本发明专利技术实施例提供一种业务安全需求文档生成方法及系统,该方法包括:对获取的业务需求文档进行自然语言处理,获得业务需求文档相应的业务场景;对业务场景进行安全威胁匹配,从安全威胁数据库中获取业务场景对应的安全威胁标识;根据安全威胁标识,进行合规数据库的匹配,从合规数据库中获取安全威胁标识对应的监管条例;根据安全威胁标识和监管条例生成业务安全需求文档。该方法能够客观、高效的获得业务需求文档相应的业务场景。从安全威胁数据库中获取业务场景对应的安全威胁标识以及从合规数据库中获取安全威胁标识对应的监管条例,从而全面获得存在的安全威胁,并准确获得对应的监管条例,进而得到客观、全面、有针对性的业务安全需求文档。
Method and System of Document Generation for Business Security Requirements
【技术实现步骤摘要】
业务安全需求文档生成方法及系统
本专利技术涉及信息系统安全分析领域,尤其涉及一种业务安全需求文档生成方法及系统。
技术介绍
在信息系统的软件开发过程中,以需求、设计、开发、测试、部署等阶段为主要对象,以业务安全和信息安全为出发点。在软件开发的安全领域,关键在于抓好源头。软件开发安全的源头在于安全需求分析,故而如何做好安全需求分析工作,对开发后的系统安全有着极其重要的影响。目前,对于安全需求的分析主要为,业务人员和开发人员在项目立项阶段进行需求讨论,对项目上线提出相应的安全需求,一般主要从系统可用性、可靠性及性能方面提出安全需求。另一方面,业务人员或开发人员在项目需求梳理阶段依靠历史项目的经验和个人经验,提出一些安全需求。也就是说目前主要通过人工进行安全分析,从网络、主机、性能等提出安全需求。由于业务人员与开发人员对安全方面并不是很了解,难以针对性和全面的提出安全需求,以及个人经验存在各种偏差,安全理解方面没有针对性,从而导致了上线的业务可能存在安全隐患。目前的安全需求分析方法不够客观,且针对性差。
技术实现思路
为了解决上述问题,本专利技术实施例提供一种业务安全需求文档生成方法及系统。第一方面,本专利技术实施例提供一种业务安全需求文档生成方法,包括:对获取的业务需求文档进行自然语言处理,获得业务需求文档相应的业务场景;对业务场景进行安全威胁匹配,从安全威胁数据库中获取业务场景对应的安全威胁标识;根据安全威胁标识,进行合规数据库的匹配,从合规数据库中获取安全威胁标识对应的监管条例;根据安全威胁标识和监管条例生成业务安全需求文档。第二方面,本专利技术实施例提供一种业务安全需求文档生成系统,包括:语言分析模块,用于对获取的业务需求文档进行自然语言处理,获得业务需求文档相应的业务场景;威胁匹配模块,用于对所述业务场景进行安全威胁匹配,从安全威胁数据库中获取业务场景对应的安全威胁标识;规则匹配模块,用于根据所述安全威胁标识,进行合规数据库的匹配,从合规数据库中获取安全威胁标识对应的监管条例;需求生成模块,用于根据所述安全威胁标识和所述监管条例生成业务安全需求文档。第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现本专利技术第一方面业务安全需求文档生成方法的步骤。第四方面,本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本专利技术第一方面业务安全需求文档生成方法的步骤。本专利技术实施例提供的业务安全需求文档生成方法及系统,通过对获取的业务需求文档进行自然语言处理,能够客观、高效的获得业务需求文档相应的业务场景。通过从安全威胁数据库中获取业务场景对应的安全威胁标识以及从合规数据库中获取安全威胁标识对应的监管条例,从而全面获得存在的安全威胁,并准确获得对应的监管条例,进而得到客观、全面、有针对性的业务安全需求文档。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的业务安全需求文档生成方法流程图;图2为本专利技术实施例提供的业务安全需求文档生成系统结构图;图3为本专利技术实施例提供的一种电子设备的实体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。目前面对业务安全需求分析的问题上,主要通过人工进行安全分析,这种安全需求分析方法不够客观,且针对性差。为解决这一问题,本专利技术实施例提供一种业务安全需求文档生成方法。该方法可应用于上述业务安全需求分析场景,并通过相应的业务安全需求文档生成系统实现。图1为本专利技术实施例提供的业务安全需求文档生成方法流程图,如图1所示,本专利技术实施例提供一种业务安全需求文档生成方法,包括:101,对获取的业务需求文档进行自然语言处理,获得业务需求文档相应的业务场景。