● 摘要
在传统的保密性领域的研究中,对于系统漏洞的识别与分析多是在软件生命周期的后期进行,并且主要是针对代码中的漏洞进行分析。但事实上,对于软件中存在的缺陷与漏洞越早发现,进行改进的成本越低,消除漏洞的效果也越好。因此,最有效的减少软件漏洞的方法应当在软件生命早期,即需求阶段就采取措施,从而有效提高软件的保密性。但是目前对于保密性需求的研究较少,可用于需求阶段的保密性分析技术也非常有限。
相对而言,在与保密性非常相似的安全性领域中,对于安全性需求的研究较多,可用于获取安全性需求的安全性分析方法众多,应用也较为广泛。保密性与安全性的研究有诸多相似之处,二者的目的都是提高保障系统安全、正常运行,两个领域也有许多的技术可以相互借鉴。STPA是一种先进的安全性分析方法,擅长在软件生命早期分析系统中的危险,进而提出安全性需求。SPTA方法具有良好的广泛适用性,可以应用于许多领域的研究。
本文首先研究比较了保密性与安全性在定义、研究内容、分析方法等方面的联系与区别,并研究了一些安全性分析技术在保密性领域中的应用情况,表明了STPA在保密性领域应用的可行性。
然后,提出了基于一种基于STPA的保密性分析方法(SBSA),并依据STPA自身的方法步骤、结合保密性所要分析的主要内容和特点,研究出SBSA方法的基本内容与分析步骤。
接着,运用SBSA方法对常见的系统进行漏洞分析,给出了常见系统中存在的一些通用漏洞类型,为分析人员进行系统漏洞分析时提供了参考。
最后针对一个实例系统,运用本文提出的SBSA方法对该系统进行保密性分析,给出了该系统的漏洞列表,验证了论文研究方法的有效性。
相关内容
相关标签