信息安全環(huán)境下計算機軟件的開發(fā)研究

王建齊

摘 要：文章首先闡述了計算機軟件開發(fā)過程，進一步針對現(xiàn)階段的計算機軟件信息安全風險展開分析，并從多個角度圍繞信息安全環(huán)境展開計算機軟件開發(fā)措施探討，旨在加強計算機軟件信息安全，規(guī)避數(shù)據(jù)泄露風險。

關(guān)鍵詞：信息安全;計算機軟件;開發(fā)

0 引言

在惡意入侵、信息竊聽、病毒植入、節(jié)點冒充等信息安全攻擊下，計算機軟件開發(fā)過程中始終受到安全威脅，從國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2019年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》中發(fā)現(xiàn)，僅2019年約有4萬臺計算機受到信息安全攻擊，在國家信息安全技術(shù)保障下，捕獲約6 200萬個惡意程序，涉及各行各業(yè)信息數(shù)據(jù)，不難發(fā)現(xiàn)加強計算機軟件開發(fā)信息安全保障已迫在眉睫。

1 計算機軟件開發(fā)過程

計算機軟件開發(fā)中信息安全保障過程主要可分為安全需求分析、軟件保障設(shè)計、安全編碼測試3個階段。安全需求分析需階段現(xiàn)階段信息風險深入分析與研究，以信息安全為軟件開發(fā)核心，基于攻擊者、用戶兩個角度考慮軟件功能與安全漏洞，由開發(fā)人員結(jié)合安全技術(shù)展開軟件風險評估，針對軟件默認功能展開配置修正，最大程度保障軟件安全，并實現(xiàn)防患于未然。軟件保障設(shè)計主要需結(jié)合安全需求與風險展開全方位考慮，采取先進安全技術(shù)實現(xiàn)有效規(guī)避，主要從安全體系結(jié)構(gòu)、安全協(xié)議設(shè)計、功能板塊銜接等方面入手，盡可能圍繞信息安全實現(xiàn)詳細設(shè)計，為后續(xù)編碼工作奠定基礎(chǔ)，對安全威脅展開針對性設(shè)計。安全編碼測試以編譯、審核、驗證與過濾為主，通常情況下采取滲透測試或模糊測試展開軟件安全性評估工作，需針對軟件開發(fā)中所涉及輸入數(shù)據(jù)進行全面檢測，與此同時為保障軟件開發(fā)過程安全，需于測試前進行系統(tǒng)備份，并結(jié)合測試方法制定系統(tǒng)恢復(fù)方案，最大化保障計算機信息安全[1]。

2 計算機軟件的信息安全風險

在信息化時代背景下已進入知識經(jīng)濟，數(shù)據(jù)與信息能夠切實提升企業(yè)經(jīng)濟利益，由此催生出各類信息安全攻擊、數(shù)據(jù)竊取等不法行為，對計算機軟件信息安全造成巨大沖擊。近年來計算機軟件常見信息安全風險主要分為以下幾點：第一，病毒攻擊。主要為不法人員借助惡意程序與代碼隱藏在電子郵件或網(wǎng)絡(luò)鏈接中，當計算機軟件用戶訪問時則會造成病毒程序傳遞，在病毒攻擊下發(fā)生信息篡改與泄露問題，主要發(fā)生于計算機軟件的加密保障存在缺陷的情況下，信息傳輸安全系數(shù)過低極易受到網(wǎng)絡(luò)病毒侵害，信息內(nèi)容不法竊取幾率增高。第二，軟件安全漏洞。隨著互聯(lián)網(wǎng)的普及，計算機軟件成為人們?nèi)粘Ｉ罟ぷ髦斜夭豢缮俚拇嬖?，同時在信息化全面滲透下，需借助計算機軟件完成的工作種類逐漸增多，這就導(dǎo)致計算機軟件自身安全漏洞被放大，為信息安全事故埋下安全隱患，安全保護措施的缺乏對于非法入侵與信息安全具有推動作用，對計算機軟件安全造成不利影響[2]。第三，開發(fā)技術(shù)落后。主要由計算機軟件開發(fā)技術(shù)導(dǎo)致的安全問題，近年來科學(xué)技術(shù)迅猛發(fā)展，開發(fā)技術(shù)更新迭代較快，開發(fā)技術(shù)的落后極易產(chǎn)生信息安全問題。第四，軟件配置不合理。

3 基于信息安全環(huán)境的計算機軟件開發(fā)措施探討

為全面增強計算機軟件信息安全質(zhì)量，規(guī)避各類信息安全風險，可從信息加密技術(shù)全面應(yīng)用、加強軟件病毒入侵檢測、軟件開發(fā)技術(shù)輔助優(yōu)化、軟件開發(fā)人員素質(zhì)提升4個方面展開計算機軟件開發(fā)。

