鬼佬大哥大
  • / 15
  • 下載費用:30 金幣  

采用模塊安全性分析獲取軟件安全性需求的方法.pdf

關 鍵 詞:
采用 模塊 安全性 分析 獲取 軟件 需求 方法
  專利查詢網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
摘要
申請專利號:

CN201510333774.0

申請日:

2015.06.16

公開號:

CN104899043A

公開日:

2015.09.09

當前法律狀態:

授權

有效性:

有權

法律詳情: 授權|||實質審查的生效IPC(主分類):G06F 9/44申請日:20150616|||公開
IPC分類號: G06F9/44; G06Q10/06(2012.01)I 主分類號: G06F9/44
申請人: 北京航空航天大學
發明人: 劉超; 鄭培真; 楊海燕; 吳際
地址: 100191北京市海淀區學院路37號
優先權:
專利代理機構: 北京天達知識產權代理事務所(普通合伙)11386 代理人: 馬東偉; 左萌
PDF完整版下載: PDF下載
法律狀態
申請(專利)號:

CN201510333774.0

授權公告號:

||||||

法律狀態公告日:

2018.07.17|||2015.10.07|||2015.09.09

法律狀態類型:

授權|||實質審查的生效|||公開

摘要

本發明涉及一種采用模塊安全性分析獲取軟件安全性需求的方法,包括:針對每個子系統,根據子系統中需要進行安全性分析的需求開發模塊,在計算機終端中建立對應的安全性分析模塊;根據從數據庫輸入的功能性信息以及設計決策信息,對該子系統的系統軟件或者特定軟件進行安全性分析,生成危害分析模型;將軟件安全性功能需求以及相應的設計決策輸出給需求開發模塊和設計開發模塊,形成新的需求開發模塊和設計開發模塊。本發明建立一個適合多機構協同開發安全關鍵系統時,信息接口的設計;參照安全相關標準構建系統危害分析領域模型模板,以系統化和結構化方式支持安全分析人員分析系統危害和捕捉特定軟件安全性需求。

權利要求書

權利要求書
1.  一種采用模塊安全性分析獲取軟件安全性需求的方法,其特征在于,包括:
針對每個子系統,根據子系統中需要進行安全性分析的需求開發模塊,在計算機終端中建立對應的安全性分析模塊;
安全性分析模塊根據從數據庫輸入的功能性信息以及設計決策信息,對該子系統的系統軟件或者特定軟件進行安全性分析,即通過系統安全性需求映射、系統失效分析、軟件失效分析來獲取軟件的安全性需求分析結果,生成危害分析模型;所述安全性需求分析結果包括:安全性功能需求以及相應的設計決策,
將軟件安全性功能需求以及相應的設計決策輸出給需求開發模塊和設計開發模塊,形成新的需求開發模塊和設計開發模塊,然后執行重復上一步驟,不斷完善所述危害分析模型,直到分析結束。

2.  根據權利要求1所述的方法,其特征在于,如果將某需求開發模塊定義為復雜系統中的某子系統,相應的設計開發模塊、安全性分析模塊即針對該子系統分析;該子系統在需求開發和設計開發時,僅對其他子系統公開部分信息,并同時依賴于其他子系統的公開信息;相應的,針對該子系統的安全性分析模塊也僅向其他子系統的安全性分析模塊公開部分信息,并同時依賴于其他子系統的安全性分析模塊的公開信息。

3.  根據權利要求1或2所述的方法,其特征在于,實現子系統安全性需求映射的過程包括:
子系統安全性需求映射通過需求追蹤特性和建立需求設計映射表實現:
需求追蹤特性即在每個需求描述模塊,增添“追蹤性”屬性,追蹤該需求是從哪個需求分解而來,或者是由什么原因派生出來;
建立需求設計映射表,至少包括:“安全性需求”和“設計決策”兩 個表項。

