應(yīng)用軟件安全性評(píng)價(jià)方法的有效性研究

魏可

(西華大學(xué)，四川 成都 610000)

應(yīng)用軟件安全性評(píng)價(jià)方法的有效性研究

魏可

(西華大學(xué)，四川 成都 610000)

近年來，應(yīng)用軟件安全性評(píng)價(jià)方法逐漸成為業(yè)內(nèi)相關(guān)人士的關(guān)注和研究重點(diǎn)，國外一些企業(yè)內(nèi)部設(shè)立了專門從事基于企業(yè)軟件產(chǎn)品的應(yīng)用軟件安全小組。相比于國外一些較為成功的軟件安全性評(píng)價(jià)方法，國內(nèi)企業(yè)對(duì)于應(yīng)用軟件安全性能方面的意識(shí)相對(duì)薄弱。

應(yīng)用軟件；安全；分析研究

1 應(yīng)用軟件安全性評(píng)價(jià)的重要意義

互聯(lián)網(wǎng)技術(shù)的日新月異帶動(dòng)了應(yīng)用軟件的開發(fā)熱潮，各行各業(yè)以信息化建設(shè)為目標(biāo)將應(yīng)用軟件設(shè)計(jì)開發(fā)作為企業(yè)發(fā)展內(nèi)容的主要部分。而應(yīng)用軟件設(shè)計(jì)、開發(fā)、測(cè)試等環(huán)節(jié)需要以軟件安全性保障為主要目標(biāo)。在應(yīng)用軟件的設(shè)計(jì)階段、開發(fā)階段以及測(cè)試階段都需要憑借有效、合理、科學(xué)的應(yīng)用軟件安全性評(píng)價(jià)體系以提升應(yīng)用軟件在使用過程中的安全性能。

應(yīng)用軟件的安全性包括網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)流通、應(yīng)對(duì)故障時(shí)的連續(xù)運(yùn)作保障、軟件產(chǎn)品以及平臺(tái)系統(tǒng)對(duì)攻擊的抵御和恢復(fù)能力、應(yīng)用軟件的使用可信程度。對(duì)于應(yīng)用軟件安全性研究的意義可以從應(yīng)用軟件的安全風(fēng)險(xiǎn)進(jìn)行反向分析：

首先，由于軟件開發(fā)行業(yè)的規(guī)模不斷壯大，市場(chǎng)環(huán)境中的應(yīng)用軟件的數(shù)量迅速增長、種類愈發(fā)多元化，從功能性、應(yīng)用性、專業(yè)性等特征方面具有所不同，勢(shì)必會(huì)造成應(yīng)用軟件使用過程中安全漏洞和安全隱患數(shù)量、種類的本文由論文聯(lián)盟http://www.LWlM.COm收集整理增加。這些安全漏洞和安全隱患對(duì)應(yīng)用軟件乃至系統(tǒng)平臺(tái)的負(fù)面影響可大可小，如若未能及時(shí)發(fā)現(xiàn)并予以補(bǔ)救，極有可能造成難以挽回的重大損失。因此，對(duì)于應(yīng)用軟件安全性評(píng)價(jià)有效性的研究勢(shì)在必行。

其次，相比于網(wǎng)絡(luò)時(shí)代發(fā)展初期，如今的網(wǎng)絡(luò)環(huán)境趨向于開放、互連，應(yīng)用軟件憑借端口、接口作為連接與信息數(shù)據(jù)流通的主要通道，流經(jīng)接口和端口的數(shù)據(jù)信息富含不安全因素的可能性對(duì)于應(yīng)用軟件的使用安全性會(huì)形成具有不確定性的威脅。正式由于應(yīng)用軟件使用環(huán)境的影響，令其安全性直接面臨攻擊。如若缺乏安全性保障體系，將會(huì)大大挫傷應(yīng)用軟件的功能性及整體性能。

再次，如今的應(yīng)用軟件開發(fā)市場(chǎng)正朝著升級(jí)、擴(kuò)充的方向發(fā)展，安全漏洞和安全風(fēng)險(xiǎn)也會(huì)更加凸顯。目前，國內(nèi)外雖然對(duì)于應(yīng)用軟件的安全性評(píng)價(jià)的研究有了一定的成績，但對(duì)于應(yīng)用軟件安全性評(píng)價(jià)的量化標(biāo)準(zhǔn)及方法仍然處于初期研究水平。

2 應(yīng)用軟件安全性評(píng)價(jià)有效性提升原則

結(jié)合實(shí)踐經(jīng)驗(yàn)，對(duì)于應(yīng)用軟件安全性評(píng)價(jià)方法的改善方向集中于應(yīng)用軟件安全性測(cè)試的研究，主要包括對(duì)應(yīng)用軟件安全漏洞進(jìn)行測(cè)試、功能性安全參數(shù)進(jìn)行測(cè)試兩類研究方向。可采用的安全性評(píng)價(jià)方法是基于語言測(cè)試、基于故障的安全測(cè)試以及形式化安全測(cè)試的結(jié)果統(tǒng)計(jì)與分析。其中，對(duì)于應(yīng)用軟件的屬性測(cè)試及模糊測(cè)試的安全性也需要引起重視。參考國外此領(lǐng)域的研究方向，將今后應(yīng)用軟件的安全性評(píng)價(jià)方法按照定性、安全度量和用戶體驗(yàn)三個(gè)發(fā)展方向予以闡述：

