软件工程课件09关键系统规格说明.pptVIP

保密性规格说明步骤 财产识别和估值 识别出财产（数据和程序）和它们所需要的保护程度。保护程度依赖于财产的价值，因此一个密码文件要比一组公共网页更有价值。 威胁分析和风险评估 要识别出可能发生的保密性威胁，并要估计到与每个这种威胁有关的风险。 威胁分配 把已经识别的威胁与财产联系起来，这样就可以就每个已经识别的财产列出一张与威胁关联的表格。 第三十页，共五十二页。 Stages in security specification 技术分析 对获得的保密技术及其是否可用在识别出的威胁上进行评估。 保密性需求规格说明 要对保密性需求进行规格说明。在规格说明中适当的地方，要明确解释保密技术用在保护系统免受各种不同威胁的作用。 第三十一页，共五十二页。 保密性需求的种类 Identification requirements. 识别需求。 Authentication requirements. 鉴定需求。 Authorization requirements. 授权需求。 Immunity requirements. 免疫需求（抗病毒性）。 Integrity requirements. 完整性需求。 Intrusion detection requirements. 侵入检测需求。 Non-repudiation requirements. 非否定需求。 Privacy requirements. 隐匿需求。 Security auditing requirements. 保密审计需求。 System maintenance security requirements. 系统维护保密性需求。 第三十二页，共五十二页。 LIBSYS 保密性需求 第三十三页，共五十二页。 系统可靠性规格说明 硬件可靠性（Hardware reliability ） 硬件组件失败的可能性有多大以及修复该组件需要多长时间？ 软件可靠性（Software reliability ） 一个软件组件产生不正确的输出的情况是怎样的。软件和硬件失效的区别在于软件是没有损耗的。即使是在产生不正确的结果之后它也能继续运行。 操纵员可靠性（Operator reliability ） 一个系统操作员出差错（make an error）的情况是怎样的？ 第三十四页，共五十二页。 功能可靠性需求举例 需要定义出操作员全部输入值的预定范围，系统应该对所有落在该预定范围的操作员输入值进行检查。 在系统初始化的时候，它应该对所有磁盘上的坏块进行检查。 系统必须用N版本编程方法来实现减速控制系统。 系统必须才用Ada安全子集来实现，并用静态分析方法进行检查。 第三十五页，共五十二页。 系统可靠性所需要达到的水平必须能够定量表达出来。 可靠性是动态的系统特性，与源代码有关的可靠性规格说明是没有意义的。 每1000行的失误数目不大于N个； 它只对软件交付后的过程分析有用。那时你可以试着对你的开发技术有多好做出评价。 需要选择合适的可靠性标尺来说明整个系统的可靠性。 非功能可靠性规格说明 第三十六页，共五十二页。 可靠性标尺是系统可靠性的测量单位。 系统可靠性测量是通过计算操作失效次数来实现的。并且在适当的地方，还要把测量与加在系统上的要求和系统已经运行了多长的时间联系起来。 评估关键系统的可靠性需要一个长期的测量计划。 可靠性标尺(metrics) 第三十七页，共五十二页。 可靠性标尺(metrics) 请求失效率——POFOD(Probability of failure on demand) 当发出一个服务请求时系统失效的可能性。例如，0.001的响应失效率意味着1000次服务请求中有一次可能会失效 失效发生率——ROCOF(Rate of failure occurrence) 出现未预期行为的发生概率。例如，2/100的失效发生率的意思是指在每100个操作时间单位里可能会失效2次。有时也把它称为失效强度。 失效平均时间——MTTF(Mean time to failure) 观察到系统失效的平均时间。例如一个500MTTF的意思是在每500个时间单位里可能有一次失效。 修复平均时间——MTTR(Mean time to repair) 从一个系统失效到它恢复服务的平均时间 可获率——AVAIL(Availability) 在一个给定时间内系统可以获得使用的概率。例如，一个0.998的可获率意味着在每1000个时间单位里系统可以获得998个。 第三十八页，共五十二页。 请求失效率（POFOD) 这是系统在接到服务请求时失效的几率。这对于服务请求不连续和比较稀少的情况来说是有用的。 适合于保护系统，其中的服务请求偶尔发生并且如果不交付服务可能会