侯殿君

摘 要：軟件依從性測(cè)試的目標(biāo)是在互聯(lián)網(wǎng)+發(fā)展背景下，利用軟件測(cè)試技術(shù)，測(cè)試軟件產(chǎn)品或系統(tǒng)遵循與功能性、性能效率、兼容性、易用性、可靠性、信息安全性、維護(hù)性、可移植性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類(lèi)似規(guī)定的程度，促進(jìn)軟件系統(tǒng)合法合規(guī)合標(biāo)、安全、穩(wěn)定、有效、持續(xù)運(yùn)行，降低客戶(hù)面臨的軟件系統(tǒng)安全風(fēng)險(xiǎn)，促使軟件產(chǎn)業(yè)的健康發(fā)展。

關(guān)鍵詞：依從性測(cè)試；軟件質(zhì)量模型；滲透測(cè)試

中圖分類(lèi)號(hào)：TP311.52 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2018）18-0025-02

軟件是信息產(chǎn)業(yè)的核心，其質(zhì)量的好壞關(guān)系到信息智慧產(chǎn)業(yè)的成敗，軟件測(cè)試是提高軟件質(zhì)量的一個(gè)重要手段之一。目前我國(guó)軟件測(cè)試實(shí)驗(yàn)室主要依據(jù)GB/T 25000.51-2016《系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)（SQuaRE）第51部分：就緒可用軟件產(chǎn)品（RUSP）的質(zhì)量要求和測(cè)試細(xì)則》和GB/T 25000.10-2016《系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)（SQuaRE）第10部分：系統(tǒng)與軟件質(zhì)量模型》兩個(gè)標(biāo)準(zhǔn)對(duì)軟件產(chǎn)品進(jìn)行測(cè)試，以上兩個(gè)國(guó)家標(biāo)準(zhǔn)中涵蓋了軟件產(chǎn)品質(zhì)量屬性的8個(gè)特性的依從性測(cè)試，即軟件產(chǎn)品或系統(tǒng)遵循與功能性、性能效率、兼容性、易用性、可靠性、信息安全性、維護(hù)性、可移植性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類(lèi)似規(guī)定的程度。

軟件依從性測(cè)試以相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類(lèi)似規(guī)定為依據(jù)，通過(guò)軟件測(cè)試技術(shù)驗(yàn)證軟件產(chǎn)品或信息系統(tǒng)的質(zhì)量屬性的所有特性的合法、合規(guī)、合標(biāo)性，驗(yàn)證其的安全性、可靠性、完整性、時(shí)效性，尤其是數(shù)據(jù)來(lái)源和數(shù)據(jù)本身的真實(shí)性和準(zhǔn)確性，從而有效判斷其可信程度。

伴隨著互聯(lián)網(wǎng)技術(shù)發(fā)展和軟件遍布到各行業(yè)，各種違法違規(guī)違標(biāo)、數(shù)據(jù)真實(shí)性、可靠性、安全性等問(wèn)題也愈加嚴(yán)重。為保護(hù)跨界帶來(lái)的經(jīng)濟(jì)和社會(huì)效益而創(chuàng)造出的新的生態(tài)環(huán)境，有必要將軟件依從性測(cè)試和軟件測(cè)試技術(shù)有效結(jié)合，面向企業(yè)提供線(xiàn)上線(xiàn)下相結(jié)合的法律法規(guī)標(biāo)準(zhǔn)咨詢(xún)服務(wù)。通過(guò)軟件依從性測(cè)試技術(shù)的研究和應(yīng)用實(shí)現(xiàn)有效整合軟件法律法規(guī)標(biāo)準(zhǔn)、測(cè)試技術(shù)來(lái)為企業(yè)提供全方位的依從性測(cè)試服務(wù)，以營(yíng)造良好的軟件產(chǎn)業(yè)的法制環(huán)境氛圍。

軟件依從性測(cè)試的目標(biāo)是在互聯(lián)網(wǎng)+發(fā)展背景下，利用軟件測(cè)試技術(shù)，測(cè)試軟件產(chǎn)品或系統(tǒng)遵循與功能性、性能效率、兼容性、易用性、可靠性、信息安全性、維護(hù)性、可移植性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類(lèi)似規(guī)定的程度，促進(jìn)軟件系統(tǒng)合法合規(guī)合標(biāo)、安全、穩(wěn)定、有效、持續(xù)運(yùn)行，降低客戶(hù)面臨的軟件系統(tǒng)安全風(fēng)險(xiǎn)，促使信息產(chǎn)業(yè)的健康發(fā)展。通過(guò)對(duì)軟件系統(tǒng)的合法合規(guī)合標(biāo)性、資產(chǎn)完整性、信息安全性、系統(tǒng)高效性、內(nèi)控有效性進(jìn)行測(cè)試、咨詢(xún)，降低客戶(hù)面臨的系統(tǒng)安全風(fēng)險(xiǎn)，促使信息產(chǎn)業(yè)的健康發(fā)展。軟件依從性測(cè)試技術(shù)研究的主要任務(wù)是面向企業(yè)線(xiàn)上線(xiàn)下完成對(duì)軟件合法合規(guī)的測(cè)試、促進(jìn)和咨詢(xún)。軟件依從性測(cè)試技術(shù)體系如圖1所示。

