代码安全PPTQA-第二章 软件安全需求与设计.pdf

目录

2.1安全需求概述

2.2安全需求分析方法

2.3安全设计概述

2.4安全设计方法

2.5威胁建模

1

本章学习目标

1.了解安全需求的定义和标准；

2.了解安全需求分析过程；

3.了解软件安全设计的内容；

4.了解什么是威胁建模；

5.理解安全设计的分析方法；

6.理解安全需求的原则；

7.掌握安全设计的方法；

8.掌握威胁建模的过程；

2

2.1安全需求概述

安全需求的定义

传统软件需求由功能需求、非功能需求和约束构成。

安全需求的定义有三种：

(1)将安全需求看作传统软件需求的非功能性需求部分，用于补充产品的功能描述，从安全方面描述产

品特性。

(2)将安全需求看作与业务功能需求同等重要的安全功能需求，是开发人员必须实现的软件功能，对业

务功能需求进行安全约束。

(3)使用安全策略或质量需求来定义安全需求。

安全需求的三个安全属性

软件安全需求是为保障实现业务功能而对相关信息的机密性、完整性和可用性提出的要求。

(1)机密性(Confidentiality)指保护敏感信息不被未授权用户访问。

(2)完整性(Integrity)指保护数据不被更改或破坏。

(3)可用性(Availability)指确保资源被授权用户的使用。

安全需求的标准

能安全基础标准IEC61508;信息技术安全性认证通用标准(CC标准)。

CC标准定义了安全功能需求和安全保障需求来规范安全需求。

(1)安全功能需求是指安全系统应该提供的安全功能。开发者可参照CC标准第二部分安全功能要求中

定义的安全审计、通信/不可抵赖、密码支持、用户数据保护、标识和鉴别和安全管理等确定需求。

(2)安全保障需求是指安全可信度及为保障可信度而应采取的措施。开发者可参考CC标准第三部分安

全保障要求定义的保护轮廓评估、安全目标评估、配置管理、交付和运行、脆弱性评估和保障维护等。

安全保障级别

安全保障级别(EVL)是CC标准定义的系统安全可信度评价方法。

安全保障级别(EVL)通过安全系统在构造管理、生命周期支持和脆弱性评估等方面所采取的措施来确定

系统的安全可信度，EVL1至EAL7评估等级对开发系统的安全要求不断增加。

安全风险值，系统的病毒感染率和平均失效时间MTTF都是除安全保障级别(EAL)外当前成熟流行的评

价系统安全保障程度的指标。

2.2安全需求分析方法

安全需求分析过程

安全需求分析的过程是一个不断发展的过程，安全需求的内容需要不断地进行修正以保持分析结果的有

效性。

软件安全需求的分析过程有以下步骤：

(1)系统调查：了解系统所处的安全环境及其它安全信息，确定需要保护的资产，评价各个资产的相

对价值。

(2)分析系统的脆弱点和安全威胁：确定系统的脆弱点，针对每个脆弱点可能由此引发的安全威胁及

其对资产可能造成损害的程度进行定性和定量分析。

(3)确定需求：结合定性分析和定量分析的结果，确定信息系统的安全需求，开发人员根据需求实施

相应的安全措施。

安全需求分析方法

安全需求分析方法目前均是对传统需求分析方法的扩展，在传统需求分析过程中融入安全性考量。

安全需求分析的常用方法有滥用案例、滥用框架和安全质量需求工程(SQUARE)等。

滥用案例

滥用案例是在传统的需求分析方法用例上的安全扩展，开发者通过将自己置于攻击者的状态，考虑当安

全机制无效或被破坏时的后果，可更深入了解系统和防范恶意攻击。

滥用案例的典型方法有误用用例和滥用用例：

(1)误用用例方法是从功能性用例的文本描述中分析可能存在的安全漏洞并识别出对应的威胁，建立

威胁用例和对应的安全需求用例。

(2)滥用用例