视交叉上核
安全性和通信网络
1939 - 0122
1939 - 0114
Hindawi
10.1155 / 2020/5137625
5137625
研究文章
将安全需求工程集成到MBSE:概要文件和指导方针
https://orcid.org/0000 - 0003 - 1595 - 3472
Mažeika
D。
Butleris
R。
比照
塞尔瓦托
信息系统设计技术中心
考纳斯科技大学
考纳斯
立陶宛
ktu.lt
2020年
12
3
2020年
2020年
25
09年
2019年
10
12
2019年
12
3
2020年
2020年
版权©2020 d . Mažeika和r . Butleris。
这是一个开放的文章在知识共享归属许可下发布的,它允许无限制的使用,分布和繁殖在任何媒介,提供最初的工作是正确的引用。
基于模型的系统工程(MBSE)提供了许多关于如何创建方法,验证和验证复杂的系统设计;不幸的是,固有安全方面解决不了SysML语言主要MBSE推动者MBSE方法,也不受欢迎。MBSE虽然有许多共同之处和安全需求工程,MBSE的关键优势(如管理的复杂性,降低了风险和成本,并改进通信跨多学科小组)没有利用不够。本文综述安全需求工程过程和建模方法和标准,并提供MBSE安全性配置文件,这是正式的与UML 2.5的分析能力。新的基于uml的安全性配置文件符合ISO / IEC 27001信息安全标准。除了MBSE安全性配置文件,本文还提出了安全性配置文件应用程序用例的可行性研究现状安全与系统工程过程。
1。介绍
现代系统之间的行业,如汽车、医疗设备、航空航天、国防变得极其复杂;因此,传统的工程方法为他们的成功实现是不够的。系统变得更加复杂,由于许多因素,仅举几例:
增加了光谱技术:复杂的系统已经成为cyber-physical系统(CPS)现在取决于计算算法的无缝集成和各种物理组件(
1]
增加客户要求更复杂的系统和市场或军事竞争
2]
系统由大量的组件交互的网络结构,通常这些组件身体上和功能上异构(
3]
系统工程(SE)的纪律是启动和发展管理和联合多学科工程团队的工作结果。SE的目标是成功实现系统与集中收集客户需求并定义所需的功能在开发周期的早期,以及记录需求,然后进行设计合成和系统验证(
4]。如今,无法应付系统复杂性的组织转换(或开关)从一个基于文档的方法,基于模型的方法在SE活动。国际系统工程(INCOSE)强调MBSE理事会的重要性,他们设想,MBSE将在2025年成为SE的同义词(
5]。使用模型的优点,而不是文档本身包括以下(
6- - - - - -
8]:
系统工程的效率增加了
重用现有的项目或通用组件来支持设计和技术进化
使需求变更的影响分析
改善沟通跨多学科团队
使文档的自动生成
风险降低了早期和迭代需求验证和设计验证
管理复杂性
有很多方法,指导用户如何获得所有MBSE好处在创建系统的设计模型。的详细审查这些MBSE方法和框架可以在前面的论文(
9,
10];可悲的是,既不涉及安全的分析方法分析在系统设计的早期阶段。
许多研究人员在他们的研究(
11- - - - - -
14)认为有必要识别和解决安全风险在系统工程生命周期。阮等人状态安全目标(如机密性、完整性和可用性)应该考虑业务逻辑非常早,一起在工程安全系统是至关重要的。这里,MBSE可能是一个关键助手因为操纵的机会在更高的抽象层次模型;可能裁缝通用建模语言(例如,UML和SysML)安全相关概念;和执行推理与外部分析工具(
12]。如今,MBSE活动主要集中在设计阶段通常由系统工程师来完成。在开发复杂的系统时,安全分析与设计阶段并行进行。Papke说,安全工程师和系统工程师应该合作,共同设计过程或框架是必要的为了定义安全性方面常见的模型(
