The invention discloses a method for obtaining software security requirements based on formal modeling in the field of software security technology. The specific steps of the method are as follows: S1: identifying the resources and information contained in the software system; S2: identifying potential threats caused by resources and information; S3: establishing security objectives and proposing security requirements, and verifying security requirements; S4: Formal model is established and model validation is carried out; S5: The final state is obtained after describing various attributes and system behaviors in the system, and the interpretation, evaluation and validation of the software system are realized. Firstly, by identifying the information in the software system, the information security threat description is obtained, and whether the phenomena description in the problem domain meets the conditions of the security threat occurrence is determined, and the form is established. The model and validation make up for the shortcomings of the traditional security requirement analysis method, and enable the requirement analysts to further capture the security requirements of the software system.
【技术实现步骤摘要】
一种基于形式化建模的软件安全需求获取方法
本专利技术公开了一种基于形式化建模的软件安全需求获取方法,具体为软件安全
技术介绍
随着计算机的广泛运用,软件和信息系统已经深入到各行各业中,且在信息设备扮演者一个重要的角色。然而,在软件的整个生命周期中,软件安全问题却带来高维护成本,这些持续增加的运营成本要求组织仔细考虑他们如何解决软件安全问题。软件安全需求工程能够极大的提高被开发软件的质量,降低开发和维护的成本,但还没有引起业界的足够重视,也缺乏综合考虑软件资产、软件缺陷、安全目标、威胁分析和风险评估等多个要素的工程框架和自动化方法。在现有的安全需求获取方法中,其规范程度和易用性并不进入人意,由于其非常庞大,涉及的面较广,要需要完全理解其内涵,对于一般用户来说相当困难,只适用于安全专家。因此,需要开发一个更智能化、自动化、评估难度更低的安全需求获取方法势在必行。为此,我们提出了一种基于形式化建模的软件安全需求获取方法投入使用,以解决上述问题。
技术实现思路
本专利技术的目的在于提供一种基于形式化建模的软件安全需求获取方法,以解决上述
技术介绍
中提出的问题。为实现上述目的,本专利技术提供如下技术方案:一种基于形式化建模的软件安全需求获取方法,该方法的具体步骤如下:S1:识别软件系统中所包含的资源和信息;S2:对资源和信息造成潜在的威胁行为进行识别,以满足软件系统的安全需要;S3:确立安全目标并提出安全需求,并对安全需求进行验证;S4:建立形式化模型,并进行模型验证;S5:基于对软件系统信息及行为的充分了解,描述系统内各种属性及系统行为后得到最终状态,并在此基 ...
【技术保护点】
1.一种基于形式化建模的软件安全需求获取方法,其特征在于:该方法的具体步骤如下:S1:识别软件系统中所包含的资源和信息;S2:对资源和信息造成潜在的威胁行为进行识别,以满足软件系统的安全需要;S3:确立安全目标并提出安全需求,并对安全需求进行验证;S4:建立形式化模型,并进行模型验证;S5:基于对软件系统信息及行为的充分了解,描述系统内各种属性及系统行为后得到最终状态,并在此基础上根据问题需求对软件系统深入分析,实现对软件系统的解释、评估和验证。
【技术特征摘要】
1.一种基于形式化建模的软件安全需求获取方法,其特征在于:该方法的具体步骤如下:S1:识别软件系统中所包含的资源和信息;S2:对资源和信息造成潜在的威胁行为进行识别,以满足软件系统的安全需要;S3:确立安全目标并提出安全需求,并对安全需求进行验证;S4:建立形式化模型,并进行模型验证;S5:基于对软件系统信息及行为的充分了解,描述系统内各种属性及系统行为后得到最终状态,并在此基础上根据问题需求对软件系统深入分析,实现对软件系统的解释、评估和验证。2.根据权利要求1所述的一种基于形式化建模的软件安全需求获取方法,其特征在于:所述步骤S2中,对资源和信息造成潜在的威胁行为包括软件合法用户疏忽操作导致的信息泄露和病毒攻击、木马攻击软件系统。3.根据权利要求1所述的一种基于形式化建模的软件安全需求获取方法,其特征在于:所述步骤S3中,安全需求的验证包括安全需求之间的冲突和安全需求与软件系统功能需求之间的冲突,验证安全需求是否满足用户方的期望,正式安全需求是完备、有效的,可采用模型检查器、模型解释器或快速原型生成器的需求验证技术。4.根据权利要求1所述的一种基于形式化建模的软件安全需求获取方法,其特征在于:所述步骤S4中,形式化模型的建立包括如下步骤:S41:首先根据被验系统的需求,归纳所涉及的各类状态,状态的划分准则一般以典型功能集合而定;S42:各状态内分离出所包含的各类变量类和变量,包括控制变量、过程变量,建立变量间关系;S43:建立建立模型状态转换的触发时间描述,事件描述为变量及变量关系组合形成;S44:建立模型内事件或状态断言,断言描述为事件组合...
【专利技术属性】
技术研发人员:汤卫东,刘美玲,吴尽昭,曲良东,
申请(专利权)人:广西民族大学,
类型:发明
国别省市:广西,45
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。