基于数据流安全威胁分析的软件产品设计方法及装置制造方法及图纸

本发明专利技术公开了一种基于数据流安全威胁分析的软件产品设计方法及装置，其中方法包括：获取用户的功能需求；通过业务流程将所述用户的功能需求转化成数据流图，其中，对所述业务流程的数据流进行优化分析以及安全威胁分析重构；将数据流图代码化得到最终产品；与现有的技术相比，本发明专利技术通过将用户的功能需求转化为可供安全设计人员以及研发设计人员可以使用的数据流图，在经过安全威胁分析以及优化分析后将数据流图进行代码化，最终得到用户需求的产品；让设计产品的过程安全可视化、标准化、流程可控，且容易学习；通过对参与角色的划分，高级设计师担当更重要的角色，一线开发人员也可通过数据流图大大增加开发效率，安全设计师也将提升安全分析和安全设计的效率。

Software product design method and device based on data flow security threat analysis

【技术实现步骤摘要】
基于数据流安全威胁分析的软件产品设计方法及装置
本专利技术属于信息安全
，尤其涉及一种基于数据流安全威胁分析的软件产品设计方法。
技术介绍
目前市场上对开发过程中的安全分析与设计，缺乏标准的流程和方法，使得安全威胁分析不统一，千人千样；开发设计是静态的，缺乏动态的安全分析；没有一套方法论，可以实践在安全开发过程中，把用户、产品设计人员、研发设计人员、安全设计人员、开发人员有机结合起来；安全威胁分析只依赖安全专家，同时安全专家对业务又经常不精通，导致安全威胁的分析结果很难形成可落地的安全设计；一线的开发人员在安全开发过程中，担任了太多重要的角色，导致形成安全瓶颈。专利技术的内容针对现有技术的不足，本专利技术要解决
技术介绍
中的部分问题。为了解决上述问题，本专利技术提供了一种基于数据流安全威胁分析的软件产品设计方法，包括：步骤(1)，获取用户的功能需求；步骤(2)，通过业务流程将所述用户的功能需求转化成数据流图，其中，对所述业务流程的数据流进行优化分析以及安全威胁分析重构；步骤(3)，将数据流图代码化得到最终产品。在一些实施例中，所述业务流程包括以下步骤：步骤(2.1)，客户端调用服本文档来自技高网...

【技术保护点】
一种基于数据流安全威胁分析的软件产品设计方法，其特征在于包括：步骤(1)，获取用户的功能需求；步骤(2)，通过业务流程将所述用户的功能需求转化成数据流图，其中，对所述业务流程的数据流进行优化分析以及安全威胁分析重构；步骤(3)，将数据流图代码化得到最终产品。

【技术特征摘要】
1.一种基于数据流安全威胁分析的软件产品设计方法，其特征在于包括：步骤(1)，获取用户的功能需求；步骤(2)，通过业务流程将所述用户的功能需求转化成数据流图，其中，对所述业务流程的数据流进行优化分析以及安全威胁分析重构；步骤(3)，将数据流图代码化得到最终产品。2.根据权利要求1所述的基于数据流安全威胁分析的软件产品设计方法，其特征在于，所述业务流程包括以下步骤：步骤(2.1)，客户端调用服务端的业务API；步骤(2.2)，业务接口对参数进行校验；步骤(2.3)，服务端的业务接口调用认证接口；步骤(2.4)，根据认证接口的返回接口，返回响应信息发送给客户端。3.根据权利要求2所述的基于数据流安全威胁分析的软件产品设计方法，其特征在于，所述业务流程至少包括一个数据流；所述数据流包括：设置数据流开始标识、设置数据流API标识、设置数据流请求变量标识、设置数据流判断变量标识、设置数据流中间变量标识、设置数据流响应变量标识以及数据流变量描述。4.根据权利要求3所述的基于数据流安全威胁分析的软件产品设计方法，其特征在于，所述业务流程具体包括：不能出现无线循环，每个判断，最终都可以走到流程结束；判断逻辑，有且仅有一个入口，只能针对判断变量，判断结果最多只能有2个不同分支；针对同一个数据流request和response必须只有一种；一个完整的业务流程中，数据流应控制在5个以内；关键变不能存在url中；存在多个判断变量影响结果完全一致，要合并表示。5.根据权利要求1所述的基于数据流安全威胁分析的软件产品设计方法，其特征在于，所述步骤(2)具体包括：优化分析，具体包括判断变量合并、业务合并、响应合并以及异常变量；安全威胁分析，具体包括保密性、完整性、防重放、身份认证授权、参数格式校验、攻击防护以及业务逻辑漏洞。6.一种基于数据流安全...

【专利技术属性】
技术研发人员：程威，
申请(专利权)人：北京思源互联科技有限公司，
类型：发明
国别省市：北京,11