基于系统资产的软件安全需求分析方法.pdf

摘要
申请专利号：	CN201210186363.X	申请日：	2012.06.07
公开号：	CN102799834A	公开日：	2012.11.28
当前法律状态：	撤回	有效性：	无权
法律详情：	发明专利申请公布后的视为撤回IPC(主分类):G06F 21/22申请公布日:20121128\|\|\|实质审查的生效IPC(主分类):G06F 21/22申请日:20120607\|\|\|公开
IPC分类号：	G06F21/22	主分类号：	G06F21/22
申请人：	天津大学
发明人：	李晓红; 朱明悦; 徐超; 王鑫; 胡昌; 柳懿真
地址：	300072 天津市南开区卫津路92号
优先权：
专利代理机构：	天津市北洋有限责任专利代理事务所 12201	代理人：	李素兰
PDF下载：	PDF下载

内容摘要

本发明公开了一种基于系统资产的软件安全需求分析方法，包括：过程一：确立系统资产类别与安全功能组件的对应关系，以及在资产与安全功能组件之间有可能出现的威胁的对应关系，构建安全知识库；进行系统资产、威胁、攻击模式的分类以及建立对应关系，使得能够从系统资产确定所对应的安全组件；过程二：针对具体的系统开发且根据需求人员确定的系统资产，在安全知识库中获得相应的安全功能组件，再由安全需求分析人员考虑具体技术和安全策略进行精化选择，将最终选定的安全功能组件描述成安全概要规范；与现有技术相比，本发明能够使安全知识不足的需求分析人员快速进行安全需求分析，有效地降低分析安全功能需求的难度，降低安全需求开发成本。

权利要求书

1.一种基于系统资产的软件安全需求分析方法，其特征在于，该方法包括以下步
骤：
过程一：确立系统资产类别与安全功能组件的对应关系，以及在资产与安全功
能组件之间有可能出现的威胁的对应关系，构建安全知识库；
在此过程种进一步包括的操作有：进行系统资产、威胁、攻击模式的分类，以
及建立系统资产到威胁，威胁到攻击模式，攻击模式到安全组件的对应关系，使得
能够从系统资产确定所对应的安全组件；
过程二：针对具体的系统开发且根据需求人员确定的系统资产，在安全知识库
中获得相应的安全功能组件，再由安全需求分析人员考虑具体技术和安全策略进行
精化选择，将最终选定的安全功能组件描述成安全概要规范；该过程具体包括以下
步骤：
确定资产，通过对系统的功能需求进行分析，从系统的参与者、所涉及到的功
能、数据信息、用到的软硬件资源等方面全面展开分析；
评定资产等级，对系统功能特别重要或者价值极高，需要特别保护的资产评予
高等级；比较重要或对系统大部分功能有影响的资产则评予中等级；不重要或对系
统功能影响比较小的资产则给予低等级。
威胁匹配，将确定的资产在资产库中进行查找匹配，首先判断资产属于那个类，
然后在此类中查询资产对应的子类，最后在子类中查询有无对应的具体资产或者类
似的资产；如果在安全知识库中找到对应的具体资产，则可根据具体资产与威胁的
映射关系自动获取相关的威胁信息和攻击模式信息；若资产库中无对应资产，该资
产所属资产类对应的威胁信息即为该资产对应的威胁信息；
攻击模式匹配，对于每一类别威胁，有一个或多个威胁子类与之对应，而每一
威胁子类又有一个或多个攻击模式与之对应；结合攻击的来源及攻击模式进行威胁
筛选，确定尚待缓和的攻击模式；
安全功能组件选取，每一攻击模式对应一个或多个安全功能组件，结合资产的
等级和攻击模式的危害程度，选择合适的安全功能组件进行攻击模式缓和；
将安全功能组件描述成安全概要分析，对前面步骤所选定的安全功能组件进行
具体化描述，结合具体系统中的安全策略和预计采用的策略，将安全功能组件描述
使用自然语言描述成安全概要规范。
2.如权利要求1所述的基于系统资产的软件安全需求分析方法，其特征在于，
所述进行系统资产、威胁、攻击模式的分类的步骤，具体包括以下操作：
进行资产分析，导出的分析结果作为本发明的软件资产；对资产进行等级评定
获得最终资产集合；按照资产与威胁的对应关系进行威胁匹配，得到选取的威胁集
合；根据威胁与攻击模式的对应关系进行攻击模式匹配，得到选取的攻击模式集合；
根据攻击模式与安全功能组件的对应关系进行组件选取，得到选取的安全功能组件
集合，判断是否还需要进行资产分析，如果是，则重复上述流程，如果否，则制定
安全规范概要。

说明书

基于系统资产的软件安全需求分析方法

技术领域

本发明涉及软件安全工程技术领域；特别是涉及软件安全需求分析方法。

背景技术

随着互联网和计算机应用的不断发展，软件已经渗透到现代社会的各个领域，在信
息化社会中发挥着至关重要的作用。然而，软件的质量问题所造成的威胁也越来越严重，
人们在享受软件提供的网上转账、网上购物、和网上办公等便捷的服务时，也同时面临
着账户泄露、重要文件泄露、财产损失等严重的安全问题。所以，软件安全问题已成为
各行业用户关注的焦点，有效的设计和开发可信软件是当今软件开发者的重要目标。

根据软件行业多年的最佳实践经验表明：在软件开发过程中，越早发现问题，则修
复问题所花费的代价越小。安全需求工程在软件需求阶段充分地考虑到所面临的安全问
题，能够极大的提高软件产品的安全性和降低软件产品的开发维护成本。

