于敏，楊春暉

(工業(yè)和信息化部電子第五研究所，廣東廣州 510610)

0 引言

可信性是需要時產(chǎn)品按要求執(zhí)行的能力，是用于描述產(chǎn)品性能中與時間相關(guān)特性的集合性術(shù)語[1]?？尚判允侵冈诮o定的使用和維修保障要求條件下的特性，包括可用性 (Availability)、可靠性(Reliability)、恢復(fù)性 (Recoverability)、維修性(Maintainability)和維修保障性 (Maintenance support)等，以及在某些情況下，諸如耐久性 (Durability)、安全性 (Safety)和安保 (Security)等其他特性?？尚判悦枋隽讼嘈攀挛锬芟袼谕哪菢庸ぷ鞯某潭?。可信性能夠建立信任和樹立信心，并影響組織滿足目標(biāo)的能力，它可通過產(chǎn)品壽命周期內(nèi)有效的策劃及實施可信性活動來獲得[2]。如果產(chǎn)品的可信性高，則表明該產(chǎn)品是值得信賴的，并且能夠執(zhí)行所需的服務(wù)以滿足用戶需求；差的可信性將嚴(yán)重地影響用戶對于由組織開發(fā)或提供的產(chǎn)品價值的認(rèn)知。

目前，隨著計算機(jī)應(yīng)用的不斷發(fā)展，軟件的應(yīng)用范圍越來越廣泛，軟件失效造成的后果也愈加嚴(yán)重，特別是在航空航天、金融保險、交通通信和工業(yè)控制等關(guān)系國計民生的重要領(lǐng)域，軟件一旦失效就將造成重大的損失。同時，隨著軟件的規(guī)模越來越大，軟件的開發(fā)、集成和維護(hù)工作越來越復(fù)雜，因此對軟件的可信性提出了更高的要求。雖然軟件可信性日益受到關(guān)注，但是，多年來，軟件領(lǐng)域的標(biāo)準(zhǔn)主要集中在軟件工程、軟件過程管理和軟件質(zhì)量方面，很少有標(biāo)準(zhǔn)從可信性的角度來解決軟件的問題。目前，軟件可信性相關(guān)的指南標(biāo)準(zhǔn)，國際標(biāo)準(zhǔn)方面主要有IEC 62628：2012“Guidance on software aspects of dependability(《軟件可信性指南》)”，國內(nèi)標(biāo)準(zhǔn)方面主要有國軍標(biāo)GJB/Z 102A-2012《軍用軟件安全性設(shè)計指南》、GJB/Z 142-2004《軍用軟件安全性分析指南》、GJB/Z 157-2011《軍用軟件安全保證指南》和GJB/Z 161-2012《軍用軟件可靠性評估指南》。本文對上述5個標(biāo)準(zhǔn)進(jìn)行了系統(tǒng)性的對比研究，以期為軟件可信性領(lǐng)域標(biāo)準(zhǔn)的工程使用提供一定的參考。

1 軟件可信性指南標(biāo)準(zhǔn)簡介

1.1 IEC 62628： 2012標(biāo)準(zhǔn)

IEC 62628：2012標(biāo)準(zhǔn)是一個完整的軟件可信性指南標(biāo)準(zhǔn)[3]。軟件技術(shù)的發(fā)展和軟件應(yīng)用在行業(yè)實踐中的快速適應(yīng)，已經(jīng)為全球商業(yè)環(huán)境的實際軟件可信性標(biāo)準(zhǔn)提供了必要的條件。該標(biāo)準(zhǔn)確定了管理在軟件可信性方面的影響，并提供了相關(guān)的技術(shù)過程來處理系統(tǒng)中軟件的可信性問題。此外，該標(biāo)準(zhǔn)還提供了當(dāng)前行業(yè)的最佳實踐，并提出了相關(guān)的方法，以促進(jìn)軟件可信性的實現(xiàn)。

該標(biāo)準(zhǔn)解決了軟件可信性問題，給出了受管理準(zhǔn)則、設(shè)計過程和應(yīng)用環(huán)境影響的軟件可信性的指導(dǎo)；建立了關(guān)于軟件可信性需求的通用框架，提供了用于系統(tǒng)生命周期的軟件可信性過程，提出了軟件可信性設(shè)計和實施的保證準(zhǔn)則和方法，并提供了軟件系統(tǒng)性能評估和可信性度量的實施方法。該國際標(biāo)準(zhǔn)適用于切實關(guān)心軟件產(chǎn)品和系統(tǒng)可信性的開發(fā)人員、供應(yīng)商、系統(tǒng)集成商、操作人員、維護(hù)人員和軟件系統(tǒng)的用戶，但并不適用于產(chǎn)品的合格評審或認(rèn)證。

