集成安全性要求工程到MBSE：个人资料及指引

抽象

基于模型的系统工程（MBSE）提供了一些关于如何创建，验证和验证复杂的系统设计方法;不幸的是，固有的安全方面是由是主要的推动者MBSE的SysML的语言，也不由民众MBSE方法既解决。虽然有MBSE和安全性要求工程之间有许多共同点，MBSE的关键优势（如管理的复杂性，降低风险和成本，并跨越多学科团队改善通信）还没有被攻击不够。本文回顾了安全要求，工程流程和建模方法和标准，并提供MBSE安全配置，以及，这是正式与UML 2.5剖析能力。新的基于UML的安全配置文件符合ISO / IEC 27001信息安全标准。除了MBSE安全配置，本文还介绍了安全配置的应用程序的使用情况和对安全和系统的工程流程当前状态的可行性研究。

1.简介

行业，如汽车，医疗器械，航空航天和国防中的现代系统变得非常复杂;因此，传统的工程方法不足以为他们的成功实现。该系统变得越来越复杂，由于多种因素，仅举几例：(我)的技术增加光谱：复杂系统已经成为网络物理系统（CPS）和现在取决于的计算算法和各种物理组件[无缝集成1]（ⅱ）客户对更复杂系统和市场或军事竞争的需求增加[2]（ⅲ）系统包括大量的网络结构交互的组件的组成，并且通常这些组分是在物理上和功能上异质[3]

系统工程（SE）学科发起并制定管理和联合多学科的工程团队的工作成果。SE的目标是成功实现为重点，收集客户的需求，并在开发周期的早期定义所需的功能，以及记录需求，然后设计合成和系统验证[在进行系统4]。如今，不能用系统应对复杂的组织已经从一个基于文档的方法来在SE活动基于模型的方法切换（或者交换）。系统工程国际委员会（INCOSE）强调MBSE重要性，他们设想，MBSE将成为SE的代名词到2025年[五]。在SE中使用模型而不是文档的优点包括以下[6-8]：(我)提高系统工程效率(一)重新使用现有项目或共同的组件，以支持设计和技术演进(b)支持需求变更的影响分析(c)提高跨学科团队的沟通(d)启用文档的自动生成（ⅱ）通过早期和迭代的需求验证和设计验证来降低风险（ⅲ）管理复杂性

有许多方法，这些方法就如何创建一个系统设计模型时，你得到的所有好处MBSE指导用户。这些MBSE方法和框架的详细审查是在以前的文章[可用9，10]。可悲的是没有的，与系统设计的早期阶段的安全分析的分析方法的交易。

许多研究人员在他们的研究中[11-14]同意，有必要系统工程生命周期过程中识别和处理安全隐患。Nguyen等。状态安全目标（如保密性，完整性和可用性）应当与业务逻辑很早就认为，这是工程安全的系统是至关重要的。在这里，MBSE可能是因为机会操作上更高的抽象级别车型的重要帮手;可能性与安全相关的概念裁缝通用建模语言（例如，UML和SysML的）;并与外部分析工具中进行推理[12]。如今，MBSE活动大多集中在设计阶段，这通常是由系统工程师来完成。当开发复杂的系统中，安全分析平行于设计阶段进行。Papke认为，安全工程师和系统工程师应共同努力，需要以定义一个通用模型的安全性方面的联合设计过程中或框架13]。

在本文中，我们介绍了MBSE安全概要，它将使一个多学科团队能够在一个MBSE项目中执行与系统工程过程并行的安全分析。我们还介绍了一个小的案例研究，展示了使用基于模型的方法进行安全分析的潜在价值。

2.可行性研究

在开始分析和安全配置文件的开发任务之前，我们进行了可行性研究，以支持或否认我们最初的论点，即MBSE将是有益的和安全分析过程中所需。我们派了一个调查问卷，10家工程公司从以下行业：运输，航空航天和国防，海上，卫生保健和软件。，首席系统工程师和安全工程师：本次调查的问题是由系统工程师（总共8个）回答。

