本發(fā)明實(shí)施例涉及系統(tǒng)安全管理技術(shù)領(lǐng)域，尤其涉及一種基于情景交互的安全需求分析方法及系統(tǒng)。

背景技術(shù)：

目前用戶所提出的安全需求大而泛，缺乏針對性，無法滿足具體系統(tǒng)的安全需求，因此，企業(yè)系統(tǒng)的安全大多處在事后階段，即在系統(tǒng)開發(fā)完成后對系統(tǒng)進(jìn)行測試尋找漏洞，或者在爆發(fā)漏洞后去對漏洞進(jìn)行修復(fù)，這種方式不但讓企業(yè)非常被動，并且在漏洞爆發(fā)時已經(jīng)對企業(yè)造成了不同程度的資金和聲譽(yù)損失。因此企業(yè)開發(fā)迫切需要將安全從系統(tǒng)開發(fā)周期中前移，從系統(tǒng)的需求階段就引入安全，即事前就提出安全需求的概念。同時，系統(tǒng)開發(fā)人員本身大多缺乏對業(yè)務(wù)場景實(shí)際所涉及到的安全知識的了解，導(dǎo)致此類安全需求落地艱難，安全測試效果也不夠?qū)嶋H和準(zhǔn)確。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供一種基于情景交互的安全需求分析方法及系統(tǒng)，從業(yè)務(wù)用戶角度對系統(tǒng)的業(yè)務(wù)場景進(jìn)行分類劃分，并針對業(yè)務(wù)場景設(shè)定安全分析、風(fēng)險識別與安全控制措施分析，并輸出與業(yè)務(wù)場景相匹配的標(biāo)準(zhǔn)安全文檔，為開發(fā)人員提供安全開發(fā)指導(dǎo)。從而實(shí)現(xiàn)在系統(tǒng)研發(fā)階段提供可靠的安全性需求、系統(tǒng)設(shè)計(jì)階段提供準(zhǔn)確的設(shè)計(jì)策略、系統(tǒng)測試階段提供可落地的安全測試文檔，解決了由于開發(fā)人員安全知識匱乏而帶來的安全落地難的問題，有效提高了系統(tǒng)開發(fā)的效率，更加有針對性地保證了所開發(fā)的系統(tǒng)的安全性需求。

本發(fā)明提供一種基于情景交互的安全需求分析方法，包括：

向用戶顯示登錄界面，并接收用戶在所述登錄界面上輸入的登錄信息；

登錄成功后，向用戶顯示業(yè)務(wù)情景選擇界面；

根據(jù)用戶選擇的業(yè)務(wù)情景，在業(yè)務(wù)情景資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的安全威脅文件；其中，每個所述業(yè)務(wù)情景在安全威脅資源庫中有與之對應(yīng)的安全威脅文件；

根據(jù)用戶選擇的業(yè)務(wù)情景，所述業(yè)務(wù)情景對應(yīng)的安全威脅文件，生成安全需求文件。

可選的，所述業(yè)務(wù)情景選擇界面中包含有主業(yè)務(wù)情景界面，子業(yè)務(wù)情景界面；所述方法還包括：

根據(jù)用戶在所述主業(yè)務(wù)情景界面中的選擇，顯示用戶所選擇的主業(yè)務(wù)情景內(nèi)包含的子業(yè)務(wù)情景的顯示界面；

相應(yīng)的，所述根據(jù)用戶選擇的業(yè)務(wù)情景，在業(yè)務(wù)情景資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的安全威脅文件，包括：

根據(jù)用戶在主業(yè)務(wù)情景界面中選擇的主業(yè)務(wù)情景的標(biāo)識，在子業(yè)務(wù)情景界面中選擇的子業(yè)務(wù)情景的標(biāo)識，在所述安全威脅資源庫中確定與所述主業(yè)務(wù)情景的標(biāo)識和所述子業(yè)務(wù)情景的標(biāo)識均對應(yīng)的安全需求文件。

可選的，所述方法還包括：

根據(jù)用戶選擇的業(yè)務(wù)情景，在安全設(shè)計(jì)資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的安全設(shè)計(jì)方案；其中，每個所述業(yè)務(wù)情景在安全設(shè)計(jì)資源庫中有與之對應(yīng)的安全設(shè)計(jì)方案；