遠(yuǎn)程漏洞掃描和滲透測(cè)試是軟件依從性測(cè)試的重要技術(shù)手段。

1 遠(yuǎn)程漏洞掃描

遠(yuǎn)程漏洞掃描是根據(jù)用戶(hù)實(shí)際依從性測(cè)試需求，對(duì)在互聯(lián)網(wǎng)上的服務(wù)器站點(diǎn)進(jìn)行軟硬件系統(tǒng)漏洞掃描。將掃描結(jié)果進(jìn)行分析和標(biāo)注后提供給客戶(hù)，幫助客戶(hù)修復(fù)互聯(lián)網(wǎng)服務(wù)器站點(diǎn)存在的漏洞。遠(yuǎn)程漏洞掃描包括兩部分內(nèi)容：

1.1 創(chuàng)建并維護(hù)漏洞庫(kù)

創(chuàng)建并維護(hù)一個(gè)漏洞庫(kù)，為遠(yuǎn)程漏洞掃描提供基礎(chǔ)，該漏洞庫(kù)收集涵蓋但不局限于以下漏洞類(lèi)型：（1）網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器等）；（2）操作系統(tǒng)（Windows、Linux、Sun等）；（3）數(shù)據(jù)庫(kù)（MS-SQL、MySql等）；（4）網(wǎng)絡(luò)服務(wù)中間件（IIS、Apache等）；（5）網(wǎng)絡(luò)應(yīng)用程序（Java等）。

1.2 漏洞掃描子系統(tǒng)

漏洞掃描子系統(tǒng)負(fù)責(zé)對(duì)目的網(wǎng)絡(luò)地址進(jìn)行可配置的漏洞掃描，該子系統(tǒng)后端連接漏洞庫(kù)，根據(jù)漏洞庫(kù)中的漏洞信息以及企業(yè)的配置對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行漏洞掃描。該子系統(tǒng)具備以下特點(diǎn)：（1）多線(xiàn)程并發(fā)掃描：針對(duì)某一個(gè)目標(biāo)，可以進(jìn)行多線(xiàn)程并發(fā)掃描，提高掃描速度；（2）多任務(wù)并發(fā)掃描：可以同時(shí)根據(jù)不同需求對(duì)多個(gè)企業(yè)進(jìn)行多線(xiàn)程并發(fā)掃描。

2 滲透測(cè)試

滲透測(cè)試是依從性測(cè)試人員盡可能完整地模擬攻擊者使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，從攻擊者的角度對(duì)目標(biāo)網(wǎng)絡(luò)、系統(tǒng)、主機(jī)應(yīng)用的安全性作深入的非破壞性的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱環(huán)節(jié)的過(guò)程。滲透測(cè)試通常能以非常明顯、直觀的結(jié)果來(lái)反映出系統(tǒng)的安全現(xiàn)狀，其目的是能夠讓管理人員直觀地知道自己網(wǎng)絡(luò)所面臨的問(wèn)題。

通過(guò)滲透測(cè)試可以做到：（1）了解入侵者可能利用的途徑，提出改進(jìn)方法與建議。（2）檢驗(yàn)現(xiàn)行的網(wǎng)絡(luò)設(shè)備（路由器、交換器等）安全策略。（3）檢驗(yàn)現(xiàn)行的信息安全設(shè)備（防火墻、IDS等）安全策略。（4）對(duì)于重要主機(jī)的安全性進(jìn)行專(zhuān)業(yè)信息安全的評(píng)估與建議。（5）找出IT人員未能掌握的服務(wù)器或主機(jī)加以調(diào)查。（6）了解系統(tǒng)及網(wǎng)絡(luò)的安全狀態(tài)。（7）檢驗(yàn)現(xiàn)行的信息安全策略。（8）找出現(xiàn)行信息安全策略的盲點(diǎn)。（9）驗(yàn)證現(xiàn)有系統(tǒng)的整體安全性。

滲透測(cè)試為了不對(duì)測(cè)試目標(biāo)造成破壞、損害或篡改，對(duì)于某些可能會(huì)對(duì)測(cè)試對(duì)象造成負(fù)面影響的攻擊方法和手段，在滲透測(cè)試中不予使用，具體包括：社會(huì)工程學(xué)、分布式拒絕服務(wù)攻擊、散布病毒（包括木馬、惡意代碼等）、對(duì)即時(shí)通訊工具的攻擊、網(wǎng)絡(luò)釣魚(yú)等。

