CN114064464A - 安全需求分析方法、装置、计算机设备和存储介质 - Google Patents
安全需求分析方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN114064464A CN114064464A CN202111295426.0A CN202111295426A CN114064464A CN 114064464 A CN114064464 A CN 114064464A CN 202111295426 A CN202111295426 A CN 202111295426A CN 114064464 A CN114064464 A CN 114064464A
- Authority
- CN
- China
- Prior art keywords
- target software
- software system
- risk
- determining
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 28
- 238000004590 computer program Methods 0.000 claims abstract description 52
- 238000000034 method Methods 0.000 claims abstract description 32
- 230000004048 modification Effects 0.000 claims description 174
- 238000012986 modification Methods 0.000 claims description 174
- 230000009466 transformation Effects 0.000 claims description 58
- 230000006870 function Effects 0.000 claims description 54
- 238000013461 design Methods 0.000 claims description 32
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/10—Requirements analysis; Specification techniques
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及一种安全需求分析方法、装置、计算机设备、存储介质和计算机程序产品。所述方法包括:获取目标软件系统对应于至少两个功能维度的功能属性,根据功能属性确定目标软件系统的第一安全需求集合,并获取目标软件系统的业务场景,根据业务场景确定目标软件系统的第二安全需求集合,进而根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求。通过上述方法所确定的安全需求不仅与业务场景强相关,同时与目标软件系统自身的属性强相关,提高了所确定的安全需求与目标软件系统本身的适配性,相应提高了所设计的目标软件系统的安全性能。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种安全需求分析方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
安全需求分析为获取系统实际业务功能对应的安全需求的过程,安全需求分析的目的在于明确系统的安全要求与目标,以指导系统的设计与开发。
传统的安全需求分析方法是基于软件系统的业务场景从安全需求库中获取与各个业务场景对应的安全需求,以确定满足软件系统各个业务场景的安全需求。
然而,通过上述安全需求分析方法所确定的安全需求与软件系统的业务场景强相关,与软件系统本身的适配性较差,进而使得该软件系统的安全性能较差。
发明内容
基于此,有必要针对上述技术问题,提供一种安全需求分析方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种安全需求分析方法。所述方法包括:
获取目标软件系统的功能属性,根据功能属性确定目标软件系统的第一安全需求集合;其中,第一安全需求集合包括与功能属性匹配的多个安全需求,功能属性包括目标软件对应于至少两个功能维度的属性;
获取目标软件系统的业务场景,根据业务场景确定目标软件系统的第二安全需求集合;其中,第二安全需求集合包括与业务场景匹配的多个安全需求;
根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求。
在其中一个实施例中,根据功能属性确定目标软件系统的第一安全需求集合,包括:
根据第一对应关系确定每一功能属性对应的功能安全需求;其中,第一对应关系包括功能属性和功能安全需求之间的对应关系;
获取对应同一功能维度的功能安全需求的并集,得到同维度需求集合;
获取对应不同功能维度的同维度需求集合的交集,得到第一安全需求集合。
在其中一个实施例中,根据业务场景确定目标软件系统的第二安全需求集合,包括:
根据第二对应关系确定每一业务场景对应的业务安全需求;其中,第二对应关系包括业务场景和业务安全需求之间的对应关系;
获取业务安全需求的并集,得到第二安全需求集合。
在其中一个实施例中,根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求,包括:
获取第一安全需求集合和第二安全需求集合的交集,得到目标软件系统的安全需求。
在其中一个实施例中,上述方法还包括:
根据目标软件系统的安全需求和目标软件系统的改造风险等级确定目标软件系统的设计方案。
在其中一个实施例中,确定目标软件系统的改造风险等级,包括:
根据功能属性确定目标软件系统的系统风险等级;
获取目标软件系统的系统改造内容,并根据系统改造内容确定系统改造类型;
根据系统风险等级和系统改造类型确定目标软件系统的改造风险等级。
在其中一个实施例中,根据功能属性确定目标软件系统的系统风险等级,包括:
根据功能属性确定目标软件系统的安全风险值;
由风险安全值确定目标软件系统的系统风险等级。
在其中一个实施例中,根据功能属性确定目标软件系统的安全风险值,包括:
根据风险对应关系确定每一功能维度对应功能属性的最大安全风险值;其中,风险对应关系包括功能属性和安全风险值之间的对应关系;