根據(jù)用戶選擇的業(yè)務(wù)情景，所述業(yè)務(wù)情景對應(yīng)的安全設(shè)計(jì)方案，生成安全設(shè)計(jì)文件。

可選的，所述方法還包括：

根據(jù)用戶選擇的業(yè)務(wù)情景，在測試樣例資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的測試樣例；其中，每個所述業(yè)務(wù)情景在測試樣例資源庫中有與之對應(yīng)的測試樣例；

根據(jù)用戶選擇的業(yè)務(wù)情景，所述業(yè)務(wù)情景對應(yīng)的測試樣例，生成安全測試文件。

可選的，所述業(yè)務(wù)情景資源庫中的每個業(yè)務(wù)情景與所述安全威脅資源庫中的每個安全威脅文件、所述測試樣例資源庫中的每個測試樣例、所述安全設(shè)計(jì)資源庫中的每個安全設(shè)計(jì)方案分別具有一一對應(yīng)的映射關(guān)系；

或者，所述業(yè)務(wù)情景資源庫中的每個業(yè)務(wù)情景與所述安全威脅資源庫中的每個安全威脅文件具有一一對應(yīng)的映射關(guān)系；所述安全威脅資源庫中的每個安全威脅文件與所述測試樣例資源庫中的每個測試樣例具有一一對應(yīng)的映射關(guān)系；所述安全設(shè)計(jì)資源庫中的每個安全設(shè)計(jì)方案與所述業(yè)務(wù)情景資源庫中的每個業(yè)務(wù)情景和/或所述安全威脅資源庫中的每個安全威脅文件具有一一對應(yīng)的映射關(guān)系。

本發(fā)明還提供一種基于情景交互的安全需求分析系統(tǒng)，包括：

顯示模塊，用于向用戶顯示登錄界面；

接收模塊，用于接收用戶在所述登錄界面上輸入的登錄信息；

所述顯示模塊，還用于在登錄成功后，向用戶顯示業(yè)務(wù)情景選擇界面；

分析模塊，用于根據(jù)用戶選擇的業(yè)務(wù)情景，在業(yè)務(wù)情景資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的安全威脅文件；其中，每個所述業(yè)務(wù)情景在安全威脅資源庫中有與之對應(yīng)的安全威脅文件；

生成模塊，用于根據(jù)用戶選擇的業(yè)務(wù)情景，所述業(yè)務(wù)情景對應(yīng)的安全威脅文件，生成安全需求文件。

可選的，所述業(yè)務(wù)情景選擇界面中包含有主業(yè)務(wù)情景界面，子業(yè)務(wù)情景界面；

所述顯示模塊，具體用于根據(jù)用戶在所述主業(yè)務(wù)情景界面中的選擇，顯示用戶所選擇的主業(yè)務(wù)情景內(nèi)包含的子業(yè)務(wù)情景的顯示界面；

相應(yīng)的，所述分析模塊，具體用于根據(jù)用戶在主業(yè)務(wù)情景界面中選擇的主業(yè)務(wù)情景的標(biāo)識，在子業(yè)務(wù)情景界面中選擇的子業(yè)務(wù)情景的標(biāo)識，在所述安全威脅資源庫中確定與所述主業(yè)務(wù)情景的標(biāo)識和所述子業(yè)務(wù)情景的標(biāo)識均對應(yīng)的安全需求文件。

可選的，所述分析模塊，

還用于根據(jù)用戶選擇的業(yè)務(wù)情景，在安全設(shè)計(jì)資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的安全設(shè)計(jì)方案；其中，每個所述業(yè)務(wù)情景在安全設(shè)計(jì)資源庫中有與之對應(yīng)的安全設(shè)計(jì)方案；

所述生成模塊，還用于根據(jù)用戶選擇的業(yè)務(wù)情景，所述業(yè)務(wù)情景對應(yīng)的安全設(shè)計(jì)方案，生成安全設(shè)計(jì)文件。

可選的，所述分析模塊，

還用于根據(jù)用戶選擇的業(yè)務(wù)情景，在測試樣例資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的測試樣例；其中，每個所述業(yè)務(wù)情景在測試樣例資源庫中有與之對應(yīng)的測試樣例；

所述生成模塊，還用于根據(jù)用戶選擇的業(yè)務(wù)情景，所述業(yè)務(wù)情景對應(yīng)的測試樣例，生成安全測試文件。

可選的，所述業(yè)務(wù)情景資源庫中的每個業(yè)務(wù)情景與所述安全威脅資源庫中的每個安全威脅文件、所述測試樣例資源庫中的每個測試樣例、所述安全設(shè)計(jì)資源庫中的每個安全設(shè)計(jì)方案分別具有一一對應(yīng)的映射關(guān)系；

