田陸峰+張露燕

摘要：該文是基于企業(yè)安全審計(jì)系統(tǒng)需求，通過系統(tǒng)的軟件開發(fā)分析與設(shè)計(jì)，結(jié)合企業(yè)安全審計(jì)系統(tǒng)相關(guān)模塊的規(guī)劃與設(shè)計(jì)，共同完成了對(duì)企業(yè)安全審計(jì)系統(tǒng)的實(shí)現(xiàn)和開發(fā)。同時(shí)，介紹了企業(yè)安全審計(jì)系統(tǒng)的測試模型和方法，以及企業(yè)安全審計(jì)系統(tǒng)的測試計(jì)劃和方法，希望給同類系統(tǒng)的研究者提供支持和幫助。

關(guān)鍵詞：企業(yè)安全審計(jì)系統(tǒng)；模塊設(shè)計(jì)；測試模型

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）22-0049-02

1 概述

隨著國家改革開放的不斷深入，互聯(lián)網(wǎng)的應(yīng)用深入到了企業(yè)工作中的各個(gè)方面，企業(yè)發(fā)展面臨著前所未有的挑戰(zhàn)。企業(yè)員工通過互聯(lián)網(wǎng)辦公的行為越來越多，互聯(lián)網(wǎng)在方便企業(yè)員工的同時(shí)，也帶來了員工工作效率低下、容易泄露企業(yè)秘密，造成企業(yè)的網(wǎng)絡(luò)安全沒有保障，企業(yè)的信息資源網(wǎng)絡(luò)泄密等風(fēng)險(xiǎn)。企業(yè)安全掃描過程漫長、排查隱患不合理、問題定位不精確、掃描缺乏深度、安全結(jié)論模糊等一系列業(yè)技術(shù)難題。這在很大程度上影響了公司的進(jìn)一步發(fā)展。本系統(tǒng)正是在這種背景之下提出的。集中表現(xiàn)在以下幾個(gè)方面：

1）提高了企業(yè)的經(jīng)營質(zhì)量和效率。

2）提高企業(yè)員工辦公的工作效率，加強(qiáng)企業(yè)互聯(lián)網(wǎng)使用制度管理。

3）降低企業(yè)的人員管理成本，減少人為因素和管理缺失造成的關(guān)鍵業(yè)務(wù)停頓造成的損失。

4）降低企業(yè)泄密事件風(fēng)險(xiǎn)，為企業(yè)的互聯(lián)網(wǎng)環(huán)境提供安全保障。

5）管理部門應(yīng)加強(qiáng)對(duì)員工互聯(lián)網(wǎng)通信數(shù)據(jù)和通話內(nèi)容的監(jiān)管、審計(jì)。

2 企業(yè)安全審計(jì)系統(tǒng)的需求分析與設(shè)計(jì)

通過調(diào)查，要求系統(tǒng)需要有以下功能；1）有良好的人機(jī)界面，有較好權(quán)限管理；2）系統(tǒng)操作簡單，容易學(xué)習(xí)，容易理解，快速上手使用系統(tǒng)；3）系統(tǒng)數(shù)據(jù)安全加密、系統(tǒng)具有數(shù)據(jù)備份和數(shù)據(jù)還原功能；4） 方便的全方位的數(shù)據(jù)查詢；5）審計(jì)數(shù)據(jù)的瀏覽和下載；6）企業(yè)工作電話的通話內(nèi)容錄制；7）非工作互聯(lián)網(wǎng)網(wǎng)絡(luò)站點(diǎn)的訪問；8）企業(yè)員工網(wǎng)絡(luò)數(shù)據(jù)瀏覽的統(tǒng)計(jì)和分析。

通過對(duì)企業(yè)需求的分析得出，需要設(shè)計(jì)的模塊為：系統(tǒng)狀態(tài)監(jiān)控、設(shè)置向?qū)?、員工網(wǎng)絡(luò)行為監(jiān)控、員工通話記錄、員工上網(wǎng)行為過濾、員工網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計(jì)分析、系統(tǒng)管理七大模塊。

3 企業(yè)安全審計(jì)系統(tǒng)的模塊規(guī)劃與詳細(xì)設(shè)計(jì)

