软件安全需求分析与管理.pdfVIP

课程内容

需求和安全需求

软件安全开发软件安全需求分析

安全需求分析方法

知识体知识域知识子域

知识域：软件安全需求分析

•知识子域：软件安全需求分析

–了解软件安全需求分析的重要性

–理解安全需求分析方法

软件安全需求重要性

•安全编码？安全测试？复

w：%

–传统方法：软件发布后测试、等待修Bug

–GaryMcGra50的安全问题由设计瑕疵引起

–安全提前介入，效益高，成本低

❖设计——举例

▪Bob

▪明文口令，甚至将口令拿到客户端对比验证

软件安全需求的重要性

•软件安全需求是开发安全软件的基础

•软件安全需求分析

–以风险管理为基础，建立“”分析计划

–建立软件安全需求定义，确保软件安全需求定义正确

–安全需求应文档化

需求的定义

EE（97

•IEE的软件工作术语表197）

–用户为解决某个问题或达到某个目标而需具备的能力和目标；

–系统或系统组件为符合合同、、规范或其他正式文档而必须

满足的条件或必须具备的能力。

n.

•AlaMDavis

–需求是从系统外部能发现的所有满足用户的特点、功能及属性等。

•IanSommerville

–则从用户需求进一步转移到了系统特征：需求必须指明要实现什

么规格说明。

需求的分类

•业务需求

–反映了组织机构或客户对系统、产品次的目标要求，它们在

项目视图与范围文档中予以说明。

•用户需求

–描述了用户使用产品必须要完成的任务，它在使用实例文档或方

案说明中予以说明。

•功能需求

–定义了开发人员必须实现的软件功能，使得用户能完成他们的任

务，从而满足业务需求。

需求的分类

•业务需求

–反映了组织机构或客户对系统、产品次的目标要求，它们在

项目视图与范围文档中予以说明。

•用户需求

–描述了用户使用产品必须要完成的任务，它在使用实例文档或方

案说明中予以说明。

•功能需求

–定义了开发人员必须实现的软件功能，使得用户能完成他们的任

务，从而满足业务需求。

知识域：安全需求分析方法

•知识子域：安全需求分析方法

–常用安全需求分析方法

–安全需求分析方法在实践中的应用

–使用UMLsecc方法对网上系统进行安全需求分析

谢谢！