第4章軟件需求與安全需求程序只實(shí)現(xiàn)所需的功能；軟件需求應(yīng)包含安全需求最好的安全防御，是在一開始就盡可能地消除安全隱患張仁斌2025.02本章主要內(nèi)容4.1軟件需求與需求工程4.2需求引出4.4需求定義與需求驗(yàn)證4.3需求分析建模4.5安全質(zhì)量需求工程簡介4.6需求變更及其風(fēng)險(xiǎn)控制4.7作業(yè)與實(shí)踐任務(wù)（并入期末課程報(bào)告）引言開發(fā)軟件之前，須了解用戶的期望和要求需求分析的重要性軟件開發(fā)的基礎(chǔ)和前提需求分析是軟件開發(fā)的第一階段，直接影響后面各階段的實(shí)施最終目標(biāo)軟件系統(tǒng)驗(yàn)收的標(biāo)準(zhǔn)避免或者盡早剔除早期的錯(cuò)誤軟件設(shè)計(jì)軟件需求軟件編碼軟件測(cè)試運(yùn)行維護(hù)做什么？怎么做？動(dòng)手做檢驗(yàn)維護(hù)軟件開發(fā)過程需求分析的復(fù)雜性和面臨的困難片面，不完全模糊，不準(zhǔn)確不一致，歧義需求復(fù)雜和龐大相關(guān)研究顯示，在軟件開發(fā)過程中，如果沒有采取任何措施，信息衰減十分嚴(yán)重100%用戶代表分析人員40%16%設(shè)計(jì)人員8.4%編碼人員因此，必須使用系統(tǒng)的方法、借助于一系列行之有效的技術(shù)和工具進(jìn)行軟件需求分析溝通失真客戶如此描述需求項(xiàng)目經(jīng)理如此理解分析員如此設(shè)計(jì)程序員如此編碼商業(yè)顧問如此詮釋項(xiàng)目文檔如此編寫安裝程序如此“簡潔”客戶投資如此巨大技術(shù)支持如此膚淺實(shí)際需求原來如此并不是大家有意歪曲，而是各自都按照自己認(rèn)為的“最可能”去理解，逐級(jí)衰減導(dǎo)致信息的扭曲4.1.1軟件需求的定義與分類軟件需求包括功能性需求和非功能性需求需求具有業(yè)務(wù)需求、用戶需求和功能需求三個(gè)不同層次業(yè)務(wù)需求用戶需求功能需求系統(tǒng)需求愿景與范圍文檔業(yè)務(wù)規(guī)則質(zhì)量屬性外部接口約束用例文檔軟件需求規(guī)格說明功能性非功能性高層用戶最終用戶開發(fā)人員用戶視圖開發(fā)視圖軟件需求的層次、類型與相應(yīng)文檔某銷售系統(tǒng)業(yè)務(wù)需求示例需求編號(hào)需求描述BR1使用系統(tǒng)6個(gè)月后，商品積壓、缺貨和報(bào)廢的現(xiàn)象要減少90%BR2使用系統(tǒng)3個(gè)月后，銷售人員工作效率要提高50%BR3使用系統(tǒng)9個(gè)月后，店鋪運(yùn)營成本要降低10%范圍：人力成本和庫存成本度量：檢查平均每店鋪員工數(shù)量和平均每萬元銷售額的庫存成本BR4使用系統(tǒng)6個(gè)月后，銷售額度要提高25%最好情況：40%最有可能情況：25%最壞情況：10%某銷售系統(tǒng)用戶需求示例需求編號(hào)需求描述UR1收銀員可以使用系統(tǒng)逐一記錄銷售的商品UR2收銀員可以使用系統(tǒng)計(jì)算商品賬單并處理付款事務(wù)，賬單計(jì)算需使用促銷策略UR3收銀員可以使用系統(tǒng)為顧客打印購物憑據(jù)UR4收銀員可以使用系統(tǒng)退回顧客已購買的商品某銷售系統(tǒng)功能需求示例需求編號(hào)需求描述FR1當(dāng)收銀員輸入商品目錄中已存在的商品標(biāo)識(shí)時(shí)，系統(tǒng)顯示該標(biāo)識(shí)對(duì)應(yīng)商品的信息，包括ID、名稱、描述、價(jià)格、特價(jià)、數(shù)量、總價(jià)。其中ID的規(guī)則參見DR-1FR1.1當(dāng)收銀員要求輸入商品數(shù)量時(shí)，系統(tǒng)應(yīng)該允許收銀員輸入數(shù)量FR1.1.1當(dāng)收銀員輸入大于等于1的整數(shù)時(shí)，系統(tǒng)修改商品的數(shù)量為輸入值，并更新顯示FR1.1.2當(dāng)收銀員輸入非數(shù)值型其它內(nèi)容時(shí)，系統(tǒng)提示輸入數(shù)量無效FR1.2系統(tǒng)應(yīng)該計(jì)算并顯示輸入商品的總價(jià)FR1.2.1如果存在適用{商品標(biāo)識(shí)，今天}的商品特價(jià)策略（參見Rule-1），系統(tǒng)將該商品的特價(jià)設(shè)為特價(jià)策略的特價(jià)，并計(jì)算分項(xiàng)總價(jià)為“特價(jià)×數(shù)量”，并將其計(jì)入特價(jià)商品總價(jià)FR1.2.2當(dāng)商品是非促銷的普通商品時(shí)，系統(tǒng)計(jì)算該商品分項(xiàng)總價(jià)為“商品價(jià)格×數(shù)量”，并將其計(jì)入普通商品總價(jià)FR1.3在顯示商品信息0.5秒之后，系統(tǒng)顯示購物清單列表，并將新輸入商品添加到購物清單列表中FR2當(dāng)收銀員輸入商品目錄中不存在的商品標(biāo)識(shí)時(shí)，系統(tǒng)提示不存在該商品DR-1ID是規(guī)則為xxx的商品條形碼Rule-1適用{商品標(biāo)識(shí)，參照日期}的商品特價(jià)促銷策略：（促銷商品標(biāo)識(shí)=商品標(biāo)識(shí)）并且（（開始日期早于等于參照日期）并且（結(jié)束日期晚于等于參照日期））4.1.2需求工程概述全面、準(zhǔn)確地獲取用戶需求，是開發(fā)出真正滿足用戶需求的軟件產(chǎn)品的必要條件需求分析作為軟件生命周期的初始階段，并貫穿整個(gè)軟件生命周期，其重要性越來越突出，逐步形成為軟件工程的子領(lǐng)域——需求工程需求工程需求開發(fā)需求管理需求引出分析建模需求定義需求驗(yàn)證需求變更控制需求版本控制需求跟蹤需求狀態(tài)評(píng)審需求工程結(jié)構(gòu)在通過正式的需求評(píng)審和批準(zhǔn)之后確定需求基線，并進(jìn)行配置管理分析建模編寫文檔評(píng)審、商議需求變更過程基準(zhǔn)需求說明市場(chǎng)客戶管理層需求變更項(xiàng)目環(huán)境項(xiàng)目變更當(dāng)前基線修正后基線需求開發(fā)需求管理市場(chǎng)客戶管理層需

