一种基于模板的安全案例建模方法
【专利摘要】本发明涉及一种基于模板的安全案例建模方法,所述方法包括以下步骤:对安全案例进行领域分析,提取安全案例的概念、关系及约束;对安全案例建模,建立安全案例元模型存储在数据库中;根据元模型建立安全案例模板存储在数据库中,包括安全论证模板、系统描述模板、安全性需求模板、危害分析模板以及风险管理模板;对安全案例模板建立约束规则并存储在数据库中;从数据库中调用安全案例模板撰写安全案例,进行安全论证。所述方法指导相关人员对系统进行安全论证以及对安全案例的撰写;避免了描述安全案例时产生的不完整性;减轻了自然语言描述安全案例所导致的二义性,进而完整、清晰的表现出安全案例。
【专利说明】
-种基于模板的安全案例建模方法
技术领域
[0001] 本发明设及计算机技术领域,尤其设及一种基于模板的安全案例建模方法。
【背景技术】
[0002] 安全关键系统是指系统的失效可能会引起人员生命的丧失、重要的财产损失或环 境破坏的系统。在航空航天领域,很多安全关键系统依赖软件W实现目标。随着软件的相关 技术越来越成熟,机载软件的应用也越来越多。软件安全性来源于系统。软件可能有助于增 强系统的安全性,也有可能置系统于危险状态,从而降低系统的安全性。
[0003] M化-STD-882D定义软件安全性为软件运行不引起系统危害的能力。NASA 8719.13A定义软件安全性指在软件生命周期内,应用安全性工程技术,确保软件采取积极 的措施提高系统安全性,确保系统安全性的错误已经减少到其影响可控制在一个风险可接 受的水平内。Leveson指出软件安全性指确保软件在系统上下文中执行不会导致系统发生 不可接受的风险的特性。软件安全性来源于系统。软件可能有助于增强系统的安全性,也有 可能置系统于危险状态,从而降低系统的安全性。因此,在研究软件安全性时,并不是指的 软件本身是否是安全的,而是指应用该软件的系统的安全性,即是指软件运行时不引起系 统危害的能力。
[0004] 许多国家都规定安全关键系统的软件系统必须通过严格的安全认证才能使用。为 证明软件的安全性,许多安全关键性工业部口(例如国防工业、航空工业、核工业W及铁路 工业)都采用了 "安全案例"的方法来论证系统的安全性。
[0005] 20世纪70年代,英国提出了一种强制性、易于理解和合理有效的论证系统安全性 的方法--安全案例,根据"谁主张,谁认证"的原则通过提交安全论证活动输出结果--安全 案例来展示满足安全目标的各类证据。安全案例由第一方(系统设计、开发与运营机构)负 责编制完成,通过对系统设计、制造、集成和维护等过程中产生的文档、报告等进行收集、整 理与分析,帮助评估方全面了解系统的可靠性和安全性。因此安全案例是完成安全评估的 重要证据,安全论证作为安全案例中最主要的部分,成为评估方获知被评估方安全信屯、的 重要方式。目前对安全案例没有一个统一的定义,对于安全案例的定义,不同领域对其有不 同的定义。在军用航空领域,防御标准DS 00-55指出安全案例包括:(1)定义系统配置(2)描 述安全需求、目标W及属性(3)描述系统设计(4)提供对设备和系统适航性设计的理由(包 括对设备和系统变化的设计)(5)详细说明适航性的证据(包括分析、测试、审查的结果等)
[6] 识别出为达到要求的安全等级的限制和规定。
[0006] 目前对于安全案例的表示方法上主要有W下几种:
[0007] (1)自由文本表示法
[000引早期常用自由文本的形式来表示安全案例,例如图1是从一个真实的工业部口中 的安全用例中的一个片段,其暴露了自由文本描述法的很多缺陷。首先是其语句表达含义 不明确,并且语句结构混乱,使得不同的人对于其表示的安全案例可能有不同的理解,因此 其所表示的安全论证会存在二义性W及模糊性。另外,虽然应该对目标或者证据添加引用, W详细说明其信息,但文本中存在的交叉引用,会分散主要的论证过程,从而影响安全论证 的表述。并且,自由文本还缺乏对许多信息的描述:例如目标分解的上下文信息,特定名词 的解释等。由于自有文本其无组织性及混乱的特点,也会为安全案例的管理带来很多麻烦。
[0009] (2)Toulmin 表示法
[0010] 1950年,Toulmin给出了一个概念性的框架和图示符号来表示安全案例的结构。该 方法由3个元素组成:Data(数据,论证所需的证据)Xlaim(目标,表示系统或子系统的性 质)W及Warrant(根据,连接证据与目标,表明证据如何支持目标)。该方法强调了 "需要论 证的目标"与"论述目标的事实"之间的区别,因此引入了符号"根据"来表示支持目标的事 实。
[0011] (3)目标结构化表示法
[0012] GSN(目标结构化表示法)是一个最常用的表示安全案例的方法,它既可W清晰的 表示出安全案例的=元素(目标、论证过程、证据),也可表示出运=元素之间的关系(比如 单独的需求是如何被特定的安全目标支持的,安全目标是如何被安全证据支持的,W及定 义在论证中特定的上下文)。安全案例的总目标Gl是"所有可识别的危害都被消除或有效的 减轻"。Cl和C2是该目标的上下文描述,根据平行四边形表示的论证策略,将其分解为3个子 目标62、63、64,再对^个子目标分别进行论证,最后得到论证目标61所需要的证据5111和 Sn2。
