基于SSDLC的安全需求分析研究

上海計(jì)算機(jī)軟件技術(shù)開發(fā)中心 嚴(yán)超 周悅 張孟

一、引言

安全一直是軟件開發(fā)中一個(gè)重要且熱門的話題。隨著科技和信息化的發(fā)展，云計(jì)算、信息系統(tǒng)、手機(jī)APP被應(yīng)用在人們生活的各個(gè)角落，隨之而來(lái)的是國(guó)家信息、商業(yè)信息和個(gè)人信息泄露事件呈現(xiàn)顯著式增加。在這種嚴(yán)峻的安全威脅形勢(shì)下，從軟件開發(fā)起步階段就將安全因素考慮進(jìn)去顯得尤為重要。

目前，在傳統(tǒng)軟件開發(fā)生命周期（SDLC, Software Development Life Cycle）中，軟件安全主要在后期得到考慮，而沒有明確指出在開發(fā)早期進(jìn)行安全需求分析與安全設(shè)計(jì)，因此大量時(shí)間與成本被消耗于開發(fā)后期的故障排除。另外，在軟件設(shè)計(jì)完成之后基本難以再修改軟件框架，此時(shí)再進(jìn)行安全分析會(huì)發(fā)現(xiàn)許多安全需求無(wú)法在已確定的框架下得到滿足。在這樣的背景下，微軟公司提出了安全軟件開發(fā)生命周期（SSDLC, Secure Software Development Life Cycle）受到了廣泛的關(guān)注。SSDLC的基本思路是將安全工作左移，側(cè)重在事前事中做好安全控制，而不是在事后修補(bǔ)。由于安全階段的提前，大量工作和時(shí)間將花費(fèi)在安全需求分析中，但卻能整體提高安全開發(fā)的效率和效果。一個(gè)全面的安全需求設(shè)計(jì)能降低程序員排除故障的成本，并有助于構(gòu)建安全的代碼。目前已經(jīng)存在一些理論研究和實(shí)踐來(lái)規(guī)范軟件開發(fā)流程中的安全問題。例如Microsoft SDL[1]和OWASP CLASP[2]軟件開發(fā)安全實(shí)踐指南，在開發(fā)過程的所有階段均引入了安全和隱私；BSIMM[3]和OpenSAMM[4]是安全評(píng)估機(jī)構(gòu)評(píng)估企業(yè)軟件安全的成熟度模型，通過描述和量化實(shí)際運(yùn)行結(jié)果來(lái)不斷構(gòu)建和發(fā)展模型，從而形成指導(dǎo)；安全質(zhì)量需求工程（Security Quality Requirements Engineering，SQUARE）[5]是需求工程的安全升級(jí)版，可用于SSDLC需求階段。

本文針對(duì)SSDLC進(jìn)行研究，總結(jié)了目前在SDLC與SSDLC中的一些不足，并結(jié)合國(guó)內(nèi)外相關(guān)法律、標(biāo)準(zhǔn)等，提出了安全軟件開發(fā)需求體系，將更多的安全因素增加在軟件設(shè)計(jì)、開發(fā)和編程、測(cè)試和集成、部署和發(fā)布等軟件開發(fā)周期的各個(gè)過程中，其中包含業(yè)務(wù)安全評(píng)估、個(gè)人信息安全評(píng)估、商業(yè)密碼評(píng)估、數(shù)據(jù)跨境評(píng)估、等保等，從而更加完善安全開發(fā)需求，增強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理、減少故障排除時(shí)間、信息泄露風(fēng)險(xiǎn)以及降低開發(fā)成本。

二、相關(guān)工作

（一）SDLC

SDLC是軟件從生產(chǎn)到報(bào)廢的一個(gè)類似于生命周期的過程，也是一種具有明確定義且用于創(chuàng)建高質(zhì)量軟件的流程方法[6]。SDLC的具體構(gòu)成如圖1所示，包括問題定義與規(guī)劃、需求分析、軟件設(shè)計(jì)、開發(fā)和編程、測(cè)試和集成、部署和發(fā)布以及運(yùn)行維護(hù)。

