項智平

摘 要 近年來國內(nèi)各類型企業(yè)追隨信息化建設(shè)的核心改革理念，致力于企業(yè)內(nèi)部網(wǎng)絡(luò)化、信息化、數(shù)字化建設(shè)工作。而應(yīng)用軟件作為市場組織信息化建設(shè)的基礎(chǔ)，對其安全性的保障工作至關(guān)重要。目前在應(yīng)用軟件安全性保障方面的有效手段是建立應(yīng)用軟件評價體系。本文以應(yīng)用軟件安全性評價方法為主要研究對象，對其有效性提升策略予以闡述，以供相關(guān)人士參考。

關(guān)鍵詞 應(yīng)用軟件 安全性評價 有效性

中圖分類號：TP31 文獻(xiàn)標(biāo)識碼：A

近年來，應(yīng)用軟件安全性評價方法逐漸成為業(yè)內(nèi)相關(guān)人士的關(guān)注和研究重點，國外一些企業(yè)內(nèi)部設(shè)立了專門從事基于企業(yè)軟件產(chǎn)品的應(yīng)用軟件安全小組。相比于國外一些較為成功的軟件安全性評價方法，國內(nèi)企業(yè)對于應(yīng)用軟件安全性能方面的意識相對薄弱。

1應(yīng)用軟件安全性評價的重要意義

互聯(lián)網(wǎng)技術(shù)的日新月異帶動了應(yīng)用軟件的開發(fā)熱潮，各行各業(yè)以信息化建設(shè)為目標(biāo)將應(yīng)用軟件設(shè)計開發(fā)作為企業(yè)發(fā)展內(nèi)容的主要部分。而應(yīng)用軟件設(shè)計、開發(fā)、測試等環(huán)節(jié)需要以軟件安全性保障為主要目標(biāo)。在應(yīng)用軟件的設(shè)計階段、開發(fā)階段以及測試階段都需要憑借有效、合理、科學(xué)的應(yīng)用軟件安全性評價體系以提升應(yīng)用軟件在使用過程中的安全性能。

應(yīng)用軟件的安全性包括網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)流通、應(yīng)對故障時的連續(xù)運作保障、軟件產(chǎn)品以及平臺系統(tǒng)對攻擊的抵御和恢復(fù)能力、應(yīng)用軟件的使用可信程度。對于應(yīng)用軟件安全性研究的意義可以從應(yīng)用軟件的安全風(fēng)險進(jìn)行反向分析：

首先，由于軟件開發(fā)行業(yè)的規(guī)模不斷壯大，市場環(huán)境中的應(yīng)用軟件的數(shù)量迅速增長、種類愈發(fā)多元化，從功能性、應(yīng)用性、專業(yè)性等特征方面具有所不同，勢必會造成應(yīng)用軟件使用過程中安全漏洞和安全隱患數(shù)量、種類的增加。這些安全漏洞和安全隱患對應(yīng)用軟件乃至系統(tǒng)平臺的負(fù)面影響可大可小，如若未能及時發(fā)現(xiàn)并予以補救，極有可能造成難以挽回的重大損失。因此，對于應(yīng)用軟件安全性評價有效性的研究勢在必行。

其次，相比于網(wǎng)絡(luò)時代發(fā)展初期，如今的網(wǎng)絡(luò)環(huán)境趨向于開放、互連，應(yīng)用軟件憑借端口、接口作為連接與信息數(shù)據(jù)流通的主要通道，流經(jīng)接口和端口的數(shù)據(jù)信息富含不安全因素的可能性對于應(yīng)用軟件的使用安全性會形成具有不確定性的威脅。正式由于應(yīng)用軟件使用環(huán)境的影響，令其安全性直接面臨攻擊。如若缺乏安全性保障體系，將會大大挫傷應(yīng)用軟件的功能性及整體性能。

再次，如今的應(yīng)用軟件開發(fā)市場正朝著升級、擴充的方向發(fā)展，安全漏洞和安全風(fēng)險也會更加凸顯。目前，國內(nèi)外雖然對于應(yīng)用軟件的安全性評價的研究有了一定的成績，但對于應(yīng)用軟件安全性評價的量化標(biāo)準(zhǔn)及方法仍然處于初期研究水平。

