软件安全与漏洞--6、软件安全需求分析

理论知识

本章是软件安全开发生命周期（SDLC）的基石。其核心思想在于：安全必须从源头抓起。如果在需求阶段忽略了安全，后续的架构设计、编码和测试都将建立在脆弱的基础之上。

以下是本章的知识体系梳理与考试重点：

为什么要进行安全需求分析？

这是本章的逻辑起点，主要解决"为什么不能只做功能需求"的问题。

弥补用户认知的局限性：普通用户通常只关注业务功能，缺乏专业的安全知识，无法主动提出防御需求（如防SQL注入、权限控制等）。因此，安全需求往往不是用户"提"出来的，而是分析人员根据系统客观属性"分析"出来的。
保障核心安全属性：确保软件满足保密性、完整性和可用性。缺少安全需求分析的系统，被攻破只是时间问题。
合规性驱动：满足法律法规（如《网络安全法》）、等级保护制度以及行业标准的强制要求。

核心辨析：软件需求 vs. 软件安全需求

这是本章最高频的考点，需重点掌握两者的区别与联系。

普通软件需求 ：
- 关注点：系统"能做什么"（功能、性能、接口）。
- 来源：主要源于用户的业务愿望和兴趣。
- 性质：主观性较强，依赖用户描述。
软件安全需求 ：
- 关注点：系统"如何被保护"以及"不能做什么"（逆向需求）。
- 来源：源于系统的客观属性、法律法规和潜在威胁。
- 性质：
  - 客观性：由系统本身处理的数据敏感度和运行环境决定，不以用户意志为转移。
  - 系统性：不能只看代码，必须结合硬件、网络环境、人员操作等系统层面进行分析。

️ 安全需求的分类

安全需求通常被划分为两大类，考试中常以单选题形式出现：

外部安全需求 ：
- 主要指遵从性需求。
- 包括国家法律法规（如等级保护要求）、行业标准、隐私保护法规等。
内部安全需求 ：
- 组织内部策略：企业自身的安全红线和管理规定。
- 业务功能相关：为了支撑业务正常运行所必须的安全机制（如银行转账必须有的二次验证）。

️ 安全需求获取的六大方法

这是本章的技术核心，重点掌握每种方法的定义和适用场景。

头脑风暴法 ：
- 特点：自由联想，无限制讨论。
- 适用：项目初期，需要快速产生新观念或初步确定需求时。
问卷调查和访谈 ：
- 特点：直接沟通。
- 关键：有效性取决于问题的设计质量。
策略分解 ：
- 定义：将组织需遵守的内外部政策、法律法规、隐私命令等，逐层分解为详细的安全需求。
- 注意：这是将"宏观法律"转化为"微观需求"的过程。
数据分类 ：
- 定义：根据数据的重要性、敏感度（如绝密、机密、公开）对数据资产打标签。
- 目的：不同级别的数据对应不同的保护强度。
主/客体关系矩阵 ：
- 结构：二维矩阵。主体（角色）通常作为列 ，客体（对象/组件）通常作为行。
- 作用：清晰定义谁（角色）能对什么（组件/数据）进行什么操作（读/写/执行），识别越权风险。
用例与滥用案例 ：
- 用例：描述系统的预期行为（正常场景）。
- 滥用案例：对负面场景（攻击行为、误操作）进行建模，从而推导出防御需求。

关联知识点：等级保护与标准

本章通常会结合第一章或第二章的标准知识进行考察。

等级保护定级 ：
- 第一级、第二级 ：受到破坏后，不危害国家安全。
- 第三级 ：分水岭。受到破坏后，会对社会秩序/公共利益造成严重损害 ，或者对国家安全造成损害。（需每年测评一次）。
TCSEC（橙皮书） ：
- 分级顺序（由低到高）：D → C1 → C2 → B1 → B2 → B3 → A1。
- 重点：它是基于保密性的标准。
ITSEC（欧洲标准） ：
- 提出了保密性、完整性、可用性（CIA）三要素。
- 分级为F1-F10，不同于TCSEC的字母分级。