CC（Common Criteria）是一个国际化的安全评估准则，它综合了之前已有的信息
安全的准则和标准，形成了一个更全面的标准框架。CC标准用于评估信息系统、信息
产品的安全性，也对软件安全需求工程中起到了重大的指导作用。由于CC标准的丰富
的安全知识经验内容和其权威性，使用CC标准中的安全功能组件来确定和描述软件安
全功能需求，是解决安全功能需求问题的一种趋势。

然而目前利用CC进行安全需求分析存在以下问题：1）整个过程需要安全专家的
参与，并且依赖于安全专家的主观经验，尤其是在安全功能选取过程中，组件选取的好
坏直接影响了软件安全需求的准确性，这样就使得其使用门槛比较高，大部分的民用系
统将无法使用；2）需要用户进行的参与过于频繁，分析过程耗费大量时间和精力，效
率十分低下。因此一个重要的工作是对基于CC的安全需求分析的过程进行改进，使其
尽可能的自动化，以方便在开发过程中应用和降低用户的使用门槛。

发明内容

基于上述现有技术存在的问题，本发明提出了一种基于系统资产的软件安全需求分
析方法，在确定系统资产后，就能通过建成的系统资产库半自动地获得具有系统性、权
威性的分析结果（包括资产所对应的威胁、攻击模式和用于缓和威胁的CC标准安全功
能组件），最终根据结果完成安全概要规范；主要用于在需求分析阶段利用用户提出的
系统资产和CC标准对软件进行安全需求分析，以减少软件开发初期的安全漏洞。

本发明提供一种基于系统资产的软件安全需求分析方法，该方法包括以下步骤：
过程一：确立系统资产类别与安全功能组件的对应关系，以及在资产与安全功能组
件之间有可能出现的威胁的对应关系，构建安全知识库；

在此过程种进一步包括的操作有：进行系统资产、威胁、攻击模式的分类，以
及建立系统资产到威胁，威胁到攻击模式，攻击模式到安全组件的对应关系，使得
能够从系统资产确定所对应的安全组件；

过程二：针对具体的系统开发且根据需求人员确定的系统资产，在安全知识库
中获得相应的安全功能组件，再由安全需求分析人员考虑具体技术和安全策略进行
精化选择，将最终选定的安全功能组件描述成安全概要规范；该过程具体包括以下
步骤：

确定资产，通过对系统的功能需求进行分析，从系统的参与者、所涉及到的功
能、数据信息、用到的软硬件资源等方面全面展开分析；

评定资产等级，对系统功能特别重要或者价值极高，需要特别保护的资产评予
高等级；比较重要或对系统大部分功能有影响的资产则评予中等级；不重要或对系
统功能影响比较小的资产则给予低等级。

威胁匹配，将确定的资产在资产库中进行查找匹配，首先判断资产属于那个类，
然后在此类中查询资产对应的子类，最后在子类中查询有无对应的具体资产或者类
似的资产；如果在安全知识库中找到对应的具体资产，则可根据具体资产与威胁的
映射关系自动获取相关的威胁信息和攻击模式信息；若资产库中无对应资产，该资
产所属资产类对应的威胁信息即为该资产对应的威胁信息；

攻击模式匹配，对于每一类别威胁，有一个或多个威胁子类与之对应，而每一
威胁子类又有一个或多个攻击模式与之对应；结合攻击的来源及攻击模式进行威胁
筛选，确定尚待缓和的攻击模式；

安全功能组件选取，每一攻击模式对应一个或多个安全功能组件，结合资产的
等级和攻击模式的危害程度，选择合适的安全功能组件进行攻击模式缓和；

将安全功能组件描述成安全概要分析，对前面步骤所选定的安全功能组件进行
具体化描述，结合具体系统中的安全策略和预计采用的策略，将安全功能组件描述
使用自然语言描述成安全概要规范。

所述进行系统资产、威胁、攻击模式的分类的步骤，具体包括以下操作：

进行资产分析，导出的分析结果作为本发明的软件资产；对资产进行等级评定
获得最终资产集合；按照资产与威胁的对应关系进行威胁匹配，得到选取的威胁集
合；根据威胁与攻击模式的对应关系进行攻击模式匹配，得到选取的攻击模式集合；
根据攻击模式与安全功能组件的对应关系进行组件选取，得到选取的安全功能组件
集合，判断是否还需要进行资产分析，如果是，则重复上述流程，如果否，则制定
安全规范概要。

与现有技术相比，本发明能够使安全知识不足的需求分析人员快速进行安全需求
分析，有效地降低分析安全功能需求的难度，降低安全需求开发成本，提高软件开发效
率，进而提高了软件的安全性。

附图说明

图1为本发明的基于系统资产的软件安全需求分析方法的实现过程示意图；

图2为本发明的基于系统资产的软件安全需求分析方法中进行系统资产、威胁、
攻击模式的分类的实现流程图；

图3为本发明的基于系统资产的软件安全需求分析方法中资产具体分类数据结
构。

具体实施方式

以下结合附图及较佳实施例，对依据本发明提供的具体实施方式、结构、特征
及其功效，详细说明如下。

本发明的系统原理，如图1所示，包括两个过程，过程一：首先是系统资产类
别与安全功能组件的对应关系的确立，以及在资产与安全功能组件之间有可能出现
的威胁的对应关系的确立，这一过程也是知识库的构建过程，完成以后可以作为经
验知识在具体的每次具体开发中应用；

