專利名稱：一種等級驅(qū)動的安全需求分析方法
技術(shù)領(lǐng)域：
本發(fā)明屬于可信計算領(lǐng)域，主要用于在需求分析階段利用等級和CC標(biāo)準(zhǔn)對軟件進(jìn)行安全需求分析，以減少軟件開發(fā)初期的安全漏洞。本發(fā)明為可信需求標(biāo)準(zhǔn)體系的建立提供了支持。
背景技術(shù)：
在計算機(jī)迅速發(fā)展的今天，計算機(jī)軟件的安全特性已經(jīng)不僅僅是軟件的附加屬性，更是本質(zhì)特性。然而信息產(chǎn)業(yè)在讓更多的用戶感受到便利的同時，也導(dǎo)致了大量的安全隱患。如何保障軟件的服務(wù)質(zhì)量與服務(wù)品質(zhì)就自然成為廣大用戶關(guān)注的重大問題。在這樣的背景下，信息安全技術(shù)的重要性不言而喻，可信軟件的概念及相關(guān)技術(shù)也應(yīng)運(yùn)而生。與美國及歐洲部分國家相比，我國在可信軟件方面的研究起步較晚。然而國家高技術(shù)研究發(fā)展計劃(863計劃)的信息技術(shù)方向自2007年起陸續(xù)啟動了多項與可信軟件相關(guān)的重大項目，投入了大量人力物力，充分體現(xiàn)了國家信息領(lǐng)域?qū)υ搯栴}的重視及解決這一重大課題的決心。與其它科研領(lǐng)域相比較，信息安全領(lǐng)域又存在著高機(jī)密性、高風(fēng)險性的特征，這對我國的自主科研能力提出了更高的要求。目前，在CC標(biāo)準(zhǔn)下定義安全需求已逐漸成為一種趨勢和共識。信息技術(shù)安全評估通用準(zhǔn)貝Il (The Common Criteria for Information Technology Security Evaluation)， 簡稱CC標(biāo)準(zhǔn)，它綜合了之前已有的信息安全的準(zhǔn)則和標(biāo)準(zhǔn)，形成了一個更全面的標(biāo)準(zhǔn)框架。CC標(biāo)準(zhǔn)用于評估信息系統(tǒng)、信息產(chǎn)品的安全性，也對軟件安全需求工程中起到了重大的指導(dǎo)作用。由于CC標(biāo)準(zhǔn)的豐富的安全知識經(jīng)驗內(nèi)容和其權(quán)威性，使用CC標(biāo)準(zhǔn)中的安全功能組件來確定和描述軟件安全功能需求，是解決安全功能需求問題的好方法。然而目前利用CC進(jìn)行安全需求分析的過程中存在這樣的問題1)整個過程需要安全專家的參與，尤其是在安全功能選取過程中，組件選取的好壞直接影響了軟件安全需求的準(zhǔn)確性，這樣就使得其使用門檻比較高，大部分的民用系統(tǒng)將無法使用；2)需要用戶進(jìn)行的參與過于頻繁，在前三個步驟中都需要交互。因此一個緊急而重要的工作是對基于 CC的安全需求分析的流程進(jìn)行改進(jìn)，以方便用戶和降低用戶的使用門檻。

發(fā)明內(nèi)容
鑒于上述現(xiàn)有的安全需求分析方法存在的問題，本發(fā)明提出了一種能夠有效地降低安全功能需求分析難度，盡早、系統(tǒng)地獲取和發(fā)現(xiàn)軟件系統(tǒng)中安全功能問題，降低軟件漏洞出現(xiàn)的可能性，從而提高軟件的安全性的安全需求分析方法，—種等級驅(qū)動的安全需求分析方法，包括等級知識庫的建立和具體系統(tǒng)的安全需求分析兩個方面，其中，等級知識庫的建立，包括以下兩個具體步驟1)安全需求等級的劃分劃分安全需求等級，詳細(xì)地描述出每一等級的系統(tǒng)所要具備的安全特征和基本要求；2)安全需求等級與安全功能組件對應(yīng)關(guān)系的建立根據(jù)對CC標(biāo)準(zhǔn)體系下已經(jīng)存在的評估文檔(包括保護(hù)輪廓文檔和安全目標(biāo)文檔) 