基于UML的安全評(píng)估方法的研究與應(yīng)用.pdf

1、本文針對(duì)面向系統(tǒng)的有效安全評(píng)估方法欠缺的現(xiàn)狀，提出了一個(gè)新穎的基于UML的安全評(píng)估方法。它是一種既符合國(guó)際安全標(biāo)準(zhǔn)，又偏重于技術(shù)分析的，專注于信息系統(tǒng)的快速評(píng)估方法。 首先，提出將統(tǒng)一建模語(yǔ)言UML的建模思想運(yùn)用到安全評(píng)估方法的各個(gè)評(píng)估步驟中。利用UML的圖形化表示法，可有效提高系統(tǒng)評(píng)估過(guò)程中評(píng)估人員與系統(tǒng)所有者、評(píng)估人員之間的溝通與交流效果，并提高評(píng)估工作的準(zhǔn)確性。在評(píng)估過(guò)程中的關(guān)鍵資產(chǎn)識(shí)別、威脅識(shí)別、威脅影響估計(jì)、發(fā)生概率估

2、計(jì)等步驟中運(yùn)用UML進(jìn)行安全建模，使安全評(píng)估可重用，易維護(hù)，可降低評(píng)估的實(shí)施成本。 在安全評(píng)估過(guò)程中，進(jìn)一步對(duì)如何將SSE-CMM和BS7799安全標(biāo)準(zhǔn)融合在一起來(lái)指導(dǎo)安全建模進(jìn)行了研究。通過(guò)對(duì)SSE-CMM和BS7799兩者的研究和比較，將兩者優(yōu)勢(shì)相結(jié)合，從針對(duì)系統(tǒng)的安全評(píng)估和針對(duì)過(guò)程能力的安全評(píng)估兩個(gè)視角來(lái)制定評(píng)估的實(shí)施步驟。在參與人員選擇，標(biāo)識(shí)關(guān)鍵資產(chǎn)，標(biāo)識(shí)安全需求，標(biāo)識(shí)對(duì)關(guān)鍵資產(chǎn)的威脅，應(yīng)用概率于威脅，以及建立并運(yùn)用風(fēng)險(xiǎn)