软件安全需求分析
文章目錄
- 一、軟件與軟件安全的需求分析
- 1、軟件需求分析的主要工作
- 2、軟件安全需求分析的主要工作
- 二、軟件安全需求來(lái)源
- 1、來(lái)源的分類
- 2、軟件安全遵從性需求
- 三、需求的獲取
- 1、獲取的相關(guān)方
- 2、獲取方法
一、軟件與軟件安全的需求分析
為了開發(fā)出滿足用戶需求的軟件產(chǎn)品,首先需要知道的是用戶的需求。這是對(duì)軟件開發(fā)工作能否取得成功的基礎(chǔ)條件。
1、軟件需求分析的主要工作
為了開發(fā)出滿足用戶需求的軟件產(chǎn)品,首先需要知道的是用戶的需求。這是對(duì)軟件開發(fā)工作能否取得成功的基礎(chǔ)條件。
1)確定系統(tǒng)的綜合要求
- 功能需求:劃分系統(tǒng)需要的功能
- 性能需求:指定系統(tǒng)的約束,包括速度、信息量、存儲(chǔ)量等
- 可靠性和可用性需求:頂倆個(gè)的指定系統(tǒng)的可靠性,它量化了系統(tǒng)被用戶的實(shí)用程度。
- 出錯(cuò)處理需求:該如何人響應(yīng)錯(cuò)誤環(huán)境。
- 接口需求:描述系統(tǒng)與特的通信格式
- 約束:應(yīng)該遵循的限制條件
- 逆向需求:說(shuō)明軟件不應(yīng)該做什么。
- 將來(lái)可能提出的需求:明確哪些需可能擴(kuò)充到軟件之中。
2)分析系統(tǒng)的數(shù)據(jù)要求
準(zhǔn)確全面的定義數(shù)據(jù),正確的描述數(shù)據(jù)之間的邏輯關(guān)系。
3)導(dǎo)出系統(tǒng)的邏輯模型
使用數(shù)據(jù)流圖、實(shí)體-聯(lián)系圖、狀態(tài)轉(zhuǎn)換圖、數(shù)據(jù)字典等邏輯模型。
4)修正系統(tǒng)開發(fā)計(jì)劃
在分析過(guò)程中,對(duì)系統(tǒng)的深入理解,可以具體的、準(zhǔn)確的估計(jì)系統(tǒng)的成本和進(jìn)度,修正以前制定的計(jì)劃。
2、軟件安全需求分析的主要工作
1)軟件安全需求分析的目的與作用
- 目的: 描述為了實(shí)現(xiàn)信息安全目標(biāo),軟件系統(tǒng)應(yīng)該做什么,才能高效的提高軟件的安全質(zhì)量,減少軟件漏洞。
- 重要作用:一個(gè)沒(méi)有驚進(jìn)行安全需求分析的軟件開發(fā)項(xiàng)目,將威脅到信息的保密性、完整性和可用性,以及其他的一些安全問(wèn)題。這個(gè)軟件被攻破就只是時(shí)間的問(wèn)題,早晚會(huì)被攻破。所以對(duì)于一個(gè)軟件來(lái)說(shuō),軟件的安全需求分析是必不可少的。
2)安全需求分析與軟件需求分析的聯(lián)系
軟件安全需求分析是軟件需求分析的一個(gè)必要組成部分。安全需求應(yīng)該與業(yè)務(wù)需求具有同樣的需求水平,并能對(duì)功能需求具有約束力。
3)安全需求分析與軟件需求分析的區(qū)別
軟件安全需求的客觀性:
軟件安全需求分析是由系統(tǒng)的客觀屬性決定的。與一般需求分析的不同在于:安全需求并不是從使用者的要求和興趣出發(fā),而是由系統(tǒng)的客觀屬性決定的。
軟件安全需求的系統(tǒng)性:
軟件安全需求分析不能只從系統(tǒng)本身出發(fā),必須從系統(tǒng)角度進(jìn)行分析。因?yàn)檐浖旧砜赡軙?huì)由于邏輯、數(shù)據(jù)、時(shí)序等設(shè)計(jì)缺陷導(dǎo)致安全問(wèn)題。從系統(tǒng)角度分析,不可避免涉及到各個(gè)領(lǐng)域的專業(yè)知識(shí)與經(jīng)驗(yàn)積累。因此分析時(shí)應(yīng)以人為主,分析工具只能起到輔助作用。并且分析時(shí)需要有專業(yè)的分析人員,熟悉系統(tǒng)架構(gòu)的總體設(shè)計(jì)人員,軟件設(shè)計(jì)人員和各領(lǐng)域?qū)<夜餐瑓⑴c。
