計(jì)算機(jī)軟件學(xué)術(shù)論文范文
計(jì)算機(jī)軟件學(xué)術(shù)論文的撰寫有一定的難度,很多朋友表示不是很會寫。下面是小編為大家整理的計(jì)算機(jī)軟件學(xué)術(shù)論文,希望對大家有幫助。
軟件自動化測試研究
摘 要: 本文在介紹了軟件自動化測試的概念和發(fā)展的基礎(chǔ)上, 著重介紹了自動化測試的優(yōu)點(diǎn)和局限性, 并針對軟件自動化測試的需求, 闡述了自動化測試方案的設(shè)計(jì)流程以及自動化測試用例的設(shè)計(jì)原則等。
關(guān)鍵詞:自動化測試; 設(shè)計(jì)原則; 設(shè)計(jì)流程;
1、引言
隨著軟件技術(shù)的發(fā)展, 軟件功能不斷豐富擴(kuò)大, 軟件更新?lián)Q代的速度逐步加快。用戶對軟件的功能、性能、穩(wěn)定性以及使用體驗(yàn)的要求越來越高, 對軟件測試的重視程度也越來越迫切, 傳統(tǒng)的手工測試已經(jīng)難以滿足軟件發(fā)展的需要。因此, 自動化測試應(yīng)運(yùn)而生, 它具有快捷、方便、可重復(fù)、覆蓋率高等許多優(yōu)點(diǎn), 將繁瑣、枯燥、冗長的操作一并交由測試系統(tǒng), 從而大大提高了測試效率。隨著軟件測試技術(shù)的發(fā)展, 自動化測試也正處于快速發(fā)展的過程。
2、軟件自動化測試概述
2.1 軟件自動化測試的概念
軟件測試是軟件開發(fā)的重要環(huán)節(jié), 也是保障軟件質(zhì)量的關(guān)鍵步驟。軟件測試發(fā)展的初期, 全部使用手工測試, 測試人員往往需要花費(fèi)大量的時間和精力, 限制了軟件質(zhì)量的提升以及軟件版本的更新。軟件測試具有重復(fù)性, 不僅要檢查之前發(fā)現(xiàn)的故障和缺陷是否得到修復(fù)和改進(jìn), 還要檢查在修復(fù)過程中是否引入了新的故障和缺陷, 這些重復(fù)回歸測試促進(jìn)了自動化測試的快速發(fā)展。
自動化測試的概念是“一切可以由計(jì)算機(jī)系統(tǒng)自動完成的測試任務(wù)都已經(jīng)由計(jì)算機(jī)系統(tǒng)或軟件工具、程序來承擔(dān)并自動執(zhí)行”。自動化測試將人工執(zhí)行測試轉(zhuǎn)化為機(jī)器執(zhí)行測試, 其原理為通過模擬測試工程師的測試行為和測試過程, 開發(fā)設(shè)計(jì)出特定的程序, 由軟件工具完成對系統(tǒng)的測試和評估。自動化測試的發(fā)展經(jīng)歷了以下四個階段。
(1) 編寫簡單測試用例
自動化測試發(fā)展初始, 測試工程師僅編寫一個簡短的程序, 代替人工測試的部分操作。隨著軟件功能的不斷強(qiáng)大, 測試用例數(shù)量不斷增多, 測試用例的管理變得異常繁瑣和困難。為解決這一問題, 出現(xiàn)了自動化測試框架, 包括自動化測試基礎(chǔ)模塊、自動化測試管理模塊和自動化測試分析模塊, 具有更好的可維護(hù)性和擴(kuò)展性。
(2) 錄制回放的自動化測試
自動化測試框架開始時, 測試工具通過錄制手工測試的操作, 生成測試腳本。這種模式操作簡單, 無需編程即可快速上手, 但靈活性較低, 無法進(jìn)行調(diào)試和修改, 并不適合大型自動化測試。
(3) 數(shù)據(jù)驅(qū)動的自動化測試
這是自動化測試框架發(fā)展的新階段, 在數(shù)據(jù)驅(qū)動下, 測試腳本和測試數(shù)據(jù)分離, 測試靈活性大大提高, 測試代碼也能夠得以重復(fù)利用。這種方法適合大型項(xiàng)目的測試, 但前期數(shù)據(jù)準(zhǔn)備和腳本編輯需要花費(fèi)大量的人力和時間。
(4) 關(guān)鍵字驅(qū)動的自動化測試
這是數(shù)據(jù)驅(qū)動的自動化測試的擴(kuò)展, 將數(shù)據(jù)與關(guān)鍵字結(jié)合起來執(zhí)行測試, 具備數(shù)據(jù)驅(qū)動測試的優(yōu)勢, 所有測試均由同一個框架執(zhí)行, 同時框架支持多接口庫, 可靈活實(shí)現(xiàn)擴(kuò)展功能, 但初始成本很大, 適合大型項(xiàng)目測試。
軟件自動化測試系統(tǒng)除了滿足功能需求外, 在非功能性需求方面也有要求, 包括以下六方面。
(1) 可靠性:正確執(zhí)行測試用例, 保證測試結(jié)果準(zhǔn)確可靠。
(2) 易用性:系統(tǒng)各個模塊操作流暢簡單, 交互方便, 用戶體驗(yàn)好。
(3) 可擴(kuò)展性:可以調(diào)用其他自動化測試工具, 也可以用不同語言進(jìn)行開發(fā)。
(4) 兼容性:能夠支持不同的操作系統(tǒng), 如果是Web自動化測試還需要兼容主流瀏覽器等。
(5) 穩(wěn)定性:系統(tǒng)穩(wěn)定, 頻繁修改或編輯不會造成系統(tǒng)報(bào)錯。