该过程包括以下步骤：

1-1、系统资产、威胁、攻击模式的分类

系统资产是系统中需要保护的对象或是与系统功能密切相关的实体。威胁是可
能会导致人们不希望结果（例如，信息泄露或拒绝服务）的潜在事件。攻击模式可
以认为是对威胁的进一步细化，描述能够造成威胁的具体攻击的方式方法。本过程
需要将系统资产、威胁、攻击模式进行详细的分类。

1-2、系统资产、威胁、攻击模式、安全组件之间的对应

通过对CC标准体系下已经存在的评估文档（包括保护轮廓文档和安全目标文
档）的总结和对安全组件适用条件的理解，为前一步骤中所总结出的系统资产、威
胁、攻击模式、安全组件确定对应关系。分别是系统资产到威胁，威胁到攻击模式，
攻击模式到安全组件的对应关系。使得能够从系统资产确定所对应的安全组件。这
一过程只需要实施一次，当系统资产知识库关系完善以后，可以作为经验知识来使
用，而不必再重新执行。

过程二：是在针对某一个具体的系统开发中，根据需求人员确定的系统资产，
在安全知识库中获得相应的安全功能组件，再由安全需求分析人员考虑具体技术和
安全策略进行精化选择，将最终选定的安全功能组件描述成安全概要规范。

包括以下步骤：

2-1、确定资产

资产一般可以从需求说明文档或者用例图中获取，或者通过与用户进行沟通的
方式进行资产确定。通过对系统的功能需求进行分析，从系统的参与者、所涉及到
的功能、数据信息、用到的软硬件资源等方面全面展开分析。分析的资产可能是抽
象的，也可能是具体的，具体与应用功能需求相关。

2-2、评定资产等级

对步骤2-1中确定的资产进行等级评定。评定等级分为高、中、低三等。对于那
些对系统功能特别重要，或者价值极高，需要特别保护的资产评予高等级；对于那
些比较重要，或对系统大部分功能有影响的资产则评予中等级；对于那些不重要，
或对系统功能影响比较小的资产则给予低等级。资产的评级是为了在后续对资产进
行安全保护时，可以优先保护那些高等级的资产，而对于那些低等级的资产可以不
用保护，或者采取比简易的保护方式。

2-3、威胁匹配

将步骤2-3中确定的资产在资产库中进行查找匹配，资产的匹配模式按照逐层递
进进行。即首先判断资产属于那个类，然后在此类中查询资产对应的子类，最后在
子类中查询有无对应的具体资产或者类似的资产。如果在知识库中找到对应的具体
资产，则可根据具体资产与威胁的映射关系自动获取相关的威胁信息和攻击模式信
息。若资产库中无对应资产，该资产所属资产类对应的威胁信息即为该资产对应的
威胁信息。

2-4、攻击模式匹配

对于每一类别威胁，有一个或多个威胁子类与之对应，而每一威胁子类又有一
个或多个攻击模式与之对应。结合攻击的来源及攻击模式进行威胁筛选，确定尚待
缓和的攻击模式。

2-5、安全功能组件选取

每一攻击模式对应一个或多个安全功能组件，结合资产的等级和攻击模式的危
害程度，选择合适的安全功能组件进行攻击模式缓和。

2-6、将安全功能组件描述成安全概要分析

对前面步骤所选定的安全功能组件进行具体化描述，使之成为标准的安全概要
规范。安全功能组件本身是以模板的形式给出的，是不涉及具体的技术和安全策略
的，但是安全需求的概要规范是具体的，要求使得设计开发人员能够理解，所以需
要考虑具体实现方式和安全策略。所以安全需求分析人员需要根据选定的组件，结
合具体系统中的安全策略和预计采用的策略，将安全功能组件描述使用自然语言描
述成安全概要规范。

如图2所示，为本发明的系统资产、威胁、攻击模式的分类操作流程图，包括
以下具体步骤：

以下为本发明的最佳实施方式，基于可信计算领域，提出了一种安全需求分析
方法：首先介绍技术方案中的第一个过程：

1.系统资产、威胁、攻击模式的分类

1）系统资产分类

系统资产划分为角色、数据和资源三大类。资源即系统中的有形资产，是系统
中需要依赖的外部资源，进一步的可划分为软件资源和硬件资源。软件资源指系统
中所依赖的外部软件系统，包括网络通信协议或者API等。硬件资源包括服务器、
CPU、硬盘等。数据又可以认为是无形资产，是系统中的重要数据信息，包括用户数
据和系统数据等。角色是指系统的使用者或者更广义的是系统的参与者。角色又可
以细分为特权用户和普通用户。普通用户是系统的合法参与者，享有一般的系统功
能。而特权用户是在普通用户至上的享有更多权限的用户，比如系统的管理员，因
为享有更大的权限，对系统可能造成更大的威胁。资产具体分类如图3所示。其中
的对应关系为：系统资产对应角色、数据、资源，其中：角色包括特权用户和普通
用户；数据包括系统数据和用户数据，系统数据包括日志；资源包括软件和硬件，
软件包括服务、协议、系统和API；硬件包括存储设备、CPU和服务器。