总结记忆口诀

需求分析：用户不懂安全，所以我们要分析；客观属性定需求，法律法规是依据。
获取方法：头脑风暴想点子，问卷访谈问路子，策略分解拆条文，数据分类贴标签，矩阵定权防越权，滥用案例找漏洞。
定级红线：一二不涉国安，三级起步涉国安。

配套习题

选择题知识点汇总

这份汇总将作业中零散的11道选择题归纳为信息安全事件管理 、网络安全等级保护 、信息安全工程与标准三大核心知识板块，帮你快速掌握第六章的考点。

🛡️ 板块一：信息安全事件管理

（对应题目：第1题）

事件分级（四级分类）

我国将网络安全/信息安全事件分为四个等级，由重到轻依次为：

特别重大事件（Ⅰ级）
重大事件（Ⅱ级）
较大事件（Ⅲ级）
一般事件（Ⅳ级）

记忆口诀： 特大、重大、较大、一般（注意没有"严重事件"这一级）。

🏛️ 板块二：网络安全等级保护（重点）

（对应题目：第2、3、9、10题）

1. 等级划分的依据（GB 17859-1999）

这是等级保护最基础的国家标准，将系统分为5级。核心区别在于受侵害的客体 和侵害程度：

表格

等级	名称	适用对象与侵害程度
第一级	自主保护级	损害公民、法人权益，不危害国家安全等。
第二级	指导保护级	损害社会秩序、公共利益，或危害国家安全（造成一定损害）。
第三级	监督保护级	损害社会秩序、公共利益（造成较大损害），或危害国家安全。
第四级	强制保护级	造成严重损害。
第五级	专控保护级	造成特别严重损害。

2. 测评频率要求

第二级： 建议每两年至少一次。
第三级及以上： 必须每年至少一次。
（第四级通常要求更严，每半年一次，但考试中"每年一次"通常对应三级）。

3. 关键政策文件

GB 17859-1999： 技术标准，定义了5个等级。
公通字[2004]66号： 政策性文件，宏观指导，明确了各部门职责（公安部、保密局等）。

📚 板块三：信息安全工程、标准与需求

（对应题目：第4、5、6、7、8、11题）

1. 信息安全需求来源

来源： 风险评估结果、业务需求、法律法规/合规性要求。
误区： 安全需求不等于系统的功能设计方案（功能是做什么，安全是怎么保护）。

2. 文档分类

开发类文档： 需求说明书、概要设计、详细设计、数据库设计等。
管理类文档： 项目计划、质量控制计划、配置管理计划。
验收/评审类： 测试报告、评审报告、验收报告。

3. 核心标准体系

标准/模型	核心知识点
GB/T 9387.2	等同于ISO 7498-2，明确提出了CIA三要素（保密性、完整性、可用性）。
GB/T 18336	等同于ISO/IEC 15408（通用准则CC），是目前国际通用的IT安全评估标准。
SSE-CMM	系统安全工程能力成熟度模型。关注过程能力，分为0-5级。3级特征是"已定义/充分定义"。

4. 定级工作原则

定级对象： 包括网络（专网/外网/内网）、业务系统、云平台等。
同步原则： 新建系统必须同步规划、同步设计、同步实施安全措施（"三同步"）。
定级逻辑： 同类系统不能仅因为行政级别低而降低安全等级（就高不就低）。

选择题

1. 我国信息安全事件分级

题目： 我国信息安全事件分级分为以下哪些级别（）

A. 特别重大事件-重大事件-严重事件-一般事件
B. 特别重大事件-重大事件-较大事件-一般事件
C. 特别重大事件-严重事件-重大事件-较大事件-一般事件
D. 特别重大事件-严重事件-较大事件-一般事件

答案：B
解析： 根据《国家网络安全事件应急预案》，网络安全事件分为四级：特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）、一般（Ⅳ级）。