或者，所述業(yè)務(wù)情景資源庫中的每個業(yè)務(wù)情景與所述安全威脅資源庫中的每個安全威脅文件具有一一對應(yīng)的映射關(guān)系；所述安全威脅資源庫中的每個安全威脅文件與所述測試樣例資源庫中的每個測試樣例具有一一對應(yīng)的映射關(guān)系；所述安全設(shè)計(jì)資源庫中的每個安全設(shè)計(jì)方案與所述業(yè)務(wù)情景資源庫中的每個業(yè)務(wù)情景和/或所述安全威脅資源庫中的每個安全威脅文件具有一一對應(yīng)的映射關(guān)系。

本發(fā)明提供的基于情景交互的安全需求分析方法及系統(tǒng)，通過向用戶顯示登錄界面，并接收用戶在該登錄界面上輸入的登錄信息；登錄成功后，向用戶顯示業(yè)務(wù)情景選擇界面；根據(jù)用戶選擇的業(yè)務(wù)情景，在業(yè)務(wù)情景資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的安全威脅文件；其中，每個業(yè)務(wù)情景在安全威脅資源庫中有與之對應(yīng)的安全威脅文件；根據(jù)用戶選擇的業(yè)務(wù)情景，該業(yè)務(wù)情景對應(yīng)的安全威脅文件，生成安全需求文件。實(shí)現(xiàn)了從業(yè)務(wù)用戶角度對系統(tǒng)的業(yè)務(wù)場景進(jìn)行分類劃分，并針對業(yè)務(wù)場景設(shè)定安全分析、風(fēng)險識別與安全控制措施分析，并輸出與業(yè)務(wù)場景相匹配的標(biāo)準(zhǔn)安全文檔，為開發(fā)人員提供安全開發(fā)指導(dǎo)。從而實(shí)現(xiàn)在系統(tǒng)研發(fā)階段提供可靠的安全性需求、系統(tǒng)設(shè)計(jì)階段提供準(zhǔn)確的設(shè)計(jì)策略、系統(tǒng)測試階段提供可落地的安全測試文檔，解決了由于開發(fā)人員安全知識匱乏而帶來的安全落地難的問題，有效提高了系統(tǒng)開發(fā)的效率，更加有針對性地保證了所開發(fā)的系統(tǒng)的安全性需求。

附圖說明

圖1為一示例性實(shí)施例示出的本發(fā)明基于情景交互的安全需求分析方法的流程圖；

圖2為另一示例性實(shí)施例示出的本發(fā)明基于情景交互的安全需求分析方法的流程圖；

圖3為一示例性實(shí)施例示出的本發(fā)明基于情景交互的安全需求分析系統(tǒng)的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

圖1為一示例性實(shí)施例示出的本發(fā)明基于情景交互的安全需求分析方法的流程圖。本實(shí)施例的方案適用于企業(yè)業(yè)務(wù)系統(tǒng)開發(fā)前期，針對具體的業(yè)務(wù)場景可能涉及的安全問題進(jìn)行事前的安全需求設(shè)計(jì)，以使得后期開發(fā)人員可以根據(jù)該事前的安全需求設(shè)計(jì)，有針對性的研發(fā)系統(tǒng)，保證所研發(fā)的系統(tǒng)的安全可靠性。該基于情景交互的安全需求分析方法可以由安全需求分析服務(wù)器和存儲有安全需求分析數(shù)據(jù)的數(shù)據(jù)庫共同實(shí)現(xiàn)。如圖1所示，本實(shí)施例的方法包括：

步驟101、向用戶顯示登錄界面，并接收用戶在登錄界面上輸入的登錄信息。

步驟102、登錄成功后，向用戶顯示業(yè)務(wù)情景選擇界面。

步驟103、根據(jù)用戶選擇的業(yè)務(wù)情景，在業(yè)務(wù)情景資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的安全威脅文件。

