基于業(yè)務(wù)流程的安全評估研究

唐振營

摘 要：在研究方法中，設(shè)計(jì)了基于業(yè)務(wù)的安全風(fēng)險(xiǎn)評估架構(gòu)模型，該模型主要包含四部分內(nèi)容：業(yè)務(wù)風(fēng)險(xiǎn)分析方法模型、業(yè)務(wù)系統(tǒng)梳理、安全需求析取及安全評估。研究方法闡述了業(yè)務(wù)安全風(fēng)險(xiǎn)分析借鑒的主要模型;安全需求分析，從合規(guī)性要求、業(yè)務(wù)自身安全要求和風(fēng)險(xiǎn)控制要求三方面定義了安全需求，主要用來分析業(yè)務(wù)的脆弱性，同時(shí)通過CIA屬性（保密性、完整性、可用性）制定每個(gè)場景特定的安全指標(biāo);最后通過STRIDE威脅建模分析，并借鑒OCTAVE風(fēng)險(xiǎn)分析模型（從組織角度出發(fā)），從資產(chǎn)（把業(yè)務(wù)作為資產(chǎn)）、脆弱性、威脅三方面并考慮已有安全措施進(jìn)行綜合的定性風(fēng)險(xiǎn)分析。

關(guān)鍵詞：業(yè)務(wù)安全;EA;IDEF0

中圖分類號：U416.26 ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A

一、引言。

國外尤其是歐美在信息安全風(fēng)險(xiǎn)評估領(lǐng)域起步較旱，到目前為約有30年的發(fā)展歷史，各發(fā)達(dá)國各自形成一套較為完整的標(biāo)準(zhǔn)體系、技術(shù)體系、組織架構(gòu)和業(yè)務(wù)體系，同時(shí)都擁有自己的評估認(rèn)證體系。風(fēng)險(xiǎn)評估模型往往與被評估領(lǐng)域緊密結(jié)合，逐步開發(fā)出了適用于不同領(lǐng)域企業(yè)或組織的風(fēng)險(xiǎn)評估的模型和風(fēng)險(xiǎn)評估方法，通過定性分析和定量分析，風(fēng)險(xiǎn)評估的過程逐漸轉(zhuǎn)向自動化和標(biāo)準(zhǔn)化，已開發(fā)出了各種風(fēng)險(xiǎn)評估工具，這些工具不僅有效提高了評估效率，同時(shí)還極大消除了評估的主觀性，使風(fēng)險(xiǎn)評估更加能體現(xiàn)真實(shí)情況。國內(nèi)對風(fēng)險(xiǎn)評估的研究剛走過起步階段進(jìn)入發(fā)展階段，也已有了自己的標(biāo)準(zhǔn)體系和技術(shù)體系，已形成一套較完整的成熟的風(fēng)險(xiǎn)評估體系，但總體上在實(shí)際的風(fēng)險(xiǎn)評估中，主觀性和隨意性較大的問題還有待改進(jìn)。當(dāng)前信息安全風(fēng)險(xiǎn)評估方法主要有如下幾種：1）基于威脅分析的傳統(tǒng)風(fēng)險(xiǎn)評估方法。提出了兩種不同量化萬式：絕對量化和相對量化。由于信息系統(tǒng)中威脅的多樣性，因此基于威脅的風(fēng)險(xiǎn)評估非常依賴于評估者對系統(tǒng)威脅的認(rèn)識和了解，評估者的經(jīng)驗(yàn)顯得尤其重要。絕對量化方式可操作性差，相對量化方式過于依賴評估者的經(jīng)驗(yàn)，這種評估方法不適告大型的信息系統(tǒng)，評估可操作性不強(qiáng)。2）層次化威脅量化評估方法。從上到下卦為網(wǎng)絡(luò)、系統(tǒng)、主機(jī)、應(yīng)用4個(gè)層次，采取"自下而上、先局部后整體"的評估策略。這樣的分析方法是基于網(wǎng)絡(luò)入侵檢測傳感器報(bào)警日志和網(wǎng)絡(luò)帶寬占用率，但這些信息還不能全面反映黑客的攻擊行為，諸如獲取系統(tǒng)權(quán)限后執(zhí)行的命令操作。3）故障樹分析方法 （Fau lt An al ysis Tree-FAT）。主要是對各個(gè)風(fēng)險(xiǎn)要素的邏輔關(guān)系定性分析，同時(shí)依據(jù)該邏輯關(guān)系建立故障樹。定量的部分主要是對故障樹中各層要的風(fēng)險(xiǎn)產(chǎn)生概率加以計(jì)算。