1.2 GJB/Z 102A-2012標(biāo)準(zhǔn)

根據(jù)可信性的定義，可靠性是可信性的一種重要特性，在某些情況下，安全性也是可信性的一種重要特性。在軍用軟件可靠性和安全性方面，1997年我國制定并發(fā)布了GJB/Z 102-1997《軟件可靠性和安全性設(shè)計準(zhǔn)則》，自其發(fā)布以來，軟件可靠性和安全性工作越來越受到重視，目前，該標(biāo)準(zhǔn)已被廣泛地應(yīng)用于武器裝備軟件的設(shè)計過程中，并取得了良好的效果，為保證工程項目和型號的可靠性和安全性發(fā)揮了重要的作用[4]。但為了使GJB/Z 102-1997更加符合我國軍用軟件開發(fā)的實際，2012年完成了對該標(biāo)準(zhǔn)的修訂，刪除或修改了與當(dāng)前實際情況不符的有關(guān)要求和準(zhǔn)則，增加了國內(nèi)外的最佳實踐和經(jīng)驗教訓(xùn)，以便更好地指導(dǎo)軍用軟件的開發(fā)，提高武器裝備的可靠性和安全性。

GJB/Z 102A-2012是關(guān)于軍用軟件安全性設(shè)計的實施指南[5]，是GJB/Z 102-1997的修訂標(biāo)準(zhǔn)，修訂時將標(biāo)準(zhǔn)名稱改為 《軍用軟件安全性設(shè)計指南》。修訂后的標(biāo)準(zhǔn)規(guī)定了軍用軟件安全性設(shè)計的實施指南，其適用范圍涉及軍用軟件需求分析、設(shè)計和實現(xiàn)時的軟件安全性設(shè)計要求。需要特別說明的是，軟件可靠性設(shè)計也可參考GJB/Z 102A-2012標(biāo)準(zhǔn)?？煽啃院桶踩苑謱儆趦砷T不同的工程學(xué)科，存在著較大的區(qū)別，即：一般在安全性研究中用 “事故”來描述事件，關(guān)心的是人員和設(shè)備財產(chǎn)的損失程度；而在可靠性研究中用 “故障”來描述事件，關(guān)心的是任務(wù)未執(zhí)行的程度。但可靠性和安全性又密切相關(guān)，可靠性和安全性的聯(lián)系是，當(dāng)系統(tǒng)的可靠性下降時，發(fā)生故障的概率提高，當(dāng)故障出現(xiàn)后，不僅會造成系統(tǒng)的性能下降，而且發(fā)生事故的概率會提高，即系統(tǒng)的安全性會下降；反之，當(dāng)有事故發(fā)生時，系統(tǒng)可能會停止運轉(zhuǎn)，此時的事故從可靠性角度來講就是故障。因此，軟件安全性和軟件可靠性既有區(qū)別又緊密相關(guān)，在設(shè)計層面上有著廣泛的交集，GJB/Z 102A-2012中的許多設(shè)計要求既是軟件安全性設(shè)計準(zhǔn)則，也是軟件可靠性設(shè)計準(zhǔn)則，實際工程中有時將其統(tǒng)稱為軟件可靠性安全性設(shè)計準(zhǔn)則。GJB/Z 102A-2012標(biāo)準(zhǔn)修訂時名稱中去掉了 “可靠性”一詞，主要是緣于軟件安全性支撐標(biāo)準(zhǔn)體系建設(shè)的需求，并非是因刪除了GJB/Z 102-1997中的可靠性內(nèi)容所致[6]。

1.3 GJB/Z 142-2004標(biāo)準(zhǔn)

GJB 900A-2012《裝備安全性工作通用要求》的600系列提出了針對軟件的安全性頂層工作要求，包括 “工作項目601：外購與重用軟件的分析與測試”“工作項目602：軟件安全性需求與分析”“工作項目603：軟件設(shè)計安全性分析”“工作項目604：軟件代碼安全性分析”“工作項目605：軟件安全性測試分析”和 “工作項目606：運行階段的軟件安全性工作”[7]。支持GJB 900A-2012具體工作項目實施的軟件安全性下層次支撐標(biāo)準(zhǔn)，除了有指導(dǎo)軟件安全性設(shè)計工作的GJB/Z 102A-2012標(biāo)準(zhǔn)外，還有用于指導(dǎo)軟件安全性的分析工作的GJB/Z 142-2004《軍用軟件安全性分析指南》標(biāo)準(zhǔn)。GJB/Z 142-2004標(biāo)準(zhǔn)給出了在軟件生存周期中實施軟件安全性分析的指南[8]，適用于安全相關(guān)軟件的獲取、供應(yīng)、開發(fā)、運行和維護(hù)，可被安全相關(guān)軟件的需方、供方、開發(fā)者、維護(hù)者和獨立的評價者使用。

1.4 GJB/Z 157-2011標(biāo)準(zhǔn)

根據(jù)可信性的定義，在某些情況下，安保也是可信性的一種重要特性。在軍用軟件安全保證方面，2011年我國制定并發(fā)布了GJB/Z 157-2011《軍用軟件安全保證指南》[9]。該標(biāo)準(zhǔn)規(guī)定了獲取軟件安全保證的一般過程和對安全保證過程的技術(shù)要求，適用于具有安保要求的軍用軟件的開發(fā)、運行和評估。該指導(dǎo)性技術(shù)文件適用于軍用軟件的管理部門、用戶、開發(fā)方和獨立的評估機(jī)構(gòu)。

