Chulalongkorn University Theses and Dissertations (Chula ETD)

การกำหนดความต้องการความมั่นคงโดยใช้ไวยากรณ์ของแบบรูปความมั่นคง

Other Title (Parallel Title in Other Language of ETD)

Defining security requirements using grammar of security patterns

Year (A.D.)

2007

Document Type

Thesis

First Advisor

นครทิพย์ พร้อมพูล

Second Advisor

ธงชัย โรจน์กังสดาล

Faculty/College

Faculty of Engineering (คณะวิศวกรรมศาสตร์)

Degree Name

วิทยาศาสตรมหาบัณฑิต

Degree Level

ปริญญาโท

Degree Discipline

วิศวกรรมซอฟต์แวร์

DOI

10.58837/CHULA.THE.2007.1201

Abstract

วิทยานิพนธ์นี้มีวัตถุประสงค์เพื่อสร้างไวยากรณ์ความมั่นคงจากแบบรูปความมั่นคง และเครื่องมือที่นำไวยากรณ์ที่ได้มาประยุกต์ใช้ เพื่อใช้กำหนดความต้องการความมั่นคง โดยเริ่มจากการวิเคราะห์ส่วนประกอบในแบบรูปเพื่อหาองค์ประกอบสำคัญจาก 20 แบบรูป ภายใต้แบบรูปความมั่นคง 4 กลุ่ม ได้แก่ การจัดการความมั่นคงองค์กรและการจัดการความเสี่ยง การระบุตัวตนและการพิสูจน์ตัวจริง แบบจำลองควบคุมการเข้าถึง และสถาปัตยกรรมไฟล์วอลล์ แล้วสร้างเป็นแผนภาพต้นไม้ความมั่นคงเพื่อแสดงความสัมพันธ์ระหว่างองค์ประกอบของแบบรูปความมั่นคงเพื่อแปลงไปเป็นไวยากรณ์ความมั่นคงในรูปอีบีเอ็นเอฟ ทั้งนี้ไวยากรณ์ที่สร้างขึ้นได้ตรวจสอบความสมเหตุสมผลของไวยากรณ์และความสัมพันธ์ของไวยากรณ์กับผู้เชี่ยวชาญและมีประสบการณ์ด้านความมั่นคง เพื่อปรับปรุงไวยากรณ์ให้มีความถูกต้องและสมบูรณ์มากขึ้น ผู้วิจัยได้สร้างเครื่องมือบนพื้นฐานไวยากรณ์ความมั่นคงที่สร้างขึ้น เพื่อนำเงื่อนไขบังคับของไวยากรณ์มาประยุกต์ใช้ และให้ผู้ใช้สามารถป้อนข้อมูลนำเข้าที่จำเป็นต่อการสร้างความต้องการความมั่นคง ผลลัพธ์ที่ได้จากเครื่องมือคือ ความต้องการที่มีองค์ประกอบด้านความมั่นคงในรูปประโยคภาษาอังกฤษ จากนั้นผู้วิจัยได้ทดสอบไวยากรณ์ความมั่นคงโดยให้หน่วยทดลอง 12 คนที่มีประสบการณ์ด้านความมั่นคง ทดลองใช้เครื่องมือเพื่อกำหนดความต้องการความมั่นคงสำหรับสถานการณ์จำลอง 3 ระบบ ได้แก่ ระบบบริการเอฟทีพี ระบบธนาคารออนไลน์ และระบบสำหรับห้องปฏิบัติการ แล้วให้หน่วยทดลองประเมินระดับความพึงพอใจต่อปัจจัยที่พิจารณาต่างๆ พร้อมทั้งเสนอปัญหาและข้อเสนอแนะจากการใช้เครื่องมือที่สร้างขึ้น ผลการทดลองแสดงให้เห็นว่า คุณภาพของความต้องการความมั่นคงเพิ่มขึ้นมากกว่าการไม่ใช้เครื่องมือ ช่วยให้ผู้ใช้เกิดการเรียนรู้ในการกำหนดความต้องการ และสนับสนุนการนำกลับมาใช้ใหม่ได้ ผลที่ได้รับจากงานวิจัยนี้คือ ไวยากรณ์ความมั่นคงจากแบบรูปความมั่นคง และเครื่องมือในการกำหนดความต้องการความมั่นคง สามารถใช้เป็นแนวทางในการกำหนดความต้องการความมั่นคงได้อย่างถูกต้อง ครบถ้วน มีคุณภาพมากขึ้น และช่วยลดเวลาและค่าใช้จ่ายที่จะต้องใช้ในกระบวนการวิศวกรรมความต้องการในการระบุความต้องการด้านความมั่นคงได้

Other Abstract (Other language abstract of ETD)

The objective of this thesis is to construct security grammars from security patterns and a tool based on the constructed security grammars in order to define security requirements. The elements of each 20 pattern from 4 security pattern types; Enterprise Security and Risk Management, Identification and Authentication, Access Control Model and Firewall Architecture are analyzed to develop a security tree. Each tree represents the relationship among elements of a single security pattern and is used to construct the security grammars in Extended Backus-Naur Form (EBNF). To improve the correctness and completeness, the security grammars and their relations are validated. A supporting tool is also developed with security grammar constraints. The results obtained from using the tool are security requirements in English language which a user may have to input the required components. To test the quality of security grammars, 12 security experts are selected as sample units to use the tool in the simulated scenarios from FTP System, On-line Banking System and Laboratory Supporting System. After using the tool, they evaluate the satisfaction level in various factors and also identify problems and recommendations. The experimental results are that the quality of security requirements created from tools is better than the creation without it. Also, it directly helps users learn to define the security requirements and reuse the constructed security requirements. The results from this research are security grammars based on security patterns and a supporting tool. They can be used to improve defining security requirements in both correctness and completeness factor, and also reduce cost and time in requirements engineering process.

Link to Full Text

Share

COinS