求需求開發(fā)與需求管理之間的界線4.1.3安全需求工程傳統(tǒng)的軟件需求工程包括需求開發(fā)和需求管理安全需求工程是包含安全的需求工程，不是僅針對(duì)安全的需求工程，也不是傳統(tǒng)需求工程的安全拓展，只是對(duì)本已涵蓋的安全予以重視和強(qiáng)化，并輔以一定的安全策略和方法本章主要內(nèi)容4.1軟件需求與需求工程4.2需求引出4.4需求定義與需求驗(yàn)證4.3需求分析建模4.5安全質(zhì)量需求工程簡介4.6需求變更及其風(fēng)險(xiǎn)控制4.7作業(yè)與實(shí)踐任務(wù)（并入期末課程報(bào)告）4.2.1需求引出過程制定需求開發(fā)計(jì)劃確定項(xiàng)目的目標(biāo)和范圍確定調(diào)查對(duì)象主要解決“從哪里得到需求”和“從哪里得到什么類型的需求”等問題收集用戶需求信息解決“如何捕獲各種需求的具體信息”確定非功能性需求4.2.2安全需求引出源需求引出過程的“確定調(diào)查對(duì)象”環(huán)節(jié)結(jié)合調(diào)查對(duì)象概述了需求引出源，此處單獨(dú)補(bǔ)充安全需求引出源用戶往往不會(huì)主動(dòng)提出軟件的安全需求，絕大多數(shù)安全需求是從與安全相關(guān)的非功能性需求引出的安全需求類型及其相應(yīng)引出源將軟件的功能分為業(yè)務(wù)功能和保障業(yè)務(wù)功能安全的安全功能（功能的模塊化）安全需求分為具有明確獨(dú)立代碼予以實(shí)現(xiàn)的功能安全需求、安全功能需求及沒有明確獨(dú)立的對(duì)應(yīng)代碼、依賴于系統(tǒng)總體測(cè)評(píng)分析予以度量的安全性能需求三類業(yè)務(wù)目標(biāo)與資產(chǎn)安全目標(biāo)與安全策略經(jīng)初審的功能性需求功能安全需求經(jīng)初審的非功能性需求安全性能需求安全功能需求風(fēng)險(xiǎn)識(shí)別評(píng)估引出威脅分析引出引出引出引出原始安全需求分析提取引出例如：文件上傳功能需防范相對(duì)路徑攻擊例如：遵循法律法規(guī)應(yīng)保護(hù)用戶隱私數(shù)據(jù)從軟件系統(tǒng)的業(yè)務(wù)目標(biāo)和識(shí)別的風(fēng)險(xiǎn)資產(chǎn)，逐步確定軟件系統(tǒng)的安全目標(biāo)、安全策略及功能性需求與非功能性需求，進(jìn)而捕獲安全需求對(duì)識(shí)別的威脅等進(jìn)行風(fēng)險(xiǎn)分析，確定比較嚴(yán)重的安全隱患和可以暫時(shí)不需要考慮的安全問題，進(jìn)而確定安全目標(biāo)（需要解決的安全問題）開始①識(shí)別風(fēng)險(xiǎn)資產(chǎn)②識(shí)別威脅，評(píng)估威脅對(duì)資產(chǎn)的影響③確立安全目標(biāo)④提取安全需求⑤審核安全需求⑥迭代求精軟件安全風(fēng)險(xiǎn)評(píng)估與控制（第3章）安全需求引出源及提取方法可以從以下幾個(gè)方面捕獲軟件的安全需求：①結(jié)合客戶的整體業(yè)務(wù)戰(zhàn)略目標(biāo)及相關(guān)資產(chǎn)風(fēng)險(xiǎn)識(shí)別評(píng)估，識(shí)別關(guān)鍵資產(chǎn)和關(guān)鍵過程，根據(jù)關(guān)鍵資產(chǎn)面臨的威脅，確定目標(biāo)軟件系統(tǒng)與業(yè)務(wù)目標(biāo)一致的安全目標(biāo)，并將安全目標(biāo)細(xì)化為具體的安全需求②要求安全地實(shí)現(xiàn)軟件功能而引入的功能自身的安全需求，即功能安全需求（例如：安全地實(shí)現(xiàn)文件傳輸需確認(rèn)雙方身份防假冒、防中間人）器械設(shè)備控制軟件的功能安全需求側(cè)重于避免功能故障或失效信息數(shù)據(jù)處理軟件的功能安全需求側(cè)重于避免或減少功能或服務(wù)的安全漏洞③軟件質(zhì)量需求所確定的質(zhì)量相關(guān)安全需求，常作為通用安全需求④從攻擊模式或相關(guān)安全事件引出的安全需求，或由威脅建模確定的安全需求⑤行業(yè)組織建議的安全需求⑥軟件開發(fā)組織安全能力成熟度引出的相關(guān)安全需求⑦法律法規(guī)遵從性引出的安全需求例如：處理銀行信用卡支付交易的軟件，其合規(guī)性轉(zhuǎn)化為功能需求（完成支付）和安全需求（安全地完成支付，且抗抵賴）例如，“在儲(chǔ)戶購買銀行理財(cái)產(chǎn)品之前，須評(píng)估儲(chǔ)戶是否適合交易”這一規(guī)定，需有評(píng)估儲(chǔ)戶風(fēng)險(xiǎn)損失承受能力、理財(cái)產(chǎn)品風(fēng)險(xiǎn)分級(jí)分類的功能與之對(duì)應(yīng)，保障儲(chǔ)戶只接受可承受的風(fēng)險(xiǎn)⑧與軟件開發(fā)合作方協(xié)商確定的與合作方所承擔(dān)任務(wù)相關(guān)的安全需求包括權(quán)限管理、交互參數(shù)安全、互操作日志與安全審計(jì)等⑨軟件安全測(cè)評(píng)需求引出的安全需求4.2.3提取安全需求的基本方法從方