圖1 軟件開發(fā)生命周期階段

SDLC流程能有效地管理控制開發(fā)進(jìn)度和開發(fā)文檔，清晰地明確開發(fā)人員工作內(nèi)容。使得所有參與人員能對(duì)所要達(dá)成的目標(biāo)保持一致認(rèn)識(shí)，并為同一目標(biāo)制定清晰明了計(jì)劃。項(xiàng)目的大致花費(fèi)和資源需求可以被所有參與者所了解[6]。然而，SDLC的缺點(diǎn)也是顯而易見的。首先，SDLC沒有提出消除開發(fā)過程中弱點(diǎn)的指導(dǎo)方針，因此開發(fā)結(jié)果容易存在安全問題，有時(shí)甚至?xí)?dǎo)致嚴(yán)重的事件[7]。第二，Mingyu Lee等專家們提出如果在SDLC的設(shè)計(jì)、實(shí)現(xiàn)和測(cè)試階段存在尚未消除的漏洞，那么成本將隨著時(shí)間呈指數(shù)級(jí)增長(zhǎng)。一個(gè)脆弱點(diǎn)往往會(huì)伴隨著多個(gè)脆弱點(diǎn)的產(chǎn)生[7]。第三點(diǎn)是在修復(fù)安全問題上，成本花費(fèi)巨大。Preeti Mulay和Dr. Parag Kulkarni[8]指出與在需求分析階段進(jìn)行安全問題修復(fù)相比，在軟件開發(fā)處于生產(chǎn)階段時(shí)修復(fù)問題的成本大約要高出200倍，而在SDLC中，技術(shù)人員是在開發(fā)和編程階段完成之后的測(cè)試和集成階段才開始修復(fù)安全問題。對(duì)于小型軟件開發(fā)項(xiàng)目，這個(gè)系數(shù)降到4左右，但是對(duì)于非常大的項(xiàng)目，這個(gè)系數(shù)可以超過500[8]。

（二）SSDLC

基于SDLC對(duì)安全問題的忽略以及網(wǎng)絡(luò)安全事件的增加，微軟提出了SSDLC[9]。SSDLC與SDLC相比提前考慮軟件開發(fā)所需要注意的安全問題，并將具體安全因素添加到SDLC的各個(gè)環(huán)節(jié)中。在軟件需求階段或者設(shè)計(jì)階段考慮安全問題，可以把修復(fù)漏洞的人力成本、時(shí)間成本融入開發(fā)成本，將緊急安全事件的救火處理變?yōu)轭A(yù)防和指導(dǎo)性工作，做到防患于未然[10]。SSDLC的軟件開發(fā)階段包括：需求分析、軟件設(shè)計(jì)、開發(fā)和編程、測(cè)試和集成、部署和發(fā)布[11]，具體框架如圖2所示。

圖2 安全軟件開發(fā)生命周期階段

在需求分析階段，除了與SDLC中相似的常規(guī)開發(fā)需求之外，還需要考慮安全功能需求、安全保障需求和安全管理需求。例如：未征得用戶同意前，不收集個(gè)人信息或打開可收集個(gè)人信息的權(quán)限；傳輸和存儲(chǔ)個(gè)人敏感信息時(shí)，應(yīng)采用加密等安全措施；應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在等。在軟件設(shè)計(jì)階段，增加的是安全設(shè)計(jì)審查內(nèi)容，根據(jù)需求分析階段中的安全需求分析，進(jìn)行軟件設(shè)計(jì)。在開發(fā)和編程階段與測(cè)試和集成階段，安全代碼審計(jì)會(huì)被用來(lái)檢測(cè)開發(fā)編碼的合規(guī)性，是否使用安全措施，是否使用含有已知漏洞的函數(shù)或組件等。在部署和發(fā)布階段，滲透測(cè)試將會(huì)被實(shí)施，從而更好評(píng)估軟件的防御能力。

