軟件測試外包駐場測試中信息安全問題的研究

張莉妹

軟件外包具有很多優勢，如可以降低或保持軟件開發成本和管理成本，使企業更專注于核心能力和核心競爭力，集中優勢奪取關鍵戰略目標?？梢越鉀Q公司產業擴張期快速膨脹的測試需求與測試資源和能力的矛盾，提升測試技術水平和產品質量，使現有的研發和測試團隊更聚焦于核心業務，采取與軟件外包公司進行合作的方式，利用其前瞻的測試技術、先進的測試思路和方法、成熟的測試流程、充足的人力資源，以最短的周期響應產品對軟件的測試需求。面對全球性的信息技術服務外包浪潮，外包模式的采用對于我國一些行業來說，可能是一種新型戰略，難免會存在一些風險，如信息安全問題。

本文提出在采用信息泄密風險較低的駐場外包測試中，如何采用體系化的管理來防止或者減少企業關鍵信息的泄密，從而讓企業在核心競爭力上保持不斷的優勢。

1理論方法

1.1軟件外包相關概念

本文指的軟件外包是指企業以合同的方式委托信息技術服務商向企業提供部分或全部的信息功能。軟件外包又可以分為開發外包和測試外包。開發外包即將研發任務進行外包，測試外包即只對已研發好的產品的測試工作進行外包。根據測試外包目的地是否在企業所在地，又可以分為駐場測試和離岸測試。

本文指的駐場測試也即在客戶辦公場地或者客戶指定的場地進行測試活動。離岸測試也即在外包供應商辦公場地或外包供應商指定的場地進行測試活動。

測試外包的業務模式常見的類型為人力資源外包和項目外包。人力資源外包也即人員外派模式，即測試外包供應商把自己的員工派到客戶的現場，由甲方統一安排，統一管理。項目外包不僅要求外包商提供人力資源，也要提供相應的管理和支持，來獨立完成甲方提供的任務，滿足甲方在業務外包上的需求。對于剛起步要做測試外包的企業，可以先嘗試采用此種方式來跑通整個外包業務的流程，并且初步和外包供應商建立相互的信任機制。

對于保密要求高，又沒有充足的人力資源來支撐的企業，一般多采取項目外包駐場測試的外包形式，可以采取將測試場地設置在企業內部.也可以由企業單獨設置一處駐場測試場地，所有的安全管理系統都可以由企業自己來布置。

1.2信息安全的概念

信息安全的概念有廣義和狹義之分。

狹義的信息安全是指具體信息技術系統的安全和某一特定信息技術系統的安全的統稱。ISO27001：2005認為信息安全是指保護信息的保密性、完整性、可用性及其他屬性。

廣義的信息安全則是指信息化狀態不受外來的威脅和傷害，信息技術系統不受外來的威脅和侵害，為數據處理系統建立和采取的技術和管理的安全保護，保護信息的保密性、完整性、可用性及其他屬性。

本文所指的信息安全為廣義的信息安全。

2信息安全管理體系

本文所指的軟件測試外包駐場測試信息安全管理體系包括駐場測試風險管理和駐場測試保密管理兩大塊，體系建設應該在開展軟件測試外包項目前完成.并在整個軟件測試外包項目中貫徹執行。

企業通過外包過程中的風險管理，辨別和確認風險，并從技術體系、管理體系和信任體系幾個方面制定保密解決措施，從而確保信息的保密性，或者降低信息泄密風險到可接受的程度。

2.1駐場測試風險管理

由于駐場測試在客戶所指定的場地開展，因此風險管理相對比較好開展。

軟件測試外包駐場測試風險管理可以從：風險識別、風險分析、風險預警、風險消除幾個環節來實施。

（1）風險識別：就是將源于企業自身、外包商或者是外部環境的，能夠影響外包測試的各種因素進行一一鑒別，并進行分類整理。在決定要做測試外包前應該先進行風險識別工作，形成對應的識別文件。

