基于約束特征匹配的軟件安全性缺陷靜態(tài)分析技術(shù)及在金融業(yè)的應(yīng)用

王楠

摘 ? 要：操作系統(tǒng)的安全性缺陷分析與檢測(cè)對(duì)保證計(jì)算機(jī)系統(tǒng)安全尤其是對(duì)于大范圍應(yīng)用計(jì)算機(jī)操作系統(tǒng)的金融業(yè)具有非常重要的意義。本文研究基于操作系統(tǒng)源程序的靜態(tài)分析技術(shù)，探究將靜態(tài)分析應(yīng)用于金融系統(tǒng)安全問(wèn)題及操作系統(tǒng)安全性缺陷分析系統(tǒng)對(duì)應(yīng)程序的實(shí)現(xiàn)路徑。

關(guān)鍵詞：靜態(tài)分析;操作系統(tǒng);缺陷發(fā)現(xiàn);技術(shù)應(yīng)運(yùn)

中圖分類號(hào)：F830.31 ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：B ? ? ? ? ? ? ? ? ? ? 文章編號(hào)：1674-0017-2014（11）-0091-03

在全球信息化浪潮的影響下，隨著計(jì)算機(jī)及互聯(lián)網(wǎng)技術(shù)應(yīng)用范圍的擴(kuò)大及應(yīng)用程度的加深，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)、信息資源的開(kāi)發(fā)正在吸引各行各業(yè)的重視?？梢哉f(shuō)信息化正在滲透到各個(gè)領(lǐng)域，直接關(guān)系到現(xiàn)代社會(huì)的運(yùn)行和發(fā)展，特別是隨著金融電子化的不斷深入，在計(jì)算機(jī)幾乎滲透到銀行各個(gè)部門和業(yè)務(wù)處理全過(guò)程的現(xiàn)實(shí)情況下，銀行業(yè)的信息安全問(wèn)題已越來(lái)越引起人們的高度關(guān)注。

一、金融系統(tǒng)計(jì)算機(jī)操作風(fēng)險(xiǎn)的狀況及原因

（一）軟、硬件開(kāi)發(fā)安全級(jí)別低。計(jì)算機(jī)軟件是用戶與硬件之間的接口界面，主要包括計(jì)算機(jī)程序及其文檔，按照用途可分為系統(tǒng)軟件和應(yīng)用軟件兩大類。系統(tǒng)軟件是指為管理、控制和維護(hù)計(jì)算機(jī)及外部設(shè)備，以及提供計(jì)算機(jī)與用戶界面等的軟件，如操作系統(tǒng)、各種語(yǔ)言處理程序、數(shù)據(jù)庫(kù)管理系統(tǒng)等。應(yīng)用軟件主要用于解決一些實(shí)際的應(yīng)用問(wèn)題，如管理軟件等。現(xiàn)有應(yīng)用軟件系統(tǒng)軟件設(shè)計(jì)重功能輕安全，軟件設(shè)計(jì)選用語(yǔ)言和數(shù)據(jù)庫(kù)考慮安全性能少，以至軟件投入運(yùn)行后暴露出諸多安全隱患。如數(shù)據(jù)庫(kù)呈開(kāi)放狀態(tài)，易于打開(kāi)，應(yīng)用系統(tǒng)軟件存在安全“BUG”等。這類現(xiàn)象在金融會(huì)計(jì)電子化不斷發(fā)展階段開(kāi)發(fā)的系統(tǒng)更為明顯，且這些軟件系統(tǒng)還在持續(xù)的更新?lián)Q版之中。快速的軟件升級(jí)周期，會(huì)造成問(wèn)題軟件的出現(xiàn)，操作系統(tǒng)和應(yīng)用程序出現(xiàn)新的攻擊漏洞;同時(shí)，在硬件選型上考慮安全性能的比較少，主要側(cè)重硬件功能和價(jià)格的考察，缺乏金融系統(tǒng)的統(tǒng)一的硬件選型。