2）威胁分类

本例提出威胁分为如下五大类：

假冒：假冒其他实体进行相关操作。

否认：存在进行通信的交互对象，在对象交互过程中否认自己的身份或行为。

数据篡改：数据信息在存储、传输过程中被未授权篡改。

信息泄露：存在数据信息在存储、传输过程中被未授权的查看。

拒绝服务：存在系统资源，包括软件、硬件的处理能力、存储容量等，可能导
致系统资源耗尽，系统失效。
对于每一类威胁又可以继续划分子类：

假冒类可以继续分为：

获取合法凭证：即通过某种手段获取合法用户的凭证，从而进行假冒。

伪造凭证：通过技术手段伪造凭证，从而让系统认为是合法用户。

否认类可以继续划分为：

行为发起者的否认：即用户否认自己执行过的行为。

行为接受者的否认：即用户收到过某个信息，但用户进行否认。

数据篡改类可以划分为：

传输数据的篡改。

存储数据的篡改。

信息泄露类可以划分为：

传输数据的信息泄露。

存储数据的信息泄露。

拒绝服务类的可以划分为：

资源消耗：即通过消耗资源导致服务不可用。

漏洞利用：利用资源本身的缺陷导致资源不可用。

3）攻击模式分类

攻击模式可以认为是对威胁的进一步细化，描述能够造成威胁的具体攻击的方式方
法。攻击模式采用CAPEC(Common Attack Pattern Enumeration and Classification)
提供的攻击模式公共分类库。

2.系统资产、威胁、攻击模式、安全组件的对应关系

确定资产、威胁的分类体系之后，建立二者之间的层次映射关系。资产与威胁之间
是多对多的关系，这里主要是建立资产与威胁的层次对应关系。首先资产类与威胁类之
间的对应关系如表8-5所示，对于角色资产类，其对应的威胁为假冒和否认；对于数据
资产类，其威胁一般来源于数据篡改和信息泄漏；对于资源类资产，其对应于拒绝服务
威胁；对于服务类资产，由于服务本身的多样性，其对应的威胁包含假冒、否认、数据
篡改、信息泄漏和拒绝服务。进一步的可建立资产子类与威胁子树某一节点的对应关系，
更进一步的对于特殊资产（服务类资产居多），可建立其与具体威胁和攻击模式之间的
对应关系。

表8-5 资产威胁对应关系

威胁对应的候选安全功能组件的选取一方面通过现有的CC评估文档中典型威胁与
特定安全功能组件集得对应，另一方面通过人工分析从CC文档安全功能组件中获取相
应组件进行缓和。

下面基于一个Windows的CA访问控制系统（CA Access Control for Windows r8
with patch NT-0604CUMULATIVE RELEASE）来展示基于系统资产的安全功能组件选取
方法。访问控制是网络安全防范和保护的核心策略，它的主要任务是保证系统资源不被
非法使用和访问。CA访问控制系统维护用户及系统资源的访问，提供授权、管理和回
收权限等功能。它包含访问控制数据库、访问控制请求管理、访问控制服务和用户接口
四大模块。访问控制数据库中包含用户和组用户信息、系统资源信息、访问规则等；访
问控制请求管理模块接收访问请求转交给访问控制服务模块处理，并根据处理结果进行
相关操作；访问控制服务模块即系统的核心服务功能，比如授权验证、监测程序，底层
通信服务等；用户接口即与用户交互的图形界面和命令行界面。

1.确定系统资产

基于以上对CA访问控制系统的分析，确定其中资产及相关等级信息如表8-1所示。
其中用户是指系统的访问者，属于角色类。系统资源是指用户需要访问的系统资源信息，
包括数据文件、特权程序或者系统进程等，在此统一将这些系统资源定义到资源类别中；
访问控制列表描述特定用户角色对特定资产的访问规则，属于数据类资产。

表8-1 资产信息列表

2.威胁匹配和威胁分析

将以上资产输入到安全知识库中进行匹配，结合资产类与威胁类的对应关系，以及
威胁类中相关的威胁子类，可以得到资产可能存在的所有威胁。基于得到的威胁，结合
系统应用考虑哪些威胁可能发生，哪些威胁不可能发生（或者在系统环境下不需要考
虑），从而得到资产相关的威胁列表。例如在本应用中，对于资产访问控制列表只是存
储于数据库中，不会存在传输过程，因此传输数据信息泄露威胁和传输数据篡改威胁不
予考虑。最终资产相关的威胁列表如下表8-2中所示：

表8-2 资产威胁信息列表

3.安全功能组件选取：

同样基于以上威胁和攻击模式，可从知识库中自动获取相关的候选安全功能组件如
表8-3所示：

表8-3 威胁安全功能组件列表

基于以上候选安全功能组件，再结合相关资产的等级，选择合适的安全功能组件进
行威胁缓和，最终选取的安全功能组件如表8-4所示：

表8-4 安全功能组件列表

  编号
  组件名
  组件描述
  1
  FAU_GEN.1
  安全审计数据产生
  2
  FAU_GEN.2
  用户身份关联
  3
  FAU_SAR.1
  安全审计数据查阅
  4
  FAU_SAR.2
  限制审计查阅
  5
  FAU_SAR.3
  可选审计查阅
  6
  FAU_SEL.1
  安全审计数据选择
  7
  FAU_STG.1
  安全审计数据存储
  8
  FDP_ACC.1
  访问控制策略
  9
  FDP_ACF.1
  访问控制功能
  10
  FIA_ATD.1
  用户属性定义
  11
  FMT_MOF.1
  TSF中功能的管理
  12
  FMT_MSA.1
  安全属性的管理
  13
  FMT_MSA.3
  静态属性初始化
  14
  FMT_MTD.1
  TSF数据的管理
  15
  FMT_SMF.1
  管理功能规范

  16
  FMT_SMR.1
  安全角色
  17
  FIA_AFL.1
  鉴别失败
  18
  FIA_SOS.1
  秘密的规范
  19
  FTA_TSE.1
  TOE会话建立
  20
  FMT_MSA.3
  静态属性初始化