法論角度補(bǔ)充收集、提取安全需求的基本方法問卷調(diào)查和訪談?lì)^腦風(fēng)暴和推演討論策略分解將需要遵守的開發(fā)組織內(nèi)部和外部政策（包括法律法規(guī)、隱私條款和遵從性命令）以及安全測(cè)評(píng)預(yù)期目標(biāo)，分解成詳細(xì)的安全需求功能和接口分類劃分結(jié)合攻擊面大小的判斷依據(jù)（例如本地授權(quán)訪問時(shí)攻擊面較小、遠(yuǎn)程匿名訪問時(shí)攻擊面較大），根據(jù)訪問途徑與方法劃分功能和接口類型，并確定不同訪問途徑與方法下的功能與接口安全需求數(shù)據(jù)分類、分級(jí)根據(jù)數(shù)據(jù)的生命周期管理對(duì)數(shù)據(jù)分類、分級(jí)、分階段劃分來確定安全需求主客體關(guān)系矩陣（訪問控制矩陣）利用主客體關(guān)系矩陣描述主、客體之間的訪問控制關(guān)系，在此基礎(chǔ)之上確定安全需求，尤其是與軟件用戶角色劃分相關(guān)的安全需求安全需求調(diào)查問卷示例序號(hào)詢問問題回答與判斷1軟件系統(tǒng)數(shù)據(jù)的敏感程度或重要程度在此回答軟件系統(tǒng)數(shù)據(jù)的保密性要求。該要求與客戶的業(yè)務(wù)相關(guān)，是指整體敏感程度，可以分為機(jī)密、保密、一般、公開等幾種類型2客戶組織中的信息保密制度在此回答客戶組織中的信息保密制度，例如，工資數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)保密級(jí)別很高，只有組織中的部分人員可以訪問；其它一般數(shù)據(jù)、人員資料等可向內(nèi)部人員公開3軟件系統(tǒng)運(yùn)行于何種環(huán)境在此回答軟件系統(tǒng)的運(yùn)行環(huán)境，諸如：運(yùn)行于互聯(lián)網(wǎng)還是企業(yè)局域網(wǎng)？是共用服務(wù)器還是私有服務(wù)器？是集中式應(yīng)用還是分布式應(yīng)用？是單機(jī)版還是服務(wù)器版？4軟件系統(tǒng)使用人員情況在此回答使用人員的成分。例如：是否都是內(nèi)部人員？是否分為正式員工和合同工？是否有外部人員訪問？獲取安全需求示例（討論）基于校園卡的支付系統(tǒng)安全需求（超市、食堂等校內(nèi)現(xiàn)場(chǎng)支付場(chǎng)景）風(fēng)險(xiǎn)資產(chǎn)：資金（卡中存款）威脅：卡丟失，盜刷卡安全目標(biāo)：校園卡資金安全安全需求：①校園卡辦理與校驗(yàn)；②密碼支付；③記錄支付日志安全需求：①校園卡辦理與校驗(yàn)；②密碼支付；③小額免密支付；④記錄支付日志優(yōu)化（迭代完善）校園卡辦理：開卡、掛失/補(bǔ)卡、充值等校園卡校驗(yàn)：假卡（非校園卡），失效卡（掛失后舊卡失效）支付方式：密碼支付（安全性），免密支付（便捷性）支付日志：對(duì)賬/查賬，抗抵賴①識(shí)別風(fēng)險(xiǎn)資產(chǎn)②識(shí)別威脅，評(píng)估威脅對(duì)資產(chǎn)的影響③確立安全目標(biāo)④提取安全需求⑤審核安全需求⑥迭代求精忽略數(shù)據(jù)安全在線考試系統(tǒng)安全需求確?？荚嚁?shù)據(jù)安全保護(hù)考生的個(gè)人信息和考試數(shù)據(jù)不被未經(jīng)授權(quán)的訪問和泄露加密和防篡改（授權(quán)合法更分，并記錄）防作弊，確保考試的公平公正設(shè)置隨機(jī)抽題功能，減少抄襲的可能性?使用人臉識(shí)別、雙機(jī)位視頻監(jiān)考、錄屏監(jiān)考、AI監(jiān)控等技術(shù)手段，防止作弊行為限制考生考試過程中的操作功能，如禁止復(fù)制粘貼、禁用瀏覽器功能等身份驗(yàn)證和訪問控制?引入多因素身份驗(yàn)證，確保用戶身份的真實(shí)性和安全性基于RBAC的訪問控制：出題者，考生，閱卷者，登分，統(tǒng)分/查分，更分日志記錄和審計(jì)?監(jiān)控系統(tǒng)操作和數(shù)據(jù)訪問情況，記錄日志并進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)異常行為并采取措施?在線花店（書店，藥店，…）安全需求隱私保護(hù)與數(shù)據(jù)安全確保用戶的個(gè)人信息和交易信息不被泄露，確保所有操作符合當(dāng)?shù)氐姆煞ㄒ?guī)敏感數(shù)據(jù)包括用戶的姓名、地址、支付信息等，應(yīng)采用加密技術(shù)保護(hù)這些信息身份驗(yàn)證和訪問控制，確保只有授權(quán)人員可以訪問敏感數(shù)據(jù)，同時(shí)監(jiān)控和記錄所有訪問嘗試，及時(shí)發(fā)現(xiàn)潛在威脅定期自動(dòng)或提醒備份數(shù)據(jù)，以防數(shù)據(jù)丟失或損壞，確保系統(tǒng)故障或被攻擊時(shí)能快速恢復(fù)服務(wù)支付安全?