首先，為提升應(yīng)用軟件安全性評(píng)價(jià)方法在實(shí)際運(yùn)作中的有效性，基于實(shí)踐經(jīng)驗(yàn)筆者認(rèn)為，沿用現(xiàn)階段安全性評(píng)價(jià)從業(yè)領(lǐng)域內(nèi)的以主管定性評(píng)價(jià)方法為主的應(yīng)用軟件安全性評(píng)價(jià)體系即可。采取人工核對(duì)、表格記錄的簡單方法從軟件應(yīng)用層面予以評(píng)價(jià)，可以直觀反映應(yīng)用軟件的使用水平。需要注意的是，今后對(duì)于此類安全性評(píng)價(jià)方法需要相關(guān)企業(yè)制定具有一致性的評(píng)價(jià)指標(biāo)體系，以進(jìn)一步減輕人工檢測(cè)、評(píng)價(jià)過程中的精力消耗以及可能產(chǎn)生的錯(cuò)誤率。

其次，所謂應(yīng)用軟件安全性評(píng)價(jià)的安全度量，可以理解為通過一些安全性能評(píng)估過程或手段，以偏序集中任選的某個(gè)參數(shù)值來代表應(yīng)用軟件所處網(wǎng)絡(luò)平臺(tái)系統(tǒng)環(huán)境中的信息系統(tǒng)安全相關(guān)性質(zhì)。也就是說，安全度量體現(xiàn)的是對(duì)應(yīng)用軟件安全與否的信任程度的描述、比較。其評(píng)價(jià)過程及結(jié)果建立于度量模型的運(yùn)行。未來這種評(píng)價(jià)方法的發(fā)展著眼點(diǎn)需要集中于度量框架的匹配度、度量元的可測(cè)性高低以及測(cè)量結(jié)果的解釋便捷性。

再次，應(yīng)用軟件歸根結(jié)底是供軟件使用者和開發(fā)者使用的，因此，其安全性指標(biāo)的高低的直接受影響群體便是應(yīng)用軟件的用戶群，因此，對(duì)于應(yīng)用軟件的安全性評(píng)價(jià)而言，用戶滿意度以及用戶體驗(yàn)是不得不考慮的關(guān)鍵因素之一。已有研究者就此議題得出一些結(jié)論，其認(rèn)為以時(shí)間元素為主要計(jì)算核心的安全功能組件的安全服務(wù)滿意度計(jì)算原則對(duì)于應(yīng)用軟件安全性評(píng)價(jià)而言具有合理性。結(jié)合我國應(yīng)用軟件市場(chǎng)環(huán)境而言，這一改進(jìn)對(duì)策具有可行性，相關(guān)研究者可以通過對(duì)用戶使用過程的監(jiān)控以及必要的數(shù)據(jù)統(tǒng)計(jì)，得到基于安全性層面的應(yīng)用軟件使用改進(jìn)建議。換言之，用戶體驗(yàn)可以作為應(yīng)用軟件安全性的評(píng)價(jià)內(nèi)容之一。

3 結(jié)語

應(yīng)用軟件安全性評(píng)價(jià)方法的有效性在未來一段時(shí)間內(nèi)將會(huì)是應(yīng)用軟件市場(chǎng)的主流研究議題。研究者們需要進(jìn)一步拓寬思維，可根據(jù)應(yīng)用軟件不同類別之間的差異進(jìn)行安全性評(píng)價(jià)方法的針對(duì)性研究。

[1] 平湖.基于構(gòu)件的軟件復(fù)用在軟件企業(yè)中的實(shí)現(xiàn)模型[J].計(jì)算機(jī)工程,2002,(11).

[2] 頓海強(qiáng),莊雷.面向?qū)ο笈c軟件復(fù)用技術(shù)研究[J].計(jì)算機(jī)應(yīng)用研究,2002,(03).

[3] 王曉國,張曉慶,李啟炎.動(dòng)態(tài)MIS及其實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2002,(02).

[4] 周明輝,郭長國,吳泉源,王懷民.基于CORBA的服務(wù)器構(gòu)件模型的研究[J].計(jì)算機(jī)工程與科學(xué),2001,(06).

[5] 黃為民,白曉東.軟構(gòu)件技術(shù)及其在數(shù)據(jù)庫中的應(yīng)用[J].計(jì)算機(jī)工程與應(yīng)用,2001,(22).

魏可(1994-)，男，漢族，四川人，本科，西華大學(xué)，軟件工程。

TP31

A

1671-1602(2016)24-0011-01