应用软件安全性评价方法的有效性研究
2014-04-29项智平
项智平
摘 要 近年来国内各类型企业追随信息化建设的核心改革理念,致力于企业内部网络化、信息化、数字化建设工作。而应用软件作为市场组织信息化建设的基础,对其安全性的保障工作至关重要。目前在应用软件安全性保障方面的有效手段是建立应用软件评价体系。本文以应用软件安全性评价方法为主要研究对象,对其有效性提升策略予以阐述,以供相关人士参考。
关键词 应用软件 安全性评价 有效性
中图分类号:TP31 文献标识码:A
近年来,应用软件安全性评价方法逐渐成为业内相关人士的关注和研究重点,国外一些企业内部设立了专门从事基于企业软件产品的应用软件安全小组。相比于国外一些较为成功的软件安全性评价方法,国内企业对于应用软件安全性能方面的意识相对薄弱。
1应用软件安全性评价的重要意义
互联网技术的日新月异带动了应用软件的开发热潮,各行各业以信息化建设为目标将应用软件设计开发作为企业发展内容的主要部分。而应用软件设计、开发、测试等环节需要以软件安全性保障为主要目标。在应用软件的设计阶段、开发阶段以及测试阶段都需要凭借有效、合理、科学的应用软件安全性评价体系以提升应用软件在使用过程中的安全性能。
应用软件的安全性包括网络环境中的数据流通、应对故障时的连续运作保障、软件产品以及平台系统对攻击的抵御和恢复能力、应用软件的使用可信程度。对于应用软件安全性研究的意义可以从应用软件的安全风险进行反向分析:
首先,由于软件开发行业的规模不断壮大,市场环境中的应用软件的数量迅速增长、种类愈发多元化,从功能性、应用性、专业性等特征方面具有所不同,势必会造成应用软件使用过程中安全漏洞和安全隐患数量、种类的增加。这些安全漏洞和安全隐患对应用软件乃至系统平台的负面影响可大可小,如若未能及时发现并予以补救,极有可能造成难以挽回的重大损失。因此,对于应用软件安全性评价有效性的研究势在必行。
其次,相比于网络时代发展初期,如今的网络环境趋向于开放、互连,应用软件凭借端口、接口作为连接与信息数据流通的主要通道,流经接口和端口的数据信息富含不安全因素的可能性对于应用软件的使用安全性会形成具有不确定性的威胁。正式由于应用软件使用环境的影响,令其安全性直接面临攻击。如若缺乏安全性保障体系,将会大大挫伤应用软件的功能性及整体性能。
再次,如今的应用软件开发市场正朝着升级、扩充的方向发展,安全漏洞和安全风险也会更加凸显。目前,国内外虽然对于应用软件的安全性评价的研究有了一定的成绩,但对于应用软件安全性评价的量化标准及方法仍然处于初期研究水平。
2应用软件安全性评价有效性提升原则
结合实践经验,对于应用软件安全性评价方法的改善方向集中于应用软件安全性测试的研究,主要包括对应用软件安全漏洞进行测试、功能性安全参数进行测试两类研究方向。可采用的安全性评价方法是基于语言测试、基于故障的安全测试以及形式化安全测试的结果统计与分析。其中,对于应用软件的属性测试及模糊测试的安全性也需要引起重视。参考国外此领域的研究方向,将今后应用软件的安全性评价方法按照定性、安全度量和用户体验三个发展方向予以阐述:
首先,为提升应用软件安全性评价方法在实际运作中的有效性,基于实践经验笔者认为,沿用现阶段安全性评价从业领域内的以主管定性评价方法为主的应用软件安全性评价体系即可。采取人工核对、表格记录的简单方法从软件应用层面予以评价,可以直观反映应用软件的使用水平。需要注意的是,今后对于此类安全性评价方法需要相关企业制定具有一致性的评价指标体系,以进一步减轻人工检测、评价过程中的精力消耗以及可能产生的错误率。
其次,所谓应用软件安全性评价的安全度量,可以理解为通过一些安全性能评估过程或手段,以偏序集中任选的某个参数值来代表应用软件所处网络平台系统环境中的信息系统安全相关性质。也就是说,安全度量体现的是对应用软件安全与否的信任程度的描述、比较。其评价过程及结果建立于度量模型的运行。未来这种评价方法的发展着眼点需要集中于度量框架的匹配度、度量元的可测性高低以及测量结果的解释便捷性。
再次,应用软件归根结底是供软件使用者和开发者使用的,因此,其安全性指标的高低的直接受影响群体便是应用软件的用户群,因此,对于应用软件的安全性评价而言,用户满意度以及用户体验是不得不考虑的关键因素之一。已有研究者就此议题得出一些结论,其认为以时间元素为主要计算核心的安全功能组件的安全服务满意度计算原则对于应用软件安全性评价而言具有合理性。结合我国应用软件市场环境而言,这一改进对策具有可行性,相关研究者可以通过对用户使用过程的监控以及必要的数据统计,得到基于安全性层面的应用软件使用改进建议。换言之,用户体验可以作为应用软件安全性的评价内容之一。
3结语
应用软件安全性评价方法的有效性在未来一段时间内将会是应用软件市场的主流研究议题。研究者们需要进一步拓宽思维,可根据应用软件不同类别之间的差异进行安全性评价方法的针对性研究。
(作者学号:1330507)
参考文献
[1] 王若男.应用软件安全性综合评价方法研究[D].大连理工大学,2013.
[2] 刘德寅.应用软件的分类及安全性评价研究现状[J].信息化研究,2013,05:65-68.