在線……店需確保支付過程的安全，防止支付信息被截取或篡改常采用SSL/TLS加密技術(shù)來保護(hù)支付信息在傳輸過程中的安全，調(diào)用第三方支付接口也常采用此技術(shù)記錄支付日志，防抵賴、交易糾紛盤點(diǎn)或及時(shí)結(jié)算，監(jiān)測(cè)惡意交易，及時(shí)止損本章主要內(nèi)容4.1軟件需求與需求工程4.2需求引出4.4需求定義與需求驗(yàn)證4.3需求分析建模4.5安全質(zhì)量需求工程簡介4.6需求變更及其風(fēng)險(xiǎn)控制4.7作業(yè)與實(shí)踐任務(wù)（并入期末課程報(bào)告）4.3.1分析建模的任務(wù)對(duì)用戶的原始需求信息進(jìn)行分析，準(zhǔn)確回答“系統(tǒng)必須做什么”，包括：明確系統(tǒng)邊界，對(duì)提取的原始需求信息進(jìn)行分析、檢查、協(xié)商和提煉，查遺補(bǔ)漏、消除分歧、修正錯(cuò)誤，去除需求中不合理和非本質(zhì)的部分，確定并排序軟件系統(tǒng)的真正需求利用需求分析方法及工具對(duì)確定的系統(tǒng)需求進(jìn)行清晰、準(zhǔn)確地描述，建立無二義性的、完整的系統(tǒng)邏輯模型4.3.2需求分析的基本方法數(shù)據(jù)流圖（DataFlowDiagram，DFD）DFD是結(jié)構(gòu)化分析（StructuredAnalysis，SA）方法中用圖形表達(dá)用戶需求、表示系統(tǒng)邏輯模型的一種方法，從數(shù)據(jù)傳遞和加工的角度，以圖形的方式刻畫數(shù)據(jù)流從輸入到輸出的變換過程病員護(hù)士病員日志病癥信號(hào)要求報(bào)告病癥報(bào)告報(bào)警病員監(jiān)護(hù)系統(tǒng)護(hù)士頂層數(shù)據(jù)流圖生成病癥報(bào)告監(jiān)視病情更新病歷以“醫(yī)院ICU病房監(jiān)護(hù)系統(tǒng)需求分析”為例要求報(bào)告格式化病員數(shù)據(jù)病員數(shù)據(jù)病員護(hù)士病員日志病癥信號(hào)病癥報(bào)告報(bào)警病員生理信號(hào)極限局部監(jiān)視1中央監(jiān)視3生成報(bào)告2更新日志4緊急報(bào)告護(hù)士第0層數(shù)據(jù)流圖：“病員監(jiān)護(hù)系統(tǒng)”分解病員護(hù)士病員日志病癥信號(hào)要求報(bào)告病癥報(bào)告報(bào)警病員監(jiān)護(hù)系統(tǒng)護(hù)士頂層數(shù)據(jù)流圖緊急報(bào)告體溫超過極限值日期時(shí)間格式化病員數(shù)據(jù)病員生理信號(hào)極限病員數(shù)據(jù)報(bào)警血壓/體溫脈搏脈搏血壓時(shí)鐘格式化病員數(shù)據(jù)3.43.2判斷計(jì)算超過極限3.3產(chǎn)生報(bào)警信息3.1分解信號(hào)第1層數(shù)據(jù)流圖：加工“中央監(jiān)視”分解第0層數(shù)據(jù)流圖：“病員監(jiān)護(hù)系統(tǒng)”分解基于用例（UseCase）的需求分析<<包含>>會(huì)員訂購商品付款<<擴(kuò)展>>使用信用卡支付使用第三方支付使用儲(chǔ)蓄卡支付查看商品目錄查詢訂單撤銷訂單<<包含>>管理訂單確認(rèn)訂單<<包含>><<擴(kuò)展>><<包含>><<包含>><<包含>><<包含>>會(huì)員訂單管理用例圖會(huì)員訂單管理用例規(guī)約用例名稱管理訂單用例編號(hào)UC02-01參與者會(huì)員用例簡述本用例由注冊(cè)為會(huì)員的顧客啟動(dòng)。在系統(tǒng)輔助下，登錄會(huì)員對(duì)選購的商品在線完善訂單并下單，確認(rèn)并成功支付則完成訂單相關(guān)用例UC01-02（核驗(yàn)身份）前置條件用戶以注冊(cè)會(huì)員身份登錄系統(tǒng)基本事件流（1）參與者將訂單信息提交至系統(tǒng)；（2）系統(tǒng)驗(yàn)證會(huì)員信息及訂單信息合法后作出響應(yīng)；（3）針對(duì)訂單中的每種商品，系統(tǒng)根據(jù)訂單中的數(shù)量檢查商品庫存數(shù)量；（4）系統(tǒng)統(tǒng)計(jì)訂單中商品的總價(jià)格；（5）系統(tǒng)生成、保存訂單信息并發(fā)送給會(huì)員或供會(huì)員查看；（6）會(huì)員確定訂單，系統(tǒng)從會(huì)員指定的支付賬戶中收取相應(yīng)錢款，訂單發(fā)送至銷售中心，系統(tǒng)生成并保存交易記錄備選事件流A-1如果訂單信息非法，系統(tǒng)通知會(huì)員并提示重新提交訂單；A-2如果訂單中某商品數(shù)量超過該商品庫存量，則提示會(huì)員庫存不足，暫無法購買，暫存訂單并禁用支付；A-3如果會(huì)員指定的支付賬戶繳款失敗，系統(tǒng)給出相應(yīng)提示，并終止支付后置條件如果訂單中的商品庫存足夠，則發(fā)貨；否則提示會(huì)員當(dāng)前缺貨數(shù)據(jù)需求D-1訂單信息包括訂單號(hào)、參與者的會(huì)員賬戶名、收貨人及收貨地址、商品種類數(shù)量、商品種類名稱以及每種商品的價(jià)格業(yè)務(wù)規(guī)則B-1只有當(dāng)訂單中商品信息確認(rèn)無誤后才能允許會(huì)員進(jìn)行支付審核狀態(tài)[未審核]審核時(shí)間