计算最大安全风险值与对应功能维度的权重之间的乘积,并计算乘积之和,得到目标软件系统的安全风险值。
在其中一个实施例中,根据系统改造内容确定系统改造类型,包括:
根据改造对应关系确定系统改造内容所对应的系统改造类型;其中,改造对应关系包括系统改造内容与系统改造类型之间的对应关系。
在其中一个实施例中,根据系统风险等级和系统改造类型确定目标软件系统的改造风险等级,包括:
若系统改造类型为新建系统,在系统风险等级为低风险时,目标软件系统的改造风险等级为二级;在系统风险等级为非低风险时,目标软件系统的改造风险等级为三级;
若系统改造类型为高风险改造系统,在系统风险等级为高风险时,目标软件系统的改造风险等级为三级;在系统风险等级为非高风险时,目标软件系统的改造风险等级为二级;
若系统改造类型为中风险改造系统,在系统风险等级为低风险时,目标软件系统的改造风险等级为一级;在系统风险等级为非低风险时,目标软件系统的改造风险等级为二级;
若系统改造类型为低风险改造系统,目标软件系统的改造风险等级为一级;其中,改造风险等级越高,系统改造风险越大。
第二方面,本申请还提供了一种安全需求分析装置。所述装置包括:
第一需求确定模块,用于获取目标软件系统的功能属性,根据功能属性确定目标软件系统的第一安全需求集合;其中,第一安全需求集合包括与功能属性匹配的多个安全需求,功能属性包括目标软件对应于至少两个功能维度的属性;
第二需求确定模块,用于获取目标软件系统的业务场景,根据业务场景确定目标软件系统的第二安全需求集合;其中,第二安全需求集合包括与业务场景匹配的多个安全需求;
系统需求确定模块,用于根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取目标软件系统的功能属性,根据功能属性确定目标软件系统的第一安全需求集合;其中,第一安全需求集合包括与功能属性匹配的多个安全需求,功能属性包括目标软件对应于至少两个功能维度的属性;
获取目标软件系统的业务场景,根据业务场景确定目标软件系统的第二安全需求集合;其中,第二安全需求集合包括与业务场景匹配的多个安全需求;
根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取目标软件系统的功能属性,根据功能属性确定目标软件系统的第一安全需求集合;其中,第一安全需求集合包括与功能属性匹配的多个安全需求,功能属性包括目标软件对应于至少两个功能维度的属性;
获取目标软件系统的业务场景,根据业务场景确定目标软件系统的第二安全需求集合;其中,第二安全需求集合包括与业务场景匹配的多个安全需求;
根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
获取目标软件系统的功能属性,根据功能属性确定目标软件系统的第一安全需求集合;其中,第一安全需求集合包括与功能属性匹配的多个安全需求,功能属性包括目标软件对应于至少两个功能维度的属性;
获取目标软件系统的业务场景,根据业务场景确定目标软件系统的第二安全需求集合;其中,第二安全需求集合包括与业务场景匹配的多个安全需求;
根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求。
上述安全需求分析方法、装置、计算机设备、存储介质和计算机程序产品,通过获取目标软件系统对应于至少两个功能维度的功能属性,根据功能属性确定目标软件系统的第一安全需求集合,并获取目标软件系统的业务场景,根据业务场景确定目标软件系统的第二安全需求集合,进而根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求,通过上述基于目标软件系统的功能属性以及业务场景共同确定的安全需求不仅与业务场景强相关,同时与目标软件系统自身的属性强相关,提高了所确定的安全需求与目标软件系统本身的适配性,相应提高了所设计的目标软件系统的安全性能。
附图说明
图1为一个实施例中安全需求分析方法的流程示意图;
图2为一个实施例中确定第一安全需求集合的流程示意图;
图3为一个实施例中确定第二安全需求集合的流程示意图;
图4为一个实施例中确定改造风险等级的流程示意图;
图5为一个实施例中确定目标软件系统的安全风险值的流程示意图;
图6为一个实施例中安全需求分析装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1所示,提供了一种安全需求分析方法,本实施例以该方法应用于终端进行举例说明,可以理解的是,该方法也可以应用于服务器,还可以应用于包括终端和服务器的系统,并通过终端和服务器的交互实现。其中,终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。上述安全需求分析方法包括以下步骤:
S110、获取目标软件系统的功能属性,根据功能属性确定目标软件系统的第一安全需求集合。
其中,第一安全需求集合包括与功能属性匹配的多个安全需求,功能属性包括目标软件对应于至少两个功能维度的属性。目标软件系统即为软件开发人员所要设计的软件系统,例如,可以是实现业务管理的软件系统、实现人事管理的软件系统或者实现运行辅助的软件系统等。功能属性即为软件系统自身在不同功能维度上的属性信息,例如,功能维度包括系统类别、用户类型或者客户端架构等。相应地,在系统类别这一功能维度上的属性信息可以包括业务管理系统、人事管理系统、绩效管理系统等;在用户类型这一功能维度上的属性信息可以包括企业内部员工或者所有用户等;在客户端架构这一功能维度上的属性信息可以包括Web应用系统、移动应用系统、微信小程序、专用自助终端等。
可选地,计算机设备可获取用户输入的功能属性,作为目标软件系统的功能属性。可选地,计算机设备响应于用户的安全需求分析请求,在显示界面上显示属性输入区域,并获取用户在属性输入区域内所输入的功能属性,作为目标软件系统的功能属性。还可以在属性输入区域内显示候选功能属性,获取用户所选择的候选功能属性,作为目标软件系统的功能属性。
可选地,计算机设备还可以根据用户输入的功能关键词获取到目标软件系统的功能属性。其中,功能关键词可用于表征软件系统的功能特性。可选地,计算机设备可根据功能关键词与功能属性的对应关系为用户推荐候选功能属性,并基于用户对于候选功能属性的选择确定目标软件系统的功能属性。例如,用户在属性输入区域内输入功能关键词“考勤”、“人员”,根据关系词与功能属性的对应关系,计算机设备可为用户推荐的候选功能属性包括:人事管理系统,业绩管理系统以及企业内部员工,若用户选择了人事管理系统和企业内部员工,计算机设备即可确定目标软件系统的功能属性包括人事管理系统和企业内部员工。
