CN104850794A - 基于未确知测度理论和粗糙集的软件安全等级细化方法 - Google Patents

Abstract

本发明公开了一种基于未确知测度理论和粗糙集的软件安全等级细化方法，包括：第一步，获得软件系统分类；第二步，抽取CC官网上已发布的各类型的软件系统的PP、ST文档中选取的安全功能组件，从中选取各软件系统的安全功能组件；第三步，根据安全功能组件与安全需求等级的映射关系，细化每个软件系统各安全功能族的安全需求等级；第四步：采用粗糙集理论和未确知测度理论计算得出各安全需求等级下各类型的软件系统在各安全特性中的安全需求等级，得到三维等级评估规范。本发明提高了通用性、可信性和准确性，避免了安全需求等级评估过程中的不确定性问题，减少了冗余评估项，提高了方法的效率和可用性；适用于不同类型的软件系统，具有普适性。

Description

基于未确知测度理论和粗糙集的软件安全等级细化方法

技术领域

本发明涉及安全需求获取技术领域，特别是涉及一种安全需求等级细化方法。

背景技术

随着计算机的广泛应用，软件和信息系统已经渗透到各行各业，且在信息社会扮演着一个重要的角色。然而在软件的整个生命周期中，软件安全问题却带来高维护成本，这些持续增加的运营成本要求组织仔细考虑他们如何解决软件安全问题。在软件生命周期的需求阶段关注安全问题是最节约开发和维护成本的方法。因此，软件需求工程中的安全需求等级评估成为研究热点。

目前各国都有自己的安全需求等级评估规范，这些规范都给出了较全面的安全等级描述。GB/T 17859-1999《计算机信息系统安全保护等级划分标准》将安全需求等级划分为五个等级，并映射到部分安全功能组件上。但多数规范都是通用的标准，且并没有针对不同类型软件或系统给出相应的规范，这样针对不同类型的软件或系统在安全功能组件筛选时就存在模糊、不精确的困难。

发明内容

为了克服上述现有技术的问题，本发明提出了一种基于未确知测度理论和粗糙集的软件安全等级细化方法，以GA/T390《计算机信息系统安全等级保护通用技术》对CC标准中部分安全功能组件等级划分为基础，对不同特性的软件系统进行分类，并在CC官网中已发布的不同安全需求等级、不同种类软件系统的PP、ST文档中选取的安全功能组件进行归纳总结，以此为依据，采用粗糙集理论和未确知测度理论对不同等级下不同种类的软件系统在各安全特性的需求等级进行细化。

本发明提出的一种基于未确知测度理论和粗糙集的软件安全等级细化方法，该方法包括以下步骤：

第一步、获得软件系统分类，参照CC官网对软件系统的分类情况，根据各软件系统的不同特性，从系统层面、网络层面、实体层面、应用层面四个方向将软件系统分为12个大类；

第二步、抽取CC官网上已发布的各类型的软件系统的PP、ST文档中选取的安全功能组件，从中选取各软件系统的安全功能组件；

第三步、根据安全功能组件与安全需求等级的映射关系，细化每个软件系统各安全功能族的安全需求等级；

第四步、采用粗糙集理论和未确知测度理论计算得出各安全需求等级下各类型的软件系统在各安全特性中的安全需求等级，得到三维等级评估规范。

所述第四步的所述采用粗糙集理论和未确知测度理论计算得出各安全需求等级下各类型的软件系统在各安全特性中的安全需求等级的步骤，具体包括以下处理：

单指标未确知测度计算，设x_ij使x_i处于第k(k＝1,2,...5)个评价等级Levelk的程度为u_ijk，u_ijk即为未知测度，表示对程度的一种测量结果；测度满足“非负有界性、可加性、归一性”三条测量准则。单指标测度矩阵表示如下：

