強(qiáng)曉麗

摘 要 應(yīng)用軟件是人們?nèi)粘Ｉa(chǎn)生活經(jīng)常性使用的軟件工具，比如辦公軟件、翻譯軟件、影視播放軟件、通訊軟件等等，是信息化與網(wǎng)絡(luò)化建設(shè)的基礎(chǔ)與前提，也是推進(jìn)我國現(xiàn)代化建設(shè)的重要手段，因此，保障應(yīng)用軟件的安全性是實(shí)現(xiàn)引用軟件發(fā)展與進(jìn)步的核心，在現(xiàn)價(jià)段增強(qiáng)對(duì)應(yīng)用軟件安全性建設(shè)的重要性與必要性認(rèn)識(shí)，并構(gòu)建完善、科學(xué)、系統(tǒng)的安全性評(píng)價(jià)體系是當(dāng)前信息化建設(shè)的重點(diǎn)。本文通過分析我國當(dāng)前應(yīng)用型軟件安全性評(píng)價(jià)方法的現(xiàn)狀，旨在為今后開展針對(duì)性安全評(píng)價(jià)工作以及從根本上保障應(yīng)用軟件的安全性奠定堅(jiān)實(shí)的基礎(chǔ)。

關(guān)鍵詞 應(yīng)用軟件 現(xiàn)狀分析 進(jìn)展預(yù)測

中圖分類號(hào)：TP31 文獻(xiàn)標(biāo)識(shí)碼：A

隨著計(jì)算機(jī)技術(shù)和聯(lián)網(wǎng)的不斷發(fā)展，軟件作為計(jì)算機(jī)應(yīng)用的核心部分巳經(jīng)滲透到國防、工業(yè)、經(jīng)濟(jì)、教育和醫(yī)療衛(wèi)生等各個(gè)領(lǐng)域，在社會(huì)生活中發(fā)揮著越來越重要的作用。但同時(shí)也隱藏著諸多現(xiàn)實(shí)問題，諸如賬號(hào)信息泄露、重要數(shù)據(jù)與文件丟失、相關(guān)身份認(rèn)證被更改等等，極大威脅著居民正常的生產(chǎn)與生活，近年來，軟件工作者不斷以創(chuàng)新意識(shí)，注重分析應(yīng)用軟件的發(fā)展現(xiàn)狀，并根據(jù)當(dāng)前常見的安全因素與問題類型設(shè)計(jì)針對(duì)性的補(bǔ)救措施與解決方案，為應(yīng)用軟件用戶提供更快速、有效、安全的服務(wù)，推進(jìn)軟件安全性評(píng)價(jià)系統(tǒng)的建立。

1當(dāng)前應(yīng)用軟件安全性評(píng)價(jià)方法現(xiàn)狀分析

目前，從整體上看我國的應(yīng)用軟件安全性評(píng)價(jià)與測試工作更加側(cè)重于常規(guī)檢測，包括病毒檢測、漏洞檢測、插件檢測、垃圾檢測等等，但是缺乏對(duì)整個(gè)軟件系統(tǒng)檢測的安全評(píng)價(jià)方法。再加上，應(yīng)用軟件種類多樣，性能表現(xiàn)以及對(duì)運(yùn)營環(huán)境的要求不同，因此，單一的基本安全檢測工作并不能從根本上杜絕安全隱患，國內(nèi)外軟件專家不斷在實(shí)際工作中積累經(jīng)驗(yàn)，在應(yīng)用軟件安全性評(píng)價(jià)系統(tǒng)構(gòu)建的道路上不斷探索，其成果主要表現(xiàn)在以下幾個(gè)方面：

1.1建立在信息系統(tǒng)安全度量基礎(chǔ)上的安全性評(píng)價(jià)方法

應(yīng)用軟件安全度量是指通過既定的評(píng)估標(biāo)準(zhǔn)中，選擇一個(gè)值，作為信息系統(tǒng)安全相關(guān)的量的標(biāo)志，以此方式提供與安全性相關(guān)的描述與預(yù)見，并逐漸形成定量安全評(píng)價(jià)模式。但就目前成果來看，應(yīng)用安全度量仍需存在諸多問題，比如用于評(píng)價(jià)的度量標(biāo)準(zhǔn)是否統(tǒng)一；選擇的度量框架是否科學(xué)；測試結(jié)果能都被全面?zhèn)鬟_(dá)等等。