（二）計(jì)算機(jī)系統(tǒng)缺乏安全性實(shí)踐。因計(jì)算機(jī)系統(tǒng)本身軟件、硬件及網(wǎng)絡(luò)等缺陷而造成風(fēng)險(xiǎn)。引起此類風(fēng)險(xiǎn)的因素分別有：系統(tǒng)的復(fù)雜性，多個(gè)異構(gòu)網(wǎng)絡(luò)互聯(lián)起來(lái)的大型網(wǎng)絡(luò)，增加了網(wǎng)絡(luò)確認(rèn)的難度，降低了對(duì)網(wǎng)絡(luò)安全信任度;資源共享使更多用戶有機(jī)會(huì)存取數(shù)據(jù)，提高了存取控制的復(fù)雜度;網(wǎng)絡(luò)的廣泛可存取性，使網(wǎng)絡(luò)的邊界具有不確定性，未知的、未經(jīng)控制的惡意攻擊，給網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重威脅;在文件經(jīng)過(guò)多個(gè)節(jié)點(diǎn)傳送過(guò)程中，存在存取控制的安全性問(wèn)題;在網(wǎng)絡(luò)中從一個(gè)節(jié)點(diǎn)到另一個(gè)節(jié)點(diǎn)存在多條路徑，因用戶無(wú)報(bào)文周游的控制權(quán)，報(bào)文的傳輸安全便成問(wèn)題，加大了計(jì)算機(jī)的操作風(fēng)險(xiǎn)。

（三）系統(tǒng)軟硬件設(shè)備的安全缺陷。網(wǎng)絡(luò)系統(tǒng)的安全缺陷，是計(jì)算機(jī)互聯(lián)的固有特征，由于網(wǎng)絡(luò)的資源和信息是被共享的，它們必然有可能因人的惡意或偶然原因遭受破壞、更改或泄露。需要在要保護(hù)的信息與可能危害網(wǎng)絡(luò)服務(wù)和信息（無(wú)意或惡意）的人之間設(shè)立實(shí)際和虛擬的屏障，限制網(wǎng)絡(luò)資源和信息的訪問(wèn)自由度，達(dá)到降低信息安全風(fēng)險(xiǎn)的目標(biāo)。就金融系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)而言，設(shè)備功能失效本來(lái)可以通過(guò)提高系統(tǒng)的可靠性來(lái)解決，設(shè)備冗余、負(fù)載均衡和備份等技術(shù)也能夠解決這類物理和工程的可靠性問(wèn)題，但由于認(rèn)真科學(xué)的分析、深思熟慮的設(shè)計(jì)以及全面嚴(yán)謹(jǐn)?shù)臏y(cè)試能不夠，使系統(tǒng)在一定程度上不具備足夠高的可靠程度，不能很好地使網(wǎng)絡(luò)信息被破壞幾率降到最小或被破壞的信息能接近完整地恢復(fù)。

（四）應(yīng)用平臺(tái)的安全存在隱患。應(yīng)用平臺(tái)是指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用服務(wù)軟件，如數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服務(wù)器、WEB服務(wù)器等。目前，各種服務(wù)器管理系統(tǒng)本身的安全等級(jí)要達(dá)到與操作系統(tǒng)安全等級(jí)相當(dāng)?shù)募?jí)別，特別是數(shù)據(jù)庫(kù)服務(wù)器，應(yīng)具有對(duì)主體（人、進(jìn)程）識(shí)別和對(duì)客體（數(shù)據(jù)表、數(shù)據(jù)分片）進(jìn)行標(biāo)注，劃分安全級(jí)別和范疇，實(shí)現(xiàn)由系統(tǒng)對(duì)主、客體之間的訪問(wèn)關(guān)系進(jìn)行強(qiáng)制性控制的能力還不足;口令使用方式限制和對(duì)有關(guān)數(shù)據(jù)庫(kù)安全的事件進(jìn)行跟蹤、記錄、報(bào)警和處理的能力等安全特征存在明顯漏洞。由于應(yīng)用平臺(tái)的系統(tǒng)非常復(fù)雜，除了要求應(yīng)用服務(wù)器具備自身的安全服務(wù)外，通常還要采用其它多種技術(shù)手段，來(lái)增強(qiáng)應(yīng)用平臺(tái)的安全性。但是目前存在的隱患，對(duì)應(yīng)用系統(tǒng)要利用應(yīng)用平臺(tái)提供的服務(wù)來(lái)保證基本安全，如通信內(nèi)容安全、通信雙方的認(rèn)證和審計(jì)等，缺乏安全支撐平臺(tái)，根據(jù)服務(wù)接口、協(xié)議在應(yīng)用程序中開(kāi)發(fā)調(diào)用這些服務(wù)的模塊都有一定程度的技術(shù)影響。

