侯殿君

摘 要軟件合法合規(guī)合標評測技術(shù)體系的總體目標是在互聯(lián)網(wǎng)+發(fā)展背景下，利用軟件評測技術(shù)與法律法規(guī)的深度跨界融合，促進軟件系統(tǒng)合法合規(guī)合標、安全、穩(wěn)定、有效、持續(xù)運行。實現(xiàn)軟件合法合規(guī)合標性評測服務(wù)及人才與各行各業(yè)中小企業(yè)的自由對接，降低客戶面臨的軟件系統(tǒng)安全風險，促使信息產(chǎn)業(yè)的健康發(fā)展。

【關(guān)鍵詞】合法 合規(guī) 合標 評測技術(shù)體系

1 軟件評測的方法與技術(shù)綜述

軟件合法合規(guī)合標性評測以國家法律法規(guī)為依據(jù)，通過軟件測試技術(shù)驗證軟件產(chǎn)品或信息系統(tǒng)的合法、合規(guī)、合標性，驗證其的安全性、可靠性、完整性、時效性，尤其是數(shù)據(jù)來源和數(shù)據(jù)本身的真實性和準確性，從而有效判斷其可信程度。

伴隨著互聯(lián)網(wǎng)技術(shù)發(fā)展和軟件遍布到各行業(yè)，各種違法違規(guī)、數(shù)據(jù)真實性、可靠性、安全性等問題也愈加嚴重。為保護跨界帶來的經(jīng)濟和社會效益而創(chuàng)造出的新的生態(tài)環(huán)境，有必要將軟件合法合規(guī)性檢測和軟件評測技術(shù)有效結(jié)合，面向企業(yè)提供線上線下相結(jié)合的法律服務(wù)。通過軟件合法合規(guī)合標評測技術(shù)體系建設(shè)實現(xiàn)有效整合軟件法律法規(guī)、評測技術(shù)來為企業(yè)提供線上線下的高效法律服務(wù)，以營造良好的軟件產(chǎn)業(yè)的法制環(huán)境氛圍。

軟件合法合規(guī)合標評測技術(shù)體系的總體目標是在互聯(lián)網(wǎng)+發(fā)展背景下，利用軟件評測方法和技術(shù)與法律法規(guī)的深度跨界融合，促進軟件系統(tǒng)合法合規(guī)、安全、穩(wěn)定、有效、持續(xù)運行。通過對軟件系統(tǒng)的合法合規(guī)性、資產(chǎn)完整性、信息安全性、系統(tǒng)高效性、內(nèi)控有效性進行評測、咨詢，降低客戶面臨的系統(tǒng)安全風險，促使信息產(chǎn)業(yè)的健康發(fā)展。軟件合法合規(guī)合標評測技術(shù)體系的主要任務(wù)是面向企業(yè)線上線下完成對軟件的鑒證、促進和咨詢。

軟件評測方法和技術(shù)與法律事務(wù)深度融合，建設(shè)互聯(lián)網(wǎng)時代的軟件合法合規(guī)合標評測技術(shù)體系。總結(jié)和匯總軟件合法合規(guī)性評測評估項目的實踐經(jīng)驗，進行深入分析和挖掘，設(shè)計開發(fā)并推廣軟件合法合規(guī)性評測的共性技術(shù)，以及與軟件相關(guān)的國家法律法規(guī)及相關(guān)標準的服務(wù)庫建設(shè)。

對軟件合法合規(guī)性評測相關(guān)的評測方法和技術(shù)進行分解，匹配測試資源，應(yīng)用虛擬技術(shù)及網(wǎng)絡(luò)搭建環(huán)境，在使用現(xiàn)有硬件設(shè)備資源的基礎(chǔ)上，提高并發(fā)技術(shù)服務(wù)的數(shù)量，為各行各業(yè)提供真正有效的遠程評測服務(wù)。針對當前的技術(shù)趨勢，研究電子商務(wù)平臺、移動互聯(lián)網(wǎng)的評測技術(shù)，深入研究嵌入式、物聯(lián)網(wǎng)軟件合法合規(guī)性評測測試技術(shù)。實現(xiàn)軟件合法合規(guī)合標性評測服務(wù)及人才與各行各業(yè)中小企業(yè)的自由對接。

