厂安全有关计算机软件在开发和维护中质量保证的具体方法和规程。本规则适用于核电厂安全有关计算机软件在开发和维护中质量保证活动。

该规定首先介绍了软件质量保证大纲，提出软件开发应接受总项目质保大纲的控制，从质保大纲的范围、编制（总纲、软件质量计划、工作规程及指导书）、安全有关软件的质保等级、质保计划、质保组织、文档和配置控制、设计控制、测试、错误控制和纠正措施、质保记录和监查进行了详细的说明和规范。

2 国外法规与标准

2.1 法国法规与标准

法国电力公司、法马通公司和诺瓦通公司于1980年10月19日组成法国核岛设计和建造规程协会（AFCEN）。AFCEN是以法规的形式出版的法国核电电气设备设计和建造规则（RCC-E），主要针对那些发生故障就有可能威胁人身安全或电厂核安全的设备和软件。AFCEN于2005年出版了RCC-E第五版，该版本对法国核电厂或是现运行电厂项目以及目前在建的EPR电厂（欧洲压水堆）通用。其中该法规的C5000部分主要介绍了可编程系统开发过程中涉及的基本技术活动及其规范。

2.2 IAEA软件研发相关要求

IAEA已印发了技术标准，目的是用于证明核动力厂基于计算机的安全重要系统的软件在系统生存周期的所有阶段是安全的，帮助成员国确保核动力厂中基于计算机的安全重要系统的完全是得到认证许可的。安全导则适用于所有类型的软件：已有软件或固件（例如操作系统）、准备专门为该项目开发的软件、或准备针对先前开发的已有硬件或软件模块的设备家族开发的软件。供参与基于计算机的系统的生产、评定和许可证审批的工作人员使用，包括核动力厂系统的设计人员、软件设计人员和程序员、确认人员、验证人员、证明人和监管人员，也可供核动力厂操纵员使用。并考虑了这些人员间的各种接口。安全导则中首先提供基于计算机系统技术因素的建议，并论述了此类系统的利弊、安全性和可靠性问题，以及开发该项目的组织条件；然后提供用于基于计算机的安全重要系统的安全管理要求的建议；接着提供系统开发项目规划阶段的建议，并介绍了相关文件资料的结构和内容，其中包括开发计划、质量保证大纲、验证和确认计划以及配置管理计划；最后详细介绍了开发过程的各个阶段，主要介绍了计算机系统的要求、计算机系统设计、软件要求、软件设计、软件实现、验证和分析、计算机系统的集成、计算机系统的确认、安装和调试、运行和交付后修改等方面。

2.3 美国软件研发法规和标准

美国NRC于2004年颁布了导则文件REGULATORY GUIDE 1.168“Verification，Validation，Reviews，and Audits for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”，其中对核电厂安全系统中使用的数字计算机软件的验证、确认、审查和监查方面的工作规范进行了详细指导说明。

美国NRC于2005年颁布了导则文件REGULATORY GUIDE 1.203 “Transient and Accident Analysis Methods”，其中对评价模型的开发和评估过程进行了详细规定，是安全分析应用的计算机软件开发及其质量控制的重要依据。

美国NRC于2013年颁布了导则文件REGULATORY GUIDE 1.169 “Configuration Management Plans for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”以及IEEE于2005年颁布了标准文件“IEEE Standard for Software Configuration Management Plans”，其中核电厂安全系统数字计算机软件的配置管理计划进行了详细说明。

美国NRC颁布了导则文件REGULATORY GUIDE 1.170，“Software Test Documentation for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”，其中对核电厂安全系统数字计算机软件的测试文档的使用进行了详细说明。

美国NRC颁布了导则文件REGULATORY GUIDE 1.171，“Software Unit Testing for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”，其中对核电厂安全系统数字计算机软件单元测试工作进行了详细说明。

美国NRC颁布了导则文件REGULATORY GUIDE 1.172，“Software Requirement Specifications for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”，其中对核电厂安全系统数字计算机软件工作中的特定需求进行了详细说明。

IEEE于1993年颁布了标准文件“IEEE Standard for Software Unit Testing”，其中对计算机软件的测试计划进行了详细说明，通过描述软件工程的概念以及测试假设，对软件测试活动提供指导和资源信息，以协助实施和标准单元测试方法的使用。

IEEE于2004年颁布了标准文件“IEEE Standard for Software Verification and Validation”，其中对核电厂安全系统计算机软件的验证和确认计划进行了详细说明。

3 结论

通过对国内外核反应堆分析软件验证与确认相关导则的调研，国内相关导则还不完善，且缺少软件验证的实践经验，需要在核反应堆分析软件验证与确认方面开展进一步的研究工作。

【参考文献】

[1]HAF102 核动力厂设计安全规定[S].

