[发明专利]一种基于建模技术的软件安全性测试方法

说明书

技术领域

本发明涉及软件安全性测试技术，尤其涉及一种基于缺陷建模技术软件安全性测试方法。

背景技术

随着计算机技术的发展，软件产品在越来越多的领域得到了应用，为人们的生活带来了极大的便利，也正在改变着人们的工作和生活方式，对人类政治、经济、军事、文化和科技的发展都产生了深远的影响。在软件水平快速发展的同时，随着面向对象、构件软件、分布式软件等新技术的兴起，软件的安全性也变得日益严重，并成为制约软件技术发展与应用的一个重要因素。据美国计算机危机应急小组处理中心CERT/CC(Computer Emergency Readiness Team Coordination Center)统计报道，从1998年到2009年，软件安全性危机事件增长了4724％，平均每年增长394％，且近年来一直居高不下。随之而来的是软件安全性问题造成的损失非常巨大，根据美国国家标准协会NIST(National Institue of Standards)统计，2002年用于维护存在安全隐患软件的费用就达595亿美元，同时NIST还发现，其中92％的安全性缺陷是由于软件自身的缺陷，而非网络等外围设备的缺陷所至。

目前，我国软件信息安全水平被排在最不发达的第四类国家之列。特别是国内计算机使用的软件产品都是引入或者基于国外软件；社会各个领域的大型基础软件，如操作系统，办公软件等基础软件都是依赖国外公司，这就对软件产品应用的安全性提出了严峻的考验。所以对我国而言，软件安全已成为影响国家大局和长远利益的关键问题；提高软件安全水平、保障软件系统甚至整个计算机系统的安全是一项刻不容缓的重要课题。

软件测试作为保证软件安全性的一种重要途径，对于为软件产品进行安全性评价具有重要的意义。根据国家的规划，软件测试技术将作为保证软件产品安全性的重要手段，力争使测试越早介入软件开发，从而提高软件抵御潜在风险的能力，降低软件的安全缺陷率。国家高技术研究发展计划(863计划)2008年正式将软件安全性测试与评估技术作为重点研究发展方向。国外在软件安全性测试方面的研究也取得了一定的成果。当前软件安全性测试领域内存在的主要问题：

一、现行测试标准的可行性不高。

目前国内在软件安全性研究领域中，主要参照标准为《计算机信息系统安全保护等级划分准则》(GB17859-1999)和《信息技术安全性评估准则》(GB18336-2001)。这些标准主要针对安全性评估，缺少对测试活动的规定。在软件安全性测试方面，军内相继颁布了两种测试指南。《军用软件安全性分析指南》和《军用软件测试指南》中都对软件安全性测试进行了相应的规定和说明。通过对其进行分析，可以看出现行的两种标准中存在以下问题：首先，将软件安全性测试(Software Security Test)和软件防危性测试(Software Safety Test)混合在一起实施；这样会误导软件测试需求分析人员将两种测试同时进行，这样对后续的测试工作产生根本的错误指导；其次，这种概要性测试规则在实际的测试项目中，还需要结合被测件进行相应的细化和分解，而两种指南都缺少一种分解方法或规则，但往往细化和分解工作会决定软件安全性测试的实施；最后，随着新的软件技术的出现，这些软件安全性测试规则不全面性就越发突出，所以必须对其进行定期的扩展和更新。