[发明专利]基于安全知识库的安全需求获取方法

说明书

技术领域

本发明提出了一种在软件开发需求阶段的安全需求获取方法，旨在提高软件的安全性和可信程度，属于软件安全领域。

背景技术

随着计算机软件的广泛应用，软件安全问题已成为各行业用户关注的焦点。有效的设计和开发可信软件是当今软件开发者的重要目标。根据经验：软件开发过程中，越早发现问题，则修复此问题所耗的代价越小。研究数据也表明：当安全分析和安全工程在软件开发的早期就引入软件开发的回报率高达10％～20％。从过程化软件工程角度来讲，需求分析是软件开发的第一步。那么，高质量的需求分析对于高效开发安全软件就有着至关重要的作用。

安全需求工程作为可信软件开发生命周期的初始阶段，在安全软件的构建过程中起着举足轻重的作用。当前对安全需求相关领域的研究很多，安全需求工程方法也是百花齐放。比如有面向技术的安全需求方法，面向工具与语言的安全需求方法和面向过程的安全需求方法等。然而目前尚没有统一广泛的安全需求方法，而且这些方法都有一个共同的特征，即都需要安全专家的参与实施。其实质是安全专家根据已有的经验对系统进行分析，从而达到获取安全需求的目的。由于安全需求的主观性，安全需求的效果过多的依赖于实施者的经验技能，不具有普遍性。

CC(Common Criteria)是第一个国际化的安全评估准则，是为软件安全性能的评估而开发的，它将安全需求分为安全功能需求和安全保证需求两部分，提出安全功能组件、安全保证组件和安全保证等级等概念，安全功能组件给出需求阶段的安全功能需求抽象描述，安全保证组件从需求、设计、编码、测试到运行维护各阶段保证安全功能的实施。CC作为国际安全评估标准，不仅仅用于软件安全评估，而且对于安全软件开发起指导作用。

综上所述，先阶段针对安全需求工程方法的研究百花齐放，但没有统一的安全需求分析和获取方法。而且这些方法普遍依赖于安全专家的主观经验，安全需求工程过程的实施耗费大量时间和精力，效率十分低下。CC安全评估标准在国际上影响广泛，并且可以很好的指导安全需求开发，但是它只是作为一个指导原则，并没有形成到系统的安全需求方法中。

发明内容

本发明目的是克服现有技术的上述不足，提出一种效率高，能够快速进行安全需求分析，获取安全需求信息的方法。本发明的安全需求获取方法，基于CC标准，构建资产威胁知识库，从系统功能用例图出发，确定资产威胁，继而使用CC安全功能组件进行威胁缓和，获取安全需求。从而降低安全需求开发成本，提高软件开发效率，进而提高了软件的安全性。

一种基于安全知识库的安全需求获取方法，包括下列两个方面

1)构建包括资产、威胁和安全功能组件三部分的资产威胁知识库

a.将资产分为角色、数据、资源和服务四类，对于每一类资产，又可以继续划分子类，这样不断细化，从而确定一棵由粗到细的资产树结构；除了类别关系，资产之间还具有包含关系，当一个资产中存在可再分的细粒度实体，且细粒度实体是此资产特有的组成部分，即称此资产包含一个或多个子资产，并将这些子资产称为特殊资产，特殊资产并不考虑类别属性，只与其父资产有关联。

b.将威胁分为假冒、否认、数据篡改、信息泄露和拒绝服务五大类，对于每一类威胁，构造其抽象威胁树模型，将威胁不断细化描述，得到一棵威胁树；对于威胁树中每个叶子节点的具体威胁，建立两个属性：危害等级和候选安全功能组件，威胁对应的候选安全功能组件的选取一方面通过现有的CC评估文档中典型威胁与特定安全功能组件集得对应，另一方面从CC文档安全功能组件中获取相应组件进行缓和；

c.建立资产和威胁之间的对应关系，进一步还建立资产子类与威胁子树某一节点的对应关系，更进一步的对于特殊资产，建立其与具体威胁和攻击模式之间的对应关系；

2)安全需求获取过程

a.用例分析：对系统的功能用例进行分析；

b.确定资产：将确定的资产在资产威胁知识库中进行查找匹配，若库中已存在该资产则自动获其相应的威胁信息；若资产库中无对应资产，需根据资产所属类、子类等手动添加资产信息至资产威胁知识库中。资产对应的威胁即为所属层次类别对应的威胁；

c.威胁分析：根据威胁的危害等级，对于可能造成重要信息数据丢失，系统崩溃或系统功能失效的威胁，结合威胁的候选安全功能组件，选取合适的安全功能组件进行威胁缓和；

d.细化安全需求：结合应用实例进行对安全功能组件细化描述，形成详细的安全需求；

e.安全需求迭代：对安全需求进行分析，确定新资产，形成新一轮的安全需求获取。