软件安全性分析方法和经验.pdfVIP

软件安全性分析方法和经验 黄锡滋 陈光宇 按照 ISO8402 的定义，安全性（safety ）是指“使伤害或损害的危险限制在 可以接受的水平内”。众所周知，武器装备存在安全性的问题，孤立的看，软件 仅仅是一些书写的语句和文档，似乎与安全性没有联系，然而由于现代自动化， 信息化的武器装备集成了大量软件，软件成为实施武器装备指挥和控制功能的核 心，软件错误，极有可能触发装备误动，导致严重安全性事故。美国军标 MIL-STD-882B 系统安全性大纲中，有独立章节处理软件安全性问题。我国国军 标 GJB 900 也包含了软件安全性分析的内容。实施软件安全性分析，将极大地提 高了武器装备系统的质量和安全性，同时带来其它社会效益和经济效益。（见图 1） 图 1 安全性分析的效益 尽管从MIL-STD-882B 已经发布21 年，但是软件安全性分析方法，仍没有 为有关各方充分掌握，下面本文将介绍美国软件安全性分析专家Blair T. Whatcott1]，从事和领导软件安全性分析 18 年总结的经验，以供借鉴。 一、 软件安全性分析过程 1. 识别系统安全性危险和系统安全关键区域 首先必须详细识别系统和子系统的全部安全性危险。列出系统和各个子系统 的全部需求，逐个论证识别每个需求与安全性危险的关系，确定各个需求的安全 关键等级。确定必须优先关注的安全关键需求。 2. 跟踪安全关键需求，从设计到编码实现的全部过程 对于安全关键需求，根据优先度级别，跟踪这些需求，从顶层设计，详细设 计直至编码实现的过程，验证编码的正确性，同时识别安全关键的数据项。由于 费用和其它资源的限制，对关键度低的需求可以少分析或不分析，尽量使有限资 源充分的应用到相对最重要的部分。 3. 验证安全关键数据的执行和处理过程，确认它们在系统中得到正确使用 需要特别关注数据在各个子系统界面的状态变化和和在脆弱的时间窗口的 状态。 4. 在整个系统寿命周期，跟踪识别的危险 将已经识别的危险建立文档，通报给开发机构。安全性分析人员要密切跟踪 已识别的危险，直至它们从软件中消除。将这些危险存入软件安全性分析数据库。 数据库的资料，以后可以用来培训安全性分析人员；用来指导其它的系统安全性 分析。美国国防部，软件系统安全性手册，就是利用这些数据库资料编制成。 二、 软件安全性分析环境 为了保证软件安全性分析取得成功，需要具备下列三个条件。 1. 经费和管理独立于软件开发机构 经费和管理独立，能够保证安全性分析获得独立的经费支持，防止软件开发 挤占有限的资源；能够根据安全关键度优先级别，自主地将可用资源投入到关键 部位，充分发挥有限资金的利用效率。为了保证安全性分析在费用和管理方面的 独立性，项目管理办公室应该与软件开发机构，软件安全性分析机构分别签定合 同。软件开发机构，软件安全性分析机构该独立地对项目管理办公室负责并报告 工作。 2. 经过培训的合格分析人员 许多软件工程师宁可从事软件开发工作，不愿花费巨大精力去挖掘软件深层 次的安全问题。尤其不愿长期从事安全性分析。 在组建软件安全性分析机构时，通常存在两个问题。其一是没有根据人员的 能力和意愿，挑选人选，将不适合开发工作要求的人员调整到安全分析机构。这 种做法的错误在于称职的安全性分析人员需要更高的素质，他们必须仔细审查， 解析代码，测试代码，发现问题，这些工作比编写代码更加困难。 第二是认为开发人员具有足够能力开发出完全符合要求的软件产品，独立的 安全性分析没有太大价值。他们忽视了两只队伍不同的工作取向，开发人员的目 的是按照日程要求，尽快完成既定的开发任务，而安全性分析人员的目的在于发 掘代码错误。不同的目标取向决定了不同的思维方法。忽视安全分析队伍的作用 显然是错误的。 所以在组建安全性分析队伍时，必须由经过培训的合格的人员担任。 3. 有严格规定的、必须遵循的过程，保证分析活动集中到具有高优先度的 安全关键区域 安全性分析必须严格遵循本文第一节所述的 4 个步骤，同时要求做到： 1) 在第一阶段结束时，提供安全事件关键度分析报告， 2) 在每个阶