前两个问题都致力于寻找出许多组织成员如何参与的系统工程，有多少是在安全工程活动。结果示于图提供1。

如图1，所涉及的工程活动系统组织成员的人数要比安全工程高得多。由于我们建议包括安全活动纳入MBSE模型，培训安全工程师的努力MBSE将显著低于反之亦然。

第三个问题是献给查不到系统的工程活动的分布。大部分受访者执行系统需求定义和功能设计的活动;此外，逻辑和物理设计的活动也被广泛使用。所有这些活动，除了物理设计创作，通常在系统开发的早期阶段进行。所有的结果见图提供2。

第四个问题是“在您的系统工程模型/文档中是否有安全需求或其他安全人工制品表示(或链接)?”“总共有6名受访者表示有关联，2名表示有部分关联，还有2名受访者表示这些文物没有关联。”此外，受访者还被要求就这个问题做进一步的阐述;以下是他们的观点:(我)没有安全生产的文物。安全性是接近的系统上附加要求。（ⅱ）我们目前只在我们公司内部协作。（ⅲ）一些系统属性，这些属性是相关的安全性进行建模。一些模型元素也特别用于安全分析目的（网络，例如）创建。（ⅳ）主要是因为相关的安全要求。（五）资产/系统对象和物理和逻辑连接的文档。

这些答案得出的结论是，一半以上的受访者使用系统工程元素跟踪安全需求，但跟踪方式不一致。

第五个问题是：“您的组织是否符合系统设计任何安全标准？”的受访者的43％表示他们的过程符合ISO / IEC 27001标准;在图中提供所有的答案3。

接下来，我们想找出什么技术组织实行了安全分析。（8）项大部分受访者依靠的安全要求。该攻击/威胁场景和安全处理/控制定义3名受访者实行。所有的结果见图提供4。

接下来的问题帮助我们找出安全分析融入MBSE是否能带来什么好处。大多数与会者同意或强烈同意，所有列出的优势将是重要的。所有的结果见图提供五。

最后一个问题是献给检查哪些技术将是用于验证/验证的安全模型有用（图6）。

十分之七的受访者回答说，最有用的技术是模型验证(例如，检查当前的风险水平是否可以接受)和变更影响分析(例如，检查如果安全需求发生变化，哪些资产会受到影响)。五名受访者表示，覆盖率分析(例如，检查有多少风险与安全控制无关)和模型模拟(例如，检查攻击场景是否正确执行)也会很有用。

总之，可行性调查显示，两个系统工程师和安全工程师承认的重要性和集成系统和安全模型的值;然而，这还没有在实践中落实。

3.相关工作的分析

相关工作的分析，包括我们目前的安全需求工程流程定义的安全性要求工程部分。下一章，建模方法进行安全分析，展现了传统的安全需求工程过程是如何纳入到不同的系统建模方法。

3.1条。安全需求工程

安全需求工程领域结合了在系统开发周期的早期阶段处理安全系统创建任务的方法、技术和规范[15]。文献中已经提出了许多执行安全需求工程的方法。其中一些方法为与安全相关的活动(例如，SQUARE [16]和钩状[17])，而其中一些则执行安全标准（例如，SREP基于ISO/IEC 17799:2005[18]和CORAS是基于ISO 31000 [19])。安全需求工程方法的详细比较由Fabian等人提供。[20.]，并为IS风险管理领域的综合本体由Dubois等定义。[21]。

安全需求工程流程包括传统的需求工程活动，如需求获取，规范和分析。安全需求工程的最终目的是为了防止在现实世界中的伤害，考虑安全需求，在功能需求约束[22]。这里，最常出现的词是安全性要求值得一看的是，不同的作者是如何对待这个词的:(我)Dubois等人将安全需求描述为系统涉众希望通过设计系统来实现的环境现象的条件，以减轻风险[21]。（ⅱ）费边口音的安全性要求是一个或多个安全目标的具体细化，而安全目标指的是美国中央情报局的特定部分（保密，正直，和可用性）模型[20.]。（ⅲ）Salini和Kanmani一致认为，安全需求可以被视为对系统功能的约束，而这些约束实现了一个或多个安全目标[22]。