可选地,计算机设备在确定目标软件系统的功能属性后,进一步确定该功能属性所对应的安全需求,进而得到目标软件系统的第一安全需求集合。可选地,计算机设备内预设有包括多种安全需求的安全需求库,每一安全需求对应需要满足该安全需求的功能属性,计算机设备则从安全需求库中获取对应功能属性包括上述目标软件系统的功能属性的安全需求,构成目标软件系统的第一安全需求集合。例如,在目标软件系统的功能属性包括人事管理系统,企业内部员工的情况下,计算机设备即可从安全需求库中获取对应功能属性包括上述人事管理系统和企业内部员工的安全需求,作为目标软件系统的第一安全需求集合。
S120、获取目标软件系统的业务场景,根据业务场景确定目标软件系统的第二安全需求集合。
其中,第二安全需求集合包括与业务场景匹配的多个安全需求。业务场景即为软件系统所能执行的具体业务,如用户注册、用户登录、密码重置、个人信息维护、订单支付、转账、发送短信通知、人脸识别等。
可选地,计算机设备可获取用户输入的业务场景,作为目标软件系统的业务场景。可选地,计算机设备响应于用户的安全需求分析请求,显示界面上出了显示属性输入区域,还显示了场景输入区域,进而获取用户在场景输入区域内所输入的业务场景,作为目标软件系统的业务场景。还可以在场景输入区域内显示候选业务场景,获取用户所选择的候选业务场景,作为目标软件系统的业务场景。
可选地,计算机设备还可以根据用户输入的业务关键词获取到目标软件系统的业务场景。其中,业务关键词可用于表征软件系统的业务特性。可选地,计算机设备可根据业务场景的名称向用户推荐包括业务关键词的候选业务场景,并基于用户对于候选业务场景的选择确定目标软件系统的业务场景。例如,用户在业务输入区域内输入业务关键词“用户”,计算机设备可为用户推荐的候选业务场景就包括:用户登录和用户注册,若用户同时选择了用户登录和用户注册,计算机设备即可确定目标软件系统的业务场景包括用户登录和用户注册。
可选地,计算机设备在确定目标软件系统的业务场景后,进一步确定该业务场景所对应的安全需求,进而得到目标软件系统的第二安全需求集合。可选地,上述安全需求库中每一安全需求还对应需要满足该安全需求的业务场景,计算机设备则从安全需求库中获取对应业务场景包括上述目标软件系统的业务场景的安全需求,构成目标软件系统的第二安全需求集合。例如,在目标软件系统的业务场景包括用户注册和用户登录的情况下,计算机设备即可从安全需求库中获取对应业务场景包括上述用户注册和用户登录的安全需求,作为目标软件系统的第二安全需求集合。
S130、根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求。
可选地,计算机设备可根据第一安全需求集合所涵盖的需求范围和第二安全需求集合所涵盖的需求范围确定目标软件系统的安全需求。在第一安全需求集合和第二安全需求集合中确定所涵盖的需求范围最大的安全需求集合为目标软件系统的安全需求。其中,需求范围可根据安全需求的数量确定,安全需求数量越多,相应地需求范围即越大,
可选地,为更加全面的确定的目标软件系统的安全需求,计算机设备还可以直接获取第一安全需求集合和第二安全需求的并集,作为目标软件系统的安全需求。
本实施例中,计算机设备获取目标软件系统对应于至少两个功能维度的功能属性,根据功能属性确定第一安全需求集合,并获取目标软件系统的业务场景,根据业务场景确定第二安全需求集合,进而根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求,通过上述基于目标软件系统的功能属性以及业务场景共同确定的安全需求不仅与业务场景强相关,同时与目标软件系统自身的属性强相关,提高了所确定的安全需求与目标软件系统本身的适配性,相应提高了所设计的目标软件系统的安全性能。
在其中一个实施例中,对应于同一功能维度可能存在多个功能属性,如图2所示,上述S110则包括:
S210、根据第一对应关系确定每一功能属性对应的功能安全需求。
其中,第一对应关系包括功能属性和功能安全需求之间的对应关系。可选地,第一对应关系包括每一功能属性和对应该功能属性所要满足的安全需求(即功能安全需求)之间的对应关系,每一功能属性可对应多个功能安全需求。可选地,不同的功能属性相应所要满足的功能安全需求可以相同,也可以不同。
例如,在计算机设备所确定的目标软件系统的功能属性包括人事管理系统、企业内部员工以及Web应用系统、移动应用系统、微信小程序的情况下,基于上述第一对应关系,计算机设备即可确定上述每一功能属性所对应的功能安全需求。
S220、获取对应同一功能维度的功能安全需求的并集,得到同维度需求集合。
具体地,计算机设备获取对应同一功能维度的功能安全需求的并集,得到同维度需求集合。例如,人事管理系统对应的功能安全需求1对应系统类别这一功能维度,取并集后得到同维度需求集合1即还是功能安全需求1;企业内部员工对应的功能安全需求2对应用户类型这一功能维度,取并集后得到同维度需求集合2即还是功能安全需求2;Web应用系统、移动应用系统以及微信小程序分别对应的功能安全需求3~5均对应客户端架构这一功能维度,取并集后得到同维度需求集合3。
S230、获取对应不同功能维度的同维度需求集合的交集,得到第一安全需求集合。
具体地,计算机设备获取对应不同功能维度的所有同维度需求集合的交集,得到上述目标软件系统的第一安全需求集合。继续上述举例,计算机设备即获取同维度需求集合1、同维度需求集合2以及同维度需求集合3的交集,得到的需求集合即为第一安全需求集合。
需要说明的是,对应不同功能维度的同维度需求集合中肯定包括设计软件需求所必备的安全需求。因此,对应不同功能维度的同维度需求集合之间一定存在交集,即对应不同功能维度的同维度需求集合的交集不为空,一定能够得到上述第一安全需求集合。
本实施例中,计算机设备根据第一对应关系确定每一功能属性对应的功能安全需求,并获取对应同一功能维度的功能安全需求的并集,得到同维度需求集合,进而获取对应不同功能维度的同维度需求集合的交集,得到第一安全需求集合。第一对应关系为功能属性和功能安全需求之间的对应关系,采用上述第一对应关系即可准确确定每一功能属性所对应的功能安全需求,进而提高了第一安全需求集合的准确性。
在其中一个实施例中,为提高所确定的第二安全需求集合的准确性,如图3所示,上述S120包括:
S310、根据第二对应关系确定每一业务场景对应的业务安全需求。