1.5 GJB/Z 161-2012標(biāo)準(zhǔn)

GJB/Z 161-2012《軍用軟件可靠性評估指南》是軍用軟件可靠性評估的指導(dǎo)性技術(shù)文件[10-11]。該指南規(guī)定了軍用軟件可靠性評估的基本要求和規(guī)程，并給出了軟件可靠性評估模型。對于有可靠性定量要求的軟件，該指南可用于指導(dǎo)在軟件可靠性增長測試過程中對軟件可靠性進(jìn)行評估和預(yù)測，從而為測試管理提供依據(jù)，也可以在使用中對軟件的可靠性進(jìn)行評估。本標(biāo)準(zhǔn)的適用范圍是 “軟件開發(fā)過程中計算機(jī)軟件配置項測試、系統(tǒng)測試，以及軟件運行和維護(hù)階段進(jìn)行軟件可靠性增長預(yù)計和評估”。因此，該指南可用于在軟件開發(fā)測試階段的后期進(jìn)行可靠性的增長預(yù)計和評估，以評價是否達(dá)到預(yù)期的軟件可靠性指標(biāo)要求，預(yù)測為達(dá)到預(yù)期的指標(biāo)要求還需要開展的測試工作量；也可以在運行維護(hù)階段對軟件的可靠性進(jìn)行評估。

2 軟件可信性指南標(biāo)準(zhǔn)技術(shù)比較

2.1 標(biāo)準(zhǔn)關(guān)注的軟件性能特性不同

可信性是用于產(chǎn)品與時間相關(guān)性能特性的集合性術(shù)語，國際標(biāo)準(zhǔn)IEC 62628：2012考慮的是軟件可信性，即考慮了軟件包括可用性、可靠性、恢復(fù)性、維修性、維修保障性、耐久性、安全性和安保等各方面特性在內(nèi)的可信性。國家軍用標(biāo)準(zhǔn)針對的則是軟件可信性的某一方面，其中：GJB/Z 102A-2012考慮的是軟件的安全性和可靠性，GJB/Z 142-2004則僅考慮了軟件的安全性，GJB/Z 157-2011考慮的是軟件的安保特性，GJB/Z 161-2012考慮的是軟件的可靠性。因此，IEC 62628：2012更具有一般性和通用性；而國家軍用標(biāo)準(zhǔn)考慮的是軟件可信性的某一方面，更具有針對性。

2.2 標(biāo)準(zhǔn)所適用的軟件生命周期階段不同

在GB/T 11457-2006《信息技術(shù) 軟件工程術(shù)語》中，“軟件生存周期”的定義為：“當(dāng)軟件產(chǎn)品從構(gòu)思開始至軟件不再可用結(jié)束的時間周期。軟件典型的生存周期包括需求階段、設(shè)計階段、實現(xiàn)階段、測試階段、安裝和驗收階段、操作和維護(hù)階段，有時還包括退役階段[12]”。

本文考慮的幾個標(biāo)準(zhǔn)，適用的軟件生存周期階段也有所不同。其中：IEC 62628：2012提供了軟件全生存周期實現(xiàn)軟件可信性的指南，GJB/Z 142-2004給出了在軟件全生存周期中實施軟件安全性分析的指南，GJB/Z 157-2011主要用于具有安保要求的軍用軟件全生存周期獲取軟件安全保證的指南，這3個標(biāo)準(zhǔn)都可用于軟件的全生存周期。其他兩個標(biāo)準(zhǔn)則適用于軟件的部分生存周期階段，如：GJB/Z 102A-2012主要用于軟件需求階段、設(shè)計階段和實現(xiàn)階段，規(guī)定了軍用軟件需求分析、設(shè)計和實現(xiàn)時的軟件安全性設(shè)計要求；GJB/Z 161-2012主要用于測試階段和操作維護(hù)階段，在這兩個階段對軟件的可靠性進(jìn)行評估。

2.3 標(biāo)準(zhǔn)內(nèi)容比較

2.3.1 IEC 62628：2012標(biāo)準(zhǔn)的主要內(nèi)容

IEC 62628：2012標(biāo)準(zhǔn)建立了關(guān)于軟件可信性需求的通用框架，提供了用于系統(tǒng)生命周期的軟件可信性過程，提出了軟件可信性設(shè)計和實施的保證準(zhǔn)則和方法，并提供了軟件系統(tǒng)性能評估和可信性度量的實施方法。具體的內(nèi)容如下所述。

a)軟件可信性概述，對軟件和軟件系統(tǒng)、軟件可信性和軟件組織、軟件和硬件可信性的關(guān)系、軟件和硬件的交互幾個方面進(jìn)行了說明。

b)軟件可信性工程和應(yīng)用，明確了軟件可信性工程和應(yīng)用的幾個方面，包括：系統(tǒng)生命周期框架、軟件可信性項目實施、軟件生命周期活動、軟件可信性屬性、軟件設(shè)計環(huán)境、建立軟件需求、軟件可信性目標(biāo)、軟件故障的分類和軟件可信性實施策略，具體包括以下幾個方面的內(nèi)容。