總體上，目前風(fēng)險(xiǎn)評估的幾種模型各有優(yōu)缺點(diǎn)，有時(shí)需要結(jié)合使用，但相應(yīng)的成本會增加。

二、基于業(yè)務(wù)的安全風(fēng)險(xiǎn)評估框架。

業(yè)務(wù)安全評估的意義：在信息技術(shù)高速發(fā)展的今天，信息系統(tǒng)在各行各業(yè)逐步深入和普及。伴隨著政府部門、金融機(jī)構(gòu)、企事業(yè)單位、商業(yè)組織等對信息系統(tǒng)依賴程度的日益增強(qiáng)，信息安全問題受到普遍關(guān)注。運(yùn)用風(fēng)險(xiǎn)評估去識別安全風(fēng)險(xiǎn)，解決信息安全問題得到了廣泛的認(rèn)識和應(yīng)用。

目前風(fēng)險(xiǎn)評估的主要方式是對信息系統(tǒng)進(jìn)行全面的、系統(tǒng)的評估，評估對象包括信息系統(tǒng)所有組成部分：硬件系統(tǒng)（計(jì)算機(jī)硬件系統(tǒng)和網(wǎng)絡(luò)硬件系統(tǒng)）、系統(tǒng)軟件（計(jì)算機(jī)系統(tǒng)軟件和網(wǎng)絡(luò)系統(tǒng)軟件）和應(yīng)用軟件（包括由其處理、存儲的信息）。但根據(jù)Gartner 的數(shù)據(jù)顯示，75% 的黑客攻擊發(fā)生在應(yīng)用層，而來自 NIST 的數(shù)據(jù)更為驚人，有 92% 被發(fā)現(xiàn)的漏洞屬于應(yīng)用層，也就是操作系統(tǒng)和應(yīng)用（Applications），這里的應(yīng)用可理解為業(yè)務(wù)系統(tǒng)及其提供的服務(wù)。參見圖1可以看到，操作系統(tǒng)的攻擊（紫色部分）只有15%，那么剩下77%都是對業(yè)務(wù)的攻擊，業(yè)務(wù)成為了受攻擊的重災(zāi)區(qū)。

另外，隨著越來越多的對國家社會、經(jīng)濟(jì)有著重要影響的行業(yè)將傳統(tǒng)的業(yè)務(wù)由線下搬到線上，出于對業(yè)務(wù)安全保障的迫切需求，它們對于信息系統(tǒng)安全評估需求有以系統(tǒng)安全需求為導(dǎo)向向以業(yè)務(wù)風(fēng)險(xiǎn)為導(dǎo)向轉(zhuǎn)移的趨勢。正因于此，一種更具針對性的、以業(yè)務(wù)為中心的、面向業(yè)務(wù)及其承載系統(tǒng)的一種評估方法正在逐步發(fā)展起來，本文稱其為基于業(yè)務(wù)的安全評估方法。

基于業(yè)務(wù)安全風(fēng)險(xiǎn)評估，目前在業(yè)界沒有相關(guān)的成熟標(biāo)準(zhǔn)可依。本項(xiàng)目結(jié)合廣東電網(wǎng)業(yè)務(wù)系統(tǒng)的現(xiàn)狀，在業(yè)務(wù)安全評估方面首次采用了一些比較創(chuàng)新的方法論及模型具體如下圖所示：基于業(yè)務(wù)流的信息系統(tǒng)聯(lián)動的風(fēng)險(xiǎn)評估模型，不同于傳統(tǒng)的以資產(chǎn)為單元的風(fēng)險(xiǎn)評估模型，而是將各業(yè)務(wù)系統(tǒng)直接對應(yīng)評估對象。

一個(gè)業(yè)務(wù)流程可以由若干個(gè)獨(dú)立的業(yè)務(wù)節(jié)點(diǎn)組成;

一個(gè)業(yè)務(wù)節(jié)點(diǎn)可能（同時(shí)或不同時(shí)）處理若干個(gè)重要的信息資產(chǎn);

一個(gè)業(yè)務(wù)節(jié)點(diǎn)可能存在著若干個(gè)脆弱性;

威脅可能利用一個(gè)或多個(gè)脆弱性突破業(yè)務(wù)節(jié)點(diǎn)的安全;

一旦威脅突破了業(yè)務(wù)節(jié)點(diǎn)，所有通過該業(yè)務(wù)節(jié)點(diǎn)的信息資產(chǎn)將會受到危害。

由業(yè)務(wù)節(jié)點(diǎn)的脆弱性所形成的風(fēng)險(xiǎn)，也會使信息資產(chǎn)處于相同的威脅之中。基于業(yè)務(wù)流的信息系統(tǒng)聯(lián)動的風(fēng)險(xiǎn)評估方法，將資產(chǎn)（業(yè)務(wù)節(jié)點(diǎn)）的風(fēng)險(xiǎn)提升為基于業(yè)務(wù)流程的安全風(fēng)險(xiǎn)。通過業(yè)務(wù)流程的關(guān)聯(lián)，將資產(chǎn)造成的影響組合起來，揭示出影響信息系統(tǒng)整體安全的更深層次的原因。

