欢迎来到天天文库
浏览记录
ID:53762977
大小:1.28 MB
页数:7页
时间:2020-04-24
《基于通用知识的软件设计安全性评估-论文.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、2013年第22卷第l1期http://www.c-S-a.org.ca计算机系统应用基于通用知识的软件设计安全性评估①戚荣波,杜晶,杨叶(中国科学院软件研究所,北京100190)摘要:安全性作为软件系统的重要属性,越来越受到人们的重视.在软件开发的早期对安全性进行评估,对软件的质量控制和成本控制有着重要意义.当前的软件安全性评估主要依靠专家评审,结果的客观性及准确性常常受到专家主观意见的影响.通过使用通用知识作为评估依据,提出一种可以对UML顺序图形式的软件设计文档进行自动化分析的方法,可以发现软件设计中潜在的安全性漏洞.该方法可以减少结果中的主观性,同时,通过基于该方法的辅助
2、工具的使用,可以大大提高评估效率.关键词:软件安全性;通用知识;攻击模式;软件安全性评估;UML顺序图Knowledge-BasedSecurityEvaluationinSoftwareDesignQIRong—Bo,DUJing,YANGYe(InstituteofSoftware,ChineseAcademyofSciences,Beijing100190,China)Abstract:Asanimportantpropertyofthesoftwaresystem,softwaresecurityhasdrawnmoreandmoreattention.Securitye
3、valuationintheearlyphaseofthesoftwaredevelopmentisimportanttosoftwarequalityandcostcontro1.Currentexpert-basedreviewandinspectionmethodsCanbeerror-proneandsubjective.Inthispaper,wehaveproposedaknowledge-basedsecurityevaluationapproachwhichcandetectvulnerabilitiesintheUMLsequencediagrams.Withc
4、ommonknowledgeastheevaluationreference,wecanreducethesubjectivityintheresult.WealsohavedevelopedasupporttoolwhichCanautomaticallyperformmostoftheworkinthemethodandimprovetheeficiency.Keywords:softwaresecurity;commonknowledge;atackpatern;softwaresecurityevaluation;UMLsequencediagram软件安全性是软件系统的
5、一个重要属性【lJ.软件式的软件设计文档为评估对象,对软件攻击模式的通安全性的评估工作,对软件安全有着重要意义.软件用知识进行分析建模以作为安全性评估的依据,从而安全性存在于软件的整个生命周期,但在软件开发后对软件设计的安全性进行客观的评估.同时,我们也期解决问题的代价往往要远大于前期.因此,在软件实现了相应的评估工具,对此方法中的大部分过程实开发早期对软件设计进行安全性评估,对软件安全性现了自动化.有重要意义.在软件开发早期,当前主流的评估方法是对软件1研究现状设计进行专家评审l2】,这类方法往往耗时长,代价高.1.1评估依据同时,由于依靠专家判断,结果的客观性往往会受到当前软
6、件安全性评估的主要依据及参考是一些公影响.此外,专家资源作为一种稀缺资源,也对软件开的安全性标准.ITSECt标准是第一个单独对安全性的安全性评估增加了难度和成本.评估建立的标准,主要针对的是许多欧洲国家的计算针对这些问题,本文提出了一种在软件设计阶段机系统和产品.在此之后,CommonCriteria标准【8】被建进行的安全性评估的方法.此方法以UML顺序图形立以取代TCSEC[9]以及ITSEC,它包含全球公认的评①基金项目:国家自然科学~(61073044,71101138,61003028);[~家重大科技专项(2O12zxOlO39-Oo4);北京市自然科q:~'(41
7、22087)收稿时间:2013.04-09;收到修改稿时间:2013.05-07.SpecialIssue专论·综述1计算机系统应用http://www.c—S-a.org.cn2013年第22卷第11期估标准,目前被广泛使用.RFC3871[m】定义了一系列细记录了软件开发工业中发现过的问题以及问题所造针对大型Ip网络设施的操作性安全需求,它使得网络成的影响.当遇到新的类似问题时,经常会用这类知运营商可以和设备供应商沟通他们的安全性需求.识来提供参考帮助.MITRE通过枚举基线
此文档下载收益归作者所有