軟件安全工程

1、軟件安全性工程姓名：學號：第二章 軟件與系統(tǒng)安全 安全性是指不發(fā)生導致人員傷亡、職業(yè)病、設(shè)備損壞或財產(chǎn)損失的意外事件的能力。 1986年，Nancy Leveson 向計算機科學界提出“軟件安全性”的概念。 GJB142-2004軍用軟件安全性分析指南定義的軟件安全性味“軟件具有的不導致事故發(fā)生的能力。確切的說，軟件安全性是軟件的功能安全性?！?軟件安全性是軟件的一個質(zhì)量屬性或一種能力。軟件安全性是軟件的一個質(zhì)量屬性或一種能力。要在系統(tǒng)壞境中討論軟件安全性。軟件安全性的提出及定義 強調(diào)要在系統(tǒng)環(huán)境中討論軟件安全性： 軟件安全性離不開系統(tǒng)安全性，特別是在航空航天等大型復雜嵌入式系統(tǒng)中更是如此。軟

2、件安全性需求來源于系統(tǒng)安全性要求，只有通過對復雜系統(tǒng)逐層的危險分析，才能確定系統(tǒng)所面臨的危險，只有依據(jù)對具體系統(tǒng)設(shè)計方案的分析，才能確定軟件與相關(guān)危險的關(guān)聯(lián)度，在此基礎(chǔ)上才能進一步分析確定軟件的安全性需求和軟件的關(guān)鍵等級。 軟件本身對人員不會產(chǎn)生威脅，但軟件中的缺陷有可能通過硬件、軟件的接口使硬件發(fā)生誤動和失效，造成嚴重的安全事故。危險與風險 危險 可能導致事故的狀態(tài)。-GJB 900 可能導致或有助于事故或災難（人員傷亡、或系統(tǒng)毀壞、或財產(chǎn)損失或環(huán)境破壞等）發(fā)生的實際條件或潛在條件（一維） 風險 不期望的事件或狀態(tài)發(fā)生的嚴重度與可能性（二維）軟件怎樣會有危險？ 軟件自身設(shè)計沒有按照需求正確實

3、現(xiàn)系統(tǒng)要求的功能或是采用了錯誤的設(shè)計參數(shù)、運行數(shù)據(jù)等。 軟件需求或設(shè)計遺漏。 軟件運行支撐環(huán)境出現(xiàn)故障。 與軟件輸入信號相關(guān)的傳感器、傳輸線或硬件輸入接口等發(fā)生故障。安全關(guān)鍵軟件 安全關(guān)鍵軟件對安全性要求苛刻，它能夠控制或監(jiān)控危險。 實例監(jiān)控探測系統(tǒng)：當溫度超過閥值時，操作員必須關(guān)閉硬件。這時軟件需要將硬件溫度傳感器測得的溫度轉(zhuǎn)換成適當?shù)臄?shù)據(jù)形式顯示在屏幕上提醒操作員。通過建模和仿真軟件得到的軟件反應用來進行設(shè)計優(yōu)化，不準會導致設(shè)計錯誤。軟件控制危險 當今的系統(tǒng)復雜性單靠硬件控制已經(jīng)不夠，很多控制利用軟件控制的快速反應能力。監(jiān)控危險硬件或執(zhí)行糾正措施監(jiān)控潛在危險條件抑制某些可能導致危險事件的操

4、作軟件與危險控制的關(guān)系 NASA主要依賴硬件控制危險，同時結(jié)合軟件防止危害。 硬件控制：追蹤記錄更好、作為軟件控制的備份 軟件控制：軟件是第一道防線、能實時監(jiān)測不安全條件并適當回應 在系統(tǒng)開發(fā)過程中，要特別關(guān)注軟件的“控制防止危險功能”，軟件必須經(jīng)過嚴格的開發(fā)和測試。軟件控制風險警告 軟件控制風險時，必須將控制軟件與風險原因隔離開。 在風險或異常可能發(fā)生的地方，風險控制軟件可駐留在一個單獨的計算機處理器中。 使用防火墻或類似隔離系統(tǒng)風險控制軟件。 NASA的經(jīng)驗表明，考慮到電腦是唯一的風險監(jiān)控、監(jiān)測或控制手段，當發(fā)生故障時，自動關(guān)閉程序或計算機可能導致更嚴重的危險。采用自我隔離或檢測糾正或減輕