${\left({\mathrm{\μ}}_{\mathrm{ijk}}\right)}_{m\×k}=\left[\begin{array}{cccc}{u}_{i11}& {\mathrm{\μ}}_{i12}& \·\·\·& {\mathrm{\μ}}_{i1k}\\ {\mathrm{\μ}}_{i21}& {\mathrm{\μ}}_{i22}& \·\·\·& {\mathrm{\μ}}_{i2k}\\ \·& \·& & \·\\ \·& \·& & \·\\ \·& \·& & \·\\ {\mathrm{\μ}}_{\mathrm{im}1}& {\mathrm{\μ}}_{\mathrm{im}2}& \·\·\·& {\mathrm{\μ}}_{\mathrm{imk}}\end{array}\right](i=\mathrm{1,2},..,n)---\left(3.1\right)$

其中，i为安全特性的数目，m为该安全特性下的评价指标的数目，k为评价等级空间元素的个数；

某一评价因素在某一评价指标下，针对等级评价空间各元素的测度是不同的，采取将多个安全功能需求等级的总概率平均分给每个等级指标综合测度的确定，首先依据公式(1)计算出各评价指标在指标集合中的重要度Wj，得到第i个安全特性类的分类权重集合即为评价指标关于安全特性的分类权重，然后再根据公式(2)分别计算出该安全特性类下各指标的权重μ_j(j＝m)，得到第i个安全特性类的指标综合测度μⁱ，μⁱ＝(μ_i1,μ_i2,...,μ_im)；

$W_b=\frac{\left|{\mathrm{POS}}_C\left(C\right)\right|}{\left|U\right|}-\frac{\left|{\mathrm{POS}}_{C-b}\left(C\right)\right|}{\left|U\right|}---\left(1\right)$

其中，论域U＝{U₁,U₂,...U_n}表示评价因素集合，属性集C＝{C₁,C₂,...C_m}表示评价指标集合，W_b表示条件属性b在属性集C中的重要度，W_b越大，表明条件属性b对决策属性贡献越大，若W_b＝0，表明条件属性b是冗余的，而条件属性b的权重系数定义为

${\mathrm{\μ}}_b=\frac{W_b}{\mathrm{\Σ}{W}_j}(j\∈B)---\left(2\right)$

评价准则，获取指标综合测度后，设置置信度来得到最终评价等级k₀：

$k_0=\underset{k}{\min }[\left(\underset{l=1}{\overset{k}{\mathrm{\Σ}}}{u}_{\mathrm{ij}}\right)\≥\mathrm{\λ},k=1,2,\·\·\·,k]---\left(3\right)$

其中，设λ>0.5，通常取为0.6或0.7；k₀即为某一类型软件系统下，某一安全特性类的安全功能需求等级。

与现有编解码器相比，该方法预期达到以下有益效果：

1、本发明选取了CC官网上发布的各类型的软件系统的PP、ST文档作为数据来源，提高了方法的通用性、可信性和准确性；

2、本发明参照了GB/T 17859-1999《计算机信息系统安全保护等级划分标准》将软件安全需求等级划分为五个等级，提高了方法的可信度；

3、本发明采用粗糙集理论和未确知测度理论来计算得到三维等级评估规范，避免了安全需求等级评估过程中的不确定性问题，减少了冗余评估项，提高了方法的效率和可用性；

4、本发明是典型的安全需求等级方法，且得到的三维等级评估规范适用于不同类型的软件系统，具有普适性。

附图说明

图1为本发明的安全需求等级评估总体流程图；

图2为本发明的软件系统分类图；

图3为本发明的CC官网发布的各类型软件系统ST文档列表图。

表1：FAU族的安全功能组件与安全需求等级映射表

表2：访问控制系统FIA类样本软件功能族等级表。

具体实施方式

下面将结合附图对本发明的具体实施方式进行详细描述，这些实施方式若存在示例性的内容，不应解释成对本发明的限制。

本发明是从三个维度对软件系统的安全等级进行细化，因此将等级评估结果称为三维等级评估规范。第一个维度为软件分类，根据各软件系统的不同特性，对软件系统进行归类，如系统层面包括数据库系统，操作系统；网络层面包括网络关联系统设备；实体层面包括智能卡管理设备系统等。第二个维度为软件安全需求等级，CC对软件保证等级进行了划分(EAL1-EAL7)，但并未涉及软件安全功能等级，GA/T 390参照GB/T 17859-1999《计算机信息系统安全保护等级划分标准》将安全需求等级划分为五个等级，并映射到部分安全功能组件上。由于GA/T 390版本较老，CC中最新发布的功能组件并未划分等级，本发明对组件和等级间的映射关系进行了完善。第三个维度为软件安全特性，按照CC标准第二部分对软件功能组件的分类，将软件安全特性分为FAU安全设计，FCO通信，FCS密码支持，FDP用户数据保护，FIA标识和鉴别，FMT安全管理等十一大类。