1)系統(tǒng)生命周期框架，應(yīng)建立一個系統(tǒng)生命周期框架來指導(dǎo)產(chǎn)品開發(fā)和系統(tǒng)實施，框架用于定義系統(tǒng)壽命周期并管理系統(tǒng)壽命周期過程，IEC 60300-3-15標(biāo)準(zhǔn)描述了系統(tǒng)可信性工程和生命周期實施[13]。

2)軟件可信性項目實施，在設(shè)計周期和系統(tǒng)生命周期的使用生命周期中，軟件工程活動應(yīng)該與它們的硬件設(shè)備一起進(jìn)行規(guī)劃、協(xié)調(diào)和管理，標(biāo)準(zhǔn)推薦了軟件項目實施時實現(xiàn)軟件可信性的程序。

3)軟件生命周期活動，規(guī)定了軟件生命周期應(yīng)包括以下活動，即：需求定義、需求分析、架構(gòu)設(shè)計、詳細(xì)設(shè)計、實現(xiàn)、集成、驗收、操作和維護(hù)、軟件升級/提高、退役。

4)軟件可信性屬性，軟件可信性屬性是軟件設(shè)計中固有的特性，主要的軟件可靠性屬性或內(nèi)在的軟件可信性特性有助于系統(tǒng)的可信性目標(biāo)的實現(xiàn)，應(yīng)包括可用性、可靠性、維修性、恢復(fù)性和完整性、特定的應(yīng)用程序相關(guān)性能屬性有助于系統(tǒng)可信性目標(biāo)的實現(xiàn)，應(yīng)包括但不局限于安保、安全性、可操作性、可重用性、保障性和可移植性。

5)軟件設(shè)計環(huán)境，依賴于一個有組織的過程，可促進(jìn)良好的設(shè)計實踐，實現(xiàn)無錯誤的代碼生成，最小化需求定義中的錯誤，并確保軟件發(fā)布的測試驗證。軟件設(shè)計環(huán)境和實踐原則應(yīng)包括在組織策略中，以建立和實現(xiàn)可信性的使命和目標(biāo)。

6)軟件需求和可信性目標(biāo)，應(yīng)該是整個軟件產(chǎn)品規(guī)格的一部分，與軟件需求相關(guān)的可信性活動具有特定的應(yīng)用。在整個軟件生命周期中實現(xiàn)相關(guān)可信性活動的系統(tǒng)方法將確?？煽啃阅繕?biāo)的實現(xiàn)。標(biāo)準(zhǔn)說明了軟件開發(fā)中應(yīng)考慮的影響可信性實現(xiàn)的因素。

7)軟件故障分類，提供了一種捕捉和分組相關(guān)軟件故障信息的手段，分類過程幫助軟件設(shè)計者發(fā)現(xiàn)不尋常的故障模式并進(jìn)行整改。軟件故障可以被分為規(guī)范故障、設(shè)計故障、編程故障、編譯器插入錯誤或軟件維護(hù)期間引入的故障。同時，標(biāo)準(zhǔn)對軟件工程中軟件故障 (缺陷)數(shù)據(jù)分析常用的正交缺陷分類 (ODC)進(jìn)行了說明。

8)軟件可信性實施策略，一般包括軟件故障避免和軟件故障控制，標(biāo)準(zhǔn)推薦了軟件故障規(guī)避策略，包括故障預(yù)防和故障消除；推薦了軟件故障控制策略，包括容錯和故障/失效預(yù)測。

c)軟件可信性應(yīng)用方法，包括實現(xiàn)可信性的軟件開發(fā)實踐、軟件可信性度量和數(shù)據(jù)收集、軟件可信性評價和軟件可信性提高，具體包括以下幾個方面的內(nèi)容。

1)實現(xiàn)可信性的軟件開發(fā)實踐，建議了在軟件開發(fā)過程中采用的故障避免和故障控制技術(shù)。

2)軟件可信性度量和數(shù)據(jù)收集，其中：軟件可信性度量是軟件系統(tǒng)可信性特性的測量，以下軟件度量標(biāo)準(zhǔn)實際上是應(yīng)用程序的行業(yè)標(biāo)準(zhǔn)，可用于軟件系統(tǒng)可信性評估，包括可用度、失效頻率、失效前時間、恢復(fù)時間、故障密度、功能點、代碼覆蓋率、故障消除率、殘余的軟件故障和軟件發(fā)布時間，以及軟件復(fù)雜性等；在軟件生命周期因各種原因應(yīng)使用多種度量，為方便數(shù)據(jù)收集，將軟件度量分為3類，即：故障數(shù)據(jù)度量、產(chǎn)品數(shù)據(jù)度量和過程數(shù)據(jù)度量。