該用戶可以為直接接觸實(shí)體業(yè)務(wù)的業(yè)務(wù)人員，因其了解實(shí)體業(yè)務(wù)流程，應(yīng)用場景，因此，可以較為準(zhǔn)確地確定出需要進(jìn)行安全防護(hù)的業(yè)務(wù)的準(zhǔn)確情景。其中，業(yè)務(wù)情景資源庫中存儲有預(yù)先設(shè)計(jì)并錄入的常見的業(yè)務(wù)場景及典型的業(yè)務(wù)場景，可以按照業(yè)務(wù)類型、種類進(jìn)行場景分類，可以形成諸如場景問題庫的形式供用戶進(jìn)行業(yè)務(wù)情景的選擇。實(shí)現(xiàn)從用戶角度對業(yè)務(wù)系統(tǒng)典型場景功能進(jìn)行梳理，通過情景式問答的方式為用戶輸出標(biāo)準(zhǔn)安全文檔，為開發(fā)人員提供安全開發(fā)指導(dǎo)。其中，每個業(yè)務(wù)情景在安全威脅資源庫中有與之對應(yīng)的安全威脅文件。安全威脅資源庫將收集采集到的各種威脅分析整理歸納，整理成為一個資源庫，供威脅分析時使用。用戶每選擇的一種業(yè)務(wù)情景都有一個或多個安全威脅文件與之對應(yīng)。

步驟104、根據(jù)用戶選擇的業(yè)務(wù)情景，業(yè)務(wù)情景對應(yīng)的安全威脅文件，生成安全需求文件。

上述步驟實(shí)現(xiàn)的完整流程可以例如，業(yè)務(wù)用戶登錄該系統(tǒng)，選擇相應(yīng)的業(yè)務(wù)場景創(chuàng)建一個新的項(xiàng)目，進(jìn)入場景問答回答所選場景下的場景問題(也就是說在大的場景目錄下，細(xì)分為多個小的場景目錄，可以采用樹形結(jié)構(gòu)予以實(shí)現(xiàn))，系統(tǒng)根據(jù)用戶的答題情況生成相應(yīng)的場景結(jié)果，并根據(jù)該場景結(jié)果獲取到與之場景對應(yīng)的安全威脅文件，兩者結(jié)合生成安全需求文件。用戶可以下載該項(xiàng)目開發(fā)所使用的安全需求文件以供開發(fā)人員進(jìn)行業(yè)務(wù)系統(tǒng)安全設(shè)計(jì)參考之用。

本實(shí)施例提供的基于情景交互的安全需求分析方法，通過向用戶顯示登錄界面，并接收用戶在該登錄界面上輸入的登錄信息；登錄成功后，向用戶顯示業(yè)務(wù)情景選擇界面；根據(jù)用戶選擇的業(yè)務(wù)情景，在業(yè)務(wù)情景資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的安全威脅文件；其中，每個業(yè)務(wù)情景在安全威脅資源庫中有與之對應(yīng)的安全威脅文件；根據(jù)用戶選擇的業(yè)務(wù)情景，該業(yè)務(wù)情景對應(yīng)的安全威脅文件，生成安全需求文件。實(shí)現(xiàn)了從業(yè)務(wù)用戶角度對系統(tǒng)的業(yè)務(wù)場景進(jìn)行分類劃分，并針對業(yè)務(wù)場景設(shè)定安全分析、風(fēng)險識別與安全控制措施分析，并輸出與業(yè)務(wù)場景相匹配的標(biāo)準(zhǔn)安全文檔，為開發(fā)人員提供安全開發(fā)指導(dǎo)。解決了由于開發(fā)人員安全知識匱乏而帶來的安全落地難的問題，有效提高了系統(tǒng)開發(fā)的效率，更加有針對性地保證了所開發(fā)的系統(tǒng)的安全性需求。

圖2為另一示例性實(shí)施例示出的本發(fā)明基于情景交互的安全需求分析方法的流程圖，如圖2所示，在上一實(shí)施例的基礎(chǔ)上，本實(shí)施例的方法包括：

步驟201、向用戶顯示登錄界面，并接收用戶在登錄界面上輸入的登錄信息。

步驟202、登錄成功后，向用戶顯示業(yè)務(wù)情景選擇界面。該業(yè)務(wù)情景選擇界面中包含有主業(yè)務(wù)情景界面，子業(yè)務(wù)情景界面。

步驟203、根據(jù)用戶在主業(yè)務(wù)情景界面中的選擇，顯示用戶所選擇的主業(yè)務(wù)情景內(nèi)包含的子業(yè)務(wù)情景的顯示界面。