5、問題，這樣可能更好。故障和容錯 故障是指軟件在運行過程中出現(xiàn)的一種不希望或不可接受的內(nèi)部狀態(tài)，通常是由于軟件缺陷在運行時引起并產(chǎn)生的錯誤狀態(tài)。如不正確的數(shù)值，數(shù)據(jù)在傳輸中產(chǎn)生的偏差。 失效是指程序的運行偏離了需求，是動態(tài)運行的結(jié)果，軟件執(zhí)行遇到軟件中的缺陷時可能會導致軟件的失效。如死機、錯誤的輸出結(jié)果、沒有在規(guī)定的時間內(nèi)響應都是失效。 所謂容錯是指在故障存在的情況下計算機系統(tǒng)不失效，仍然能夠正常工作的特性。 NASA的標準是：災難性的危險必須能夠容忍兩種風險控制失效。關(guān)鍵危險必須能夠容忍一個風險控制失效。系統(tǒng)安全規(guī)劃計劃 系統(tǒng)安全規(guī)劃計劃是安全執(zhí)行開發(fā)和分析軟件的先決條件 。系統(tǒng)安全規(guī)劃計劃為

6、產(chǎn)品開發(fā)提供了了組織結(jié)構(gòu)、接口和所需的標準分析、報告、評價和數(shù)據(jù)保留。安全計劃還描述軟件分析模式、為整個軟件開發(fā)周期中的系統(tǒng)和子系統(tǒng)提供一個時間表，它還標明特定的要求。 在開發(fā)軟件之前還要進行危害分析（PHA）,識別潛在的危險，做到在設(shè)計之初排除錯誤。系統(tǒng)安全過程 系統(tǒng)安全分析貫穿系統(tǒng)開發(fā)的整個生命周期。系統(tǒng)的開發(fā)整合了硬件、軟件和開發(fā)人員，因此應當具有讓各方面人才能發(fā)揮優(yōu)勢的接口，通過發(fā)揮各工程學科人員的優(yōu)點構(gòu)思、設(shè)計系統(tǒng)，從單一到整體都進行評估，從而設(shè)計出好的系統(tǒng)。 采用并行工程監(jiān)管，使信息和通信得到改善，加強各個學科之間交換想法，減少重復努力。 系統(tǒng)安全過程應當從開始階段排除潛在的危險，

7、這樣的設(shè)計更容易、更簡單、更經(jīng)濟。系統(tǒng)安全性和軟件開發(fā) 對于NASA,系統(tǒng)安全并不在軟件開發(fā)周期中，它有自己的一些任務。 NASA的系統(tǒng)安全任務有： 創(chuàng)建用來描述設(shè)備（硬件、軟件、開發(fā)人員、操作人員）屬性的數(shù)據(jù)包，并且提供任何有關(guān)安全隱患、控制或者移植的信息。 在整個系統(tǒng)開發(fā)周期中進行安全審查。 進行安全認證活動，包括完成發(fā)射前日志跟蹤，日志里要含有所有的安全功能、控制功能記錄。第三章 軟件安全計劃軟件安全性工作要求軟件安全性工作，在實際開展過程中，應該滿足下列各項要求，這些要求都是實際問題項目中總結(jié)出來的寶貴經(jīng)驗。 確保系統(tǒng)/子系統(tǒng)進行安全性分析以明確安全性關(guān)鍵軟件； 確保系統(tǒng)/子系統(tǒng)進行安

8、全性分析以明確定義軟件需求說明的重要輸入信號，如危險命令、邊界值、相互關(guān)系的制約、事件的前后時序、時間的限制、表面邏輯、失效容限、對危險硬件失效的識別、警告和提示界面等; 確保軟件需求規(guī)格說明的開發(fā)包含了軟件安全性需求（必須做什么 、不能做什么）； 確保將軟件安全性需求融合到軟件的設(shè)計與實現(xiàn)中； 確保建立起合適的驗證和確認機制以保障軟件安全需求得到貫徹實 施； 確保測試計劃和過程符合軟件安全性驗證需求的內(nèi)容； 確保軟件安全性驗證工作的結(jié)果滿足要求；系統(tǒng)要求分析和軟件定義階段 開展系統(tǒng)初步危險分析 在此階段開展初步危險分析的目的是標識正在開發(fā)的系統(tǒng) 的危險 ，及其概要原因因素，同時要確定軟件是否

9、是安全關(guān)鍵的。此工作可采用方法有功能危險分析、FTA、FMECA等危險分析方法。 制定軟件安全性工作計劃。 制定軟件安全性工作計劃的目的是為計劃軟件安全努力程度，并 根據(jù)軟件及其系統(tǒng)的風險等級來對工作進行裁減。這部分內(nèi)容的 主要工作內(nèi)容包括： 確定軟件關(guān)鍵性等級。 確定軟件開發(fā)不同階段軟件安全性工作、方法選取、責任人。 明確不同等級軟件的安全性努力程度。 明確軟件安全性跟蹤方式。軟件需求分析階段該階段軟件安全性的主要工作是確定軟件安全性需求，并 驗證其完整性、正確性、一致性。主要工作包括： 提取軟件安全性需求 裁減通用軟件安全性需求 GJB/Z102軟件可靠性安全性設(shè)計準則 NSTS 1994