其中,第二对应关系包括业务场景和业务安全需求之间的对应关系。可选地,第二对应关系包括每一业务场景和对应该业务场景所要满足的安全需求(即业务安全需求)之间的对应关系。可选地,不同的业务场景相应所要满足的业务安全需求可以相同,也可以不同。
例如,在计算机设备所确定的目标软件系统的业务场景包括用户注册、用户登录、密码重置以及个人信息维护的情况下,基于上述第二对应关系,计算机设备即可确定上述每一业务场景的业务安全需求。
S320、获取业务安全需求的并集,得到第二安全需求集合。
具体地,计算机设备获取所得到的业务安全需求的并集,得到上述目标软件系统的第二安全需求集合。继续上述举例,计算机设备即获取业务安全需求1、业务安全需求2、业务安全需求3以及业务安全需求4的并集,得到的需求集合即为第二安全需求集合。
本实施例中,计算机设备根据第二对应关系确定每一业务场景对应的业务安全需求,并获取所得到的业务安全需求的并集,得到第二安全需求集合。第二对应关系为业务场景和业务安全需求之间的对应关系,采用上述第二对应关系即可准确确定每一业务场景所对应的业务安全需求,进而提高了第二安全需求集合的准确性。
在其中一个实施例中,为降低目标软件系统的设计难度,上述S130包括:
获取第一安全需求集合和第二安全需求集合的交集,得到目标软件系统的安全需求。
具体地,计算机设备获取第一安全需求集合和第二安全需求集合的交集,得到目标软件系统的安全需求。
需要说明的是,由目标软件系统的功能属性所确定的第一安全需求集合和由目标软件系统的业务场景所确定的第二安全需求集合中肯定包括设计软件需求所必备的安全需求。因此,第一安全需求集合和第二安全需求集合之间一定存在交集,即第一安全需求集合和第二安全需求集合的交集不为空,一定能够得到目标软件系统的安全需求。
本实施例中,计算机设备直接获取第一安全需求集合与第二安全需求集合的交集,即得到目标软件系统的功能属性和业务场景需同时满足的安全需求作为目标软件系统的安全需求,以精简目标软件系统的安全需求,降低设计难度。
在其中一个实施例中,为提高目标软件系统的安全需求的实际利用意义,上述方法还包括:
根据目标软件系统的安全需求和目标软件系统的改造风险等级确定目标软件系统的设计方案。
其中,改造风险等级用于表征设计对应软件系统的复杂程度,可根据所要改造的具体内容和软件系统本身的功能属性综合确定。可选地,改造风险等级越高,表征设计对应软件系统越复杂;反之,改造风险等级越低,表征设计对应软件系统越简单。
可选地,计算机设备内预存设计方案库,设计方案库中过包括多种软件系统的设计方案,每一设计方案对应一组安全需求和相应地改造风险等级,计算机设备可根据所确定的目标软件系统的安全需求和改造风险等级在设计方案库中确定对应的设计方案,作为目标软件系统的设计方案。
本实施例中,计算机设备可进一步根据目标软件系统的安全需求和目标软件系统的改造风险等级确定目标软件系统的设计方案,为目标软件系统的设计人员提供了具体的设计方案,在提高了设计效率的同时提高了目标软件系统的安全需求的实际利用意义。
在其中一个实施例中,上述方法还包括确定目标软件系统的改造风险等级的过程,为提高改造风险等级的准确性,如图4所示,确定改造风险等级的过程具体包括:
S410、根据功能属性确定目标软件系统的系统风险等级。
其中,系统风险等级用于表征软件系统自身功能的复杂程度,可根据软件系统本身的功能属性确定。可选地,系统风险等级越高,表征对应软件系统的功能属性越复杂;反之,系统风险等级越低,表征对应软件系统的功能属性越简单。
可选地,具体可包括如下步骤:
根据功能属性确定目标软件系统的安全风险值;
由风险安全值确定目标软件系统的系统风险等级。
具体地,计算机设备可根据目标软件系统的所有功能属性确定出对应于目标软件系统的安全风险值,进而由安全风险值确定系统风险等级。
可选地,计算机设备可根据风险对应关系确定出每一功能属性所对应的安全风险值,进而获取所有功能属性所对应的安全风险值之和,作为目标软件系统的安全风险值,并确定该目标软件系统的安全风险值所属的系统风险等级为目标软件系统的系统风险等级。其中,风险对应关系包括功能属性和安全风险值之间的对应关系,每一功能属性均对应一具体的安全风险值。
可选地,系统风险等级可根据对应于目标软件系统的安全风险值R的不同取值区间确定为多个等级。例如,R2≤R≤R1,则为高风险;R3≤R<R2,则为中风险;R4≤R<R3,则为低风险。
S420、获取目标软件系统的系统改造内容,并根据系统改造内容确定系统改造类型。
其中,系统改造内容包括软件开发人员所需设计的功能模块。例如,架构新建模块、身份认证模块、架构变更模块、用户信息更新模块、界面调整模块等。
具体地,计算机设备可基于软件开发人员在功能显示界面上的输入或选择操作获取得到目标软件系统的系统改造内容,并与改造类型对照表进行比对,以确定系统改造内容所对应的系统改造类型。其中,多个系统改造内容可对应多种系统改造类型,计算机设备则选择风险等级最高的系统改造类型为该目标软件系统的系统改造类型。
可选地,改造类型对照表可如下表1所示:
表1系统改造类型对照表
其中,风险等级:新建系统>高风险改造系统>中风险改造系统>低风险改造系统。
S430、根据系统风险等级和系统改造类型确定目标软件系统的改造风险等级。
可选地,在系统改造类型包括新建系统、高风险改造系统、中风险改造系统以及低风险改造系统,系统风险等级包括高风险、中风险以及低风险的情况下,计算机设备可按照下表2确定目标软件系统的改造风险等级。
表2改造风险等级表
其中,改造风险等级越高,系统改造的风险相应越大越大,即三级>二级>一级。
具体地,若系统改造类型为新建系统,在系统风险等级为低风险时,目标软件系统的改造风险等级为二级;在系统风险等级为非低风险时,目标软件系统的改造风险等级为三级。
若系统改造类型为高风险改造系统,在系统风险等级为高风险时,目标软件系统的改造风险等级为三级;在系统风险等级为非高风险时,目标软件系统的改造风险等级为二级。
若系统改造类型为中风险改造系统,在系统风险等级为低风险时,目标软件系统的改造风险等级为一级;在系统风险等级为非低风险时,目标软件系统的改造风险等级为二级。
若系统改造类型为低风险改造系统,目标软件系统的改造风险等级为一级。
在一可选地实施例中,如图5所示,上述根据功能属性确定目标软件系统的安全风险值,包括:
S510、根据风险对应关系确定每一功能维度对应功能属性的最大安全风险值。
其中,风险对应关系包括功能属性和安全风险值之间的对应关系。
具体地,计算机设备可根据风险对应关系确定每一功能属性所对应的安全风险值,并从中确定每一功能维度的最大安全风险值。