[0013] 在目前安全案例建模的现有技术方案上,存在很多问题。首先是在安全案例应当 描述的内容上没有统一的规定,因此在描述安全案例上内容各异。然后是没有对安全案例 提供一个完整的描述方法,目前的文本化和图形化的描述方法,也带来结构混乱、无法完整 描述安全案例等问题。并且对安全案例的描述上也没有任何约束规则,使得其存在二义性、 模糊性等问题。另外,也没有安全论证方法指导用户撰写安全案例W此进行安全论证。
【发明内容】
[0014] 鉴于上述的分析,本发明旨在提供一种基于模板的安全案例建模方法,用于避免 描述安全案例时产生的不完整性;减轻自然语言描述安全案例所导致的二义性,进而完整、 清晰的表现出安全案例。
[0015] 本发明的目的主要是通过W下技术方案实现的:
[0016] -种基于模板的安全案例建模方法,其特征在于,包括W下步骤:
[0017] 步骤S1、对安全案例进行领域分析,提取安全案例的概念、关系及约束;
[0018] 步骤S2、根据领域分析对安全案例建模,建立安全案例元模型,并存储在数据库 中;
[0019] 步骤S3、依据安全案例元模型建立安全案例模板,包括安全论证模板、系统描述模 板、安全性需求模板、危害分析模板W及风险管理模板,存储在数据库中;
[0020] 步骤S4、对安全案例模板模板建立约束规则并存储在数据库中;
[0021] 步骤S5、从数据库中调用安全案例模板进行安全论证。
[0022] 所述步骤Sl进一步包括W下步骤:
[0023] 对安全案例的概念W及定义进行调研,分析安全案例的概念、其组成部分及其之 间的关系、约束。
[0024] 步骤S2中所述安全案例元模型进一步包括:
[0025] 安全目标、论证策略、系统、安全性需求、危害、风险实体。
[00%]步骤S3中所述安全案例模板进一步包括:
[0027]安全论证模板、系统描述模板、安全性需求模板、危害分析模板、风险管理模板。 [00%]所述安全论证模板用于描述安全案例的核屯、--安全论证,进一步包括:通过论证 策略将安全总目标分解为子目标,再分别对子目标进行分解,直到安全证据能够直接支持 子目标。
[0029] 所述安全论证模板包括:
[0030] 安全目标域、证据域W及论证策略域。
[0031] 步骤S4中所述约束规则进一步包括:
[0032] 规定关键词,添加语义规则,设计语言具体的表现形式,实现半结构化描述。
[0033] 所述步骤S5进一步包括:
[0034] 从数据库中调用安全论证模板,进行安全目标分解;
[0035] 调用系统描述模板进行系统描述;
[0036] 调用安全性需求、危害分析、风险管理模板进行安全性分析相关规格说明;
[0037] 从而建立安全案例模型。
[0038] 本发明有益效果如下:
[0039] 本发明公开了一种基于模板的安全案例建模方法,根据安全案例规格说明及其约 束规则,提供了一种安全论证方法,指导系统开发及维护人员对相应软件进行安全论证;指 导系统开发及维护人员对安全案例的撰写,避免了描述安全案例时产生的不完整性;减轻 了自然语言描述安全案例所导致的二义性,进而完整、清晰的表现出安全案例。该模板有利 于对系统进行安全性设计、维护W及验证。
[0040] 本发明的其他特征和优点将在随后的说明书中阐述,并且,部分的从说明书中变 得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、W及附图中所特别指出的结构来实现和获得。
【附图说明】
[0041] 附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图 中,相同的参考符号表示相同的部件。
[0042] 图1为本发明具体实施例所述方法的流程图。
【具体实施方式】
[0043] 下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并 与本发明的实施例一起用于阐释本发明的原理。
[0044] 本发明具体实施例公开了一种基于模板的安全案例建模方法,具体包括W下步 骤:
[0045] 步骤S1、获取安全案例,对安全案例进行领域分析,提取安全案例的概念、关系及 约束;
[0046] 具体地,对安全案例的概念W及定义进行调研,分析安全案例的概念、其组成部分 及其之间的关系、约束。
[0047] 步骤S2、根据领域分析对安全案例建模,建立安全案例元模型,并存储在数据库 中,其中包括安全目标、论证策略、系统、安全性需求、危害、风险等实体。
[0048] 步骤S3、依据安全案例元模型建立安全案例模板并存储在数据库中,包括安全论 证模板、系统描述模板、安全性需求模板、危害分析模板W及风险管理模板。
[0049] 具体包括W下子步骤:
[0050] 建立安全案例模板部分1-安全论证模板,如表1所示:
[0化1 ]
[0化2]
[0053] 表 1
[0054] 所述安全论证模板用于描述安全案例的核屯、一安全论证,进一步包括:
