如何表达有关网络安全的要求?

问题描述 投票:-1回答:2

我一直试图围绕网络安全编写软件要求。

我正在设计一个系统,其中两个设备通过蓝牙进行通信,(例如)我将(1)启用BLE功能以帮助防范中间人攻击,以及(2)添加更多代码使它更不可能。

在我被困的地方,正在编写此功能的要求。

我不能说“该应用程序应该防止中间人攻击”,因为这是不可测试的。

我不能说“应用程序应该真的很难防止中间人攻击”因为它听起来很愚蠢而且不可测试。

我在编写我正在实施的代码的要求时遇到了类似的问题,以防止拒绝服务攻击和一般窃听。

请注意,我不是在蓝牙中询问如何执行此操作 - 我正在寻找帮助编写此应用程序的需求文档,以便最终的要求是"Unambiguous, Testable (verifiable), Clear (concise, terse, simple, precise), Correct, Understandable, Feasible (realistic, possible), Independent, and Atomic."

security requirements man-in-the-middle system-requirements
2个回答
0
投票

安全要求通常通过引用检查表和最佳实践(如OWASP)并通过审核(来自第三方)进行测试来指定。

The Robertson & Robertson book dedicates a whole chapter to security requirements,这是一个有趣的读物。


0
投票

如果您遵循owasp模型,那么您将获得有关网络安全要求的信息。第二件事是,如果您使用https模型而不是http,那么您将免受中间人攻击,如果您的要求是安全的那么您应该是使用黑盒测试或防火墙。

© www.soinside.com 2019 - 2024. All rights reserved.