如图1所示，本发明的总体评估流程包括四个过程：首先获得软件系统进行分类，然后抽取CC官网上已发布的各类型的软件系统的PP、ST文档中选取的安全功能组件，接着根据安全功能族等级细化规则，计算每个软件系统各安全功能族的安全需求等级，最后采用基于粗糙集理论和未确知测度理论的等级细化方法计算得出各安全需求等级下，各类型的软件系统在各安全特性中的安全需求等级，得到三维等级评估规范。

下面具体介绍这四个过程：

第一个过程，将软件系统进行分类；

软件分类(Software Classification，SC)需要参照CC官网对软件系统的分类情况，根据各软件系统的不同特性，从系统层面、网络层面、实体层面、应用层面四个方向将软件系统分为12个大类，如图2所示，由此，完成软件等级评估的第一步，为软件系统进行分类。本发明选取了CC官网上发布的各类型的软件系统。

第二个过程，抽取CC官网上已发布的各类型的所有软件系统的PP、ST文档，从ST文档中选取各软件系统保障安全所需的安全功能组件；

本过程的主要工作是从上一过程选取的软件系统的ST文档中选取安全功能组件。保护轮廓(PP)是包含一套或来自GB/T 18336的安全要求，它应包括一个评估保证级(EAL)。PP可以对一组TOE的安全要求做与实现无关的描述，这些要求是同安全目的完全一致的。安全目标(ST)是包含一组安全要求，这些要求可以引用自PP，可以直接引用GB/T 18336的功能或保证组件，也可以是明确阐述的。如图3为CC官网上发布的各类型软件系统的ST文档，从ST文档中抽取各系统选取的安全功能组件。

第三个过程，根据安全功能组件与安全需求等级的映射关系，细化每个软件系统各安全功能组件的安全需求等级。

本过程主要包括两个步骤，第一步是依据上一过程抽取各系统选取的安全功能组件，对安全功能族等级进行细化，第二步是依据上一步细化后的安全功能族等级，对各系统的安全功能类等级(安全特性等级)的细化。

下面分别介绍这两步：

第一步：依据上一过程抽取各系统选取的安全功能组件，对安全功能族等级进行细化。

本步骤是根据软件系统安全功能族等级评价规则对各系统选取的安全功能组件进行安全功能族等级细化。安全功能族等级细化规则如下：

1)针对一个软件系统选取的某一族的安全功能组件，根据安全功能组件与安全需求等级的映射表，选取能涵盖所有该组件的等级为该族的最终安全需求等级。

首先解释下安全功能组件与安全需求等级的映射关系

安全功能组件(Security Function Component)为CC标准中安全功能组件的概念，描述一组特定的安全要求，是CC结构中的最小可选元素集。

安全需求等级(Security Requirement Level，SRL)由于不同等级的软件系统对安全性的要求不同，参照GB/T 17859-1999《计算机信息系统安全保护等级划分标准》将软件安全需求等级划分为五个等级，按照安全强度从低到高排列，且高一级包括低一级的安全能力。随着安全保护等级的增高，计算机系统对安全性的需求越高。各安全级别的标准如下：

第一级：用户自主保护级；

第二级：系统审计保护级；

第三级：安全标记保护级；

第四级：结构化保护级；

第五级：访问验证保护级。

安全需求等级与安全功能组件间存在映射关系，即一个安全需求等级会包含多个安全功能组件，而一个安全功能组件也可以属于多个安全需求等级。如表1给出了FAU族的安全功能组件与安全需求等级的映射关系。

