随着计算机技术和联网的不断发展,软件作为计算机应用的核心部分巳经渗透到国防、工业、经济、教育和医疗卫生等各个领域,在社会生活中发挥着越来越重要的作用。但同时也隐藏着诸多现实问题,诸如账号信息泄露、重要数据与文件丢失、相关身份认证被更改等等,极大威胁着居民正常的生产与生活,近年来,软件工作者不断以创新意识,注重分析应用软件的发展现状,并根据当前常见的安全因素与问题类型设计针对性的补救措施与解决方案,为应用软件用户提供更快速、有效、安全的服务,推进软件安全性评价系统的建立。
1当前应用软件安全性评价方法现状分析
目前,从整体上看我国的应用软件安全性评价与测试工作更加侧重于常规检测,包括病毒检测、漏洞检测、插件检测、垃圾检测等等,但是缺乏对整个软件系统检测的安全评价方法。再加上,应用软件种类多样,性能表现以及对运营环境的要求不同,因此,单一的基本安全检测工作并不能从根本上杜绝安全隐患,国内外软件专家不断在实际工作中积累经验,在应用软件安全性评价系统构建的道路上不断探索,其成果主要表现在以下几个方面:
1.1建立在信息系统安全度量基础上的安全性评价方法
应用软件安全度量是指通过既定的评估标准中,选择一个值,作为信息系统安全相关的量的标志,以此方式提供与安全性相关的描述与预见,并逐渐形成定量安全评价模式。但就目前成果来看,应用安全度量仍需存在诸多问题,比如用于评价的度量标准是否统一;选择的度量框架是否科学;测试结果能都被全面传达等等。
1.2基于定性基础上的应用软件安全性评价方式
安全评价工作的关键在于客观性与可见性,但是当前绝大多数应用软件安全测试工作人员仍沿用主观性极强的传统评价方式,以全人工分析的方式,分项检验应用软件的各项性能是否隐藏安全危险,并用纸质表格记录的方式填写检测结果,包括是否存在潜在安全威胁、软件安全漏洞种类、安全漏洞威胁程度以及相关表现等等。这种传统检测方式虽然操作较为简单,但是在一定程度上需要耗费大量的人力与物理,并且缺乏严格的评价标准与评价指标,整个监测工作极有可能掺杂工作人员的经验之谈,影响了安全检测工作的科学性与精确性,同发时也会因为全人工操作导致某些安全威胁没有被及时发现,随时会因为应用软件操作不当爆发安全危机。
1.3建立在客户满意度基础上的应用软件安全检测
应用软件价值的实现最终要以服务用户的方式实现,不同的应用软件可以为用户提供不同的服务类型,因此,采用建立在客户满意度基础上的应用安全监测方式更加能得到大众的认可与适应现代社会的发展要求。因此,如何推进应用软件安全性评价方式的改革与发展以最大限度满足客户的实际需求是今后安全性评价工作开展的重点与核心。
2应用软件安全性评价方式发展趋势研究
首先,可选用综合评价方式,比如将定向分析与定量研究相结合,提高分析结果的科学性与全面性;或者采用层次分析法,深入分析评价对象的本质特征以及特征之间的内在关系,增强评价结果的可描述性。
其次,要构建完善的应用软件评价体系,从常见的危机类型入手,注重对各种类型危机表现以及危害程度入手,根据属性表现、漏洞诱因、应用软件与系统的融合程度以及应用软件与系统的相互作用等方式,以保证应用软件运作过程的保密性、完整性、真实性为根本要求,构建完善的软件安全评价体系。
最后,注重应用软件安全性评价方式的变化与更新。应用软件的应用领域与主要服务群体不同,这就要求相关的安全评价工作有所变化,比如学生群体对浏览器稳定性要求较高,上班族一旦遭遇病毒威胁极有可能丢失工作数据,这就要求安全监测方式随着软件的主要功能与客户实际要求有所变化。此外,应用软件的安全性会随着科技的发展以及时间的推移发生变化,要始终以发展的眼光研究应用软件安全性的演化,从而推进相关安全性检测的调整与改变。
从国内外的研究现状可以看出,大多数研究专注于应用软件安全性的某一个方面,但是缺少综合的评价指标及方法,导致评价结果较片面,因此,在今后工作中,应立足应用软件安全性评价现状,开拓更新评价方式与评价理念,构建完善的安全性评价指标体系,有效推进我国信息化、网络化、现代化建设与进步。