2. 网络安全等级保护第三级适用范围

题目： 网络安全等级保护分级要求，第三级别适用正确的是：（）

A. 适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益
B. 适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害
C. 适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害
D. 适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害

答案：C
解析：

第一级：自主保护级（不危害国家安全等）。

第二级：指导保护级（造成一定损害）。

第三级：监督保护级（造成较大损害）。

第四级：强制保护级（造成严重损害）。

第五级：专控保护级（造成特别严重损害）。

3. 关于《关于信息安全等级保护工作的实施意见》的理解

题目： 关于公通字[2004]66号文件，下面理解正确的是（）

A. 该文件是一个由部委发布的政策性文件，不属于法律文件
B. 该文件适用于2004年的等级保护工作，其内容不能约束到2005年及之后的工作
C. 该文件是一个总体性指导文件，规定了所有信息系统都要纳入等级保护定级范围
D. 该文件适用范围为发文的这四个部门，不适用于其他部门和企业等单位

答案：A
解析： 公通字[2004]66号是由公安部、国家保密局等四部门联合发布的政策性文件，用于指导等级保护工作的开展，它本身不是法律（如《网络安全法》），但具有行政约束力，且长期有效，适用于全社会各相关单位。

4. 信息安全需求报告编制

题目： 关于编制信息安全需求报告，下面说法错误的是（）

A. 信息安全需求是安全方案设计和安全措施的依据
B. 信息安全需求应当是从信息系统所有者(用户)的角度出发，使用规范化、结构化的语言来描述信息系统安全保障需求
C. 信息安全需求应当基于信息安全风险评估结果、业务需求和有关政策法规和标准的合规性要求得到
D. 信息安全需求来自于该公众服务信息系统的功能设计方案

答案：D
解析： 信息安全需求主要来源于风险评估结果 、业务目标 以及法律法规合规性要求，而不是来自于系统的"功能设计方案"。功能设计是系统要做什么，而安全需求是系统如何被保护。

5. 软件开发文档分类

题目： 监理公司审查软件配置文件，以下所提交的文档中，哪一项属于开发类文档（）

A. 项目计划书
B. 质量控制计划
C. 评审报告
D. 需求说明书

答案：D
解析：

A、B 属于管理类文档。

C 属于验收/评审类文档。

D 需求说明书 （软件需求规格说明书）是软件开发过程中最基础的开发类文档，定义了系统必须实现的功能。

6. 系统安全工程能力成熟度模型 (SSE-CMM)

题目： 在使用SSE-CMM对组织的安全工程能力成熟度进行测量时，有关测量结果，错误的理解是（）

A. 如果该组织在执行某个特定的过程区域时具备某个特定级别的部分公共特征时，则这个组织在这个过程区域的能力成熟度未达到此级
B. 如果该组织某个过程区域具备了"定义标准过程""执行已定义的过程"两个公共特征，则过程区域的能力成熟度级别达到3级"充分定义级"
C. 如果某个过程区域包含4个基本实施，执行此PA时执行了3个BP，则此过程区域的能力成熟度级别为0
D. 组织在不同的过程区域的能力成熟度可能处于不同的级别上

答案：C
解析： SSE-CMM中，能力级别是通过公共特征来衡量的，而不是简单通过基本实施的完成数量。

选项C错误在于：即使没有执行所有的BP，只要执行了部分且具备了1级（已执行）的公共特征，其级别就是1级，而不是0级（0级通常指未执行或未完成）。

选项B正确：3级的核心特征就是"已定义"。

7. 信息安全特性（CIA）的提出

题目： 以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性（）

A. ITSEC
B. TCSEC
C. GB/T 9387.2
D. 彩虹系列的橙皮书

答案：C
解析：

TCSEC（美国国防部标准）主要关注保密性。

GB/T 9387.2 （等同于ISO 7498-2）是OSI安全体系结构标准，它明确定义了安全服务的五大类，并确立了保密性、完整性、可用性等核心安全属性。

8. 等同于ISO/IEC 15408的国标

题目： 与ISO/IEC 15408标准等同的国标是（）

A. GB/T 30270
B. GB/T 18336
C. GB 30270
D. GB 18336

答案：B
解析： GB/T 18336《信息技术安全技术信息技术安全性评估准则》是等同采用ISO/IEC 15408（即通用准则）的国家标准。注意是推荐性标准（T），而非强制性标准。

