一种软件安全需求分析方法及系统技术方案

本发明专利技术实施例提供了一种软件安全需求分析方法及系统，方法包括：基于建立的STRIDE威胁分析模型，获取各个业务场景的安全分析结果；根据所述安全分析结果，建立各个业务场景的安全需求基线；根据所述安全需求基线，进行情景式设计，所述情景式设计中包含多个业务场景单元，每个所述业务场景单元对应一个相应的安全需求。本发明专利技术实施例提供的一种软件安全需求分析方法及系统，通过用户对系统及业务场景的描述，利用成熟化威胁资源库和威胁分析方法论，对系统进行威胁分析和安全需求分析，从而对关键流程进行详细安全分析，确保安全需求的完备性和系统性。

A Software Security Requirement Analysis Method and System

The embodiment of the present invention provides a software security requirement analysis method and system. The method includes: obtaining the security analysis results of each business scenario based on the established STRIDE threat analysis model; establishing the security requirement baseline of each business scenario according to the security analysis results; carrying out scenario design according to the security requirement baseline, and including the scenario design. Multiple business scenario units, each of which corresponds to a corresponding security requirement. The embodiment of the present invention provides a software security requirement analysis method and system. By describing the system and business scenarios by users, using mature threat resource base and threat analysis method theory, the system is analyzed for threat analysis and security requirement analysis, so as to carry out detailed security analysis for key processes and ensure the completeness and systematicness of security requirements.

【技术实现步骤摘要】
一种软件安全需求分析方法及系统
本专利技术实施例涉及信息系统软件开发
，尤其涉及一种软件安全需求分析方法及系统。
技术介绍
在信息系统软件开发领域，通常包含需求、设计、开发、测试、部署等阶段，这些阶段就构成了软件开发全生命周期。在软件开发全生命周期，开发人员往往因为过多注重研发的功能、性能等技术实现方面，或者有时为了项目赶工，或者对安全方面认识不足，而对安全属性考虑不足，甚至完全失去对安全的因素考虑。在软件开发安全领域，关键在于抓好源头。软件开发安全的源头就在于软件需求安全，故而如何做好安全需求分析工作，对开发的系统安全质量有着直接和重要的影响。现有技术中安全需求的分析主要通过几种以下方式：1、安全岗的人员在项目立项阶段及需求讨论阶段介入，对项目上线提出相应的安全需求，一般主要从系统可用性、可靠性及性能方面提出安全需求；2、需求人员或开发人员在项目需求梳理阶段依靠以往项目经验和个人知识积累，提出一些非功能性安全需求；3、少部分企业有一定的积累，在项目需求阶段会有响应的安全需求要求和规范。但现有技术提供的方案存在一定的缺点，其中最主要的缺点就是缺乏针对性和系统性，现有技术提供的安本文档来自技高网...

【技术保护点】
1.一种软件安全需求分析方法，其特征在于，包括：基于建立的STRIDE威胁分析模型，获取各个业务场景的安全分析结果；根据所述安全分析结果，建立各个业务场景的安全需求基线；根据所述安全需求基线，进行情景式设计，所述情景式设计中包含多个业务场景单元，每个所述业务场景单元对应一个相应的安全需求。

【技术特征摘要】
1.一种软件安全需求分析方法，其特征在于，包括：基于建立的STRIDE威胁分析模型，获取各个业务场景的安全分析结果；根据所述安全分析结果，建立各个业务场景的安全需求基线；根据所述安全需求基线，进行情景式设计，所述情景式设计中包含多个业务场景单元，每个所述业务场景单元对应一个相应的安全需求。2.根据权利要求1所述的方法，其特征在于，在所述基于建立的STRIDE威胁分析模型，获取各个业务场景的安全分析结果之前，所述方法还包括：建立所述STRIDE威胁分析模型。3.根据权利要求2所述的方法，其特征在于，所述建立所述STRIDE威胁分析模型包括：识别安全目标并创建应用程序摘要；根据所述应用程序摘要，分解应用程序并识别应用程序所处环境下存在的威胁。4.根据权利要求3所述的方法，其特征在于，所述基于建立的STRIDE威胁分析模型，获取各个业务场景的安全分析结果，包括：基于建立的STRIDE威胁分析模型，对用户进行两个维度的要素分解，所述维度包括客户相关要素和客户使用场景；基于用户两个维度的要素分解结果，获取以用户为中心的各个业务场景的安全分析结果。5.根据权利要求1所述的方法，其特征在于，在所述基于建立的STRIDE...

【专利技术属性】
技术研发人员：汤志刚，姜强，胡云，冯琨，孟庆飞，
申请(专利权)人：北京国舜科技股份有限公司，
类型：发明
国别省市：北京,11