4)安全需求分析的主要工作
首先需要確定明白你軟件的業(yè)務(wù)運(yùn)行環(huán)境、規(guī)則環(huán)境及技術(shù)環(huán)境。然后在了解各類軟件安全需求的基礎(chǔ)上,通過(guò)一定的安全需求獲取過(guò)程,對(duì)軟件應(yīng)該包含的安全需求進(jìn)行分析,然后對(duì)如何實(shí)際部署和開發(fā)進(jìn)行討論。
二、軟件安全需求來(lái)源
1、來(lái)源的分類
內(nèi)部安全需求:
內(nèi)部安全需求一是指內(nèi)部需要遵守的政策、標(biāo)準(zhǔn)、指南和實(shí)踐模式,二是軟件功能需要的相關(guān)安全需求。
外部安全需求:
主要是法律法規(guī)等遵從性需求,包括國(guó)家和地區(qū)的關(guān)于技術(shù)與管理的法律法規(guī)、標(biāo)準(zhǔn)與要求等。
2、軟件安全遵從性需求
主要由信息系統(tǒng)安全的測(cè)評(píng)國(guó)際保準(zhǔn)、信息安全管理的國(guó)際標(biāo)準(zhǔn)、信息系統(tǒng)安全工程國(guó)際標(biāo)準(zhǔn)以及我國(guó)的信息安全標(biāo)準(zhǔn)等組成。
三、需求的獲取
1、獲取的相關(guān)方
軟件安全需求獲取的相關(guān)方包括 業(yè)務(wù)負(fù)責(zé)人、最終用戶、客戶、安全需求分析人員和安全技術(shù)支持人員等。
業(yè)務(wù)負(fù)責(zé)人、最終用戶和客戶咋安全需求確定是發(fā)揮著重要作用,應(yīng)當(dāng)積極的參與安全需求的采集和分析過(guò)程。
此外,運(yùn)維小組與信息安全小組等技術(shù)支持人員頁(yè)式相關(guān)方,應(yīng)與分析人員、業(yè)務(wù)負(fù)責(zé)人、客戶等做好積極溝通,尋求支持與幫助。
2、獲取方法
1)頭腦風(fēng)暴
又稱之為智力激勵(lì)法、自由思考法,是指無(wú)限制的思考和自由聯(lián)想、討論等,其目的在于產(chǎn)生新觀念或者激發(fā)新創(chuàng)想。值得注意的是,這種情況只適用于需要快速實(shí)現(xiàn)的情況下使用。并且這種方式提出的安全需求可能不全面或不一致,以來(lái)于個(gè)人對(duì)問(wèn)題的理解以及自身的經(jīng)驗(yàn)等,比較主觀。
2)問(wèn)卷調(diào)查和訪談
通過(guò)問(wèn)卷調(diào)查,可以直接的生成安全需求。其有效性取決于如何向被調(diào)查對(duì)象提出和是的問(wèn)題。調(diào)查時(shí)應(yīng)該覆蓋當(dāng)前軟件的安全設(shè)計(jì)原則和安全配置文件的內(nèi)容,應(yīng)當(dāng)考慮業(yè)務(wù)風(fēng)險(xiǎn)、過(guò)程風(fēng)險(xiǎn)和技術(shù)風(fēng)險(xiǎn)。
3)策略分解
將組織需要遵守的內(nèi)部和外部政策,包括法律法規(guī)、隱私和遵從性命令分解成詳細(xì)的安全需求。這是一個(gè)連續(xù)化的結(jié)構(gòu)化的過(guò)程。
4)數(shù)據(jù)分類
更具數(shù)據(jù)的生命周期管理對(duì)數(shù)據(jù)分階段劃分來(lái)決定安全需求。也可以根據(jù)數(shù)據(jù)的重要性等級(jí)的劃分來(lái)確定。
5)主客體關(guān)系矩陣
采用主/課題無(wú)關(guān)系矩陣來(lái)刻劃一個(gè)基于使用用例的主/客體之間的操作關(guān)系,在此基礎(chǔ)之上確立安全需求。
總結(jié)
- 上一篇: PHP中的常用关键字
- 下一篇: MFC入门(一)——MFC是一个编程框架