13]。
在本文中,我们提出了MBSE安全性配置文件,使多学科小组进行安全分析并行的系统工程过程在一个MBSE项目。我们也介绍一个小案例研究,提出了使用基于模型的方法的潜在价值进行安全分析。
2。可行性研究
在开始分析和安全性配置文件开发任务之前,我们进行了一次可行性研究来支持或否认我们最初的论文MBSE将是有益的,需要在安全分析。我们发送问卷调查10工程公司从以下行业:
运输,
航空航天和国防,
海上,
医疗保健,
软件。回答调查问题系统工程师(总:8)首席系统工程师和安全工程师。
前两个问题是致力于找出有多少组织成员参与系统工程和安全工程有多少活动。图中提供的结果
1。
图表展示的成员数量的系统工程和安全工程调查组织。
![]()
如图
1组织成员的数量,参与系统工程活动远高于那些在安全工程。因为我们建议向MBSE模型,包括安全活动的努力训练安全工程师MBSE将明显低于亦然。
第三个问题是致力于发现的分布系统工程活动。大多数调查对象执行系统需求定义和功能设计活动;此外,逻辑和物理设计活动也被广泛使用。所有这些活动,除了物理设计创造,通常是在系统开发的早期阶段。所有的结果在图提供
2。
图表展示系统工程活动的分布。
![]()
第四个问题是“安全需求或其他安全文物代表(或链接)在你的系统工程模型/文档吗?“总共6受访者说,这是链接,2表示,部分有关,和2受访者说,文物没有联系。此外,受访者被要求对这个问题进行更详细的描述;意见如下:
没有安全的文物。安全是接近作为额外的需求的系统。
我们目前只在公司内部进行协作。
一些与安全相关的系统属性建模。一些模型元素也专门创建安全分析的目的(例如网络)。
主要由安全需求有关。
文档的资产/系统对象和物理和逻辑连接。
这些答案导致的结论是,一半以上的受访者跟踪安全需求与系统工程元素但不一致的方式。
第五个问题是,“你的组织符合安全标准体系设计吗?“43%的受访者表示,他们的过程符合ISO / IEC 27001标准;在图提供了所有的答案
3。
图的问题,“你的组织符合安全标准体系设计吗?”。
![]()
接下来,我们想找出安全分析技术组织的做法。大多数的受访者(8)依靠安全需求。的
攻击/威胁场景和
安全流程/控制的定义被3受访者练习。所有的结果在图提供
4。
图的问题,“什么技术执行安全分析你的组织实践吗?”。
![]()
下一个问题帮助我们找出安全分析融入MBSE能否带来任何好处。大多数参与者同意或强烈同意,所有上市的优势很重要。所有的结果在图提供
5。
图表代表安全活动整合到MBSE模型的好处。
![]()
最后一个问题是致力于检查技术将用于确认/验证安全模型(图
6)。
图表代表MBSE确认/验证安全模型的技术。
![]()
七的十受访者回答,最有用的技术将模型验证(例如,检查如果当前水平的风险是可以接受的)和变更影响分析(例如,检查什么资产将影响如果安全需求改变)。5个受访者说,覆盖率分析(例如,检查有多少风险不是与安全控制)和模型模拟(例如,检查是否正确执行攻击场景)也将是有用的。
总而言之,可行性调查显示,两个系统工程师和安全工程师承认的重要性和价值整合系统和安全模型;然而,这在实践中尚未实现。
3所示。分析相关的工作
相关的分析工作包括安全需求工程部分我们目前的安全需求工程过程的定义。第二章,为安全分析建模方法,展示了传统安全需求工程过程纳入不同的系统建模方法。
3.1。安全需求工程
安全需求工程领域相结合的方法、技术和规范应对安全系统创建任务在系统开发周期的早期阶段(