2 軟件合法合規(guī)合標評測技術(shù)體系的構(gòu)建

軟件合法合規(guī)合標評測技術(shù)體系主要研發(fā)內(nèi)容包括軟件評測門戶、軟件法律法規(guī)服務(wù)庫、評測管理系統(tǒng)、一站式協(xié)同評測服務(wù)體系四大功能模塊子系統(tǒng)。軟件評測門戶包括風險評估、評測計劃、資源管理、評測項目管理、問題整改跟蹤等；軟件法律法規(guī)服務(wù)庫包括服務(wù)庫管理和檢索管理；評測管理平臺主要包括評測方法管理、評測技術(shù)管理、標準管理、定級管理、滲透測試系統(tǒng)等。一站式協(xié)調(diào)評測服務(wù)體系主要包括合法合標性評測、登記測試、驗收測試、鑒定測試、確認測試、咨詢服務(wù)等。

軟件合法合規(guī)合標評測技術(shù)體系技術(shù)功能架構(gòu)圖如圖1所示。

主要研發(fā)內(nèi)容包括軟件評測門戶、軟件法律法規(guī)服務(wù)庫、評測管理系統(tǒng)、一站式協(xié)同評測服務(wù)體系四大功能模塊子系統(tǒng)。軟件評測門戶包括風險評估、評測計劃、資源管理、評測項目管理、問題整改跟蹤等；軟件法律法規(guī)服務(wù)庫包括服務(wù)庫管理和檢索管理；評測管理平臺主要包括評測方法管理、評測技術(shù)、標準管理、定級管理、滲透測試。一站式協(xié)調(diào)評測服務(wù)體系主要包括合法合標性評測、登記測試、驗收測試、鑒定測試、確認測試、咨詢服務(wù)等。

（1）建立線上線下相結(jié)合的一站式協(xié)同評測服務(wù)平臺，包括合法合規(guī)性評測、登記測試、驗收測試等，提高軟件評測的協(xié)調(diào)服務(wù)能力。

（2）通過把軟件評測的方法和技術(shù)作為檢測方式，以及軟件評測技術(shù)與法律事務(wù)深度跨界融合，建立起互聯(lián)網(wǎng)+發(fā)展背景下的軟件研發(fā)、應(yīng)用的合法合規(guī)的新生態(tài)。

（3）利用檢驗檢測大數(shù)據(jù)智能挖掘與分析技術(shù)，探索檢測已有大量的涉及軟件方面的法律法規(guī)，建立起軟件評測所依據(jù)的軟件法律法規(guī)標準服務(wù)庫。

軟件合法合規(guī)合標評測技術(shù)體系與具體軟件評測技術(shù)和方法相結(jié)合，例如源代碼安全掃描技術(shù)，對系統(tǒng)開發(fā)過程中的編碼、測試、交付驗收各階段系統(tǒng)源代碼進行安全審計檢測，利用五大分析引擎對應(yīng)用軟件的源代碼進行靜態(tài)的分析，從而對源代碼安全漏洞進行定級，給出源代碼安全漏洞分析報告，提供軟件安全質(zhì)量方面的真實狀態(tài)信息。例如對某軟件企業(yè)的軟件樣品進行代碼掃描，共掃描250個文件，執(zhí)行20903行代碼，發(fā)現(xiàn)210個安全漏洞，缺陷密度為10.046Defects/KLOC，最終作為合標評測的重要依據(jù)。

3 結(jié)語

通過軟件合法合規(guī)性評測方法和技術(shù)與法律事務(wù)深度融合，借助各地的軟件評測機構(gòu)建設(shè)“軟件合法合規(guī)合標評測技術(shù)體系”，滿足中小企業(yè)隨時、隨地進行軟件合法合規(guī)性評測工作。為客戶提供便捷的屬地化軟件合法合規(guī)合標性評測服務(wù)等服務(wù)，把電子商務(wù)、移動互聯(lián)、嵌入式、物聯(lián)網(wǎng)軟件合法合規(guī)性評測新技術(shù)應(yīng)用推廣到全國各地，營造出健全的互聯(lián)網(wǎng)時代的軟件法制環(huán)境和意識，為互聯(lián)網(wǎng)時代的軟件產(chǎn)業(yè)合法合規(guī)的健康發(fā)展做出貢獻。

作者單位

天津市軟件評測中心 天津市 300384