2應(yīng)用軟件安全性評價有效性提升原則

結(jié)合實踐經(jīng)驗，對于應(yīng)用軟件安全性評價方法的改善方向集中于應(yīng)用軟件安全性測試的研究，主要包括對應(yīng)用軟件安全漏洞進(jìn)行測試、功能性安全參數(shù)進(jìn)行測試兩類研究方向?？刹捎玫陌踩栽u價方法是基于語言測試、基于故障的安全測試以及形式化安全測試的結(jié)果統(tǒng)計與分析。其中，對于應(yīng)用軟件的屬性測試及模糊測試的安全性也需要引起重視。參考國外此領(lǐng)域的研究方向，將今后應(yīng)用軟件的安全性評價方法按照定性、安全度量和用戶體驗三個發(fā)展方向予以闡述：

首先，為提升應(yīng)用軟件安全性評價方法在實際運作中的有效性，基于實踐經(jīng)驗筆者認(rèn)為，沿用現(xiàn)階段安全性評價從業(yè)領(lǐng)域內(nèi)的以主管定性評價方法為主的應(yīng)用軟件安全性評價體系即可。采取人工核對、表格記錄的簡單方法從軟件應(yīng)用層面予以評價，可以直觀反映應(yīng)用軟件的使用水平。需要注意的是，今后對于此類安全性評價方法需要相關(guān)企業(yè)制定具有一致性的評價指標(biāo)體系，以進(jìn)一步減輕人工檢測、評價過程中的精力消耗以及可能產(chǎn)生的錯誤率。

其次，所謂應(yīng)用軟件安全性評價的安全度量，可以理解為通過一些安全性能評估過程或手段，以偏序集中任選的某個參數(shù)值來代表應(yīng)用軟件所處網(wǎng)絡(luò)平臺系統(tǒng)環(huán)境中的信息系統(tǒng)安全相關(guān)性質(zhì)。也就是說，安全度量體現(xiàn)的是對應(yīng)用軟件安全與否的信任程度的描述、比較。其評價過程及結(jié)果建立于度量模型的運行。未來這種評價方法的發(fā)展著眼點需要集中于度量框架的匹配度、度量元的可測性高低以及測量結(jié)果的解釋便捷性。

再次，應(yīng)用軟件歸根結(jié)底是供軟件使用者和開發(fā)者使用的，因此，其安全性指標(biāo)的高低的直接受影響群體便是應(yīng)用軟件的用戶群，因此，對于應(yīng)用軟件的安全性評價而言，用戶滿意度以及用戶體驗是不得不考慮的關(guān)鍵因素之一。已有研究者就此議題得出一些結(jié)論，其認(rèn)為以時間元素為主要計算核心的安全功能組件的安全服務(wù)滿意度計算原則對于應(yīng)用軟件安全性評價而言具有合理性。結(jié)合我國應(yīng)用軟件市場環(huán)境而言，這一改進(jìn)對策具有可行性，相關(guān)研究者可以通過對用戶使用過程的監(jiān)控以及必要的數(shù)據(jù)統(tǒng)計，得到基于安全性層面的應(yīng)用軟件使用改進(jìn)建議。換言之，用戶體驗可以作為應(yīng)用軟件安全性的評價內(nèi)容之一。

3結(jié)語

應(yīng)用軟件安全性評價方法的有效性在未來一段時間內(nèi)將會是應(yīng)用軟件市場的主流研究議題。研究者們需要進(jìn)一步拓寬思維，可根據(jù)應(yīng)用軟件不同類別之間的差異進(jìn)行安全性評價方法的針對性研究。

（作者學(xué)號：1330507）

參考文獻(xiàn)

[1] 王若男.應(yīng)用軟件安全性綜合評價方法研究[D].大連理工大學(xué)，2013.

[2] 劉德寅.應(yīng)用軟件的分類及安全性評價研究現(xiàn)狀[J].信息化研究，2013，05：65-68.