[科普中国]-做评估

简介

做评估是指对机器性能的好坏、算法性能的优劣以及对信息技术安全产品或系统的安全性进行的评价。在计算机中，做评估一般多指对信息安全产品或算法做评估。信息安全产品评估一般根据有关标准进行信息技术安全 测试。算法评估一般是依据时间代价、空间代价和正确率等标准。

信息技术安全产品评估信息技术安全测试信息技术安全测试是指信息技术安全评估过程中最重要的评估活动之一。是根据指定的标准(或准则)，采用适当的工具按照测试要求在合理的测试环境下通过对评估活动中确定的测试内容进行实测确定产品能够提供的信息技术安全保障能力，为评估提供客观的证据。

意义信息技术安全产品评估能够为产品的采购提供可靠依据。通过产品评估，可以增强用户对已评估产品安全的信任。政府及各行业的广大消费者可以依据评估结果选择到更合格的信息技术安全产品。信息技术安全产品评估可以促进信息安全科研和生产水平的提高有利于推动信息安全产业的发展。产品评估也为信息系统安全奠定了基础，因为选用通过评估和认证的产品构建信息系统，是确保系统运营单位或组织的信息资产安全的关键1。

评估保证级评估保证级是通过对信息技术产品的安全性进行独立的(第三方)评估后所取得的安全保证等级也就是对产品的安全性可以信赖的程度。产品经过评估后获得的评估保证级越高安全性值得信赖的程度就越高,但是这并不表明通过评估的产品.就是绝对安全的对通过高级别评估的产品.就是绝对安全的对通过高级别评估的产品也是一样。严格地讲信息技术安全产品评估不应该存在分级与不分级之说。因为评估的最终结果应给出信息技术产品能够达到的安全保证能力而不同的产品提供的安全保证能力是不一样的，不同的使用环境对安全保证能力的要求也是不一样的。也就是说，实际产品的安全保证能力与产品的预期使用环境密切相关，只要满足环境的要求即可不必追求过高的安全目标。评估结果反映产品安全保证能力的唯一途径就是区分级别也就是采用分级评估的办法。之所以存在非分级评估这样的概念，主要是因为国内信息安全产业的发展还处于初级阶段，绝大多数产品生产和研制厂商都处于基本的认知水平缺乏产品化和全面的信息安全保障意识，产品的安全性都主要集中在以安全技术为核心的低保证水平上，产品评估也只能以考察以技术为重点的安全功能为主要目标。另一个原因是国内各个部门对产品评估的误解造成的其主要表现是认为产品评估就是随意的简单测试。随着信息技术安全产业逐渐走向成熟产品质量正在迅速提高围绕产品开发和生产的全面的安全保障措施已现端倪信息技术安全产品评估工作实施分级评估的条件已经具备，因此产品评估必须赋予其真正的内涵。由此分级评估与非分级评估的概念之分将逐渐消亡。今后的产品评估概念理所当然就是指分级评估而没有必要刻意强调分级。除非服务于个别厂商的技术检测(不以面向社会的第三方评估为目的)一切不存在分级这一内涵的评估都是错误的。

系统安全系统的安全性可以包括狭义安全概念和广义安全概念两个方面。前者主要是指对外部攻击的防范，而后者则是指保障系统中数据的机密性、完整性和系统的可用性的概念。系统安全性包括三个方面的内容，即物理安全、逻辑安全和安全管理。物理安全是指系统设备及相关设施受到物理保护，使之免遭破坏或丢失。安全管理包括各种安全管理的政策和机制。逻辑安全是指系统中信息资源的安全，它又包括以下三个方面。

(1) 数据机密性(Data Secrecy)：指将机密的数据置于保密状态，仅允许被授权的用户访问计算机系统中的信息(访问包括显示和打印文件中的信息)。

(2) 数据完整性(Data Integrity)：指未经授权的用户不能擅自修改系统中所保存的信息，且能保持系统中数据的一致性。这里的修改包括建立和删除文件以及在文件中增加新内容和改变原有内容等。

(3) 系统可用性(System Availability)：指授权用户的正常请求能及时、正确、安全地得到服务或响应。或者说，计算机中的资源可供授权用户随时进行访问，系统不会拒绝服务。但是系统拒绝服务的情况在互联网中却很容易出现，因为连续不断地向某个服务器发送请求就可能会使该服务器瘫痪，以致系统无法提供服务，表现为拒绝服务。

算法评估算法（Algorithm）是指解题方案的准确而完整的描述，是一系列解决问题的清晰指令，算法代表着用系统的方法描述解决问题的策略机制。算法评估是指对算法的时间复杂度、空间复杂度、正确性、可读性、健壮性等做出评估。

时间复杂度算法的时间复杂度是指执行算法所需要的计算工作量。一般来说，计算机算法是问题规模n 的函数f(n)，算法的时间复杂度也因此记做2。

T(n)=Ο(f(n))

因此，问题的规模n 越大，算法执行的时间的增长率与f(n) 的增长率正相关，称作渐进时间复杂度（Asymptotic Time Complexity）。

空间复杂度算法的空间复杂度是指算法需要消耗的内存空间。其计算和表示方法与时间复杂度类似，一般都用复杂度的渐近性来表示。同时间复杂度相比，空间复杂度的分析要简单得多。

正确性算法的正确性是评价一个算法优劣的最重要的标准。

可读性算法的可读性是指一个算法可供人们阅读的容易程度。

健壮性计算机科学中，健壮性（英语：Robustness）是指一个计算机系统在执行过程中处理错误，以及算法在遭遇输入、运算等异常时继续正常运行的能力。 诸如模糊测试之类的形式化方法中，必须通过制造错误的或不可预期的输入来验证程序的健壮性。很多商业产品都可用来测试软件系统的健壮性。健壮性也是失效评定分析中的一个方面。