(6) 安全性:一方面確保不同角色對系統(tǒng)各模塊有不同的權(quán)限, 保證信息系統(tǒng)的安全性;另一方面要保證系統(tǒng)數(shù)據(jù)的安全性, 禁止隨意更改系統(tǒng)資源以及配置信息。
2.2 軟件自動化測試的發(fā)展
隨著自動化測試技術(shù)的迅速發(fā)展, 出現(xiàn)了一些典型的常用自動化測試工具, 如表1所示。
有些測試工具還支持測試需求管理、測試用例管理、測試計(jì)劃管理、測試執(zhí)行、測試結(jié)果查看和測試結(jié)果分析等功能。自動化測試系統(tǒng)正朝著通用化、標(biāo)準(zhǔn)化、網(wǎng)絡(luò)化和智能化的方向邁進(jìn)。
國內(nèi)自動化測試的起步較晚, 但發(fā)展迅速, 目前一些研究機(jī)構(gòu)和科技公司在軟件測試方面都取得了很大的成績, 如百度、搜狐、華為和中興等都建立了自己的自動化測試平臺。國內(nèi)自動化測試技術(shù)的研究主要用于以下三方面。
(1) 版本周期短的軟件產(chǎn)品, 重復(fù)性測試較多。
(2) 功能趨近完整和成熟的軟件, 只需要對比前期版本修復(fù)部分缺陷。
(3) 對一致性要求較高的軟件, 自動化測試由于使用相同的腳本進(jìn)行測試, 很容易發(fā)現(xiàn)被測軟件的改變, 能保證一致性。
目前自動化測試系統(tǒng)已經(jīng)開始使用云技術(shù), 未來將更多地使用云計(jì)算來處理、存儲、分析和顯示測試數(shù)據(jù)??梢岳迷朴?jì)算將自動化測試系統(tǒng)產(chǎn)生的所有原始數(shù)據(jù)都交給云進(jìn)行集中處理、存儲和分析。隨著個性化需求的增多, 未來將出現(xiàn)越來越多的定制自動化測試服務(wù)。
3、軟件自動化測試的特點(diǎn)
軟件自動化測試與手工測試相比, 具有明顯的優(yōu)點(diǎn), 體現(xiàn)在以下五方面。
(1) 提高測試效率。某些復(fù)雜的軟件系統(tǒng), 具有成千上萬個功能和模塊, 若采用人工測試, 需要投入大量的人力、物力和時間。而自動化測試工具能夠快速和可靠地執(zhí)行事先規(guī)劃的測試任務(wù), 大大減少測試工程師的工作量。軟件產(chǎn)品的發(fā)布周期一般都較短, 自動化測試能夠高效完成可重復(fù)的測試, 提高測試效率。
(2) 提高測試質(zhì)量。軟件開發(fā)過程是個不斷改進(jìn)和集成的過程, 期間要經(jīng)過多次修改, 每一次修改都需要對整個軟件重新進(jìn)行回歸測試。自動化測試中的回歸測試, 能夠簡單快速地識別出軟件中的新錯誤, 保證測試案例具有一致性, 有效防止了人為因素的干擾, 確保了測試質(zhì)量。
(3) 提升測試需求點(diǎn)的覆蓋率。根據(jù)測試工具的回訪錄制及數(shù)據(jù)驅(qū)動對系統(tǒng)進(jìn)行測試, 能夠明顯地提升測試覆蓋率, 通過深入數(shù)據(jù)分析, 大大擴(kuò)展測試的深度。
(4) 實(shí)現(xiàn)某些手工測試較難完成的任務(wù)。如負(fù)載測試和壓力測試等。
(5) 更高的一致性和可重復(fù)性。任何一次自動化測試都運(yùn)行相同的腳本, 測試具有高度一致性。方便軟件升級或多版本測試, 降低了回歸測試成本。
但自動化測試并不是萬能的, 不能完全替代手工測試, 其具有一定的局限性, 體現(xiàn)在以下四方面。
(1) 對于簡單、直觀性高的內(nèi)容, 手工測試的優(yōu)勢更明顯。
(2) 自動化測試缺乏想象力, 只進(jìn)行機(jī)械的判斷, 無法對易用性、感官舒適程度和界面美觀進(jìn)行測試。
(3) 自動化測試只能覺察已知問題, 無法發(fā)現(xiàn)新的缺陷, 并且無法對測試過程中遇到的突發(fā)情況進(jìn)行及時地處理。
(4) 自動化測試系統(tǒng)一旦完成, 能夠提升效率、減少測試時間, 但前期的開發(fā)工作需要花費(fèi)大量的時間。
因此測試工作需要將自動化測試和手工測試相結(jié)合, 在測試過程中準(zhǔn)確地判斷何時需要自動化測試, 何時需要手工測試, 達(dá)到最好的測試效果。
4、軟件自動化測試的設(shè)計(jì)流程
盡管軟件測試因不同的軟件具有不同的測試內(nèi)容, 具體細(xì)節(jié)可能會有差異, 但總體上軟件測試流程包括需求分析、概要設(shè)計(jì)、測試環(huán)境搭建、設(shè)計(jì)測試用例、自動化測試工具開發(fā)和測試等。軟件自動化測試是在軟件測試流程的基礎(chǔ)上, 通過開發(fā)自動化測試工具并使之盡可能靈活方便地覆蓋后期整個測試過程, 包括單元測試、集成測試、回歸/系統(tǒng)測試等。軟件自動化測試設(shè)計(jì)流程圖如圖1所示。
4.1 測試需求分析
無論是手工測試還是自動化測試, 開始之前都需要做一個完整的測試安排和需求分析, 其中需要確定測試目的、測試對象、測試范圍、測試內(nèi)容、測試方法以及測試進(jìn)度等。對于自動化測試還需要考慮完成自動化測試需要的前提條件, 如前置資源和數(shù)據(jù)等。
4.2 測試概要設(shè)計(jì)