此外，微軟公司自2014年期停止對(duì)Windows XP操作系統(tǒng)的支持服務(wù)。目前金融業(yè)各級(jí)機(jī)構(gòu)計(jì)算機(jī)終端，尤其是業(yè)務(wù)網(wǎng)和辦公網(wǎng)終端，仍大量使用Windows XP，在運(yùn)行中，新的系統(tǒng)漏洞需要新的補(bǔ)丁進(jìn)行修復(fù)，但隨著Windows XP停止安全更新，新的安全漏洞將無(wú)法得到補(bǔ)丁修復(fù)。

二、靜態(tài)分析方法的特點(diǎn)及局限性

（一）靜態(tài)分析方法的特點(diǎn)。靜態(tài)分析作為一類高效的程序分析方法，受到越來(lái)越多的重視。當(dāng)用戶給出語(yǔ)言的抽象語(yǔ)義以后，該類方法能夠自動(dòng)發(fā)現(xiàn)滿足所有可能（不一定實(shí)際存在）執(zhí)行狀態(tài)的軟件屬性。靜態(tài)分析方法，能夠非?？斓赝瓿蓪?duì)源代碼的檢查且檢查者不需要了解程序的實(shí)現(xiàn)方式，不需要掌握運(yùn)行和部署情況，故非常適合自動(dòng)化的程序源程序緩沖區(qū)溢出檢查。其特點(diǎn)是安全可靠（可以在代碼部署運(yùn)行前消除軟件代碼中的安全缺陷）、高效快速（整個(gè)過(guò)程可以自動(dòng)完成且只需要很短的時(shí)間）、不需要檢查者參與（檢查者只需要執(zhí)行檢查程序，不需要事先了解目標(biāo)代碼的設(shè)計(jì)及實(shí)現(xiàn)細(xì)節(jié)即可完成對(duì)目標(biāo)代碼的檢查，甚至能夠一次完成針對(duì)多個(gè)文件/目錄進(jìn)行檢查）、能夠較全面的覆蓋系統(tǒng)代碼（靜態(tài)檢測(cè)工具可避免開(kāi)發(fā)及測(cè)試人員手工檢查程序源代碼或動(dòng)態(tài)分析程序時(shí)因一些人為因素漏掉不明顯的漏洞，能夠根據(jù)提供的先驗(yàn)知識(shí)完整的對(duì)所有源程序進(jìn)行檢查）。

（二）靜態(tài)分析方法的優(yōu)越性。作為一類高效的程序分析方法，靜態(tài)分析技術(shù)一直是編譯技術(shù)的核心，受到越來(lái)越多的重視。當(dāng)用戶給出語(yǔ)言的抽象語(yǔ)義以后，該類方法能夠自動(dòng)發(fā)現(xiàn)滿足所有可能（不一定實(shí)際存在）執(zhí)行狀態(tài)的軟件屬性。相對(duì)于傳統(tǒng)的人工代碼審查技術(shù)以及動(dòng)態(tài)測(cè)試、形式化驗(yàn)證方法來(lái)說(shuō)，具有自動(dòng)遍歷檢查、分析快速、并且可以檢驗(yàn)無(wú)窮狀態(tài)系統(tǒng)的優(yōu)點(diǎn)。

靜態(tài)分析框架如圖1所示。大多數(shù)情況下，靜態(tài)分析的輸入都是源程序代碼，只有極少數(shù)情況會(huì)使用目標(biāo)代碼。靜態(tài)分析越來(lái)越多地被應(yīng)用到程序優(yōu)化、軟件安全性缺陷檢測(cè)等領(lǐng)域。