安全審計(jì)系統(tǒng)是一個(gè)典型的數(shù)據(jù)庫開發(fā)與應(yīng)用的程序，能夠通過互聯(lián)網(wǎng)上網(wǎng)的技術(shù)手段對(duì)員工互聯(lián)網(wǎng)行為進(jìn)行監(jiān)督、審計(jì)和管理，避免企業(yè)重要信息資源泄露，以及發(fā)生泄密事件后能夠溯源找到相關(guān)證據(jù)和原因提供技術(shù)層面的支持。其相關(guān)的模塊等部分是本系統(tǒng)的重要組成部分，特此規(guī)劃本系統(tǒng)的功能模塊如下：

※ 系統(tǒng)狀態(tài)監(jiān)控模塊

該模塊主要負(fù)責(zé)系統(tǒng)的接入方式、數(shù)據(jù)來源的管理狀況；員工網(wǎng)絡(luò)行為監(jiān)控的狀態(tài)和現(xiàn)在的工作模式；員工通話記錄的監(jiān)控的啟用和停止?fàn)顟B(tài)；員工上網(wǎng)行為過濾的啟用和停止?fàn)顟B(tài)。

※設(shè)置向?qū)K

該模塊主要負(fù)責(zé)系統(tǒng)監(jiān)管內(nèi)容設(shè)置、系統(tǒng)互聯(lián)網(wǎng)接入方式設(shè)置、系統(tǒng)用戶使用權(quán)限設(shè)置、員工互聯(lián)網(wǎng)數(shù)據(jù)監(jiān)控設(shè)置、員工通話記錄設(shè)置、員工上網(wǎng)行為過濾設(shè)置。

※ 員工網(wǎng)絡(luò)行為監(jiān)控

該模塊主要負(fù)責(zé)對(duì)員工網(wǎng)絡(luò)行為監(jiān)控的基本設(shè)置；啟用和停止監(jiān)控；網(wǎng)絡(luò)行為的回放、審計(jì)和下載——支持對(duì)上網(wǎng)時(shí)間、IP、URL、MAC、關(guān)鍵字、上網(wǎng)賬號(hào)、上網(wǎng)電話、郵件類型進(jìn)行回放、審計(jì)和下載。支持對(duì)http上傳、http下載、https、smtp、pop3、telnet、ftp、qq、msn、skype、微信、飛信、qq傳輸文件、web郵件傳輸、web網(wǎng)站訪問、sohu微博、sina微博、其他未知協(xié)議跟蹤等具體的按協(xié)議分類的回放、審計(jì)和下載；員工上網(wǎng)身份查詢；員工網(wǎng)絡(luò)行為實(shí)時(shí)回放、審計(jì)和下載。

※ 員工通話記錄模塊

該模塊主要負(fù)責(zé)員工辦公室固定電話通話內(nèi)容回放；通話內(nèi)容記錄啟用和停止設(shè)置。

※ 員工上網(wǎng)行為過濾模塊

該模塊主要負(fù)責(zé)員工上網(wǎng)行為過濾規(guī)則的設(shè)置——支持對(duì)ip、mac、端口、url、http代理、組合策略（ip+端口、mac+端口）等規(guī)則進(jìn)行過濾和放行；過濾行為啟用和停止設(shè)置。

※ 員工網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計(jì)和分析模塊

該模塊主要負(fù)責(zé)員工網(wǎng)絡(luò)數(shù)據(jù)時(shí)間統(tǒng)計(jì)和分析——支持對(duì)ip、mac、賬號(hào)的統(tǒng)計(jì)和分析；員工網(wǎng)絡(luò)數(shù)據(jù)軌跡統(tǒng)計(jì)和分析——支持對(duì)ip、mac、賬號(hào)的統(tǒng)計(jì)和分析；

※ 系統(tǒng)管理模塊

該模塊主要負(fù)責(zé)權(quán)限管理、數(shù)據(jù)備份、數(shù)據(jù)還原、版本升級(jí)、設(shè)備狀態(tài)、關(guān)閉設(shè)備、工具下載、操作日志審查。

※其他功能模塊

該模塊主要負(fù)責(zé)系統(tǒng)版本信息、重新登錄、退出系統(tǒng)。

4 軟件開發(fā)過程

本系統(tǒng)的開發(fā)結(jié)合軟件信息系統(tǒng)的開發(fā)階段分為下面4個(gè)子階段：需求分析階段、架構(gòu)設(shè)計(jì)階段、程序編碼階段、系統(tǒng)測試和調(diào)試階段。