安全需求可以被认为是一个更详细的安全目标或目的的陈述。在我们的研究中，我们将进一步研究如何在各种建模方法中解释和细化这个术语。

关于安全性和安全要求工程方面的一点值得注意。尽管保安及安全守则有很多相同点(例如，两者都是透过创造安全的环境来保护资产[23]），存在芯差异太大[24]：(我)风险的根源：安全关注威胁(例如，攻击者攻击飞机上的娱乐系统，并覆盖安全软件)，而安全考虑危害（例如，飞机的起落架不能延伸）。（ⅱ）后果的性质：未经管理的安全风险可能对系统本身或其环境造成损害。安全风险的后果只与系统环境有关。

在这项研究中，我们不分析安全技术，除了那些结合了安全和安保领域的技术（如底盘）。

3.2。建模方法的安全性分析

本节提供了用于鉴定安全风险以下建模框架和方法的一个分析：(我)统一架构框架(UAF）（ⅱ）安全和安保信息系统的联合伤评估（CHASSIS）（ⅲ）SysML的二段（ⅳ）UML交会

在这里，我们挑选出的图形化建模方法，可以在系统设计的早期阶段使用，并集成到MBSE过程。We excluded formal security methods based on mathematical techniques or semiformal approaches that are based on a different graphical form than UML/SysML (e.g., Petri nets and Bayesian belief network) because the different notation may include additional complexity to the MBSE model and formal methods are usually implemented in a later phase. Also, techniques used in other methods (e.g., misuse cases in CHASSIS) are not separately detailed in this paper.

UAF是一个由Object Management Group (OMG)创建的企业架构框架(EAF) [25]。该UAF框架统一了现有的军事架构框架（如MoDAF、DoDAF和NAF），与后者不同，它也适用于工业和商业应用[26，27]。除了非军事化和军事框架的统一，UAF有一个附加的安全域[28]。安全域使用户能够识别资源和业务表演[之间通信期间存在的安全约束和捕获信息保证属性25]. 这些信息保证属性与NIST/DOD标准一致，NIST/DOD标准是整个美国联邦政府统一信息安全框架的基础[29，30.]。

在使用的密钥安全概念UAF是安全约束，安全性能，安全资产，安全控制，风险和财产安全的影响[25]。

底盘对于助记符缩写安全的综合评估危害和安全信息系统。底盘方法允许识别安全和安全性方面，并且基于UML表示法[31]。该方法包括三个主要过程(引出功能需求;引起安全/安全需求;和指定安全/安全需求)以及用于引出和指定安全需求的不同安全管理技术。安全需求的定义依赖于创建和分析基于uml的图(误用案例图、误用序列图)，并使用传统的安全技术(例如HAZOP表和文本安全需求[31]。

误用的情况下的技术扩展了滥用情况下和misuser的附加元件的UML用例图。这些概念允许攻击者定义和他们的威胁感兴趣的系统。此外，两个互补关系威胁并减轻允许安全工程师指定使用的情况下减轻滥用情况或误用的情况下威胁使用情况。误用顺序图可用于表示攻击者和系统，其被布置在时间序列之间可能的相互作用。最后，HAZOP表用于汇总的安全性和安全性要求的相关信息[31，32]。

机箱使用的密钥安全概念攻击，攻击者，威胁，安全性要求，风险和弱点。

SysML的二段是一个模型驱动的工程环境，呈现延长的SysML图安全风险，以及该方法用于创建安全的实时嵌入式系统[33]。

该SysML的二段方法包括三个主要阶段[33]：（1）系统分析(基于Y-chart的嵌入式系统分析)（2）系统设计(基于v模型的软件开发)（三）系统验证（基于模型转换成正式规格）

分析阶段占地面积安全需求和攻击方案的定义，并作为主要功能和候选的硬件架构，以及识别。在系统设计阶段，安全需求被细化与安全性能和安全性相关的功能而定义的。在验证阶段，用户可以正式评估安全性是否被验证。如果模型过大而被验证，模型到代码的转换被用来执行安全测试[33，34]。

在SysML Sec中使用的关键安全概念是资产，安全性要求，安全性能，安全相关的功能和威胁。

UML Sec方法通过UML的轻量级扩展，为分析中的系统定义安全需求。由于UML Sec是一种轻量级扩展，所以它不提供任何新的图，而是提供一组原型(带有标记定义)和约束。与安全性相关的原型允许用户使用标准的UML图(例如，用例、活动和序列图)来指定安全性需求和攻击/失败场景。用OCL(对象约束语言)编写的自定义约束有助于用形式化语义验证模型[14，35]。UML的SEC方法可以与目标驱动的安全需求工程的方法，以便对安全软件系统开发结构化框架集成[36]。