在101中,业务需求指的是宏观需求,包括:待解决问题的行业、待解决的问题、解决问题应用的方案以及解决问题中应用的手段等。一般由产品负责人或相关业务人员提出。例如,业务需求为实现一个在线打车的解决方案。业务需求文档中记载了这些业务需求。对业务人员提交的业务需求文档进行自然语言处理,从而得到实现这些业务需求时所用到的业务场景。以业务需求为金融服务为例,业务场景包括登录、转账、充值、提现等。自然语言处理(NaturalLanguageProcessing,简称NLP),NLP是人工智能的一个子领域,是一门融合人工智能和语言学、计算机科学等理论技术的交叉学科,包括了分词、词性标注、实体识别、关键词抽取、依存句法分析、时间短语识别、聚类、推理等技术。目前已成功应用于推荐系统、舆情监测、语音交互等领域。本专利技术实施例将自然语言处理应用到业务需求文档分析领域,对业务需求文档中的海量信息进行处理,进而提取出业务场景的相关数据,最大化减少不必要的人力劳动,并能够准确获取业务场景。102,对业务场景进行安全威胁匹配,从安全威胁数据库中获取业务场景对应的安全威胁标识。在102中,根据业务需求文档获得了业务实现过程的多个场景后,需针对每一业务场景,获得业务场景下存在的安全威胁。本专利技术实施例中根据业务场景和安全威胁数据库进行匹配来获得每一业务场景的具体安全威胁。安全威胁数据库将目前能收集到的各种威胁生成整理归纳,整理成为一个数据库,供威胁分析时使用。在安全开发体系中,安全需求分析是一系列安全开发活动的起点,但安全需求分析的完备性一直是业界难以解决的难题。在安全威胁分析的基础上,借助安全威胁数据库,特别是有金融行业特点的安全威胁数据库,将有利于提高进安全需求分析的完备性,减少安全需求分析的工作量。例如,安全威胁数据库中根据攻击机制对安全威胁分为16个大类,具体分为564个威胁点。对于每一业务场景都有与之相对应的安全威胁类别,以及安全威胁点,并以安全威胁标识进行描述,从而根据匹配结果可以获得这些安全威胁标识。安全威胁标识与相应的安全威胁类别或安全威胁点对应,可以是相应的编号,也可以是安全威胁类别和安全威胁点的名称,安全威胁标识可用于查找对应的安全威胁内容。举例如下,101分析得到的业务场景有web登录场景,进行安全威胁匹配后,可以获得登录场景下存在哪些安全威胁。安全威胁数据库中预先存储有场景对应的安全威胁和安全威胁标识,如登录场景的安全威胁包括:伪造登录请求。从而对登录场景进行安全威胁匹配,从安全威胁数据库中得到“伪造登录请求”的安全威胁标识。103,根据安全威胁,进行合规数据库的匹配,从合规数据库中获取安全威胁标识对应的监管条例.在103中,合规是指经营活动与法律、规则和准则相一致。以银行业务为例,银行监管委员会关于合规风险的界定来看,银行的合规特指遵守法律、法规、本文档来自技高网...
【技术保护点】
1.一种业务安全需求文档生成方法,其特征在于,包括:对获取的业务需求文档进行自然语言处理,获得业务需求文档相应的业务场景;对所述业务场景进行安全威胁匹配,从安全威胁数据库中获取业务场景对应的安全威胁标识;根据所述安全威胁标识,进行合规数据库的匹配,从合规数据库中获取安全威胁标识对应的监管条例;根据所述安全威胁标识和所述监管条例生成业务安全需求文档。
【技术特征摘要】
1.一种业务安全需求文档生成方法,其特征在于,包括:对获取的业务需求文档进行自然语言处理,获得业务需求文档相应的业务场景;对所述业务场景进行安全威胁匹配,从安全威胁数据库中获取业务场景对应的安全威胁标识;根据所述安全威胁标识,进行合规数据库的匹配,从合规数据库中获取安全威胁标识对应的监管条例;根据所述安全威胁标识和所述监管条例生成业务安全需求文档。2.根据权利要求1所述的业务安全需求文档生成方法,其特征在于,所述对获取的业务需求文档进行自然语言处理,获得业务需求文档相应的业务场景,包括:从所述文档中读取文字内容,并对所述文字内容进行分词和语义分析;根据分词和语义分析的结果,和预设的业务场景模板进行匹配,获得与业务需求文档对应的业务场景。3.根据权利要求1所述的业务安全需求文档生成方法,其特征在于,所述对获取的业务需求文档进行自然语言处理,获得业务需求文档相应的业务场景之前,还包括:根据不同业务场景,以STRIDE威胁分析模型为基础,结合CAPEC威胁分类方法,建立所述安全威胁数据库。4.根据权利要求1所述的业务安全需求文档生成方法,其特征在于,所述对获取的业务需求文档进行自然语言处理,获得业务需求文档相应的业务场景之前,还包括:根据不同安全威胁标识,以及安全威胁标识对应的监管条例,建立所述合规数据...
【专利技术属性】
技术研发人员:姜强,周学龙,孟庆飞,冯琨,梁科海,武锦程,王志伟,邱佑军,
申请(专利权)人:北京国舜科技股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。