18、安全保障案例模式与安全交互分析方法

安全保障案例模式与安全交互分析方法

在当今复杂的系统环境中，安全保障和安全与安保的交互分析至关重要。本文将介绍一种基于消除论证（EA）的安全保障案例（AC）模式，以及一种利用恐惧事件树和多层次模型分析安全与安保交互起源的方法。

1. 安全保障案例概述

安全保障案例（AC）是一种结构化的论证，旨在表明系统满足高层目标。表达和组织AC论证的方法众多，其中目标结构化表示法（GSN）最为常用，此外还有声明 - 论证 - 证据（CAE）表示法、图尔敏表示法、友好论证表示法（FAN）和消除论证（EA）等，部分AC也采用叙述或论文风格表达。

所有这些方法都将论证建立在通过各种工程活动产生的证据之上，如需求规格说明、设计报告、测试结果等。论证和证据是安全案例的关键要素，论证传达证据与目标之间的关系，缺乏论证的证据无法清晰说明如何满足安全目标，缺乏证据的论证则缺乏依据。

AC常被视为系统开发后期的“收尾”活动，但实际上在系统开发过程中进行AC开发有助于主动识别系统问题并为设计决策提供信息，采用“尽早开发，经常修订”的方法可在整个开发生命周期中明确记录保障理由。

2. 消除论证（EA）

本文采用EA来表达安全AC模式。EA在表示上与GSN类似，论证以有向无环图（DAG）呈现，类似树结构。在EA中，声明（而非GSN中的目标）以矩形节点表示，可通过策略（平行四边形节点）进一步分解为更细化的子声明，或直接由证据支持。还可通过上下文和假设节点添加额外的上下文信息和假设，并允许表达推理规则。

EA的一个重要元素是包含反驳因素（defeaters），开发者可用其表达对系统的疑虑。基于可废止推理的概念，随着疑虑来源被识别和缓解，对