表1、FAU族的安全功能组件与安全需求等级映射表

本条规则中要求选取能涵盖所有该组件的等级为该族的最终安全需求等级，意思是指在安全功能族与等级映射表中选择包含该软件系统中的所有功能组件的安全需求等级，此等级为安全功能族等级。安全功能族(Security Function family)为CC标准中安全功能族的概念，描述一组特定的安全要求，由多个安全功能组件构成。安全功能族等级(Security Functional Family Level，sfl)是将软件安全功能族与安全需求等级相对应的结果，即安全功能族的安全等级要求。

下面给出本条规则的例释：假定某一系统选取FAU_STG安全功能族下的组件FAU_STG.1,FAU_STG.3，FAU_STG.4。由表1可知，Level 1包含的功能组件为FAU_STG.1；Level 2包含的功能组件为FAU_STG.1；Level 3包含的功能组件为FAU_STG.1,FAU_STG.2；Level 4包含的功能组件为FAU_STG.1,FAU_STG.3，FAU_STG.4；Level 5包含的功能组件为FAU_STG.1,FAU_STG.2,FAU_STG.3，FAU_STG.4。根据此规则，选取最低能涵盖所有功能组件的安全需求等级，因此将此安全功能族的等级细化为Level 4。

2)若多个等级下组件种类相同，将该族的安全功能需求等级确定为多级。

例如，假设某系统在FAU_ARP族仅有FAU_ARP.1一个组件，而安全需求等级Level2,Level3,Level4,Level5均包含此功能组件，因此将此功能族等级确定为综合等级Level 2-5。在本过程的下一步采用未确知测度理论计算安全功能类等级时，将软件系统在此综合等级概率平均分给每个等级。

3)若某一软件系统中未涉及某一功能族中的任一等级，将此族的等级细化为null，即不属于任一安全功能需求等级。

第二步：根据以上三条安全功能族等级细化规则，细化选取的各类型样本软件系统的安全功能族等级后，为下一步对各系统的安全功能类等级(安全特性等级)的细化提供了依据。

第四个过程，采用基于粗糙集理论和未确知测度理论的安全等级细化方法计算得出各安全需求等级下各类型(一维)的软件系统在各安全特性(二维)中的安全需求等级(三维)，得到三维等级评估规范。

研究发现，同一类型软件系统下，存在对软件特性类的安全功能需求等级没有贡献或者贡献小到可以忽略不计的安全功能族，这些安全功能族会影响功能族权重计算结果的精确度及可信性，同时降低运算效率。

由于同一类型的样本软件系统选取的安全功能组件略有不同，所以安全功能族等级也存在差异。表2为访问控制系统的10个样本软件在FIA类的各安全功能族等级，其中大部分软件的安全功能族等级基本相同，但也存在部分浮动，如FIA_UAU族下，有三个软件在此族的功能等级为4级，有四个软件为3级，两个为2级，一个为null。在评估过程中存在着很多未确知性。

表2 访问控制系统FIA类样本软件功能族等级表

本过程采用粗糙集理论去除冗余评价指标，同时借鉴未确知测度评价模型的理论和思想来解决等级细化过程中诸多不确定性问题。根据同一安全需求等级下，同一类型软件系统的各样本软件的安全功能族等级，首先基于未确知测度理论构造了未确知模型，计算了各评价指标的未确知测度值；然后利用粗糙及理论去除冗余的评价指标，同时给出指标权重；最后用置信度准则进行判别评价。

在安全功能等级评估模型中，将同一分类sc_i的样本软件系统组成的集合称为评价空间，记为X＝{x₁,x₂，...x_n}，x_i对应于此类型软件系统的某一样本软件sc_ij，即评价空间中的评价因素。若某评价因素x₁(i＝1,2,...n)需要测量m个指标，这m个指标即为某一安全特性下所有的安全功能族。则SSF＝{ssf₁,ssf₂,,...,ssf_m}为此模型的指标空间。若x_ij表示第i个评价因素x_i关于第j(j＝1,2,…,m)个指标ssf_j的安全功能需求等级测量值，则x_i表示为一个m维向量：

x_i＝(x_i1,x_i2,…,x_im)