4.3.3安全需求分析的策略與方法安全需求分析基本流程安全風(fēng)險(xiǎn)評(píng)估調(diào)整或改進(jìn)需求分析建模并提取安全需求形成安全需求規(guī)約確定安全目標(biāo)與威脅經(jīng)初審的功能性和非功能性需求及原始安全需求需求審核通過？是否安全需求分析方法序號(hào)方法名稱需求設(shè)計(jì)測(cè)試引出分析優(yōu)化文檔化1濫用者故事√

2濫用例√

√3誤用例√

√4安全用例√√

√√5反模型√√

√

6安全模式√√

√

7安全問題框架√√

8UML安全擴(kuò)展

√

√√

9安全Tropos√√√√√

10故障樹

√

√11攻擊樹√√

√√12威脅建?！獭獭獭獭?/p>

14安全質(zhì)量需求工程√√√√√√網(wǎng)店部分功能用例、安全用例、誤用例示意<<包含>><<包含>><<擴(kuò)展>><<包含>><<擴(kuò)展>>顧客瀏覽目錄注冊(cè)客戶訂購商品變更密碼強(qiáng)制復(fù)雜密碼員工阻止重復(fù)注冊(cè)登錄系統(tǒng)加密洪水攻擊竊取卡信息竊聽獲取密碼<<阻止>><<擴(kuò)展>><<包含>><<包含>>監(jiān)視系統(tǒng)<<包含>>騙子<<檢測(cè)>><<檢測(cè)>><<包含>><<包含>><<包含>><<阻止>><<阻止>>參與者和用例安全用例誤用者和誤用例安全用例模板及示例SecurityUseCase:ID：{安全用例標(biāo)識(shí)符}名稱：{安全用例名稱}簡述：{安全用例簡短描述}原由：{[預(yù)防/檢測(cè)]<<濫用例/誤用例涉及的威脅>>}或{[實(shí)施]<<必要的安全措施>>}……成功標(biāo)準(zhǔn)：{以動(dòng)賓格式描述成功標(biāo)準(zhǔn)}End_SecurityUseCaseSecurityUseCase:ID：SUC01名稱：阻止重復(fù)注冊(cè)簡述：阻止同一人多次注冊(cè)原由：防止<<誤用例之洪水攻擊>>……成功標(biāo)準(zhǔn)：拒絕用相同郵箱的注冊(cè)或拒絕來自同一IP地址的多次輸入End_SecurityUseCase基于UMLsec的安全需求建模基本過程原始安全需求原始功能需求構(gòu)建基于UML的功能需求模型基于UMLsec構(gòu)造型表述安全需求基于UMLsec的安全需求模型集成構(gòu)建模型驗(yàn)證通過？調(diào)整或改進(jìn)功能需求模型或安全需求構(gòu)造型輸出模型否是初審?fù)ㄟ^？否是基于安全Tropos的安全需求分析基本過程識(shí)別參與者識(shí)別目標(biāo)、軟目標(biāo)、任務(wù)和資源識(shí)別依賴關(guān)系迭代精化迭代精化識(shí)別攻擊者識(shí)別惡意企圖識(shí)別攻擊手段制定緩解措施依賴關(guān)系威脅分析迭代精化精化故障樹故障樹（FaultTree）是一種利用事件符號(hào)、邏輯門符號(hào)以及轉(zhuǎn)移符號(hào)表示事故或者故障事件發(fā)生的原因及其邏輯關(guān)系的樹狀邏輯因果關(guān)系圖確定分析的范圍熟悉系統(tǒng)確定頂事件調(diào)查故障事件建立故障樹故障樹規(guī)范化故障樹的簡化和模塊分解定性分析定量分析故障樹分析報(bào)告故障樹分析基本流程賬號(hào)密碼泄露故障樹分析模型示意+賬號(hào)密碼泄露用戶個(gè)人泄露軟件系統(tǒng)泄露管理人員泄露賬號(hào)密碼處理不當(dāng)保管不當(dāng)釣魚攻擊社會(huì)工程拖庫攻擊暴力破解信道監(jiān)聽鍵盤記錄訪問控制欠缺脫敏處理欠缺++++加密處理欠缺攻擊樹（AttackTree）是一種采用層次化樹型結(jié)構(gòu)描述系統(tǒng)或子系統(tǒng)面臨的安全威脅和可能受到的各種攻擊的建模方法，起源于故障樹分析，原本用于網(wǎng)絡(luò)攻擊研究根節(jié)點(diǎn)是實(shí)現(xiàn)最終攻擊目標(biāo)對(duì)應(yīng)的最終事件，即頂事件；葉節(jié)點(diǎn)是實(shí)施具體的攻擊方法對(duì)應(yīng)的基本事件；內(nèi)部節(jié)點(diǎn)是中間事件，是攻擊者在攻擊過程中需經(jīng)過的一系列步驟或?qū)崿F(xiàn)最終攻擊目標(biāo)需實(shí)現(xiàn)的一系列子目標(biāo)在線偷窺工資數(shù)據(jù)未保護(hù)網(wǎng)絡(luò)流攻擊者窺視網(wǎng)絡(luò)流利用協(xié)議分析器嗅探網(wǎng)絡(luò)流監(jiān)聽路由器網(wǎng)絡(luò)流路由器未打補(bǔ)丁攻陷路由器猜測(cè)路由器密碼攻擊樹中的與或節(jié)點(diǎn)示例獲取root權(quán)限不通過用戶認(rèn)證破解認(rèn)證機(jī)制獲取服務(wù)器用戶權(quán)限SSH緩沖區(qū)溢出RSA緩沖區(qū)溢出服務(wù)器本地緩沖區(qū)溢出FTP漏洞攻擊RSH欺騙攻擊含有“順序與”的攻擊樹示例RL1M1M2L2M3M4L3M5L4L5L6L7L8L9L10L11M6L12節(jié)點(diǎn)含義節(jié)點(diǎn)含義R竊取數(shù)據(jù)庫中數(shù)據(jù)L5查找數(shù)據(jù)庫數(shù)據(jù)備份L1竊取數(shù)據(jù)庫主機(jī)硬盤L6誘騙數(shù)據(jù)庫系統(tǒng)維護(hù)管理人員M1數(shù)據(jù)庫主機(jī)本地攻擊L7數(shù)據(jù)庫主機(jī)操作系統(tǒng)提權(quán)攻擊M2網(wǎng)絡(luò)攻擊L8數(shù)據(jù)庫系統(tǒng)暴力破解L2數(shù)據(jù)庫主機(jī)電磁泄漏L9數(shù)據(jù)庫系統(tǒng)漏洞利用M3社會(huì)工程學(xué)攻擊L10網(wǎng)絡(luò)嗅探M4數(shù)據(jù)庫系統(tǒng)攻擊L11Web應(yīng)用釣魚攻擊L3SQL注入攻擊M6Web應(yīng)用漏洞提權(quán)M5獲取目標(biāo)訪問權(quán)限L12身份偽造L4查找數(shù)據(jù)庫系統(tǒng)密碼備份