相較于SDLC，SSDLC存在著許多優(yōu)勢(shì)。第一，如在SDLC的缺點(diǎn)中提及的，及早識(shí)別安全漏洞有助于降低實(shí)施安全控制和漏洞修復(fù)過程的成本。在需求分析階段解決安全問題的成本遠(yuǎn)低于在軟件開發(fā)編程階段，成本約可以縮減到原來(lái)的二百分之一[8]。第二，SSDLC可以建立企業(yè)安全文化，這種安全文化不僅可以幫助發(fā)現(xiàn)并修復(fù)在軟件開發(fā)中的安全問題，而且可以幫助企業(yè)實(shí)現(xiàn)在其他方面的安全優(yōu)化[12]。例如，在安全需求分析階段，企業(yè)安全管理、研發(fā)人員安全意識(shí)和人員賬戶權(quán)限管理也可以納入安全需求中，從而幫助企業(yè)在整體安全管理上進(jìn)一步提高，而不再局限于單個(gè)軟件開發(fā)。第三，由于將考慮安全因素提前到開發(fā)需求階段，因此一些重要決策將在開發(fā)前就被記錄，這樣有助于微調(diào)開發(fā)策略，以確保在SSDLC進(jìn)行時(shí)構(gòu)建安全代碼。第四，SSDLC有助于降低組織內(nèi)部業(yè)務(wù)風(fēng)險(xiǎn)。在安全需求階段，需求制定往往需要與業(yè)務(wù)人員溝通，通過考慮某些安全需求對(duì)該業(yè)務(wù)是否必要、業(yè)務(wù)可行性等問題，從而降低業(yè)務(wù)風(fēng)險(xiǎn)。

三、安全需求分析體系

（一）安全需求分析流程

通常來(lái)說，一個(gè)軟件開發(fā)項(xiàng)目是基于安全需求分析來(lái)建立軟件開發(fā)安全流程和體系，安全需求分析是重中之重。安全需求分析主要依賴于安全專家的經(jīng)驗(yàn)，通過將合規(guī)要求、專家知識(shí)、制度要求、歷史安全事件、審計(jì)發(fā)現(xiàn)、業(yè)務(wù)風(fēng)控等匯總形成安全知識(shí)圖譜，降低安全需求分析的難度和工作量。

本文提出了安全軟件開發(fā)需求分析體系及設(shè)計(jì)流程。首先是要明確項(xiàng)目需求，然后進(jìn)行標(biāo)準(zhǔn)調(diào)研，特別是要結(jié)合軟件安全開發(fā)相關(guān)領(lǐng)域的國(guó)家和行業(yè)標(biāo)準(zhǔn)，最后構(gòu)建完善的安全軟件開發(fā)需求分析體系。具體安全需求設(shè)計(jì)流程圖如圖3所示。

圖3 安全需求分析流程

明確需求階段：主要包括了解項(xiàng)目背景、明確開發(fā)產(chǎn)物、掌握安全需求。參與者需要了解該項(xiàng)目需要解決的問題與事件、受益群體、戰(zhàn)略意義和社會(huì)環(huán)境等內(nèi)容。還需要了解開發(fā)的最終產(chǎn)物形式是什么，例如：瀏覽器/服務(wù)器模式（B/S）網(wǎng)頁(yè)、移動(dòng)應(yīng)用程序(APP）、服務(wù)器/客戶機(jī)結(jié)構(gòu)（C/S）軟件等，從而更好的理解和考慮安全需求設(shè)計(jì)方案。理解安全需求還需要考慮系統(tǒng)功能和系統(tǒng)不應(yīng)該做什么，從而達(dá)到功能需求、安全需求、和安全目標(biāo)的三方平衡。明確需求常用的方法包括：?jiǎn)柧碚{(diào)查、現(xiàn)場(chǎng)詢問、推薦系統(tǒng)等。

