基于未確知測(cè)度理論和粗糙集的軟件安全等級(jí)細(xì)化方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及安全需求獲取技術(shù)領(lǐng)域,特別是涉及一種安全需求等級(jí)細(xì)化方法����。
【背景技術(shù)】
[0002] 隨著計(jì)算機(jī)的廣泛應(yīng)用,軟件和信息系統(tǒng)已經(jīng)滲透到各行各業(yè),且在信息社會(huì)扮 演著一個(gè)重要的角色���。然而在軟件的整個(gè)生命周期中��,軟件安全問題卻帶來高維護(hù)成本���,這 些持續(xù)增加的運(yùn)營(yíng)成本要求組織仔細(xì)考慮他們?nèi)绾谓鉀Q軟件安全問題。在軟件生命周期的 需求階段關(guān)注安全問題是最節(jié)約開發(fā)和維護(hù)成本的方法���。因此���,軟件需求工程中的安全需 求等級(jí)評(píng)估成為研宄熱點(diǎn)。
[0003] 目前各國都有自己的安全需求等級(jí)評(píng)估規(guī)范����,這些規(guī)范都給出了較全面的安全等 級(jí)描述。GB/T17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分標(biāo)準(zhǔn)》將安全需求等級(jí)劃分 為五個(gè)等級(jí)����,并映射到部分安全功能組件上。但多數(shù)規(guī)范都是通用的標(biāo)準(zhǔn)�,且并沒有針對(duì)不 同類型軟件或系統(tǒng)給出相應(yīng)的規(guī)范,這樣針對(duì)不同類型的軟件或系統(tǒng)在安全功能組件篩選 時(shí)就存在模糊����、不精確的困難�����。
【發(fā)明內(nèi)容】
[0004] 為了克服上述現(xiàn)有技術(shù)的問題,本發(fā)明提出了一種基于未確知測(cè)度理論和粗糙集 的軟件安全等級(jí)細(xì)化方法��,以GA/T390《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)》對(duì)CC標(biāo) 準(zhǔn)中部分安全功能組件等級(jí)劃分為基礎(chǔ)��,對(duì)不同特性的軟件系統(tǒng)進(jìn)行分類�,并在CC官網(wǎng)中 已發(fā)布的不同安全需求等級(jí)、不同種類軟件系統(tǒng)的PP�����、ST文檔中選取的安全功能組件進(jìn)行 歸納總結(jié)�,以此為依據(jù),采用粗糙集理論和未確知測(cè)度理論對(duì)不同等級(jí)下不同種類的軟件 系統(tǒng)在各安全特性的需求等級(jí)進(jìn)行細(xì)化����。
[0005] 本發(fā)明提出的一種基于未確知測(cè)度理論和粗糙集的軟件安全等級(jí)細(xì)化方法,該方 法包括以下步驟:
[0006] 第一步�����、獲得軟件系統(tǒng)分類,參照CC官網(wǎng)對(duì)軟件系統(tǒng)的分類情況�,根據(jù)各軟件系 統(tǒng)的不同特性,從系統(tǒng)層面�、網(wǎng)絡(luò)層面、實(shí)體層面����、應(yīng)用層面四個(gè)方向?qū)④浖到y(tǒng)分為12個(gè) 大類;
[0007] 第二步��、抽取CC官網(wǎng)上已發(fā)布的各類型的軟件系統(tǒng)的PP�、ST文檔中選取的安全功 能組件,從中選取各軟件系統(tǒng)的安全功能組件�����;
[0008] 第三步�、根據(jù)安全功能組件與安全需求等級(jí)的映射關(guān)系,細(xì)化每個(gè)軟件系統(tǒng)各安 全功能族的安全需求等級(jí)��;
[0009] 第四步�����、采用粗糙集理論和未確知測(cè)度理論計(jì)算得出各安全需求等級(jí)下各類型的 軟件系統(tǒng)在各安全特性中的安全需求等級(jí)��,得到三維等級(jí)評(píng)估規(guī)范。
[0010] 所述第四步的所述采用粗糙集理論和未確知測(cè)度理論計(jì)算得出各安全需求等級(jí) 下各類型的軟件系統(tǒng)在各安全特性中的安全需求等級(jí)的步驟����,具體包括以下處理:
[0011] 單指標(biāo)未確知測(cè)度計(jì)算,設(shè)1^使xi處于第k(k= 1�,2, . . . 5)個(gè)評(píng)價(jià)等級(jí)Levelk 的程度為UiA,l^k即為未知測(cè)度����,表示對(duì)程度的一種測(cè)量結(jié)果����;測(cè)度滿足"非負(fù)有界性、可加 性���、歸一性"三條測(cè)量準(zhǔn)則�。單指標(biāo)測(cè)度矩陣表示如下:
【主權(quán)項(xiàng)】