[0055] 通过论证策略将安全总目标分解为子目标,再分别对子目标进行分解,直到安全 证据能够直接支持子目标。
[0056] 所述安全论证模板包括:安全目标域、证据域W及论证策略域。
[0057] Objective Section域是安全目标域,用于对安全目标的各方面进行描述,例如: 安全目标编号(Object NO)、目标描述(Object Description)、目标约束(Object Constraints)表示目标的约束条件、目标假设(Object Assumption)表示对该目标进行的 假设、目标上下文(Object Context)对目标中的术语W及场景的说明、分解域 (Decomposition Section)。其中分解域主要描述对该目标进行下一步分解的信息,主要有 分解类型(Decomposition Type)表示该目标分解为子目标还是证据、策略编号(Strategy NO)、策略描述(Strategy Des)、策略上下文(Shategy Context)是对策略中的术语做出解 释、分解的子目标编号(Sub-Objectives NO) W及支持该目标的证据编号化Vidences NO)。 [0化引Evidence Section是证据域,描述支持目标的证据的信息。其中包括证据编号 化vidence NO)、证据名称化vidence Name)、支持的目标的编号(Objective-suppo;rt NO) 表示其可W直接支持哪个目标、证据结构巧vidence Structure)表示该证据内部应该由哪 几部分组成、该证据从哪个制品中而来(Source Arti化Cts)。
[0059] 建立安全案例模板部分2-系统描述模板,如表2所示,
[0060]
[0061] 表 2
[0062] 所述系统描述模板包括对整个系统的概述,目的是为了更好的理解安全论证,包 括:
[0063] Safety Level, W描述系统的安全级别,其取值范围为1~5,分别代表灾难的、危 险的、严重的、较重的、较轻的和无影响的,取值越小,安全性级别越高;
[0064] System Activities是指系统生命周期中所要进行的活动。Potential Hazards Analysis是指潜在危害分析,主要是描述危害日志中所记录的所有危害都被考虑到,并且 对潜在的风险进行了定量评估,危害日志中记录危害W及每种危害对应的安全防范措施, 并证明它们的有效性;
[0(?日]Safety Standard是指参考的安全标准;
[0066] System Configration是指系统配置信息。
[0067] 建立安全案例模板部分3-安全性需求模板,如表3所示:
[006引
[0069] 表3
[0070] 所述安全性需求模板描述系统所有的安全性需求,包括功能性与非功能性安全性 需求,并且描述系统需求与软件安全性需求之间的追溯性,其中包括该需求所关联的危害 分析中的危害、安全标准或者将该需求分解到的派生安全性需求。此外软件高层安全性需 求可能由其他安全性需求分解得到,或者是在分析过程中派生出的新需求,记录其派生的 原因。需求与需求之间的追溯性,有分解、派生两种关系。软件高层安全性需求必须被某个 设计所实现,需要记录相关的设计信息,供后期验证使用。
[0071 ]建立安全案例模板部分4-危害分析模板,如表4所示:
[0074] 表 4[0075] 所述危害分析模板描述对系统危害的分析,包括危害产生的原因,危害来源的系
[0072]
[0073]
[0077] 统功能、危害发生的严重程度W及危害发生的概率等。[0076] 建立安全案例模板部分5-风险管理模板,如表5所示:
[0078] 巧 O
[0079] 所述风险管理模板描述系统的风险,比如风险所联系的危害,风险的频率,W及如 何处理风险的风险减轻技术等。
[0080] 步骤S4、建立安全案例模板约束规则并存储在数据库中。
[0081] 在模板中,若采用自然语言描述,会产生二义性。通过建立模板填写约束规则,规 定关键词,添加语义规则,设计语言具体的表现形式,实现半结构化描述,有效避免出现描 述语言上的不一致性和模糊性问题。例如目标是描述的一个对象还是两个对象;若是一个 对象,描述的是对象的状态还是行为;若是两个对象,描述的是对象间的关系还是行为;另 夕h除了目标描述,对于安全证据,子目标描述等内容都需要进行类似的约束。除此之外,对 自然语言还有其他约束。例如,禁止出现many,some等模糊性词语,禁止使用被动语态等。对 于安全案例约束规则包括:
[0082] 目标描述约束规则:
[0083] {Software Y}is acceptably safe to operate withinjSystem Z}
[0084] The contribution made by{Software Y}to{System Zjhazards is acceptably [008日] (Software safety requirements X}are satisfied.