和安全功能組件適用條件，為每一個安全需求等級提出相應(yīng)的推薦安全功能組件集合；具體系統(tǒng)的安全需求分析，包括以下步驟1)初步選擇安全功能組件進(jìn)行具體系統(tǒng)的威脅分析，建立各個威脅與CC標(biāo)準(zhǔn)中提供的安全功能組件之間的對應(yīng)關(guān)系，將這些安全功能組件記為集合S1 ；2)對安全功能組件進(jìn)一步篩選根據(jù)用戶在系統(tǒng)開發(fā)之初所設(shè)定的安全需求等級，選擇該等級所推薦的安全功能組件的集合L，取S1與L兩個集合的交集，即篩選掉不符合該等級要求的安全功能組件，從而得到集合&；3)補(bǔ)充安全功能組件依賴關(guān)系參照CC標(biāo)準(zhǔn)中提供的組件之間的依賴關(guān)系，將&中各個組件所依賴的組件都添加進(jìn)來，形成集合&，即完成了對安全功能組件的最終選取過程；4)將安全功能組件描述成安全概要分析根據(jù)選定的組件，結(jié)合具體系統(tǒng)中的安全策略和預(yù)計采用的策略，將安全功能組件描述使用自然語言描述成安全概要規(guī)范。本發(fā)明以軟件系統(tǒng)的安全性為目的，在軟件開發(fā)最初階段即需求階段提出了等級驅(qū)動的CC標(biāo)準(zhǔn)安全功能組件選取方法，以期盡早的系統(tǒng)地獲取和發(fā)現(xiàn)軟件系統(tǒng)中安全功能問題，降低軟件漏洞出現(xiàn)的可能性，從而提高軟件的安全性。該方法預(yù)期達(dá)到如下有益效果1.解決了安全需求分析最初階段用戶對軟件系統(tǒng)安全性進(jìn)行初步判斷時所面臨的缺乏依據(jù)的問題。為不同要求的軟件系統(tǒng)的安全需求開發(fā)提供等級依據(jù)，使得用戶能夠盡可能早的做出決策。越早考慮安全問題越有利于減少潛在的安全漏洞。2.降低安全需求分析過程中對安全專業(yè)知識的依賴程度。通過對CC標(biāo)準(zhǔn)提供的安全需求分析方法的改進(jìn)，使得基于標(biāo)準(zhǔn)的安全需求分析能夠有更為廣泛的應(yīng)用。3.安全需求等級是可信需求標(biāo)準(zhǔn)體系的重要組成部分，為可信需求分析的研究提供了參考和依據(jù)。4.有助于安全功能組件的選取和安全概要規(guī)范文檔的生成。


附圖1:系統(tǒng)原理圖。附圖2 等級驅(qū)動的安全功能組件選取流程圖。附圖3 等級與安全功能組件對應(yīng)關(guān)系的建立過程。附圖4 威脅與安全功能組件對應(yīng)關(guān)系的建立過程。
具體實施例方式本發(fā)明的總體技術(shù)方案流程如附圖1所示，包括兩個過程，首先是安全需求等級的劃分和等級與安全功能組件的對應(yīng)關(guān)系的確立，這一過程是知識庫的構(gòu)建，完成以后可以作為經(jīng)驗知識在具體的每次具體開發(fā)中應(yīng)用。然后是在針對某一個具體的系統(tǒng)開發(fā)中， 根據(jù)用戶對系統(tǒng)提出的安全需求等級要求，對根據(jù)威脅選擇的安全功能組件進(jìn)行篩選，再由安全需求分析人員考慮具體技術(shù)和安全策略，將最終選定的安全功能組件描述成安全概要規(guī)范。下面結(jié)合附圖2詳細(xì)介紹如下，具體分為兩個過程第一個過程是等級知識庫的建立，包括以下兩個具體步驟1)安全需求等級的劃分現(xiàn)實開發(fā)中，各個系統(tǒng)的開發(fā)對安全因素的考慮程度上是有著差異的。用戶可以根據(jù)自己的系統(tǒng)的用途和運(yùn)行的環(huán)境，對其安全程度進(jìn)行范圍上的判定。