方法模型闡述了業(yè)務(wù)安全風(fēng)險(xiǎn)分析借鑒的主要模型，它并不能取代傳統(tǒng)風(fēng)險(xiǎn)評估，而是從具體的業(yè)務(wù)出發(fā)，專注于應(yīng)用層、數(shù)據(jù)層的安全風(fēng)險(xiǎn)。在業(yè)務(wù)系統(tǒng)梳理方法方面借鑒了EA及IDFE0等國外先進(jìn)模型;安全需求分析，從合規(guī)性要求、業(yè)務(wù)自身安全要求和風(fēng)險(xiǎn)控制要求三方面定義了安全需求，主要用來分析業(yè)務(wù)的脆弱性;最后通過STRIDE威脅建模分析，并借鑒OCTAVE風(fēng)險(xiǎn)分析模型（從組織角度出發(fā)），從資產(chǎn)（把業(yè)務(wù)作為資產(chǎn)）、脆弱性、威脅三方面并考慮已有安全措施進(jìn)行綜合的定性風(fēng)險(xiǎn)分析。

業(yè)務(wù)系統(tǒng)梳理方面主要以業(yè)務(wù)過程為出發(fā)點(diǎn)梳理出相應(yīng)的人員參與哪些業(yè)務(wù)活動，在業(yè)務(wù)活動過程中會產(chǎn)生哪些類型的數(shù)據(jù)。整個(gè)活動會落到哪些應(yīng)用組件上，并需要哪些基礎(chǔ)設(shè)施來支撐。

安全需求分析方面包含了合規(guī)性安全需求析取、業(yè)務(wù)自身安全需求析取及風(fēng)險(xiǎn)控制安全需求析取。合規(guī)性安全需求主要從國家層面、行業(yè)層面及公司層面進(jìn)行歸納匯總;業(yè)務(wù)自身安全需求主要從業(yè)務(wù)邏輯、業(yè)務(wù)權(quán)限、日常安全時(shí)間運(yùn)維記錄及數(shù)據(jù)安全等方面進(jìn)行歸納匯總;風(fēng)險(xiǎn)控制安全需求主要從業(yè)務(wù)系統(tǒng)面臨的威脅來源進(jìn)行歸納匯總。

業(yè)務(wù)梳理方法

任何能夠確實(shí)保障應(yīng)用系統(tǒng)信息安全的體系必須要滿足應(yīng)用系統(tǒng)業(yè)務(wù)的安全要求，因此完整、透徹地了解業(yè)務(wù)的安全要求是建立有效的信息安全保障體系的基礎(chǔ)。這樣就需要通過系統(tǒng)化和工程化的手段來析取、分析和歸納應(yīng)用系統(tǒng)業(yè)務(wù)中的信息安全需求。為此，在本項(xiàng)目中采用了業(yè)界的一些有效方法來保證業(yè)務(wù)安全需求分析的質(zhì)量，這些方法概要介紹如下：

EA模型（Enterprise Architecture Model）是從企業(yè)整體業(yè)務(wù)出發(fā)來規(guī)劃、建立和管理企業(yè)信息技術(shù)體系的方法論。EA模型是一個(gè)層次結(jié)構(gòu)模型，每個(gè)層次涉及到了資產(chǎn)、過程、人員、時(shí)間、位置等要素。由于本項(xiàng)目主要目的是通過業(yè)務(wù)驅(qū)動產(chǎn)生業(yè)務(wù)安全要求，并將這些要求映射到技術(shù)層面，故僅僅采用了EA模型的基本思路，而不去構(gòu)造一個(gè)完整的EA。在本項(xiàng)目中采用的EA模型框架如下圖所示：

IDEF0，根據(jù)前面的介紹，有效的信息安全保障體系建設(shè)要從業(yè)務(wù)入手，但要做到業(yè)務(wù)驅(qū)動的信息安全保障需要更進(jìn)一步刻畫具體的業(yè)務(wù)過程（即業(yè)務(wù)過程建模）。在本項(xiàng)目中采用簡易并廣泛使用的功能描述圖形工具IDEF0來建立業(yè)務(wù)過程模型。IDEF0采用下圖所示的模型來進(jìn)行業(yè)務(wù)功能定義：