在對測試進(jìn)行全面系統(tǒng)地需求分析后, 為便于后期確保測試的關(guān)鍵核心點(diǎn)以及盡可能地覆蓋所有需求點(diǎn), 需要對系統(tǒng)進(jìn)行關(guān)鍵的概要設(shè)計(jì)。
4.3 測試用例設(shè)計(jì)
根據(jù)需求分析和概要設(shè)計(jì), 分析可以進(jìn)行自動化測試的測試點(diǎn), 并將這些測試點(diǎn)歸類匯總, 形成自動化測試用例。測試用例可以自由配置參數(shù)以及動態(tài)調(diào)整測試范圍, 測試用例的顆粒度要設(shè)計(jì)合理, 既要確保測試充分, 又要盡量保證各個測試用例的獨(dú)立性和松耦合特性。
4.4 測試環(huán)境搭建
在設(shè)計(jì)用例的同時, 根據(jù)被測對象的特點(diǎn), 確定為黑盒測試還是白盒測試, 并行搭建測試環(huán)境。包括測試工具的設(shè)置、測試環(huán)境的設(shè)備部署, 信號、網(wǎng)絡(luò)環(huán)境的提供等。
4.5 自動化測試工具開發(fā)
對自動化測試而言, 自動化測試工具的開發(fā)是自動化測試環(huán)節(jié)中最為關(guān)鍵的內(nèi)容, 是軟件測試中的核心節(jié)點(diǎn), 決定了后期測試執(zhí)行的具體內(nèi)容和實(shí)現(xiàn)方法。根據(jù)測試階段的不同, 以及測試對象的不同, 選擇開發(fā)語言和開發(fā)工具。具體的自動化測試技術(shù)開發(fā)路線包括線性自動化方法、數(shù)據(jù)驅(qū)動自動化方法、關(guān)鍵字驅(qū)動化方法等。工具開發(fā)完成后, 需要對自動化測試結(jié)果進(jìn)行分析, 盡早發(fā)現(xiàn)缺陷, 及時修改BUG。
5、自動化測試用例設(shè)計(jì)原則
自動化測試工具最大的優(yōu)點(diǎn)是能夠減少實(shí)現(xiàn)和維護(hù)測試的成本, 自動化測試用例設(shè)計(jì)的優(yōu)劣將直接決定自動化測試的效果甚至是成敗。因此自動化測試用例開發(fā)設(shè)計(jì)需要考慮以下三個原則。
5.1 優(yōu)先考慮核心測試點(diǎn)和需重復(fù)執(zhí)行的測試點(diǎn)
在設(shè)計(jì)自動化測試用例時, 很多測試人員由于過分依賴自動化測試, 認(rèn)為自動化測試的覆蓋率應(yīng)該會達(dá)到百分之百。這其實(shí)是一個誤區(qū), 這樣的設(shè)計(jì)往往會導(dǎo)致自動化測試的失敗。在一些大型項(xiàng)目中, 測試用例的數(shù)量一般都比較大, 如果遇到一些繁雜的被測程序, 自動化測試用例的開發(fā)工作往往會相當(dāng)耗時, 并且很多測試用例甚至根本就不能通過自動化來實(shí)現(xiàn)。如果軟件版本更新快, 測試用例數(shù)量就會增加很多, 這大大增加了后期的維護(hù)工作量。因此, 往往需要重點(diǎn)考慮核心測試點(diǎn)和需重復(fù)執(zhí)行的測試點(diǎn), 從而充分發(fā)揮自動化測試的優(yōu)勢。
5.2 優(yōu)先考慮以正常情況為主
測試用例設(shè)計(jì)一般分正常情況和異常情況, 正常情況涉及的問題一般較少, 但異常情況往往比較復(fù)雜, 會對應(yīng)幾個甚至幾十個測試用例。如果將這些異常情況全部設(shè)計(jì)為自動化測試用例, 其代碼量以及今后的維護(hù)任務(wù)都會非常繁重。因此, 在具體自動化測試設(shè)計(jì)中, 會盡量少納入反向測試用例。
5.3 需重視數(shù)據(jù)的初始化
自動化測試不同于手工測試, 每次測試完成, 可能會有數(shù)據(jù)的變更, 所以每次執(zhí)行完自動化測試, 需要考慮數(shù)據(jù)的初始化回歸, 否則可能會出現(xiàn)無法預(yù)知的錯誤。比如在數(shù)字電視直播中刪除所有SI信息功能測試, 在測試完成后, 需要重新進(jìn)行頻道搜索完成SI信息的回歸重置。
6、結(jié)束語
目前我國軟件行業(yè)仍然存在“重開發(fā), 輕測試”的問題, 追求眼前短期功能的實(shí)現(xiàn), 而對軟件的性能和質(zhì)量優(yōu)化等考慮較少。軟件測試技術(shù)仍處于相對落后的狀態(tài), 測試仍以手工測試為主。因此在軟件設(shè)計(jì)之初應(yīng)該選擇合理的自動化測試策略, 設(shè)計(jì)自動化測試流程, 充分利用自動化測試的優(yōu)勢, 將重復(fù)性、繁瑣性的測試工作, 交由軟件系統(tǒng)自動完成。使測試人員可以有更多精力與軟件開發(fā)人員密切配合, 設(shè)計(jì)高效測試用例, 提高測試效率, 縮短軟件修改所需的時間, 降低修改成本。
參考文獻(xiàn)
[1]干曉鳴.軟件自動化測試的合理應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件, 2010 (27) :172-174.
