軟件合法合規(guī)合標(biāo)性評測技術(shù)體系的應(yīng)用

侯殿君

摘 要軟件合法合規(guī)合標(biāo)評測技術(shù)體系的總體目標(biāo)是在互聯(lián)網(wǎng)+發(fā)展背景下，利用軟件評測技術(shù)與法律法規(guī)的深度跨界融合，促進(jìn)軟件系統(tǒng)合法合規(guī)合標(biāo)、安全、穩(wěn)定、有效、持續(xù)運(yùn)行。實(shí)現(xiàn)軟件合法合規(guī)合標(biāo)性評測服務(wù)及人才與各行各業(yè)中小企業(yè)的自由對接，降低客戶面臨的軟件系統(tǒng)安全風(fēng)險(xiǎn)，促使信息產(chǎn)業(yè)的健康發(fā)展。

【關(guān)鍵詞】合法 合規(guī) 合標(biāo) 評測技術(shù)體系

1 軟件評測的方法與技術(shù)綜述

軟件合法合規(guī)合標(biāo)性評測以國家法律法規(guī)為依據(jù)，通過軟件測試技術(shù)驗(yàn)證軟件產(chǎn)品或信息系統(tǒng)的合法、合規(guī)、合標(biāo)性，驗(yàn)證其的安全性、可靠性、完整性、時(shí)效性，尤其是數(shù)據(jù)來源和數(shù)據(jù)本身的真實(shí)性和準(zhǔn)確性，從而有效判斷其可信程度。

伴隨著互聯(lián)網(wǎng)技術(shù)發(fā)展和軟件遍布到各行業(yè)，各種違法違規(guī)、數(shù)據(jù)真實(shí)性、可靠性、安全性等問題也愈加嚴(yán)重。為保護(hù)跨界帶來的經(jīng)濟(jì)和社會(huì)效益而創(chuàng)造出的新的生態(tài)環(huán)境，有必要將軟件合法合規(guī)性檢測和軟件評測技術(shù)有效結(jié)合，面向企業(yè)提供線上線下相結(jié)合的法律服務(wù)。通過軟件合法合規(guī)合標(biāo)評測技術(shù)體系建設(shè)實(shí)現(xiàn)有效整合軟件法律法規(guī)、評測技術(shù)來為企業(yè)提供線上線下的高效法律服務(wù)，以營造良好的軟件產(chǎn)業(yè)的法制環(huán)境氛圍。

軟件合法合規(guī)合標(biāo)評測技術(shù)體系的總體目標(biāo)是在互聯(lián)網(wǎng)+發(fā)展背景下，利用軟件評測方法和技術(shù)與法律法規(guī)的深度跨界融合，促進(jìn)軟件系統(tǒng)合法合規(guī)、安全、穩(wěn)定、有效、持續(xù)運(yùn)行。通過對軟件系統(tǒng)的合法合規(guī)性、資產(chǎn)完整性、信息安全性、系統(tǒng)高效性、內(nèi)控有效性進(jìn)行評測、咨詢，降低客戶面臨的系統(tǒng)安全風(fēng)險(xiǎn)，促使信息產(chǎn)業(yè)的健康發(fā)展。軟件合法合規(guī)合標(biāo)評測技術(shù)體系的主要任務(wù)是面向企業(yè)線上線下完成對軟件的鑒證、促進(jìn)和咨詢。

軟件評測方法和技術(shù)與法律事務(wù)深度融合，建設(shè)互聯(lián)網(wǎng)時(shí)代的軟件合法合規(guī)合標(biāo)評測技術(shù)體系。總結(jié)和匯總軟件合法合規(guī)性評測評估項(xiàng)目的實(shí)踐經(jīng)驗(yàn)，進(jìn)行深入分析和挖掘，設(shè)計(jì)開發(fā)并推廣軟件合法合規(guī)性評測的共性技術(shù)，以及與軟件相關(guān)的國家法律法規(guī)及相關(guān)標(biāo)準(zhǔn)的服務(wù)庫建設(shè)。

對軟件合法合規(guī)性評測相關(guān)的評測方法和技術(shù)進(jìn)行分解，匹配測試資源，應(yīng)用虛擬技術(shù)及網(wǎng)絡(luò)搭建環(huán)境，在使用現(xiàn)有硬件設(shè)備資源的基礎(chǔ)上，提高并發(fā)技術(shù)服務(wù)的數(shù)量，為各行各業(yè)提供真正有效的遠(yuǎn)程評測服務(wù)。針對當(dāng)前的技術(shù)趨勢，研究電子商務(wù)平臺(tái)、移動(dòng)互聯(lián)網(wǎng)的評測技術(shù)，深入研究嵌入式、物聯(lián)網(wǎng)軟件合法合規(guī)性評測測試技術(shù)。實(shí)現(xiàn)軟件合法合規(guī)合標(biāo)性評測服務(wù)及人才與各行各業(yè)中小企業(yè)的自由對接。