在UML秒使用的密钥安全概念安全性要求，安全性能，攻击者和攻击。

四。概念对齐

本节专门对准所有安全分析的分析建模方法。我们与定义，同义词目前的安全概念，以及它们在分析建模方法发生表1（Y表示建模方法中使用了相应的概念，N表示不相关）。

5.安全域模型

一旦我们完成了文献分析和概念对齐活动，我们就可以将分析的数据转换到安全域模型中。域模型是用UML类图中的MagicDraw建模工具指定的，它描述了安全概念及其关系(见图)7）。

在安全域模型中区分出三组:(我)安全保证的概念（白色）描述了允许保证系统的安全性或减轻可能出现的风险概念（ⅱ）要保护的项(绿色)表示应该标识和保护的数据和系统资产（ⅲ）风险相关的概念（红色）特征分析敌对概念和可能的系统弱点

安全域模型允许对各种风险术语进行分类，并在它们之间建立逻辑关系。然而，安全域模型不足以进行基于模型的安全分析；因此，下一章将介绍能够进行这种分析的安全配置文件。

6。安全配置文件结构和内容

我们使用UML 2.5的内置分析功能，它使我们能够将域模型中指定的安全概念转换为安全建模语言。这是一种经典的建模语言设计方法，首先确定领域的关键概念，然后创建一种新的语言来支持它[37]。

由国际标准化组织（ISO）和国际电工委员会（IEC）的ISO / IEC 27001信息安全标准被选作安全配置文件的基础。本标准由信息安全管理，风险和控制[提供最佳实践建议，旨在帮助工程安全系统38]。ISO / IEC 271001让我们打破了这种安全配置成逻辑部分，以及对使用工业识别方面。

剖面结构如图所示8. 配置文件方案包含组（用虚线分隔），其中每个组遵循ISO/IEC 27001建立信息安全管理系统（ISMS）所需的步骤。

第一步表明，接受风险的标准应识别和评估的风险之前定义。为了支持这一步，我们创建了“风险评估配置”的刻板印象与“标准接受风险”，将允许用户指定哪些风险水平将在他们的组织可以接受的标签定义。

ISO/IEC 27001标准的“4.2.1 d”章节讨论了以下要素的识别:（1）该资产的ISMS和范围之内的拥有者这些资产（2）该威胁这些资产（三）该漏洞可能受威胁利用（四）该影响即保密性，完整性和可用性的损失可能会对资产

分别，我们已经创建了以下成见：风险;资产(数据资产/系统资产/软件资产);漏洞;威胁;风险的影响。此外，对于所有可能的关系都创造了额外的刻板印象（描述，原因，滥用，采用和适用于）。

第三步表明对业务的影响和可接受的风险水平尺度应在这一阶段确定。“风险影响”的刻板印象将让用户的文档风险影响和“风险等级”枚举将提供规模从1到10。

第四步是指用于识别和评估风险的治疗方案。该安全控制在领域分析中确定概念;但是，ISO/IEC 27001将此术语与风险处理应该有两种选择：风险控制和机会风险转移给外方。因此，将创建以下定型和添加到该组：风险处理，外部方，传输到外部党，和应用控制。

第五部分是专用于选择控制目标和控制对风险的治疗。“控制目标”和“安全控制”陈规将有助于在获取这些信息。

下一章将呈现怎样的安全配置文件可以在真实世界的SysML模型应用。

7.安全概要应用程序用例

为了证明进行安全分析的安全配置的使用，我们选择了混合动力运动型多功能车（HSUV）模型从OMG SysML的规范[39]。原来，这个模型是为了说明SysML的语言如何能支持该规范，分析和设计一个系统的。我们通过加入涵盖动力控制单元的系统风险评估，配置和安全性文物的“HSUV安全分析”层炼这种模式。

起始HSUV安全分析之前，安全工程师/经理必须制定接受风险和识别风险的可接受水平的标准。有风险评估，认为应确保可比性和可重复的结果许多不同的方法。该标准和方法应在被捕获风险评估配置元素在一个MBSE工具。