[2]付曉, 楊海根.自動化測試實(shí)現(xiàn)研究[J].中國市場, 2016 (34) :96-98.
[3]易敏捷.軟件測試國內(nèi)外發(fā)展現(xiàn)狀及趨勢研究[J].電腦知識與技術(shù), 2013 (26) :6020-6022.
[4]徐泊.一種自動化測試系統(tǒng)的輔助測試工具的分析與設(shè)計(jì)[D].北京郵電大學(xué), 2017.
[5]田鴻運(yùn), 劉青凱, 成杰, 等.一種面向高性能數(shù)值模擬軟件的自動化測試平臺[J].計(jì)算機(jī)工程與科學(xué), 2017 (39) :1980-1985.
交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制研究
摘要:網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制對提高網(wǎng)絡(luò)安全預(yù)警和應(yīng)急處置具有重要意義,發(fā)揮著跨部門、多層級的信息交流與共享平臺的作用,是協(xié)調(diào)有關(guān)部門、整合多方資源,實(shí)現(xiàn)綜合防控、主動防范的重要載體。為建立交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制,文章對交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制建設(shè)背景及行業(yè)信息安全發(fā)展階段性需求進(jìn)行了分析,提出了網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制建設(shè)思路。在定位網(wǎng)絡(luò)與信息安全信息通報(bào)工作的基礎(chǔ)上,結(jié)合交通運(yùn)輸行業(yè)管理組織現(xiàn)狀,根據(jù)國家對網(wǎng)絡(luò)與信息安全信息通報(bào)工作相關(guān)要求,研究了交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作開展范圍、工作內(nèi)容形式,并對通報(bào)工作主要流程和基礎(chǔ)保障工作進(jìn)行了分析。
關(guān)鍵詞:交通運(yùn)輸;網(wǎng)絡(luò)與信息安全;信息通報(bào)機(jī)制;信息共享;
作者簡介:周艷芳(1982—),女,湖南,助理研究員,博士,主要研究方向?yàn)榻煌ㄟ\(yùn)輸信息化、交通運(yùn)輸行業(yè)信息安全
0引言
交通運(yùn)輸是國民經(jīng)濟(jì)基礎(chǔ)性、先導(dǎo)性行業(yè)。隨著信息化建設(shè)不斷深化,行業(yè)信息化建設(shè)逐步轉(zhuǎn)向資源整合和系統(tǒng)互聯(lián)、業(yè)務(wù)協(xié)同的新階段,基礎(chǔ)設(shè)施運(yùn)營管理和交通經(jīng)濟(jì)活動運(yùn)行,對大量非涉密網(wǎng)絡(luò)信息系統(tǒng)的依賴程度越來越高。與此同時,行業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險也日趨嚴(yán)峻,安全事件頻發(fā),影響日益嚴(yán)重。在開展交通運(yùn)輸行業(yè)管理過程中,對各單位信息安全形勢的掌握是行業(yè)信息安全決策的基礎(chǔ)。網(wǎng)絡(luò)與信息安全信息通報(bào)是信息安全管理過程當(dāng)中傳遞信息、積極防范、協(xié)調(diào)聯(lián)通、綜合防御的有效手段,也是國家網(wǎng)絡(luò)安全管理的基礎(chǔ)性工作。有序運(yùn)轉(zhuǎn)的信息安全通報(bào)機(jī)制是網(wǎng)絡(luò)安全應(yīng)急管理的基礎(chǔ),及時發(fā)布網(wǎng)絡(luò)與信息安全事件信息,進(jìn)行預(yù)警,可避免信息安全事件大規(guī)模爆發(fā)。及時進(jìn)行事后總結(jié),進(jìn)行趨勢分析,可為信息安全應(yīng)急管理提供必要依據(jù)。同時,建立網(wǎng)絡(luò)與信息安全的信息共享和通報(bào)機(jī)制,能夠確保在發(fā)生網(wǎng)絡(luò)與信息安全事件時統(tǒng)一協(xié)調(diào)行動,及時有效處置,加強(qiáng)聯(lián)合防護(hù)減少危害損失和影響。在現(xiàn)有交通運(yùn)輸“條塊”管理體制下,信息通報(bào)機(jī)制非常適合交通運(yùn)輸行業(yè)信息安全管理的需求和特點(diǎn),既可以加強(qiáng)安全信息共享、便于相關(guān)信息和要求上傳下達(dá),又可以形成工作平臺,促進(jìn)工作交流,充分發(fā)揮引導(dǎo)作用[1-3]。
我國的網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制是遵照2003年3月胡錦濤同志關(guān)于“要建立影響網(wǎng)絡(luò)安全有關(guān)信息的通報(bào)機(jī)制,以利加強(qiáng)安全防范”的重要指示建立的。2013年,交通運(yùn)輸部加入國家網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制。為更好地履行國家網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制成員單位職責(zé),交通運(yùn)輸部于2013年6月啟動行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)試點(diǎn)工作,在總結(jié)試點(diǎn)工作經(jīng)驗(yàn)基礎(chǔ)上,于2014年8月印發(fā)《交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)管理辦法》,全面開展行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作。本文總結(jié)了交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制建設(shè)情況,并提出了積極的建議。
