軟件測試外包駐場測試中信息安全問題的研究

張莉妹

軟件外包具有很多優(yōu)勢，如可以降低或保持軟件開發(fā)成本和管理成本，使企業(yè)更專注于核心能力和核心競爭力，集中優(yōu)勢奪取關(guān)鍵戰(zhàn)略目標(biāo)?？梢越鉀Q公司產(chǎn)業(yè)擴(kuò)張期快速膨脹的測試需求與測試資源和能力的矛盾，提升測試技術(shù)水平和產(chǎn)品質(zhì)量，使現(xiàn)有的研發(fā)和測試團(tuán)隊更聚焦于核心業(yè)務(wù)，采取與軟件外包公司進(jìn)行合作的方式，利用其前瞻的測試技術(shù)、先進(jìn)的測試思路和方法、成熟的測試流程、充足的人力資源，以最短的周期響應(yīng)產(chǎn)品對軟件的測試需求。面對全球性的信息技術(shù)服務(wù)外包浪潮，外包模式的采用對于我國一些行業(yè)來說，可能是一種新型戰(zhàn)略，難免會存在一些風(fēng)險，如信息安全問題。

本文提出在采用信息泄密風(fēng)險較低的駐場外包測試中，如何采用體系化的管理來防止或者減少企業(yè)關(guān)鍵信息的泄密，從而讓企業(yè)在核心競爭力上保持不斷的優(yōu)勢。

1理論方法

1.1軟件外包相關(guān)概念

本文指的軟件外包是指企業(yè)以合同的方式委托信息技術(shù)服務(wù)商向企業(yè)提供部分或全部的信息功能。軟件外包又可以分為開發(fā)外包和測試外包。開發(fā)外包即將研發(fā)任務(wù)進(jìn)行外包，測試外包即只對已研發(fā)好的產(chǎn)品的測試工作進(jìn)行外包。根據(jù)測試外包目的地是否在企業(yè)所在地，又可以分為駐場測試和離岸測試。

本文指的駐場測試也即在客戶辦公場地或者客戶指定的場地進(jìn)行測試活動。離岸測試也即在外包供應(yīng)商辦公場地或外包供應(yīng)商指定的場地進(jìn)行測試活動。

測試外包的業(yè)務(wù)模式常見的類型為人力資源外包和項目外包。人力資源外包也即人員外派模式，即測試外包供應(yīng)商把自己的員工派到客戶的現(xiàn)場，由甲方統(tǒng)一安排，統(tǒng)一管理。項目外包不僅要求外包商提供人力資源，也要提供相應(yīng)的管理和支持，來獨立完成甲方提供的任務(wù)，滿足甲方在業(yè)務(wù)外包上的需求。對于剛起步要做測試外包的企業(yè)，可以先嘗試采用此種方式來跑通整個外包業(yè)務(wù)的流程，并且初步和外包供應(yīng)商建立相互的信任機(jī)制。

對于保密要求高，又沒有充足的人力資源來支撐的企業(yè)，一般多采取項目外包駐場測試的外包形式，可以采取將測試場地設(shè)置在企業(yè)內(nèi)部.也可以由企業(yè)單獨設(shè)置一處駐場測試場地，所有的安全管理系統(tǒng)都可以由企業(yè)自己來布置。

1.2信息安全的概念

信息安全的概念有廣義和狹義之分。

狹義的信息安全是指具體信息技術(shù)系統(tǒng)的安全和某一特定信息技術(shù)系統(tǒng)的安全的統(tǒng)稱。ISO27001：2005認(rèn)為信息安全是指保護(hù)信息的保密性、完整性、可用性及其他屬性。

廣義的信息安全則是指信息化狀態(tài)不受外來的威脅和傷害，信息技術(shù)系統(tǒng)不受外來的威脅和侵害，為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)信息的保密性、完整性、可用性及其他屬性。

本文所指的信息安全為廣義的信息安全。

2信息安全管理體系

本文所指的軟件測試外包駐場測試信息安全管理體系包括駐場測試風(fēng)險管理和駐場測試保密管理兩大塊，體系建設(shè)應(yīng)該在開展軟件測試外包項目前完成.并在整個軟件測試外包項目中貫徹執(zhí)行。

企業(yè)通過外包過程中的風(fēng)險管理，辨別和確認(rèn)風(fēng)險，并從技術(shù)體系、管理體系和信任體系幾個方面制定保密解決措施，從而確保信息的保密性，或者降低信息泄密風(fēng)險到可接受的程度。

2.1駐場測試風(fēng)險管理

由于駐場測試在客戶所指定的場地開展，因此風(fēng)險管理相對比較好開展。

軟件測試外包駐場測試風(fēng)險管理可以從：風(fēng)險識別、風(fēng)險分析、風(fēng)險預(yù)警、風(fēng)險消除幾個環(huán)節(jié)來實施。

（1）風(fēng)險識別：就是將源于企業(yè)自身、外包商或者是外部環(huán)境的，能夠影響外包測試的各種因素進(jìn)行一一鑒別，并進(jìn)行分類整理。在決定要做測試外包前應(yīng)該先進(jìn)行風(fēng)險識別工作，形成對應(yīng)的識別文件。

（2）風(fēng)險分析：企業(yè)對識別出來的風(fēng)險發(fā)生的概率、對軟件測試外包影響的重要性、可采取的消除風(fēng)險的措施進(jìn)行分析，為風(fēng)險預(yù)警做準(zhǔn)備。該工作也需要在決定外包前來開展，進(jìn)行必要性分析的時候要對風(fēng)險進(jìn)行分析，并形成對應(yīng)的識別文件。