对x_ij有5个评价等级，构成评价等级空间L＝{Level1,Level2,...Level5}，L即为安全功能需求等级集合。

基于粗糙集理论和未确知测度理论的安全等级细化方法的步骤如下：

a)单指标未确知测度

设x_ij使x_i处于第k(k＝1,2,...5)个评价等级Levelk的程度为u_ijk，u_ijk即为未知测度，表示对程度的一种测量结果。测度满足“非负有界性、可加性、归一性”三条测量准则。单指标测度矩阵表示如下：

${\left({\mathrm{\μ}}_{\mathrm{ijk}}\right)}_{m\×k}=\left[\begin{array}{cccc}{u}_{i11}& {\mathrm{\μ}}_{i12}& \·\·\·& {\mathrm{\μ}}_{i1k}\\ {\mathrm{\μ}}_{i21}& {\mathrm{\μ}}_{i22}& \·\·\·& {\mathrm{\μ}}_{i2k}\\ \·& \·& & \·\\ \·& \·& & \·\\ \·& \·& & \·\\ {\mathrm{\μ}}_{\mathrm{im}1}& {\mathrm{\μ}}_{\mathrm{im}2}& \·\·\·& {\mathrm{\μ}}_{\mathrm{imk}}\end{array}\right](i=\mathrm{1,2},..,n)---\left(3.1\right)$

其中，i为安全特性的数目，m为该安全特性下的评价指标的数目，k为评价等级空间元素的个数。

单指标未确知测度计算方法如下：

某一评价因素在某一评价指标下，针对等级评价空间各元素的测度是不同的，采取将多个安全功能需求等级的总概率平均分给每个等级。

某一评价因素在某一评价指标的安全功能需求等级被评定为null，此时将此评价因素的概率平均分给5个安全功能等级。

b)指标综合测度的确定

在未确知综合评价理论中，指标权重的科学性和精确度直接影响评价的结果，采用粗糙集理论去除冗余的评价指标，同时给出的指标权重。

在指标测度确定问题中，知识系统S＝(U,C,V,f)，论域U＝{U₁,U₂,...U_n}表示评价因素集合，属性集C＝{C₁,C₂,...C_m}表示评价指标集合。则条件属性b在属性集C中的重要度W_b记为：

$W_b=\frac{\left|{\mathrm{POS}}_C\left(C\right)\right|}{\left|U\right|}-\frac{\left|{\mathrm{POS}}_{C-b}\left(C\right)\right|}{\left|U\right|}---\left(3.2\right)$

W_b越大，表明条件属性b对决策属性贡献越大，若W_b＝0，表明条件属性b是冗余的，可以从属性集中去掉.而条件属性b的权重系数定义为

${\mathrm{\μ}}_b=\frac{W_b}{\mathrm{\Σ}{W}_j}(j\∈B)---\left(3.3\right)$

指标测度计算首先依据公式(3.2)计算出各评价指标在指标集合中的重要度W_j，得到第i个安全特性类的分类权重集合即为评价指标关于安全特性的分类权重。然后再根据公式(3.3)分别计算出该安全特性类下各指标的权重μ_j(j＝m)，得到第i个安全特性类的指标综合测度μⁱ，μⁱ＝(μ_i1,μ_i2,...,μ_im)即为指标综合测度。本文使用matlab模拟基于未确知测度理论及粗糙集的安全功能需求等级评估算法，计算出指标综合测度矩阵μⁱ＝(μ_i1,μ_i2,...,μ_ik)。

c)评价准则

获取指标综合测度后，接着要设置置信度来得到最终评价等级k₀

$k_0=\underset{k}{\min }[\left(\underset{l=1}{\overset{k}{\mathrm{\Σ}}}{u}_{\mathrm{ij}}\right)\≥\mathrm{\λ},k=1,2,\·\·\·,k]---\left(3.4\right)$

一般设λ>0.5，通常取为0.6或0.7。k₀即为某一类型软件系统下，某一安全特性类的安全功能需求等级。

经过以上三步计算，得出了各安全功能需求等级下各类型的软件系统的所有安全特性的安全功能需求等级的评估结果，即三维等级评估规范。

Claims (2)

