信息安全系统软件开发工程化研究.pdfVIP

信息安全系统软件开发的工程化研究1’ 倪亮 陈恭亮 李建华 上海交通大学信息安全工程学院，上海，200240 摘要 大型分布式系统的安全性已成为人们优先考虑的主要问题。越来越多 的软件弱点的出现已不止一次地表明这些系统的设计和工程化经常存在着安全 方面的缺陷。安全性质往往在系统集成阶段后期才被特意地加入，这常会导致 可被恶意利用的错误和弱点。安全不应被视为仅是信息系统开发生命周期的某 一特定阶段才该被考虑的问题，而是系统开发的整个过程都必须考虑安全。因 而，作为信息安全系统软件，其工程化的开发也迫切需要一套合理、有效的方法 学来支持。本文就信息安全系统软件的工程化开发过程及其每一阶段所需要解 决的安全问题进行了探讨，同时也对一种所谓“模型驱动安全”的安全紧要系统 的开发模式进行了讨论。 关键词 分布式系统信息安全系统软件工程化开发模型驱动安全安全 紧要系统 一、引 言 现代社会和经济的发展靠通信、金融、能源分配以及交通等基础设施来维持，这些基 础设施则越来越多地依赖大型网络化分布式系统，对于这些系统的攻击将可能造成非常 严重的后果，因此保证系统安全绝对是一项不容忽视的任务。对系统的攻击往往利用了 其自身的弱点。系统弱点的产生在很大程度上是由于这些系统的设计和工程化存在着安 全方面的缺陷。安全常被作为事后考虑，安全特性往往在开发阶段后期才被专门加入系 统，这种附加、低水平的安全集成将对最终系统的质量产生消极影响，往往导致可被恶意 利用的错误和弱点。安全不该被认为是仅在信息系统开发的某一特定阶段才应被考虑的 问题，系统开发的整个过程都必须考虑安全。就信息安全系统软件的工程化开发探索一 套行之有效的方法学，提高开发效率，确保最终软件产品的安全性、可信性、可靠性和高质 量无疑是信息安全工程所应该研究的重要课题之一。本文就信息安全系统软件的工程化 开发过程及其每一阶段所需要解决的安全问题进行了探讨，同时也对一种所谓“模型驱动 安全”的安全紧要系统的开发模式进行了讨论。 信息安全系统软件开发过程 项目开发的生命周期通常是一个分析、设计、实现、测试和维护的迭代过程‘1|。信息 1)本文的研究工作得到国家自然科学基金支持，基金项目名称：网络舆论发展趋势分析核心技术研究。(项目编 号：B1100B)。 ·570· 安全系统软件的开发通常也遵循这样的过程，但在生命周期的每一步骤都应有安全方面 的考虑(本文将重点讨论与开发直接相关的步骤而将维护阶段的细节省略)。图1显示了 信息安全系统软件开发生命周期。从安全的观点看，项目通常起始于安全需求和分析，然 后是安全设计和安全实现，最后是安全测试。测试阶段的项目具有可操作性，接着到达维 护阶段，此时常会因为要在系统中加入新特性或发现错误而又回溯到需求和分析阶段嘲。 操作和维护 安全需求和 分析 信息安全系统软件开发生命周期 安全测试 安全设计 喁一现∞ 图1信息安全系统软件开发生命周期 1．安全分析 安全分析包括几步：首先必须定义项目的安全环境和目标，然后列出系统的潜在威胁 并赋予优先顺序，并由此导出一个可用来评估风险的安全策略。 任何开发首先要明确定义软件的预期行为，安全环境和目标的概念必须在开发早期 定义。安全环境描述预期的软件演化所处的上下文环境，环境影响系统可能遭遇的威胁 种类，由特定安全环境所受到的典型威胁可导出安全目标，安全目标是高层(常以业务为 中心)安全问题。开发者应定义系统的威胁模型来描述特定安全环境中可能发生的威胁。 典型威胁包括欺骗、篡改、否认、信息泄露、拒绝服务和权限肆意提升等攻击模式。可建立 一个“攻击树”来详细说明每种威胁：以树根代表攻击目标，叶结点代表要达到此目标所要 经过的不同途径(风险评估时经分析，攻击树上