3)軟件可信性評價，軟件可信性過程實現(xiàn)的目標(biāo)是確保軟件系統(tǒng)開發(fā)的成熟度和可信性的實現(xiàn)。評估過程是一種使能機(jī)制，確保軟件需求驗證和系統(tǒng)性能結(jié)果中軟件可信性的確認(rèn)。根據(jù)行業(yè)實踐，可信性評估過程應(yīng)結(jié)合重要的軟件工程活動，并推薦了軟件可信性評估過程，包括：確定用戶需求和系統(tǒng)性能目標(biāo)，形成可信性規(guī)范；建立軟件操作剖面；分配適用的可靠性屬性；進(jìn)行可信性分析和評估，以確定可能的解決方案；進(jìn)行軟件測試和測量；進(jìn)行軟件驗證和軟件系統(tǒng)確認(rèn)；執(zhí)行軟件可靠性增長和預(yù)測改善趨勢；評估評價結(jié)果并進(jìn)行回饋。標(biāo)準(zhǔn)描述了上述軟件可信性評價過程中的具體活動。

4)軟件可信性的提高，可以通過在軟件設(shè)計方面的改進(jìn)、可靠性增長測試，或者通過包括軟件提高在內(nèi)的、為客戶提供的支持服務(wù)來實現(xiàn)。其中，軟件設(shè)計目標(biāo)主要集中在以下方面：可測試性，有利于軟件功能的驗證；模塊化，有利于故障隔離和控制；維修性，有利于軟件生命周期的修改。為了軟件的提高和實施，標(biāo)準(zhǔn)提供了與軟件可信性設(shè)計和推薦技術(shù)相關(guān)的實用方法，包括以下幾個方面：軟件復(fù)雜性簡化，復(fù)雜性又可分為結(jié)構(gòu)復(fù)雜性和功能復(fù)雜性；軟件故障容錯，包括故障隔離、故障檢測、故障恢復(fù)、設(shè)計多樣性；軟件互操作性；軟件復(fù)用；軟件維護(hù)和提高，軟件維護(hù)又可分為修正性維護(hù)、適應(yīng)性維護(hù)、改善性維護(hù)和預(yù)防性維護(hù)；軟件文檔，包括結(jié)構(gòu)和設(shè)計文檔、技術(shù)文檔、用戶文檔和營銷文檔；自動化工具；技術(shù)支持和用戶培訓(xùn)等。

d)軟件保證，是指計劃性和系統(tǒng)性的活動，確保軟件生命周期過程和產(chǎn)品符合需求、標(biāo)準(zhǔn)和規(guī)程。軟件保證一般包括質(zhì)量、可靠性、安全性和安保，連同軟件產(chǎn)品開發(fā)和系統(tǒng)運行相關(guān)的技術(shù)準(zhǔn)則。軟件保證利用風(fēng)險評估、驗證、確認(rèn)測試、文檔化和維護(hù)審計記錄作為客觀證據(jù)，并利用相關(guān)的基于項目的度量數(shù)據(jù)來監(jiān)控軟件產(chǎn)品和相關(guān)過程，以實現(xiàn)可能的改進(jìn)。同時，標(biāo)準(zhǔn)提供了軟件保證相關(guān)的剪裁過程、技術(shù)影響和最佳實踐。

IEC 62628：2012標(biāo)準(zhǔn)的顯著特點應(yīng)為標(biāo)準(zhǔn)的“全面性”，這里的全面性主要體現(xiàn)在以下5個方面：可信性特性的全面性，標(biāo)準(zhǔn)考慮了包括可用性、可靠性、恢復(fù)性、維修性、維修保障性、耐久性、安全性和安保等各方面特性在內(nèi)的所有可信性特性；軟件生存周期階段的全面性，標(biāo)準(zhǔn)考慮了軟件的全壽命周期階段，包括需求階段、設(shè)計階段等全部生存周期階段；軟件可信性相關(guān)概念的全面性，標(biāo)準(zhǔn)對軟件、軟件系統(tǒng)、軟件可信性、軟件組織、軟件生命周期活動、軟件可信性屬性、軟件故障分類和軟件可信性度量，以及軟件度量等都進(jìn)行了定義或描述；實現(xiàn)軟件可信性方法的全面性，標(biāo)準(zhǔn)提供了包括軟件可信性工程和應(yīng)用、軟件可信性應(yīng)用方法和軟件保證在內(nèi)的比較全面的實現(xiàn)軟件可信性的方法。綜上，IEC 62628：2012標(biāo)準(zhǔn)是一個完整的軟件可信性指南標(biāo)準(zhǔn)，其應(yīng)作為軟件可信性的基礎(chǔ)性標(biāo)準(zhǔn)。