1.一种基于未确知测度理论和粗糙集的软件安全等级细化方法，其特征在于，该方法包括以下步骤：

第一步、获得软件系统分类，参照CC官网对软件系统的分类情况，根据各软件系统的不同特性，从系统层面、网络层面、实体层面、应用层面四个方向将软件系统分为12个大类；

第二步、抽取CC官网上已发布的各类型的软件系统的PP、ST文档中选取的安全功能组件，从中选取各软件系统的安全功能组件；

第三步、根据安全功能组件与安全需求等级的映射关系，细化每个软件系统各安全功能族的安全需求等级；

第四步、采用粗糙集理论和未确知测度理论计算得出各安全需求等级下各类型的软件系统在各安全特性中的安全需求等级，得到三维等级评估规范。

2.如权利要求1所述的基于未确知测度理论和粗糙集的软件安全等级细化方法，其特征在于，所述第四步的所述采用粗糙集理论和未确知测度理论计算得出各安全需求等级下各类型的软件系统在各安全特性中的安全需求等级的步骤，具体包括以下处理：。

单指标未确知测度计算，设x_ij使x_i处于第k(k＝1,2,…5)个评价等级Levelk的程度为u_ijk，u_ijk即为未知测度，表示对程度的一种测量结果；测度满足“非负有界性、可加性、归一性”三条测量准则。单指标测度矩阵表示如下：

${\left({\mathrm{\μ}}_{\mathrm{ijk}}\right)}_{m\×k}=\left[\begin{array}{cccc}{\mathrm{\μ}}_{i11}& {\mathrm{\μ}}_{i12}& ...& {\mathrm{\μ}}_{i1k}\\ {\mathrm{\μ}}_{i21}& {\mathrm{\μ}}_{i22}& ...& {\mathrm{\μ}}_{i2k}\\ .& .& & .\\ .& .& & .\\ .& .& & .\\ {\mathrm{\μ}}_{\mathrm{im}1}& {\mathrm{\μ}}_{\mathrm{im}2}& ...& {\mathrm{\μ}}_{\mathrm{imk}}\end{array}\right],(i=\mathrm{1,2},...,n)---\left(1\right)$

其中，i为安全特性的数目，m为该安全特性下的评价指标的数目，k为评价等级空间元素的个数；

某一评价因素在某一评价指标下，针对等级评价空间各元素的测度是不同的，采取将多个安全功能需求等级的总概率平均分给每个等级指标综合测度的确定，首先依据公式(2)计算出各评价指标在指标集合中的重要度W_j，得到第i个安全特性类的分类权重集合 即为评价指标关于安全特性的分类权重，然后再根据公式(2)分别计算出该安全特性类下各指标的权重μ_j(j＝m)，得到第i个安全特性类的指标综合测度μⁱ，μⁱ＝(μ_i1,μ_i2,…,μ_im)；

$W_b=\frac{\left|{\mathrm{POS}}_C\left(C\right)\right|}{\left|U\right|}-\frac{\left|{\mathrm{POS}}_{C-b}\left(C\right)\right|}{\left|U\right|}---\left(2\right)$

其中，论域U＝{U₁,U₂,…U_n}表示评价因素集合，属性集C＝{C₁,C₂,…C_m}表示评价指标集合，W_b表示条件属性b在属性集C中的重要度，W_b越大，表明条件属性b对决策属性贡献越大，若W_b＝0，表明条件属性b是冗余的，而条件属性b的权重系数定义为

${\mathrm{\μ}}_b=\frac{W_b}{\mathrm{\Σ}{W}_j}(j\∈B)---\left(2\right)$

评价准则，获取指标综合测度后，设置置信度来得到最终评价等级k₀：

$k_0=\underset{k}{\min }[\left(\underset{l=1}{\overset{k}{\mathrm{\Σ}}}{u}_{\mathrm{il}}\right)\≥\mathrm{\λ},k=\mathrm{1,2},...,K]---\left(3\right)$

其中，设λ>0.5，通常.为0.6或0.7；k₀即为某一类型软件系统下，某一安全特性类的安全功能需求等级。