1交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制建設(shè)思路
信息通報(bào)是信息安全管理體制中的重要環(huán)節(jié),發(fā)揮著跨部門、多層級的信息交流與平臺共享的作用,是協(xié)調(diào)有關(guān)部門、整合多方資源,實(shí)現(xiàn)綜合防控、主動防范的重要載體。相關(guān)行業(yè)在建立網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制時,在《國家網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法》總體要求基礎(chǔ)上,結(jié)合行業(yè)管理實(shí)際,形成了相關(guān)管理辦法,如工信部《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)實(shí)施辦法》,國家稅務(wù)總局《稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全信息通報(bào)制度》(試行)[4],海南電網(wǎng)公司《網(wǎng)絡(luò)與信息安全信息通報(bào)管理辦法》,這些對建立交通運(yùn)輸行業(yè)建立網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制具有極大的借鑒意義。王希忠、黃俊強(qiáng)、馬遙等[5]從通報(bào)范圍、通報(bào)流程等方面,對省級通報(bào)機(jī)制建設(shè)進(jìn)行了研究。張仙偉、張王景、黃毓虎[6]對網(wǎng)絡(luò)與信息安全信息通報(bào)系統(tǒng)的開發(fā)實(shí)現(xiàn)進(jìn)行了研究。
從當(dāng)前已開展網(wǎng)絡(luò)與信息安全信息通報(bào)工作的情況來看,建立交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制需要解決兩個問題。
1)通報(bào)工作應(yīng)按照什么樣的規(guī)程開展。解決這個問題必須明確組織機(jī)構(gòu)、通報(bào)信息來源、通報(bào)內(nèi)容、通報(bào)流程及時間要求,建立通報(bào)渠道,規(guī)定通報(bào)后期處置等內(nèi)容。可以在國家網(wǎng)絡(luò)與信息安全信息通報(bào)工作要求基礎(chǔ)上,梳理交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全管理實(shí)際需求,從而明確上述各項(xiàng)內(nèi)容。
2)通報(bào)工作的開展需要行業(yè)各單位的配合與支持,如何準(zhǔn)確定位信息通報(bào)在行業(yè)管理中的作用是推動建立通報(bào)機(jī)制的關(guān)鍵。為避免行業(yè)各單位因排斥上級部門監(jiān)管而不配合行業(yè)通報(bào)工作開展,交通運(yùn)輸部將信息通報(bào)工作定位為提高行業(yè)信息安全保障能力的一項(xiàng)基礎(chǔ)性工作,要求努力做到3個服務(wù):(1)服務(wù)于交通運(yùn)輸行業(yè)各單位,多渠道收集、分析、處理有關(guān)安全信息,提供及時、準(zhǔn)確、有益的信息安全情報(bào)分析、預(yù)警提示,并搭建信息安全工作交流平臺;(2)服務(wù)于領(lǐng)導(dǎo)決策,匯總分析各方面的信息安全情報(bào),為上級領(lǐng)導(dǎo)就信息安全工作做出決策,提供重要依據(jù);(3)服務(wù)于國家整體信息安全工作,及時將交通運(yùn)輸行業(yè)信息安全態(tài)勢報(bào)送給國家有關(guān)主管部門,履行作為通報(bào)機(jī)制成員單位的基本職責(zé)。
2交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制介紹
交通運(yùn)輸行業(yè)與具有垂直管理職能的稅務(wù)、海關(guān)等行業(yè)相比,在業(yè)務(wù)管理模式上有非常大的差異,信息化建設(shè)管理模式明顯不同,信息安全管理工作必須適應(yīng)行業(yè)的“條塊分割”、“以塊為主”的現(xiàn)狀。而長期以來,服務(wù)于道路運(yùn)輸“建”、“管”、“養(yǎng)”不同層次的業(yè)務(wù)應(yīng)用建設(shè)了大量信息系統(tǒng),系統(tǒng)歸屬、管理及運(yùn)維混亂,而“重應(yīng)用、輕安全”的建設(shè)思路為交通運(yùn)輸行業(yè)信息安全留下了巨大隱患。近年來,除國家信息安全有關(guān)部門通報(bào)的安全事件外,交通運(yùn)輸行業(yè)信息安全主管部門對行業(yè)各單位信息安全現(xiàn)狀掌握始終處于“被動”或“不清楚”的狀態(tài),難以掌握行業(yè)重要信息系統(tǒng)運(yùn)行狀態(tài)及存在的安全風(fēng)險隱患。而重要信息系統(tǒng)穩(wěn)定運(yùn)行是支撐行業(yè)業(yè)務(wù)有序開展的基礎(chǔ)。因此,交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制建設(shè)首先需要建立通報(bào)組織機(jī)構(gòu),并梳理行業(yè)重要信息系統(tǒng)從而確定通報(bào)范圍,在此基礎(chǔ)上,根據(jù)國家網(wǎng)絡(luò)與信息安全信息通報(bào)工作要求,確定通報(bào)范圍、通報(bào)時間、通報(bào)內(nèi)容和渠道以及通報(bào)流程。
2.1交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制組織機(jī)構(gòu)
