[发明专利]基于供应链的复杂软件系统的软件安全评估方法

说明书

本发明提供了一种基于供应链的复杂软件系统的软件安全评估方法。该方法包括：获取影响复杂软件系统的安全性的多种安全要素；基于历史专家经验数据和/或观测数据分别获取每种安全要素的评分；利用信度转换函数将每种安全要素的评分映射为于D‑S证据理论中的基本信度分配(BBA)数据，对所有安全因素的BBA进行决策级融合，得到复杂软件系统的全局BBA结果数据，根据所述全局BBA结果数据判断所述复杂软件系统的安全性。本发明能够准确、灵活的对复杂软件系统安全性进行评估，并且可以剔除不可靠的安全性评价，清晰地体现出对软件系统安全性的评价。

技术领域

本发明涉及软件系统安全评估领域，尤其涉及一种基于供应链的复杂软件系统的软件安全评估方法。

背景技术

网络空间成为了陆、海、空、天之后国家主权的第五空间，其安全性面临巨大挑战。随着信息技术的不断发展，作为网络空间中的重要元素，软件系统的复杂程度日益增长，其安全性评估逐渐复杂。

目前，基于供应链的软件安全评估方案得到了广泛的研究。对供应链管理进行审计的程序主要有：

第一，查阅企业的章程、文件等，确认企业是否制定了供应链管理政策、是否建立了管理程序等供应链管理制度体系，并审核已经制定的政策程序等制度体系是否符合企业目标。

第二，使用穿行测试，评价企业的供应链管理制度是否在实际中得到贯彻执行。

第三，测试企业采购的整个程序，确认由已经授权允许的供应商提供产品或服务，使用的价格合适、程序适当、收到货物的数量准确并及时付款。无论企业是否在此方面有规定都要对这一程序进行测试。这与第二项所提方法的区别在于，第二项中是对已有的政策程序进行穿行测试，如没有规定则不进行测试。

第四，有些企业实行例外报告制度，对没有经过授权的业务或规定程序外的业务进行例外报告。在此情况下要对例外报告进行检查，以确认这些业务发生的真实性，并评价业务的经济性、效率性、效果性。

第五，通过与同行业比较存货期、向客户函证评价对客户需求的把握程度和客户满意程度。

现有技术中的基于供应链的软件安全评估方案的缺点为：

1、不同于传统商品，软件系统的供应链定义更加模糊，需要在逻辑层面对软件系统进行模块划分；

2、在对软件要素进行评价过程中，专家通常以自然语言的方式对其进行评价，评价结果具有一定的模糊性，如何恰当地对软件要素进行评价和表征具有一定挑战；

3、对于多个专家的评价，评价之间可能存在不一致性等情况，如何妥善处理评价之间的矛盾，剔除不可靠评价没有给出适当的方案。

发明内容

本发明提供了一种基于供应链的复杂软件系统的软件安全评估方法，以实现对复杂软件系统的安全性进行有效的评估。

为了实现上述目的，本发明采取了如下技术方案。

一种基于供应链的复杂软件系统的软件安全评估方法，包括：

获取影响复杂软件系统的安全性的多种安全要素；

基于历史专家经验数据和/或观测数据分别获取每种安全要素的评分；

利用信度转换函数将每种安全要素的评分映射为于D-S证据理论中的基本信度分配BBA数据，对所有安全因素的BBA数据进行决策级融合，得到复杂软件系统的全局BBA结果数据，根据所述全局BBA结果数据判断所述复杂软件系统的安全性。

进一步地，所述的获取影响复杂软件系统的安全性的多种安全要素，包括：