9. 等级测评频率

题目： 每年至少开展一次等级测评的是（）

A. 二级
B. 三级及以上
C. 四级及以上
D. 五级

答案：B
解析： 根据《信息安全等级保护管理办法》：

第二级系统：建议每两年至少进行一次测评。

第三级系统：每年至少进行一次测评。

第四级系统：每半年至少进行一次测评（通常也归纳在三级及以上的高要求中，但在单选题中，三级是"每年一次"的典型代表）。

10. 定级依据标准

题目： 用于定级的标准是（）

A. GA/T 1389-2017
B. GA/T 1390-2017
C. GB17859-1999
D. 公通字【2007】861号

答案：C
解析：

GB 17859-1999 《计算机信息系统安全保护等级划分准则》是我国等级保护工作的基础性技术标准，它定义了五个安全等级。

公通字【2007】861号是《信息安全等级保护管理办法》，是管理层面的文件。

11. 关于定级工作的说法

题目： 以下关于定级工作说法不正确的是（）

A. 确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、外网、内网网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统
B. 确定网络安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个
C. 在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低
D. 新建系统在规划设计阶段，应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施

答案：B
解析：

选项B说法不正确。确定等级不仅仅是定一个级别数字，还包括确定业务信息安全等级 和系统服务安全等级，并最终确定系统的安全保护等级。它是一个综合评估的过程，而非简单的归类。

选项C是正确的原则，即"同类系统等级就高不就低"，不能因为行政级别低就随意降低核心业务系统的保护等级。

判断题知识点汇总

这6道判断题主要考察了软件安全需求获取 、信息安全标准 以及等级保护定级的细节概念。

为了帮你理清思路，我将这些零散的知识点归纳为以下三个核心板块：

📋 板块一：软件安全需求获取（重点）

（对应题目：第12、15、16题）

这一板块主要区分了不同的需求来源和分析方法，容易混淆，请注意对比：

1. 需求的分类（内部 vs 外部）

外部安全需求 ：主要指法律、法规、政策等合规性要求（如《网络安全法》、GDPR等）。
内部安全需求 ：
- 组织内部的政策和标准。
- 与软件业务功能直接相关的安全需求（如业务流程中的权限控制）。
考点回顾：题目12错在把"法律法规"归为了内部需求。

2. 需求获取的方法（策略分解 vs 头脑风暴 vs 数据分类）

策略分解 ：
- 定义：将组织需要遵守的内外部政策、法律法规、隐私命令等，逐层分解为详细的安全需求。
- 考点回顾：题目16错在把"策略分解"的定义安在了"数据分类"头上。
数据分类 ：
- 定义：根据数据的重要性、敏感度（如绝密、公开）对数据资产打标签，从而确定保护级别。
头脑风暴法 ：
- 特点：自由联想、发散性思维，用于产生创新设想。
- 考点回顾：题目15错在认为它"直接相关"于具体业务/技术情境。实际上它是发散的，不如策略分解那样直接对应具体情境。

📜 板块二：信息安全评估标准

（对应题目：第13题）

这一板块考察了对经典安全标准的辨识，核心是区分美国的TCSEC和欧洲的ITSEC。

TCSEC（美国国防部标准，俗称"橙皮书"）

分级特征 ：采用字母数字分级，从低到高依次为 D、C1、C2、B1、B2、B3、A1。
核心关注：保密性。

ITSEC（欧洲标准）

分级特征 ：将安全功能分为 F1 至 F10 共10个等级。
考点回顾：题目13错在张冠李戴，把TCSEC的分级顺序说成是ITSEC的。

🛡️ 板块三：网络安全等级保护（定级细节）

（对应题目：第14题）

这一板块考察了等保分级的具体界限，特别是"国家安全"这条红线。

危害国家安全的界限

第一级 ：损害个人/组织权益，不危害国家安全、社会秩序、公共利益。
第二级 ：损害社会秩序/公共利益，不危害国家安全。
第三级（分水岭） ：开始涉及危害国家安全（或对社会秩序/公共利益造成严重损害）。

