Р. П. Шевчук // Опорний конспект лекцій з дисципліни „Методи та засоби захисту програмного забезпечення", для студентів напрямку „Комп’ютерні науки"
Основні вимоги до розробки систем захисту програмного забезпечення
жүктеу/скачать 0.66 Mb. Pdf көрінісі
|
|
1.4. Основні вимоги до розробки систем захисту програмного забезпечення В залежності від застосування програмного забезпечення (ПЗ) висувають вимоги щодо систем зихисту цього ПЗ, зокрема вимоги до архітектури ПЗ, середовища розробки, послідовності розробки, середовища функціонування, супровідної документації, випробовування. Вимоги до архітектури забезпечують гарантії того, що КЗЗ у змозі повністю реалізувати політику безпеки і більшою мірою відносяться до архітектури ПЗ. Додержання цих вимог забезпечується Розробником на стадіях проектування КЗЗ. Передусім, вимоги до архітектури покликані забезпечити структурованість КЗЗ відповідно до принципів “хорошого" проектування ПЗ (модульність, iнкапсуляція і приховування даних). 10 Вимоги до середовища розробки забезпечують гарантії того, що процеси розробки і супроводження оцінюваної КС є повністю керованими з боку Розробника. У процесі розробки ПЗ від Розробника вимагається визначити всі стадії життєвого циклу ПЗ, розробити, запровадити і підтримувати в робочому стані документально оформлені методики своєї діяльності на кожній стадії. Мають бути документовані всі етапи кожної стадії життєвого циклу та їх граничні вимоги (вимоги, що повинні бути виконані раніше, ніж можна приступати до наступного етапу). Крім того, повинні бути документовані стандарти, які використовувались під час розробки ПЗ. Використовувані мови програмування і компілятори мають відповідати вимогам національних, міждержавних або міжнародних стандартів. Розробник повинен розробити, запровадити і підтримувати в дієздатному стані документовані методики керування конфігурацією ПЗ на всіх стадіях її життєвого циклу. При цьому Розробник може розробити і використати систему керування конфiгурацією, що найкраще відображає і складність ПЗ. Вимоги до процесу проектування забезпечують гарантії того, що на кожній стадії розробки (проектування) існує точний опис ПЗ і реалізація ПЗ точно відповідає вихідним вимогам (політиці безпеки). Вимоги до гарантій передбачають наявність чотирьох основних рівнів деталізації ПЗ у процесі її створення: функціональна специфікація, проект архітектури, детальний проект, реалізація. Вимоги до середовища функціонування забезпечують гарантії того, що ПЗ поставляється замовнику без несанкціонованих модифікацій, а також інсталюється і iніціалiзується замовником так, як це передбачається Розробником. Оцінка ПЗ забезпечує гарантії того, що ПЗ правильно реалізує політику безпеки і правильно функціонує, і будується на припущенні, що функціонування ПЗ починається з безпечного стану. Для того, щоб замовник зміг повною мірою використати послуги безпеки, що надаються ПЗ для реалізації політики безпеки, встановленої в його організації, йому необхідна відповідна документація, в якій були б описані ці послуги і дані вказівки щодо їх використання. Для демонстрації того, що КЗЗ оцінюваного ПЗ піддавався випробуванням, і доказу повноти цих випробувань Розробник повинен надати документально оформлені результати випробувань. В плані випробувань повинна бути викладена стратегія випробувань Розробника. План повинен надавати детальний опис всіх тестованих частин КЗЗ. Сюди входять зовнішні інтерфейси КЗЗ, всі політики, привілеї, механізми послуг захисту і специфічних викликів системних функцій, бібліотечного ПЗ і т. ін. План має також відображати середовище випробувань, будь-які особливі умови, що створюються для проведення випробувань, і засоби випробувань. Повинні бути наведені аргументи на користь повноти тестового покриття. Програма і методика випробувань повинна визначати процедури тестування кожного елемента, визначеного у плані випробувань (наприклад, системних викликів). Для кожного окремого тесту має бути докладно описано використання засобів випробувань, необхідне оточення і особливі умови. |