科學(xué)合理的組織架構(gòu)是行業(yè)開展信息安全信息通報(bào)工作的基礎(chǔ)。在通報(bào)工作日常管理過程中,需要對重要事件進(jìn)行決策以提供管理導(dǎo)向與支持,對通報(bào)工作要求進(jìn)行有效的貫徹和落實(shí),對通報(bào)工作的落實(shí)情況進(jìn)行監(jiān)督,以上各種情況都需要一個完善高效的組織機(jī)構(gòu)來支撐。
其中,行業(yè)信息安全主管部門為部科技司,主要負(fù)責(zé)通報(bào)工作的決策、指導(dǎo)、監(jiān)督、檢查和考核等工作;通報(bào)工作成員單位主要為地方交通運(yùn)輸主管部門、部屬單位和中央交通運(yùn)輸企業(yè),這些是通報(bào)工作執(zhí)行的主體,需要按照交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作統(tǒng)一要求完成相關(guān)信息報(bào)送;工作組在行業(yè)信息安全主管部門指導(dǎo)下,按國家及部通報(bào)有關(guān)要求開展相關(guān)工作、提供相應(yīng)技術(shù)支持。具體到信息系統(tǒng)通報(bào)責(zé)任時,按照“誰建設(shè),誰負(fù)責(zé);誰主管,誰負(fù)責(zé)”的原則。通報(bào)工作組織機(jī)構(gòu)建設(shè)按照下管一級的原則建立,在開展行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作時,要求各成員單位參照“部-省”模式建立“省-市”通報(bào)工作組織機(jī)構(gòu)。
2.2交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)范圍
交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作的重點(diǎn)是掌握行業(yè)重要信息系統(tǒng)安全狀況,因此,規(guī)定通報(bào)范圍主要為行業(yè)內(nèi)非涉密基礎(chǔ)信息網(wǎng)絡(luò)、重點(diǎn)網(wǎng)站與重要信息系統(tǒng)。交通運(yùn)輸行業(yè)非涉密基礎(chǔ)信息網(wǎng)絡(luò)、重點(diǎn)網(wǎng)站與重要信息系統(tǒng)是指當(dāng)其信息安全受到侵害時,會對國有資產(chǎn)、社會秩序、公共安全或政府形象中的至少一項(xiàng)造成比較嚴(yán)重的損害的網(wǎng)絡(luò)、網(wǎng)站和信息系統(tǒng),包括但不限于以下系統(tǒng):
1)基礎(chǔ)信息網(wǎng)絡(luò);
2)重點(diǎn)網(wǎng)站,包括部機(jī)關(guān)、部直屬機(jī)構(gòu)、地方交通主管部門、中央交通運(yùn)輸企業(yè)所建設(shè)門戶網(wǎng)站及公眾信息服務(wù)網(wǎng)站等;
3)重要信息系統(tǒng),包括安全保護(hù)等級在第三級以上(含第三級)的信息系統(tǒng),以及市級及市級以上交通運(yùn)輸行政許可、行政執(zhí)法、安全監(jiān)督、應(yīng)急處置、收費(fèi)的重要業(yè)務(wù)系統(tǒng);面向公眾提供市域及市域以上范圍交通運(yùn)輸信息服務(wù)的信息系統(tǒng);市級及市級以上以上涉及到交通運(yùn)輸投資計(jì)劃、項(xiàng)目管理、資金安排和使用的信息系統(tǒng);交通運(yùn)輸跨省聯(lián)網(wǎng)和省域聯(lián)網(wǎng)信息系統(tǒng)。
2.3交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)內(nèi)容和形式
通報(bào)工作成員單位和工作組的報(bào)送形式分為:定期報(bào)送、即時報(bào)送和專項(xiàng)報(bào)送。根據(jù)報(bào)送對象不同,對每種報(bào)送形式的具體內(nèi)容和要求做出了具體規(guī)定。
1)定期報(bào)送時間及內(nèi)容
定期報(bào)送以月度、季度為周期,主要報(bào)送非涉密基礎(chǔ)信息網(wǎng)絡(luò)、重點(diǎn)網(wǎng)站和重要信息系統(tǒng)安全狀況;網(wǎng)絡(luò)與信息安全事件統(tǒng)計(jì)情況;網(wǎng)絡(luò)與信息安全保障體系建設(shè)和工作開展情況;信息安全等級保護(hù)工作開展情況。
2)即時報(bào)送時間及內(nèi)容
即時報(bào)送主要針對突發(fā)或緊急安全事件、重大網(wǎng)絡(luò)與信息安全威脅隱患預(yù)警信息及網(wǎng)絡(luò)安全違法犯罪活動線索等。當(dāng)發(fā)生重大安全事件或重大預(yù)警信息時,應(yīng)及時將安全事件等級、發(fā)生原因、處置過程及處置結(jié)果報(bào)送行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作組。對重大預(yù)警信息級網(wǎng)絡(luò)安全違法犯罪活動線索,要求預(yù)判可能產(chǎn)生的影響等情況報(bào)送上級部門。
3)專項(xiàng)報(bào)送
在重大活動期間和重要敏感時期,應(yīng)按照國家或行業(yè)管理工作有關(guān)要求專項(xiàng)報(bào)送行業(yè)網(wǎng)絡(luò)與信息安全情況。
2.4交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)時間要求
根據(jù)國家網(wǎng)絡(luò)與信息安全信息通報(bào)工作月度報(bào)送、季度報(bào)送等要求,對交通運(yùn)輸行業(yè)各通報(bào)成員單位網(wǎng)絡(luò)安全狀況報(bào)送時間要求如下:
1)月度報(bào)送。每月指定日,各成員單位向部報(bào)送本單位或轄區(qū)基礎(chǔ)信息網(wǎng)絡(luò)、政府網(wǎng)站和重要信息系統(tǒng)安全狀況以及本單位或轄區(qū)網(wǎng)絡(luò)與信息安全事件匯總統(tǒng)計(jì)情況,報(bào)告期為上月指定日至本月指定日前一日。
