应用软件安全性评价方法的有效性研究

1、应用软件安全性评价方法的有效性研究近年来，应用软件安全性评价方法逐渐成为业内相关人士的关注和 研究重点，国外一些企业内部设立了专门从事基于企业软件产品的应 用软件安全小组。相比于国外一些较为成功的软件安全性评价方法， 国内企业对于应用软件安全性能方面的意识相对薄弱。1 应用软件安全性评价的重要意义 互联网技术的日新月异带动了应用软件的开发热潮，各行各业以信 息化建设为目标将应用软件设计开发作为企业发展内容的主要部分。 而应用软件设计、 开发、测试等环节需要以软件安全性保障为主要目 标。在应用软件的设计阶段、 开发阶段以及测试阶段都需要凭借有效、 合理、科学的应用软件安全性评价体系以提升应用软件

2、在使用过程中 的安全性能。应用软件的安全性包括网络环境中的数据流通、应对故障时的连续 运作保障、 软件产品以及平台系统对攻击的抵御和恢复能力、 应用软 件的使用可信程度。 对于应用软件安全性研究的意义可以从应用软件 的安全风险进行反向分析：首先，由于软件开发行业的规模不断壮大，市场环境中的应用软件 的数量迅速增长、种类愈发多元化，从功能性、应用性、专业性等特 征方面具有所不同， 势必会造成应用软件使用过程中安全漏洞和安全 隐患数量、种类的增加。 这些安全漏洞和安全隐患对应用软件乃至系 统平台的负面影响可大可小， 如若未能及时发现并予以补救， 极有可 能造成难以挽回的重大损失。 因此，对于应用软

3、件安全性评价有效性 的研究势在必行。其次，相比于网络时代发展初期，如今的网络环境趋向于开放、互 连，应用软件凭借端口、接口作为连接与信息数据流通的主要通道， 流经接口和端口的数据信息富含不安全因素的可能性对于应用软件 的使用安全性会形成具有不确定性的威胁。 正式由于应用软件使用环 境的影响，令其安全性直接面临攻击。如若缺乏安全性保障体系，将 会大大挫伤应用软件的功能性及整体性能。再次，如今的应用软件开发市场正朝着升级、扩充的方向发展，安 全漏洞和安全风险也会更加凸显。 目前，国内外虽然对于应用软件的 安全性评价的研究有了一定的成绩， 但对于应用软件安全性评价的量 化标准及方法仍然处于初期研究水

4、平。2 应用软件安全性评价有效性提升原则结合实践经验，对于应用软件安全性评价方法的改善方向集中于应 用软件安全性测试的研究，主要包括对应用软件安全漏洞进行测试、 功能性安全参数进行测试两类研究方向。 可采用的安全性评价方法是 基于语言测试、基于故障的安全测试以及形式化安全测试的结果统计 与分析。其中，对于应用软件的属性测试及模糊测试的安全性也需要 引起重视。 参考国外此领域的研究方向， 将今后应用软件的安全性评 价方法按照定性、安全度量和用户体验三个发展方向予以阐述：首先，为提升应用软件安全性评价方法在实际运作中的有效性，基 于实践经验笔者认为， 沿用现阶段安全性评价从业领域内的以主管定性评价

5、方法为主的应用软件安全性评价体系即可。采取人工核对、表 格记录的简单方法从软件应用层面予以评价，可以直观反映应用软件 的使用水平。需要注意的是，今后对于此类安全性评价方法需要相关 企业制定具有一致性的评价指标体系，以进一步减轻人工检测、评价 过程中的精力消耗以及可能产生的错误率。其次，所谓应用软件安全性评价的安全度量，可以理解为通过一些 安全性能评估过程或手段，以偏序集中任选的某个参数值来代表应用 软件所处网络平台系统环境中的信息系统安全相关性质。也就是说， 安全度量体现的是对应用软件安全与否的信任程度的描述、比较。其评价过程及结果建立于度量模型的运行。 未来这种评价方法的发展着 眼点需要集中于度量框架的匹配度、 度量元的可测性高低以及测量结 果的解释便捷性。再次，应用软件归根结底是供软件使用者和开发者使用的，因此， 其安全性指标的高低的直接受影响群体便是应用软件的用户群，因此,对于应用软件的安全性评价而言，用户满意度以及用户体验是不得不 考虑的关键因素之一。已有研究者就此议题得出一些结论， 其认为以 时间元素为主要计算核心的安全功能组件的安全服务满意度计算原 则对于应用软件安全性评价而言具有合理性。结合我国应用软件市场 环境而言，这一