（三）靜態(tài)分析方法的局限性。靜態(tài)分析技術(shù)的類別有詞法分析和語(yǔ)法分析、靜態(tài)切片、圖形化方法等。從實(shí)現(xiàn)方法來(lái)說(shuō)，最簡(jiǎn)單的靜態(tài)檢測(cè)技術(shù)是使用與UNIX平臺(tái)下的grep類似的軟件工具，檢索源代碼中可能存在的不安全的相關(guān)庫(kù)函數(shù)的調(diào)用。其局限性為：誤報(bào)率高（不論是關(guān)鍵詞還是特征檢測(cè)方式，均是根據(jù)以往的經(jīng)驗(yàn)提煉出來(lái)的，這就必然會(huì)帶來(lái)是否適合當(dāng)前項(xiàng)目，是否有效等問(wèn)題。為盡量適用所有項(xiàng)目，一般的靜態(tài)分析都會(huì)帶有一個(gè)很大的特征庫(kù)或詞典，這些庫(kù)是不斷擴(kuò)充的，帶來(lái)的結(jié)果就是檢測(cè)的誤報(bào)率非常高）、結(jié)果集大（同樣，因?yàn)樽值浠蛱卣骷容^大，故檢測(cè)的結(jié)果集必然很大，對(duì)于產(chǎn)生的這個(gè)結(jié)果集，使檢測(cè)人員容易麻痹，即所謂的“狼來(lái)了”的效應(yīng)，并且設(shè)計(jì)檢測(cè)的規(guī)則集或詞典是比較困難的）、針對(duì)性不強(qiáng)（靜態(tài)分析方法，重點(diǎn)是分析代碼的“特征”，關(guān)心的是程序的實(shí)現(xiàn)特性，而不關(guān)心程序的功能，故不會(huì)有針對(duì)性的進(jìn)行檢查，更不會(huì)有針對(duì)功能及程序結(jié)構(gòu)的分析）。

三、應(yīng)用安全性缺陷分析技術(shù)的路徑

（一）基于約束特征匹配的安全性缺陷分析技術(shù)的主要思想是將靜態(tài)分析方法應(yīng)用到安全漏洞的檢測(cè)任務(wù)中，用整數(shù)約束問(wèn)題來(lái)表述安全性缺陷檢測(cè)問(wèn)題，并運(yùn)用圖論技術(shù)構(gòu)造一個(gè)有效的算法來(lái)求解這些整數(shù)約束。操作系統(tǒng)直接管理計(jì)算機(jī)信息資源，所以操作系統(tǒng)的安全是整個(gè)信息系統(tǒng)安全的基礎(chǔ)。沒(méi)有操作系統(tǒng)安全，就不可能真正解決數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全和其它應(yīng)用軟件的安全問(wèn)題。針對(duì)靜態(tài)分析方法的局限性，以緩沖區(qū)溢出缺陷檢測(cè)為例，在基于操作系統(tǒng)源代碼靜態(tài)分析方法的基礎(chǔ)上，提出一種根據(jù)整數(shù)范圍限制分析的方法改進(jìn)而來(lái)的新方法，稱之為基于約束特征匹配的安全性缺陷分析技術(shù)，其能夠提高傳統(tǒng)靜態(tài)分析的準(zhǔn)確性和效率，為確保操作系統(tǒng)的安全提出解決路徑。

（二）構(gòu)建安全性缺陷數(shù)據(jù)庫(kù)。操作系統(tǒng)安全性缺陷分析系統(tǒng)可以通過(guò)對(duì)可執(zhí)行程序的分析理解，挖掘操作系統(tǒng)的脆弱點(diǎn)，為修補(bǔ)、反制及利用等相應(yīng)安全措施提供線索和依據(jù)，最終達(dá)到增強(qiáng)操作系統(tǒng)的可控性，提高系統(tǒng)的主動(dòng)防護(hù)、信息對(duì)抗能力的目的?？梢詫?duì)一個(gè)特定程序的安全脆弱點(diǎn)從多方面進(jìn)行分類，從程序的用戶群體、程序的數(shù)據(jù)訪問(wèn)、程序的作用范圍、脆弱點(diǎn)的觸發(fā)條件、脆弱點(diǎn)的執(zhí)行類型、脆弱點(diǎn)的生命周期等多個(gè)角度關(guān)聯(lián)分析脆弱點(diǎn)特征，建立針對(duì)不同操作系統(tǒng)的脆弱點(diǎn)數(shù)據(jù)庫(kù)，實(shí)現(xiàn)對(duì)脆弱點(diǎn)數(shù)據(jù)庫(kù)的綜合管理。同時(shí)，鑒于目前大部分應(yīng)用系統(tǒng)在操作系統(tǒng)為Windows XP的計(jì)算機(jī)終端上具有良好的兼容性表現(xiàn)的現(xiàn)實(shí)，在高版本的操作系統(tǒng)環(huán)境，可同步對(duì)現(xiàn)有應(yīng)用系統(tǒng)進(jìn)行兼容性改造，確保終端操作系統(tǒng)升級(jí)不影響現(xiàn)有應(yīng)用系統(tǒng)安全運(yùn)行。