資料查詢階段：是指根據(jù)已明確的軟件開發(fā)類型進(jìn)行開發(fā)產(chǎn)品安全標(biāo)準(zhǔn)的查詢工作，從而能使開發(fā)的軟件產(chǎn)品更安全以及更加符合國(guó)際和國(guó)家規(guī)定。目前，在國(guó)際上通用安全標(biāo)準(zhǔn)采用《ISO/IEC 15408信息技術(shù)安全技術(shù)信息技術(shù)安全的評(píng)估標(biāo)準(zhǔn)》，而在我國(guó)安全開發(fā)軟開領(lǐng)域所包含的標(biāo)準(zhǔn)有《GB/T 35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范》、《GB/T 34975-2017信息安全技術(shù)移動(dòng)智能終端應(yīng)用軟件安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》、《GBT 39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》等。

標(biāo)準(zhǔn)整理階段：是指將整理完成的標(biāo)準(zhǔn)進(jìn)行整體調(diào)研，為后期制定標(biāo)準(zhǔn)類別進(jìn)行前期準(zhǔn)備。如果有新需求增加，需要重復(fù)循環(huán)執(zhí)行明確需求、資料查詢和標(biāo)準(zhǔn)整理等步驟。

制定標(biāo)準(zhǔn)類別階段：是指根據(jù)開發(fā)軟件產(chǎn)品，對(duì)整理完成的標(biāo)準(zhǔn)進(jìn)行分類。標(biāo)準(zhǔn)分類類別應(yīng)根據(jù)軟件產(chǎn)品不同業(yè)務(wù)產(chǎn)品進(jìn)行分類設(shè)計(jì)，從而使最后的安全設(shè)計(jì)框架具有可讀性以及可追溯性。不同的分類模塊能夠使開發(fā)人員更便捷地查詢安全標(biāo)準(zhǔn)以及判斷安全需求的整改優(yōu)先級(jí)，優(yōu)先級(jí)可描述為必須整改、建議整改、暫不整改或者不適用。

制定框架階段：是指根據(jù)開發(fā)軟件產(chǎn)品和調(diào)研的標(biāo)準(zhǔn)內(nèi)容將標(biāo)準(zhǔn)模塊化分類，從而清晰的呈現(xiàn)給使用者。例如：數(shù)據(jù)安全的輸入標(biāo)準(zhǔn)和輸出標(biāo)準(zhǔn)等。然后，對(duì)每條進(jìn)行整改優(yōu)先級(jí)和風(fēng)險(xiǎn)等級(jí)判斷并劃分責(zé)任主體。接著詳細(xì)記錄標(biāo)準(zhǔn)內(nèi)容、標(biāo)準(zhǔn)文件名稱、章節(jié)、備注和整改建議，從而有利于后期使用框架文檔者追蹤溯源以及理解標(biāo)準(zhǔn)內(nèi)容和指導(dǎo)意見?？蚣艿淖詈笠徊糠职z測(cè)日期、業(yè)務(wù)檢查、技術(shù)復(fù)核、存在疑問、后續(xù)跟蹤，這樣有利于和業(yè)務(wù)人員、技術(shù)人員溝通，符合企業(yè)實(shí)際情況。

（二）安全需求分析體系

安全需求分析體系是安全需求分析的最終產(chǎn)物，是軟件開發(fā)安全需求的核心內(nèi)容。本文提出的安全體系包括四部分內(nèi)容：安全分類模塊、風(fēng)險(xiǎn)等級(jí)評(píng)估模塊、標(biāo)準(zhǔn)內(nèi)容模塊以及參與人員答疑模塊。