S520、计算最大安全风险值与对应功能维度的权重之间的乘积,并计算乘积之和,得到目标软件系统的安全风险值。
其中,对应功能维度的权重可根据设计需求确定。例如,若设计需求为重点考虑满足系统类型所需的安全需求,对应于该系统类型的权重可大于对应其他功能维度的权重。
具体地,计算机设备则对对应于每一功能维度的最大安全风险值进行加权求和,即可得到目标软件系统的安全风险值。其中,目标软件系统的安全风险值R满足下式:
其中,
SIi的最大安全风险值=MAX(|OP1|,|OP2|,…,|OPm|)
SIi表示功能维度,每一功能维度可包括至少一个功能属性,每一个功能属性对应一个安全风险值OP。n为功能维度的数量,m为对应功能维度下功能属性的数量。
可选地,安全风险值分为高、中、低三档。其中,高=1、中=0.5、低=0.2。可选地,系统风险等级R也可分为三个级别。例如,0.7≤R≤1.0,则为高风险;0.5≤R<0.7,则为中风险;0.2≤R<0.5,则为低风险。
本实施例中,计算机设备根据功能属性确定目标软件系统的系统风险等级,具体是通过每一功能属性的安全风险值确定系统风险等级,同时获取目标软件系统的系统改造内容,并根据系统改造内容确定系统改造类型,再综合系统风险等级和系统改造类型两方面的影响确定目标软件系统的改造风险等级,进而提高了所确定的改造风险等级的准确性。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的安全需求分析方法的安全需求分析装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个安全需求分析装置实施例中的具体限定可以参见上文中对于安全需求分析方法的限定,在此不再赘述。
在一个实施例中,如图6所示,提供了一种安全需求分析装置,包括:第一需求确定模块601、第二需求确定模块602和系统需求确定模块603,其中:
第一需求确定模块601用于获取目标软件系统的功能属性,根据功能属性确定目标软件系统的第一安全需求集合;其中,第一安全需求集合包括与功能属性匹配的多个安全需求,功能属性包括目标软件对应于至少两个功能维度的属性;
第二需求确定模块602用于获取目标软件系统的业务场景,根据业务场景确定目标软件系统的第二安全需求集合;其中,第二安全需求集合包括与业务场景匹配的多个安全需求;
系统需求确定模块603用于根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求。
在其中一个实施例中,第一需求确定模块601具体用于:
根据第一对应关系确定每一功能属性对应的功能安全需求;其中,第一对应关系包括功能属性和功能安全需求之间的对应关系;获取对应同一功能维度的功能安全需求的并集,得到同维度需求集合;获取对应不同功能维度的同维度需求集合的交集,得到第一安全需求集合。
在其中一个实施例中,第二需求确定模块602具体用于:
根据第二对应关系确定每一业务场景对应的业务安全需求;其中,第二对应关系包括业务场景和业务安全需求之间的对应关系;获取业务安全需求的并集,得到第二安全需求集合。
在其中一个实施例中,系统需求确定模块603具体用于:
获取第一安全需求集合和第二安全需求集合的交集,得到目标软件系统的安全需求。
在其中一个实施例中,上述装置还包括方案设计模块:
方案设计模块用于根据目标软件系统的安全需求和目标软件系统的改造风险等级确定目标软件系统的设计方案。
在其中一个实施例中,方案设计模块具体用于:
根据功能属性确定目标软件系统的系统风险等级;获取目标软件系统的系统改造内容,并根据系统改造内容确定系统改造类型;根据系统风险等级和系统改造类型确定目标软件系统的改造风险等级。
在其中一个实施例中,方案设计模块具体用于:
根据功能属性确定目标软件系统的安全风险值;由风险安全值确定目标软件系统的系统风险等级。
在其中一个实施例中,方案设计模块具体用于:
根据风险对应关系确定每一功能维度对应功能属性的最大安全风险值;其中,风险对应关系包括功能属性和安全风险值之间的对应关系;计算最大安全风险值与对应功能维度的权重之间的乘积,并计算乘积之和,得到目标软件系统的安全风险值。
在其中一个实施例中,方案设计模块具体用于:
根据改造对应关系确定系统改造内容所对应的系统改造类型;其中,改造对应关系包括系统改造内容与系统改造类型之间的对应关系。
在其中一个实施例中,方案设计模块具体用于:
若系统改造类型为新建系统,在系统风险等级为低风险时,目标软件系统的改造风险等级为二级;在系统风险等级为非低风险时,目标软件系统的改造风险等级为三级;若系统改造类型为高风险改造系统,在系统风险等级为高风险时,目标软件系统的改造风险等级为三级;在系统风险等级为非高风险时,目标软件系统的改造风险等级为二级;若系统改造类型为中风险改造系统,在系统风险等级为低风险时,目标软件系统的改造风险等级为一级;在系统风险等级为非低风险时,目标软件系统的改造风险等级为二级;若系统改造类型为低风险改造系统,目标软件系统的改造风险等级为一级;其中,改造风险等级越高,系统改造风险越大。
上述安全需求分析装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种安全需求分析方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取目标软件系统的功能属性,根据功能属性确定目标软件系统的第一安全需求集合;其中,第一安全需求集合包括与功能属性匹配的多个安全需求,功能属性包括目标软件对应于至少两个功能维度的属性;获取目标软件系统的业务场景,根据业务场景确定目标软件系统的第二安全需求集合;其中,第二安全需求集合包括与业务场景匹配的多个安全需求;根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求。
在其中一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据第一对应关系确定每一功能属性对应的功能安全需求;其中,第一对应关系包括功能属性和功能安全需求之间的对应关系;获取对应同一功能维度的功能安全需求的并集,得到同维度需求集合;获取对应不同功能维度的同维度需求集合的交集,得到第一安全需求集合。
在其中一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据第二对应关系确定每一业务场景对应的业务安全需求;其中,第二对应关系包括业务场景和业务安全需求之间的对应关系;获取业务安全需求的并集,得到第二安全需求集合。