对于安全分析，多学科（系统和安全工程）团队应分析HSUV的所有部分，以确定这些部分是否可能受到侵犯/攻击，风险和风险影响是什么，以及哪些安全预防控制是可能的。定量分析由MBSE工具启用，并允许计算此类数据：(我)有多少系统部件不被视为资产？（ⅱ）有多少风险，不具备风险处置？（ⅲ）有多少风险比在风险评估的配置定义可接受的风险水平更高的水平？

对于这个应用程序用例，我们选择了负责处理车辆加速和制动踏板的功率控制单元。功率控制单元安全分析的提取如图所示9。电源控制器资产（系统和软件）的创建和PowerControlUnit的SysML的块相连。然后，风险“的攻击者能够接管通过OBD-II接口的ECU，重新编程，并执行电源子系统（加速，以发电机制动器）的功能”被确定并追踪到这些资产。这种风险的级别设置为10。

在我们的案例研究中，风险具有“失去对HSUV加速和/或刹车的控制”的风险影响，这可能是致命的。可能的威胁是“汽车诊断协议的故障注入”，它可能利用了“控制区域网络(CAN)协议”的脆弱性。“另一方面，风险有风险治疗的选项和可能的控制选项:身份验证信息和检测说明。如果安全控制是已知的，用户应该添加文档这样的控制。如果安全控制是不知道，那么的SysML活动图可以此元素下创建和假想的算法应该由安全工程师进行建模。在确定安全控制的目标是防止ECU任何未经授权的访问。

在记录和链接所有与安全相关的元素之后，我们可以创建基于对象约束语言(OCL)的表达式来运行定量模型验证，例如，找到所有没有与任何资产元素链接的系统块(图2)10）。

此OCL表达可以用作指标表的基座（参见图11)，或者它可以是一个收集相应元素的查询，或者它可以用来实时验证MBSE模型。

此外，当集成了MBSE和安全模型后，我们可以执行更改影响分析，例如，如果初始系统需求发生了更改，则检查需要审查哪些系统和安全元素。在图12，我们证明了变化的影响从“权力”的要求对系统和软件资产地图，显示可追溯性。

8.结论与未来工作

有MBSE和安全性要求工程部门之间有很多共同点;然而，这些学科仍然没有被连接在标准方法中，方法，或框架的条款。这导致了一个事实，即强大的MBSE的优势（如自动文档生成，管理的复杂性，降低风险和成本，并跨越多学科团队改善通信）仍然被安全工程师和系统工程师的工作流程开发不足。文献分析和可行性调查表明，系统工程师和安全工程师承认集成系统和安全流程的价值，但是这并没有在实践中得到落实呢。

本文有助于与安全分析链接MBSE学科方法在两个方面：（1）它的概念映射从安全性要求工程领域和基于SysML的-UML /建模方法进行安全分析。映射和安全域模型可以帮助用户了解和比较安全的条款。（2）介绍了基于ISO/IEC 27001信息安全标准的UML安全配置文件，该文件允许描述和分析安全方面以及系统模型。使用基于模型的技术可确保在系统设计的早期阶段将安全性和系统构件对齐，并将MBSE的好处扩展到安全工程师专业。