軟件測(cè)試方法和技術(shù)與法律法規(guī)標(biāo)準(zhǔn)咨詢(xún)服務(wù)的深度融合，提升互聯(lián)網(wǎng)時(shí)代的軟件依從性測(cè)試技術(shù)水平。總結(jié)和匯總軟件依從性測(cè)試評(píng)估項(xiàng)目的實(shí)踐經(jīng)驗(yàn)，進(jìn)行深入分析和挖掘，設(shè)計(jì)開(kāi)發(fā)并推廣軟件依從性測(cè)試的共性技術(shù)，以及與軟件相關(guān)的國(guó)家法律法規(guī)及相關(guān)標(biāo)準(zhǔn)的服務(wù)庫(kù)建設(shè)。

軟件依從性測(cè)試依據(jù)包括但不限于：（1）國(guó)家IT相關(guān)法律、法規(guī)及標(biāo)準(zhǔn)；（2）行業(yè)相關(guān)規(guī)范及標(biāo)準(zhǔn)（其中包括GB/T 25000.10—2016系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)（SQuaRE）第10部分：系統(tǒng)與軟件質(zhì)量模型及GB/T 25000.51—2016系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)（SQuaRE）第51部分：就緒可用軟件產(chǎn)品（RUSP）的質(zhì)量要求和測(cè)試細(xì)則中質(zhì)量特性的依從性）；軟件依從性測(cè)試法律法規(guī)參考庫(kù)如表1所示。

2018年5月7日至2018年5月11日，對(duì)浙江嘉科信息科技有限公司開(kāi)發(fā)的“北辰區(qū)區(qū)域生態(tài)環(huán)境綜合監(jiān)管平臺(tái)V1.0”進(jìn)行了軟件依從性測(cè)試。經(jīng)對(duì)軟件中“免責(zé)聲明、用戶(hù)權(quán)限管理、用戶(hù)操作日志”功能點(diǎn)的專(zhuān)項(xiàng)依從性測(cè)試，由遵循用戶(hù)文檔集的最終用戶(hù)對(duì)軟件操作進(jìn)行的控制與軟件的行為應(yīng)是一致的。按照GB/T 25000.51-2016《系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)（SQuaRE）第51部分：就緒可用軟件產(chǎn)品（RUSP）的質(zhì)量要求和檢測(cè)細(xì)則》對(duì)該軟件的用戶(hù)文檔集、功能性進(jìn)行了專(zhuān)項(xiàng)檢測(cè)，依據(jù)國(guó)家法律法規(guī)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條第三款，《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》第十三條第六款，《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》第七條、第八條，《關(guān)于加強(qiáng)互聯(lián)網(wǎng)領(lǐng)域侵權(quán)假冒行為治理的意見(jiàn)》第七條，對(duì)該軟件的合法性、合規(guī)性進(jìn)行了依從性檢測(cè)，該軟件通過(guò)軟件依從性專(zhuān)項(xiàng)檢測(cè)。同時(shí)使用軟件源代碼安全測(cè)試工具Fortify 4.4版本及Fortify4.4版本自帶的安全編碼規(guī)則包，對(duì)軟件源碼進(jìn)行安全檢測(cè)。軟件源碼由委托單位提供，共3個(gè)文件夾，分別為：“WEB前端”文件夾、“后臺(tái)服務(wù)”文件夾、“數(shù)據(jù)讀寫(xiě)”文件夾。軟件源碼安全檢測(cè)過(guò)程中，共掃描403個(gè)文件，可執(zhí)行代碼行數(shù)為22613行，發(fā)現(xiàn)安全漏洞的總數(shù)為14個(gè)，缺陷密度為0.62 Defect/KLOC，滿(mǎn)足客戶(hù)對(duì)源代碼軟件依從性測(cè)試的需求。

通過(guò)軟件依從性測(cè)試方法和技術(shù)與法律法規(guī)標(biāo)準(zhǔn)服務(wù)咨詢(xún)深度融合，借助各地的軟件測(cè)試機(jī)構(gòu)建設(shè)“軟件依從性測(cè)試技術(shù)體系”，滿(mǎn)足中小企業(yè)隨時(shí)、隨地進(jìn)行軟件依從性測(cè)試工作。為客戶(hù)提供便捷的屬地化軟件依從性測(cè)試服務(wù)等服務(wù)，把電子商務(wù)、移動(dòng)互聯(lián)、嵌入式、物聯(lián)網(wǎng)軟件依從性測(cè)試新技術(shù)應(yīng)用推廣到全國(guó)各地，營(yíng)造出健全的互聯(lián)網(wǎng)時(shí)代的軟件法制環(huán)境和意識(shí)，為互聯(lián)網(wǎng)時(shí)代的軟件產(chǎn)業(yè)合法合規(guī)的健康發(fā)展做出貢獻(xiàn)。