（三）有效利用安全性缺陷技術(shù)。源代碼的安全性缺陷利用和驗(yàn)證是通過(guò)構(gòu)造驗(yàn)證用例，對(duì)安全性缺陷進(jìn)行模擬攻擊，可以驗(yàn)證安全性缺陷檢測(cè)結(jié)果的有效性以及評(píng)估安全性缺陷的威脅程度。如構(gòu)造一個(gè)測(cè)試用例，當(dāng)kadmind啟動(dòng)并運(yùn)行時(shí)，對(duì)其運(yùn)行進(jìn)程的附著，然后再啟動(dòng)認(rèn)證服務(wù)前端程序kadmin。發(fā)現(xiàn)通過(guò)運(yùn)行測(cè)試用例，可以導(dǎo)致kadmind的拒絕服務(wù)。可搭建一個(gè)遠(yuǎn)程攻擊環(huán)境，在網(wǎng)絡(luò)中，由一臺(tái)攻擊主機(jī)向kerberos認(rèn)證服務(wù)器發(fā)起遠(yuǎn)程攻擊。當(dāng)使用上述驗(yàn)證用例進(jìn)行攻擊時(shí)，可以成功利用該脆弱點(diǎn)滲透入Kerberos認(rèn)證服務(wù)器中。

（四）實(shí)現(xiàn)安全性缺陷檢測(cè)功能。操作系統(tǒng)安全性缺陷分析系統(tǒng)可以實(shí)現(xiàn)靈活部署，最大限度地保障系統(tǒng)的安全。構(gòu)建專門針對(duì)不同系統(tǒng)脆弱點(diǎn)數(shù)據(jù)庫(kù)，能夠?qū)?nèi)核模塊，設(shè)備驅(qū)動(dòng)和安全認(rèn)證程序進(jìn)行脆弱點(diǎn)掃描，檢查系統(tǒng)是否存在已知安全性缺陷問(wèn)題，顯示掃描后結(jié)果。程序安全性缺陷檢測(cè)是能夠?qū)崿F(xiàn)自動(dòng)檢測(cè)和發(fā)現(xiàn)源代碼中的存在安全缺陷的系統(tǒng)函數(shù)，給出統(tǒng)計(jì)結(jié)果。針對(duì)疑似脆弱點(diǎn)，結(jié)合靜態(tài)解析，流視圖分析和安全性缺陷利用驗(yàn)證等功能，對(duì)疑似脆弱點(diǎn)進(jìn)行進(jìn)一步的分析和驗(yàn)證，利用流視圖精簡(jiǎn)技術(shù)生成專門針對(duì)可疑函數(shù)的調(diào)用關(guān)系圖，幫助安全分析人員對(duì)疑似脆弱點(diǎn)進(jìn)行準(zhǔn)確的判定。

（五）應(yīng)用操作系統(tǒng)安全性缺陷分析系統(tǒng)。在不同檢測(cè)實(shí)驗(yàn)中，原型系統(tǒng)均能良好地工作。不同程序的安全性缺陷數(shù)量，其中低等級(jí)安全性缺陷是不會(huì)發(fā)生溢出的安全性缺陷，僅提示程序員分析時(shí)需要注意;高等級(jí)安全性缺陷則是非?？赡馨l(fā)生溢出的脆弱點(diǎn)，需要引起特別關(guān)注。為此，在了解操作系統(tǒng)安全性缺陷分析系統(tǒng)的若干特性的基礎(chǔ)上，操作系統(tǒng)安全性缺陷分析系統(tǒng)基本滿足針對(duì)操作系統(tǒng)的安全檢測(cè)和防護(hù)需求，能夠?qū)Σ僮飨到y(tǒng)的核心程序、系統(tǒng)結(jié)構(gòu)進(jìn)行軟件理解，從而發(fā)現(xiàn)系統(tǒng)的安全問(wèn)題，并且能夠?qū)Πl(fā)現(xiàn)的安全問(wèn)題進(jìn)行分析和驗(yàn)證，為進(jìn)一步針對(duì)操作系統(tǒng)安全性缺陷實(shí)施的修補(bǔ)、反制及利用等安全措施提供了有力支持。

針對(duì)存量計(jì)算機(jī)終端操作系統(tǒng)問(wèn)題，建議通過(guò)適當(dāng)方式協(xié)商微軟公司購(gòu)買XP至WIN7/WIN8升級(jí)包或WIN7/WIN8安裝包，下發(fā)分支機(jī)構(gòu)使用，解決原有計(jì)算機(jī)終端操作系統(tǒng)的安全性問(wèn)題。

參考文獻(xiàn)

