基于未确知测度理论和粗糙集的软件安全等级细化方法
【技术领域】
[0001] 本发明涉及安全需求获取技术领域,特别是涉及一种安全需求等级细化方法。
【背景技术】
[0002] 随着计算机的广泛应用,软件和信息系统已经渗透到各行各业,且在信息社会扮 演着一个重要的角色。然而在软件的整个生命周期中,软件安全问题却带来高维护成本,这 些持续增加的运营成本要求组织仔细考虑他们如何解决软件安全问题。在软件生命周期的 需求阶段关注安全问题是最节约开发和维护成本的方法。因此,软件需求工程中的安全需 求等级评估成为研宄热点。
[0003] 目前各国都有自己的安全需求等级评估规范,这些规范都给出了较全面的安全等 级描述。GB/T17859-1999《计算机信息系统安全保护等级划分标准》将安全需求等级划分 为五个等级,并映射到部分安全功能组件上。但多数规范都是通用的标准,且并没有针对不 同类型软件或系统给出相应的规范,这样针对不同类型的软件或系统在安全功能组件筛选 时就存在模糊、不精确的困难。
【发明内容】
[0004] 为了克服上述现有技术的问题,本发明提出了一种基于未确知测度理论和粗糙集 的软件安全等级细化方法,以GA/T390《计算机信息系统安全等级保护通用技术》对CC标 准中部分安全功能组件等级划分为基础,对不同特性的软件系统进行分类,并在CC官网中 已发布的不同安全需求等级、不同种类软件系统的PP、ST文档中选取的安全功能组件进行 归纳总结,以此为依据,采用粗糙集理论和未确知测度理论对不同等级下不同种类的软件 系统在各安全特性的需求等级进行细化。
[0005] 本发明提出的一种基于未确知测度理论和粗糙集的软件安全等级细化方法,该方 法包括以下步骤:
[0006] 第一步、获得软件系统分类,参照CC官网对软件系统的分类情况,根据各软件系 统的不同特性,从系统层面、网络层面、实体层面、应用层面四个方向将软件系统分为12个 大类;
[0007] 第二步、抽取CC官网上已发布的各类型的软件系统的PP、ST文档中选取的安全功 能组件,从中选取各软件系统的安全功能组件;
[0008] 第三步、根据安全功能组件与安全需求等级的映射关系,细化每个软件系统各安 全功能族的安全需求等级;
[0009] 第四步、采用粗糙集理论和未确知测度理论计算得出各安全需求等级下各类型的 软件系统在各安全特性中的安全需求等级,得到三维等级评估规范。
[0010] 所述第四步的所述采用粗糙集理论和未确知测度理论计算得出各安全需求等级 下各类型的软件系统在各安全特性中的安全需求等级的步骤,具体包括以下处理:
[0011] 单指标未确知测度计算,设1^使xi处于第k(k= 1,2, . . . 5)个评价等级Levelk 的程度为UiA,l^k即为未知测度,表示对程度的一种测量结果;测度满足"非负有界性、可加 性、归一性"三条测量准则。单指标测度矩阵表示如下:
【主权项】
1. 一种基于未确知测度理论和粗趟集的软件安全等级细化方法,其特征在于,该方法 包括W下步骤: 第一步、获得软件系统分类,参照CC官网对软件系统的分类情况,根据各软件系统的 不同特性,从系统层面、网络层面、实体层面、应用层面四个方向将软件系统分为12个大 类; 第二步、抽取CC官网上已发布的各类型的软件系统的PP、ST文档中选取的安全功能组 件,从中选取各软件系统的安全功能组件; 第=步、根据安全功能组件与安全需求等级的映射关系,细化每个软件系统各安全功 能族的安全需求等级; 第四步、采用粗趟集理论和未确知测度理论计算得出各安全需求等级下各类型的软件 系统在各安全特性中的安全需求等级,得到=维等级评估规范。
2. 如权利要求1所述的基于未确知测度理论和粗趟集的软件安全等级细化方法,其特 征在于,所述第四步的所述采用粗趟集理论和未确知测度理论计算得出各安全需求等级下 各类型的软件系统在各安全特性中的安全需求等级的步骤,具体包括W下处理:。 单指标未确知测度计算,设Xy使Xi处于第k化=1,2,…5)个评价等级Leve化的程 度为Uuk,Uuk即为未知测度,表示对程度的一种测量结果;测度满足"非负有界性、可加性、 归一性条测量准则。单指标测度矩阵表示如下:
其中,i为安全特性的数目,m为该安全特性下的评价指标的数目,k为评价等级空间元 素的个数; 某一评价因素在某一评价指标下,针对等级评价空间各元素的测度是不同的,采取将 多个安全功能需求等级的总概率平均分给每个等级指标综合测度的确定,首先依据公式 (2)计算出各评价指标在指标集合中的重要度Wj.,得到第i个安全特性类的分类权重集合 狀;',爪;:=(巧'',矿;;',...,枯)即为评价指标关于安全特性的分类权重,然后再根据公式(2)分别 计算出该安全特性类下各指标的权重WjU=m),得到第i个安全特性类的指标综合测度 yi,(y …y。,…,y J ;
其中,论域U=扣1,U2,…!]。}表示评价因素集合,属性集C= {Ci,C2,…Qj表示评价指 标集合,Wb表示条件属性b在属性集C中的重要度,Wb越大,表明条件属性b对决策属性贡 献越大,若Wb= 0,表明条件属性b是冗余的,而条件属性b的权重系数定义为
(2) 评价准则,获取指标综合测度后,设置置信度来得到最终评价等级k。:
其中,设A〉〇. 5,通常.为0. 6或0. 7 ;k。即为某一类型软件系统下,某一安全特性类的 安全功能需求等级。
【专利摘要】本发明公开了一种基于未确知测度理论和粗糙集的软件安全等级细化方法,包括:第一步,获得软件系统分类;第二步,抽取CC官网上已发布的各类型的软件系统的PP、ST文档中选取的安全功能组件,从中选取各软件系统的安全功能组件;第三步,根据安全功能组件与安全需求等级的映射关系,细化每个软件系统各安全功能族的安全需求等级;第四步:采用粗糙集理论和未确知测度理论计算得出各安全需求等级下各类型的软件系统在各安全特性中的安全需求等级,得到三维等级评估规范。本发明提高了通用性、可信性和准确性,避免了安全需求等级评估过程中的不确定性问题,减少了冗余评估项,提高了方法的效率和可用性;适用于不同类型的软件系统,具有普适性。
【IPC分类】G06F21-57
【公开号】CN104850794
【申请号】CN201510284421
【发明人】李晓红, 李洪波, 吴晓菲, 孙达志, 张蕾
【申请人】天津大学
【公开日】2015年8月19日
【申请日】2015年5月28日