4.将安全功能组件描述成安全概要分析

最后将得到的安全功能组件进行细化，即可得到安全功能需求的详细描述，在本文
中不予详述。

资源描述

《基于系统资产的软件安全需求分析方法.pdf》由会员分享，可在线阅读，更多相关《基于系统资产的软件安全需求分析方法.pdf（14页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102799834 A(43)申请公布日 2012.11.28CN102799834A*CN102799834A*(21)申请号 201210186363.X(22)申请日 2012.06.07G06F 21/22(2006.01)(71)申请人天津大学地址 300072 天津市南开区卫津路92号(72)发明人李晓红朱明悦徐超王鑫胡昌柳懿真(74)专利代理机构天津市北洋有限责任专利代理事务所 12201代理人李素兰(54) 发明名称基于系统资产的软件安全需求分析方法(57) 摘要本发明公开了一种基于系统资产的软件安全需求分析方法，包括：过程一：确立系统资产类别。

2、与安全功能组件的对应关系，以及在资产与安全功能组件之间有可能出现的威胁的对应关系，构建安全知识库；进行系统资产、威胁、攻击模式的分类以及建立对应关系，使得能够从系统资产确定所对应的安全组件；过程二：针对具体的系统开发且根据需求人员确定的系统资产，在安全知识库中获得相应的安全功能组件，再由安全需求分析人员考虑具体技术和安全策略进行精化选择，将最终选定的安全功能组件描述成安全概要规范；与现有技术相比，本发明能够使安全知识不足的需求分析人员快速进行安全需求分析，有效地降低分析安全功能需求的难度，降低安全需求开发成本。(51)Int.Cl.权利要求书1页说明书9页附图3页(19)中华人民共和国国家。

3、知识产权局(12)发明专利申请权利要求书 1 页说明书 9 页附图 3 页1/1页21.一种基于系统资产的软件安全需求分析方法，其特征在于，该方法包括以下步骤：过程一：确立系统资产类别与安全功能组件的对应关系，以及在资产与安全功能组件之间有可能出现的威胁的对应关系，构建安全知识库；在此过程种进一步包括的操作有：进行系统资产、威胁、攻击模式的分类，以及建立系统资产到威胁，威胁到攻击模式，攻击模式到安全组件的对应关系，使得能够从系统资产确定所对应的安全组件；过程二：针对具体的系统开发且根据需求人员确定的系统资产，在安全知识库中获得相应的安全功能组件，再由安全需求分析人员考虑具体技术和安全策略进。

4、行精化选择，将最终选定的安全功能组件描述成安全概要规范；该过程具体包括以下步骤：确定资产，通过对系统的功能需求进行分析，从系统的参与者、所涉及到的功能、数据信息、用到的软硬件资源等方面全面展开分析；评定资产等级，对系统功能特别重要或者价值极高，需要特别保护的资产评予高等级；比较重要或对系统大部分功能有影响的资产则评予中等级；不重要或对系统功能影响比较小的资产则给予低等级。威胁匹配，将确定的资产在资产库中进行查找匹配，首先判断资产属于那个类，然后在此类中查询资产对应的子类，最后在子类中查询有无对应的具体资产或者类似的资产；如果在安全知识库中找到对应的具体资产，则可根据具体资产与威胁的映射关系自动。

5、获取相关的威胁信息和攻击模式信息；若资产库中无对应资产，该资产所属资产类对应的威胁信息即为该资产对应的威胁信息；攻击模式匹配，对于每一类别威胁，有一个或多个威胁子类与之对应，而每一威胁子类又有一个或多个攻击模式与之对应；结合攻击的来源及攻击模式进行威胁筛选，确定尚待缓和的攻击模式；安全功能组件选取，每一攻击模式对应一个或多个安全功能组件，结合资产的等级和攻击模式的危害程度，选择合适的安全功能组件进行攻击模式缓和；将安全功能组件描述成安全概要分析，对前面步骤所选定的安全功能组件进行具体化描述，结合具体系统中的安全策略和预计采用的策略，将安全功能组件描述使用自然语言描述成安全概要规范。2.如权利要。

6、求1所述的基于系统资产的软件安全需求分析方法，其特征在于，所述进行系统资产、威胁、攻击模式的分类的步骤，具体包括以下操作：进行资产分析，导出的分析结果作为本发明的软件资产；对资产进行等级评定获得最终资产集合；按照资产与威胁的对应关系进行威胁匹配，得到选取的威胁集合；根据威胁与攻击模式的对应关系进行攻击模式匹配，得到选取的攻击模式集合；根据攻击模式与安全功能组件的对应关系进行组件选取，得到选取的安全功能组件集合，判断是否还需要进行资产分析，如果是，则重复上述流程，如果否，则制定安全规范概要。权利要求书CN 102799834 A1/9页3基于系统资产的软件安全需求分析方法技术领域0001。

7、本发明涉及软件安全工程技术领域；特别是涉及软件安全需求分析方法。背景技术0002 随着互联网和计算机应用的不断发展，软件已经渗透到现代社会的各个领域，在信息化社会中发挥着至关重要的作用。然而，软件的质量问题所造成的威胁也越来越严重，人们在享受软件提供的网上转账、网上购物、和网上办公等便捷的服务时，也同时面临着账户泄露、重要文件泄露、财产损失等严重的安全问题。所以，软件安全问题已成为各行业用户关注的焦点，有效的设计和开发可信软件是当今软件开发者的重要目标。0003 根据软件行业多年的最佳实践经验表明：在软件开发过程中，越早发现问题，则修复问题所花费的代价越小。安全需求工程在软件需求阶段充分地考。