據(jù)此，我們參考已有的國際標(biāo)準(zhǔn)和國際按標(biāo)準(zhǔn)為系統(tǒng)劃分了安全需求等級，詳細(xì)地描述出每一等級的系統(tǒng)所要具備的安全特征和基本要求。參照國標(biāo)GB/T 17859等相關(guān)等級保護(hù)標(biāo)準(zhǔn)，根據(jù)系統(tǒng)被攻破后造成的損失的嚴(yán)重程度，可以初步劃分出了 4個安全需求等級。簡要介紹如下=Level 1的系統(tǒng)即便出現(xiàn)安全問題也不會有嚴(yán)重的經(jīng)濟(jì)損失，例如個人網(wǎng)站等小型系統(tǒng)。Level 2 的系統(tǒng)一般是常見的民用系統(tǒng)，出現(xiàn)安全問題會造成一定的經(jīng)濟(jì)損失和商業(yè)信息泄漏等。 Level 3的系統(tǒng)包括涉及重大經(jīng)濟(jì)利益或者重要信息的系統(tǒng)，如果出現(xiàn)安全問題損失嚴(yán)重。 例如銀行信息系統(tǒng)，人口資料系統(tǒng)等。Level 4的系統(tǒng)屬于安全苛求系統(tǒng)，如果出現(xiàn)安全問題會導(dǎo)致嚴(yán)重的經(jīng)濟(jì)損失、國家安全信息泄露甚至是生命和健康問題。例如航空運(yùn)行控制系統(tǒng)，核電站遠(yuǎn)程控制系統(tǒng)等。一般來說，常見的系統(tǒng)多是Level 2到Level 3的系統(tǒng)。2)安全需求等級與安全功能組件對應(yīng)關(guān)系的建立通過對CC標(biāo)準(zhǔn)體系下已經(jīng)存在的評估文檔(包括保護(hù)輪廓文檔和安全目標(biāo)文檔) 的總結(jié)和對安全組件適用條件的理解，為前一步驟中所總結(jié)出的每一個安全需求等級提出相應(yīng)的推薦安全功能組件集合，整個過程如附圖3所示。安全功能組件的總數(shù)為251個，因此等級與安全功能組件的對應(yīng)內(nèi)容較多。如附表1所示，展現(xiàn)了等級與部分安全功能組件的對應(yīng)關(guān)系，所選擇的這些安全功能組件同屬于一個安全功能分類。說明表中FIA_UID. 1等是安全功能組件的名稱。FIA表示的是標(biāo)識和鑒別功能類，F(xiàn)IA_UID表示的是用戶鑒別功能族，F(xiàn)IA_UID. 1表示的的是具體的安全功能組件標(biāo)識的時機(jī)，具體描述如下1)在用戶被識別之前，安全功能應(yīng)允許執(zhí)行代表用戶的[賦值安全功能介導(dǎo)的動作列表]。2)在允許執(zhí)行代表該用戶的任何其它安全功能介導(dǎo)動作之前，安全功能應(yīng)要求每個用戶都已被成功識別。這一過程只需要實施一次，當(dāng)?shù)燃墑澐趾蛯?yīng)關(guān)系完善以后，可以作為經(jīng)驗知識來使用，而不必再重新執(zhí)行。第二個過程是具體系統(tǒng)的安全需求分析流程，包括以下步驟5)初步選擇安全功能組件本方法中，對威脅建立了一套標(biāo)準(zhǔn)化的定義，并建立了它們與CC標(biāo)準(zhǔn)中提供的安全功能組件之間的對應(yīng)關(guān)系，建立對應(yīng)關(guān)系的具體方法如附圖4所示。查找威脅(威脅是作為輸入在本方法中使用的，具體的威脅分析方法已經(jīng)由相關(guān)工作予以解決，不是本專利的討論范圍)所對應(yīng)的安全功能組件，將這些安全功能組件記為集合Sp6)對安全功能組件進(jìn)一步篩選
