[CAPESE标准解读] GJB/Z 102A《军用软件安全性设计指南》解读（三）

3.2

主要内容

3.2.1

一般要求

1

软件安全性工作通用要求

软件安全性工作是系统安全性工作和软件开发工作的一部分，不能独立于系统研制和软件开发而单独进行。一个软件规格说明的错误、设计缺陷或缺乏明确的初始安全性要求等等都有可能构成或引起系统失效或人员错误判定，原来可以预防的人员死伤、系统损失或环境破坏等情况就可能产生。为了使软件的安全性达到可接受的水平，软件安全性工作必须在系统需求定义和系统方案设计过程的早期就应十分重视。因此在GJB/Z 102A中，对软件安全性工作提出了基本要求：

a）软件安全性工作是其所属系统安全性工作的重要组成部分，由系统提出要求，依据系统要求进行检查和验证，具体要求见GJB 900。

b）软件安全性工作贯穿于软件生存周期全过程,应与软件工程过程活动紧密结合地进行。安全关键软件的开发应按照GJB 2786A-2009的要求进行，同时进行软件安全性策划，开展软件安全性工程活动。软件开发人员应参与软件安全性需求的拟定，并负责实施软件项目策划规定的有关活动，确保所开发的软件产品满足系统的安全性需求。

c）确定计算机软件配置项（CSCI）的安全性等级。在系统分析和设计阶段，系统人员根据系统危险分析结果，确定软件的安全性等级，软件开发人员应参与并提出建议。确定软件安全性等级的方法参见附录A。软件开发人员应依据软件安全性等级确定软件安全性工作的具体范围。

d）对已纳入配置管理的受控软件的更改应进行影响域分析，并关注软件更改对系统安全的影响，特别关注软件的时序关系和存储容量的变更影响。影响域分析包括对现有功能、性能，CSCI外部及内部的影响。其中，CSCI外部影响主要从硬件接口、软件接口及协议、相关软件文档等方面进行分析；CSCI内部影响主要从软件结构及调用关系、输入输出关系、数据结构、性能、内部中断、相关软件文档等方面进行分析。影响域分析结果应经过审核和批准，必要时进行评审。

2

外购（协）或重用软件要求

软件安全性是外购（协）软件、重用软件和新研软件都应关注的事项。如果可以购买到满足项目需要的商业软件产品，或者可以从类似项目中得到可以在新研软件中重用的软件等，通常可以节省经费，并有助于缓解紧张的进度。但是，如果将这些软件应用于安全性关键的功能，或者将这些软件与新开发的安全性关键代码进行集成时，选择或评价这些软件就显得非常重要。

GJB/Z102A规定了安全关键软件采用外购（协）软件或重用软件时应遵循的要求：

a）决定重用某软件来完成安全关键功能之前，应确定其适用性，并充分分析其安全性影响。在软件开发过程中，应对重用软件产品进行安全性分析和评价工作，并对其进行验证，确保其不存在不可接受的安全性风险。

b）外购（协）软件应按照GJB 5000A-2008中供方协议管理过程域的要求进行管理，并进行安全性分析和评价。

3

工具的验证要求

在软件生存周期过程中，通常要使用很多工具，诸如编辑程序、编译程序、调试程序和集成开发环境之类的工具，以及项目管理和配置管理等方面的工具。 为避免工具对安全关键软件的影响，GJB/Z 102A对安全关键软件开发过程中使用的影响可执行代码的软件工具提出了基本要求：

a）验证或证明软件工具的安全性与待开发的安全关键软件的安全性等级相适应；

b）依据软件工具使用说明，验证开发过程中所使用软件工具功能和性能的正确性、一致性和完整性。

未完待续......

轻松一刻

父亲又在游戏厅门前看到儿子，生气地说：“你一点儿也不知道学习，光会打游戏，我十回有九回都在这儿看见你！”

儿子笑：“我还比您少一次哪！”