技術領域

本發明提出了一種在軟件開發需求階段的安全需求獲取方法，旨在提高軟件的安全性和可信程度，屬于軟件安全領域。

背景技術

隨著計算機軟件的廣泛應用，軟件安全問題已成為各行業用戶關注的焦點。有效的設計和開發可信軟件是當今軟件開發者的重要目標。根據經驗：軟件開發過程中，越早發現問題，則修復此問題所耗的代價越小。研究數據也表明：當安全分析和安全工程在軟件開發的早期就引入軟件開發的回報率高達10％～20％。從過程化軟件工程角度來講，需求分析是軟件開發的第一步。那么，高質量的需求分析對于高效開發安全軟件就有著至關重要的作用。

安全需求工程作為可信軟件開發生命周期的初始階段，在安全軟件的構建過程中起著舉足輕重的作用。當前對安全需求相關領域的研究很多，安全需求工程方法也是百花齊放。比如有面向技術的安全需求方法，面向工具與語言的安全需求方法和面向過程的安全需求方法等。然而目前尚沒有統一廣泛的安全需求方法，而且這些方法都有一個共同的特征，即都需要安全專家的參與實施。其實質是安全專家根據已有的經驗對系統進行分析，從而達到獲取安全需求的目的。由于安全需求的主觀性，安全需求的效果過多的依賴于實施者的經驗技能，不具有普遍性。

CC(Common?Criteria)是第一個國際化的安全評估準則，是為軟件安全性能的評估而開發的，它將安全需求分為安全功能需求和安全保證需求兩部分，提出安全功能組件、安全保證組件和安全保證等級等概念，安全功能組件給出需求階段的安全功能需求抽象描述，安全保證組件從需求、設計、編碼、測試到運行維護各階段保證安全功能的實施。CC作為國際安全評估標準，不僅僅用于軟件安全評估，而且對于安全軟件開發起指導作用。

綜上所述，先階段針對安全需求工程方法的研究百花齊放，但沒有統一的安全需求分析和獲取方法。而且這些方法普遍依賴于安全專家的主觀經驗，安全需求工程過程的實施耗費大量時間和精力，效率十分低下。CC安全評估標準在國際上影響廣泛，并且可以很好的指導安全需求開發，但是它只是作為一個指導原則，并沒有形成到系統的安全需求方法中。

發明內容

本發明目的是克服現有技術的上述不足，提出一種效率高，能夠快速進行安全需求分析，獲取安全需求信息的方法。本發明的安全需求獲取方法，基于CC標準，構建資產威脅知識庫，從系統功能用例圖出發，確定資產威脅，繼而使用CC安全功能組件進行威脅緩和，獲取安全需求。從而降低安全需求開發成本，提高軟件開發效率，進而提高了軟件的安全性。

一種基于安全知識庫的安全需求獲取方法，包括下列兩個方面

1)構建包括資產、威脅和安全功能組件三部分的資產威脅知識庫

a.將資產分為角色、數據、資源和服務四類，對于每一類資產，又可以繼續劃分子類，這樣不斷細化，從而確定一棵由粗到細的資產樹結構；除了類別關系，資產之間還具有包含關系，當一個資產中存在可再分的細粒度實體，且細粒度實體是此資產特有的組成部分，即稱此資產包含一個或多個子資產，并將這些子資產稱為特殊資產，特殊資產并不考慮類別屬性，只與其父資產有關聯。

b.將威脅分為假冒、否認、數據篡改、信息泄露和拒絕服務五大類，對于每一類威脅，構造其抽象威脅樹模型，將威脅不斷細化描述，得到一棵威脅樹；對于威脅樹中每個葉子節點的具體威脅，建立兩個屬性：危害等級和候選安全功能組件，威脅對應的候選安全功能組件的選取一方面通過現有的CC評估文檔中典型威脅與特定安全功能組件集得對應，另一方面從CC文檔安全功能組件中獲取相應組件進行緩和；

c.建立資產和威脅之間的對應關系，進一步還建立資產子類與威脅子樹某一節點的對應關系，更進一步的對于特殊資產，建立其與具體威脅和攻擊模式之間的對應關系；

2)安全需求獲取過程

a.用例分析：對系統的功能用例進行分析；

b.確定資產：將確定的資產在資產威脅知識庫中進行查找匹配，若庫中已存在該資產則自動獲其相應的威脅信息；若資產庫中無對應資產，需根據資產所屬類、子類等手動添加資產信息至資產威脅知識庫中。資產對應的威脅即為所屬層次類別對應的威脅；

c.威脅分析：根據威脅的危害等級，對于可能造成重要信息數據丟失，系統崩潰或系統功能失效的威脅，結合威脅的候選安全功能組件，選取合適的安全功能組件進行威脅緩和；

d.細化安全需求：結合應用實例進行對安全功能組件細化描述，形成詳細的安全需求；

e.安全需求迭代：對安全需求進行分析，確定新資產，形成新一輪的安全需求獲取。