8、虑到所面临的安全问题，能够极大的提高软件产品的安全性和降低软件产品的开发维护成本。0004 CC（Common Criter ia）是一个国际化的安全评估准则，它综合了之前已有的信息安全的准则和标准，形成了一个更全面的标准框架。CC标准用于评估信息系统、信息产品的安全性，也对软件安全需求工程中起到了重大的指导作用。由于CC标准的丰富的安全知识经验内容和其权威性，使用CC标准中的安全功能组件来确定和描述软件安全功能需求，是解决安全功能需求问题的一种趋势。0005 然而目前利用CC进行安全需求分析存在以下问题：1）整个过程需要安全专家的参与，并且依赖于安全专家的主观经验，尤其是在安全功能选取过程中。

9、，组件选取的好坏直接影响了软件安全需求的准确性，这样就使得其使用门槛比较高，大部分的民用系统将无法使用；2）需要用户进行的参与过于频繁，分析过程耗费大量时间和精力，效率十分低下。因此一个重要的工作是对基于CC的安全需求分析的过程进行改进，使其尽可能的自动化，以方便在开发过程中应用和降低用户的使用门槛。发明内容0006 基于上述现有技术存在的问题，本发明提出了一种基于系统资产的软件安全需求分析方法，在确定系统资产后，就能通过建成的系统资产库半自动地获得具有系统性、权威性的分析结果（包括资产所对应的威胁、攻击模式和用于缓和威胁的CC标准安全功能组件），最终根据结果完成安全概要规范；主要用于在需求分。

10、析阶段利用用户提出的系统资产和CC标准对软件进行安全需求分析，以减少软件开发初期的安全漏洞。0007 本发明提供一种基于系统资产的软件安全需求分析方法，该方法包括以下步骤：过程一：确立系统资产类别与安全功能组件的对应关系，以及在资产与安全功能组件之间有可能出现的威胁的对应关系，构建安全知识库；0008 在此过程种进一步包括的操作有：进行系统资产、威胁、攻击模式的分类，以及建立系统资产到威胁，威胁到攻击模式，攻击模式到安全组件的对应关系，使得能够从系统资产确定所对应的安全组件；说明书CN 102799834 A2/9页40009 过程二：针对具体的系统开发且根据需求人员确定的系统资产，在安全。

11、知识库中获得相应的安全功能组件，再由安全需求分析人员考虑具体技术和安全策略进行精化选择，将最终选定的安全功能组件描述成安全概要规范；该过程具体包括以下步骤：0010 确定资产，通过对系统的功能需求进行分析，从系统的参与者、所涉及到的功能、数据信息、用到的软硬件资源等方面全面展开分析；0011 评定资产等级，对系统功能特别重要或者价值极高，需要特别保护的资产评予高等级；比较重要或对系统大部分功能有影响的资产则评予中等级；不重要或对系统功能影响比较小的资产则给予低等级。0012 威胁匹配，将确定的资产在资产库中进行查找匹配，首先判断资产属于那个类，然后在此类中查询资产对应的子类，最后在子类中查询有。

12、无对应的具体资产或者类似的资产；如果在安全知识库中找到对应的具体资产，则可根据具体资产与威胁的映射关系自动获取相关的威胁信息和攻击模式信息；若资产库中无对应资产，该资产所属资产类对应的威胁信息即为该资产对应的威胁信息；0013 攻击模式匹配，对于每一类别威胁，有一个或多个威胁子类与之对应，而每一威胁子类又有一个或多个攻击模式与之对应；结合攻击的来源及攻击模式进行威胁筛选，确定尚待缓和的攻击模式；0014 安全功能组件选取，每一攻击模式对应一个或多个安全功能组件，结合资产的等级和攻击模式的危害程度，选择合适的安全功能组件进行攻击模式缓和；0015 将安全功能组件描述成安全概要分析，对前面步骤所选。

13、定的安全功能组件进行具体化描述，结合具体系统中的安全策略和预计采用的策略，将安全功能组件描述使用自然语言描述成安全概要规范。0016 所述进行系统资产、威胁、攻击模式的分类的步骤，具体包括以下操作：0017 进行资产分析，导出的分析结果作为本发明的软件资产；对资产进行等级评定获得最终资产集合；按照资产与威胁的对应关系进行威胁匹配，得到选取的威胁集合；根据威胁与攻击模式的对应关系进行攻击模式匹配，得到选取的攻击模式集合；根据攻击模式与安全功能组件的对应关系进行组件选取，得到选取的安全功能组件集合，判断是否还需要进行资产分析，如果是，则重复上述流程，如果否，则制定安全规范概要。0018 与现有技术。

14、相比，本发明能够使安全知识不足的需求分析人员快速进行安全需求分析，有效地降低分析安全功能需求的难度，降低安全需求开发成本，提高软件开发效率，进而提高了软件的安全性。附图说明0019 图1为本发明的基于系统资产的软件安全需求分析方法的实现过程示意图；0020 图2为本发明的基于系统资产的软件安全需求分析方法中进行系统资产、威胁、攻击模式的分类的实现流程图；0021 图3为本发明的基于系统资产的软件安全需求分析方法中资产具体分类数据结构。具体实施方式说明书CN 102799834 A3/9页50022 以下结合附图及较佳实施例，对依据本发明提供的具体实施方式、结构、特征及其功效，详细说明如下。。