2.3.2 GJB/Z 102A-2012標(biāo)準(zhǔn)的主要內(nèi)容

GJB/Z 102A-2012主要用于軍用軟件安全性設(shè)計，規(guī)定了軟件安全性設(shè)計的一般要求和詳細(xì)要求。具體的內(nèi)容如下所述。

a)一般要求包括了軟件安全性工作的通用要求 (包括軟件安全性工作貫穿于軟件生存周期全過程等)、外購 (協(xié))或重用軟件的要求 (外購或外協(xié)軟件應(yīng)按標(biāo)準(zhǔn)要求進(jìn)行管理并進(jìn)行安全性分析和評價，重用軟件應(yīng)分析其適用性并分析其安全性影響)、工具的驗證要求 (安全的關(guān)鍵軟件開發(fā)過程中使用的影響可執(zhí)行代碼的軟件工具應(yīng)經(jīng)過安全性驗證)。

b)詳細(xì)要求則提供了軟件需求分析、軟件設(shè)計和軟件實現(xiàn)時的軟件安全性設(shè)計指南，具體包括以下內(nèi)容。

1)軟件需求分析階段，明確了軟件安全性需求的來源 (專用的安全性需求、通用的安全性需求)，規(guī)定了需求規(guī)格說明中應(yīng)明確標(biāo)識軟件安全關(guān)鍵功能 (簡單的軟件可采取簡單的分析方法，對于比較復(fù)雜的軟件可利用FTA、FMECA等方法找出軟件安全的關(guān)鍵功能)，針對安全的關(guān)鍵功能應(yīng)重點分析 (包括：安全運行模式、運行狀態(tài)與安全條件、容錯和容失效、危險命令處理、接口、數(shù)據(jù)、定時、吞吐量和規(guī)模等)，并提出了安全保證措施要求 (包括采用冗余、降級處理、故障處理與恢復(fù)和降級運行等)。

2)軟件設(shè)計階段，通過設(shè)計消除已標(biāo)識的危險或降低相關(guān)的風(fēng)險，明確了安全性設(shè)計的基本考慮 (包括：功能分配、程序接口、故障檢測、恢復(fù)和安全保護(hù)、繼承的或重用的軟件和現(xiàn)貨軟件、性能和余量、可追蹤性、可測試性等)，以及配合硬件或系統(tǒng)設(shè)計、容錯和容失效的設(shè)計、接口設(shè)計(與硬件相關(guān)的接口軟件設(shè)計、軟件模塊間接口設(shè)計和人機(jī)界面設(shè)計)、通訊設(shè)計、數(shù)據(jù)安全性設(shè)計、中斷設(shè)計、模塊設(shè)計、定時吞吐量和規(guī)模的余量設(shè)計、防錯設(shè)計、自檢查設(shè)計、異常保護(hù)設(shè)計應(yīng)考慮的事項。

3)軟件實現(xiàn)階段，為了保證軟件實現(xiàn)的安全性，要求軟件編制時應(yīng)遵循相應(yīng)的編制規(guī)范，并規(guī)定了軟件編程的通用要求，包括：編程語言通用要求、軟件復(fù)雜性控制、注釋要求與方法、指針使用、多作物的處理和其他要求等；編制完成后應(yīng)進(jìn)行代碼驗證工作，驗證軟件正確地實現(xiàn)了經(jīng)過驗證的設(shè)計且不違反安全性需求，代碼驗證的方法包括代碼邏輯分析，代碼數(shù)據(jù)分析，代碼接口分析，未使用代碼分析，中斷使用分析，定時、吞吐量和規(guī)模分析，以及代碼審查等方法。

GJB/Z 102A-2012標(biāo)準(zhǔn)的側(cè)重點是軟件的 “安全性設(shè)計”，標(biāo)準(zhǔn)中的許多設(shè)計要求，都是以慘痛的教訓(xùn)甚至是血的教訓(xùn)換來的，被要點釋義為具體的設(shè)計準(zhǔn)則，并結(jié)合以往出現(xiàn)的典型案例，在實際工程中廣泛地應(yīng)用并發(fā)揮著重要的作用，標(biāo)準(zhǔn)的執(zhí)行是否到位將直接影響著軟件安全性水平的高低。

2.3.3 GJB/Z 142-2004標(biāo)準(zhǔn)的主要內(nèi)容

GJB/Z 142-2012給出了在軟件生存周期中實施軟件安全性分析的指南。軟件安全性分析的目的是通過獲取和評估軟件安全性的相關(guān)信息，保證系統(tǒng)安全性質(zhì)量。標(biāo)準(zhǔn)規(guī)定了軟件安全性分析的應(yīng)用原則和剪裁準(zhǔn)則、軟件安全性分析的組織、軟件安全性分析的支持、軟件安全性分析準(zhǔn)備、軟件安全性分析任務(wù)和軟件安全性分析報告6個方面，具體包括以下內(nèi)容。

a)軟件安全性分析的應(yīng)用原則，明確了軟件安全性分析是系統(tǒng)安全性分析的組成部分，應(yīng)與系統(tǒng)安全性分析密切結(jié)合、協(xié)調(diào)一致等；關(guān)于剪裁準(zhǔn)則，則說明了安全完整性級別應(yīng)作為剪裁的主要依據(jù)等。

b)軟件安全性分析的組織，規(guī)定了軟件安全性分析在管理、基礎(chǔ)設(shè)施、改進(jìn)和培訓(xùn)4個方面的要求。

c)軟件安全性分析的支持，提出了軟件安全性分析在文檔編制 (文檔的內(nèi)容、文檔的形式)、配置管理、質(zhì)量過程 (質(zhì)量過程的配置、質(zhì)量過程的獨立性)和問題解決4個方面的要求。