圖4 安全需求分析體系

安全分類模塊：包含安全分類1級(jí)、安全分類2級(jí)和安全分類3級(jí)。安全分類模塊是對(duì)安全標(biāo)準(zhǔn)進(jìn)行分類。安全分類1級(jí)最為廣義，安全分類2級(jí)次之，安全分類3級(jí)則最為細(xì)致。例如，安全分類1是安全接口，安全分類2級(jí)是安全運(yùn)維，安全分類3級(jí)安全監(jiān)測(cè)，說明該條標(biāo)準(zhǔn)屬于安全接口目錄下的安全運(yùn)維模塊中的安全檢測(cè)。

風(fēng)險(xiǎn)等級(jí)評(píng)估模塊：包含整改優(yōu)先級(jí)、風(fēng)險(xiǎn)、業(yè)務(wù)類型和責(zé)任主體。整改優(yōu)先級(jí)是指該安全標(biāo)準(zhǔn)是否需要被整改。整改等級(jí)分為必須整改、建議整改、暫不整改到不適用，整改程度依次遞減。其中不適用代表該安全標(biāo)準(zhǔn)不適用當(dāng)前企業(yè)業(yè)務(wù)或者開發(fā)技術(shù)。風(fēng)險(xiǎn)是指該安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)等級(jí)，有高、中、低3種等級(jí)。風(fēng)險(xiǎn)程度越高，開發(fā)人員需要對(duì)所對(duì)應(yīng)的安全標(biāo)準(zhǔn)越重視。業(yè)務(wù)類型是指該條安全標(biāo)準(zhǔn)所對(duì)應(yīng)的開發(fā)產(chǎn)品類型，包括所有類型、B/S網(wǎng)頁(yè)、移動(dòng)APP、C/S軟件等。責(zé)任主體是指該安全標(biāo)準(zhǔn)的責(zé)任落實(shí)的部門。主要包括：開發(fā)部門、運(yùn)維部門、法務(wù)部門、業(yè)務(wù)部門、測(cè)試部門等。

標(biāo)準(zhǔn)內(nèi)容模塊：包含檢查項(xiàng)、標(biāo)準(zhǔn)名稱、章節(jié)、備注和整改建議。檢查項(xiàng)是指每一條標(biāo)準(zhǔn)的具體內(nèi)容。標(biāo)準(zhǔn)名稱是指該安全標(biāo)準(zhǔn)的出處。這樣能更便捷的追溯標(biāo)準(zhǔn)的出處，從而理解標(biāo)準(zhǔn)內(nèi)容。章節(jié)是指該條安全檢查項(xiàng)的文件所在的章節(jié)。這樣能更便捷的溯源。備注是指該安全標(biāo)準(zhǔn)的備注。整改建議是指根據(jù)該安全標(biāo)準(zhǔn)內(nèi)容所提出的建議、最佳實(shí)例截圖或重要參數(shù)建議等。

參與人員答疑模塊：包含檢測(cè)日期、業(yè)務(wù)檢查、技術(shù)復(fù)核、存在疑問和后續(xù)跟蹤。檢查日期是指最新核查該安全標(biāo)準(zhǔn)的日期。業(yè)務(wù)檢查是指與業(yè)務(wù)部門核實(shí)該安全標(biāo)準(zhǔn)是否符合企業(yè)業(yè)務(wù)邏輯，或者是否存在該業(yè)務(wù)。技術(shù)復(fù)核是指該條安全標(biāo)準(zhǔn)是否符合技術(shù)部門的要求規(guī)范。存在疑問是指如果該條安全標(biāo)準(zhǔn)存在待解決的問題，則標(biāo)識(shí)存在的問題，以便于后續(xù)跟蹤解決問題。后續(xù)跟蹤是指如果該安全檢查項(xiàng)內(nèi)容未滿足要求，相關(guān)人員需要記錄并更新后續(xù)跟蹤情況。