1）分析階段

進(jìn)行需求分析（requirement analysis）：理解問題需求，包括程序是否需要和用戶進(jìn)行交互，是否操縱數(shù)據(jù)，是否有輸出結(jié)果以及輸出結(jié)果的格式等等。如果程序需要對(duì)數(shù)據(jù)進(jìn)行操作，開發(fā)人員必須了解數(shù)據(jù)類型及它們的表示方法。這時(shí)候可能會(huì)接觸一些樣本數(shù)據(jù)。如果程序有輸出信息，必須確定它們所生成的結(jié)果及輸出格式等；如果需要解決的問題過于復(fù)雜，可以把它分解為多個(gè)子問題，在對(duì)每個(gè)子問題做相應(yīng)的需求分析。

2）設(shè)計(jì)階段

結(jié)構(gòu)化設(shè)計(jì)方法

將一個(gè)問題分解為若干個(gè)子問題的方法叫做結(jié)構(gòu)化設(shè)計(jì)方法。結(jié)構(gòu)化設(shè)計(jì)方法又叫做自頂向下的設(shè)計(jì)方法、逐步求精方法和模塊化程序設(shè)計(jì)方法。在結(jié)構(gòu)化設(shè)計(jì)方法中，問題被分解為若干子問題，然后分別對(duì)每個(gè)子問題進(jìn)行分析和求解。所有子問題的解合并起來就是原始問題的解。使用結(jié)構(gòu)化設(shè)計(jì)方法進(jìn)行編程就叫做結(jié)構(gòu)化程序設(shè)計(jì)。

面向?qū)ο笤O(shè)計(jì)方法

在面向?qū)ο笤O(shè)計(jì)方法中，求解問題的首要步驟是識(shí)別稱為“對(duì)象”的組件（它是運(yùn)用該方法求解問題的基礎(chǔ)）和確定對(duì)象之間如何進(jìn)行交互。對(duì)象包括數(shù)據(jù)和在數(shù)據(jù)上執(zhí)行的操作。對(duì)象可以看作數(shù)據(jù)和其上操作的統(tǒng)一體。使用面向?qū)ο蠓椒ň幊蹋罱K的程序是交互對(duì)象的集合。實(shí)現(xiàn)面向?qū)ο笤O(shè)計(jì)方法的編程語言叫做面向?qū)ο蟪绦蛟O(shè)計(jì)語言。

3）編程階段

在編程階段，編寫和編譯程序代碼，以實(shí)現(xiàn)在設(shè)計(jì)階段分析得到的類和函數(shù)。

4）測試和調(diào)試

系統(tǒng)測試是保證軟件開發(fā)質(zhì)量的主要手段，測試目的不在于找出錯(cuò)誤，而在于遍歷軟件系統(tǒng)各功能和邊界條件，保障軟件系統(tǒng)的正常工作和運(yùn)行，是評(píng)價(jià)系統(tǒng)軟件質(zhì)量的重要方法之一。

5 軟件開發(fā)模型（方法）

本系統(tǒng)開發(fā)采用增量的軟件開發(fā)模型來實(shí)現(xiàn)系統(tǒng)各功能模塊。

1）瀑布模型

該模型嚴(yán)格按照需求分析、軟件設(shè)計(jì)、程序編碼、系統(tǒng)測試、運(yùn)行和維護(hù)一級(jí)一級(jí)的向下執(zhí)行，每個(gè)階段必須經(jīng)過階段性評(píng)審，并通過評(píng)審，再進(jìn)入下一個(gè)開發(fā)階段。

2）原型方法模型

在開發(fā)的早期階段，系統(tǒng)需求不確定時(shí)采用。通過一個(gè)簡單的功能實(shí)現(xiàn)系統(tǒng)再進(jìn)一步確認(rèn)系統(tǒng)將要實(shí)現(xiàn)的各功能的一種開發(fā)模型。