[2]HAD102/17 核动力厂安全评价与验证[S].

[3]GJB 102-1997 软件可靠性和安全性设计准则[S].

[4]GB/T 8567-2006 计算机软件文档编制规范[S].

[5]EJ/T 890-94 核电厂安全有关计算机软件质量保证细则[S].

[6]RCC-E 核岛电气设备设计和建造规则[S].

[7]IAEA，No.NS-G-1.1 Software for Computer Based on Systems Important to Safety in Nuclear Power Plant.

[8]IAEA，No.NS-R-1 Safety of Nuclear Power Plants：Design.

[9]RG 1.168，“Verification，Validation， Reviews， and Audits for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”.

[10]RG 1.203，“Transient and Accident Analysis Methods”.

[11]RG 1.1169，“Configuration Management Plans for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”.

软件安全论文篇7

一、问题提出的背景

随着信息化建设的不断深入,对信息的安全性和保密性也提出了更高的要求。内网与互联网的物理隔离,所有用户终端全部强制安装保密系统,保密移动存储介质全部进行加密处理,所有这些无不体现各级领导对信息安全的高度重视。然而,盗版软件在内网中的滥用给内网的安全保密埋下了巨大的安全隐患,需要引起我们的高度重视。

一是盗版软件在“免费”的背后是巨大的安全隐患。正版软件被盗版或破解大体有两种方式:一种是修改正版软件的原有文件;另一种是使用算号器得到软件的注册码。无论是哪种方式,盗版软件制作者都有可能病毒或者恶意代码植入原有软件。根据美国微软公司2006年的《获取和使用盗版软件的风险》白皮书中的调查以及得出的结论:25%提供算号器等破解工具的网站试图安装恶意或有害软件;从网站下载的破解工具有11%含有恶意或有害软件;从点对点网络下载的破解工具中59%含有恶意或有害软件。在内网中传播的软件基本都直接或间接的(盗版软件光盘)来自于互联网,其中包含了Windows操作系统以及各种改版(如番茄花园Windows XP),防火墙及杀毒软件,办公套件,各类行业软件,娱乐软件等几乎所有类别的系统和应用软件。而其中绝大多数都是盗版软件。其中有多少含有病毒或者恶意代码很难做出准确的判断,但含有病毒或者恶意代码的软件一旦在内网传播和使用,其潜在的安全威胁以及可能造成的损失将是不可估量的。

二是内网系统平台过于单一,一旦病毒爆发极易引发大规模感染。内网的大部分服务器以及绝大多数用户终端使用的都是美国微软公司的Windows操作系统,而互联网流行的病毒大部分是针对该系统的,由于内网中传播的软件大多来自于互联网,不可避免的会携带病毒进入内网。而且,借由互联网进入内网的病毒或恶意软件中是否含有蓄意编制的针对保密系统的程序还是一个未知数,但是可以肯定的是,针对内网的窃密活动绝不会放弃任何向内网的渗透窃密机会,出现针对现有保密系统的窃密程序只会是时间问题。

二、应对措施

(一)建立可信软件审核机制,严把软件准入关。首先,应成立统一的可信软件审核机构。该机构的职责应包括:内网软件需求论证;根据需求提出软件采购、引进计划;确定用于软件安全检测的技术及标准;使用一定的安全检测手段审核采购和引进的软件;对审核通过的软件进行安全等级评定和划分;入网前,应对软件进行全面测试并负责收集用户反馈等。其次,应补充和完善内网软件使用的相关法规,使入网软件审核制度化。任何个人未经软件审核机构批准,不得以任何形式在内网软件或其源代码,所有在内网未经审核的软件都应受到相应的惩处。

(二)建立软件采购机制,保证信息安全关键软件品质。内网对安全保密有极高的要求,但盗版软件,尤其是盗版操作系统、防火墙以及杀毒软件的滥用极有可能使与互联网的物理隔离形同虚设。因此,应立足于内网实际,建立起一套软件采购机制,确保软件的源头安全。

首先,软件采购应有计划性。应由软件审核机构根据内网需求、安全特性以及运行效率和可承受的价格等因素,统一指定软件采购计划,确保采购的软件种类齐全,安全可靠且杜绝过高的软件冗余造成的资金浪费。此外,软件采购计划的指定权与执行权应当分离。

其次,软件采购应注重安全性。软件采购应充分考察软件的历史沿革,看是否出现过重大安全问题,以及软件提供商的资质。如果可能,应尽量选择软件源代码开放的或其源代码允许软件审核机构进行审查的软件。这样可以从软件生产源头对软件的各项品质以及安全性进行全面的审查,有助于确保软件在内网运行的安全可靠。

