基于UML的安全评估方法的研究与应用-计算机应用技术专业论文.docx

基于 UML 的安全评估方法的研究与应用 摘 要 在信息时代中 信息作为一种有价值的资产 其安全性无论对个人 组织 还是国家 都是非常重要的 因而提出了对应于各个层面的信息 安全保障需求 安全评估作为安全管理的重要环节 其主要任务就是对 已有系统的信息安全解决方案进行清晰有效的评估 分析系统现在以及 未来可能遇到的风险 以及这些风险对运行该系统的企业 组织所可能 带来的影响 目前广泛使用的安全评估方法主要分为面向系统的和面向产品两 种 面向系统的安全评估方法重管理 技术分析不足 主观性较大 分 析准确性不够 而面向产品的安全方法则主要面向单个产品的评估 虽 准确性高 但无法对整体系统进行评估 总体上看 目前业界仍缺乏一 种切实有效的对信息系统安全性进行评价的安全评估方法 各大安全评 估组织更多的仍是根据自己的经验对系统进行安全评估 本文针对面向系统的有效安全评估方法欠缺的现状 提出了一个新 颖的基于 UML 的安全评估方法 它是一种既符合国际安全标准 又偏 重于技术分析的 专注于信息系统的快速评估方法 本文首先提出将统一建模语言 UML 的建模思想运用到安全评估方 法的各个评估步骤中 利用 UML 的图形化表示法 可有效提高系统评 估过程中评估人员与系统所有者 评估人员之间的沟通与交流效果 并 提高评估工作的准确性 在评估过程中的关键资产识别 威胁识别 威 胁影响估计 发生概率估计等步骤中运用 UML 进行安全建模 使安全 评估可重用 易维护 可降低评估的实施成本 在安全评估过程中 本文进一步对如何将 SSE-CMM 和 BS7799 安 全标准融合在一起来指导安全建模进行了研究 通过对 SSE-CMM 和 BS7799 两者的研究和比较 本文中将两者优势相结合 从针对系统的 安全评估和针对过程能力的安全评估两个视角来制定评估的实施步骤 在参与人员选择 标识关键资产 标识安全需求 标识对关键资产的威 胁 应用概率于威胁 以及建立并运用风险评估标准和执行并跟踪风险 降低活动等各个步骤中 主要以这两个安全标准为指导 互为补充 使 该安全评估方法的评估工作更加全面 在此基础上 作者开发出了与 UML 安全评估方法相配套的自动化 评估工具包软件 该软件包基于 java 模式设计 具有较好的可扩展性 其能够解析通过本安全评估方法建立的安全模型 自动产生安全评估报 表 可使安全评估人员从纷繁复杂的安全评估报表整理中解放出来 真 正将精力集中在本 UML 安全评估方法的建模中 关键词 统一建模语言 安全评估 安全标准 安全需求 威胁 RESEARCH AND APPLICATION OF SECURITY ASSESSMENT METHOD BASED ON UML ABSTRACT In is new information era, information is a kind of valuable asset. Its security is great important for individuals, organizations and countries. Therefore, it is quite necessary to safeguard information in different levels. As a key process of system security management, security assessment has its due task. It is to give a clear and effective assessment report for current information security solution, analyze current risks and risks in the future the system is facing, and know the flounce brought by these risks for enterprise and organization, which are using this system. Since now, the most common used security assessment methods can be divided into two kinds, system-oriented and product-oriented. The system- oriented security assessment methods pay great attention on management without much technology analysis. Because