d)軟件安全性分析準(zhǔn)備，是進(jìn)行軟件安全性分析前對軟件所在的系統(tǒng)進(jìn)行初步的分析，明確了作為軟件安全性分析的準(zhǔn)備，應(yīng)包含如下任務(wù)：概念分析和系統(tǒng)范圍確定、初步危險和風(fēng)險分析、系統(tǒng)需求安全性分析、系統(tǒng)安全性需求分配、軟件的安全性需求分配。

e)軟件安全性分析任務(wù)，明確了軟件安全性分析任務(wù)應(yīng)包括以下7個方面：軟件需求安全性分析、軟件結(jié)構(gòu)設(shè)計安全性分析、軟件支持工具和編程語言安全性分析、軟件詳細(xì)設(shè)計安全性分析、軟件編碼安全性分析、軟件測試安全性分析和軟件變更安全性分析，并規(guī)定了各個任務(wù)的具體的工作項目。

f)軟件安全性分析報告，規(guī)定了軟件安全性分析報告應(yīng)包括安全性環(huán)境、軟件安全性保證、軟件安全性證據(jù)、軟件殘留風(fēng)險及控制4個方面，并對各個方面應(yīng)包括的內(nèi)容提出了具體的要求。

GJB/Z 142-2004認(rèn)為軟件安全性分析是對和軟件安全性相關(guān)的特定信息進(jìn)行的系統(tǒng)而有序的獲取和評價過程，給出了在軟件全生存周期中實施軟件安全性分析的指南。

2.3.4 GJB/Z 157-2011標(biāo)準(zhǔn)的主要內(nèi)容

GJB/Z 157-2011規(guī)定了獲取軟件安全保證的一般過程和對安全保證過程的技術(shù)要求，包括5個方面，具體的內(nèi)容如下所述。

a)安全保證框架 (SAF)，包括框架模型、框架的描述結(jié)構(gòu)和框架的應(yīng)用。組織良好的軟件過程更容易產(chǎn)生可重復(fù)的安全保證，在軟件生存周期中應(yīng)持續(xù)積累保證證據(jù)和建立保證舉證，這些安全保證活動應(yīng)以一個有序的活動框架組織起來。標(biāo)準(zhǔn)提出的軟件SAF包含了為獲取軟件安全保證需要完成的安全保證活動，描述了提供安全保證的過程應(yīng)具有的特征，SAF由獲取安全保證需要考慮的4個過程類及其所包含的11個過程組成。

b)風(fēng)險評估過程類 (CRA)，由于風(fēng)險是由威脅、脆弱性和影響3個必要部分組成，因此CRA包括評估威脅、評估脆弱性、評估影響和評估安全風(fēng)險4個過程。

c)開發(fā)過程類 (CDV)，包括確定安全需求和設(shè)計實現(xiàn)安全控制兩個過程。使用CRA所描述的風(fēng)險過程的信息和關(guān)于軟件系統(tǒng)需求、相關(guān)法律、政策的其他信息，安全組人員就可以與用戶一起來確定安全需求。一旦該需求被確定，就可以確定和跟蹤特定的安全需求。為了滿足特定的安全需求，設(shè)計實現(xiàn)安全控制一般包括確定可能選擇的方案，然后評估決定哪一種方案更能被接受。一旦確定特定的安全解決方案，就可以開始進(jìn)行相應(yīng)安全控制的軟件實施。

d)實施過程類 (CCO)，包括實施安全控制和監(jiān)視安全狀況兩個過程。軟件開發(fā)后，首先，應(yīng)保證將其完整地、不被修改地交付給用戶；其次，在軟件交付后，應(yīng)根據(jù)識別出來的風(fēng)險來適當(dāng)?shù)嘏渲密浖?，以確保開發(fā)的安全控制有效地實施，并且不會引入新的風(fēng)險導(dǎo)致軟件運行處于不安全狀況。在實施安全控制的同時，還應(yīng)不斷地監(jiān)視安全狀況，分析安全變化和突發(fā)事件，并進(jìn)行響應(yīng)。如有必要，可再次啟動風(fēng)險分析和開發(fā)過程，從而對安全控制進(jìn)行更新。

e)保證獲取過程類 (CAA)，主要涉及到與安全相關(guān)證據(jù)的產(chǎn)生，包括驗證和確認(rèn)安全、協(xié)調(diào)和支持保證、建立保證舉證3個過程。安全驗證和確認(rèn)在建立軟件的保證證據(jù)中起著主要的作用。SAF中其他所有的過程提供的工作產(chǎn)品可作為證據(jù)或證據(jù)的一部分。協(xié)調(diào)和支持保證一方面對其他過程起到協(xié)調(diào)和支持的作用，同時也提供間接的安全保證證據(jù)。建立保證舉證過程的主要作用是積累保證證據(jù)以建立軟件安全保證舉證。