4.  根據權利要求1或2或3所述的方法,其特征在于,當需求開發模塊的層次為系統層時,系統失效分析采取自上而下的過程,即
從數據庫中調入需求開發模塊的功能描述;
針對該需求開發模塊,調入其運行上下文,至少包括功能運行階段、環境配置和狀況、交互功能;
根據調入的上下文,分析其可能發生的失效;
對每個失效,分析其造成的影響,并對失效影響按等級分類;
采用FTA方法,識別失效原因;
分析獲得安全性需求來消除失效,或降低失效影響,將該安全性需求加入到需求/設計映射表中“安全性需求”一欄;
基于上述安全性需求,分析出設計決策,將設計決策加入到需求/設計映射表中“設計決策”一欄;
輸出安全性分析結果。

5.  根據權利要求1或2或3或4所述的方法,其特征在于,當所述軟件功能模塊的層次為系統層時,軟件失效分析采取自下而上的過程,即
確定待分析的需求開發模塊以及該需求開發模塊的所有部件;
從數據庫調入所有部件的運行上下文,至少包括功能模塊、功能運行階段、環境配置和狀況、交互功能;
針對所有部件,分析其可能發生的故障,并針對每個故障,分析其可能產生的故障影響;
提出安全性需求來消除或減弱故障影響,將該安全性需求加入到需求/設計映射表中“安全性需求”一欄;
基于上述安全性需求,分析出設計決策,將設計決策加入到需求/設計映射表中“設計決策”一欄;
輸出安全性分析結果。

6.  根據權利要求1所述的方法,其特征在于,設置所述安全性分析模塊與其他模塊的信息接口,所述信息接口至少包括以下一種:
模塊上下文接口是,輸出或引入對需求開發模塊和設計開發模塊的引用的說明,對安全性分析模塊的邊界和限制的說明以及一些假設;
失效接口,輸出或引用該子系統或該子系統某部分功能缺失或者功能故障;
安全性需求接口,輸出安全性需求分析結果或者引用其他安全分析模塊的安全性需求分析結果。

7.  根據權利要求6所述的方法,其特征在于,所述模塊上下文接口包括:
分析模塊上下文:每個安全性分析模塊針對某個需求開發模塊和設計開發模塊,需要對輸入進行聲明,并指明安全性分析模塊的邊界和限制,安全性分析模塊的運行周期以及運行階段,當前的分析層級;
其他模塊上下文引用:對當前關注的需求開發模塊和設計開發模塊進行安全性分析時,其上下文配置要求與另一個安全性分析模塊的某上下文配置相同,引用其他安全性分析模塊上下文的方式填寫本安全性分析模塊上下文。

8.  根據權利要求6或7所述的方法,其特征在于,所述失效接口包括:
已處理失效:安全性分析模塊識別到的失效,依據具體情況選擇是否公開,如果公開,則在安全性分析模塊接口處要列出相應信息;
失效引用:安全性分析模塊識別到的某個失效,由于該失效的后續 分析較為復雜,或者在其他安全性分析模塊已對該失效分析,則該失效不在本安全性分析模塊展開分析,而是在其他安全性分析模塊中展開分析,此處只需引用其他安全性分析模塊的相應失效說明即可。

9.  根據權利要求6或7或8所述的方法,其特征在于,所述安全性需求接口包括:
安全性需求:針對需要進行安全性分析的需求開發模塊提出的安全性需求分析結果;
安全性引用:引用其他安全性分析模塊提取的安全性需求分析結果。