在其中一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取第一安全需求集合和第二安全需求集合的交集,得到目标软件系统的安全需求。
在其中一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据目标软件系统的安全需求和目标软件系统的改造风险等级确定目标软件系统的设计方案。
在其中一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据功能属性确定目标软件系统的系统风险等级;获取目标软件系统的系统改造内容,并根据系统改造内容确定系统改造类型;根据系统风险等级和系统改造类型确定目标软件系统的改造风险等级。
在其中一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据功能属性确定目标软件系统的安全风险值;由风险安全值确定目标软件系统的系统风险等级。
在其中一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据风险对应关系确定每一功能维度对应功能属性的最大安全风险值;其中,风险对应关系包括功能属性和安全风险值之间的对应关系;计算最大安全风险值与对应功能维度的权重之间的乘积,并计算乘积之和,得到目标软件系统的安全风险值。
在其中一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据改造对应关系确定系统改造内容所对应的系统改造类型;其中,改造对应关系包括系统改造内容与系统改造类型之间的对应关系。
在其中一个实施例中,处理器执行计算机程序时还实现以下步骤:
若系统改造类型为新建系统,在系统风险等级为低风险时,目标软件系统的改造风险等级为二级;在系统风险等级为非低风险时,目标软件系统的改造风险等级为三级;若系统改造类型为高风险改造系统,在系统风险等级为高风险时,目标软件系统的改造风险等级为三级;在系统风险等级为非高风险时,目标软件系统的改造风险等级为二级;若系统改造类型为中风险改造系统,在系统风险等级为低风险时,目标软件系统的改造风险等级为一级;在系统风险等级为非低风险时,目标软件系统的改造风险等级为二级;若系统改造类型为低风险改造系统,目标软件系统的改造风险等级为一级;其中,改造风险等级越高,系统改造风险越大。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取目标软件系统的功能属性,根据功能属性确定目标软件系统的第一安全需求集合;其中,第一安全需求集合包括与功能属性匹配的多个安全需求,功能属性包括目标软件对应于至少两个功能维度的属性;获取目标软件系统的业务场景,根据业务场景确定目标软件系统的第二安全需求集合;其中,第二安全需求集合包括与业务场景匹配的多个安全需求;根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据第一对应关系确定每一功能属性对应的功能安全需求;其中,第一对应关系包括功能属性和功能安全需求之间的对应关系;获取对应同一功能维度的功能安全需求的并集,得到同维度需求集合;获取对应不同功能维度的同维度需求集合的交集,得到第一安全需求集合。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据第二对应关系确定每一业务场景对应的业务安全需求;其中,第二对应关系包括业务场景和业务安全需求之间的对应关系;获取业务安全需求的并集,得到第二安全需求集合。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取第一安全需求集合和第二安全需求集合的交集,得到目标软件系统的安全需求。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据目标软件系统的安全需求和目标软件系统的改造风险等级确定目标软件系统的设计方案。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据功能属性确定目标软件系统的系统风险等级;获取目标软件系统的系统改造内容,并根据系统改造内容确定系统改造类型;根据系统风险等级和系统改造类型确定目标软件系统的改造风险等级。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据功能属性确定目标软件系统的安全风险值;由风险安全值确定目标软件系统的系统风险等级。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据风险对应关系确定每一功能维度对应功能属性的最大安全风险值;其中,风险对应关系包括功能属性和安全风险值之间的对应关系;计算最大安全风险值与对应功能维度的权重之间的乘积,并计算乘积之和,得到目标软件系统的安全风险值。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据改造对应关系确定系统改造内容所对应的系统改造类型;其中,改造对应关系包括系统改造内容与系统改造类型之间的对应关系。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
若系统改造类型为新建系统,在系统风险等级为低风险时,目标软件系统的改造风险等级为二级;在系统风险等级为非低风险时,目标软件系统的改造风险等级为三级;若系统改造类型为高风险改造系统,在系统风险等级为高风险时,目标软件系统的改造风险等级为三级;在系统风险等级为非高风险时,目标软件系统的改造风险等级为二级;若系统改造类型为中风险改造系统,在系统风险等级为低风险时,目标软件系统的改造风险等级为一级;在系统风险等级为非低风险时,目标软件系统的改造风险等级为二级;若系统改造类型为低风险改造系统,目标软件系统的改造风险等级为一级;其中,改造风险等级越高,系统改造风险越大。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