步驟204、根據(jù)用戶在主業(yè)務(wù)情景界面中選擇的主業(yè)務(wù)情景的標(biāo)識，在子業(yè)務(wù)情景界面中選擇的子業(yè)務(wù)情景的標(biāo)識，在安全威脅資源庫中確定與主業(yè)務(wù)情景的標(biāo)識和子業(yè)務(wù)情景的標(biāo)識均對應(yīng)的安全需求文件；根據(jù)用戶選擇的業(yè)務(wù)情景，業(yè)務(wù)情景對應(yīng)的安全威脅文件，生成安全需求文件。

步驟205、根據(jù)用戶選擇的業(yè)務(wù)情景，在安全設(shè)計(jì)資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的安全設(shè)計(jì)方案；其中，每個業(yè)務(wù)情景在安全設(shè)計(jì)資源庫中有與之對應(yīng)的安全設(shè)計(jì)方案；根據(jù)用戶選擇的業(yè)務(wù)情景，業(yè)務(wù)情景對應(yīng)的安全設(shè)計(jì)方案，生成安全設(shè)計(jì)文件。

具體的，安全設(shè)計(jì)資源庫的主要功能是將常見和典型的安全設(shè)計(jì)方案和示例代碼整理歸納錄入系統(tǒng)，供安全需求生成安全設(shè)計(jì)文件時使用。安全設(shè)計(jì)資源庫可以包含公共技術(shù)性安全需求(例如，何種業(yè)務(wù)情景對應(yīng)何種加密算法、何種信息保護(hù)策略等等)、應(yīng)用安全需求(例如，數(shù)據(jù)安全需求、訪問控制需求、防止越權(quán)操作需求等)、通信安全需求(例如，何種業(yè)務(wù)情景對應(yīng)何種網(wǎng)絡(luò)類型、內(nèi)網(wǎng)通信模式、外網(wǎng)通信模式的選擇等)、系統(tǒng)部署運(yùn)維安全需求(例如，何種業(yè)務(wù)情景對應(yīng)何種信息傳輸方式、明文或密文傳輸、單向或雙向認(rèn)證、軟證書或硬證書選擇等)。

步驟206、根據(jù)用戶選擇的業(yè)務(wù)情景，在測試樣例資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的測試樣例；其中，每個所述業(yè)務(wù)情景在測試樣例資源庫中有與之對應(yīng)的測試樣例；根據(jù)用戶選擇的業(yè)務(wù)情景，業(yè)務(wù)情景對應(yīng)的測試樣例，生成安全測試文件。

具體的，測試樣例資源庫的主要功能是將常見的安全測試用例及典型的安全測試用例整理錄入系統(tǒng)的數(shù)據(jù)庫中，供安全測試時使用。

可選的，業(yè)務(wù)情景資源庫中的每個業(yè)務(wù)情景與安全威脅資源庫中的每個安全威脅文件、測試樣例資源庫中的每個測試樣例、安全設(shè)計(jì)資源庫中的每個安全設(shè)計(jì)方案分別具有一一對應(yīng)的映射關(guān)系?；蛘?，業(yè)務(wù)情景資源庫中的每個業(yè)務(wù)情景與安全威脅資源庫中的每個安全威脅文件具有一一對應(yīng)的映射關(guān)系；安全威脅資源庫中的每個安全威脅文件與測試樣例資源庫中的每個測試樣例具有一一對應(yīng)的映射關(guān)系；安全設(shè)計(jì)資源庫中的每個安全設(shè)計(jì)方案與業(yè)務(wù)情景資源庫中的每個業(yè)務(wù)情景和/或安全威脅資源庫中的每個安全威脅文件具有一一對應(yīng)的映射關(guān)系。

可選的，該系統(tǒng)還可以包括：用戶管理模塊，以對該系統(tǒng)下的所有的用戶進(jìn)行管理，可根據(jù)用戶名進(jìn)行搜索及相應(yīng)的增加、修改和刪除操作，并且查看用戶所創(chuàng)建的項(xiàng)目。以及對用戶進(jìn)行用戶角色分配，使其正常使用等。

