Như chúng ta thấy trong toàn bộ các biểu đồ mơ hình hóa hệ thống ở trên, khơng có biểu đồ riêng về phân tích an ninh hệ thống. Tất nhiên ở đây chúng ta đang mô tả nghiệp vụ hệ thống, nhưng vấn đề của chúng ta là: đưa các mối quan tâm an ninh vào biểu đồ nào trong hệ thống các biểu đồ trên. Ngay cả biểu đồ triển khai hệ thống cũng khơng có các dấu đặc trưng để thể hiện an ninh. Nguyên nhân của việc này là:
Phương pháp hướng đối tượng và phân tích thiết kế anh ninh hệ thống 35
Phương pháp hướng đối tượng và phân tích thiết kế anh ninh hệ thống 37
Phương pháp hướng đối tượng và phân tích thiết kế anh ninh hệ thống 39
Phương pháp hướng đối tượng và phân tích thiết kế anh ninh hệ thống 41
Phương pháp hướng đối tượng và phân tích thiết kế anh ninh hệ thống 43
Hình 3.11: Biểu đồ triển khai hệ thống
1. An ninh là yêu cầu phi chức năng Các dự án khi thực hiện thì cái đầu tiên cần
quan tâm là làm đúng được các yêu cầu chức năng, đạt tốc độ xử lý nhanh, tính tốn đúng.
2. Bản thân khách hàng khơng có ý thức về việc đó Bản thân khách hàng khi đặt
hàng một phần mềm cũng chưa có ý thức cao, hơn nữa họ cũng khơng có chun mơn về việc này để có thể đưa ra yêu cầu.
3. Bản chất của UML là mơ hình hóa hệ thống Bản chất của UML là mơ hình hóa
hệ thống hướng tới việc cài đặt các chức năng hệ thống, chứ khơng phải là để mơ hình hóa mọi khía cạnh u cầu của khách hàng.
4. Đội thực thi dự án không quan tâm đúng mức Rất nhiều đơn vị thi cơng phần
mềm chưa có một nhân lực chuyên nghiệp và có sự quan tâm đúng mức tới vấn đề an ninh của hệ thống ngay từ khởi đầu dự án.
Tất cả những yếu tố trên đã nhiều lúc làm cho vấn đề an ninh của các hệ thống cỡ vừa và nhỏ (ở những dự án cỡ nhỏ) bị bỏ qua. Và con số thực tế 80% các website của Việt Nam có chứa lỗ hổng (kể cả các website của các tổ chức lớn như ngân hàng) cũng phản ánh phần nào những nhận định trên [10].
Chương 4
GIẢI PHÁP PHÂN TÍCH THIẾT KẾ VÀ CÀI ĐẶT AN NINH HỆ THỐNG
Như các phân tích ở trên đã chỉ rõ, phần mơ hình hóa nghiệp vụ, chúng ta khơng đề cập tới các mối quan tâm an ninh bởi vì yêu cầu về an ninh hệ thống là một yêu cầu phi chức năng, khơng được đề cập trong lúc đang phân tích nghiệp vụ. Chính vì thê, trong các hoạt động tiếp theo: thiết kế chương trình, lập trình, kiểm thử chương trình. . . các mối quan tâm an ninh không thể xuất hiện. Như vậy, vấn đề an ninh hệ thống đã không được đề cập ngay từ mức phân tích.
Vì các mối quan tâm an ninh là yêu cầu phi chức năng, nên trong các mơ hình hóa nghiệp vụ, chúng khơng được đề cập là chuyện tất nhiên. Ở đây chúng tôi sẽ đề xuất giải pháp sao cho các mối quan tâm an ninh sẽ được đề cập ngay từ ban đầu, sau đó đưa vào thiết kế và chương trình.