采用模塊安全性分析獲取軟件安全性需求的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計(jì)算機(jī)軟件技術(shù)領(lǐng)域�,尤其涉及一種采用模塊安全性分析獲取軟件安 全性需求的方法。
【背景技術(shù)】
[0002] 軟件需求從用戶的角度描述了系統(tǒng)所需的行為���、特性或?qū)傩?����,是用戶和開發(fā)人員 之間的橋梁�����。準(zhǔn)確�、完整的需求是指導(dǎo)系統(tǒng)后續(xù)分析、建模��、開發(fā)和測(cè)試的根本依據(jù)��。特別 是在航空領(lǐng)域�,機(jī)載軟件安全性需求捕獲的不完整可能會(huì)導(dǎo)致重大財(cái)產(chǎn)損失,破壞環(huán)境�,甚 至危及人身生命安全。因此對(duì)機(jī)載軟件安全性需求獲取的研宄是十分必要和迫切的�。
[0003] 目前已有的研宄及標(biāo)準(zhǔn)中定義的安全性需求識(shí)別過程都有一定的相似性,可概括 為如圖1所示的一個(gè)迭代過程:1)識(shí)別危害和失效模式���;2)識(shí)別軟件對(duì)危害的貢獻(xiàn);3)定 義軟件安全性需求來處理危害�����。4)對(duì)新識(shí)別到的需求做危害分析,識(shí)別危害和失效模式��,回 到步驟1)����。
[0004] 在眾多標(biāo)準(zhǔn)中,ARP-4761是航空工業(yè)界廣泛使用的一套安全評(píng)估標(biāo)準(zhǔn)�,提供了一 套較為完整的系統(tǒng)安全性評(píng)估過程。工程實(shí)踐應(yīng)用過程中��,存在以下問題:
[0005] (1)缺乏準(zhǔn)確���、嚴(yán)謹(jǐn)?shù)男枨蟊磉_(dá)方式����。危害分析的一個(gè)主要輸入是系統(tǒng)開發(fā)初期的 功能需求��,功能需求描述的準(zhǔn)確性��、完整性對(duì)危害分析的有效性有很大影響���。
[0006] (2)缺乏建立和維護(hù)軟件安全性需求與系統(tǒng)功能性需求之間的追蹤關(guān)系�����。標(biāo)準(zhǔn)提 出了一套在系統(tǒng)開發(fā)各個(gè)階段進(jìn)行安全性評(píng)估分析的活動(dòng)��,目標(biāo)并不在于建立這兩類需求 之間的追蹤關(guān)系��??墒擒浖踩孕枨髞碜杂谙到y(tǒng)危害分析,從軟件開發(fā)過程中來說軟件 安全需求與系統(tǒng)需求的追蹤關(guān)系至關(guān)重要�����。
[0007] (3)復(fù)雜系統(tǒng)開發(fā)過程中���,由于契約等限制造成的信息不公開���。復(fù)雜系統(tǒng)開發(fā)過程 中,涉及多方機(jī)構(gòu)�。由于契約關(guān)系,相互之間信息接口沒有規(guī)范的表達(dá)��,從而使得安全性需 求分析過程中�,輸入不完善,導(dǎo)致需求捕獲不完整����。
[0008] (4)缺乏對(duì)軟件安全性需求合理的總結(jié)和分類整理����。軟件安全性需求的獲取通 常可從通用軟件安全性需求的剪裁和特定軟件安全性需求的獲取兩方面進(jìn)行��。通用軟件 安全性需求的剪裁是基于相關(guān)軟件安全性標(biāo)準(zhǔn)��,獲取通用安全性需求清單���,然后參照清 單針對(duì)系統(tǒng)進(jìn)行適用性剪裁��。而現(xiàn)有的方法多是采用checklist來積累和表示故障清 單���,對(duì)于需求的總結(jié)則有所欠缺,特別是缺少對(duì)安全性需求的分類研宄�。吳雪提出的基于 RUCM(restrictedusecasemodeling)的軟件安全性需求描述方法i中,將軟件安全性需求 從故障角度分為三類��。然而該分類忽略考慮安全完整性需求和設(shè)計(jì)約束���。
【發(fā)明內(nèi)容】
[0009] 鑒于上述的分析�����,本發(fā)明旨在提供一種采用模塊安全性分析獲取軟件安全性需求 的方法�,用以解決現(xiàn)有標(biāo)準(zhǔn)存在的問題。
[0010] 本發(fā)明的目的主要是通過以下技術(shù)方案實(shí)現(xiàn)的:
[0011] 本發(fā)明提供了一種采用模塊安全性分析獲取軟件安全性需求的方法���,包括:
[0012] 針對(duì)每個(gè)子系統(tǒng)�����,根據(jù)子系統(tǒng)中需要進(jìn)行安全性分析的需求開發(fā)模塊��,在計(jì)算機(jī) 終端中建立對(duì)應(yīng)的安全性分析模塊��;
[0013] 安全性分析模塊根據(jù)從數(shù)據(jù)庫輸入的功能性信息以及設(shè)計(jì)決策信息�,對(duì)該子系統(tǒng) 的系統(tǒng)軟件或者特定軟件進(jìn)行安全性分析��,即通過系統(tǒng)安全性需求映射�、系統(tǒng)失效分析、軟 件失效分析來獲取軟件的安全性需求分析結(jié)果��,生成危害分析模型���;所述安全性需求分析 結(jié)果包括:安全性功能需求以及相應(yīng)的設(shè)計(jì)決策����,
[0014] 將軟件安全性功能需求以及相應(yīng)的設(shè)計(jì)決策輸出給需求開發(fā)模塊和設(shè)計(jì)開發(fā)模 塊,形成新的需求開發(fā)模塊和設(shè)計(jì)開發(fā)模塊���,然后執(zhí)行重復(fù)上一步驟,不斷完善所述危害分 析模型�����,直到分析結(jié)束�����。