核心结论 ：只要定级为第一级或第二级 ，其受到破坏后都绝对不会危害国家安全。一旦涉及国家安全，起步就是三级。

判断题

12. 软件内部安全需求的定义

题目： 软件内部安全需求通常主要指法律、法规等遵从性需求。（）

A. 对
B. 错

答案：B (错)
解析：

外部安全需求：通常指法律、法规、政策等遵从性需求。

内部安全需求 ：通常包括两部分，一是组织内部需要遵守的政策和标准，二是与软件业务功能相关的安全需求。题目将"法律法规"归为内部需求是不准确的。

13. ITSEC标准的分级顺序

题目： 《信息技术安全性评估标准》按照安全程度由弱到强的排列顺序是：D，C1，C2，B1，B2，B3，A1。（）

A. 对
B. 错

答案：B (错)
解析：

题目中描述的"D, C1, C2, B1, B2, B3, A1"分级顺序属于美国的TCSEC（可信计算机系统评估准则，俗称橙皮书）。

欧洲的ITSEC（信息技术安全评估准则）将安全功能分为F1至F10共10个等级，并不采用TCSEC的字母分级法。

14. 等保一、二级的危害程度

题目： 网络安全等级保护定级中，第一级和第二级都不危害国家安全。（）

A. 对
B. 错

答案：A (对)
解析：

第一级 ：受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益。

第二级 ：受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不危害国家安全。

只有从第三级开始，才会涉及对国家安全造成损害。

15. 头脑风暴法的特点

题目： 头脑风暴法提出的需求与软件业务、技术和安全情境直接相关。（）

A. 对
B. 错

答案：B (错)
解析：

头脑风暴法（Brainstorming）是一种无限制的自由联想和讨论，旨在产生新观念或激发创新设想。

它通常用于在需要快速实现应用或初步确定需求时使用，其特点是发散性 和创造性，而非直接针对具体的业务、技术或安全情境进行结构化分析。相比之下，"策略分解"或"数据分类"等方法才更直接与业务和安全情境相关。

16. 数据分类的定义

题目： 软件安全需求获取中，数据分类是指将组织需要遵守的内部和外部政策，包括外部法律法规、隐私和遵从性命令分解成详细的安全需求。（）

A. 对
B. 错

答案：B (错)
解析：

题目描述的定义实际上属于策略分解。

数据分类是指根据数据的重要性、敏感度以及对数据泄露、变更或破坏的影响，为数据资产分配标签（如绝密、机密、公开），以此确定不同的保护需求。

17. 主/客体关系矩阵的结构

题目： 主/客体关系矩阵是角色和组件的二维表示，主体（对象/组件）作为行，客体（角色）作为列。（）

A. 对
B. 错

答案：B (错)
解析：

题目将主体和客体的位置弄反了。

在主/客体关系矩阵中，主体（角色）通常作为列 ，客体（对象/组件）通常作为行。矩阵中的交叉点表示该角色对该组件拥有的操作权限。

简答题知识点汇总

简答题

18. 为什么要进行需求分析？通常对软件系统有哪些需求？

答案：
为什么要进行需求分析：

成功的前提：对软件需求的深入理解是软件开发工作获得成功的前提条件。
明确目标：为了开发出真正满足用户需求的软件产品，必须首先确切知道用户的需求是什么。
避免偏差：防止开发出的产品与用户实际想要的功能脱节，减少返工和成本浪费。