15、0023 本发明的系统原理，如图1所示，包括两个过程，过程一：首先是系统资产类别与安全功能组件的对应关系的确立，以及在资产与安全功能组件之间有可能出现的威胁的对应关系的确立，这一过程也是知识库的构建过程，完成以后可以作为经验知识在具体的每次具体开发中应用；0024 该过程包括以下步骤：0025 1-1、系统资产、威胁、攻击模式的分类0026 系统资产是系统中需要保护的对象或是与系统功能密切相关的实体。威胁是可能会导致人们不希望结果（例如，信息泄露或拒绝服务）的潜在事件。攻击模式可以认为是对威胁的进一步细化，描述能够造成威胁的具体攻击的方式方法。本过程需要将系统资产、威胁、攻击模式进行详细的分类。

16、。0027 1-2、系统资产、威胁、攻击模式、安全组件之间的对应0028 通过对CC标准体系下已经存在的评估文档（包括保护轮廓文档和安全目标文档）的总结和对安全组件适用条件的理解，为前一步骤中所总结出的系统资产、威胁、攻击模式、安全组件确定对应关系。分别是系统资产到威胁，威胁到攻击模式，攻击模式到安全组件的对应关系。使得能够从系统资产确定所对应的安全组件。这一过程只需要实施一次，当系统资产知识库关系完善以后，可以作为经验知识来使用，而不必再重新执行。0029 过程二：是在针对某一个具体的系统开发中，根据需求人员确定的系统资产，在安全知识库中获得相应的安全功能组件，再由安全需求分析人员考虑具体技。

17、术和安全策略进行精化选择，将最终选定的安全功能组件描述成安全概要规范。0030 包括以下步骤：0031 2-1、确定资产0032 资产一般可以从需求说明文档或者用例图中获取，或者通过与用户进行沟通的方式进行资产确定。通过对系统的功能需求进行分析，从系统的参与者、所涉及到的功能、数据信息、用到的软硬件资源等方面全面展开分析。分析的资产可能是抽象的，也可能是具体的，具体与应用功能需求相关。0033 2-2、评定资产等级0034 对步骤2-1中确定的资产进行等级评定。评定等级分为高、中、低三等。对于那些对系统功能特别重要，或者价值极高，需要特别保护的资产评予高等级；对于那些比较重要，或对系统大部分功。

18、能有影响的资产则评予中等级；对于那些不重要，或对系统功能影响比较小的资产则给予低等级。资产的评级是为了在后续对资产进行安全保护时，可以优先保护那些高等级的资产，而对于那些低等级的资产可以不用保护，或者采取比简易的保护方式。0035 2-3、威胁匹配0036 将步骤2-3中确定的资产在资产库中进行查找匹配，资产的匹配模式按照逐层递进进行。即首先判断资产属于那个类，然后在此类中查询资产对应的子类，最后在子类中查询有无对应的具体资产或者类似的资产。如果在知识库中找到对应的具体资产，则可根据具体资产与威胁的映射关系自动获取相关的威胁信息和攻击模式信息。若资产库中无对应说明书CN 102799834。

19、 A4/9页6资产，该资产所属资产类对应的威胁信息即为该资产对应的威胁信息。0037 2-4、攻击模式匹配0038 对于每一类别威胁，有一个或多个威胁子类与之对应，而每一威胁子类又有一个或多个攻击模式与之对应。结合攻击的来源及攻击模式进行威胁筛选，确定尚待缓和的攻击模式。0039 2-5、安全功能组件选取0040 每一攻击模式对应一个或多个安全功能组件，结合资产的等级和攻击模式的危害程度，选择合适的安全功能组件进行攻击模式缓和。0041 2-6、将安全功能组件描述成安全概要分析0042 对前面步骤所选定的安全功能组件进行具体化描述，使之成为标准的安全概要规范。安全功能组件本身是以模板的形式给出。

20、的，是不涉及具体的技术和安全策略的，但是安全需求的概要规范是具体的，要求使得设计开发人员能够理解，所以需要考虑具体实现方式和安全策略。所以安全需求分析人员需要根据选定的组件，结合具体系统中的安全策略和预计采用的策略，将安全功能组件描述使用自然语言描述成安全概要规范。0043 如图2所示，为本发明的系统资产、威胁、攻击模式的分类操作流程图，包括以下具体步骤：0044 进行资产分析，导出的分析结果作为本发明的软件资产；对资产进行等级评定获得最终资产集合；按照资产与威胁的对应关系进行威胁匹配，得到选取的威胁集合；根据威胁与攻击模式的对应关系进行攻击模式匹配，得到选取的攻击模式集合；根据攻击模式与安全。

21、功能组件的对应关系进行组件选取，得到选取的安全功能组件集合，判断是否还需要进行资产分析，如果是，则重复上述流程，如果否，则制定安全规范概要。0045 以下为本发明的最佳实施方式，基于可信计算领域，提出了一种安全需求分析方法：首先介绍技术方案中的第一个过程：0046 1.系统资产、威胁、攻击模式的分类0047 1）系统资产分类0048 系统资产划分为角色、数据和资源三大类。资源即系统中的有形资产，是系统中需要依赖的外部资源，进一步的可划分为软件资源和硬件资源。软件资源指系统中所依赖的外部软件系统，包括网络通信协议或者API等。硬件资源包括服务器、CPU、硬盘等。数据又可以认为是无形资产，是系统中。

22、的重要数据信息，包括用户数据和系统数据等。角色是指系统的使用者或者更广义的是系统的参与者。角色又可以细分为特权用户和普通用户。普通用户是系统的合法参与者，享有一般的系统功能。而特权用户是在普通用户至上的享有更多权限的用户，比如系统的管理员，因为享有更大的权限，对系统可能造成更大的威胁。资产具体分类如图3所示。其中的对应关系为：系统资产对应角色、数据、资源，其中：角色包括特权用户和普通用户；数据包括系统数据和用户数据，系统数据包括日志；资源包括软件和硬件，软件包括服务、协议、系统和API；硬件包括存储设备、CPU和服务器。0049 2）威胁分类0050 本例提出威胁分为如下五大类：0051 假冒。