1.2基于定性基礎(chǔ)上的應(yīng)用軟件安全性評(píng)價(jià)方式

安全評(píng)價(jià)工作的關(guān)鍵在于客觀性與可見性，但是當(dāng)前絕大多數(shù)應(yīng)用軟件安全測試工作人員仍沿用主觀性極強(qiáng)的傳統(tǒng)評(píng)價(jià)方式，以全人工分析的方式，分項(xiàng)檢驗(yàn)應(yīng)用軟件的各項(xiàng)性能是否隱藏安全危險(xiǎn)，并用紙質(zhì)表格記錄的方式填寫檢測結(jié)果，包括是否存在潛在安全威脅、軟件安全漏洞種類、安全漏洞威脅程度以及相關(guān)表現(xiàn)等等。這種傳統(tǒng)檢測方式雖然操作較為簡單，但是在一定程度上需要耗費(fèi)大量的人力與物理，并且缺乏嚴(yán)格的評(píng)價(jià)標(biāo)準(zhǔn)與評(píng)價(jià)指標(biāo)，整個(gè)監(jiān)測工作極有可能摻雜工作人員的經(jīng)驗(yàn)之談，影響了安全檢測工作的科學(xué)性與精確性，同發(fā)時(shí)也會(huì)因?yàn)槿斯げ僮鲗?dǎo)致某些安全威脅沒有被及時(shí)發(fā)現(xiàn)，隨時(shí)會(huì)因?yàn)閼?yīng)用軟件操作不當(dāng)爆發(fā)安全危機(jī)。

1.3建立在客戶滿意度基礎(chǔ)上的應(yīng)用軟件安全檢測

應(yīng)用軟件價(jià)值的實(shí)現(xiàn)最終要以服務(wù)用戶的方式實(shí)現(xiàn)，不同的應(yīng)用軟件可以為用戶提供不同的服務(wù)類型，因此，采用建立在客戶滿意度基礎(chǔ)上的應(yīng)用安全監(jiān)測方式更加能得到大眾的認(rèn)可與適應(yīng)現(xiàn)代社會(huì)的發(fā)展要求。因此，如何推進(jìn)應(yīng)用軟件安全性評(píng)價(jià)方式的改革與發(fā)展以最大限度滿足客戶的實(shí)際需求是今后安全性評(píng)價(jià)工作開展的重點(diǎn)與核心。

2應(yīng)用軟件安全性評(píng)價(jià)方式發(fā)展趨勢研究

首先，可選用綜合評(píng)價(jià)方式，比如將定向分析與定量研究相結(jié)合，提高分析結(jié)果的科學(xué)性與全面性；或者采用層次分析法，深入分析評(píng)價(jià)對(duì)象的本質(zhì)特征以及特征之間的內(nèi)在關(guān)系，增強(qiáng)評(píng)價(jià)結(jié)果的可描述性。

其次，要構(gòu)建完善的應(yīng)用軟件評(píng)價(jià)體系，從常見的危機(jī)類型入手，注重對(duì)各種類型危機(jī)表現(xiàn)以及危害程度入手，根據(jù)“屬性表現(xiàn)”、“漏洞誘因”、“應(yīng)用軟件與系統(tǒng)的融合程度”以及“應(yīng)用軟件與系統(tǒng)的相互作用”等方式，以保證應(yīng)用軟件運(yùn)作過程的保密性、完整性、真實(shí)性為根本要求，構(gòu)建完善的軟件安全評(píng)價(jià)體系。

最后，注重應(yīng)用軟件安全性評(píng)價(jià)方式的變化與更新。應(yīng)用軟件的應(yīng)用領(lǐng)域與主要服務(wù)群體不同，這就要求相關(guān)的安全評(píng)價(jià)工作有所變化，比如學(xué)生群體對(duì)瀏覽器穩(wěn)定性要求較高，上班族一旦遭遇病毒威脅極有可能丟失工作數(shù)據(jù)，這就要求安全監(jiān)測方式隨著軟件的主要功能與客戶實(shí)際要求有所變化。此外，應(yīng)用軟件的安全性會(huì)隨著科技的發(fā)展以及時(shí)間的推移發(fā)生變化，要始終以發(fā)展的眼光研究應(yīng)用軟件安全性的演化，從而推進(jìn)相關(guān)安全性檢測的調(diào)整與改變。

從國內(nèi)外的研究現(xiàn)狀可以看出，大多數(shù)研究專注于應(yīng)用軟件安全性的某一個(gè)方面，但是缺少綜合的評(píng)價(jià)指標(biāo)及方法，導(dǎo)致評(píng)價(jià)結(jié)果較片面，因此，在今后工作中，應(yīng)立足應(yīng)用軟件安全性評(píng)價(jià)現(xiàn)狀，開拓更新評(píng)價(jià)方式與評(píng)價(jià)理念，構(gòu)建完善的安全性評(píng)價(jià)指標(biāo)體系，有效推進(jìn)我國信息化、網(wǎng)絡(luò)化、現(xiàn)代化建設(shè)與進(jìn)步。

（作者學(xué)號(hào)：1330489）

參考文獻(xiàn)[1] 任偉.軟件安全[M].國防工業(yè)出版社，2010（7）.

[2] 劉德寅.應(yīng)用軟件的分類及安全性評(píng)價(jià)研究現(xiàn)狀[J].信息化研究，2013（10）.