說明書

說明書采用模塊安全性分析獲取軟件安全性需求的方法
技術領域
本發明涉及計算機軟件技術領域,尤其涉及一種采用模塊安全性分析獲取軟件安全性需求的方法。
背景技術
軟件需求從用戶的角度描述了系統所需的行為、特性或屬性,是用戶和開發人員之間的橋梁。準確、完整的需求是指導系統后續分析、建模、開發和測試的根本依據。特別是在航空領域,機載軟件安全性需求捕獲的不完整可能會導致重大財產損失,破壞環境,甚至危及人身生命安全。因此對機載軟件安全性需求獲取的研究是十分必要和迫切的。
目前已有的研究及標準中定義的安全性需求識別過程都有一定的相似性,可概括為如圖1所示的一個迭代過程:1)識別危害和失效模式;2)識別軟件對危害的貢獻;3)定義軟件安全性需求來處理危害。4)對新識別到的需求做危害分析,識別危害和失效模式,回到步驟1)。
在眾多標準中,ARP-4761是航空工業界廣泛使用的一套安全評估標準,提供了一套較為完整的系統安全性評估過程。工程實踐應用過程中,存在以下問題:
(1)缺乏準確、嚴謹的需求表達方式。危害分析的一個主要輸入是系統開發初期的功能需求,功能需求描述的準確性、完整性對危害分析的有效性有很大影響。
(2)缺乏建立和維護軟件安全性需求與系統功能性需求之間的追蹤關系。標準提出了一套在系統開發各個階段進行安全性評估分析的活動,目標并不在于建立這兩類需求之間的追蹤關系。可是軟件安全性需求來 自于系統危害分析,從軟件開發過程中來說軟件安全需求與系統需求的追蹤關系至關重要。
(3)復雜系統開發過程中,由于契約等限制造成的信息不公開。復雜系統開發過程中,涉及多方機構。由于契約關系,相互之間信息接口沒有規范的表達,從而使得安全性需求分析過程中,輸入不完善,導致需求捕獲不完整。
(4)缺乏對軟件安全性需求合理的總結和分類整理。軟件安全性需求的獲取通常可從通用軟件安全性需求的剪裁和特定軟件安全性需求的獲取兩方面進行。通用軟件安全性需求的剪裁是基于相關軟件安全性標準,獲取通用安全性需求清單,然后參照清單針對系統進行適用性剪裁。而現有的方法多是采用checklist來積累和表示故障清單,對于需求的總結則有所欠缺,特別是缺少對安全性需求的分類研究。吳雪提出的基于RUCM(restricted usecase modeling)的軟件安全性需求描述方法i中,將軟件安全性需求從故障角度分為三類。然而該分類忽略考慮安全完整性需求和設計約束。
發明內容
鑒于上述的分析,本發明旨在提供一種采用模塊安全性分析獲取軟件安全性需求的方法,用以解決現有標準存在的問題。
本發明的目的主要是通過以下技術方案實現的:
本發明提供了一種采用模塊安全性分析獲取軟件安全性需求的方法,包括:
針對每個子系統,根據子系統中需要進行安全性分析的需求開發模塊,在計算機終端中建立對應的安全性分析模塊;
安全性分析模塊根據從數據庫輸入的功能性信息以及設計決策信息,對該子系統的系統軟件或者特定軟件進行安全性分析,即通過系統安全性需求映射、系統失效分析、軟件失效分析來獲取軟件的安全性需求分析結果,生成危害分析模型;所述安全性需求分析結果包括:安全性功能需求以及相應的設計決策,
將軟件安全性功能需求以及相應的設計決策輸出給需求開發模塊和設計開發模塊,形成新的需求開發模塊和設計開發模塊,然后執行重復上一步驟,不斷完善所述危害分析模型,直到分析結束。
進一步地,如果將某需求開發模塊定義為復雜系統中的某子系統,相應的設計開發模塊、安全性分析模塊即針對該子系統分析;該子系統在需求開發和設計開發時,僅對其他子系統公開部分信息,并同時依賴于其他子系統的公開信息;相應的,針對該子系統的安全性分析模塊也僅向其他子系統的安全性分析模塊公開部分信息,并同時依賴于其他子系統的安全性分析模塊的公開信息。