通过扩展OMG SysML规范中的混合动力运动型多用途车(HSUV)样本，并结合功率控制单元安全性分析，提出了安全概要可行性。

我们计划继续我们的工作，并为MBSE安全配置文件，并检查扩展准则，安全技术，按照系统工程和安全从业者是最有效的。

数据可用性

用于支持该研究的数据可直接从合理要求通讯作者。

利益冲突

作者宣称，他们有这方面的论文发表没有利益冲突。

参考文献

1. NSF-美国国家科学基金会，“网络物理系统（CPS），” 2017年，https://www.nsf.gov/pubs/2017/nsf17529/nsf17529.pdf。查看在：谷歌学术搜索
2. INCOSE，“复杂系统的挑战，”http://www.incose-coa.org/the-challenge-of-complex-sys。查看在：谷歌学术搜索
3. 古肯海默和奥蒂诺，物理科学与工程中复杂系统研究的基础，国家科学基金会研讨会，2008年。
4. 因科斯，系统工程手册：指南系统生命周期处理和活动，John Wiley和Sons，霍博肯，NJ，USA，第4版，2015年。
5. INCOSE，“SE 2025年远景规划”，到2014年，https://www.incose.org/AboutSE/sevision。查看在：谷歌学术搜索
6. R. S. Kalawsky，J.奥布莱恩，S. Chong等人，“通过包含硬件在环桥接在基于模型的系统工程流程的空白，”IEEE系统杂志卷。7，没有。4，第593-605，2013。查看在：出版商的网站|谷歌学术搜索
7. J.霍尔特，S.佩里，M. Brownsword，D. Cancila，S. Hallerstede，和F.汉森，“基于模型的需求工程为系统中的系统，”在在系统工程的系统2012年第7届国际学术会议论文集（SOSE）2012年7月，意大利热那亚，561-566页。查看在：谷歌学术搜索
8. INCOSE英国，什么是基于模型的系统工程（V2），2015年，http://www.incoseonline.org.uk/Program_Files/Publications/zGuides_9.aspx?CatID=Publications。
9. D. Mazeika, A. Morkevicius，和A. Aleksandraviciene，“用于定义问题域的MBSE驱动方法”，in第十一届系统工程会议会议记录(SoSE)，第1-6页，康斯博格，挪威，2016。查看在：谷歌学术搜索
10. A、 Morkevicius，L.Bisikirskiene和N.Jankevicius，“我们选择MBSE:下一步是什么？“在2015年第六届复杂系统设计与管理国际会议记录页。313，2015年。查看在：谷歌学术搜索
11. 研究面临的首要挑战为MBSE在工业4.0和物联网，研讨会报告，2015年10月。
12. 阮P. H.， S.阿里和T.岳，“基于模型的网络物理系统安全工程:系统映射研究”，信息和软件技术，第83卷，第116-135页，2017年。查看在：出版商的网站|谷歌学术搜索
13. B. L. Papke，“在物联网中使用MBSE实现敏捷安全设计”2017第12届系统工程大会会议记录(SoSE)，第1-6页，Waikoloa，HI，美国，2017年。查看在：出版商的网站|谷歌学术搜索
14. J. Jurjens和P. Shabalin，“工具与UML安全系统的开发，”技术转移的软件工具的国际期刊卷。9，没有。5-6，第527，2007年。查看在：出版商的网站|谷歌学术搜索
15. D. Mellado，C.布兰科，L. E.桑切斯和E.费尔南德斯 - 麦地那，“安全需求工程的系统评价，”计算机标准和接口卷。32，没有。4，第153-165，2010。查看在：出版商的网站|谷歌学术搜索
16. US-CERT“SQUARE过程，” 2013年，https://www.us-cert.gov/bsi/articles/best-practices/requirements-engineering/square-process。查看在：谷歌学术搜索
17. J. Viega，“与CLASP大厦的安全要求，” 2005年，SESS @ ICSE。查看在：谷歌学术搜索
18. 费尔南德斯-梅迪纳和皮亚蒂尼，“应用安全需求工程过程”，中欧洲计算机安全研究研讨会论文集(ESORICS ' 06)，吉尔福德，英国，2006年9月。查看在：谷歌学术搜索
19. 科拉斯，《科拉斯方法》，2015年，http://coras.sourceforge.net/。查看在：谷歌学术搜索
20. B.费边，S.Gürses酒店，M.海泽尔，T.参天和H.施密特“的安全性需求工程方法的比较，”需求工程卷。15，没有。1，第7-40，2010。查看在：出版商的网站|谷歌学术搜索
21. E。Dubois, p·海曼、n . Mayer和r . Matulevičius”一个系统化的方法来定义领域的信息系统安全风险管理”信息系统工程的意向性观点，S. Nurcan，C. Salinesi，C. Souveyet和J.Ralyté，编辑，Springer，柏林，海德堡，德国，2010。查看在：谷歌学术搜索