該實(shí)施例通過讓普通開發(fā)人員通過對場景的描述來實(shí)現(xiàn)安全需求分析和安全設(shè)計(jì)，用戶通過創(chuàng)建項(xiàng)目，選擇對應(yīng)的業(yè)務(wù)場景以調(diào)查問卷形式進(jìn)行場景問答，系統(tǒng)根據(jù)用戶所回答問題情況，自動分析判斷該場景下系統(tǒng)的安全實(shí)施程度，生成相應(yīng)的安全需求設(shè)計(jì)文件，以供用戶進(jìn)行安全開發(fā)時使用，也能夠讓安全管理人員快速判斷該場景下工作情況，大量的減少人工判斷的時間。另外，用戶也能夠?qū)μ厥饨?jīng)典安全案例也能夠進(jìn)行問卷填寫，管理者很方便的得出用戶答題結(jié)果，用戶也能夠方便查看在此場景下面臨的安全威脅、安全需求以及對應(yīng)的安全設(shè)計(jì)。從而實(shí)現(xiàn)在系統(tǒng)研發(fā)階段提供可靠的安全性需求、系統(tǒng)設(shè)計(jì)階段提供準(zhǔn)確的設(shè)計(jì)策略、系統(tǒng)測試階段提供可落地的安全測試文檔，解決了由于開發(fā)人員安全知識匱乏而帶來的安全落地難的問題，有效提高了系統(tǒng)開發(fā)的效率，更加有針對性地保證了所開發(fā)的系統(tǒng)的安全性需求。

本實(shí)施例，通過人機(jī)交互方式選擇與系統(tǒng)開發(fā)相關(guān)的業(yè)務(wù)情景，該基于情景交互的安全需求分析系統(tǒng)通過查詢安全威脅資源庫、安全設(shè)計(jì)資源庫、測試樣例資源庫，在后臺服務(wù)器利用諸如安全專家模型和一系列的算法進(jìn)行數(shù)據(jù)分析、計(jì)算，自動生成安全專家級別的安全需求文件、安全設(shè)計(jì)文件、安全測試文件等。通過該系統(tǒng)，使得開發(fā)人員所開發(fā)系統(tǒng)的安全性需求更加符合業(yè)務(wù)實(shí)際的應(yīng)用場景，從而獲得更好的安全性能的保護(hù)。該發(fā)明很好地為開發(fā)人員如何在開發(fā)中去規(guī)避這些安全問題提供了解決方案，解決了由于開發(fā)人員安全知識匱乏而帶來的安全落地難的問題；同時，通過細(xì)化情景粒度，完成系統(tǒng)安全需求分析，使得安全需求細(xì)致且有針對性，解決了安全需求大而泛的問題；通過輸出的安全測試文件，可極大程度地提高測試可靠性，彌補(bǔ)傳統(tǒng)測試僅關(guān)注功能和性能的不足。

圖3為一示例性實(shí)施例示出的本發(fā)明基于情景交互的安全需求分析系統(tǒng)的結(jié)構(gòu)示意圖，如圖3所示，本實(shí)施例提供的基于情景交互的安全需求分析系統(tǒng)，包括：顯示模塊1，用于向用戶顯示登錄界面；接收模塊2，用于接收用戶在登錄界面上輸入的登錄信息；顯示模塊1，還用于在登錄成功后，向用戶顯示業(yè)務(wù)情景選擇界面；分析模塊3，用于根據(jù)用戶選擇的業(yè)務(wù)情景，在業(yè)務(wù)情景資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的安全威脅文件；其中，每個業(yè)務(wù)情景在安全威脅資源庫中有與之對應(yīng)的安全威脅文件；生成模塊4，用于根據(jù)用戶選擇的業(yè)務(wù)情景，業(yè)務(wù)情景對應(yīng)的安全威脅文件，生成安全需求文件。

本實(shí)施例的基于情景交互的安全需求分析系統(tǒng)，在執(zhí)行上述操作的過程中，其實(shí)現(xiàn)原理與圖1所述的方法實(shí)施例的實(shí)現(xiàn)原理類似，技術(shù)效果類似，此處不再贅述。

基于上述實(shí)施例，可選的，業(yè)務(wù)情景選擇界面中包含有主業(yè)務(wù)情景界面，子業(yè)務(wù)情景界面；顯示模塊1，具體用于根據(jù)用戶在主業(yè)務(wù)情景界面中的選擇，顯示用戶所選擇的主業(yè)務(wù)情景內(nèi)包含的子業(yè)務(wù)情景的顯示界面；相應(yīng)的，分析模塊3，具體用于根據(jù)用戶在主業(yè)務(wù)情景界面中選擇的主業(yè)務(wù)情景的標(biāo)識，在子業(yè)務(wù)情景界面中選擇的子業(yè)務(wù)情景的標(biāo)識，在安全威脅資源庫中確定與主業(yè)務(wù)情景的標(biāo)識和子業(yè)務(wù)情景的標(biāo)識均對應(yīng)的安全需求文件。