進一步地,實現子系統安全性需求映射的過程包括:
子系統安全性需求映射通過需求追蹤特性和建立需求設計映射表實現:
需求追蹤特性即在每個需求描述模塊,增添“追蹤性”屬性,追蹤該需求是從哪個需求分解而來,或者是由什么原因派生出來;
建立需求設計映射表,至少包括:“安全性需求”和“設計決策”兩個表項。
進一步地,當需求開發模塊的層次為系統層時,系統失效分析采取自上而下的過程,即
從數據庫中調入需求開發模塊的功能描述;
針對該需求開發模塊,調入其運行上下文,至少包括功能運行階段、環境配置和狀況、交互功能;
根據調入的上下文,分析其可能發生的失效;
對每個失效,分析其造成的影響,并對失效影響按等級分類;
采用FTA方法,識別失效原因;
分析獲得安全性需求來消除失效,或降低失效影響,將該安全性需求加入到需求/設計映射表中“安全性需求”一欄;
基于上述安全性需求,分析出設計決策,將設計決策加入到需求/設計映射表中“設計決策”一欄;
輸出安全性分析結果。
進一步地,當所述軟件功能模塊的層次為系統層時,軟件失效分析采取自下而上的過程,即
確定待分析的需求開發模塊以及該需求開發模塊的所有部件;
從數據庫調入所有部件的運行上下文,至少包括功能模塊、功能運行階段、環境配置和狀況、交互功能;
針對所有部件,分析其可能發生的故障,并針對每個故障,分析其可能產生的故障影響;
提出安全性需求來消除或減弱故障影響,將該安全性需求加入到需求/設計映射表中“安全性需求”一欄;
基于上述安全性需求,分析出設計決策,將設計決策加入到需求/設計映射表中“設計決策”一欄;
輸出安全性分析結果。
進一步地,設置所述安全性分析模塊與其他模塊的信息接口,所述信息接口至少包括以下一種:
模塊上下文接口是,輸出或引入對需求開發模塊和設計開發模塊的 引用的說明,對安全性分析模塊的邊界和限制的說明以及一些假設;
失效接口,輸出或引用該子系統或該子系統某部分功能缺失或者功能故障;
安全性需求接口,輸出安全性需求分析結果或者引用其他安全分析模塊的安全性需求分析結果。
進一步地,所述模塊上下文接口包括:
分析模塊上下文:每個安全性分析模塊針對某個需求開發模塊和設計開發模塊,需要對輸入進行聲明,并指明安全性分析模塊的邊界和限制,安全性分析模塊的運行周期以及運行階段,當前的分析層級;
其他模塊上下文引用:對當前關注的需求開發模塊和設計開發模塊進行安全性分析時,其上下文配置要求與另一個安全性分析模塊的某上下文配置相同,引用其他安全性分析模塊上下文的方式填寫本安全性分析模塊上下文。
其中,所述失效接口包括:
已處理失效:安全性分析模塊識別到的失效,依據具體情況選擇是否公開,如果公開,則在安全性分析模塊接口處要列出相應信息;
失效引用:安全性分析模塊識別到的某個失效,由于該失效的后續分析較為復雜,或者在其他安全性分析模塊已對該失效分析,則該失效不在本安全性分析模塊展開分析,而是在其他安全性分析模塊中展開分析,此處只需引用其他安全性分析模塊的相應失效說明即可。
所述安全性需求接口包括:
安全性需求:針對需要進行安全性分析的需求開發模塊提出的安全性需求分析結果;
安全性引用:引用其他安全性分析模塊提取的安全性需求分析結果。
本發明有益效果如下:
本發明采用分析模塊信息封裝,對外設計接口的方式,可以更好得管理信息數據,使得不同機構協同開發時,交流通訊更為便利,有利于更好的執行模塊內安全性需求分析。
