應用軟件安全性評價方法的有效性研究

2016-02-22 17:24:47魏可

西部皮革 2016年24期

關鍵詞：安全性有效性評價

魏可

(西華大學，四川成都 610000)

應用軟件安全性評價方法的有效性研究

魏可

(西華大學，四川成都 610000)

近年來，應用軟件安全性評價方法逐漸成為業內相關人士的關注和研究重點，國外一些企業內部設立了專門從事基于企業軟件產品的應用軟件安全小組。相比于國外一些較為成功的軟件安全性評價方法，國內企業對于應用軟件安全性能方面的意識相對薄弱。

應用軟件；安全；分析研究

1 應用軟件安全性評價的重要意義

互聯網技術的日新月異帶動了應用軟件的開發熱潮，各行各業以信息化建設為目標將應用軟件設計開發作為企業發展內容的主要部分。而應用軟件設計、開發、測試等環節需要以軟件安全性保障為主要目標。在應用軟件的設計階段、開發階段以及測試階段都需要憑借有效、合理、科學的應用軟件安全性評價體系以提升應用軟件在使用過程中的安全性能。

應用軟件的安全性包括網絡環境中的數據流通、應對故障時的連續運作保障、軟件產品以及平臺系統對攻擊的抵御和恢復能力、應用軟件的使用可信程度。對于應用軟件安全性研究的意義可以從應用軟件的安全風險進行反向分析：

首先，由于軟件開發行業的規模不斷壯大，市場環境中的應用軟件的數量迅速增長、種類愈發多元化，從功能性、應用性、專業性等特征方面具有所不同，勢必會造成應用軟件使用過程中安全漏洞和安全隱患數量、種類的本文由論文聯盟http://www.LWlM.COm收集整理增加。這些安全漏洞和安全隱患對應用軟件乃至系統平臺的負面影響可大可小，如若未能及時發現并予以補救，極有可能造成難以挽回的重大損失。因此，對于應用軟件安全性評價有效性的研究勢在必行。

其次，相比于網絡時代發展初期，如今的網絡環境趨向于開放、互連，應用軟件憑借端口、接口作為連接與信息數據流通的主要通道，流經接口和端口的數據信息富含不安全因素的可能性對于應用軟件的使用安全性會形成具有不確定性的威脅。正式由于應用軟件使用環境的影響，令其安全性直接面臨攻擊。如若缺乏安全性保障體系，將會大大挫傷應用軟件的功能性及整體性能。

再次，如今的應用軟件開發市場正朝著升級、擴充的方向發展，安全漏洞和安全風險也會更加凸顯。目前，國內外雖然對于應用軟件的安全性評價的研究有了一定的成績，但對于應用軟件安全性評價的量化標準及方法仍然處于初期研究水平。

2 應用軟件安全性評價有效性提升原則

結合實踐經驗，對于應用軟件安全性評價方法的改善方向集中于應用軟件安全性測試的研究，主要包括對應用軟件安全漏洞進行測試、功能性安全參數進行測試兩類研究方向。可采用的安全性評價方法是基于語言測試、基于故障的安全測試以及形式化安全測試的結果統計與分析。其中，對于應用軟件的屬性測試及模糊測試的安全性也需要引起重視。參考國外此領域的研究方向，將今后應用軟件的安全性評價方法按照定性、安全度量和用戶體驗三個發展方向予以闡述：

首先，為提升應用軟件安全性評價方法在實際運作中的有效性，基于實踐經驗筆者認為，沿用現階段安全性評價從業領域內的以主管定性評價方法為主的應用軟件安全性評價體系即可。采取人工核對、表格記錄的簡單方法從軟件應用層面予以評價，可以直觀反映應用軟件的使用水平。需要注意的是，今后對于此類安全性評價方法需要相關企業制定具有一致性的評價指標體系，以進一步減輕人工檢測、評價過程中的精力消耗以及可能產生的錯誤率。

其次，所謂應用軟件安全性評價的安全度量，可以理解為通過一些安全性能評估過程或手段，以偏序集中任選的某個參數值來代表應用軟件所處網絡平臺系統環境中的信息系統安全相關性質。也就是說，安全度量體現的是對應用軟件安全與否的信任程度的描述、比較。其評價過程及結果建立于度量模型的運行。未來這種評價方法的發展著眼點需要集中于度量框架的匹配度、度量元的可測性高低以及測量結果的解釋便捷性。

再次，應用軟件歸根結底是供軟件使用者和開發者使用的，因此，其安全性指標的高低的直接受影響群體便是應用軟件的用戶群，因此，對于應用軟件的安全性評價而言，用戶滿意度以及用戶體驗是不得不考慮的關鍵因素之一。已有研究者就此議題得出一些結論，其認為以時間元素為主要計算核心的安全功能組件的安全服務滿意度計算原則對于應用軟件安全性評價而言具有合理性。結合我國應用軟件市場環境而言，這一改進對策具有可行性，相關研究者可以通過對用戶使用過程的監控以及必要的數據統計，得到基于安全性層面的應用軟件使用改進建議。換言之，用戶體驗可以作為應用軟件安全性的評價內容之一。

3 結語

應用軟件安全性評價方法的有效性在未來一段時間內將會是應用軟件市場的主流研究議題。研究者們需要進一步拓寬思維，可根據應用軟件不同類別之間的差異進行安全性評價方法的針對性研究。

[1] 平湖.基于構件的軟件復用在軟件企業中的實現模型[J].計算機工程,2002,(11).

[2] 頓海強,莊雷.面向對象與軟件復用技術研究[J].計算機應用研究,2002,(03).

[3] 王曉國,張曉慶,李啟炎.動態MIS及其實現[J].計算機工程,2002,(02).

[4] 周明輝,郭長國,吳泉源,王懷民.基于CORBA的服務器構件模型的研究[J].計算機工程與科學,2001,(06).

[5] 黃為民,白曉東.軟構件技術及其在數據庫中的應用[J].計算機工程與應用,2001,(22).

魏可(1994-)，男，漢族，四川人，本科，西華大學，軟件工程。

TP31

1671-1602(2016)24-0011-01