竊取數(shù)據(jù)庫中數(shù)據(jù)的攻擊樹模型示意4.3.4基于誤用例和濫用例的安全需求分析傳統(tǒng)的用例分析方法基于正確使用的假設(shè)來描述目標(biāo)系統(tǒng)的規(guī)范行為，描述用戶和系統(tǒng)的交互過程或系統(tǒng)需實(shí)現(xiàn)的功能，并不關(guān)注該交互的結(jié)果對(duì)系統(tǒng)和用戶的影響

誤用例是用例的一種擴(kuò)展，關(guān)注用戶與系統(tǒng)不應(yīng)該發(fā)生的行為，在用例圖中用填充顏色的用例符號(hào)表示；誤用者（Misuser）是一類特殊的參與者，是有意或無意中引發(fā)誤用例的參與者，在用例圖中用填充顏色的參與者符號(hào)表示MisuserMisuseCaseAssociationActorUseCaseAssociation用例圖形符號(hào)誤用例圖形符號(hào)濫用例也是用例的一種擴(kuò)展，關(guān)注交互結(jié)果對(duì)系統(tǒng)或用戶的不利影響或危害；濫用者（Abuser）是一類特殊的參與者，是惡意引發(fā)濫用例的攻擊者。濫用例及濫用者使用與傳統(tǒng)用例、傳統(tǒng)參與者相同的圖形符號(hào)表示誤用例和濫用例采用與攻擊者相同的方式來思考軟件系統(tǒng)突破規(guī)范的特性和功能，考慮負(fù)面或意外事件，即根據(jù)軟件系統(tǒng)資產(chǎn)與價(jià)值，從攻擊者角度思考可能的攻擊動(dòng)機(jī)，或思考“這里會(huì)出什么問題”、“攻擊者可能會(huì)導(dǎo)致這里出什么問題”之類的問題，建立誤用例和濫用例進(jìn)行威脅和危害分析，進(jìn)而從阻止惡意交互操作、預(yù)防或消減相關(guān)威脅的角度獲取安全需求文檔需求用例攻擊模式可交付文檔攻擊模型威脅攻擊模式已評(píng)級(jí)的誤用/濫用例輸入活動(dòng)輸出識(shí)別威脅文檔化威脅復(fù)核威脅創(chuàng)建反需求創(chuàng)建攻擊模型復(fù)核反需求復(fù)核攻擊模型創(chuàng)建誤用/濫用例分析和評(píng)級(jí)誤用/濫用例復(fù)核已評(píng)級(jí)的誤用/濫用例RA業(yè)務(wù)分析安全分析師(SA)需求分析師(RA)核準(zhǔn)?修訂威脅核準(zhǔn)?核準(zhǔn)?修訂反需求修訂攻擊模型復(fù)核誤用/濫用例核準(zhǔn)?修訂誤用/濫用例RA技術(shù)分析知識(shí)管理系統(tǒng)SA&RASASASA&RA核準(zhǔn)?修訂已評(píng)級(jí)的誤用/濫用例YNNNYNNYYSASASASASA建立濫用例、誤用例的過程輸入活動(dòng)輸出創(chuàng)建用例需求分析師(RA)根據(jù)用例繪制DFDCAPEC或其它源基于威脅建模和攻擊模式創(chuàng)建誤用/濫用例用例DFD利用威脅建模工具分析DFD威脅列表根據(jù)威脅確定誤用/濫用例名誤用/濫用例名單使用關(guān)鍵字檢索與誤用/濫用例相關(guān)的攻擊模式攻擊模式清單創(chuàng)建誤用/濫用例誤用/濫用例清單安全分析師(SA)誤用是針對(duì)已有功能的錯(cuò)誤使用，誤用例與用例具有一一對(duì)應(yīng)關(guān)系，因此，誤用例和用例一般繪制在同一幅用例圖中，便于集中描述系統(tǒng)應(yīng)支持的行為及應(yīng)阻止的與之相關(guān)的惡意行為誤用例和用例之間的關(guān)聯(lián)可以是“威脅”關(guān)系，也可以是“緩解”關(guān)系，或其它與安全相關(guān)的關(guān)系顧客注冊(cè)顧客訂購商品評(píng)價(jià)商品店員申請(qǐng)退貨保護(hù)信息洪水攻擊竊取卡信息獲取特權(quán)<<威脅>>屏幕輸入騙子<<包含>><<緩解>>系統(tǒng)管理員泄露顧客信息傳播惡意代碼<<威脅>><<威脅>><<威脅>><<威脅>><<威脅>><<緩解>>參與者和用例誤用者和誤用例網(wǎng)店部分功能用例、誤用例示意網(wǎng)店顧客注冊(cè)用例與誤用例規(guī)約示例用例名稱注冊(cè)顧客用例編號(hào)UC01-01參與者顧客用例簡述（略）相關(guān)用例（略）相關(guān)誤用例洪水攻擊，獲取特權(quán)，泄露顧客信息前置條件（略）基本事件流（略）備選事件流（略）后置條件（略）數(shù)據(jù)需求（略）業(yè)務(wù)規(guī)則（略）相關(guān)威脅威脅T1：洪水攻擊。攻擊者對(duì)系統(tǒng)發(fā)動(dòng)洪水攻擊，導(dǎo)致顧客不能正常注冊(cè)。威脅T2：獲取特權(quán)。用虛假信息或冒用他人信息注冊(cè)，可能導(dǎo)致的結(jié)果：T1-1：實(shí)際不存在的人被注冊(cè)為顧客，從而非法享有注冊(cè)顧客的權(quán)利；T1-2：真實(shí)存在的人員在不知情的情況下注冊(cè)為客戶（被假冒注冊(cè)），而自己不能正常注冊(cè)，相關(guān)權(quán)利被假冒者竊取。威脅T3：泄露顧客信息。攻擊者竊取并泄露顧客注冊(cè)信息。審核狀態(tài)[未審核]審核時(shí)間