15]。提出了很多方法来执行安全需求工程的文学。的一些方法提供指导与安全相关的活动(例如,广场(
16和扣
17]),而其中的一些实施安全标准(例如,SREP是基于ISO / IEC 17799:2005 [
18)和科拉是基于ISO 31000 (
19])。安全需求工程方法的详细比较提供了费边et al。
20.,全面风险管理领域本体是由杜布瓦等。
21]。
安全需求工程过程包括需求抽取等传统需求工程活动,规范,和分析。安全需求工程的最终目的是防止伤害在现实世界中通过考虑安全要求作为约束条件对功能需求(
22]。在这里,最反复出现的词
安全性要求值得看看这个词是如何被不同的作者:
杜波依斯等人描述安全需求作为现象的条件环境系统涉众希望真正的设计系统,为了降低风险(
21]。
费边的口音,安全需求是一个或多个安全的具体细化目标,而安全目标指的是美国中央情报局的一个特定部分(
保密,
的完整性,和
可用性)模型(
20.]。
Salini Kanmani同意安全需求可以被视为一个约束系统的功能,而这些约束将一个或多个安全目标(
22]。
分别安全需求可以被视为一个更详细的声明安全目标或目标。在我们的研究中,我们进一步审视这一项是如何解释和精制各种建模方法。
一个评论工程应该注意安全和安全要求。尽管安全与安全学科具有很多相似之处(例如,两者都是保护资产通过创建安全/安全条件(
23也存在[]),核心差异
24]:
风险的起源:安全的关注
威胁(例如,攻击者攻击飞机机舱内娱乐系统和覆盖安全软件),而安全考虑
危害(例如,飞机的起落架不能扩展)。
后果的性质:非托管安全风险可能导致危害到系统本身或其环境。安全风险的后果只与系统环境。
在这个研究中,我们不分析安全技术除结合安全领域(例如,底盘)。
3.2。建模方法进行安全分析
本节提供了一个分析的建模框架和方法对于识别安全风险:
统一架构框架(
UAF)
合并后的危害评估的安全信息系统(底盘)
SysML交会
UML交会
在这里,我们选取了图形建模方法,可以在早期阶段的系统设计和集成到MBSE过程。我们排除了正式的安全方法基于数学技术或半正式的方法是基于UML / SysML图形形式不同(例如,佩特里网和贝叶斯信念网络),因为不同的符号可能包括额外的复杂性MBSE模型和正式的方法通常是在后面的实现阶段。技术用于其他方法(如滥用情况下底盘)不是单独详细的摘要。
UAF是一个企业架构框架(电弧炉)由对象管理组织(OMG) (
25]。的
UAF框架结合现有军事建筑框架(如MoDAF DoDAF和氟化钠),与后者不同的是,它适用于工业和商业应用程序(
26,
27]。除了非军事化和军事的统一框架,
UAF有一个额外的安全域(
28]。安全域允许用户识别存在的安全约束和捕获信息保障属性表现在资源和操作之间的沟通(
25]。这些信息保障属性NIST /国防部标准是一致的,统一的基础信息安全框架,整个美国联邦政府(
29日,
30.]。
中使用安全概念的关键
UAF是
安全约束,
安全属性,
安全资产,
安全控制,
风险,
财产安全的影响(
25]。
底盘是一个助记缩写吗
结合安全危害评估和
安全信息系统。底盘方法允许识别安全和安全方面和基于UML符号(
31日]。这个方法包含三个主要过程(诱发功能需求;引起安全/安全需求;并指定安全/安全需求)和不同的安全管理技术捕获和指定的安全需求。安全需求的定义依赖于创建和分析基于uml图(滥用的情况下,滥用序列图)和开展他们的研究结果与传统的安全技术,例如,HAZOP表和文本安全需求(
31日]。