本發明的其他特征和優點將在隨后的說明書中闡述,并且,部分的從說明書中變得顯而易見,或者通過實施本發明而了解。本發明的目的和其他優點可通過在所寫的說明書、權利要求書、以及附圖中所特別指出的結構來實現和獲得。
附圖說明
附圖僅用于示出具體實施例的目的,而并不認為是對本發明的限制,在整個附圖中,相同的參考符號表示相同的部件。
圖1為本發明實施例所述方法的流程示意圖;
圖2為本發明實施例中,安全性分析過程與系統需求開發和設計開發的示意圖;
圖3為本發明實施例中,安全性分析模塊信息接口的示意圖。
具體實施方式
下面結合附圖來具體描述本發明的優選實施例,其中,附圖構成本申請一部分,并與本發明的實施例一起用于闡釋本發明的原理。
如圖1所示,圖1為本發明實施例所述方法的流程示意圖,具體可以包括:
步驟101:針對每個子系統,根據子系統中需要進行安全性分析的需求開發模塊,建立對應的安全性分析模塊;
如圖2所示,安全性分析過程與系統需求開發和設計開發過程并行進行,并與之有密切的對應關系。需求開發開展到一定程度后,依據需 求進行設計(概要設計、詳細設計)。設計開發應當滿足需求開發,需要對此進行驗證。需求開發和設計開發是安全性分析的輸入,然后采用安全性分析方法對輸入分析。而安全性分析過程中,會產生新的安全性需求,由安全性需求會確定新的設計決策。最后這個過程迭代進行。
安全性需求的獲取通過安全性分析過程獲得,而最終安全性需求和功能需求統一進行管理。這樣的設計既能保證對安全性需求的充分考慮,特殊對待;同時統一管理可以方便得將安全性需求與相關的功能需求關聯起來;此外,安全性需求,特別是安全性功能需求也可以像一般功能需求一樣,作為輸入,采用安全性分析的方法進行再次分析。因此,我們提出針對輸入構建安全性分析模塊,即需求開發模塊、設計開發模塊、安全性分析模塊之間存在對應關系。如果將某需求開發模塊定義為復雜系統中的某子系統,相應的設計開發模塊、安全性分析模塊即針對該子系統分析。該子系統在需求開發和設計開發時,僅對其他子系統公開部分信息,并同時依賴于其他子系統的公開信息。相應的,針對該子系統的安全性分析模塊也僅向其他子系統的安全性分析模塊公開部分信息,并同時依賴于其他子系統的安全性分析模塊的公開信息。
步驟102:安全性分析模塊根據輸入的功能性信息以及設計決策信息,對該子系統的系統軟件或者特定軟件進行安全性分析,即通過子系統安全性需求映射、系統失效分析、軟件失效分析來獲取軟件安全性功能需求以及相應的設計決策,形成該子系統的危害分析模型和并根據輸出需要構建信息接口;
步驟102-1:對該子系統的系統軟件或者特定軟件進行安全性分析,即通過子系統安全性需求映射、系統失效分析、軟件失效分析來獲取軟件安全性功能需求以及相應的設計決策,從而生成危害分析模型;
(1)安全性需求映射
子系統安全性需求映射通過需求追蹤特性和需求設計映射表實現,具體包括:
需求追蹤特性即在建立需求描述模塊,在每個需求描述模塊中增添“追蹤性”屬性,追蹤該需求是從哪個需求分解而來,或者是由什么原因派生出來。這里需求描述模塊采用RUCM的use case template的方法,對普通用例描述模板進行擴充,添加追蹤性特性。擴充后的用例描述模板如表1所示。在需求分析層次深入時,需要建立需求與需求之間的追蹤關系。特別的,系統規定了對軟件的高層需求,在軟件開發初期,需求分析人員需要將這些軟件高層需求向下層映射,并建立下層需求與高層需求之間的追蹤關系。而一部分軟件安全性需求就是從軟件高層安全性需求映射而來。
表1RUCM用例規約模板