四、實(shí)際案例

本文結(jié)合某銀行開發(fā)網(wǎng)上銀行移動(dòng)APP在中國(guó)應(yīng)用市場(chǎng)應(yīng)用的安全需求，實(shí)現(xiàn)了第三章節(jié)所建立的安全需求體系。為了滿足安全需求，通過基于合規(guī)要求、專家知識(shí)、制度要求等方面，選取《GBT 35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范》、《JRT 0068-2020網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》、《JRT 0185-2020商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》、《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》等13個(gè)標(biāo)準(zhǔn)。

本文結(jié)合SSDLC周期，將安全需求分為開發(fā)前、開發(fā)中和開發(fā)后三個(gè)階段，同時(shí)將依據(jù)的安全標(biāo)準(zhǔn)分為5大類：網(wǎng)上銀行、個(gè)人信息安全、密碼安全、接口安全和等保。開發(fā)前階段，網(wǎng)上銀行是該開發(fā)產(chǎn)品的主要業(yè)務(wù)并且目前中國(guó)尤為重視個(gè)人信息安全，所以其中2大分類就是網(wǎng)上銀行和個(gè)人信息安全。在開發(fā)中階段，需要嚴(yán)格把控密碼安全和接口安全，因此，密碼安全和接口安全作為2個(gè)安全標(biāo)準(zhǔn)分類。在開發(fā)后階段，需要嚴(yán)格進(jìn)行等保、電子銀行評(píng)估等相關(guān)測(cè)評(píng)工作，因此，等保作為最后一個(gè)標(biāo)準(zhǔn)分類。

圖5 安全分類案例

安全分類2級(jí)包括隱私規(guī)則、移動(dòng)支付、移動(dòng)端安全、收集、傳輸、存儲(chǔ)、使用等，而安全分類3級(jí)包含常見攻擊防范、Web頁(yè)面安全、應(yīng)用安全、數(shù)據(jù)安全、個(gè)人金融信息、風(fēng)險(xiǎn)控制等。根據(jù)整體安全標(biāo)準(zhǔn)，逐條對(duì)安全標(biāo)準(zhǔn)進(jìn)行整改優(yōu)先級(jí)、風(fēng)險(xiǎn)、業(yè)務(wù)類型和責(zé)任主體判定。經(jīng)過多輪與對(duì)方業(yè)務(wù)、技術(shù)人員討論，再次針對(duì)整改優(yōu)先級(jí)、風(fēng)險(xiǎn)和責(zé)任主體進(jìn)行修改，以確保符合企業(yè)實(shí)際情況。最終形成了600多條檢測(cè)項(xiàng)的安全需求體系。

結(jié)果證明某銀行通過落實(shí)該安全需求體系得到了以下改善：第一，涵蓋了各個(gè)方面亟待解決的安全需要，而且完善了企業(yè)網(wǎng)絡(luò)安全管理需求。第二，有效的減少軟件開發(fā)安全問題，降低后續(xù)安全修復(fù)成本，包括存在的已知漏洞等。第三，由于考慮安全分類的全面性，商業(yè)信息和個(gè)人信息泄露時(shí)間明顯減少。第四，由于整改優(yōu)先級(jí)和風(fēng)險(xiǎn)等級(jí)的劃分，能更好的幫助企業(yè)優(yōu)先實(shí)現(xiàn)最重要的安全需求。

五、結(jié)束語(yǔ)

本文基于SSDLC在需求分析階段提出了一種安全需求分析體系。通過明確需求、資料查詢、標(biāo)準(zhǔn)整理、制定標(biāo)準(zhǔn)類別和制定體系框架，建立了有效的安全軟件開發(fā)需求體系，更好的挖掘和規(guī)避安全風(fēng)險(xiǎn)問題。從實(shí)際應(yīng)用的效果來(lái)看，該安全軟件開發(fā)需求體系在一定程度上增強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理、減少程序調(diào)試時(shí)間和信息泄露，降低開發(fā)成本。