误用例技术扩展了UML用例图的附加元素误用和滥用。这些概念允许定义攻击者和他们的威胁感兴趣的系统。此外,两个补充关系的威胁,可以允许降低安全工程师指定哪个用例减轻误用或滥用案件威胁用例。滥用序列图可以用来表示可能的攻击者和系统之间的相互作用,在时间顺序排列。最后,HAZOP表是用来总结安全需求的相关信息(
31日,
32]。
安全概念用于底盘的关键
攻击,
攻击者,
威胁,
安全性要求,
风险,
弱点。
SysML交会模型驱动工程环境,提出了扩展为安全风险以及SysML图方法创建安全实时嵌入式系统(
33]。
SysML交会方法包括三个主要阶段(
33]:
系统分析(基于嵌入式系统Y-chart方法)
系统设计(软件开发基于v模型)
系统验证(基于模型转换成正式的规范)
分析阶段包括安全需求的定义和攻击场景和作为识别的主要功能以及候选人硬件架构。在系统设计阶段,安全需求提炼与安全属性和安全相关的函数定义。验证阶段允许用户正式评估是否验证安全属性。如果模型太大验证,模型到代码的转换用于执行安全测试(
33,
34]。
SysML交会中使用的关键安全概念
资产,
安全性要求,
安全属性,
与安全相关的功能,
威胁。
UML交会的方法使安全系统需求分析的定义和一个轻量级的UML的扩展。作为UML交会是一个轻量级的扩展,它不存在任何新的图,但提供了一组刻板印象(标签定义)和约束。与安全相关的刻板印象允许用户指定安全需求和攻击/失败场景与标准UML图(如用例,活动,和序列图)。自定义约束用OCL(对象约束语言)编写的帮助来验证模型与正式的语义
14,
35]。UML交会方法可以结合目标驱动的安全需求工程方法为了有一个结构化的安全软件系统开发框架
36]。
安全概念中使用UML交会的关键
安全性要求,
安全属性,
攻击者,
攻击。
4所示。概念对齐
本节致力于调整所有的分析建模方法进行安全分析。我们现在安全的概念与定义,同义词,它们出现在表分析的建模方法
1(Y表明相应的概念用于建模方法和N意味着它不相关)。
安全概念映射到建模方法。
|
UAF |
底盘 |
SysML交会 |
UML交会 |
定义 |
同义词 |
| 资产 |
Y |
Y |
Y |
N |
元素可以被认为是一个主题为安全分析(
25]在系统和/或环境,保护从负面影响
31日] |
软件资产,系统的资产,数据资产 |
| 安全约束 |
Y |
Y |
Y |
Y |
捕获一个正式的规则类型声明来定义安全法律、法规、指南、和政策(
25] |
安全需求、安全目标 |
| 安全控制 |
Y |
N |
Y |
N |
维护或对策规定为一个信息系统或一个组织为了保护机密性、完整性和可用性的资产信息和满足一组定义的安全需求(
25] |
安全活动,保障,对策,与安全相关的功能 |
| 安全属性 |
Y |
N |
Y |
Y |
财产或约束系统上的资产,是他们的安全需要
25] |
信息保障财产 |
| 风险 |
Y |
Y |
Y |
N |
声明一个事件对资产的影响(
25] |
- - - - - - |
| 风险的影响 |
Y |
Y |
Y |
N |
的潜在影响对系统由于特定原因(可用性、完整性和机密性)
25] |
伤害,因此,财产安全的影响 |
| 脆弱性 |
Y |
Y |
N |
Y |
内部故障,使外部故障危害系统(
31日] |
的弱点,安全约束(在
UAF) |
| 攻击者 |
N |
Y |
Y |
Y |
某人或某事进行攻击来改变系统的功能或性能,或访问机密信息(
31日] |
入侵者 |
| 威胁 |
Y |
Y |
Y |
Y |
潜在的攻击目标系统资产,可能导致伤害(
21]一个动作进行伤害系统[
31日] |
攻击,安全约束(在
UAF) |
5。安全域模型