此外,由圖2的分析可知,需求確定設計,設計反過來需要滿足需求,因此在設計過程中,建立需求和設計的追蹤關系非常重要。需求設計映射表如表格1所示,每個設計決策基于特定安全性需求,并指明設計決策做出的理由。這樣的設計一方面可以追蹤需求和設計的關系,另一方面,由此便于后期驗證設計滿足了需求。需求/設計映射表是建議在設計過程中應當維護的表格,主要包括:安全性需求和設計決策兩欄,還可以增加評注一欄。在此表述,以表明追蹤的完整性。
表格1需求/設計映射表
安全性需求設計決策評注   
(2)系統失效分析
系統失效分析是一個自上而下的過程,在設計還不清晰時,根據初期的功能模塊設計,做功能失效分析,識別頂層失效,分析失效影響,確定失效狀況分類,并提出相應的安全性需求。由此安全性需求,做出相應的設計決策,進而依據細化的需求和設計,進一步做失效分析,識別更多的失效及相應的安全性需求。此過程迭代進行,直至無法找到新的失效,系統安全性需求飽和。該過程采用FTA(fault tree analysis)方法來識別失效。
分析過程如下:
從數據庫中調入需要進行安全分析的需求開發模塊的功能描述;
針對該需求開發模塊,調入其運行上下文,包括功能運行階段、環境配置和狀況、交互功能等;
根據調入的上下文,分析其可能發生的失效;
對每個失效,分析其造成的影響;
對失效影響按等級分類;
采用FTA方法,識別失效原因;
分析獲得安全性需求來消除失效,或降低失效影響,將該安全性需求加入到需求/設計映射表中“安全性需求”一欄;
基于上述安全性需求,分析出設計決策,將設計決策加入到需求/設計映射表中“設計決策”一欄;
將安全性分析結果作為輸出,輸出給需求功開發模塊,作為新的需求開發模塊和設計開發模塊,實現該分析過程的迭代進行。
其中,過程中識別到的所有失效都采用表格2方式進行描述:
表格2失效故障分析表