1. 一種基于未確知測(cè)度理論和粗趟集的軟件安全等級(jí)細(xì)化方法����,其特征在于,該方法 包括W下步驟: 第一步��、獲得軟件系統(tǒng)分類�,參照CC官網(wǎng)對(duì)軟件系統(tǒng)的分類情況�,根據(jù)各軟件系統(tǒng)的 不同特性���,從系統(tǒng)層面���、網(wǎng)絡(luò)層面、實(shí)體層面��、應(yīng)用層面四個(gè)方向?qū)④浖到y(tǒng)分為12個(gè)大 類����; 第二步、抽取CC官網(wǎng)上已發(fā)布的各類型的軟件系統(tǒng)的PP��、ST文檔中選取的安全功能組 件����,從中選取各軟件系統(tǒng)的安全功能組件; 第=步���、根據(jù)安全功能組件與安全需求等級(jí)的映射關(guān)系��,細(xì)化每個(gè)軟件系統(tǒng)各安全功 能族的安全需求等級(jí)��; 第四步��、采用粗趟集理論和未確知測(cè)度理論計(jì)算得出各安全需求等級(jí)下各類型的軟件 系統(tǒng)在各安全特性中的安全需求等級(jí)�����,得到=維等級(jí)評(píng)估規(guī)范����。
2. 如權(quán)利要求1所述的基于未確知測(cè)度理論和粗趟集的軟件安全等級(jí)細(xì)化方法,其特 征在于�,所述第四步的所述采用粗趟集理論和未確知測(cè)度理論計(jì)算得出各安全需求等級(jí)下 各類型的軟件系統(tǒng)在各安全特性中的安全需求等級(jí)的步驟,具體包括W下處理:�。 單指標(biāo)未確知測(cè)度計(jì)算,設(shè)Xy使Xi處于第k化=1����,2,…5)個(gè)評(píng)價(jià)等級(jí)Leve化的程 度為Uuk�,Uuk即為未知測(cè)度,表示對(duì)程度的一種測(cè)量結(jié)果���;測(cè)度滿足"非負(fù)有界性����、可加性�、 歸一性條測(cè)量準(zhǔn)則�����。單指標(biāo)測(cè)度矩陣表示如下:
其中��,i為安全特性的數(shù)目�����,m為該安全特性下的評(píng)價(jià)指標(biāo)的數(shù)目��,k為評(píng)價(jià)等級(jí)空間元 素的個(gè)數(shù)�; 某一評(píng)價(jià)因素在某一評(píng)價(jià)指標(biāo)下��,針對(duì)等級(jí)評(píng)價(jià)空間各元素的測(cè)度是不同的��,采取將 多個(gè)安全功能需求等級(jí)的總概率平均分給每個(gè)等級(jí)指標(biāo)綜合測(cè)度的確定��,首先依據(jù)公式 (2)計(jì)算出各評(píng)價(jià)指標(biāo)在指標(biāo)集合中的重要度Wj.��,得到第i個(gè)安全特性類的分類權(quán)重集合 狀�;',爪;:=(巧''�,礦;;'�,...,枯)即為評(píng)價(jià)指標(biāo)關(guān)于安全特性的分類權(quán)重����,然后再根據(jù)公式(2)分別 計(jì)算出該安全特性類下各指標(biāo)的權(quán)重WjU=m),得到第i個(gè)安全特性類的指標(biāo)綜合測(cè)度 yi��,(y …y�。,…����,y J ;
其中,論域U=扣1�,U2,…!]。}表示評(píng)價(jià)因素集合�,屬性集C= {Ci,C2,…Qj表示評(píng)價(jià)指 標(biāo)集合��,Wb表示條件屬性b在屬性集C中的重要度�����,Wb越大�����,表明條件屬性b對(duì)決策屬性貢 獻(xiàn)越大���,若Wb= 0,表明條件屬性b是冗余的�,而條件屬性b的權(quán)重系數(shù)定義為
(2) 評(píng)價(jià)準(zhǔn)則�����,獲取指標(biāo)綜合測(cè)度后����,設(shè)置置信度來得到最終評(píng)價(jià)等級(jí)k。:
其中�,設(shè)A〉〇. 5,通常.為0. 6或0. 7 ;k。即為某一類型軟件系統(tǒng)下��,某一安全特性類的 安全功能需求等級(jí)��。
【專利摘要】本發(fā)明公開了一種基于未確知測(cè)度理論和粗糙集的軟件安全等級(jí)細(xì)化方法���,包括:第一步�����,獲得軟件系統(tǒng)分類�����;第二步�,抽取CC官網(wǎng)上已發(fā)布的各類型的軟件系統(tǒng)的PP、ST文檔中選取的安全功能組件����,從中選取各軟件系統(tǒng)的安全功能組件;第三步���,根據(jù)安全功能組件與安全需求等級(jí)的映射關(guān)系��,細(xì)化每個(gè)軟件系統(tǒng)各安全功能族的安全需求等級(jí)�;第四步:采用粗糙集理論和未確知測(cè)度理論計(jì)算得出各安全需求等級(jí)下各類型的軟件系統(tǒng)在各安全特性中的安全需求等級(jí)����,得到三維等級(jí)評(píng)估規(guī)范。本發(fā)明提高了通用性�����、可信性和準(zhǔn)確性����,避免了安全需求等級(jí)評(píng)估過程中的不確定性問題,減少了冗余評(píng)估項(xiàng)�,提高了方法的效率和可用性;適用于不同類型的軟件系統(tǒng)���,具有普適性��。
【IPC分類】G06F21-57
【公開號(hào)】CN104850794
【申請(qǐng)?zhí)枴緾N201510284421
【發(fā)明人】李曉紅, 李洪波, 吳曉菲, 孫達(dá)志, 張蕾
【申請(qǐng)人】天津大學(xué)
【公開日】2015年8月19日
【申請(qǐng)日】2015年5月28日