（3）風(fēng)險預(yù)警：完成風(fēng)險分析后，企業(yè)需要對較為敏感和和影響較大的風(fēng)險進(jìn)行實時監(jiān)控，以便能夠及時發(fā)現(xiàn)問題，為消除風(fēng)險做準(zhǔn)備。將風(fēng)險預(yù)警納入日常管理中。

（4）風(fēng)險消除：從理論上，風(fēng)險只能降低或減少而不能完全消除。在風(fēng)險識別和分析的時候，對能關(guān)閉的風(fēng)險要先進(jìn)行關(guān)閉，暫時關(guān)閉不了的風(fēng)險，要出具風(fēng)險消除的對應(yīng)方案，一旦出現(xiàn)風(fēng)險，要及時根據(jù)預(yù)先制定好的規(guī)避措施將風(fēng)險帶來的危害降到最低。

2.2駐場測試保密管理

完成軟件測試外包駐場測試風(fēng)險管理后，需要根據(jù)分析的結(jié)果，制定對應(yīng)的保密措施。安全科學(xué)理論認(rèn)為，典型的安全系統(tǒng)主要由人、機(jī)、環(huán)境三要素組成。從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息的保密性，降低安全風(fēng)險到可接受的程度。

因此，我們可以從技術(shù)體系、管理體系和信任體系三方面進(jìn)行軟件測試外包駐場測試保密管理，如下圖所示。

2.2.1技術(shù)體系

視頻監(jiān)控除了安裝一般的監(jiān)視設(shè)備外，還可以安裝專業(yè)的防拍照系統(tǒng)，當(dāng)發(fā)現(xiàn)有拍照設(shè)備或者拍照舉動的時候，可以進(jìn)行預(yù)防和報警，并對信息進(jìn)行記錄，以供相關(guān)人員進(jìn)行查看和取證。企業(yè)要初步在建立駐場測試辦公區(qū)的時候就要對相應(yīng)的監(jiān)視設(shè)備安裝位置等進(jìn)行規(guī)劃和做預(yù)算。

軟件隔離，不僅可以理解為安裝加密軟件，也可以理解為根據(jù)軟件的特性，將軟件關(guān)鍵部分進(jìn)行隔離。比如對涉密性比較高的部分，可以采取不進(jìn)行外包或者加密處理等。但是這個對軟件的模塊化設(shè)計要求比較高，要確保軟件的設(shè)計模塊合理，且容易拆分和組合，接口清晰。

電磁干擾主要是對視頻設(shè)備、手機(jī)等設(shè)備起到干擾作用，防止信息的外泄。

身份認(rèn)證包括對實驗室門禁身份的認(rèn)證和登錄系統(tǒng)的身份認(rèn)證等。通過對權(quán)限的控制來限制對關(guān)鍵資源的訪問，防止非法用戶的入侵或者合法用戶的不慎操作造成破壞。

2.2.2管理體系

實驗室配置專門的實驗室管理員，除了實驗室的日常管理外，保密管理也是重要的工作之一，如查看用戶訪問信息，視頻監(jiān)控報警信息等。一旦有泄密發(fā)生，實驗室管理員需要第一時間做出應(yīng)急反應(yīng)。

保密審查組需要定期地對實驗室進(jìn)行安全檢查，如捕捉異常電磁信號，查看加密系統(tǒng)是否正常運行等，并定期的組織涉密培訓(xùn)，提高內(nèi)部員工和外包人員的保密意識。

完成風(fēng)險分析后，企業(yè)需要制定相應(yīng)的信息泄密應(yīng)急措施，一旦發(fā)生泄密，可以及時根據(jù)預(yù)先制定好的規(guī)避措施將泄密風(fēng)險帶來的危害降到最低。

要不定期地對內(nèi)部管理人員和駐場外包人員開展保密性培訓(xùn)和宣貫工作。

2.2-3信任體系

企業(yè)間的相互信任是通過合作發(fā)展起來的，合作的成功，加深了相互的了解，以及對雙方能力的肯定，從而促進(jìn)雙方謀求更多的合作。有了良好的信任基礎(chǔ)，雙方為了推進(jìn)更多的合作，泄密風(fēng)險也會隨之降低。因此，雙方信任的建立，在保密建設(shè)中也是重中之重。雙方在合作過程中，需多注意雙方信任的培養(yǎng)，將單純的合作關(guān)系逐漸發(fā)展為戰(zhàn)略伙伴，不斷地促進(jìn)雙方共贏的局面。

3結(jié)語

軟件測試外包中，駐場測試雖然比離岸測試的泄密風(fēng)險低一些，但是企業(yè)如果沒有充分的準(zhǔn)備和進(jìn)行系統(tǒng)地管理的話，一旦泄密發(fā)生，駐場測試也將失去優(yōu)勢，并且給企業(yè)帶來不必要的損失。本文從風(fēng)險管理到保密管理，闡述了一套完整的信息安全管理體系，不僅適用于高保密要求行業(yè)，也適用于其他采取駐場外包測試的企業(yè)。各企業(yè)在外包測試中，要提高對信息安全保密的認(rèn)識，努力掌握先進(jìn)的保密管理辦法，準(zhǔn)確把握保密管理的關(guān)鍵，不斷地推進(jìn)雙方共贏的局面。