表格中各元素含義如下:
■失效:指該需求開發模塊無法提供要求的功能,或者該需求開發模塊的運行與要求不符,亦即任何該需求開發模塊無法提供預期功能的狀況。
■功能模塊:當前失效分析針對的功能需求開發模塊。
■運行上下文:對當前分析功能運行階段、運行環境等說明。
■假設:分析過程中提出的任何沒有證據的聲明、原則、前提都屬 于假設。建議將假設專門管理,采用如表格3所述形式。該信息將作為該安全性分析模塊的“假設”接口信息對外提供。功能模塊、運行上下文及假設將一同作為該安全性分析模塊的“分析模塊上下文”接口信息對外提供。
表格3假設管理表
假設提出上下文提出者驗證驗證者     
■失效原因:這是一個邏輯表達式,由故障和邏輯符號構成。故障是可能導致某功能單元無法提供預期功能的異常狀況。當在更高層次分析時,前述失效可能就表現為故障。
■失效影響:失效對系統或某條目的功能、運行、狀態產生的影響。
■失效影響分類等級:即失效影響的嚴重情況。這里參照DO-178C,將失效等級分為五類:Level-A(災難性的)、Level-B(危害的/嚴重的)、Level-C(較重的)、Level-D(較輕的)、Level-E(無影響的)。對于不同級別,分析人員應給與不同程度的關注。
■故障處理措施:為消除或降低該失效發生概率及影響的措施。評注:對該分析過程的任何說明,包括確定失效分類等級的依據。
(3)軟件失效分析
軟件失效分析是自下而上的過程,隨著安全性分析模塊的內部設計越來越清晰,分析需求開發模塊內所有可能出錯的部件,并向上分析這種故障可能導致的失效,從而建立一種逆向的追蹤鏈。這個過程采用FMEA(failure mode and effects analysis)方法識別故障。
分析過程步驟如下:
確定待分析的需求開發模塊以及該需求開發模塊的所有部件;
從數據庫中調入所有部件的運行上下文,包括功能模塊、功能運行 階段、環境配置和狀況、交互功能等;
針對所有部件,分析其可能發生的故障;
針對每個故障,分析其可能產生的故障影響;
提出安全性需求來消除或減弱故障影響,將該安全性需求加入到需求/設計映射表中“安全性需求”一欄;
基于上述安全性需求,分析出設計決策,將設計決策加入到需求/設計映射表中“設計決策”一欄;
將安全性分析結果作為輸出,輸出給需求功開發模塊和設計開發模塊,作為新的需求開發模塊和設計開發模塊,實現該分析過程的迭代進行。
其中,過程中識別到的故障采用表格4所示格式描述,將故障影響作為新的失效,總結所有可能產生該故障影響的故障,作為失效原因。如果該故障影響(新的失效)在失效故障分析表中已存在,對原信息進行補充完善;如果不存在,則納入失效故障分析表。
表格4故障失效分析表

