項智平

摘 要 近年來國內(nèi)各類型企業(yè)追隨信息化建設的核心改革理念，致力于企業(yè)內(nèi)部網(wǎng)絡化、信息化、數(shù)字化建設工作。而應用軟件作為市場組織信息化建設的基礎，對其安全性的保障工作至關重要。目前在應用軟件安全性保障方面的有效手段是建立應用軟件評價體系。本文以應用軟件安全性評價方法為主要研究對象，對其有效性提升策略予以闡述，以供相關人士參考。

關鍵詞 應用軟件 安全性評價 有效性

中圖分類號：TP31 文獻標識碼：A

近年來，應用軟件安全性評價方法逐漸成為業(yè)內(nèi)相關人士的關注和研究重點，國外一些企業(yè)內(nèi)部設立了專門從事基于企業(yè)軟件產(chǎn)品的應用軟件安全小組。相比于國外一些較為成功的軟件安全性評價方法，國內(nèi)企業(yè)對于應用軟件安全性能方面的意識相對薄弱。

1應用軟件安全性評價的重要意義

互聯(lián)網(wǎng)技術的日新月異帶動了應用軟件的開發(fā)熱潮，各行各業(yè)以信息化建設為目標將應用軟件設計開發(fā)作為企業(yè)發(fā)展內(nèi)容的主要部分。而應用軟件設計、開發(fā)、測試等環(huán)節(jié)需要以軟件安全性保障為主要目標。在應用軟件的設計階段、開發(fā)階段以及測試階段都需要憑借有效、合理、科學的應用軟件安全性評價體系以提升應用軟件在使用過程中的安全性能。

應用軟件的安全性包括網(wǎng)絡環(huán)境中的數(shù)據(jù)流通、應對故障時的連續(xù)運作保障、軟件產(chǎn)品以及平臺系統(tǒng)對攻擊的抵御和恢復能力、應用軟件的使用可信程度。對于應用軟件安全性研究的意義可以從應用軟件的安全風險進行反向分析：

首先，由于軟件開發(fā)行業(yè)的規(guī)模不斷壯大，市場環(huán)境中的應用軟件的數(shù)量迅速增長、種類愈發(fā)多元化，從功能性、應用性、專業(yè)性等特征方面具有所不同，勢必會造成應用軟件使用過程中安全漏洞和安全隱患數(shù)量、種類的增加。這些安全漏洞和安全隱患對應用軟件乃至系統(tǒng)平臺的負面影響可大可小，如若未能及時發(fā)現(xiàn)并予以補救，極有可能造成難以挽回的重大損失。因此，對于應用軟件安全性評價有效性的研究勢在必行。

其次，相比于網(wǎng)絡時代發(fā)展初期，如今的網(wǎng)絡環(huán)境趨向于開放、互連，應用軟件憑借端口、接口作為連接與信息數(shù)據(jù)流通的主要通道，流經(jīng)接口和端口的數(shù)據(jù)信息富含不安全因素的可能性對于應用軟件的使用安全性會形成具有不確定性的威脅。正式由于應用軟件使用環(huán)境的影響，令其安全性直接面臨攻擊。如若缺乏安全性保障體系，將會大大挫傷應用軟件的功能性及整體性能。

再次，如今的應用軟件開發(fā)市場正朝著升級、擴充的方向發(fā)展，安全漏洞和安全風險也會更加凸顯。目前，國內(nèi)外雖然對于應用軟件的安全性評價的研究有了一定的成績，但對于應用軟件安全性評價的量化標準及方法仍然處于初期研究水平。

2應用軟件安全性評價有效性提升原則

結(jié)合實踐經(jīng)驗，對于應用軟件安全性評價方法的改善方向集中于應用軟件安全性測試的研究，主要包括對應用軟件安全漏洞進行測試、功能性安全參數(shù)進行測試兩類研究方向?？刹捎玫陌踩栽u價方法是基于語言測試、基于故障的安全測試以及形式化安全測試的結(jié)果統(tǒng)計與分析。其中，對于應用軟件的屬性測試及模糊測試的安全性也需要引起重視。參考國外此領域的研究方向，將今后應用軟件的安全性評價方法按照定性、安全度量和用戶體驗三個發(fā)展方向予以闡述：

首先，為提升應用軟件安全性評價方法在實際運作中的有效性，基于實踐經(jīng)驗筆者認為，沿用現(xiàn)階段安全性評價從業(yè)領域內(nèi)的以主管定性評價方法為主的應用軟件安全性評價體系即可。采取人工核對、表格記錄的簡單方法從軟件應用層面予以評價，可以直觀反映應用軟件的使用水平。需要注意的是，今后對于此類安全性評價方法需要相關企業(yè)制定具有一致性的評價指標體系，以進一步減輕人工檢測、評價過程中的精力消耗以及可能產(chǎn)生的錯誤率。

其次，所謂應用軟件安全性評價的安全度量，可以理解為通過一些安全性能評估過程或手段，以偏序集中任選的某個參數(shù)值來代表應用軟件所處網(wǎng)絡平臺系統(tǒng)環(huán)境中的信息系統(tǒng)安全相關性質(zhì)。也就是說，安全度量體現(xiàn)的是對應用軟件安全與否的信任程度的描述、比較。其評價過程及結(jié)果建立于度量模型的運行。未來這種評價方法的發(fā)展著眼點需要集中于度量框架的匹配度、度量元的可測性高低以及測量結(jié)果的解釋便捷性。

再次，應用軟件歸根結(jié)底是供軟件使用者和開發(fā)者使用的，因此，其安全性指標的高低的直接受影響群體便是應用軟件的用戶群，因此，對于應用軟件的安全性評價而言，用戶滿意度以及用戶體驗是不得不考慮的關鍵因素之一。已有研究者就此議題得出一些結(jié)論，其認為以時間元素為主要計算核心的安全功能組件的安全服務滿意度計算原則對于應用軟件安全性評價而言具有合理性。結(jié)合我國應用軟件市場環(huán)境而言，這一改進對策具有可行性，相關研究者可以通過對用戶使用過程的監(jiān)控以及必要的數(shù)據(jù)統(tǒng)計，得到基于安全性層面的應用軟件使用改進建議。換言之，用戶體驗可以作為應用軟件安全性的評價內(nèi)容之一。

3結(jié)語

應用軟件安全性評價方法的有效性在未來一段時間內(nèi)將會是應用軟件市場的主流研究議題。研究者們需要進一步拓寬思維，可根據(jù)應用軟件不同類別之間的差異進行安全性評價方法的針對性研究。

（作者學號：1330507）

參考文獻

[1] 王若男.應用軟件安全性綜合評價方法研究[D].大連理工大學，2013.

[2] 劉德寅.應用軟件的分類及安全性評價研究現(xiàn)狀[J].信息化研究，2013，05：65-68.