22. P. Salini和S. Kanmani，“安全需求工程的调查与分析”，计算机与电气工程卷。38，没有。6，第1785至1797年，2012。查看在：出版商的网站|谷歌学术搜索
23. e . Albrechtsen安全VS安全，科技，挪威特隆赫姆，第1版，2003年挪威大学，http://www.iot.ntnu.no/users/albrecht/rapporter/notat%20safety%20v%20security.pdf。
24. S. Kriaa，L. PIETRE-Cambacedes，M. Bouissou和Y. Halgand“的方法相结合用于工业控制系统的安全性和安全性的调查结果显示，”可靠性工程与系统安全卷。139，第156-178，2015。查看在：出版商的网站|谷歌学术搜索
25. 对象管理组，关于统一架构框架规范1.0版，2017年，http://www.omg.org/spec/UAF/1.0/Beta2/。
26. A. Morkevicius，L. Bisikirskiene和G布利克利，“使用的开发物联网应用产业网络的建模方法系统中的系统”，在会议系统工程12日系统的程序（SOSE），第1-6页，Waikoloa，HI，美国，2017年。查看在：谷歌学术搜索
27. P.沃恩，“在国防部采购计划与SysML的和UML集成UPDM，OMGUAF＆MBSE信息日，” 2015年，http://www.omg.org/news/meetings/tc/va-15/special-events/uaf-pdf/5_PV_Integrating_UPDM_SysML_UML_DoD_Program.pdf。查看在：谷歌学术搜索
28. G、 J.Bleakley和M.Hause，“物联网和电力系统联合架构框架”，2016年，http://www.omg.org/news/meetings/tc/ca-16/special-events/iot-presentations/Hause-Bleakley.pdf。查看在：谷歌学术搜索
29. SANS研究所，“使用国防部架构框架开发安全需求”，2014年，https://www.sans.org/reading-room/whitepapers/bestprac/department-defense-architecture-framework-develop-security-requirements-34500。查看在：谷歌学术搜索
30. NIST， " NIST，国防部，情报机构联合起来保护美国网络基础设施，" 2009，https://www.nist.gov/news-events/news/2009/06/nist-dod-intelligence-agencies-join-forces-secure-us-cyber-infrastructure。查看在：谷歌学术搜索
31. C、 Raspotnig，V.Katta，P.Karpati和A.L.Opdahl，“增强底盘：安全与安保相结合的方法”，in第八届可用性、可靠性和安全性国际会议记录(ARES)，第766-773，2013。查看在：谷歌学术搜索
32. C Raspotnig, P Karpati，和V. Katta，“用于引出和分析安全和安全需求的联合过程，”企业，业务流程和信息系统建模，斯普林格，柏林，海德堡，德国，2012年。查看在：谷歌学术搜索
33. Y. Roudier和L. Apvrille，“SysML的-SEC：设计安全可靠的系统的模型驱动的方法，”在第三届国际会议的模型驱动工程和软件开发（MODELSWARD）论文集2015年，法国昂格尔，第655-664页。查看在：谷歌学术搜索
34. Y. Roudier和L. Apvrille“的SysML秒：用于开发安全的嵌入式系统模型驱动的环境中，”在在网络架构和信息系统的安全性第八届会议论文集（SARSSI'2013），第16-18页，蒙德马桑，法国，2013年9月。查看在：谷歌学术搜索
35. j . Jürjens“UMLsec:扩展UML安全系统的发展,“统一建模语言，2002年。查看在：谷歌学术搜索
36. H. Mouratidis和J. Jurjens，“从目标驱动的安全需求工程到安全设计，”国际智能系统杂志，第25卷，no。2010年第813-840页。查看在：出版商的网站|谷歌学术搜索
37. T. W.欧莱，J.哈格尔施泰因，I. G.麦克唐纳等人，“信息系统的方法，”理解的框架，Addison-Wesley出版社，波士顿，MA，USA，第2版，1991年。查看在：谷歌学术搜索
38. ISO/IEC 27001，“信息技术-安全技术-信息安全管理系统-要求”，技术代表，技术报告，国际标准组织，日内瓦，瑞士，2013。查看在：谷歌学术搜索
39. OMG系统建模语言版本1.5,2018,https://www.omg.org/spec/SysML/1.5/PDF。

版权

版权©2020 d . Mažeika和r . Butleris。这是一篇开放获取的文章知识共享署名许可，其允许在任何介质无限制地使用，分发和再现时，所提供的原始工作正确的引用。