根據(jù)用戶在系統(tǒng)開發(fā)之初所設(shè)定的安全需求等級，選擇該等級所推薦的安全功能組件的集合L，取S1與L兩個集合的交集，即篩選掉不符合該等級要求的安全功能組件，從而得到集合&。7)補(bǔ)充安全功能組件依賴關(guān)系參照CC標(biāo)準(zhǔn)中提供的組件之間的依賴關(guān)系，將&中各個組件所依賴的組件都添加進(jìn)來，形成集合&，即完成了對安全功能組件的最終選取過程。8)將安全功能組件描述成安全概要分析本步驟是對前面步驟所選定的安全功能組件進(jìn)行具體化描述，使之成為標(biāo)準(zhǔn)的安全概要規(guī)范。安全功能組件本身是以模板的形式給出的，是不涉及具體的技術(shù)和安全策略的，但是安全需求的概要規(guī)范是具體的，要求使得設(shè)計開發(fā)人員能夠理解，所以需要考慮具體實現(xiàn)方式和安全策略。所以安全需求分析人員需要根據(jù)選定的組件，結(jié)合具體系統(tǒng)中的安全策略和預(yù)計采用的策略，將安全功能組件描述使用自然語言描述成安全概要規(guī)范。接下來以一個具體實例來展示等級驅(qū)動的安全功能組件選取方法。網(wǎng)上銀行系統(tǒng)的登錄模塊具有如下功能注冊用戶輸入用戶名和密碼或者其他認(rèn)證信息，登錄到系統(tǒng)，可以查看自己的用戶余額和用戶之前交易歷史記錄等。用戶的信息是用戶需要保護(hù)的資產(chǎn)。 本例子中用戶要求的安全需求等級為Level 31.根據(jù)分析得到威脅，初步選擇安全功能組件。通過威脅分析方法，分析得到該模塊對應(yīng)的威脅集合。主要的威脅包括無認(rèn)證或認(rèn)證過程破壞、猜測憑證和重放攻擊。這些威脅所對應(yīng)的安全功能組件集合如附表2所示。進(jìn)而可以得到初步選取的安全功能組件集合S1 = {FIA_UID. 1，F(xiàn)IA_UID. 2，F(xiàn)IA_ ATD. 1，F(xiàn)IA_UAU. 1，F(xiàn)IA_UAU. 2，F(xiàn)IA_UAU. 3，F(xiàn)IA_UAU. 4，F(xiàn)IA_UAU. 6，F(xiàn)IA_UAU. 7，F(xiàn)IA_USB. 1， FIA_AFL. 1，F(xiàn)IA_S0S. 1，F(xiàn)IA_S0S. 2}2.根據(jù)所選定的等級對安全功能組件進(jìn)一步進(jìn)行選取。參考附表1 中的等級 3，容易得至Ij L = {FIA_UID. 2，F(xiàn)IA_UAU. 2，F(xiàn)IA_AFL. 1，F(xiàn)IA_ SOS. 1，F(xiàn)IA_ATD. 1，F(xiàn)IA_USB. 1，F(xiàn)IA_UAU. 4，F(xiàn)IA_UAU. 5，F(xiàn)IA_UAU. 6，F(xiàn)IA_UAU. 7}，對 Sl 和 L 取交集，得到 & = S1 Π L = {FIA_UID. 2，F(xiàn)IA_UAU. 2，F(xiàn)IA_AFL. 1，F(xiàn)IA_S0S. 1，F(xiàn)IA_ATD. 1， FIA_USB. 1，F(xiàn)IA_UAU. 4，F(xiàn)IA_UAU. 6，F(xiàn)IA_UAU. 7}。3.將選定的安全功能組件所依賴的組件添加到集合中。根據(jù)CC標(biāo)準(zhǔn)所提供的安全功能組件的知識，可以比較容易的找到各個安全功能組件所依賴的組件。對&中各個組件分析之后，它們所依賴的組件集合為S2’ = {FIA_UID. 1，F(xiàn)IA_ UAU. 1}，最終選擇的安全功能組件集合S3 = S2 Π S2，= {FIA_UID. 2，F(xiàn)IA_UAU. 2，F(xiàn)IA_AFL. 1， FIA_S0S.1，F(xiàn)IA_ATD.1，F(xiàn)IA_USB. 1，F(xiàn)IA_UAU. 4，F(xiàn)IA_UAU. 6，F(xiàn)IA_UAU. 7，F(xiàn)IA_UID.1，F(xiàn)IA_ UAU. 1}。