2)季度報(bào)送。每季度末月指定日,各試點(diǎn)單位向部報(bào)送本單位或轄區(qū)行業(yè)信息安全保障體系建設(shè)和工作開展情況以及其他需要向行業(yè)信息安全主管部門報(bào)送的信息,報(bào)告期為上季度末月指定日至本季度末月指定日前一日。
3)即時報(bào)送。各試點(diǎn)單位應(yīng)按要求及時報(bào)送特別重大的網(wǎng)絡(luò)與信息安全事件及其處置情況、針對行業(yè)信息安全主管部門通報(bào)的重大網(wǎng)絡(luò)與信息安全威脅隱患預(yù)警所采取的防范和處置工作情況。其中,重大網(wǎng)絡(luò)安全事件要求4小時內(nèi)上報(bào)行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作組,同時應(yīng)報(bào)當(dāng)?shù)毓膊块T。
2.5交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作主要流程
網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制作為交通運(yùn)輸行業(yè)信息安全管理信息共享的渠道,需要對多方信息進(jìn)行整合、分析,并合理合規(guī)上傳下達(dá)。
2.5.1通報(bào)信息來源分析
交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制的信息來源主要包括自主監(jiān)測信息、外部監(jiān)測信息及其他情報(bào)信息,具體如下:
1)自主監(jiān)測信息。包括對重點(diǎn)網(wǎng)站、重要信息系統(tǒng)的安全性監(jiān)測信息,由各單位對重點(diǎn)網(wǎng)站和重要信息系統(tǒng)信息安全事件及潛在風(fēng)險進(jìn)行實(shí)時監(jiān)測產(chǎn)生的信息。
2)外部監(jiān)測信息。具有監(jiān)管職能的政府部門或政府指定部門、行業(yè)主管部門等對行業(yè)網(wǎng)站和信息系統(tǒng)開展信息安全事件及潛在風(fēng)險監(jiān)測所獲得的信息。
3)其他信息來源。網(wǎng)絡(luò)安全企業(yè)、科研機(jī)構(gòu)及公眾平臺提供的網(wǎng)絡(luò)與信息安全情報(bào)信息。
上述信息經(jīng)過匯總、分析與研判后,應(yīng)根據(jù)研判結(jié)論再進(jìn)行下發(fā)、通報(bào)或向上匯報(bào)等。
2.5.2行業(yè)成員單位報(bào)送信息處置工作流程
為使得網(wǎng)絡(luò)與信息安全相關(guān)信息在行業(yè)內(nèi)合理合規(guī)交換和共享,規(guī)定交通運(yùn)輸行業(yè)成員單位報(bào)送信息及國家信息安全管理相關(guān)部門通報(bào)信息處置流程如下:
1)成員單位根據(jù)報(bào)送要求向工作組報(bào)送相關(guān)信息。
2)接報(bào)后,工作組開展匯總、分析和研判工作,重大突發(fā)網(wǎng)絡(luò)及信息安全事件事故及時核實(shí)、跟蹤,形成行業(yè)網(wǎng)絡(luò)與信息安全狀況月度、季度報(bào)告及即時報(bào)告,報(bào)行業(yè)信息安全主管部門。必要時,工作組應(yīng)與信息安全相關(guān)科研機(jī)構(gòu)、企業(yè)及行業(yè)專家等聯(lián)合開展研判及重大網(wǎng)絡(luò)安全事件應(yīng)急支持工作。
3)行業(yè)信息安全主管部門審定報(bào)告內(nèi)容后,向國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心通報(bào),向部信息化領(lǐng)導(dǎo)小組報(bào)告。
4)工作組受行業(yè)信息安全主管部門委托向成員單位通報(bào)。
5)成員單位接收工作組通報(bào)。
2.5.3國家信息安全管理相關(guān)部門通報(bào)信息處置工作流程
1)行業(yè)信息安全主管部門向工作組轉(zhuǎn)發(fā)國家信息安全管理相關(guān)部門通報(bào)。
2)工作組多渠道收集信息安全預(yù)警信息,綜合國家信息安全管理相關(guān)部門通報(bào)開展匯總、分析、研判,形成預(yù)警通報(bào)、分析報(bào)告至行業(yè)信息安全主管部門。
3)行業(yè)信息安全主管部門接收并審定工作組報(bào)告,向部信息化領(lǐng)導(dǎo)小組報(bào)告重大事項(xiàng),向成員單位通報(bào)預(yù)警信息。
4)工作組受行業(yè)信息安全主管部門委托,向成員單位通報(bào)國家信息安全管理相關(guān)部門通報(bào)信息。
5)成員單位接收行業(yè)信息安全主管部門預(yù)警通報(bào)及工作組通報(bào)。根據(jù)各種通報(bào)預(yù)警信息開展安全隱患排查及整改建設(shè)工作。預(yù)警通報(bào)應(yīng)根據(jù)相關(guān)要求及時反饋。
3交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制建設(shè)成效
網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制的建立對強(qiáng)化交通運(yùn)輸行業(yè)信息安全管理意識,切實(shí)推進(jìn)落實(shí)行業(yè)信息安全管理責(zé)任,提高行業(yè)網(wǎng)絡(luò)與信息安全感知能力起到了積極作用,并為全面掌握交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全現(xiàn)狀及發(fā)展態(tài)勢、提高行業(yè)信息安全保障能力奠定了良好基礎(chǔ)。
1)基本掌握行業(yè)信息安全保障體系建設(shè)現(xiàn)狀
通過通報(bào)成員單位基礎(chǔ)信息匯總分析,基本掌握了各單位信息安全保障體系建設(shè)情況,包括各單位信息安全管理組織機(jī)構(gòu)、責(zé)任落實(shí)、管理制度、信息安全技術(shù)防護(hù)體系建設(shè)、信息系統(tǒng)建設(shè)、定級備案測評、信息安全災(zāi)備與應(yīng)急、培訓(xùn)教育等工作的開展情況,初步建成行業(yè)信息安全通報(bào)機(jī)制。