23、：假冒其他实体进行相关操作。0052 否认：存在进行通信的交互对象，在对象交互过程中否认自己的身份或行为。说明书CN 102799834 A5/9页70053 数据篡改：数据信息在存储、传输过程中被未授权篡改。0054 信息泄露：存在数据信息在存储、传输过程中被未授权的查看。0055 拒绝服务：存在系统资源，包括软件、硬件的处理能力、存储容量等，可能导致系统资源耗尽，系统失效。对于每一类威胁又可以继续划分子类：0056 假冒类可以继续分为：0057 获取合法凭证：即通过某种手段获取合法用户的凭证，从而进行假冒。0058 伪造凭证：通过技术手段伪造凭证，从而让系统认为是合法用户。0059 否。

24、认类可以继续划分为：0060 行为发起者的否认：即用户否认自己执行过的行为。0061 行为接受者的否认：即用户收到过某个信息，但用户进行否认。0062 数据篡改类可以划分为：0063 传输数据的篡改。0064 存储数据的篡改。0065 信息泄露类可以划分为：0066 传输数据的信息泄露。0067 存储数据的信息泄露。0068 拒绝服务类的可以划分为：0069 资源消耗：即通过消耗资源导致服务不可用。0070 漏洞利用：利用资源本身的缺陷导致资源不可用。0071 3）攻击模式分类0072 攻击模式可以认为是对威胁的进一步细化，描述能够造成威胁的具体攻击的方式方法。攻击模式采用CAPEC(Comm。

25、on Attack Pattern Enumeration and Classification)提供的攻击模式公共分类库。0073 2.系统资产、威胁、攻击模式、安全组件的对应关系0074 确定资产、威胁的分类体系之后，建立二者之间的层次映射关系。资产与威胁之间是多对多的关系，这里主要是建立资产与威胁的层次对应关系。首先资产类与威胁类之间的对应关系如表8-5所示，对于角色资产类，其对应的威胁为假冒和否认；对于数据资产类，其威胁一般来源于数据篡改和信息泄漏；对于资源类资产，其对应于拒绝服务威胁；对于服务类资产，由于服务本身的多样性，其对应的威胁包含假冒、否认、数据篡改、信息泄漏和拒绝服务。进一。

26、步的可建立资产子类与威胁子树某一节点的对应关系，更进一步的对于特殊资产（服务类资产居多），可建立其与具体威胁和攻击模式之间的对应关系。0075 表8-5 资产威胁对应关系说明书CN 102799834 A6/9页80076 0077 威胁对应的候选安全功能组件的选取一方面通过现有的CC评估文档中典型威胁与特定安全功能组件集得对应，另一方面通过人工分析从CC文档安全功能组件中获取相应组件进行缓和。0078 下面基于一个Windows的CA访问控制系统（CA Access Control for Windows r8with patch NT-0604CUMULATIVE RELEASE）来展。

27、示基于系统资产的安全功能组件选取方法。访问控制是网络安全防范和保护的核心策略，它的主要任务是保证系统资源不被非法使用和访问。CA访问控制系统维护用户及系统资源的访问，提供授权、管理和回收权限等功能。它包含访问控制数据库、访问控制请求管理、访问控制服务和用户接口四大模块。访问控制数据库中包含用户和组用户信息、系统资源信息、访问规则等；访问控制请求管理模块接收访问请求转交给访问控制服务模块处理，并根据处理结果进行相关操作；访问控制服务模块即系统的核心服务功能，比如授权验证、监测程序，底层通信服务等；用户接口即与用户交互的图形界面和命令行界面。0079 1.确定系统资产0080 基于以上对CA访问控。

28、制系统的分析，确定其中资产及相关等级信息如表8-1所示。其中用户是指系统的访问者，属于角色类。系统资源是指用户需要访问的系统资源信息，包括数据文件、特权程序或者系统进程等，在此统一将这些系统资源定义到资源类别中；访问控制列表描述特定用户角色对特定资产的访问规则，属于数据类资产。0081 表8-1 资产信息列表0082 0083 2.威胁匹配和威胁分析0084 将以上资产输入到安全知识库中进行匹配，结合资产类与威胁类的对应关系，以及威胁类中相关的威胁子类，可以得到资产可能存在的所有威胁。基于得到的威胁，结合系统应用考虑哪些威胁可能发生，哪些威胁不可能发生（或者在系统环境下不需要考虑），从而得到资。

29、产相关的威胁列表。例如在本应用中，对于资产访问控制列表只是存储于数据库中，不会存在传输过程，因此传输数据信息泄露威胁和传输数据篡改威胁不予考虑。最终资说明书CN 102799834 A7/9页9产相关的威胁列表如下表8-2中所示：0085 表8-2 资产威胁信息列表0086 0087 3.安全功能组件选取：0088 同样基于以上威胁和攻击模式，可从知识库中自动获取相关的候选安全功能组件如表8-3所示：0089 表8-3 威胁安全功能组件列表说明书CN 102799834 A8/9页100090 0091 基于以上候选安全功能组件，再结合相关资产的等级，选择合适的安全功能组件进行威胁缓和，最终选取的安全功能组件如表8-4所示：0092 表8-4 安全功能组件列表说明书CN 102799834 A10。

展开阅读全文