重點(diǎn)安全技術(shù)方案評(píng)審制度重點(diǎn)安全技術(shù)方案評(píng)審制度一、前言社會(huì)的進(jìn)展已經(jīng)進(jìn)入了信息化時(shí)代，現(xiàn)在的社會(huì)經(jīng)濟(jì)已經(jīng)離不開(kāi)各種信息技術(shù)的支持，網(wǎng)絡(luò)安全已成為建設(shè)信息化的緊要構(gòu)成部分。從去年國(guó)家公安部上線的“易安全”大數(shù)據(jù)平臺(tái)到去年三月十二日“語(yǔ)音庫(kù)1.9億條移動(dòng)電話(huà)號(hào)碼、身份證號(hào)等信息泄露事件”再到前不久網(wǎng)絡(luò)顯現(xiàn)的大量個(gè)人信息泄露事件，這些事件背后的安全隱患已經(jīng)引起了國(guó)家安全部門(mén)的高度重視。人們對(duì)于信息安全保護(hù)方案的需求已經(jīng)變得越來(lái)越猛烈，不僅是在網(wǎng)絡(luò)安全方面，也包括在各種軟件技術(shù)和系統(tǒng)技術(shù)的開(kāi)發(fā)過(guò)程中，開(kāi)發(fā)過(guò)程中的評(píng)審制度對(duì)于保障方案質(zhì)量和保障信息安全至關(guān)緊要。二、評(píng)審制度的概念評(píng)審制度是對(duì)于某個(gè)項(xiàng)目或制度的安全性和質(zhì)量進(jìn)行檢查和評(píng)估，這個(gè)制度一般由一些專(zhuān)業(yè)的評(píng)審人員進(jìn)行，不同的制度需要評(píng)審不同的方面，常見(jiàn)的有代碼評(píng)審、系統(tǒng)安全評(píng)估、需求評(píng)審、用戶(hù)接口評(píng)估、牢靠性測(cè)試等等。通過(guò)評(píng)審除了可以發(fā)覺(jué)其中存在的安全漏洞和技術(shù)缺陷，還可以從多個(gè)角度對(duì)方案進(jìn)行評(píng)估，為該方案在實(shí)施過(guò)程中供給了必要的保障和優(yōu)化。三、評(píng)審制度的優(yōu)點(diǎn)1.提高產(chǎn)品的質(zhì)量通過(guò)評(píng)審可以發(fā)覺(jué)產(chǎn)品中存在的漏洞和缺陷，適時(shí)進(jìn)行改進(jìn)和優(yōu)化，提高了產(chǎn)品的質(zhì)量，避開(kāi)了產(chǎn)品在上線后顯現(xiàn)大量的問(wèn)題而影響用戶(hù)的使用體驗(yàn)。2.提高對(duì)安全問(wèn)題的關(guān)注度對(duì)于產(chǎn)品的安全問(wèn)題，在開(kāi)發(fā)階段可以通過(guò)評(píng)審機(jī)制發(fā)覺(jué)更多的漏洞和風(fēng)險(xiǎn)隱患，不僅能防備以后由于安全隱患導(dǎo)致的問(wèn)題，還能提高對(duì)于安全問(wèn)題的關(guān)注度，從而更好的防備潛在的風(fēng)險(xiǎn)。3.提高開(kāi)發(fā)效率通過(guò)評(píng)審機(jī)制，規(guī)范了軟件開(kāi)發(fā)流程，明確了任務(wù)調(diào)配、工作流程、受控的開(kāi)發(fā)特性以及質(zhì)量評(píng)審要求，避開(kāi)了初期開(kāi)發(fā)的錯(cuò)誤，同時(shí)還可以供給標(biāo)準(zhǔn)化的程序，簡(jiǎn)化開(kāi)發(fā)過(guò)程，提高開(kāi)發(fā)效率。四、評(píng)審流程的介紹評(píng)審流程重要包括需求評(píng)審、設(shè)計(jì)評(píng)審、編碼評(píng)審、集成評(píng)審和測(cè)試評(píng)審。各個(gè)環(huán)節(jié)的評(píng)審重點(diǎn)不同，但整個(gè)評(píng)審過(guò)程是信息化系統(tǒng)開(kāi)發(fā)過(guò)程中的關(guān)鍵環(huán)境。評(píng)審過(guò)程中應(yīng)當(dāng)明確參加評(píng)審的人員，評(píng)審的標(biāo)準(zhǔn)和指標(biāo)、評(píng)審的結(jié)果，以及開(kāi)發(fā)人員如何處理評(píng)審結(jié)果的問(wèn)題。評(píng)審的結(jié)果可以將評(píng)審?fù)瑫r(shí)與開(kāi)發(fā)過(guò)程中的代碼管理工具（如Git、Svn等）綁定，以確保安全問(wèn)題得到適時(shí)解決。