在用例規(guī)約的基礎(chǔ)上增加與安全相關(guān)的描述濫用強(qiáng)調(diào)惡意使用已有功能或惡意擴(kuò)展已有功能，因此，濫用例與用例不具有一一對(duì)應(yīng)關(guān)系。濫用例和用例使用相同的圖形符號(hào)，與用例彼此獨(dú)立繪制于不同的用例圖中以避免混淆用例圖中描述不同參與者與系統(tǒng)的各種規(guī)范交互，而濫用例圖描述各類濫用者可能會(huì)對(duì)系統(tǒng)實(shí)施的攻擊教師管理試卷管理閱卷考生管理成績<<擴(kuò)展>>管理員參加考試查詢成績上線試卷管理試題庫管理組卷發(fā)布考試通知管理考試計(jì)劃備份考試數(shù)據(jù)維護(hù)考試平臺(tái)統(tǒng)計(jì)分析成績打印成績單<<包含>><<包含>><<包含>><<包含>><<包含>>在線考試系統(tǒng)用例圖惡意考生偷窺者篡改分?jǐn)?shù)在線考試系統(tǒng)濫用例圖勒索者竊取試卷拷貝他人答案抄襲參考資料癱瘓考試平臺(tái)泄露試卷泄露答案泄漏考生隱私交流答案竊取答案篡改試題本章主要內(nèi)容4.1軟件需求與需求工程4.2需求引出4.4需求定義與需求驗(yàn)證4.3需求分析建模4.5安全質(zhì)量需求工程簡介4.6需求變更及其風(fēng)險(xiǎn)控制4.7作業(yè)與實(shí)踐任務(wù)（并入期末課程報(bào)告）4.4.1需求定義軟件需求定義也稱作軟件需求規(guī)約，是軟件需求的完整描述安全需求不僅與安全級(jí)別相關(guān)，更與功能性需求密切相關(guān)，需求定義時(shí)應(yīng)盡可能綜合描述示例：與更正學(xué)生考試成績相關(guān)的安全需求需求編號(hào)安全需求描述SUR1除了指定的教務(wù)員小組內(nèi)的特許用戶，系統(tǒng)將屏蔽（隱藏）更正學(xué)生考試成績的功能；本安全能力需求將在不低于中等安全保證的級(jí)別上提供SUR2特許用戶在請(qǐng)求更正學(xué)生的考試成績之前，須及時(shí)正確完成必要的鑒權(quán)授權(quán)，否則系統(tǒng)將阻止其使用學(xué)生成績更正功能；本安全能力需求將在不低于超高安全保證級(jí)別上提供SUR3保存完整日志記錄學(xué)生考試成績更正過程，且任何人無權(quán)刪除、修改日志；本安全能力需求將在不低于超高安全保證級(jí)別上提供包含安全需求的軟件需求規(guī)格說明的內(nèi)容條目示意內(nèi)容條目解釋說明1引言

1.1文檔概述概述本文檔的內(nèi)容及用途，包括適用范圍與保密性要求1.2項(xiàng)目背景業(yè)務(wù)概況、軟件用途等1.3術(shù)語與縮寫解釋軟件需求規(guī)格涉及的關(guān)鍵術(shù)語的定義及縮寫詞的含義1.4參考文獻(xiàn)與依據(jù)撰寫軟件需求規(guī)格參考的標(biāo)準(zhǔn)、需求來源文獻(xiàn)資料等2需求概述

2.1系統(tǒng)目標(biāo)本系統(tǒng)的開發(fā)意圖、應(yīng)用目標(biāo)及作用范圍（現(xiàn)有系統(tǒng)存在的問題和目標(biāo)系統(tǒng)所要解決的問題）；本系統(tǒng)的主要功能、處理流程、數(shù)據(jù)流程及簡要說明；表示外部接口和數(shù)據(jù)流的系統(tǒng)高層次圖，體現(xiàn)本系統(tǒng)與其他相關(guān)系統(tǒng)的關(guān)系；與業(yè)務(wù)目標(biāo)一致的安全目標(biāo)2.2系統(tǒng)安全等級(jí)本系統(tǒng)需滿足的安全標(biāo)準(zhǔn)/規(guī)范及擬達(dá)到的安全等級(jí)，即本系統(tǒng)上線投入使用須滿足的安全合規(guī)性條件及對(duì)應(yīng)的安全策略、安全措施分級(jí)2.3運(yùn)行環(huán)境本系統(tǒng)的運(yùn)行環(huán)境（硬件環(huán)境和支持環(huán)境）的規(guī)定，包括本系統(tǒng)對(duì)可信運(yùn)行環(huán)境的要求2.4用戶角色與用戶特點(diǎn)本系統(tǒng)用戶類型，及從使用系統(tǒng)角度，所具有的特點(diǎn)2.5關(guān)鍵點(diǎn)本軟件需求規(guī)格說明書中的關(guān)鍵點(diǎn)（例如，關(guān)鍵功能、關(guān)鍵算法、安全關(guān)鍵對(duì)象和所涉及的關(guān)鍵技術(shù)等）及其安全指標(biāo)2.6安全狀態(tài)安全狀態(tài)轉(zhuǎn)移圖（含異常的發(fā)生與狀態(tài)恢復(fù)）等2.7條件限制進(jìn)行本系統(tǒng)開發(fā)工作的限制條件，例如：經(jīng)費(fèi)限制、開發(fā)期限和所采用的方法與技術(shù)，以及政治、社會(huì)、文化、法律等3數(shù)據(jù)描述