10、3, Command Requirements and Guidelines for NSTS Customers 獲取特定軟件安全性需求 可綜合采用自頂向下分析（如SFTA）、初步危險分析（ PHA）、自底向上的分析（如SFMEA）等方法，并特別考慮 故障和失效容限、危險命令、時間、和吞吐量等方面。 軟件安全性需求分級軟件安全性需求獲取工作要求 軟件安全性需求應包含在軟件需求規(guī)格說明中； 軟件安全性需求應包括通用需求和特定需求，這些需求應來源 于相關(guān)標準、系統(tǒng)安全性需求、環(huán)境需求、程序說明書、工具 或設(shè)施需求、接口需求、系統(tǒng)危險報告和系統(tǒng)危險分析等； 軟件安全性需求既應包括有效運行的模式或狀

11、態(tài)，又應包括所 有應禁止的模式或狀態(tài)。（注：這些需求通常被稱為“必須工 作”和“必須不工作”，例如，在機器人的維護模式下，啟動 機器人手臂運動的關(guān)鍵命令必須不能工作。）； 任何與安全性有關(guān)的軟、硬件間的約束應納入軟件需求規(guī)格說 明，即，當軟、硬件協(xié)同完成一項安全關(guān)鍵功能時，他們的各 自角色、優(yōu)先級和失效模式應被記錄下來并能得到理解； 每一項軟件安全性需求在軟件需求規(guī)格說明 中的表達方式應明確和規(guī)范，以使每一項需 求都清晰、準確、不含糊、可驗證、可測試 、可維護和可實現(xiàn)； 每一項軟件安全性需求在軟件需求規(guī)格說明 中都應具有一個清晰的唯一標識，并在軟件 開發(fā)和運行全過程進行追蹤。驗證軟件安全性需求

12、 軟件安全性需求驗證包括評估需求的正確性 與完整性，以確保需求提供了合適的基礎(chǔ)以 便繼續(xù)開展設(shè)計碼和測試。 驗證方法可采取正式審查（檢查單）、形式化方 法（包括Petti網(wǎng)、模型檢驗等）等手段進行。軟件安全性需求驗證工作要求 軟件安全性人員應對軟件安全性需求進行驗證，驗證對象應既包括技術(shù)需求，又包括過程要求。 軟件安全性需求驗證方法應記錄在合適的文檔中，并 應至少包括如下步驟： 應驗證所有的軟件安全性需求滿足上文中獲取安全性需求的工作要求中的所有要求； 應驗證軟件安全性需求對潛在失效進行了充分的考慮并提供了適當?shù)捻憫?，應至少考慮由于如下問題會產(chǎn)生的失效：幅 值/范圍等限制、相互依賴的限制之間的

13、邏輯關(guān)系、對時序錯 誤的事件的保護、定時問題、傳感器或執(zhí)行器的失效、表決 邏輯、危險命令的處理需求、故障檢測隔離和恢復（FDIR）、用于容失效的切換邏輯、以及在需要時達到并維持在某安全狀態(tài)的能力； 應驗證軟件安全性需求包括了防止?jié)撛趩栴}的積極措施，這些措施是用于防止?jié)撛谖ｋU發(fā)生并實現(xiàn)所要求的“必須工作”的功能。 檢查軟件安全性需求中是否存在二義性、不一致性、遺漏和未定義的條件； 應驗證所有的軟件安全性需求對相關(guān)標準、系統(tǒng)安全性需求、環(huán)境需求、程序 說明書、工具或設(shè)施需求、接口需求、系統(tǒng)危險報告和系統(tǒng)危險分析等是可追溯的； 上述的分析驗證結(jié)果應形成文檔并提供給系統(tǒng)安全性人員，文檔中 應包括新發(fā)現(xiàn)的危險、危險原因以及沒有被適當分解的需求； 應將沒有被適當分解的需求形成文檔提交給系統(tǒng)設(shè)計層以求解決； 在正式的系統(tǒng)設(shè)計評審（project review）和系統(tǒng)安全性評審時， 應由負責相關(guān)工作的安全性組織提交并匯報軟件安全性需求分析驗證的結(jié)果。設(shè)計階段 軟件安全性設(shè)計工作要求 所