一旦我们完成了文献分析和概念校准活动,我们可以分析数据转换到安全域模型中。指定的域模型与MagicDraw UML类图建模工具,和它描述了安全概念及其关系(见图
7)。
安全域模型。
![]()
三组在安全域模型区分:
安全保证的概念(白色)描述的概念允许确保系统安全性或降低可能的风险
项目(绿色)显示数据和系统保护的资产应确认和保护
风险相关概念(红色)敌对的概念特征和可能的系统的弱点
安全域模型允许分类各种风险条款和建立它们之间的逻辑关系。然而,安全域模型基于模型的安全性分析是不够的;于是,接下来的章节将使这种分析的安全性配置文件。
6。安全性配置文件的结构和内容
我们使用内置的UML 2.5的分析能力,使我们能够变换域模型中指定的安全概念,安全建模语言。这是一个经典的建模语言设计方法的关键概念域应该确定在第一,然后可以创建一种新的语言来支持它(
37]。
ISO / IEC 27001信息安全标准由国际标准化组织(ISO)和国际电工委员会(IEC)选择为基础的安全配置文件。本标准旨在帮助工程安全系统通过提供信息安全管理最佳实践建议,风险和控制(
38]。ISO / IEC 271001使我们能够安全概要文件分解成逻辑部分,以及使用行业常见的术语。
配置文件结构如图
8。概要方案包含组(用虚线分隔),每个需要遵循的步骤建立信息安全管理体系ISO / IEC 27001(主义)。
安全性配置文件。
![]()
第一步表明,接受风险的标准应该是之前定义的风险识别与评价。支持这个步骤中,我们创建了一个刻板印象的“风险评估配置”标签“标准接受风险”的定义,将允许用户指定哪些风险水平将在他们的组织是可接受的。
4.2.1 d准备”一章谈到了ISO / IEC 27001标准的识别以下元素:
的
资产主义的范围内
主人这些资产的
的
威胁这些资产
的
漏洞这可能是被威胁所利用
的
影响损失的机密性、完整性和可用性可能的资产
分别,我们创建了以下的刻板印象:
风险;资产(数据资产/系统资产/软件资产);漏洞;威胁;风险的影响。同时,创建的附加的刻板印象是所有可能的关系(
描述,
导致,
滥用,
使用,
适用于)。
第三步表明业务影响和可接受的风险水平规模应该确定在这个阶段。“风险影响”刻板印象将允许用户文档风险影响和风险水平”枚举将提供规模从1到10。
第四步是指识别和评估风险的治疗选择。的
安全控制概念被确定在域分析;然而,ISO / IEC 27001扩展这一项的
风险处理这应该有两个选择:风险控制向外部转移风险和机会。因此,下面的刻板印象是创建并添加到这个组:
风险处理,
外部方,
转移到外部,和
应用控制。
第五部分是专门选择控制目标和控制治疗的风险。“控制目标”和“安全控制”模式将有助于捕获这些信息。
下一章提出了如何安全概要可以应用于现实世界的SysML模型。
7所示。安全性配置文件应用程序的用例
为了演示执行安全分析的安全性配置文件使用,我们选择混合动力运动型多用途车(HSUV)模型从OMG SysML规范(
39]。最初,这个模型被创建来说明SysML语言能够支持规范,系统的分析和设计。我们正在完善这个模型通过添加“HSUV安全分析”层覆盖的系统配置和安全风险评估文物功率控制单元。
HSUV开始前安全分析、安全工程师/经理必须制定标准接受风险和确定可接受的风险水平。有许多不同的方法对风险评估,应保证可比性和可重复的结果。应该捕获的标准和方法
风险评估的配置元素一个MBSE工具。
安全分析、多学科(系统和安全工程)团队应该分析所有的部分HSUV找出这些部分是否可以违反/攻击,风险和风险的影响,与安全预防控制是可能的。MBSE启用了定量分析的工具,它允许计算这些数据:
有多少系统部分不作为资产?