3.1 信息加密技術(shù)全面應(yīng)用

近年來信息安全問題主要為信息泄露與竊取，信息篡改與攔截等，在計算機軟件開發(fā)過程中，應(yīng)采取有效的信息加密技術(shù)實現(xiàn)內(nèi)部信息保障，信息加密技術(shù)主要從用信息傳輸、讀取、存儲中增強安全指數(shù)，以此保障信息完整性、保密性。在信息加密技術(shù)應(yīng)用可實現(xiàn)信息性質(zhì)轉(zhuǎn)變，由明文轉(zhuǎn)變?yōu)槊芪?，在特定手段下僅由信息接收者讀取，若在傳輸過程中存在信息攔截等攻擊行為，需在防護措施攻破基礎(chǔ)上進行信息專項解密，極大降低信息泄露幾率。在實際軟件開發(fā)加密技術(shù)中，主要借助加密認證技術(shù)、隧道傳輸技術(shù)、密鑰安全技術(shù)進行信息安全防護。例如：加密認證技術(shù)主要借助加密計算規(guī)避泄露竊聽等安全事故，在實現(xiàn)信息加密的同時，兼顧網(wǎng)絡(luò)入侵阻擋，可增設(shè)身份認證系統(tǒng)，在IP通訊地址保障下實現(xiàn)傳輸雙方認證，在AH網(wǎng)絡(luò)協(xié)議下保障信息完整，同時借助ESP協(xié)議進一步加強軟件信息加密索引與驗證，可由信息傳輸雙方制定加密序列，提高加密強度;隧道傳輸技術(shù)能夠基于計算機軟件實現(xiàn)數(shù)據(jù)封裝保密，于傳輸過程運用第三層隧道，由公用IP網(wǎng)絡(luò)保留信息傳輸源地址，以此實現(xiàn)隱藏自身IP地址，實現(xiàn)信息來源加密的作用，相較于加密認證技術(shù)，隧道技術(shù)主要用于實現(xiàn)信息傳輸雙方的身份保密，進一步補充安全功能;密鑰安全技術(shù)是計算機軟甲開發(fā)中最為常用的信息加密技術(shù)，可進一步分為私鑰加密、公共密鑰，私鑰加密技術(shù)由信息傳輸雙方共同設(shè)定私有密鑰，而公共密鑰技術(shù)則是自動生成雙方密鑰，并于公共區(qū)存放公鑰，需在公鑰與密鑰共同作用下解讀信息，繼而實現(xiàn)全面化計算機軟件的信息安全保障。

3.2 加強軟件病毒入侵檢測

病毒入侵檢測主要針對軟件中各關(guān)鍵點間的聯(lián)系展開檢測，以此發(fā)現(xiàn)計算機軟件中是否存在安全違規(guī)編碼與漏洞，并針對軟件運行記錄了解安全保障層次，并對已攔截網(wǎng)絡(luò)攻擊行為展開分析，與此同時在軟件病毒入侵檢測輔助下可進一步完善防火墻配置，實現(xiàn)威脅數(shù)據(jù)與攻擊行為的阻擋，提高軟件內(nèi)部安全控制能力，繼而保障軟件信息安全。進一步來看，病毒入侵檢測主要從信息收集、數(shù)據(jù)分析、結(jié)果處理三個方面實現(xiàn)軟件信息安全防護。首先圍繞網(wǎng)絡(luò)數(shù)據(jù)與軟件用戶行為展開分析，對于不同主機、不同網(wǎng)段、不同軟件實現(xiàn)信息收集，并結(jié)合實際情況適當擴大檢測范圍，此時需保障軟件病毒入侵檢測系統(tǒng)完整性，規(guī)避信息收集錯誤、錯改信息等問題，并實現(xiàn)信息數(shù)據(jù)的存儲、處理分開審計。其次針對病毒入侵檢測中的異常檢測展開分析，了解其與正常操作間的差異，若存在較大偏離則可判定為病毒入侵，同時針對誤用檢測構(gòu)建特征庫，進一步了解非正常操作與異常檢測操作差異，以此保障病毒入侵全面化與科學(xué)化。

