面向安全等级的安全需求工程方法与环境

项目名称： 面向安全等级的安全需求工程方法与环境

项目编号： No.61272106

项目类型： 面上项目

立项/批准年度： 2013

项目学科： 自动化技术、计算机技术

项目作者： 李晓红

作者单位： 天津大学

项目金额： 80万元

中文摘要： 软件安全问题大多是在需求阶段遗漏造成的，合理的安全需求对软件安全隐患的早期发现有着至关重要的作用，可在保证软件安全性的同时，降低开发维护成本。本项目针对安全需求工程缺乏统一和标准的量化评价体系这一现状，综合分析威胁、安全目标、软件缺陷和攻击模式等安全相关元素的深层含义和结构化特征，归纳各类软件的安全要求，制定一套等级化的安全需求体系；研究以ISO/IEC 15408为基础的安全需求工程框架，探索威胁、安全目标、软件缺陷、攻击模式、安全需求等级和评估保证等级之间的关系和转化机制；研究可描述上述各安全要素的形式化方法，构建软件安全元素的计算模型和安全知识库，通过模型检测理论和方法进行安全需求验证。开发相应的安全需求工程环境，并在网络产品软件开发中予以验证。

中文关键词： 安全需求工程；轻量形式化；安全知识库；模型检测；

英文摘要： Most of software security protoblems are caused by the omission during the requirement phase. The security of requirement has a vital role to find software vulnerabilities in the early phase. It can not only ensure software security, but also reduce development and maintenance costs. Aiming to build the industrial stardard measurement of security requirement, via analyzing the formal presentation and structure features of threats, security objectives, security flaws and attack patterns, the project will categorize seurity requirements and propose hierarchical theories of seucrity requirements; build the security framework of requirement engineering based on ISO/IEC 15408, exploring the relationship between security factors and evaluation grades, and potiential methods of transformation; explore the formal presentation of security factors to build computational models and security knowledge database and verify security requirements using model chekcing technique. Finally build the security requirements engineering environment and apply the theories and approaches above to the development of network products.

英文关键词： Security Requirements Engineering；Lightweight Formalization；Security Knowledge Base；Model Detection；