4.將安全功能組件集合描述成安全概要規(guī)范。將安全功能組件描述成安全概要規(guī)范需要考慮具體實現(xiàn)方式和安全策略。該描述是技術(shù)相關(guān)的，描述需要能夠指導(dǎo)設(shè)計和開發(fā)人員的工作，屬于軟件規(guī)格說明的范疇。所以將安全功能組件描述使用自然語言描述成安全概要規(guī)范是一個復(fù)雜的過程，目前還是需要安全需求分析人員手工的來描述。以FIA_UID. 1為例，對其的安全概要描述如下1、在用戶被識別之前，應(yīng)允許其擁有訪問網(wǎng)上銀行系統(tǒng)中的公開信息和進(jìn)入登錄頁面的能力。2、在允許該用戶的銀行余額和交易記錄信息之前，應(yīng)要求每個用戶都已被成功識別。附表1 FIA功能類中全部組件與等級的對應(yīng)關(guān)系
權(quán)利要求
1. 一種等級驅(qū)動的安全需求分析方法，包括等級知識庫的建立和具體系統(tǒng)的安全需求分析兩個方面，其中，等級知識庫的建立，包括以下兩個具體步驟1)安全需求等級的劃分劃分安全需求等級，詳細(xì)地描述出每一等級的系統(tǒng)所要具備的安全特征和基本要求；2)安全需求等級與安全功能組件對應(yīng)關(guān)系的建立根據(jù)對CC標(biāo)準(zhǔn)體系下已經(jīng)存在的評估文檔(包括保護(hù)輪廓文檔和安全目標(biāo)文檔)和安全功能組件適用條件，為每一個安全需求等級提出相應(yīng)的推薦安全功能組件集合；具體系統(tǒng)的安全需求分析，包括以下步驟1)初步選擇安全功能組件進(jìn)行具體系統(tǒng)的威脅分析，建立各個威脅與CC標(biāo)準(zhǔn)中提供的安全功能組件之間的對應(yīng)關(guān)系，將這些安全功能組件記為集合& ；2)對安全功能組件進(jìn)一步篩選根據(jù)用戶在系統(tǒng)開發(fā)之初所設(shè)定的安全需求等級，選擇該等級所推薦的安全功能組件的集合L，取S1與L兩個集合的交集，即篩選掉不符合該等級要求的安全功能組件，從而得到集合S2 ；3)補(bǔ)充安全功能組件依賴關(guān)系參照CC標(biāo)準(zhǔn)中提供的組件之間的依賴關(guān)系，將&中各個組件所依賴的組件都添加進(jìn)來，形成集合&，即完成了對安全功能組件的最終選取過程；4)將安全功能組件描述成安全概要分析根據(jù)選定的組件，結(jié)合具體系統(tǒng)中的安全策略和預(yù)計采用的策略，將安全功能組件描述使用自然語言描述成安全概要規(guī)范。
全文摘要
本發(fā)明屬于可信計算領(lǐng)域，涉及一種等級驅(qū)動的安全需求分析方法，包括等級知識庫的建立和具體系統(tǒng)的安全需求分析兩個方面；在針對某一個具體的系統(tǒng)開發(fā)中，根據(jù)用戶對系統(tǒng)提出的安全需求等級要求，對根據(jù)威脅選擇的安全功能組件進(jìn)行篩選，再由安全需求分析人員考慮具體技術(shù)和安全策略，將最終選定的安全功能組件描述成安全概要規(guī)范。本發(fā)明主要用于在需求分析階段利用等級和CC標(biāo)準(zhǔn)對軟件進(jìn)行安全需求分析，以減少軟件開發(fā)初期的安全漏洞。
文檔編號G06F21/00GK102289619SQ20111020874
公開日2011年12月21日 申請日期2011年7月26日 優(yōu)先權(quán)日2011年7月26日
發(fā)明者馮志勇, 劉豐煦, 李曉紅, 胡靜, 許光全 申請人:天津大學(xué)