評(píng)審流程的實(shí)在實(shí)施可以參考以下流程：1.需求評(píng)審需求評(píng)審是在需求分析的過(guò)程中進(jìn)行的，通過(guò)評(píng)審需求分析文檔和相關(guān)的需求分析技術(shù)文檔，評(píng)估需求分析的合理性，是否存在模糊的定義和錯(cuò)誤的分析，以及測(cè)試計(jì)劃和測(cè)試用例是否與需求相符，通過(guò)論證和交流來(lái)最后確定需求。需求評(píng)審的標(biāo)準(zhǔn)重要包括需求的精準(zhǔn)性、完整性、一致性和可測(cè)試性。2.設(shè)計(jì)評(píng)審設(shè)計(jì)評(píng)審是對(duì)于設(shè)計(jì)文檔進(jìn)行技術(shù)評(píng)估，評(píng)審內(nèi)容重要包括系統(tǒng)設(shè)計(jì)、技術(shù)方案、接口設(shè)計(jì)等等。在評(píng)審過(guò)程中，評(píng)審人員需要審核開(kāi)發(fā)人員的設(shè)計(jì)方案是否充足需求分析的要求，是否符合開(kāi)發(fā)標(biāo)準(zhǔn)，評(píng)估方案的可行性等等。評(píng)審中應(yīng)當(dāng)考慮代碼的可讀性、可維護(hù)性、可拓展性，以及規(guī)范性等等方面。評(píng)審充足后，設(shè)計(jì)方案和接口文檔交由開(kāi)發(fā)人員完成編碼工作。3.編碼評(píng)審編碼評(píng)審是開(kāi)發(fā)過(guò)程的緊要部分，需要審核源代碼的規(guī)范性、同行評(píng)審的結(jié)果、使用的工具的合法性與合理性等等，以辨別開(kāi)發(fā)人員是否高效、規(guī)范和遵從軟件工程的思想。評(píng)審應(yīng)當(dāng)由三到五個(gè)人構(gòu)成，審核人員承當(dāng)?shù)呢?zé)任是在保證代碼規(guī)范的同時(shí)提高開(kāi)發(fā)團(tuán)隊(duì)的技術(shù)素養(yǎng)。評(píng)審抽取了程序員的“閱歷”以及其他學(xué)問(wèn)，并向程序員傳達(dá)對(duì)新技術(shù)的看法，包括規(guī)范、設(shè)計(jì)、代碼結(jié)構(gòu)等等。4.集成評(píng)審集成評(píng)審是一個(gè)軟件產(chǎn)品生命周期的緊要階段。其目的是為在產(chǎn)品的基礎(chǔ)階段定位錯(cuò)誤，并將各個(gè)部分組合成一個(gè)統(tǒng)一的產(chǎn)品。評(píng)審中需要評(píng)估系統(tǒng)的架構(gòu)和構(gòu)成部分的完全兼容性，驗(yàn)證集成測(cè)試計(jì)劃和測(cè)試場(chǎng)景的正確性，以及評(píng)估集成過(guò)程中系統(tǒng)的穩(wěn)定性和牢靠性等等。5.測(cè)試評(píng)審測(cè)試評(píng)審是對(duì)于產(chǎn)品的性能和功能進(jìn)行的測(cè)試，評(píng)估測(cè)試計(jì)劃和測(cè)試用例的正確性和完整性，并依據(jù)測(cè)試結(jié)果進(jìn)行優(yōu)化和修改。評(píng)審中需要評(píng)估測(cè)試計(jì)劃和用例的完整性、正確性和牢靠性，以及測(cè)試到功能異常情況的精準(zhǔn)性，同時(shí)對(duì)測(cè)試員的技能程度也進(jìn)行審核。五、評(píng)審制度的實(shí)施評(píng)審制度的實(shí)施需要具備以下特點(diǎn)：確定評(píng)審標(biāo)準(zhǔn)，確保參加評(píng)審的人員認(rèn)真負(fù)責(zé)；建立必要的評(píng)審記錄，便于追蹤評(píng)審的結(jié)果并跟蹤問(wèn)題和漏洞；實(shí)施評(píng)審工具，用于檢查和評(píng)估代碼質(zhì)量和安全問(wèn)題；訂立代碼文檔的規(guī)范，加添代碼可讀性，變更代碼的可維護(hù)性；不斷優(yōu)化和改進(jìn)評(píng)審制度，提高產(chǎn)品的質(zhì)量和性能。六、結(jié)論本文重要對(duì)于評(píng)審制度的優(yōu)點(diǎn)、評(píng)審流程以及實(shí)施方式進(jìn)行了介紹。評(píng)審機(jī)制在軟件開(kāi)發(fā)中具有緊要意義，能提高產(chǎn)品的質(zhì)量、防備產(chǎn)品在后期運(yùn)行