有多少风险没有风险的治疗?
有多少风险水平高于中定义一个可接受的风险水平的风险评估配置?
对于这个应用程序用例中,我们选择了功率控制单元,负责处理车辆加速和刹车踏板。的提取功率控制单元安全分析呈现在图
9。电源控制器资产(系统和软件)创建和与SysML PowerControlUnit块。的风险“攻击者能够接管一个ECU通过OBD-II港口,重组,权力和执行功能子系统(加速,刹车和发电机)”是这些资产识别和追踪。这种风险的级别设置为10。
PowerControlUnit安全分析。
![]()
在我们的案例中,风险的风险影响“失去控制HSUV加速度和/或刹车”,可以是致命的。可能的威胁是“故障注入汽车诊断协议”,可能使用“控制区域网络的脆弱性(可以)协议。“另一方面,风险风险可能的治疗控制的选项选择:
验证消息和
检测指令。如果已知安全控制,用户应该添加文档等控制。如果安全控制是未知的,那么下面的SysML活动图可以创建元素和该算法应由安全工程师建模。确定了安全控制的目的
ECU的防止未经授权的访问。
记录所有与安全相关的元素和链接后,我们可以创建表达式基于对象约束语言(OCL)为运行定量模型验证,如发现所有系统模块,不与任何资产元素(图
10)。
OCL查询寻找所有块并不与资产。
![]()
可以使用此OCL表达式作为一个度量的基础表(见图
11),也可以是一个查询收集相应的元素,也可以是用于验证实时MBSE模型。
指标表,礼物有多少块覆盖的资产。
![]()
此外,当MBSE和安全模型集成,我们可以执行改变影响分析,例如,检查系统和安全元素应当审查,如果最初的系统需求被改变了。在图
12地图显示,我们证明了改变影响可追溯性的“权力”要求系统和软件资产。
“权力”的变化的影响图的要求。
![]()
8。结论和未来的工作
之间有许多共同点MBSE和安全需求工程;然而,这些学科仍然没有被连接的标准方法,方法,或框架。这导致MBSE的事实有力的优势(如自动文档生成、管理的复杂性,降低了风险和成本,并改进通信跨多学科小组)仍在underexploited工作流的安全工程师和系统工程师。文献分析和可行性调查显示,系统工程师和安全工程师认识到整合的价值系统和安全流程,但这尚未实现在实践中。
本文有助于连接MBSE纪律和安全分析方法在两个方面:
这地图的概念从安全需求工程领域和UML / SysML-based建模方法进行安全分析。映射和安全域模型可以帮助用户理解和比较安全。
介绍了UML安全性配置文件基于ISO / IEC 27001信息安全标准,允许描述和分析安全方面的系统模型。使用基于模型的技术确保文物安全与系统一致的早期阶段系统设计和MBSE福利扩展到安全工程师纪律。
安全性配置文件的可行性提出了通过扩展混合动力运动型多用途车(HSUV)样本OMG SysML规范电力控制装置安全分析。
我们计划继续我们的工作,并提供的扩展准则MBSE安全性配置文件和检查安全技术是最有效的根据系统工程和安全人员。
数据可用性
使用的数据来支持本研究可从相应的作者在合理的请求。
的利益冲突
作者宣称他们没有利益冲突有关的出版。
[
NSF-National科学基金会
Cyber-physical系统(CPS)
2017年
https://www.nsf.gov/pubs/2017/nsf17529/nsf17529.pdf
]
[
INCOSE
复杂系统的挑战
http://www.incose-coa.org/the-challenge-of-complex-syst
]
[
Guckenheimer
J。
Ottino
J。
复杂系统研究基础物理科学和工程
2008年
NSF车间
]
[
INCOSE
系统工程手册:指南系统生命周期处理和活动
2015年
4日
美国新泽西州霍博肯
约翰威利& Sons
]
[
INCOSE
SE展望2025
2014年
https://www.incose.org/AboutSE/sevision
]
[
Kalawsky
r S。
O ' brien
J。
庄
年代。
弥合的差距包括半实物仿真的基于模型的系统工程的工作流程
IEEE系统杂志
2013年
7
4
593年
605年
10.1109 / JSYST.2012.2230995
2 - s2.0 - 84885180446
]
[
霍尔特
J。
佩里
年代。