（2）風險分析：企業對識別出來的風險發生的概率、對軟件測試外包影響的重要性、可采取的消除風險的措施進行分析，為風險預警做準備。該工作也需要在決定外包前來開展，進行必要性分析的時候要對風險進行分析，并形成對應的識別文件。

（3）風險預警：完成風險分析后，企業需要對較為敏感和和影響較大的風險進行實時監控，以便能夠及時發現問題，為消除風險做準備。將風險預警納入日常管理中。

（4）風險消除：從理論上，風險只能降低或減少而不能完全消除。在風險識別和分析的時候，對能關閉的風險要先進行關閉，暫時關閉不了的風險，要出具風險消除的對應方案，一旦出現風險，要及時根據預先制定好的規避措施將風險帶來的危害降到最低。

2.2駐場測試保密管理

完成軟件測試外包駐場測試風險管理后，需要根據分析的結果，制定對應的保密措施。安全科學理論認為，典型的安全系統主要由人、機、環境三要素組成。從技術、管理、工程和人員等方面提出安全保障要求，確保信息的保密性，降低安全風險到可接受的程度。

因此，我們可以從技術體系、管理體系和信任體系三方面進行軟件測試外包駐場測試保密管理，如下圖所示。

2.2.1技術體系

視頻監控除了安裝一般的監視設備外，還可以安裝專業的防拍照系統，當發現有拍照設備或者拍照舉動的時候，可以進行預防和報警，并對信息進行記錄，以供相關人員進行查看和取證。企業要初步在建立駐場測試辦公區的時候就要對相應的監視設備安裝位置等進行規劃和做預算。

軟件隔離，不僅可以理解為安裝加密軟件，也可以理解為根據軟件的特性，將軟件關鍵部分進行隔離。比如對涉密性比較高的部分，可以采取不進行外包或者加密處理等。但是這個對軟件的模塊化設計要求比較高，要確保軟件的設計模塊合理，且容易拆分和組合，接口清晰。

電磁干擾主要是對視頻設備、手機等設備起到干擾作用，防止信息的外泄。

身份認證包括對實驗室門禁身份的認證和登錄系統的身份認證等。通過對權限的控制來限制對關鍵資源的訪問，防止非法用戶的入侵或者合法用戶的不慎操作造成破壞。

2.2.2管理體系

實驗室配置專門的實驗室管理員，除了實驗室的日常管理外，保密管理也是重要的工作之一，如查看用戶訪問信息，視頻監控報警信息等。一旦有泄密發生，實驗室管理員需要第一時間做出應急反應。

保密審查組需要定期地對實驗室進行安全檢查，如捕捉異常電磁信號，查看加密系統是否正常運行等，并定期的組織涉密培訓，提高內部員工和外包人員的保密意識。

完成風險分析后，企業需要制定相應的信息泄密應急措施，一旦發生泄密，可以及時根據預先制定好的規避措施將泄密風險帶來的危害降到最低。

要不定期地對內部管理人員和駐場外包人員開展保密性培訓和宣貫工作。

2.2-3信任體系

企業間的相互信任是通過合作發展起來的，合作的成功，加深了相互的了解，以及對雙方能力的肯定，從而促進雙方謀求更多的合作。有了良好的信任基礎，雙方為了推進更多的合作，泄密風險也會隨之降低。因此，雙方信任的建立，在保密建設中也是重中之重。雙方在合作過程中，需多注意雙方信任的培養，將單純的合作關系逐漸發展為戰略伙伴，不斷地促進雙方共贏的局面。

3結語

軟件測試外包中，駐場測試雖然比離岸測試的泄密風險低一些，但是企業如果沒有充分的準備和進行系統地管理的話，一旦泄密發生，駐場測試也將失去優勢，并且給企業帶來不必要的損失。本文從風險管理到保密管理，闡述了一套完整的信息安全管理體系，不僅適用于高保密要求行業，也適用于其他采取駐場外包測試的企業。各企業在外包測試中，要提高對信息安全保密的認識，努力掌握先進的保密管理辦法，準確把握保密管理的關鍵，不斷地推進雙方共贏的局面。