2 軟件合法合規(guī)合標(biāo)評測技術(shù)體系的構(gòu)建

軟件合法合規(guī)合標(biāo)評測技術(shù)體系主要研發(fā)內(nèi)容包括軟件評測門戶、軟件法律法規(guī)服務(wù)庫、評測管理系統(tǒng)、一站式協(xié)同評測服務(wù)體系四大功能模塊子系統(tǒng)。軟件評測門戶包括風(fēng)險(xiǎn)評估、評測計(jì)劃、資源管理、評測項(xiàng)目管理、問題整改跟蹤等；軟件法律法規(guī)服務(wù)庫包括服務(wù)庫管理和檢索管理；評測管理平臺(tái)主要包括評測方法管理、評測技術(shù)管理、標(biāo)準(zhǔn)管理、定級管理、滲透測試系統(tǒng)等。一站式協(xié)調(diào)評測服務(wù)體系主要包括合法合標(biāo)性評測、登記測試、驗(yàn)收測試、鑒定測試、確認(rèn)測試、咨詢服務(wù)等。

軟件合法合規(guī)合標(biāo)評測技術(shù)體系技術(shù)功能架構(gòu)圖如圖1所示。

主要研發(fā)內(nèi)容包括軟件評測門戶、軟件法律法規(guī)服務(wù)庫、評測管理系統(tǒng)、一站式協(xié)同評測服務(wù)體系四大功能模塊子系統(tǒng)。軟件評測門戶包括風(fēng)險(xiǎn)評估、評測計(jì)劃、資源管理、評測項(xiàng)目管理、問題整改跟蹤等；軟件法律法規(guī)服務(wù)庫包括服務(wù)庫管理和檢索管理；評測管理平臺(tái)主要包括評測方法管理、評測技術(shù)、標(biāo)準(zhǔn)管理、定級管理、滲透測試。一站式協(xié)調(diào)評測服務(wù)體系主要包括合法合標(biāo)性評測、登記測試、驗(yàn)收測試、鑒定測試、確認(rèn)測試、咨詢服務(wù)等。

（1）建立線上線下相結(jié)合的一站式協(xié)同評測服務(wù)平臺(tái)，包括合法合規(guī)性評測、登記測試、驗(yàn)收測試等，提高軟件評測的協(xié)調(diào)服務(wù)能力。

（2）通過把軟件評測的方法和技術(shù)作為檢測方式，以及軟件評測技術(shù)與法律事務(wù)深度跨界融合，建立起互聯(lián)網(wǎng)+發(fā)展背景下的軟件研發(fā)、應(yīng)用的合法合規(guī)的新生態(tài)。

（3）利用檢驗(yàn)檢測大數(shù)據(jù)智能挖掘與分析技術(shù)，探索檢測已有大量的涉及軟件方面的法律法規(guī)，建立起軟件評測所依據(jù)的軟件法律法規(guī)標(biāo)準(zhǔn)服務(wù)庫。

軟件合法合規(guī)合標(biāo)評測技術(shù)體系與具體軟件評測技術(shù)和方法相結(jié)合，例如源代碼安全掃描技術(shù)，對系統(tǒng)開發(fā)過程中的編碼、測試、交付驗(yàn)收各階段系統(tǒng)源代碼進(jìn)行安全審計(jì)檢測，利用五大分析引擎對應(yīng)用軟件的源代碼進(jìn)行靜態(tài)的分析，從而對源代碼安全漏洞進(jìn)行定級，給出源代碼安全漏洞分析報(bào)告，提供軟件安全質(zhì)量方面的真實(shí)狀態(tài)信息。例如對某軟件企業(yè)的軟件樣品進(jìn)行代碼掃描，共掃描250個(gè)文件，執(zhí)行20903行代碼，發(fā)現(xiàn)210個(gè)安全漏洞，缺陷密度為10.046Defects/KLOC，最終作為合標(biāo)評測的重要依據(jù)。

3 結(jié)語

通過軟件合法合規(guī)性評測方法和技術(shù)與法律事務(wù)深度融合，借助各地的軟件評測機(jī)構(gòu)建設(shè)“軟件合法合規(guī)合標(biāo)評測技術(shù)體系”，滿足中小企業(yè)隨時(shí)、隨地進(jìn)行軟件合法合規(guī)性評測工作。為客戶提供便捷的屬地化軟件合法合規(guī)合標(biāo)性評測服務(wù)等服務(wù)，把電子商務(wù)、移動(dòng)互聯(lián)、嵌入式、物聯(lián)網(wǎng)軟件合法合規(guī)性評測新技術(shù)應(yīng)用推廣到全國各地，營造出健全的互聯(lián)網(wǎng)時(shí)代的軟件法制環(huán)境和意識，為互聯(lián)網(wǎng)時(shí)代的軟件產(chǎn)業(yè)合法合規(guī)的健康發(fā)展做出貢獻(xiàn)。

作者單位

天津市軟件評測中心 天津市 300384