可選的，分析模塊3，還用于根據(jù)用戶選擇的業(yè)務(wù)情景，在安全設(shè)計(jì)資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的安全設(shè)計(jì)方案；其中，每個業(yè)務(wù)情景在安全設(shè)計(jì)資源庫中有與之對應(yīng)的安全設(shè)計(jì)方案；生成模塊4，還用于根據(jù)用戶選擇的業(yè)務(wù)情景，業(yè)務(wù)情景對應(yīng)的安全設(shè)計(jì)方案，生成安全設(shè)計(jì)文件。

可選的，分析模塊3，還用于根據(jù)用戶選擇的業(yè)務(wù)情景，在測試樣例資源庫中確定與所選擇的業(yè)務(wù)情景對應(yīng)的測試樣例；其中，每個業(yè)務(wù)情景在測試樣例資源庫中有與之對應(yīng)的測試樣例；生成模塊4，還用于根據(jù)用戶選擇的業(yè)務(wù)情景，業(yè)務(wù)情景對應(yīng)的測試樣例，生成安全測試文件。

可選的，業(yè)務(wù)情景資源庫中的每個業(yè)務(wù)情景與安全威脅資源庫中的每個安全威脅文件、測試樣例資源庫中的每個測試樣例、安全設(shè)計(jì)資源庫中的每個安全設(shè)計(jì)方案分別具有一一對應(yīng)的映射關(guān)系；或者，業(yè)務(wù)情景資源庫中的每個業(yè)務(wù)情景與安全威脅資源庫中的每個安全威脅文件具有一一對應(yīng)的映射關(guān)系；安全威脅資源庫中的每個安全威脅文件與測試樣例資源庫中的每個測試樣例具有一一對應(yīng)的映射關(guān)系；安全設(shè)計(jì)資源庫中的每個安全設(shè)計(jì)方案與業(yè)務(wù)情景資源庫中的每個業(yè)務(wù)情景和/或安全威脅資源庫中的每個安全威脅文件具有一一對應(yīng)的映射關(guān)系。

本實(shí)施例的基于情景交互的安全需求分析系統(tǒng)，在執(zhí)行上述操作的過程中，其實(shí)現(xiàn)原理與圖2所述的方法實(shí)施例的實(shí)現(xiàn)原理類似，技術(shù)效果類似，此處不再贅述。

基于情景交互的安全需求分析系統(tǒng)通過對包括渠道、支付、產(chǎn)品、數(shù)據(jù)層、外圍或附屬、分行特色、辦公管理、基礎(chǔ)平臺、技術(shù)類、信用卡等渠道的業(yè)務(wù)情景進(jìn)行威脅分析，有針對性的提出了對應(yīng)的安全需求，并針對該安全需求提出了對應(yīng)的安全設(shè)計(jì)方案和安全測試方案。讓普通業(yè)務(wù)人員、開發(fā)人員、測試人員等和開發(fā)相關(guān)的人員，在基于情景交互的安全需求分析系統(tǒng)上通過應(yīng)用場景的輸入，通過查詢安全威脅資源庫、安全設(shè)計(jì)資源庫、測試樣例資源庫，在后臺服務(wù)器利用諸如安全專家模型和一系列的算法進(jìn)行數(shù)據(jù)分析、計(jì)算，自動生成安全專家級別的安全需求文件、安全設(shè)計(jì)文件、安全測試文件等。通過該系統(tǒng)，使得開發(fā)人員所開發(fā)系統(tǒng)的安全性需求更加符合業(yè)務(wù)實(shí)際的應(yīng)用場景，從而獲得更好的安全性能的保護(hù)。

本領(lǐng)域普通技術(shù)人員可以理解：實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成，前述的程序可以存儲于一計(jì)算機(jī)可讀取存儲介質(zhì)中，該程序在執(zhí)行時，執(zhí)行包括上述方法實(shí)施例的步驟；而前述的存儲介質(zhì)包括：rom、ram、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

最后應(yīng)說明的是：以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對其中部分技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍。