Như chúng ta thấy trong toàn bộ các biểu đồ mô hình hóa hệ thống ở trên, không có biểu đồ riêng về phân tích an ninh hệ thống. Tất nhiên ở đây chúng ta đang mô tả nghiệp vụ hệ thống, nhưng vấn đề của chúng ta là: đưa các mối quan tâm an ninh vào biểu đồ nào trong hệ thống các biểu đồ trên. Ngay cả biểu đồ triển khai hệ thống cũng không có các dấu đặc trưng để thể hiện an ninh. Nguyên nhân của việc này là:
Phương pháp hướng đối tượng và phân tích thiết kế anh ninh hệ thống 35
Phương pháp hướng đối tượng và phân tích thiết kế anh ninh hệ thống 37
Phương pháp hướng đối tượng và phân tích thiết kế anh ninh hệ thống 39
Phương pháp hướng đối tượng và phân tích thiết kế anh ninh hệ thống 41
Phương pháp hướng đối tượng và phân tích thiết kế anh ninh hệ thống 43
Hình 3.11: Biểu đồ triển khai hệ thống
1. An ninh là yêu cầu phi chức năng Các dự án khi thực hiện thì cái đầu tiên cần quan tâm là làm đúng được các yêu cầu chức năng, đạt tốc độ xử lý nhanh, tính toán đúng.
2. Bản thân khách hàng không có ý thức về việc đó Bản thân khách hàng khi đặt hàng một phần mềm cũng chưa có ý thức cao, hơn nữa họ cũng không có chuyên môn về việc này để có thể đưa ra yêu cầu.
3. Bản chất của UML là mô hình hóa hệ thống Bản chất của UML là mô hình hóa hệ thống hướng tới việc cài đặt các chức năng hệ thống, chứ không phải là để mô hình hóa mọi khía cạnh yêu cầu của khách hàng.
4. Đội thực thi dự án không quan tâm đúng mức Rất nhiều đơn vị thi công phần mềm chưa có một nhân lực chuyên nghiệp và có sự quan tâm đúng mức tới vấn đề an ninh của hệ thống ngay từ khởi đầu dự án.
Tất cả những yếu tố trên đã nhiều lúc làm cho vấn đề an ninh của các hệ thống cỡ vừa và nhỏ (ở những dự án cỡ nhỏ) bị bỏ qua. Và con số thực tế 80% các website của Việt Nam có chứa lỗ hổng (kể cả các website của các tổ chức lớn như ngân hàng) cũng phản ánh phần nào những nhận định trên [10].
Chương 4
GIẢI PHÁP PHÂN TÍCH THIẾT KẾ VÀ CÀI ĐẶT AN NINH HỆ THỐNG
Như các phân tích ở trên đã chỉ rõ, phần mô hình hóa nghiệp vụ, chúng ta không đề cập tới các mối quan tâm an ninh bởi vì yêu cầu về an ninh hệ thống là một yêu cầu phi chức năng, không được đề cập trong lúc đang phân tích nghiệp vụ. Chính vì thê, trong các hoạt động tiếp theo: thiết kế chương trình, lập trình, kiểm thử chương trình. . . các mối quan tâm an ninh không thể xuất hiện. Như vậy, vấn đề an ninh hệ thống đã không được đề cập ngay từ mức phân tích.
Vì các mối quan tâm an ninh là yêu cầu phi chức năng, nên trong các mô hình hóa nghiệp vụ, chúng không được đề cập là chuyện tất nhiên. Ở đây chúng tôi sẽ đề xuất giải pháp sao cho các mối quan tâm an ninh sẽ được đề cập ngay từ ban đầu, sau đó đưa vào thiết kế và chương trình.