软件安全性残留风险分级评估的实例分析.pdfVIP

第２８卷第４期 计算机应用与软件 Ｖｏｌ２８Ｎｏ．４ ２０１１年４月 ＣｏｍｐｕｔｅｒＡｐｐｌｉｃａｔｉｏｎｓａｎｄＳｏｆｔｗａｒｅ Ａｐｒ．２０１１ 软件安全性残留风险分级评估的实例分析 金　力　江建慧　楼俊钢 （同济大学计算机科学与技术系　上海２０１８０４） 摘　要　　评估软件安全性常用的方法有风险评估和基于可靠性模型的评估。基于上述二种方法提出了残留风险分级评估方法。 该方法用失效强度和失效严重度来刻画软件的风险，较好地解决了由于测试数据按失效严重度分类后数据少而难以应用可靠性模 型的问题，并用实例说明了新方法的可行性。 关键词　　软件安全性　风险　软件可靠性　失效严重度 ＣＡＳＥＡＮＡＬＹＳＩＳＯＮＧＲＡＤＩＮＧＡＳＳＥＳＳＭＥＮＴ ＯＦＲＥＳＩＤＵＡＬＲＩＳＫＯＦＳＯＦＴＷＡＲＥＳＥＣＵＲＩＴＹ ＪｉｎＬｉ　ＪｉａｎｇＪｉａｎｈｕｉ　ＬｏｕＪｕｎｇａｎｇ （ＤｅｐａｒｔｍｅｎｔｏｆＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙ，ＴｏｎｇｊｉＵｎｉｖｅｒｓｉｔｙ，Ｓｈａｎｇｈａｉ２０１８０４，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ　　Ｇｅｎｅｒａｌｍｅｔｈｏｄｓｆｏｒｓｏｆｔｗａｒｅｓｅｃｕｒｉｔｙａｓｓｅｓｓｍｅｎｔｉｎｃｌｕｄｅｒｉｓｋａｓｓｅｓｓｍｅｎｔａｎｄｓｏｆｔｗａｒｅｒｅｌｉａｂｉｌｉｔｙｍｏｄｅｌｂａｓｅｄａｓｓｅｓｓｍｅｎｔ． Ｂａｓｅｄｏｎｔｈｅａｆｏｒｅｍｅｎｔｉｏｎｅｄｍｅｔｈｏｄｓ，ｔｈｉｓｐａｐｅｒｐｒｏｐｏｓｅｄａｎｏｖｅｌｇｒａｄｉｎｇａｓｓｅｓｓｍｅｎｔａｐｐｒｏａｃｈｆｏｒｒｅｓｉｄｕａｌｒｉｓｋｏｆｓｏｆｔｗａｒｅｓｅｃｕｒｉｔｙ．Ｂｙｕｓｉｎｇ ｆａｉｌｕｒｅｉｎｔｅｎｓｉｔｙａｎｄｓｅｖｅｒｉｔｙｏｆｆａｉｌｕｒｅｔｏｄｅｓｃｒｉｂｅｔｈｅｓｏｆｔｗａｒｅｒｉｓｋ，ｔｈｉｓｍｅｔｈｏｄｗｅｌｌｓｏｌｖｅｓｔｈｅｐｒｏｂｌｅｍｏｆｉｎｅｆｆｅｃｔｉｖｅｎｅｓｓｏｆｓｏｆｔｗａｒｅ ｒｅｌｉａｂｉｌｉｔｙｍｏｄｅｌｗｈｉｃｈｉｓａｒｏｕｓｅｄｆｒｏｍｌａｃｋｉｎｇｄａｔａｗｈｅｎｔｈｅｔｅｓｔｉｎｇｄａｔａｈａｓｂｅｅｎｃｌａｓｓｉｆｉｅｄｂｙｔｈｅｓｅｖｅｒｉｔｙｏｆｆａｉｌｕｒｅ．Ｆｉｎａｌｌｙ，ａｒｅａｌｗｏｒｌｄ ｅｘａｍｐｌｅｉｓｕｓｅｄｔｏｉｌｌｕｓｔｒａｔｅｔｈｅｆｅａｓｉｂｉｌｉｔｙｏｆｔｈｅｐｒｏｐｏｓｅｄｍｅｔｈｏｄ． Ｋｅｙｗｏｒｄｓ　　Ｓｏｆｔｗａｒｅｓｅｃｕｒｉｔｙ　Ｒｉｓｋ　Ｓｏｆｔｗａｒｅｒｅｌｉａｂｉｌｉｔｙ　Ｓｅｖｅｒｉｔｙｏｆｆａｉｌｕｒｅ 是基于风险的安全性评估；另一类是基于可靠性模型的安全性 ０　引　言 评估。基于风险的安全性评估是根据领域专家的经验，对软件 的失效率和严重度进行主观判断，这就需要有充足的历史数据 关于软件安全性，首先应该区分软件安全性和系统安全性 供专家参考，才能使之做出正确的评价。而在实际的工程应用 的差别。文献［１］认为安全性是一个系统级的问题，就软件本 中，由于历史数据有限，这种方法就显示出局限性。基于可靠性 身而言，软件并不直接做任何危险的事。然而，把软件放在一个 模型的安全性评估对失效数据统一处理，并不把失效数据按失 复杂的系统中，软件有可能对系统产生不可预测和不安全的影 效严重度分类后处理，把安全性和可靠性混在一起，缺乏对失效 响。软件安全性表示软件的运行而不使系统出现事故的能力。 严重度的关注和量化，不能很好地表征软件安全性。 而ＩＥＥＥ标准认为软件安全性是指避免软件到达危险状态的能 对于软件安全性的评估，需要同时考虑失效率和失效严重 力［２］；系统安全性指避免系统到达危险状态的能力。软件安全 度这２个因素，而且应该构建模型尽量客观地对其进行量化。 性仅仅与软件内部的失效有关，与硬件、人为操作等因素无关。 本文提出的方法首先对失效数据按严重度分级。对于分级之后 而系统安全性受软件安全性影响。上述软件安全性的定义并没 会出现某一级别失效数据极少而难以运用可靠性模型的情况， 有反映出人们对于事故后果的严重性的态度。文献［１０］认为 通过在总失效率和各级别失效率之间构建关系，可以比较精确 安全性是一个不只局限于时间和空间的概念，还取决于人们对 地求得该级别的失效率。同时采用失效强度（残留失效检测 它的态度，这种态度是主观的并且随着时间和环境而变化。所 率）和严重度来表征软件的风险，最后用实例来验证上述方法 以本文所采用的软件安全性定义认为它是软件运行而不至于使 的有效性。 系统产生不可接受风险的能力。 鉴于软件安全性的重要性，各国对此进行大量的研究。美 １　相关研究 国各个安全关键领域制定了如下标准：ＭＩＴＳＴＤ８８２Ｂ，ＮＡＳＡ ＳＴＤ８７１