[0015] 進(jìn)一步地���,如果將某需求開發(fā)模塊定義為復(fù)雜系統(tǒng)中的某子系統(tǒng)���,相應(yīng)的設(shè)計(jì)開 發(fā)模塊、安全性分析模塊即針對(duì)該子系統(tǒng)分析����;該子系統(tǒng)在需求開發(fā)和設(shè)計(jì)開發(fā)時(shí),僅對(duì)其 他子系統(tǒng)公開部分信息,并同時(shí)依賴于其他子系統(tǒng)的公開信息���;相應(yīng)的�,針對(duì)該子系統(tǒng)的安 全性分析模塊也僅向其他子系統(tǒng)的安全性分析模塊公開部分信息��,并同時(shí)依賴于其他子系 統(tǒng)的安全性分析模塊的公開信息�。
[0016] 進(jìn)一步地,實(shí)現(xiàn)子系統(tǒng)安全性需求映射的過程包括:
[0017] 子系統(tǒng)安全性需求映射通過需求追蹤特性和建立需求設(shè)計(jì)映射表實(shí)現(xiàn):
[0018] 需求追蹤特性即在每個(gè)需求描述模塊��,增添"追蹤性"屬性���,追蹤該需求是從哪個(gè) 需求分解而來����,或者是由什么原因派生出來����;
[0019] 建立需求設(shè)計(jì)映射表,至少包括:"安全性需求"和"設(shè)計(jì)決策"兩個(gè)表項(xiàng)��。
[0020] 進(jìn)一步地��,當(dāng)需求開發(fā)模塊的層次為系統(tǒng)層時(shí)�����,系統(tǒng)失效分析采取自上而下的過 程,即
[0021] 從數(shù)據(jù)庫中調(diào)入需求開發(fā)模塊的功能描述��;
[0022] 針對(duì)該需求開發(fā)模塊���,調(diào)入其運(yùn)行上下文�����,至少包括功能運(yùn)行階段、環(huán)境配置和狀 況�����、交互功能��;
[0023] 根據(jù)調(diào)入的上下文���,分析其可能發(fā)生的失效����;
[0024] 對(duì)每個(gè)失效��,分析其造成的影響,并對(duì)失效影響按等級(jí)分類��;
[0025] 采用FTA方法���,識(shí)別失效原因���;
[0026] 分析獲得安全性需求來消除失效,或降低失效影響��,將該安全性需求加入到需求/ 設(shè)計(jì)映射表中"安全性需求" 一欄����;
[0027] 基于上述安全性需求,分析出設(shè)計(jì)決策�����,將設(shè)計(jì)決策加入到需求/設(shè)計(jì)映射表中 "設(shè)計(jì)決策" 一欄���;
[0028] 輸出安全性分析結(jié)果���。
[0029] 進(jìn)一步地,當(dāng)所述軟件功能模塊的層次為系統(tǒng)層時(shí)����,軟件失效分析采取自下而上 的過程�,即
[0030] 確定待分析的需求開發(fā)模塊以及該需求開發(fā)模塊的所有部件��;
[0031] 從數(shù)據(jù)庫調(diào)入所有部件的運(yùn)行上下文��,至少包括功能模塊�、功能運(yùn)行階段、環(huán)境配 置和狀況����、交互功能;
[0032] 針對(duì)所有部件���,分析其可能發(fā)生的故障,并針對(duì)每個(gè)故障�,分析其可能產(chǎn)生的故障 影響;
[0033] 提出安全性需求來消除或減弱故障影響��,將該安全性需求加入到需求/設(shè)計(jì)映射 表中"安全性需求" 一欄���;
[0034] 基于上述安全性需求�,分析出設(shè)計(jì)決策����,將設(shè)計(jì)決策加入到需求/設(shè)計(jì)映射表中 "設(shè)計(jì)決策" 一欄����;
[0035] 輸出安全性分析結(jié)果�����。
[0036] 進(jìn)一步地����,設(shè)置所述安全性分析模塊與其他模塊的信息接口,所述信息接口至少 包括以下一種:
[0037] 模塊上下文接口是����,輸出或引入對(duì)需求開發(fā)模塊和設(shè)計(jì)開發(fā)模塊的引用的說明, 對(duì)安全性分析模塊的邊界和限制的說明以及一些假設(shè)�;
[0038] 失效接口,輸出或引用該子系統(tǒng)或該子系統(tǒng)某部分功能缺失或者功能故障�����;
[0039] 安全性需求接口��,輸出安全性需求分析結(jié)果或者引用其他安全分析模塊的安全性 需求分析結(jié)果����。
[0040] 進(jìn)一步地���,所述模塊上下文接口包括:
[0041] 分析模塊上下文:每個(gè)安全性分析模塊針對(duì)某個(gè)需求開發(fā)模塊和設(shè)計(jì)開發(fā)模塊, 需要對(duì)輸入進(jìn)行聲明���,并指明安全性分析模塊的邊界和限制�����,安全性分析模塊的運(yùn)行周期 以及運(yùn)行階段���,當(dāng)前的分析層級(jí);
[0042] 其他模塊上下文引用:對(duì)當(dāng)前關(guān)注的需求開發(fā)模塊和設(shè)計(jì)開發(fā)模塊進(jìn)行安全性分 析時(shí)�����,其上下文配置要求與另一個(gè)安全性分析模塊的某上下文配置相同��,引用其他安全性 分析模塊上下文的方式填寫本安全性分析模塊上下文��。
[0043] 其中�����,所述失效接口包括:
[0044] 已處理失效:安全性分析模塊識(shí)別到的失效��,依據(jù)具體