在軟件系統(tǒng)中，安全功能和安全保證是安全性的 “一體兩面”。對于在安全方面有特殊要求的軟件，在實現(xiàn)安全功能時，不應(yīng)忽視安全保證。為了提升軟件的安全性，應(yīng)將一系列的保證活動有機(jī)地集成到軟件開發(fā)者通常使用的軟件過程中。GJB/Z 157-2011是為了讓用戶確信軟件已滿足了其安保特性要求，這正是軟件安全保證需要解決的問題。

2.3.5 GJB/Z 161-2012標(biāo)準(zhǔn)的主要內(nèi)容

GJB/Z 161-2012主要用于軍用軟件可靠性評估，規(guī)定了軟件可靠性評估的一般要求、軟件可靠性評估規(guī)程，給出了3類軟件可靠性模型，推薦了7個典型的模型。具體的內(nèi)容如下所述。

a)軟件可靠性評估的一般要求，包括以下6項：評估目的、評估時機(jī) (測試階段、使用階段)、評估規(guī)程建立、評估數(shù)據(jù)要求 (數(shù)據(jù)包括失效時間數(shù)據(jù)和失效計數(shù)數(shù)據(jù))、評估結(jié)果 (失效率、MTTF等)、評估結(jié)果的有效性確認(rèn) (失效數(shù)據(jù)的有效性、模型預(yù)計的有效性)。

b)軟件可靠性評估規(guī)程，包括以下9個步驟(可根據(jù)項目的具體情況合并或剪裁)：失效定義、運行環(huán)境特性描述、測試、數(shù)據(jù)收集、失效數(shù)據(jù)趨勢分析、軟件可靠性模型選擇、模型參數(shù)估計、模型確認(rèn)、可靠性估計和預(yù)計。

c)軟件可靠性模型，給出了3類軟件可靠性模型，推薦了7個典型的模型，包括：指數(shù)型NHPP模型類，推薦模型為Schneidewind模型、廣義指數(shù)模型和Jelinski/Moranda模型 (為廣義指數(shù)模型的代表)；非指數(shù)型NHPP模型類，推薦模型為Musa/Okumoto對數(shù)泊松執(zhí)行時間模型、Duane模型和Yamada的S形模型；貝葉斯模型類，推薦模型為Littlewood/Verrall模型。

IEC 62628：2012標(biāo)準(zhǔn)的第6.3節(jié)給出了關(guān)于軟件可信性評估的一般性的方法，同時，在標(biāo)準(zhǔn)的附錄H中給出了幾種常用的軟件可靠性模型的選擇和應(yīng)用方法。GJB/Z 161-2012標(biāo)準(zhǔn)僅適用于軟件可靠性評估，給出了專用針對軟件可靠性評估的基本要求和具體規(guī)程，以及軟件可靠性評估模型等，為軍用軟件在軟件配置項測試、系統(tǒng)測試及運行和維護(hù)中收集失效數(shù)據(jù)、開展軟件可靠性評估提供了指南。需要特別指出的是，在研制階段對軟件進(jìn)行有效的可靠性評估，通常需要開展軟件可靠性測試，即基于操作剖面的軟件測試，根據(jù)軟件可靠性測試得到的軟件失效數(shù)據(jù)應(yīng)用合適的軟件可靠性模型進(jìn)行軟件可靠性評估。

3 結(jié)束語

本文對常用的軟件可信性領(lǐng)域的指南標(biāo)準(zhǔn)進(jìn)行了分析比較，主要從標(biāo)準(zhǔn)所關(guān)注的軟件性能特性、標(biāo)準(zhǔn)所考慮的軟件生命周期階段和標(biāo)準(zhǔn)的技術(shù)內(nèi)容等幾個方面進(jìn)行了比較，其中：IEC 62628：2012考慮的是軟件的可信性，即考慮了軟件可信性各個方面的特性，建立了關(guān)于軟件可信性需求的通用框架，提供了用于系統(tǒng)生命周期的軟件可信性過程，提出了軟件可信性設(shè)計和實施的保證準(zhǔn)則和方法，并提供了軟件系統(tǒng)性能評估和可信性度量的實施方法，但該國際標(biāo)準(zhǔn)目前國內(nèi)尚未采標(biāo)，為了使該標(biāo)準(zhǔn)給國內(nèi)軟件可信性工程提供參考，建議應(yīng)盡快開展標(biāo)準(zhǔn)的國內(nèi)采標(biāo)工作。關(guān)于軟件安全性、安保和可靠性某方面的特性已有一些專門的標(biāo)準(zhǔn)，但尚缺少關(guān)于軟件的可用性、恢復(fù)性、維修性和維修保障性等方面的指南標(biāo)準(zhǔn)；另外，從標(biāo)準(zhǔn)所關(guān)注的軟件生命周期階段來看，部分標(biāo)準(zhǔn)考慮了需求階段、設(shè)計階段、實現(xiàn)階段、測試階段和操作維護(hù)階段的軟件可信性，但關(guān)于軟件退役階段的可信性則少有考慮，建議可開展該類標(biāo)準(zhǔn)的研究工作。