3.1數(shù)據(jù)分類分級(jí)安全需求數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、銷毀全生命周期安全需求3.2靜態(tài)/動(dòng)態(tài)數(shù)據(jù)描述含會(huì)話數(shù)據(jù)的安全處理要求3.3數(shù)據(jù)庫描述含數(shù)據(jù)庫性能與安全需求3.4數(shù)據(jù)字典

4功能與功能安全需求

4.1功能劃分功能需求一覽表等4.2功能與功能安全描述描述功能及其安全實(shí)現(xiàn)要求，包括用例圖、誤用例/濫用例/安全用例圖、數(shù)據(jù)流圖、對(duì)象圖或時(shí)序圖4.3安全功能描述保障本系統(tǒng)安全的功能，包括系統(tǒng)需實(shí)現(xiàn)的訪問控制、加密解密、安全通訊、日志與審計(jì)等功能5性能需求

5.1數(shù)據(jù)精確度含誤差累積的影響5.2時(shí)間特性含時(shí)間特性的影響5.3并發(fā)性多線程與事務(wù)并發(fā)能力及競(jìng)爭條件等6運(yùn)行需求

6.1用戶界面含系統(tǒng)標(biāo)識(shí)與防偽或防釣魚62軟硬件接口數(shù)據(jù)交換軟硬件接口與安全6.3通訊接口含通訊協(xié)議與協(xié)議安全6.4故障或異常處理安全地、最小代價(jià)地處理故障或異常及系統(tǒng)恢復(fù)7其它需求檢測(cè)或驗(yàn)收標(biāo)準(zhǔn)、使用性能、軟件質(zhì)量特性等4.4.2需求驗(yàn)證需求驗(yàn)證是指為了保證軟件質(zhì)量，在完成需求規(guī)格說明之后，對(duì)需求規(guī)格說明書進(jìn)行的驗(yàn)證活動(dòng)，包括檢查是否以正確的形式建立了需求、技術(shù)上是否可解決，確認(rèn)得到語義正確的需求、符合用戶原意需求驗(yàn)證的目的是確保軟件需求規(guī)格說明完整、準(zhǔn)確、一致地反映用戶需求，確保需求具有合理性、可行性、可驗(yàn)證性，盡可能發(fā)現(xiàn)需求規(guī)格說明存在的錯(cuò)誤，以減少因錯(cuò)誤而增加的工作量需求驗(yàn)證的內(nèi)容主要包括需求的完整性、一致性、可行性、必要性，證明需求是正確有效的，確實(shí)能解決用戶面對(duì)的問題，為后續(xù)系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)和測(cè)試提供足夠的基礎(chǔ)需求驗(yàn)證的主要方法是復(fù)核（Review，也譯為評(píng)審）根據(jù)復(fù)核的正式程度由高到低將其分為審查（Inspection）、小組評(píng)審（TeamReview）、走查（Walkthrough）、結(jié)對(duì)編程、同級(jí)桌查/輪查、臨時(shí)評(píng)審六個(gè)等級(jí)相對(duì)正式的是審查、小組評(píng)審、走查三種復(fù)核需求審查過程規(guī)劃總體會(huì)議準(zhǔn)備審查會(huì)議返工跟蹤初始工作產(chǎn)品明確基線的產(chǎn)品本章主要內(nèi)容4.1軟件需求與需求工程4.2需求引出4.4需求定義與需求驗(yàn)證4.3需求分析建模4.5安全質(zhì)量需求工程簡介4.6需求變更及其風(fēng)險(xiǎn)控制4.7作業(yè)與實(shí)踐任務(wù)（并入期末課程報(bào)告）概述安全質(zhì)量需求工程（SecurityQUAlityRequirementsEngineering，SQUARE）是卡內(nèi)基梅隆大學(xué)軟件工程研究所開發(fā)的一個(gè)專門針對(duì)安全需求工程的過程模型，為IT系統(tǒng)和應(yīng)用軟件的安全需求引出、分類和確定優(yōu)先級(jí)提供一套系統(tǒng)的方法模型包含九個(gè)步驟SQURE過程序號(hào)步驟輸入技術(shù)參與者輸出1統(tǒng)一定義從IEEE或其他標(biāo)準(zhǔn)中選取定義結(jié)構(gòu)化交談、專注小組干系人、需求工程師統(tǒng)一后的定義2確認(rèn)安全目標(biāo)定義、候選目標(biāo)、商業(yè)驅(qū)動(dòng)力、政策和程序、例子工作會(huì)議、調(diào)查、交談干系人、需求工程師安全目標(biāo)3開發(fā)工件以支持安全需求定義可能的工件（方案、誤用案例、模板、框架）工作會(huì)議需求工程師所需的工件（方案、誤用案例、原型、模板、框架）4進(jìn)行安全風(fēng)險(xiǎn)評(píng)估誤用案例、方案、安全目標(biāo)風(fēng)險(xiǎn)評(píng)估與分析、威脅分析干系人、需求工程師、風(fēng)險(xiǎn)專家風(fēng)險(xiǎn)評(píng)估結(jié)果SQUARE過程共9步，第1步到第4步實(shí)際上優(yōu)于安全需求工程的活動(dòng)，應(yīng)確保這些過程要成功參閱：SecurityQualityRequirementsEngineering(SQUARE)Methodology序號(hào)步驟輸入技術(shù)參與者輸出5選擇啟發(fā)式方法目標(biāo)、定義、候選技術(shù)、干系人的專長、組織的類型、文化、需要的安全等級(jí)、成本效益工作會(huì)議需求工程師啟發(fā)性式方法6得出安全需求工件、風(fēng)險(xiǎn)評(píng)估結(jié)果、開發(fā)技術(shù)面談、調(diào)查、基于模型的分析、可復(fù)用的需求列表等干系人（需求工程師給予幫助）安全需求的初步模型7