信息安全環境下計算機軟件的開發研究

王建齊

摘 要：文章首先闡述了計算機軟件開發過程，進一步針對現階段的計算機軟件信息安全風險展開分析，并從多個角度圍繞信息安全環境展開計算機軟件開發措施探討，旨在加強計算機軟件信息安全，規避數據泄露風險。

關鍵詞：信息安全;計算機軟件;開發

0 引言

在惡意入侵、信息竊聽、病毒植入、節點冒充等信息安全攻擊下，計算機軟件開發過程中始終受到安全威脅，從國家互聯網應急中心發布的《2019年中國互聯網網絡安全報告》中發現，僅2019年約有4萬臺計算機受到信息安全攻擊，在國家信息安全技術保障下，捕獲約6 200萬個惡意程序，涉及各行各業信息數據，不難發現加強計算機軟件開發信息安全保障已迫在眉睫。

1 計算機軟件開發過程

計算機軟件開發中信息安全保障過程主要可分為安全需求分析、軟件保障設計、安全編碼測試3個階段。安全需求分析需階段現階段信息風險深入分析與研究，以信息安全為軟件開發核心，基于攻擊者、用戶兩個角度考慮軟件功能與安全漏洞，由開發人員結合安全技術展開軟件風險評估，針對軟件默認功能展開配置修正，最大程度保障軟件安全，并實現防患于未然。軟件保障設計主要需結合安全需求與風險展開全方位考慮，采取先進安全技術實現有效規避，主要從安全體系結構、安全協議設計、功能板塊銜接等方面入手，盡可能圍繞信息安全實現詳細設計，為后續編碼工作奠定基礎，對安全威脅展開針對性設計。安全編碼測試以編譯、審核、驗證與過濾為主，通常情況下采取滲透測試或模糊測試展開軟件安全性評估工作，需針對軟件開發中所涉及輸入數據進行全面檢測，與此同時為保障軟件開發過程安全，需于測試前進行系統備份，并結合測試方法制定系統恢復方案，最大化保障計算機信息安全[1]。

2 計算機軟件的信息安全風險

在信息化時代背景下已進入知識經濟，數據與信息能夠切實提升企業經濟利益，由此催生出各類信息安全攻擊、數據竊取等不法行為，對計算機軟件信息安全造成巨大沖擊。近年來計算機軟件常見信息安全風險主要分為以下幾點：第一，病毒攻擊。主要為不法人員借助惡意程序與代碼隱藏在電子郵件或網絡鏈接中，當計算機軟件用戶訪問時則會造成病毒程序傳遞，在病毒攻擊下發生信息篡改與泄露問題，主要發生于計算機軟件的加密保障存在缺陷的情況下，信息傳輸安全系數過低極易受到網絡病毒侵害，信息內容不法竊取幾率增高。第二，軟件安全漏洞。隨著互聯網的普及，計算機軟件成為人們日常生活工作中必不可少的存在，同時在信息化全面滲透下，需借助計算機軟件完成的工作種類逐漸增多，這就導致計算機軟件自身安全漏洞被放大，為信息安全事故埋下安全隱患，安全保護措施的缺乏對于非法入侵與信息安全具有推動作用，對計算機軟件安全造成不利影響[2]。第三，開發技術落后。主要由計算機軟件開發技術導致的安全問題，近年來科學技術迅猛發展，開發技術更新迭代較快，開發技術的落后極易產生信息安全問題。第四，軟件配置不合理。

3 基于信息安全環境的計算機軟件開發措施探討

為全面增強計算機軟件信息安全質量，規避各類信息安全風險，可從信息加密技術全面應用、加強軟件病毒入侵檢測、軟件開發技術輔助優化、軟件開發人員素質提升4個方面展開計算機軟件開發。

3.1 信息加密技術全面應用

近年來信息安全問題主要為信息泄露與竊取，信息篡改與攔截等，在計算機軟件開發過程中，應采取有效的信息加密技術實現內部信息保障，信息加密技術主要從用信息傳輸、讀取、存儲中增強安全指數，以此保障信息完整性、保密性。在信息加密技術應用可實現信息性質轉變，由明文轉變為密文，在特定手段下僅由信息接收者讀取，若在傳輸過程中存在信息攔截等攻擊行為，需在防護措施攻破基礎上進行信息專項解密，極大降低信息泄露幾率。在實際軟件開發加密技術中，主要借助加密認證技術、隧道傳輸技術、密鑰安全技術進行信息安全防護。例如：加密認證技術主要借助加密計算規避泄露竊聽等安全事故，在實現信息加密的同時，兼顧網絡入侵阻擋，可增設身份認證系統，在IP通訊地址保障下實現傳輸雙方認證，在AH網絡協議下保障信息完整，同時借助ESP協議進一步加強軟件信息加密索引與驗證，可由信息傳輸雙方制定加密序列，提高加密強度;隧道傳輸技術能夠基于計算機軟件實現數據封裝保密，于傳輸過程運用第三層隧道，由公用IP網絡保留信息傳輸源地址，以此實現隱藏自身IP地址，實現信息來源加密的作用，相較于加密認證技術，隧道技術主要用于實現信息傳輸雙方的身份保密，進一步補充安全功能;密鑰安全技術是計算機軟甲開發中最為常用的信息加密技術，可進一步分為私鑰加密、公共密鑰，私鑰加密技術由信息傳輸雙方共同設定私有密鑰，而公共密鑰技術則是自動生成雙方密鑰，并于公共區存放公鑰，需在公鑰與密鑰共同作用下解讀信息，繼而實現全面化計算機軟件的信息安全保障。

3.2 加強軟件病毒入侵檢測

病毒入侵檢測主要針對軟件中各關鍵點間的聯系展開檢測，以此發現計算機軟件中是否存在安全違規編碼與漏洞，并針對軟件運行記錄了解安全保障層次，并對已攔截網絡攻擊行為展開分析，與此同時在軟件病毒入侵檢測輔助下可進一步完善防火墻配置，實現威脅數據與攻擊行為的阻擋，提高軟件內部安全控制能力，繼而保障軟件信息安全。進一步來看，病毒入侵檢測主要從信息收集、數據分析、結果處理三個方面實現軟件信息安全防護。首先圍繞網絡數據與軟件用戶行為展開分析，對于不同主機、不同網段、不同軟件實現信息收集，并結合實際情況適當擴大檢測范圍，此時需保障軟件病毒入侵檢測系統完整性，規避信息收集錯誤、錯改信息等問題，并實現信息數據的存儲、處理分開審計。其次針對病毒入侵檢測中的異常檢測展開分析，了解其與正常操作間的差異，若存在較大偏離則可判定為病毒入侵，同時針對誤用檢測構建特征庫，進一步了解非正常操作與異常檢測操作差異，以此保障病毒入侵全面化與科學化。

3.3 軟件開發技術輔助優化

軟件開發作為計算機應用中關鍵性環節，應結合現代化發展方向實現創新發展，從技術層面保障計算機安全。在軟件開發過程中，技術應用與計算機網絡相輔相成，應于開發過程中借助技術優化提升軟件性能，繼而實現信息安全環境下的高質量計算機軟件開發。為保障軟件開發質量與信息安全效果，應借助多元化方式輔助軟件開發，例如：采取軟件生命周期法實現時間劃分，將計算機軟件開發項目劃分為多個階段，通常情況下分為軟件定義、可行性分析、系統化設計、編碼調試、驗收運行、使用與維護6個階段，在信息安全角度下，可針對各個階段周期進行安全技術應用，與此同時各階段可采取不同信息安全技術，以此提高 軟件生命周期法開發中的針對性與安全性;結構化法主要面對數據展開軟件開發，針對軟件性能進行分解，結合系統數據展開進一步處理，并在數據流圖輔助下完善開發功能模型，在結構法的應用下可實現開發過程的逐層分解，由于其主要處理數據領域內容，在大規模軟件開發項目中并不適用;除此之外對于軟件開發者并未確認基礎性能或存在需求變化時，可采取原型化法進行軟件開發，保障安全性的同時，可極大提高開發效率與質量[3]。

3.4 軟件開發人員素質提升

對于計算機軟件開發而言，在實現高強度信息安全過程中，需全面保障計算機軟件開發人員綜合素質，其專業程度可直接影響實際開發效果與信息安全保護質量，除基本軟件開發基本技術外，需緊跟時代發展潮流提升自我，以此保障新時代計算機軟件開發信息安全，與此同時對于軟件開發人員而言，職業道德是基礎性素養，需在開發學習基礎上提升網絡安全認知。近年來在經濟利益驅動下存在惡意競爭現象，軟件開發人員需恪守職業道德規則，嚴格遵守法律規章制度，規避由軟件開發人員造成的信息安全事故。例如：在軟件開發人員培訓與學習過程中，結合理論技術與實踐調整培訓內容，同時引導開發人員展開安全事故案例分析，可重點選擇危害較大、損失嚴重的信息安全事故，以此引起軟件開發人員對于信息安全的重視，并在潛移默化中增強軟件開發人員道德素養，實現開發技術與職業道德的同向發展。為進一步增強軟件開發信息安全效果，可采取項目開發前會議方式，有針對性的結合計算機軟件開發類型與特性展開信息安全引導，針對軟件安全關鍵環節重點分析，對于可能存在的安全風險與隱患制定可行性策略，繼而實現計算機軟件開發的全面安全保障。

4 結語

綜上所述，信息安全保障應實現計算機軟件開發的全過程滲透，需重點針對現階段常見信息安全問題展開應對，并借助加密認證、隧道傳輸、密鑰安全等技術實現高強度軟件信息加密，通過加強軟件病毒入侵檢測展開信息安全防范，并在保障軟件開發人員綜合素質的基礎上實現開發技術的輔助優化，全面保障計算機軟件開發的信息安全，促進計算機軟件開發事業安全發展。

[參考文獻]

[1]李曉琳.安全技術在計算機軟件開發中的價值和應用[J].信息與電腦（理論版），2020（18）：88-89.

[2]賈斌，代云皓.試論在計算機軟件開發中數據庫安全設計的應用實踐[J].電腦知識與技術，2020（9）：1-2.

[3]王輝.信息安全背景下計算機軟件技術的開發與使用對策[J].數字技術與應用，2020（1）：175-176.

（編輯 傅金睿）