时间2011年11月16日下午地点新世纪日航酒店内容软件评测技术分.doc

时间：2011年11月16日下午 地点：新世纪日航酒店 内容：软件评测技术分论坛 主持人：尊贵的各位贵宾，各位专家，各位来宾，下午好。有中国软件评测中间承办的中国软件大会，2011年论坛软件测评技术分论坛现在开始。我代表中国软件评测中心感谢各位嘉宾，能够亲临本届分论坛的现场，下面我想大家介绍今天演讲的嘉宾，他们是北京大学计算机研究所副所长邹维，微软资深安全技术经理薛锋，高速铁路网络管理教育部工程研究中心主任、北京交通大学教授刘峰，软件与服务事业部技术总监马腾飞，市场总监孙海，中国软件评测中心金融电信测试部总经理罗文兵。2011年，对我国信息产业来说，是一个相当特殊的年份，他是信息通讯技术，不断的更新换代的变革之年，物联网，移动互联网，云计算等新一代信息技术产业成为我国重点发的战略性新型产业，完善相应的标准，提升研发???力，提高软件质量，刻不容缓，本届分论坛的具备就是致力于从软件测试的角度，与知名专家，软件企业用，用户代表等一同探讨中国软件测试行业的发展前景和技术趋势。 众所周知，软件系统的安全性至关重要，安全漏洞导致的重大事故令人触目惊心，实施系统安全测评，并及时的发现和修复安全漏洞是保障系统安全性的重要手段，下面用热烈的掌声有请北京大学计算机研究所副所长邹维，进行安全漏洞，与软件测试的主题演讲。 邹维：谢谢主持人，各位来宾下午好，我想在这里用一点时间给各位交流一下，安全漏洞与软件测试。那么从几个方面安全漏洞以及软件测试的关系，还有软件安全测试面临的挑战和机遇，以及软件安全漏洞发掘的技术，我们在座很多的同事都听说过这样一个病毒，在计算机安全这个领域，是一个里程碑，为什么这么讲呢？就是虽然他只是一个计算机病毒，但是他已经达到武器级的水平，除了这个病毒本身非常精致和复杂之外，他首次突破了从现实世界到虚拟世界的界限，就是说从互联网上可以深入到工业控制系统这么一个物理的实现，这一件事情也引起了国际上高度的关注。他首次的发出的攻击对象是给伊朗，有这么几个特点，我们在这里要谈的是他和安全漏洞是什么关系呢？就是实际上这么一个威力很大的病毒，他所利用的手段就是软件安全的漏洞和组织方面的漏洞。 他一共使用了5个明日漏洞，成功的利用移动存储键进入到目标性非常强，最终能够到达他的目的地，就是最终控制的部分，并且能够在工业的控制的系统里面，产生他的作用。所以这还有一个意义，就是说我们在座的很多测试的工程师，在测试一些大型系统的时候，我们都有一个观念，就是说这个系统如果和互联网是物理隔离的，应该说相对是安全的，但是实际上是可能被突破的。就是他是一个非常典型的例子。 所以说安全漏洞应该是分这么几个方面，有硬件的，软件的，还有网络的，以及人员本身的漏洞，还有场地的，还有就是组织上的漏洞，那么刚才他实际上利用软件的漏洞，什么是利用组织上的漏洞，就是他很容易试探各个机器缺什么密码，因为绝大部分的，超过80%多的系统里面缺失密码没有修改过，这个不是软件上的漏洞是管理上的漏洞，用这样的方式很容易成功。今天的会是关于软件方面的，所以我们重点看软件安全漏洞。 软件安全漏洞他的定义就是可以被攻击者用于违反目标安全策略的软件的缺陷，所以他有两个特点，可以被攻击者利用，另外他是一个软件缺陷。那么这里提到的几个软件常见的漏洞类型，这个地方就是暂时不做重点的介绍，我们一起看一下软件漏洞产生的原因，地域性软件规模性的增大，还有就是软件本身越来越增大，还有软化价格的安全性考虑不足，包括模块间的偶合。还有一个就是随着这个计算平台的多样化，像电脑移动终端，嵌入式移动，这些计算资源有限的一些社会上的我们进行的软件运行的时候，不得不做一些催化，就是他的安全防护都会出现一些问题。 所以这些方面都会产生安全漏洞，这是一个软件漏洞，近年来增长的情况，可以看得出增长的非常迅速的，下面我们看第二个问题，就是软件安全漏洞的发掘和软件测试，我们看软件漏洞的挖掘，SVA在我们后面的介绍就是简称漏洞挖掘，发现软件中潜藏的安全漏洞的过程，那我们把这个问题抽象的看一下，实际上一个程序他一般会有输入，同时他会产生一些行为。我们在这样的模型下，我们看一下漏洞挖掘里面两种最简单的途径分析做的事情，就是近代分析关注是程序本身，就是你相近一切办法去了解这个控制流的信息，就是把中心的内容恢复出来，根据假象的一些输入推断程序的行为，这样一个过程就是静态分析的过程。 相对看，动态分析是我们相对来讲是把这个程序看作是黑盒子或者是灰盒子，然后我们生成很多的输入，通过这些输入，然后产生的程序行为我们反过来推断这个程序内部的结构，这个叫动态的分析。最基本的思想就是这个，软件测试和漏洞挖掘两者有什么区别呢？软件测试在座的各位都是专家，我们发现软件是否满足投资者