(资料图片仅供参考)

软件系统造成灾难性事故的可能性引起了国际上对软件安全需求的高度重视。这类一旦发生故障就可能危及人类生命、财产和生存环境的软件称为“安全第一”软件，这类软件的安全需求的确保是至关重要的。为了保证“安全第一”软件的安全需求得到满足，人们提出多种法律和管理措施，制定保证软件安全需求的生产、使用和维护规范与标准。

定义软件安全需求首先要识别软件可能引发的相关危险，其次要分析历史安全数据和当下面临的安全风险，对危险进行评估后，结合历史安全数据，以最小化风险为原则，提出安全需求。具体的安全需求包括：对存在安全危险的系统组件、操作和资产提出隔离及监控需求，对危害人员生命安全提出风险最小化需求，对所有可能的意外状况提出检测与分析需求，对安全关键设备提出保护及冗余需求，对设计方案的提出可选与评估需求，以及对安全提出评审和分析的需求。

根据软件故障导致损失的严重程度，安全需求按照四个等级进行定义。如果一个软件控制的系统失败会造成大量人员丧失生命，生产设备或交通设施的完全摧毁和造成巨大的经济损失，那么，安全需求应定义为最高等级。如果安全事故会造成人员丧失生命和伤亡，部分生产设备严重损坏且造成大量的经济损失，那么，安全需求应定义为重要等级。如果安全错误会造成人员受伤以及一定限度内的能够盈利的生产设备和交通设施损失，那么，安全需求应定义为较高等级。如果没有明确的安全损失描述，那么，安全需求可定义为较低等级。

信息安全（security）需求面向信息和信息系统，提出防止未经授权的访问、使用、泄露、中断、修改或破坏的目标和期望。信息安全需求的提出是由于计算机互联程度持续提高，越来越多的组织和个人高度依赖信息技术和通信，在遭受攻击和入侵后，造成信息泄密、篡改或销毁。信息安全需求需要考虑如下三个方面：①安全攻击。危及软件利益相关组织信息安全的行为。②安全机制。用于检测、提升或恢复安全性的机制。③安全服务。加强软件利益相关组织能够安全使用软件、处理数据和传送信息的服务。

信息安全需求是选择安全产品和制订安全策略的基础，基于中断、截获、篡改和伪造等攻击行为，信息安全需求定义为机密性、真实性、完整性、不可抵赖性、访问控制及可用性。①机密性需求针对被传输的数据，提出免受被动攻击的需求，要求一个计算机系统中的信息和被传输的信息仅能被授权方读取。机密性需求的另一个方面是保护通信量免受分析，包括通信源、目的、频度、长度等都不能被分析。②真实性需求关注通信双方及通信信息的可信性需求，确保一个消息的来源或电子文档被正确地标识，同时确保该标识没有被伪造。③完整性需求要求接收到的信息没有冗余、插入、篡改、重排序或延迟，且要求仅是被授权的各方才能修改信息的内容，修改包括写、改变状态、删除、创建等。完整性需求与主动攻击有关，所以，满足完整性需求重点关注检测而不关注预防。如果检测到完整性破坏，则需要报告破坏，在其他软件或人工干预下，从破坏中恢复。④不可抵赖性需求要求发送方和接受方都不能够抵赖所进行的信息传输。当发送信息时，接收方能够证实该信息的确是由所宣称的发送方发送的。类似地，当接收信息时，发送方能够证实该信息的确是由所宣称的接收方接收的。⑤访问控制需求要求对信息源的访问必须是被限制的，每个试图得到访问的实体必须进行身份识别并基于访问权进行访问。⑥可用性需求要求资源在需要时可为授权各方使用，可用性需求的实现从加强信息保护及采取物理保护两方面来防止可用性丧失或恢复可用性。