2)基本掌握行業(yè)信息安全態(tài)勢
通過月報(bào)、季報(bào)匯總分析,及時掌握了各試點(diǎn)單位信息安全態(tài)勢,包括各單位重要信息系統(tǒng)中斷情況、網(wǎng)絡(luò)中斷情況、信息安全事件發(fā)生情況及其處置工作開展情況。同時,通過各單位報(bào)送監(jiān)測信息匯總,掌握了行業(yè)重要信息系統(tǒng)受攻擊總體情況。
3)提高了行業(yè)信息安全防范能力
一方面,各單位在日常監(jiān)測過程當(dāng)中,不斷發(fā)現(xiàn)所存在的風(fēng)險隱患并積極改進(jìn),提高了安全保障能力。另一方面,通報(bào)機(jī)制建立了與國家信息安全情報(bào)相關(guān)部門的溝通渠道,能及時跟蹤、獲取國家信息安全專業(yè)機(jī)構(gòu)發(fā)布的針對性預(yù)警信息,及時督促行業(yè)開展信息安全隱患排查工作,從而提高信息安全風(fēng)險防范能力。
4)初步建立起行業(yè)信息安全工作交流平臺
行業(yè)網(wǎng)絡(luò)與信息安全工作交流平臺的建設(shè)目標(biāo)是搭建一個行業(yè)信息安全技術(shù)、趨勢的交流平臺,分享國內(nèi)外及行業(yè)信息安全熱點(diǎn)。經(jīng)由試點(diǎn)工作的開展,目前已經(jīng)成功搭建起行業(yè)信息安全主管部門與國家信息安全管理有關(guān)部門溝通渠道,實(shí)現(xiàn)了與各有關(guān)部門的信息安全情報(bào)共享;以《交通運(yùn)輸部內(nèi)部情況通報(bào)》的形式將行業(yè)信息安全態(tài)勢、國內(nèi)外信息安全重要資訊向行業(yè)各單位進(jìn)行通報(bào);利用微信及QQ等即時通訊工具建立了工作群,實(shí)現(xiàn)了行業(yè)信息安全動態(tài)的實(shí)時交流。
4交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)基礎(chǔ)保障工作
信息通報(bào)是網(wǎng)絡(luò)安全保障的基礎(chǔ)性工作,同時也是一項(xiàng)復(fù)雜的系統(tǒng)工作。做好信息通報(bào)工作,需要做好以下基礎(chǔ)工作:
1)要做到“底數(shù)清,情況明”。信息通報(bào)工作依賴于行業(yè)網(wǎng)絡(luò)安全建設(shè)的調(diào)查摸底,必須要掌握行業(yè)信息系統(tǒng)數(shù)量、類型、技術(shù)、服務(wù)范圍、定級備案測評等具體情況,切實(shí)做到情況明、數(shù)字準(zhǔn)、責(zé)任清。
2)要貫徹落實(shí)法律法規(guī)和安全標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全貫穿信息化建設(shè)運(yùn)維全過程,涉及管理、技術(shù)、人員,加強(qiáng)全流程全生命周期的信息安全管理需要以國家相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范為指導(dǎo)。
3)要加強(qiáng)網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)。信息通報(bào)需要既熟悉網(wǎng)絡(luò)安全技術(shù)、又了解通報(bào)工作要求,還得熟悉本轄區(qū)或本單位信息化及網(wǎng)絡(luò)安全狀況的人才。這就需要建立更為靈活的人才管理機(jī)制,打通專業(yè)人才流動、使用、發(fā)揮作用中的體制機(jī)制障礙,推進(jìn)人才培訓(xùn),提升人才隊(duì)伍建設(shè)水平。
4)要細(xì)化需求分析,為決策提供支持。要細(xì)化通報(bào)需求分析,科學(xué)設(shè)計(jì)通報(bào)內(nèi)容,杜絕被動、滯后、單向的報(bào)送方式,確保實(shí)時反映行業(yè)信息安全態(tài)勢,為領(lǐng)導(dǎo)科學(xué)決策提供數(shù)據(jù)支持。
5)要加強(qiáng)新技術(shù)新應(yīng)用研究。網(wǎng)絡(luò)安全正處于錯綜變化的發(fā)展時期,物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)的廣泛應(yīng)用,使得針對新技術(shù)的網(wǎng)絡(luò)安全研究略顯滯后,亟需開展前瞻性的研究,建立具有較強(qiáng)理論和實(shí)證基礎(chǔ)的系統(tǒng)化知識體系,并通過政策引導(dǎo)、法律約束、技術(shù)示范等措施,更新信息安全防護(hù)技術(shù),促進(jìn)信息安全技術(shù)體系升級[7]。
6)加快監(jiān)測預(yù)警體系建設(shè)。目前,交通運(yùn)輸行業(yè)缺乏主動監(jiān)測和預(yù)警防范能力,對安全態(tài)勢掌握仍處于被動與滯后的局面。監(jiān)測預(yù)警完全依賴于國家有關(guān)部門情報(bào),難以滿足行業(yè)信息安全保障體系建設(shè)需求,迫切需要加快建立行業(yè)信息安全預(yù)警防范體系,提升主動防御能力和保障水平。
5結(jié)束語
隨著國內(nèi)外信息安全形勢的發(fā)展,信息安全已成為制約交通運(yùn)輸行業(yè)轉(zhuǎn)型和發(fā)展的重要瓶頸。在智能化、信息化引領(lǐng)交通運(yùn)輸行業(yè)現(xiàn)代化的關(guān)鍵時期,信息安全的保障作用日益凸顯。網(wǎng)絡(luò)與信息安全信息通報(bào)工作是掌握交通運(yùn)輸行業(yè)信息安全態(tài)勢、發(fā)現(xiàn)行業(yè)信息安全問題的重要抓手,是行業(yè)信息安全保障體系建設(shè)和完善的基礎(chǔ)性保障工作。因此,適應(yīng)行業(yè)發(fā)展需求,切實(shí)開展信息通報(bào)工作對提升交通運(yùn)輸行業(yè)信息安全保障能力具有重大意義。
相關(guān)文章: