安全系统开发方法.PDFVIP

Chapter 3 第3 章 安全系统开发方法 生而知之者，上也；学而知之者，次也；困而学之，又其次也；困而不学，民斯为下矣。 —孔子 3.1　为模式增加信息 摆在设计人员面前的一大问题是：如何知道在何处应用模式呢？对于安全领域的专家 来说，这可能算不上什么问题，但对缺少安全知识的设计人员来说，这无疑是一项艰苦的 工作。于是在软件开发生命周期中指导设计人员选择合适的模式，并能够为他们所接受和 使用，就变得十分重要。 作为一种可能的简化设计人员使用模式的方法，我们可以定义包含更多使用信息的扩 展模式： ?安全语义分析模式 （SSAP ）。这种方法通过在分析SAP （语义分析模式）的使用实例 和可能面临的威胁的基础上为其增加安全模式来保证SAP 的安全性。语义分析模式 （SAP ）是集成了一组基础用例的模式[Fer00]。例如，为法务公司创建的一组安全函 数 [Fer07c]。[Rod07] 中的工作也与此相关。 ?企业安全模式 （ESP ）[Mor12]。企业安全模式把一组描述通用企业安全架构的项进 行了组合。企业安全架构可以在特定场景中保护企业的信息资产。企业安全模式能 够处理更多威胁，能够为设计人员建造企业安全架构提供安全策略、模式、机制和 技术方面的选择和裁剪定制。 第3章　安全系统开发方法　 　23 ?标签[Ysk12]。标签包含了安全目标、模式的应用范围、权衡标签（对其他关注内容 的影响）以及模式之间的关系。 另一种方法是定义能够在每一步对设计人员进行指导的完整方法。文献[Uzu12c] 对截 至目前已提出的此类方法进行了综述。任何方法都应该以基本的原则作为出发点，其中最 重要的两条原则是： ?安全约束应该定义在具有清晰语义的系统顶层，并向下层传播、由下层实施。 ?体系架构的所有层次都必须是安全的。 这些原则可以很好地适用于[Sch03] 中定义的“安全场景”，即一系列软件开发生命周 期的阶段和架构层次中。 3.2　基于生命周期的方法 现在已经就此观点达成了共识，即安全必须应用在整个软件开发生命周期中：开发进 入最后阶段再加入安全的做法已经被证明了是不够的。这意味着，任何开发安全系统的方 法，不管是否使用模式，都必须考虑到生命周期的每个阶段。我们所理解的生命周期包含 平台的，而不仅仅是应用层的。安全依赖于每个层次，因此必须一开始就加以考虑。我们 正是在上述原则的指导下使用模式。我们能在系统的各个层次定义模式，这允许设计人员 能够确保每个层次都经过安全加固，并使得安全约束从高至低向下传递更加容易。 更好的方法则是通过扩展开发过程从而将安全集成到生命周期的每个阶段：这更容易 被实践者所接受。最常见的生命周期过程是Rational 统一过程(RUP) 和敏捷方法[Bra10]。 这两种方法均有一些变体。我们使用标准RUP 作为基础。 我们所提出的方法背后的基本思想是：必须将安全原则应用到开发的每一个阶段，并 且每个阶段都可以测试是否符合安全原则。一些面向对象的开发方法已经在每个阶段都强 调测试的重要性。 为了创建出安全的系统我们首先描绘了安全软件的开发生命周期，然后再详细讨论每 一个阶段。图3.1 描绘了一个安全的软件开发生命周期。白色箭头指示的是可以应用安全的 地方，黑色箭头则指示在此处可以对安全策略的合规性进行审计： ?在“需求”“分析”阶段，生成“安全用例”。 ?在“分析”阶段，生成作用于“概念模型上的授权访问规则”。 ?在“设计”阶段，将规则应用到体系架构中。 ?在“实现”、部署和维护阶段，安全措施通过编程语言实现，还需要一定的安全规则。 “安全验证与测试”出现在开发的每一个阶段。各个阶段的具体细节如下： ?问题域分析阶段。这部分定义与开发应用软件相关的概念模型。对遗留系统进行辨 24　 　第一部分　概　　述 识，并分析其安全性。总体的安全或可靠性约束可以应用于此阶段。 安全验证与测试 需