Brownsword
M。
Cancila
D。
Hallerstede
年代。
汉森
F。
基于模型的系统的系统需求工程
2012第七届国际会议系统的程序系统工程(SoSE)
2012年7月
意大利的热那亚
561年
566年
]
[
INCOSE英国
塔
J。
Brownsword
M。
克拉克
我。
刘易斯
C。
佩里
年代。
史蒂文森
一个。
什么是基于模型的系统工程(V2)
2015年
http://www.incoseonline.org.uk/Program_Files/Publications/zGuides_9.aspx?CatID=Publications
]
[
Mazeika
D。
Morkevicius
一个。
Aleksandraviciene
一个。
MBSE驱动方法定义问题域
11日系统的系统工程研讨会论文集(SoSE)
2016年
康斯贝格、挪威
1
6
]
[
Morkevicius
一个。
Bisikirskiene
l
Jankevicius
N。
我们选择MBSE:接下来是什么?
学报第六届国际会议上复杂的系统设计与管理,CSD&M 2015
2015年
313年
]
[
研究行业最高挑战MBSE 4.0和IoT-Workshop报告,2015年10月
]
[
阮
p . H。
阿里
年代。
悦
T。
基于模型的安全工程cyber-physical系统:一个系统的映射
信息与软件技术
2017年
83年
116年
135年
10.1016 / j.infsof.2016.11.004
2 - s2.0 - 85006307160
]
[
Papke
b . L。
使设计与MBSE敏捷安全物联网
2017年12日系统系统工程研讨会论文集(SoSE)
2017年
Waikoloa,嗨,美国
1
6
10.1109 / SYSOSE.2017.7994938
2 - s2.0 - 85028566566
]
[
Jurjens
J。
Shabalin
P。
安全系统开发使用UML的工具
国际期刊《技术转让的软件工具
2007年
9
5 - 6
527年
10.1007 / s10009 - 007 - 0048 - 8
2 - s2.0 - 35348959376
]
[
•梅利亚
D。
布兰科
C。
桑切斯
l E。
Fernandez-Medina
E。
安全需求工程的系统回顾
计算机标准和接口
2010年
32
4
153年
165年
10.1016 / j.csi.2010.01.006
2 - s2.0 - 77950516969
]
[
us - cert
广场的过程
2013年
https://www.us-cert.gov/bsi/articles/best-practices/requirements-engineering/square-process
]
[
Viega
J。
建筑安全需求与扣
2005年
SESS@ICSE
]
[
•梅利亚
D。
Fernandez-Medina
E。
Piattini
M。
应用安全需求工程过程
《欧洲研究在计算机安全研讨会上(ESORICS 06年)
2006年9月
英国吉尔福德
]
[
科拉
科拉的方法
2015年
http://coras.sourceforge.net/
]
[
费边
B。
Gurses
年代。
赶到
M。
Santen
T。
施密特
H。
比较安全的需求工程方法
需求工程
2010年
15
1
7
40
10.1007 / s00766 - 009 - 0092 - x
2 - s2.0 - 77950536938
]
[
杜波依斯
E。
海曼
P。
迈耶
N。
Matulevičius
R。
Nurcan
年代。
Salinesi
C。
Souveyet
C。
Ralyte
J。
一个系统化的方法来定义领域的信息系统安全风险管理
有意的角度对信息系统工程
2010年
柏林,德国海德堡
施普林格
]
[
Salini
P。
Kanmani
年代。
调查和分析安全需求工程
计算机与电气工程
2012年
38
6
1785年
1797年
10.1016 / j.compeleceng.2012.08.008
2 - s2.0 - 84870058826
]
[
Albrechtsen
E。
安全与安全
2003年
1日
挪威特隆赫姆