获取目标软件系统的功能属性,根据功能属性确定目标软件系统的第一安全需求集合;其中,第一安全需求集合包括与功能属性匹配的多个安全需求,功能属性包括目标软件对应于至少两个功能维度的属性;获取目标软件系统的业务场景,根据业务场景确定目标软件系统的第二安全需求集合;其中,第二安全需求集合包括与业务场景匹配的多个安全需求;根据第一安全需求集合和第二安全需求集合确定目标软件系统的安全需求。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据第一对应关系确定每一功能属性对应的功能安全需求;其中,第一对应关系包括功能属性和功能安全需求之间的对应关系;获取对应同一功能维度的功能安全需求的并集,得到同维度需求集合;获取对应不同功能维度的同维度需求集合的交集,得到第一安全需求集合。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据第二对应关系确定每一业务场景对应的业务安全需求;其中,第二对应关系包括业务场景和业务安全需求之间的对应关系;获取业务安全需求的并集,得到第二安全需求集合。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取第一安全需求集合和第二安全需求集合的交集,得到目标软件系统的安全需求。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据目标软件系统的安全需求和目标软件系统的改造风险等级确定目标软件系统的设计方案。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据功能属性确定目标软件系统的系统风险等级;获取目标软件系统的系统改造内容,并根据系统改造内容确定系统改造类型;根据系统风险等级和系统改造类型确定目标软件系统的改造风险等级。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据功能属性确定目标软件系统的安全风险值;由风险安全值确定目标软件系统的系统风险等级。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据风险对应关系确定每一功能维度对应功能属性的最大安全风险值;其中,风险对应关系包括功能属性和安全风险值之间的对应关系;计算最大安全风险值与对应功能维度的权重之间的乘积,并计算乘积之和,得到目标软件系统的安全风险值。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据改造对应关系确定系统改造内容所对应的系统改造类型;其中,改造对应关系包括系统改造内容与系统改造类型之间的对应关系。
在其中一个实施例中,计算机程序被处理器执行时还实现以下步骤:
若系统改造类型为新建系统,在系统风险等级为低风险时,目标软件系统的改造风险等级为二级;在系统风险等级为非低风险时,目标软件系统的改造风险等级为三级;若系统改造类型为高风险改造系统,在系统风险等级为高风险时,目标软件系统的改造风险等级为三级;在系统风险等级为非高风险时,目标软件系统的改造风险等级为二级;若系统改造类型为中风险改造系统,在系统风险等级为低风险时,目标软件系统的改造风险等级为一级;在系统风险等级为非低风险时,目标软件系统的改造风险等级为二级;若系统改造类型为低风险改造系统,目标软件系统的改造风险等级为一级;其中,改造风险等级越高,系统改造风险越大。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (14)
1.一种安全需求分析方法,其特征在于,所述方法包括:
获取目标软件系统的功能属性,根据所述功能属性确定所述目标软件系统的第一安全需求集合;其中,所述第一安全需求集合包括与所述功能属性匹配的多个安全需求,所述功能属性包括所述目标软件对应于至少两个功能维度的属性;
获取所述目标软件系统的业务场景,根据所述业务场景确定所述目标软件系统的第二安全需求集合;其中,所述第二安全需求集合包括与所述业务场景匹配的多个安全需求;
根据所述第一安全需求集合和所述第二安全需求集合确定所述目标软件系统的安全需求。
2.根据权利要求1所述的方法,其特征在于,所述根据所述功能属性确定所述目标软件系统的第一安全需求集合,包括:
根据第一对应关系确定每一功能属性对应的功能安全需求;其中,所述第一对应关系包括功能属性和功能安全需求之间的对应关系;
获取对应同一功能维度的功能安全需求的并集,得到同维度需求集合;
获取对应不同功能维度的同维度需求集合的交集,得到所述第一安全需求集合。
3.根据权利要求1所述的方法,其特征在于,所述根据所述业务场景确定所述目标软件系统的第二安全需求集合,包括:
根据第二对应关系确定每一业务场景对应的业务安全需求;其中,所述第二对应关系包括业务场景和业务安全需求之间的对应关系;
获取所述业务安全需求的并集,得到所述第二安全需求集合。
4.根据权利要求1所述的方法,其特征在于,所述根据所述第一安全需求集合和所述第二安全需求集合确定所述目标软件系统的安全需求,包括:
获取所述第一安全需求集合和所述第二安全需求集合的交集,得到所述目标软件系统的安全需求。
5.根据权利要求1至4任意一项所述的方法,其特征在于,所述方法还包括:
根据所述目标软件系统的安全需求和所述目标软件系统的改造风险等级确定所述目标软件系统的设计方案。
6.根据权利要求5所述的方法,其特征在于,确定所述目标软件系统的改造风险等级,包括:
根据所述功能属性确定所述目标软件系统的系统风险等级;
获取所述目标软件系统的系统改造内容,并根据所述系统改造内容确定系统改造类型;
根据所述系统风险等级和所述系统改造类型确定所述目标软件系统的改造风险等级。
7.根据权利要求6所述的方法,其特征在于,所述根据所述功能属性确定所述目标软件系统的系统风险等级,包括:
根据所述功能属性确定所述目标软件系统的安全风险值;
由所述风险安全值确定所述目标软件系统的系统风险等级。
8.根据权利要求7所述的方法,其特征在于,所述根据所述功能属性确定所述目标软件系统的安全风险值,包括:
根据风险对应关系确定每一功能维度对应功能属性的最大安全风险值;其中,所述风险对应关系包括功能属性和安全风险值之间的对应关系;
计算所述最大安全风险值与对应功能维度的权重之间的乘积,并计算所述乘积之和,得到所述目标软件系统的安全风险值。
9.根据权利要求6所述的方法,其特征在于,所述根据所述系统改造内容确定系统改造类型,包括:
根据改造对应关系确定所述系统改造内容所对应的系统改造类型;其中,所述改造对应关系包括系统改造内容与系统改造类型之间的对应关系。