3）增量模型（漸增模型）

結(jié)合了原型方法模型和瀑布模型的基本軟件開發(fā)階段，該模型首先通過早期的原型系統(tǒng)建立的模型，再進(jìn)一步按照瀑布模型的各階段完成系統(tǒng)開發(fā)。再次迭代原型系統(tǒng)模型和階段開發(fā)模型直至系統(tǒng)所有功能滿足用戶需求。

6 軟件測試與維護(hù)

1）軟件測試：

測試這個(gè)術(shù)語表示檢測程序的正確性，即檢查程序是不是完成了需要完成的工作。而調(diào)試一詞指，如果程序存在錯(cuò)誤，如何找到并修改錯(cuò)誤。在每寫完一個(gè)函數(shù)或算法后，接下來應(yīng)該驗(yàn)證它是否正確工作。在復(fù)雜的大型程序中，錯(cuò)誤是一定存在的。為了提高程序的可靠性，必須在交付用戶前發(fā)現(xiàn)并修改其中的錯(cuò)誤。

測試有兩類方法，即：黑盒測試和白盒測試。使用黑盒測試方法時(shí)，您不需要知道算法或函數(shù)的內(nèi)部實(shí)現(xiàn)，只需要知道程序的功能即可黑盒測試是基于輸入輸出的方法。它的測試用例通過創(chuàng)建等價(jià)類來選取。如果程序?qū)τ诘葍r(jià)類中的某個(gè)輸入的輸出結(jié)果是正確的話，那么就認(rèn)為對(duì)應(yīng)該等價(jià)類中其他輸入也會(huì)輸出同樣的正確結(jié)果。白盒測試法需要測試人員遍歷測試程序的內(nèi)部邏輯結(jié)構(gòu)和業(yè)務(wù)處理流程的一種測試方法。常見的白盒測試方法有：基本路徑測試、循環(huán)覆蓋測試、邏輯覆蓋測試，測試的重點(diǎn)在于檢驗(yàn)內(nèi)部邏輯結(jié)構(gòu)和業(yè)務(wù)實(shí)現(xiàn)流程。

2）軟件維護(hù)：軟件開發(fā)的工作的結(jié)果就是交付一個(gè)滿足用戶需求的軟件產(chǎn)品。軟件產(chǎn)品一旦投入應(yīng)用，產(chǎn)品的缺陷就會(huì)逐漸的暴露出來，運(yùn)行的環(huán)境會(huì)逐漸發(fā)生變化，新的用戶也會(huì)不斷地浮出水面。軟件維護(hù)就是要針對(duì)這些問題而對(duì)軟件產(chǎn)品進(jìn)行相應(yīng)的修改或演化，從而真正的修改錯(cuò)誤，改善性能或其他特征。

軟件維護(hù)是整個(gè)軟件開發(fā)生命周期歷時(shí)最長得工作，主要是為了保障軟件系統(tǒng)的正常工作和運(yùn)行直至軟件使用消亡或更新?lián)Q代。軟件的維護(hù)主要可分為三種：改正性維護(hù)（糾正軟件存在的錯(cuò)誤和缺陷）、適應(yīng)性維護(hù)（適應(yīng)內(nèi)、外部環(huán)境）、完善性維護(hù)（添加、擴(kuò)容和升級(jí)新的軟件功能）。

參考文獻(xiàn)：

[1] 沈備軍.軟件工程原理[M]. 北京：高等教育出版社，2013.

[2] 張海藩，倪寧.軟件工程[M].北京：人民郵電出版社，2010.

[3] 陳明.軟件工程導(dǎo)論[M].3版.北京：機(jī)械工業(yè)出版社，2010.

[4] 錢曉明，朱健江，王曉勇.軟件工程[M].北京：中國鐵道出版社，2007.

[5] 呂云翔，王昕鵬.軟件工程[M]. 北京：人民郵電出版社，2009.

[6] Carig Larman.UML和模式應(yīng)用[M]. 3版. 北京：機(jī)械工業(yè)出版社，2006.

[7] Grady Booch.Object-Oriented Analysis and Design with Applications[M]. Addison Wesley Longman Publishing Co.， Inc， 2003.

[8] 謝星星，沈露卓. UML基礎(chǔ)與Rose建模實(shí)用教程[M]. 北京：清華大學(xué)出版社，2008.

[9] 楊根興.軟件質(zhì)量保證、測試與評(píng)價(jià)[M]. 北京：清華大學(xué)出版社，2007.