通常对软件系统有哪些需求：

功能需求：系统必须完成的具体任务。
性能需求：系统的速度、响应时间、吞吐量等指标。
可靠性和可用性需求：系统无故障运行的能力及时间。
出错处理需求：系统对异常情况的处理方式。
接口需求：系统与硬件、软件或用户的交互方式。
约束：开发过程中必须遵守的限制（如硬件、标准）。
逆向需求 ：系统不应该做什么（如禁止未授权访问）。
将来可能提出的要求：为未来扩展预留的空间。

19. 为什么要进行安全需求分析？通常对软件系统有哪些安全需求？

答案：
为什么要进行安全需求分析：

弥补短板：普通用户通常缺乏安全知识，很难主动提出安全需求，因此需要专门的分析来弥补这一缺失。
保障属性 ：为了确保软件满足保密性、完整性、可用性等核心安全属性。
减少漏洞：如果不进行安全需求分析，开发出的应用系统将存在大量漏洞，被攻破只是时间问题。
合规性：满足法律法规（如等保）和组织内部的安全策略要求。

通常对软件系统有哪些安全需求：

主要分为两类：

外部安全需求 ：主要指法律法规、行业标准等遵从性需求（如《网络安全法》、等级保护要求）。
内部安全需求 ：
- 组织内部需要遵守的政策和标准。
- 与软件业务相关的安全需求（如特定业务逻辑的权限控制）。

20. 软件安全需求分析的主要工作是什么？

答案：

软件安全需求分析的主要工作流程如下：

确定环境 ：首先确定目标系统的业务运行环境 、规则环境 及技术环境。
获取与分析：在了解各类软件安全需求内容的基础上，通过一定的安全需求获取过程（如访谈、策略分解等），对软件应该包含的安全需求进行详细分析。
界定范围：明确"做什么"（需求），而将"如何实现"（设计与开发）留待后续阶段。

21. 软件安全需求获取过程中涉及哪些相关人员？

答案：

主要涉及以下几类人员及其职责：

业务负责人：业务风险的最终责任人，负责确定可接受的风险阈值，对风险进行排序。
最终用户和客户：积极参与需求采集，提供实际使用场景和期望。
安全需求分析人员：核心人员，负责收集、分析安全需求，并将其转化为功能说明。
安全技术支持（如运维小组、信息安全小组）：提供技术支持与帮助，协助评估技术可行性。

22. 软件安全需求的获取方法有哪些？

答案：

常见的获取方法包括：

头脑风暴法：无限制的自由联想，用于快速产生新观念，适用于需要快速实现的场景。
问卷调查和访谈：直接向相关人员提问，有效性取决于问题的设计质量。
策略分解：将组织需遵守的内外部政策（法律、法规、隐私命令）分解为详细的安全需求。
数据分类：根据数据的重要性和敏感度（如绝密、公开）进行分类，确定保护级别。
主/客体关系矩阵：使用二维矩阵（主体为列，客体为行）来刻画角色与组件的操作关系，识别违背矩阵的威胁。
使用用例和滥用案例建模 ：
- 用例：描述预期行为。
- 滥用案例：对负面场景（攻击行为）进行建模，从而确定防御需求。

23. 等级保护工作主要分为哪几个环节？

答案：

网络安全等级保护工作主要包含以下五个规定步骤（环节）：

定级：确定系统的安全保护等级。
备案：向公安机关办理备案手续。
建设整改：按照相应等级标准进行安全建设和整改。
等级测评：委托测评机构进行合规性测评。
监督检查：接受公安机关的监督管理。

24. TCSEC的安全程度由弱到强的排列顺序是什么？

答案：

TCSEC（可信计算机系统评估准则）将安全等级由弱到强（由低到高）划分为4个等级7个级别，顺序如下：

D → C → B → A

具体细分顺序为：

D级（最低，不可信）
C1级（自主安全保护）
C2级（受控存取保护）
B1级（标记安全保护）
B2级（结构化保护）
B3级（安全域）
A1级（验证设计，最高级）

结语

软件安全需求分析是构建安全系统的基石。只有将安全考量从源头融入，通过科学的方法识别并定义需求，才能有效规避风险，确保软件在全生命周期内的稳固与可靠。