挪威科技大学
http://www.iot.ntnu.no/users/albrecht/rapporter/notat%20safety%20v%20security.pdf
]
[
Kriaa
年代。
Pietre-Cambacedes
l
Bouissou
M。
Halgand
Y。
一项调查相结合的方法对工业控制系统安全
可靠性工程和系统安全
2015年
139年
156年
178年
10.1016 / j.ress.2015.02.008
2 - s2.0 - 84961342778
]
[
对象管理组织
关于统一架构框架规范1.0版
2017年
http://www.omg.org/spec/UAF/1.0/Beta2/
]
[
Morkevicius
一个。
Bisikirskiene
l
爱丽莎
G。
使用系统的系统建模方法来开发工业物联网应用程序
12日系统系统工程研讨会论文集(SoSE)
2017年
Waikoloa,嗨,美国
1
6
]
[
沃恩
P。
整合与SysML和UML UPDM国防部采办计划,OMG
UAF& MBSE信息一天
2015年
http://www.omg.org/news/meetings/tc/va-15/special-events/uaf-pdf/5_PV_Integrating_UPDM_SysML_UML_DoD_Program.pdf
]
[
爱丽莎
g . J。
房屋
M。
美国建筑框架物联网和电力系统
2016年
http://www.omg.org/news/meetings/tc/ca-16/special-events/iot-presentations/Hause-Bleakley.pdf
]
[
SANS研究所
使用美国国防部体系结构框架来开发安全需求
2014年
https://www.sans.org/reading room/whitepapers/bestprac/department -防御体系结构框架-发展-安全- - 34500的要求
]
[
NIST
NIST,国防部,美国情报机构联合起来,安全的网络基础设施
2009年
https://www.nist.gov/news-events/news/2009/06/nist-dod-intelligence-agencies-join-forces-secure-us-cyber-infrastructure
]
[
Raspotnig
C。
Katta
V。
Karpati
P。
Opdahl
a . L。
加强底盘:安全相结合的一种方法
学报》第八届国际会议上可用性可靠性和安全性(战神)
2013年
766年
773年
]
[
Raspotnig
C
Karpati
P
Katta
V。
合并过程启发和安全分析和安全要求
企业业务流程和信息系统建模
2012年
柏林,德国海德堡
施普林格
]
[
Roudier
Y。
Apvrille
l
SysML-Sec:设计安全系统的模型驱动方法
学报》第三届国际会议上模型驱动工程和软件开发(MODELSWARD)
2015年
法国昂热
655年
664年
]
[
Roudier
Y。
Apvrille
l
SysML-sec:模型驱动的开发环境安全的嵌入式系统
学报》第八届会议的安全网络体系结构和信息系统(SARSSI ' 2013)
2013年9月
蒙德Marsan法国
16
18
]
[
桔多琪̈rjens
J。
UMLsec:扩展UML对安全系统开发
统一建模语言
2002年
1
9
]
[
Mouratidis
H。
Jurjens
J。
从工程安全设计目标驱动的安全需求
国际期刊的智能系统
2010年
25
8
813年
840年
10.1002 / int.20432
2 - s2.0 - 77954504239
]
[
的大车
t·W。
哈格尔施泰因
J。
麦克唐纳
i G。
信息系统方法
理解的框架
1991年
2日
波士顿,美国
addison - wesley
]
[
ISO / IEC 27001
信息技术安全techniques-information安全管理系统的需求
技术报告
国际标准组织,瑞士日内瓦,2013年
]
[
OMG系统建模语言版本1.5
2018年
https://www.omg.org/spec/SysML/1.5/PDF
]