再次,软件采购应兼顾实用性。在确保采购的软件安全可靠的基础上,还应兼顾软件的性价比,界面设计,可升级性等因素。这些因素虽不是关键,但却直接关系广大内网用户的实际使用效果和接受程度,因此,也需要列入考虑范围。

(三)加大开源软件的引进力度。开源软件,即开放源代码软件(Open Source Software)。在内网推广使用开源软件有以下三大优势:

一是可以大大降低软件采购成本。相比商业软件动辄数万元的专利费、软件使用费,开源软件则可以以较低廉的价格购得甚至是免费获取。究其原因在于,开源软件秉承了自由、开放的精神而摒弃了商业软件所谓“专利”,它从开发、测试到维护、升级都是由来源于软件社区。开放的软件开发模式成就了开源软件低价格、高品质的佳话。选择开源软件不仅可以节省有限的经费,更能够从软件源头确保可靠和安全;二是可以提高内网的自主信息安全。对于使用封闭源代码的商业软件,我们无法了解其内部构造和具体运行机制,因此在安全性方面只能被动的依赖软件的制造商,对出现的安全漏洞也无法第一时间进行修补;而对于开源软件,我们可以根据其源代码对软件的安全性进行完全自主的控制,并且可以根据内网用户的反馈和错误报告,不断的完善和提高软件及系统的安全性;三是可以提高软件自主研发的能力。通过引进、使用技术先进的开源软件并对其进行必要的分析和研究,可以使内部软件研发机构更加准确的把握当今最先进的软件编程语言和技术,学习和借鉴优秀的软件算法和编程技巧,有助于内部软件研发的整体水平和能力的提高。

同时,引进和使用开源软件也应注意以下几点:首先是应直接从开源软件的官方网站或可信的开源软件网站(如,)获取并注意进行数据效验,避免软件源代码被第三方恶意修改;其次是应在采购开源软件的同时,要求软件制造商提供相应版本的完整源代码,这是开源软件提供商应尽的义务,也是采购方享有的权利。

软件安全论文篇8

ICICS 2013将为国内外信息安全学者与专家齐聚一堂，提供探讨国际信息安全前沿技术的难得机会。作为国际公认的第一流国际会议，ICICS 2013将进一步促进国内外的学术交流，促进我国信息安全学科的发展。本次学术会议将由中国科学院软件研究所、北京大学软件与微电子学院和中国科学院信息工程研究所信息安全国家重点实验室主办，并得到国家自然基金委员会的大力支持。

会议论文集均由德国Springer出版社作为LNCS系列出版。ICICS2013欢迎来自全世界所有未发表过和未投递过的原始论文，内容包括访问控制、计算机病毒与蠕虫对抗、认证与授权、应用密码学、生物安全、数据与系统安全、数据库安全、分布式系统安全、电子商务安全、欺骗控制、网格安全、信息隐藏与水印、知识版权保护、入侵检测、密钥管理与密钥恢复、基于语言的安全性、操作系统安全、网络安全、风险评估与安全认证、云安全、无线安全、安全模型、安全协议、可信计算、可信赖计算、智能电话安全、计算机取证等，但又不局限于此内容。

作者提交的论文，必须是未经发表或未并行地提交给其他学术会议或学报的原始论文。所有提交的论文都必须是匿名的，没有作者名字、单位名称、致谢或其他明显透露身份的内容。论文必须用英文，并以 PDF 或 PS 格式以电子方式提交。排版的字体大小为11pt，并且论文不能超过12页（A4纸）。所有提交的论文必须在无附录的情形下是可理解的，因为不要求程序委员阅读论文的附录。如果提交的论文未遵守上述投稿须知，论文作者将自己承担论文未通过形式审查而拒绝接受论文的风险。审稿将由3位程序委员匿名评审，评审结果为：以论文形式接受；以短文形式接受；拒绝接受。

ICICS2013会议论文集可在会议其间获取。凡接受论文的作者中，至少有1位必须参加会议，并在会议上报告论文成果。

投稿截止时间：2013年6月5日 通知接受时间：2013年7月24日 发表稿提交截止时间：2013年8月14日

会议主席：林东岱 中国科学院信息工程研究所 研究员

程序委员会主席：卿斯汉 中国科学院软件研究所、北京大学软件与微电子学院 教授

Jianying ZHOU博士 Institute for Infocomm Research，新加坡

程序委员会：由国际和国内知名学者组成（参看网站 http：//icsd.i2r.a-star.edu.sg/icics2013/）