這個表與系統危害分析過程中的統計表基本相似,但是有以下幾個不同:
功能部件:是軟件失效分析的分析對象。它針對的不是功能,而是功能模塊內的部件。一個功能單元內的前置條件、后置條件、檢測語句、執行語句等所有成分都可以作為模塊部件進行分析。
運行上下文:是模塊部件的上下文介紹,主要是指針對的需求開發模塊。
故障:即該模塊部件可能出現的異常條件。對每個功能部件的故障可 以采用HAZOP方法,依照引導詞,分析各部件可能存在的導致不利后果的偏差,即故障。采用的引導詞和其含義如表格5所示。
表格5引導詞及其含義

步驟102-2:安全性分析過程中,根據輸出需要構建安全性分析模塊的信息接口;
如圖3所示,圖3為安全性分析模塊信息接口的示意圖,該信息接口包括以下三類:
(1)上下文接口
上下文包括對安全分析對象的說明,即對需求開發模塊和設計開發模塊的引用的說明,對安全性分析模塊的邊界和限制的說明,以及一些假設。
本發明實施例中,上下文接口分為兩種類型:
每個安全性分析模塊針對某個需求開發模塊和設計開發模塊,需要對輸入(需求和設計)進行聲明,并指明安全性分析模塊的邊界和限制,這里邊界和限制例如安全性分析模塊運行環境配置(如果這個不確定,可能作為假設提出),安全性分析模塊的運行周期以及運行階段,當前的分析層級等,圖3中表現為“分析模塊上下文”。
對當前關注的需求開發模塊和設計開發模塊進行安全性分析時,其上下文配置可能要求與另一個安全性分析模塊的某上下文配置相同,此 時采用引用其他安全性分析模塊上下文的方式填寫本安全性分析模塊上下文,圖3中表現為“其他模塊上下文引用”。
注意這里,分析模塊上下文既包括安全性分析模塊的引用聲明,也包括安全性分析模塊的邊界和限制說明,從而對某需求開發模塊可能對應多個安全性分析模塊,每個安全性分析模塊要求的模塊邊界和限制不一致。此外,分析過程中提出的任何沒有證據的聲明、原則、前提都屬于假設。例如對系統運行環境配置的假設。由于各模塊開發過程的信息不公開,或者在當前的分析層次所能確定的信息不足,對當前分析模塊做出假設非常重要。所有的假設都應當在后期盡可能被驗證(不能被驗證的假設應當作為系統聲明或前提對外公布),并追蹤假設、假設的提出者、假設的驗證者、驗證方法、驗證結果之間的關系。
(2)失效接口
指功能缺失,或者子系統或子系統某部分發生功能故障。失效強調需求開發模塊的故障,是安全性分析中的重要概念。安全性分析中首先要提取子系統可能出現的各種失效,并針對每個失效做深度分析,提取相應的安全性需求。因此失效與安全性需求密切相關,是安全性信息的重要組成部分,應當在模型接口處表明。
本發明實施例中,失效接口分為兩種類型:
安全性分析模塊識別到的失效,依據具體情況選擇是否公開,如果公開,則在安全性分析模塊接口處要列出相應信息,對應圖3中的“已處理失效”。
同時安全性分析模塊識別到的某個失效,由于該失效的后續分析較為復雜,或者在其他安全性分析模塊已對該失效分析,則該失效不在本安全性分析模塊展開分析,而是在其他安全性分析模塊中展開分析,此處只需引用其他安全性分析模塊的相應失效說明即可,對應圖3中的“失 效引用”。
(3)安全性需求接口
本發明實施例中,安全性需求接口也分為兩種類型:
安全性需求是安全性分析模塊的主要目的和輸出,即針對該安全分析對象提出的安全性需求,圖3中表現為“安全性需求”。
某些安全性需求提出后,可用于解決多個失效,因此本安全性分析模塊識別的失效可能引用其他分析模塊提取的安全性需求來處理。此外,雖然功能需求和安全性需求統一進行管理,但安全性分析時,如果依賴于其他安全性需求,那么該安全性分析模塊分析獲得的安全性需求的安全等級會受其他安全性需求的安全等級影響,同時也影響其他安全性需求的安全等級。因此這里將對其他安全性分析模塊安全性需求的引用特地指出,以引起足夠重視,圖3中表現為“安全性需求引用”。
圖3中指向安全性分析模塊內部的矩形接口表示對其他安全性分析模塊此類信息的引用,指向安全性分析模塊外部的矩形接口表示對本安全性分析模塊此類公開信息的聲明。注意,這三類信息可以在分析的任何時刻獲得,但是僅依據情況確定是公開的信息,才在安全性分析模塊邊界處向其他安全性分析模塊聲明。
步驟103:將安全性需求分析結果通過對外信息接口進行輸出,這里的輸出主要就是安全性功能需求以及相應的設計決策,還包括其他一些可供其他安全性分析模塊調用的信息。
綜上所述,本發明實施例提供了一種采用模塊安全性分析獲取軟件安全性需求的方法,解決如下問題:
采用分析模塊信息封裝,對外設計接口的方式,可以更好得管理信息數據,使得不同機構協同開發時,交流通訊更為便利,有利于更好的執行模塊內安全性需求分析。
對安全性需求合理分類,使得在需求獲取過程中,需求的追蹤鏈更容易建立,并且有利于進一步抽取各類安全性需求的特性,從而有利于安全性需求的部分自動化獲取。
對通用安全性需求進行總結,可以在安全性需求分析時借鑒參考,加快需求提取過程。
系統危害分析和軟件失效分析相結合,建立雙向安全性需求追蹤鏈,可以進一步保證安全性需求獲取的完整性。
建立安全性分析模型,可以為以后復用,并為安全性需求獲取、描述、驗證的自動化提供基本條件。
本領域技術人員可以理解,實現上述實施例方法的全部或部分流程,可以通過計算機程序來指令相關的硬件來完成,所述的程序可存儲于計算機可讀存儲介質中。其中,所述計算機可讀存儲介質為磁盤、光盤、只讀存儲記憶體或隨機存儲記憶體等。
以上所述,僅為本發明較佳的具體實施方式,但本發明的保護范圍并不局限于此,任何熟悉本技術領域的技術人員在本發明揭露的技術范圍內,可輕易想到的變化或替換,都應涵蓋在本發明的保護范圍之內。

關于本文
本文標題:采用模塊安全性分析獲取軟件安全性需求的方法.pdf
鏈接地址:http://www.wwszu.club/p-6369615.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服 - 聯系我們

[email protected] 2017-2018 zhuanlichaxun.net網站版權所有
經營許可證編號:粵ICP備17046363號-1 
 


收起
展開
鬼佬大哥大