[0086] 上下文描述约束规则:
[0087] Description of operating context of(System Z}
[0088] Description of{System Z}
[0089] Description of{Software Y}
[0090] 策略描述约束规则:
[0091] Argument over all functions implemented byjSystem Z}
[0092] Argument over all hazards of{System Z}
[0093] Argument over all safety requirements for{Hazard H}
[0094] Argument of compliance withjSafety Standard S}
[OOM]步骤S5、从数据库中调用安全案例模板,对待论证系统进行安全论证。具体地,从 数据库中调用安全论证模板,进行安全目标分解;调用系统描述模板进行系统描述;调用安 全性需求、危害分析、风险管理模板进行安全性分析相关规格说明;从而建立安全案例模 型。
[0096] 本发明公开了一种基于模板的安全案例建模方法,根据安全案例规格说明及其约 束规则,指导系统开发及维护人员对安全案例的撰写,避免了描述安全案例时产生的不完 整性;减轻了自然语言描述安全案例所导致的二义性,进而完整、清晰的表现出安全案例。 该模板有利于对系统进行安全性设计、维护W及验证。
[0097] 本领域技术人员可W理解,实现上述实施例方法的全部或部分流程,可W通过计 算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读存储介质中。其中,所 述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
[0098] W上所述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明掲露的技术范围内,可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。
【主权项】
1. 一种基于模板的安全案例建模方法,其特征在于,包括以下步骤: 步骤S1、对安全案例进行领域分析,提取安全案例的概念、关系及约束; 步骤S2、根据领域分析对安全案例建模,建立安全案例元模型,并存储在数据库中; 步骤S3、依据安全案例元模型建立安全案例模板,包括安全论证模板、系统描述模板、 安全性需求模板、危害分析模板以及风险管理模板,存储在数据库中; 步骤S4、对安全案例模板模板建立约束规则并存储在数据库中; 步骤S5、从数据库中调用安全案例模板进行安全论证。2. 根据权利要求1所述的基于模板的安全案例建模方法,其特征在于,所述步骤S1进一 步包括以下步骤: 对安全案例的概念以及定义进行调研,分析安全案例的概念、其组成部分及其之间的 关系、约束。3. 根据权利要求1所述的基于模板的安全案例建模方法,其特征在于,步骤S2中所述安 全案例元模型进一步包括: 安全目标、论证策略、系统、安全性需求、危害、风险实体。4. 根据权利要求1所述的基于模板的安全案例建模方法,其特征在于,步骤S3中所述安 全案例模板进一步包括: 安全论证模板、系统描述模板、安全性需求模板、危害分析模板、风险管理模板。5. 根据权利要求1所述的基于模板的安全案例建模方法,其特征在于,所述安全论证模 板用于描述安全案例的核心一安全论证,进一步包括:通过论证策略将安全总目标分解为 子目标,再分别对子目标进行分解,直到安全证据能够直接支持子目标。6. 根据权利要求3所述的基于模板的安全案例建模方法,其特征在于,所述安全论证模 板包括: 安全目标域、证据域以及论证策略域。7. 根据权利要求1所述的基于模板的安全案例建模方法,其特征在于,步骤S4中所述约 束规则进一步包括: 规定关键词,添加语义规则,设计语言具体的表现形式,实现半结构化描述。8. 根据权利要求1所述的基于模板的安全案例建模方法,其特征在于,所述步骤S5进一 步包括: 从数据库中调用安全论证模板,进行安全目标分解; 调用系统描述模板进行系统描述; 调用安全性需求、危害分析、风险管理模板进行安全性分析相关规格说明; 从而建立安全案例模型。
【文档编号】G06F9/44GK106020826SQ201610346291
【公开日】2016年10月12日
【申请日】2016年5月23日
【发明人】刘超, 孙艺, 杨海燕, 吴际
【申请人】北京航空航天大学