10.根据权利要求6所述的方法,其特征在于,所述根据所述系统风险等级和所述系统改造类型确定所述目标软件系统的改造风险等级,包括:
若所述系统改造类型为新建系统,在所述系统风险等级为低风险时,所述目标软件系统的改造风险等级为二级;在所述系统风险等级为非低风险时,所述目标软件系统的改造风险等级为三级;
若所述系统改造类型为高风险改造系统,在所述系统风险等级为高风险时,所述目标软件系统的改造风险等级为三级;在所述系统风险等级为非高风险时,所述目标软件系统的改造风险等级为二级;
若所述系统改造类型为中风险改造系统,在所述系统风险等级为低风险时,所述目标软件系统的改造风险等级为一级;在所述系统风险等级为非低风险时,所述目标软件系统的改造风险等级为二级;
若所述系统改造类型为低风险改造系统,所述目标软件系统的改造风险等级为一级;其中,所述改造风险等级越高,系统改造风险越大。
11.一种安全需求分析装置,其特征在于,所述装置包括:
第一需求确定模块,用于获取目标软件系统的功能属性,根据所述功能属性确定所述目标软件系统的第一安全需求集合;其中,所述第一安全需求集合包括与所述功能属性匹配的多个安全需求,所述功能属性包括所述目标软件对应于至少两个功能维度的属性;
第二需求确定模块,用于获取所述目标软件系统的业务场景,根据所述业务场景确定所述目标软件系统的第二安全需求集合;其中,所述第二安全需求集合包括与所述业务场景匹配的多个安全需求;
系统需求确定模块,用于根据所述第一安全需求集合和所述第二安全需求集合确定所述目标软件系统的安全需求。
12.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至10中任一项所述的方法的步骤。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至10中任一项所述的方法的步骤。
14.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至10中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111295426.0A CN114064464A (zh) | 2021-11-03 | 2021-11-03 | 安全需求分析方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111295426.0A CN114064464A (zh) | 2021-11-03 | 2021-11-03 | 安全需求分析方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114064464A true CN114064464A (zh) | 2022-02-18 |
Family
ID=80273742
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111295426.0A Pending CN114064464A (zh) | 2021-11-03 | 2021-11-03 | 安全需求分析方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114064464A (zh) |
-
2021
- 2021-11-03 CN CN202111295426.0A patent/CN114064464A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116468543A (zh) | 基于联邦学习的信贷风险评估方法、装置、设备和介质 | |
| CN114741402A (zh) | 业务特征池的处理方法、装置、计算机设备和存储介质 | |
| CN117473130A (zh) | 业务处理方法、装置、设备、介质和程序产品 | |
| CN117035980A (zh) | 资源借调评估方法、装置、计算机设备和存储介质 | |
| CN116681470A (zh) | 门店选址方法、装置、计算机设备、存储介质和产品 | |
| CN115936789A (zh) | 考虑非线性时间常数的资源数值变动数据生成方法和装置 | |
| CN114064464A (zh) | 安全需求分析方法、装置、计算机设备和存储介质 | |
| CN114996577A (zh) | 服务管理方法、装置、设备、存储介质和程序产品 | |
| CN114757700A (zh) | 物品销量预测模型训练方法、物品销量预测方法及装置 | |
| CN114676190B (zh) | 数据展示方法、装置、计算机设备和存储介质 | |
| CN114416235B (zh) | 单据展示方法、装置、计算机设备和存储介质 | |
| CN116932891A (zh) | 资源对象展示方法、装置、设备、存储介质和产品 | |
| CN115878746A (zh) | 政策文本确定方法和装置 | |
| CN116975440A (zh) | 属性分类方法、装置和计算机设备 | |
| CN117519871A (zh) | 金融服务应用操作版面的配置方法、装置、设备 | |
| CN114691991A (zh) | 推荐方法、装置、模拟系统、计算机设备和存储介质 | |
| CN117314036A (zh) | 工单分配方法、装置、设备、存储介质和程序产品 | |
| CN118484253A (zh) | 功能模块显示方法、装置、计算机设备和存储介质 | |
| CN115757958A (zh) | 产品推荐方法、装置、计算机设备和存储介质 | |
| CN115878715A (zh) | 一种页面展示方案的生成方法、装置、计算机设备 | |
| CN118154300A (zh) | 抵质押参数处理方法、装置、计算机设备和存储介质 | |
| CN118228313A (zh) | 一种平台页面展示方法、装置、计算机设备、存储介质 | |
| CN118568357A (zh) | 推荐产品确定方法、装置、终端、服务器、介质及产品 | |
| CN116452214A (zh) | 基于区块链的售后信息处理方法、装置和计算机设备 | |
| CN117390490A (zh) | 用电信用报告的生成方法、装置、设备、存储介质和产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |