- 1、本文档共33页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
目录
2.1安全需求概述
2.2安全需求分析方法
2.3安全设计概述
2.4安全设计方法
2.5威胁建模
1
本章学习目标
1.了解安全需求的定义和标准;
2.了解安全需求分析过程;
3.了解软件安全设计的内容;
4.了解什么是威胁建模;
5.理解安全设计的分析方法;
6.理解安全需求的原则;
7.掌握安全设计的方法;
8.掌握威胁建模的过程;
2
2.1安全需求概述
安全需求的定义
传统软件需求由功能需求、非功能需求和约束构成。
安全需求的定义有三种:
(1)将安全需求看作传统软件需求的非功能性需求部分,用于补充产品的功能描述,从安全方面描述产
品特性。
(2)将安全需求看作与业务功能需求同等重要的安全功能需求,是开发人员必须实现的软件功能,对业
务功能需求进行安全约束。
(3)使用安全策略或质量需求来定义安全需求。
安全需求的三个安全属性
软件安全需求是为保障实现业务功能而对相关信息的机密性、完整性和可用性提出的要求。
(1)机密性(Confidentiality)指保护敏感信息不被未授权用户访问。
(2)完整性(Integrity)指保护数据不被更改或破坏。
(3)可用性(Availability)指确保资源被授权用户的使用。
安全需求的标准
能安全基础标准IEC61508;信息技术安全性认证通用标准(CC标准)。
CC标准定义了安全功能需求和安全保障需求来规范安全需求。
(1)安全功能需求是指安全系统应该提供的安全功能。开发者可参照CC标准第二部分安全功能要求中
定义的安全审计、通信/不可抵赖、密码支持、用户数据保护、标识和鉴别和安全管理等确定需求。
(2)安全保障需求是指安全可信度及为保障可信度而应采取的措施。开发者可参考CC标准第三部分安
全保障要求定义的保护轮廓评估、安全目标评估、配置管理、交付和运行、脆弱性评估和保障维护等。
安全保障级别
安全保障级别(EVL)是CC标准定义的系统安全可信度评价方法。
安全保障级别(EVL)通过安全系统在构造管理、生命周期支持和脆弱性评估等方面所采取的措施来确定
系统的安全可信度,EVL1至EAL7评估等级对开发系统的安全要求不断增加。
安全风险值,系统的病毒感染率和平均失效时间MTTF都是除安全保障级别(EAL)外当前成熟流行的评
价系统安全保障程度的指标。
2.2安全需求分析方法
安全需求分析过程
安全需求分析的过程是一个不断发展的过程,安全需求的内容需要不断地进行修正以保持分析结果的有
效性。
软件安全需求的分析过程有以下步骤:
(1)系统调查:了解系统所处的安全环境及其它安全信息,确定需要保护的资产,评价各个资产的相
对价值。
(2)分析系统的脆弱点和安全威胁:确定系统的脆弱点,针对每个脆弱点可能由此引发的安全威胁及
其对资产可能造成损害的程度进行定性和定量分析。
(3)确定需求:结合定性分析和定量分析的结果,确定信息系统的安全需求,开发人员根据需求实施
相应的安全措施。
安全需求分析方法
安全需求分析方法目前均是对传统需求分析方法的扩展,在传统需求分析过程中融入安全性考量。
安全需求分析的常用方法有滥用案例、滥用框架和安全质量需求工程(SQUARE)等。
滥用案例
滥用案例是在传统的需求分析方法用例上的安全扩展,开发者通过将自己置于攻击者的状态,考虑当安
全机制无效或被破坏时的后果,可更深入了解系统和防范恶意攻击。
滥用案例的典型方法有误用用例和滥用用例:
(1)误用用例方法是从功能性用例的文本描述中分析可能存在的安全漏洞并识别出对应的威胁,建立
威胁用例和对应的安全需求用例。
(2)滥用用例
您可能关注的文档
- 2023年注安师考试(化工安全)考前三页纸.pdf
- 54392-3供应链管理(微课版)同步测试参考答案.pdf
- 安全生产月安全知识竞赛题库1800道.pdf
- 财务标准化流程体系讲解.pdf
- 财务档案管理.pdf
- 财务系统讲解.pdf
- 财务印章的使用及管理.pdf
- 大象版小学科学五年级下册第五单元大自然里的老师 苍耳的启示优秀获奖教案教学设计.pdf
- 大学语文-第二单元.pdf
- 大学语文-第六单元.pdf
- 四川省德阳市罗江中学2025届高三考前热身化学试卷含解析.doc
- 山东省枣庄现代实验学校2025届高三下学期第五次调研考试化学试题含解析.doc
- 吉林省长春市十一高中等九校教育联盟2025届高三一诊考试生物试卷含解析.doc
- 2025届江苏省盐城市伍佑中学高考仿真模拟化学试卷含解析.doc
- 2025届广西贺州中学高考冲刺押题(最后一卷)生物试卷含解析.doc
- 安徽省池州市贵池区2025届高三第一次模拟考试生物试卷含解析.doc
- 宁夏银川一中2025届高三(最后冲刺)化学试卷含解析.doc
- 广东省广州市增城区四校联考2025届高考压轴卷化学试卷含解析.doc
- 2025届邯郸市第一中学高考生物必刷试卷含解析.doc
- 2025届安徽省安庆市石化第一中学高考仿真卷化学试卷含解析.doc
文档评论(0)