软件合法合规合标性评测技术体系的应用
2017-03-22侯殿君
侯殿君
摘 要软件合法合规合标评测技术体系的总体目标是在互联网+发展背景下,利用软件评测技术与法律法规的深度跨界融合,促进软件系统合法合规合标、安全、稳定、有效、持续运行。实现软件合法合规合标性评测服务及人才与各行各业中小企业的自由对接,降低客户面临的软件系统安全风险,促使信息产业的健康发展。
【关键词】合法 合规 合标 评测技术体系
1 软件评测的方法与技术综述
软件合法合规合标性评测以国家法律法规为依据,通过软件测试技术验证软件产品或信息系统的合法、合规、合标性,验证其的安全性、可靠性、完整性、时效性,尤其是数据来源和数据本身的真实性和准确性,从而有效判断其可信程度。
伴随着互联网技术发展和软件遍布到各行业,各种违法违规、数据真实性、可靠性、安全性等问题也愈加严重。为保护跨界带来的经济和社会效益而创造出的新的生态环境,有必要将软件合法合规性检测和软件评测技术有效结合,面向企业提供线上线下相结合的法律服务。通过软件合法合规合标评测技术体系建设实现有效整合软件法律法规、评测技术来为企业提供线上线下的高效法律服务,以营造良好的软件产业的法制环境氛围。
软件合法合规合标评测技术体系的总体目标是在互联网+发展背景下,利用软件评测方法和技术与法律法规的深度跨界融合,促进软件系统合法合规、安全、稳定、有效、持续运行。通过对软件系统的合法合规性、资产完整性、信息安全性、系统高效性、内控有效性进行评测、咨询,降低客户面临的系统安全风险,促使信息产业的健康发展。软件合法合规合标评测技术体系的主要任务是面向企业线上线下完成对软件的鉴证、促进和咨询。
软件评测方法和技术与法律事务深度融合,建设互联网时代的软件合法合规合标评测技术体系。总结和汇总软件合法合规性评测评估项目的实践经验,进行深入分析和挖掘,设计开发并推广软件合法合规性评测的共性技术,以及与软件相关的国家法律法规及相关标准的服务库建设。
对软件合法合规性评测相关的评测方法和技术进行分解,匹配测试资源,应用虚拟技术及网络搭建环境,在使用现有硬件设备资源的基础上,提高并发技术服务的数量,为各行各业提供真正有效的远程评测服务。针对当前的技术趋势,研究电子商务平台、移动互联网的评测技术,深入研究嵌入式、物联网软件合法合规性评测测试技术。实现软件合法合规合标性评测服务及人才与各行各业中小企业的自由对接。
2 软件合法合规合标评测技术体系的构建
软件合法合规合标评测技术体系主要研发内容包括软件评测门户、软件法律法规服务库、评测管理系统、一站式协同评测服务体系四大功能模块子系统。软件评测门户包括风险评估、评测计划、资源管理、评测项目管理、问题整改跟踪等;软件法律法规服务库包括服务库管理和检索管理;评测管理平台主要包括评测方法管理、评测技术管理、标准管理、定级管理、渗透测试系统等。一站式协调评测服务体系主要包括合法合标性评测、登记测试、验收测试、鉴定测试、确认测试、咨询服务等。
软件合法合规合标评测技术体系技术功能架构图如图1所示。
主要研发内容包括软件评测门户、软件法律法规服务库、评测管理系统、一站式协同评测服务体系四大功能模块子系统。软件评测门户包括风险评估、评测计划、资源管理、评测项目管理、问题整改跟踪等;软件法律法规服务库包括服务库管理和检索管理;评测管理平台主要包括评测方法管理、评测技术、标准管理、定级管理、渗透测试。一站式协调评测服务体系主要包括合法合标性评测、登记测试、验收测试、鉴定测试、确认测试、咨询服务等。
(1)建立线上线下相结合的一站式协同评测服务平台,包括合法合规性评测、登记测试、验收测试等,提高软件评测的协调服务能力。
(2)通过把软件评测的方法和技术作为检测方式,以及软件评测技术与法律事务深度跨界融合,建立起互联网+发展背景下的软件研发、应用的合法合规的新生态。
(3)利用检验检测大数据智能挖掘与分析技术,探索检测已有大量的涉及软件方面的法律法规,建立起软件评测所依据的软件法律法规标准服务库。
软件合法合规合标评测技术体系与具体软件评测技术和方法相结合,例如源代码安全扫描技术,对系统开发过程中的编码、测试、交付验收各阶段系统源代码进行安全审计检测,利用五大分析引擎对应用软件的源代码进行静态的分析,从而对源代码安全漏洞进行定级,给出源代码安全漏洞分析报告,提供软件安全质量方面的真实状态信息。例如对某软件企业的软件样品进行代码扫描,共扫描250个文件,执行20903行代码,发现210個安全漏洞,缺陷密度为10.046Defects/KLOC,最终作为合标评测的重要依据。
3 结语
通过软件合法合规性评测方法和技术与法律事务深度融合,借助各地的软件评测机构建设“软件合法合规合标评测技术体系”,满足中小企业随时、随地进行软件合法合规性评测工作。为客户提供便捷的属地化软件合法合规合标性评测服务等服务,把电子商务、移动互联、嵌入式、物联网软件合法合规性评测新技术应用推广到全国各地,营造出健全的互联网时代的软件法制环境和意识,为互联网时代的软件产业合法合规的健康发展做出贡献。
作者单位
天津市软件评测中心 天津市 300384
