常用安全需求分析方法包括误用和滥用案例、滥用框架、反模型、横切威胁和安全质量需求工程(Security Quality Requirements Engineering, SQUARE)。其中误用和滥用案例、滥用框架、反模型和横切威胁分别是传统的需求分析方法在用例、问题框架、面向目标、面向方向上的安全扩展,强调了需求分析中的安全性。SQUARE是卡耐基梅隆大学开发的一套过程模型,它为信息技术系统和应用的安全需求提供了一种启发、分类和排序的方法。
1.用例上的扩展:滥用案例
UML、用例等建模和设计工具可以帮助软件开发人员规范地描述和设计软件的行为。但使用这些建模和设计工具的前提是:软件用户的所有行为都是正确的。这意味着开发人员是基于系统不会被有意滥用的假设来理解系统的完全功能的。那么,当系统被有意滥用时,它会如何表现呢?结果是未知的。
开发安全、可靠的软件,除了标准化的特性和功能之外,软件安全专业人员还需要顾及其他因素,并仔细考虑意外或反常的行为,这样才能更好地理解如何创建安全、可靠的软件。滥用案例可以帮助开发者把软件置于攻击者的状态,考虑到超越正常思维和意料之外的事件,从而减少攻击者可攻击的漏洞。
滥用案例的典型方法有误用用例和滥用用例。误用用例方法主要从功能性用例的文本描述中分析可能存在的安全漏洞并识别出对应的威胁,建立威胁用例,针对威胁用例建立安全需求用例。滥用用例方法主要用于捕获攻击者与系统之间的交互所产生的威胁。该方法重视对攻击者的描述,主要对攻击者的企图、攻击能力进行评估。滥用用例方法针对识别出的威胁,单独建立威胁用例,与误用用例方法不同的是:建立好的威胁用例并不与功能性用例产生交互,威胁用例仅说明系统面临的安全威胁。威胁用例的描述形式既可以采用已有的用例模板,也可采用漏洞攻击树。
滥用用例是通过下面的五个步骤创建的:
1)用UML的方法描述参与者和用例。
2)引入主要的滥用者和滥用用例。
3)研究滥用用例和用例之间潜在的include关系。
4)引入新的用例来发现或阻止滥用用例。
5)形成更加详细的需求记录。
通过创建滥用用例可以捕获和描述相关的攻击,并允许分析人员仔细地考虑当这些安全机制无效或者被破坏时会导致的后果,同时可以使分析者深入了解系统假设以及攻击者如何利用和破坏它们。
