[CAPESE知识分享] 美军《软件系统安全性手册》内容介绍（二）

《软件系统安全性手册》是美国三军联合开发的技术文件，对提高武器装备软件开发的安全性有着举足轻重的作用和意义。下面我们继续对该手册的主要内容进行介绍与分析。

手册第二章中描述的系统（含软件）安全性工程的三个基本原则：

1）明确管理职责：主要责任在顶层管理者。

“安全系统”开发的最终职责落在工程项目管理者肩上。顶层管理者必须是安全性主张的强有力的代言人，并且必须将这种个人承诺通知到每一级大纲和技术管理部门。工程项目经理必须承诺支持在系统工程和软件工程范围内在该系统软件设计、开发、测试和运行中集成的安全性过程。

2）采用“系统”方法。

系统安全性工程已经证实了“系统”方法对安全性风险分析和缓解的效益。分析安全关键软件时，也需要“系统方法”。软件安全性大纲的成功就以此为基础。

软件是正在开发和现场部署的系统中有潜在安全性风险的非常关键的部件。不仅系统的内部接口对于安全性很重要，而且外部接口也很重要。每个已标识的软件接口都可能对操作员、维护员、环境或系统本身具有潜在的安全性风险。在硬件和软件系统设计期间采办和开发过程必须考虑这些接口。为此，设计团队应充分理解硬件和软件开发生存周期，并把它们集成起来。

系统安全性团队应充分认识开发活动正在使用的软件生存周期。软件开发生存周期与硬件开发生存周期的关系见图1。

结构化的生存周期具有控制、审核、评审和关键决策点，它是代表从“用户需要”到最终建成、部署和保障有序进展的事件的逻辑流。软件安全性工程的“系统方法”必须支持结构化的、制度化的、并且适当文档化的系统采办生存周期模型，该模型综合了系统开发模型和软件开发模型。必须在过程策划期间为给定的开发活动选择生存周期模型的图形表示。这样才有助于软件安全性大纲的策划和实施过程，使安全性有关的需求和指南能集成到软件开发的设计和编码阶段中；这样还有助于及时标识专为安全性的测试和验证需求，以便证明原始设计需求已经按预定要求实现；这样还使得能将安全性输入综合到原型建立活动中以便演示安全性概念。

3）采用“团队”解决方案。

软件安全性过程必须是有关工程科目集成的团队工作。该手册将焦点放在对安全工程师、软件工程师、软件安全工程师、系统和设计工程师要求的任务，以及他们之间的接口。无论谁执行特殊的软件安全性任务，每个工程师必须清楚地知道：要求每个功能科目承担的义务、责任和任务。每个人还必须理解时间（按照生存周期的日程表）、地点（按照要求的审核、会议、评审等等）、以及在开发过程某时刻必沈阳网站建设须产生和提交的功能分析任务。

根据以上原则，可信的成功的软件安全性工程大纲的构成元素应包括下列方面：

——已定义并已建立的系统安全性工程过程；

——结构化并制度化的软件开发过程；

——已建立的硬件和软件系统工程过程；

——已建立的硬件/软件配置控制过程；

——已集成的负责标识、实现和验证软件设计和代码中安全性特定要求的软件系统安全性团队。