軟體安全需求分析

二、軟體安全需求**

三、需求的獲取

為了開發出滿足使用者需求的軟體產品，首先需要知道的是使用者的需求。這是對軟體開發工作能否取得成功的基礎條件。

1）確定系統的綜合要求

2）分析系統的資料要求

準確全面的定義資料，正確的描述資料之間的邏輯關係。

3）匯出系統的邏輯模型

使用資料流圖、實體-聯絡圖、狀態轉換圖、資料字典等邏輯模型。

4）修正系統開發計畫

在分析過程中，對系統的深入理解，可以具體的、準確的估計系統的成本和進度，修正以前制定的計畫。

1）軟體安全需求分析的目的與作用

2）安全需求分析與軟體需求分析的聯絡

軟體安全需求分析是軟體需求分析的乙個必要組成部分。安全需求應該與業務需求具有同樣的需求水平，並能對功能需求具有約束力。

3）安全需求分析與軟體需求分析的區別

軟體安全需求的客觀性：

軟體安全需求分析是由系統的客觀屬性決定的。與一般需求分析的不同在於：安全需求並不是從使用者的要求和興趣出發，而是由系統的客觀屬性決定的。

軟體安全需求的系統性：

軟體安全需求分析不能只從系統本身出發，必須從系統角度進行分析。因為軟體本身可能會由於邏輯、資料、時序等設計缺陷導致安全問題。從系統角度分析，不可避免涉及到各個領域的專業知識與經驗積累。因此分析時應以人為主，分析工具只能起到輔助作用。並且分析時需要有專業的分析人員，熟悉系統架構的總體設計人員，軟體設計人員和各領域專家共同參與。

4）安全需求分析的主要工作

首先需要確定明白你軟體的業務執行環境、規則環境及技術環境。然後在了解各類軟體安全需求的基礎上，通過一定的安全需求獲取過程，對軟體應該包含的安全需求進行分析，然後對如何實際部署和開發進行討論。

內部安全需求：

主要是法律法規等遵從性需求，包括國家和地區的關於技術與管理的法律法規、標準與要求等。

主要由資訊系統安全的測評國際保準、資訊保安管理的國際標準、資訊系統安全工程國際標準以及我國的資訊保安標準等組成。

軟體安全需求獲取的相關方包括業務負責人、終端使用者、客戶、安全需求分析人員和安全技術支援人員等。

業務負責人、終端使用者和客戶咋安全需求確定是發揮著重要作用，應當積極的參與安全需求的採集和分析過程。

此外，運維小組與資訊保安小組等技術支援人員頁式相關方，應與分析人員、業務負責人、客戶等做好積極溝通，尋求支援與幫助。

1）頭腦風暴

又稱之為智力激勵法、自由思考法，是指無限制的思考和自由聯想、討論等，其目的在於產生新觀念或者激發新創想。值得注意的是，這種情況只適用於需要快速實現的情況下使用。並且這種方式提出的安全需求可能不全面或不一致，以來於個人對問題的理解以及自身的經驗等，比較主觀。

2）問卷調查和訪談

通過問卷調查，可以直接的生成安全需求。其有效性取決於如何向被調查物件提出和是的問題。調查時應該覆蓋當前軟體的安全設計原則和安全配置檔案的內容，應當考慮業務風險、過程風險和技術風險。

3）策略分解

將組織需要遵守的內部和外部政策，包括法律法規、隱私和遵從性命令分解成詳細的安全需求。這是乙個連續化的結構化的過程。

4）資料分類

更具資料的生命週期管理對資料分階段劃分來決定安全需求。也可以根據資料的重要性等級的劃分來確定。

5）主客體關係矩陣

採用主/課題無關係矩陣來刻劃乙個基於使用用例的主/客體之間的操作關係，在此基礎之上確立安全需求。

軟體安全需求分析

軟體需求分析

軟體需求分析

軟體需求分析

相關推薦