[1]安喜鋒，李偉華，薛靜.操作系統(tǒng)安全機(jī)制復(fù)合行為模型掘取技術(shù)研究[J].計(jì)算機(jī)應(yīng)用研究，2009，（1）：314-316。

[2]孔德光，鄭烇，陳超，帥建梅，朱明，戴威.基于數(shù)據(jù)融合的源代碼靜態(tài)分析漏洞檢測(cè)技術(shù)[J].小型微型計(jì)算機(jī)系統(tǒng)，

2008，（6）：1109-1112。

[3]宋明秋，王磊磊，于博.基于生命周期理論的安全漏洞時(shí)間風(fēng)險(xiǎn)研究[J].計(jì)算機(jī)工程，2011，（1）：131-133。

[4]王凱，孔祥營(yíng).軟件靜態(tài)分析工具評(píng)析[J].指揮控制與仿真，2011，（2）：109-111。

[5]張林，曾慶凱.軟件安全漏洞的靜態(tài)檢測(cè)技術(shù)[J].計(jì)算機(jī)工程，2008，（12）：157-159。

Software Security Flaws Static Analysis Technology and Its Application in Financial Industry Based on the Constraint Feature Matching

WANG Nan

（Yangling Sub-branch PBC， Yangling Shaanxi 712100）

Abstract：With the rapid development of internet， problems of the information security are emerging， and attack activities of viruses and malicious code bring huge threats to the computer system. Besides the hacker attack， that there exist the security flaws in the computer and software systems， especially in the process of design， development and maintenance of the operating system are main causes. Therefore， the security flaws analysis and testing of the operating system is of significance to ensure the safety of the computer system especially for the financial industry which widely uses the computer operating system. Based on the static analysis technology of the operating system source code， the paper explores the application of the static analysis to the financial system security and the implementation path of corresponding programs of the security flaws analysis system of the operating system.

Keywords： static analysis; operating system; flaw finding; technology application

責(zé)任編輯、校對(duì)：楊振峰

[4]王凱，孔祥營(yíng).軟件靜態(tài)分析工具評(píng)析[J].指揮控制與仿真，2011，（2）：109-111。

[5]張林，曾慶凱.軟件安全漏洞的靜態(tài)檢測(cè)技術(shù)[J].計(jì)算機(jī)工程，2008，（12）：157-159。

Software Security Flaws Static Analysis Technology and Its Application in Financial Industry Based on the Constraint Feature Matching

WANG Nan

（Yangling Sub-branch PBC， Yangling Shaanxi 712100）

Abstract：With the rapid development of internet， problems of the information security are emerging， and attack activities of viruses and malicious code bring huge threats to the computer system. Besides the hacker attack， that there exist the security flaws in the computer and software systems， especially in the process of design， development and maintenance of the operating system are main causes. Therefore， the security flaws analysis and testing of the operating system is of significance to ensure the safety of the computer system especially for the financial industry which widely uses the computer operating system. Based on the static analysis technology of the operating system source code， the paper explores the application of the static analysis to the financial system security and the implementation path of corresponding programs of the security flaws analysis system of the operating system.

Keywords： static analysis; operating system; flaw finding; technology application

責(zé)任編輯、校對(duì)：楊振峰

[4]王凱，孔祥營(yíng).軟件靜態(tài)分析工具評(píng)析[J].指揮控制與仿真，2011，（2）：109-111。

[5]張林，曾慶凱.軟件安全漏洞的靜態(tài)檢測(cè)技術(shù)[J].計(jì)算機(jī)工程，2008，（12）：157-159。

Software Security Flaws Static Analysis Technology and Its Application in Financial Industry Based on the Constraint Feature Matching

WANG Nan

（Yangling Sub-branch PBC， Yangling Shaanxi 712100）

Abstract：With the rapid development of internet， problems of the information security are emerging， and attack activities of viruses and malicious code bring huge threats to the computer system. Besides the hacker attack， that there exist the security flaws in the computer and software systems， especially in the process of design， development and maintenance of the operating system are main causes. Therefore， the security flaws analysis and testing of the operating system is of significance to ensure the safety of the computer system especially for the financial industry which widely uses the computer operating system. Based on the static analysis technology of the operating system source code， the paper explores the application of the static analysis to the financial system security and the implementation path of corresponding programs of the security flaws analysis system of the operating system.

Keywords： static analysis; operating system; flaw finding; technology application

責(zé)任編輯、校對(duì)：楊振峰