3.3 軟件開發(fā)技術(shù)輔助優(yōu)化

軟件開發(fā)作為計算機應(yīng)用中關(guān)鍵性環(huán)節(jié)，應(yīng)結(jié)合現(xiàn)代化發(fā)展方向?qū)崿F(xiàn)創(chuàng)新發(fā)展，從技術(shù)層面保障計算機安全。在軟件開發(fā)過程中，技術(shù)應(yīng)用與計算機網(wǎng)絡(luò)相輔相成，應(yīng)于開發(fā)過程中借助技術(shù)優(yōu)化提升軟件性能，繼而實現(xiàn)信息安全環(huán)境下的高質(zhì)量計算機軟件開發(fā)。為保障軟件開發(fā)質(zhì)量與信息安全效果，應(yīng)借助多元化方式輔助軟件開發(fā)，例如：采取軟件生命周期法實現(xiàn)時間劃分，將計算機軟件開發(fā)項目劃分為多個階段，通常情況下分為軟件定義、可行性分析、系統(tǒng)化設(shè)計、編碼調(diào)試、驗收運行、使用與維護6個階段，在信息安全角度下，可針對各個階段周期進行安全技術(shù)應(yīng)用，與此同時各階段可采取不同信息安全技術(shù)，以此提高 軟件生命周期法開發(fā)中的針對性與安全性;結(jié)構(gòu)化法主要面對數(shù)據(jù)展開軟件開發(fā)，針對軟件性能進行分解，結(jié)合系統(tǒng)數(shù)據(jù)展開進一步處理，并在數(shù)據(jù)流圖輔助下完善開發(fā)功能模型，在結(jié)構(gòu)法的應(yīng)用下可實現(xiàn)開發(fā)過程的逐層分解，由于其主要處理數(shù)據(jù)領(lǐng)域內(nèi)容，在大規(guī)模軟件開發(fā)項目中并不適用;除此之外對于軟件開發(fā)者并未確認基礎(chǔ)性能或存在需求變化時，可采取原型化法進行軟件開發(fā)，保障安全性的同時，可極大提高開發(fā)效率與質(zhì)量[3]。

3.4 軟件開發(fā)人員素質(zhì)提升

對于計算機軟件開發(fā)而言，在實現(xiàn)高強度信息安全過程中，需全面保障計算機軟件開發(fā)人員綜合素質(zhì)，其專業(yè)程度可直接影響實際開發(fā)效果與信息安全保護質(zhì)量，除基本軟件開發(fā)基本技術(shù)外，需緊跟時代發(fā)展潮流提升自我，以此保障新時代計算機軟件開發(fā)信息安全，與此同時對于軟件開發(fā)人員而言，職業(yè)道德是基礎(chǔ)性素養(yǎng)，需在開發(fā)學(xué)習(xí)基礎(chǔ)上提升網(wǎng)絡(luò)安全認知。近年來在經(jīng)濟利益驅(qū)動下存在惡意競爭現(xiàn)象，軟件開發(fā)人員需恪守職業(yè)道德規(guī)則，嚴格遵守法律規(guī)章制度，規(guī)避由軟件開發(fā)人員造成的信息安全事故。例如：在軟件開發(fā)人員培訓(xùn)與學(xué)習(xí)過程中，結(jié)合理論技術(shù)與實踐調(diào)整培訓(xùn)內(nèi)容，同時引導(dǎo)開發(fā)人員展開安全事故案例分析，可重點選擇危害較大、損失嚴重的信息安全事故，以此引起軟件開發(fā)人員對于信息安全的重視，并在潛移默化中增強軟件開發(fā)人員道德素養(yǎng)，實現(xiàn)開發(fā)技術(shù)與職業(yè)道德的同向發(fā)展。為進一步增強軟件開發(fā)信息安全效果，可采取項目開發(fā)前會議方式，有針對性的結(jié)合計算機軟件開發(fā)類型與特性展開信息安全引導(dǎo)，針對軟件安全關(guān)鍵環(huán)節(jié)重點分析，對于可能存在的安全風險與隱患制定可行性策略，繼而實現(xiàn)計算機軟件開發(fā)的全面安全保障。

4 結(jié)語

綜上所述，信息安全保障應(yīng)實現(xiàn)計算機軟件開發(fā)的全過程滲透，需重點針對現(xiàn)階段常見信息安全問題展開應(yīng)對，并借助加密認證、隧道傳輸、密鑰安全等技術(shù)實現(xiàn)高強度軟件信息加密，通過加強軟件病毒入侵檢測展開信息安全防范，并在保障軟件開發(fā)人員綜合素質(zhì)的基礎(chǔ)上實現(xiàn)開發(fā)技術(shù)的輔助優(yōu)化，全面保障計算機軟件開發(fā)的信息安全，促進計算機軟件開發(fā)事業(yè)安全發(fā)展。

[參考文獻]

[1]李曉琳.安全技術(shù)在計算機軟件開發(fā)中的價值和應(yīng)用[J].信息與電腦（理論版），2020（18）：88-89.

[2]賈斌，代云皓.試論在計算機軟件開發(fā)中數(shù)據(jù)庫安全設(shè)計的應(yīng)用實踐[J].電腦知識與技術(shù)，2020（9）：1-2.

[3]王輝.信息安全背景下計算機軟件技術(shù)的開發(fā)與使用對策[J].數(shù)字技術(shù)與應(yīng)用，2020（1）：175-176.

（編輯 傅金睿）