The invention provides a software security evaluation method of complex software system based on supply chain. This method includes: acquiring multiple security factors affecting the security of complex software systems; obtaining the scores of each security factor based on historical expert experience data and/or observation data; mapping the scores of each security factor to the basic reliability allocation (BBA) data in D_S evidence theory by using reliability conversion function, and making decision-level fusion for BBA of all security factors. The global BBA result data of complex software system is obtained, and the security of the complex software system is judged according to the global BBA result data. The invention can accurately and flexibly evaluate the security of complex software system, and can eliminate unreliable security evaluation, and clearly reflect the evaluation of the security of software system.
【技术实现步骤摘要】
基于供应链的复杂软件系统的软件安全评估方法
本专利技术涉及软件系统安全评估领域,尤其涉及一种基于供应链的复杂软件系统的软件安全评估方法。
技术介绍
网络空间成为了陆、海、空、天之后国家主权的第五空间,其安全性面临巨大挑战。随着信息技术的不断发展,作为网络空间中的重要元素,软件系统的复杂程度日益增长,其安全性评估逐渐复杂。目前,基于供应链的软件安全评估方案得到了广泛的研究。对供应链管理进行审计的程序主要有:第一,查阅企业的章程、文件等,确认企业是否制定了供应链管理政策、是否建立了管理程序等供应链管理制度体系,并审核已经制定的政策程序等制度体系是否符合企业目标。第二,使用穿行测试,评价企业的供应链管理制度是否在实际中得到贯彻执行。第三,测试企业采购的整个程序,确认由已经授权允许的供应商提供产品或服务,使用的价格合适、程序适当、收到货物的数量准确并及时付款。无论企业是否在此方面有规定都要对这一程序进行测试。这与第二项所提方法的区别在于,第二项中是对已有的政策程序进行穿行测试,如没有规定则不进行测试。第四,有些企业实行例外报告制度,对没有经过授权的业务或规定程序外的业务进...
【技术保护点】
1.一种基于供应链的复杂软件系统的软件安全评估方法,其特征在于,包括:获取影响复杂软件系统的安全性的多种安全要素;基于历史专家经验数据和/或观测数据分别获取每种安全要素的评分;利用信度转换函数将每种安全要素的评分映射为于D‑S证据理论中的基本信度分配BBA数据,对所有安全因素的BBA数据进行决策级融合,得到复杂软件系统的全局BBA结果数据,根据所述全局BBA结果数据判断所述复杂软件系统的安全性。
【技术特征摘要】
1.一种基于供应链的复杂软件系统的软件安全评估方法,其特征在于,包括:获取影响复杂软件系统的安全性的多种安全要素;基于历史专家经验数据和/或观测数据分别获取每种安全要素的评分;利用信度转换函数将每种安全要素的评分映射为于D-S证据理论中的基本信度分配BBA数据,对所有安全因素的BBA数据进行决策级融合,得到复杂软件系统的全局BBA结果数据,根据所述全局BBA结果数据判断所述复杂软件系统的安全性。2.根据权利要求1所述的方法,其特征在于,所述的获取影响复杂软件系统的安全性的多种安全要素,包括:影响复杂软件系统的安全性的多种安全要素包括核心程序、运输过程、说明书、本身质量、外包装以及存储介质,所述核心程序包括m个子模块,分别是{子模块1,子模块2,…,子模块m},每个子模块包含数个软件承包厂商;对于运输过程评估其运输媒介的安全性;对软件系统的说明书进行查阅,观察其是否符合说明书的撰写规范,观察软件的外包装以及存储介质的安全性。3.根据权利要求2所述的方法,其特征在于,所述的软件承包厂商包括开发人员、开发地点、涉密情况、厂商性质以及厂商国别评估指标,所述开发人员的评估指标包括留学情况、涉密情况、毕业院校以及国籍,所述开发地点的评估指标包括国内和国外,所述涉密情况的评估指标包括涉密和非涉密情况,所述厂商性质的评估指标包括国资企业和外资企业,所述厂商国别的评估指标包括国内和国外。4.根据权利要求3所述的方法,其特征在于,所述的方法还包括:对每种安全要素的评分进行汇总,获取所述复杂软件系统的可靠性判别结果,具体包括:设复杂软件系统SW包括m个子模块SW1,SW2,…,SWm,每个子模块SWi对应一组软件承包厂商SWi,1,SWi,2,…,SWi,p,其中,软件承包厂商SWi,j的信誉评分为Ri,j,国别为Ci,j,国家Ci,j所对应的安全评分为Ci,j′,用户评分为Si,j,则整个复杂软件系统的可信性评分为:其中,其中,α,β,γ分别...
【专利技术属性】
技术研发人员:张振江,沈波,赵颖斯,朱凯歌,徐瑞,赵雪聪,史颜丞,王堃,
申请(专利权)人:北京交通大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。