上圖中各個(gè)元素含義和在本項(xiàng)目的應(yīng)用說明如下：“活動”是過程中將輸入加工成輸出的功能，加工過程通過“機(jī)制”（如人員、應(yīng)用系統(tǒng)）來完成但受到“控制”約束。一個(gè)業(yè)務(wù)過程會包含多個(gè)活動，每個(gè)“活動”還可進(jìn)一步分解為子活動，子活動的表示方法與活動相同。“輸入”、“輸出”是人員在“活動”過程中產(chǎn)生的一些產(chǎn)出物，如“數(shù)據(jù)信息”等。同樣，傳統(tǒng)的IDEF0模型用于業(yè)務(wù)過程定義或重組。而在本項(xiàng)目中，IDEF0的目的是用于析取業(yè)務(wù)過程的信息安全需求（通過EA模型的映射），因此在很多情況下無需像傳統(tǒng)模型那樣分解到詳細(xì)的底層活動。

EA架構(gòu)映射

為了有效地梳理業(yè)務(wù)和資產(chǎn)并進(jìn)一步地進(jìn)行風(fēng)險(xiǎn)評估，需要系統(tǒng)化、按層次的建立起資產(chǎn)與業(yè)務(wù)過程的關(guān)聯(lián)。業(yè)務(wù)過程分析參考如下模型，對有關(guān)的業(yè)務(wù)、數(shù)據(jù)、應(yīng)用和資產(chǎn)進(jìn)行關(guān)聯(lián)，為每個(gè)業(yè)務(wù)構(gòu)建業(yè)務(wù)過程手冊，為進(jìn)一步進(jìn)行風(fēng)險(xiǎn)控制需求分析打下基礎(chǔ)。

在本項(xiàng)目中IDEF0活動與EA四層架構(gòu)四層關(guān)系如下，“輸入”、“輸出”和“控制”將映射到EA模型的信息層。“機(jī)制”包含了三類，即實(shí)施活動的人員、完成活動的應(yīng)用軟件系統(tǒng)和支持應(yīng)用軟件系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施，其中人員部分屬于業(yè)務(wù)層，應(yīng)用軟件系統(tǒng)部分映射到應(yīng)用層，基礎(chǔ)設(shè)施部分映射到基礎(chǔ)設(shè)施層。

業(yè)務(wù)安全需求分析：針對業(yè)務(wù)層的每個(gè)活動，了解利益相關(guān)者的安全期望，明確組織的業(yè)務(wù)安全要求。這些安全要求分為四個(gè)方面，機(jī)密性（Confidentiality）、完整性（Integrality）、可用性（Availability）、抗抵賴（Non-Rupudiation）和可回溯（Dating-back）。根據(jù)各業(yè)務(wù)特點(diǎn)，識別其綜合安全要求;之后，確定業(yè)務(wù)層影響該要求的業(yè)務(wù)活動;最后，根據(jù)業(yè)務(wù)EA架構(gòu)圖中，各資產(chǎn)的對應(yīng)關(guān)系，將該安全要求落實(shí)到以確定業(yè)務(wù)活動所對應(yīng)的信息資產(chǎn)、應(yīng)用資產(chǎn)和基礎(chǔ)設(shè)施資產(chǎn)上。需注意的是，不是每個(gè)要求都能嚴(yán)格的落實(shí)在每層中，也有些要求可能在個(gè)別層沒有對應(yīng)的要求需要落實(shí)。

業(yè)務(wù)流細(xì)化分析流程

分析業(yè)務(wù)系統(tǒng)數(shù)據(jù)流是整個(gè)業(yè)務(wù)數(shù)據(jù)流分析過程中最重要的環(huán)節(jié)，通過業(yè)務(wù)流程分析最終輸出系統(tǒng)數(shù)據(jù)流程圖。

第一步：獲取業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并進(jìn)行核實(shí)，從而獲得系統(tǒng)的應(yīng)用場景;

第二步：通過人員訪談、系統(tǒng)文檔調(diào)研的方法采集業(yè)務(wù)數(shù)據(jù)流的關(guān)鍵數(shù)據(jù)，包括業(yè)務(wù)之間的互訪關(guān)系可能存在的威脅以及數(shù)據(jù)流走向;

第三步：數(shù)據(jù)包分析，通過對特定系統(tǒng)的數(shù)據(jù)包抓取獲得真實(shí)的數(shù)據(jù)網(wǎng)絡(luò)訪問路徑，發(fā)現(xiàn)通過人工訪談和文檔分析不能全面了解的訪問路徑（注：該項(xiàng)工作的數(shù)據(jù)采集量可能較大，需要分析大量數(shù)據(jù)，不能了解系統(tǒng)服務(wù)器的真實(shí)端口開放情況）;

第四步：主機(jī)網(wǎng)絡(luò)狀態(tài)審計(jì)，通過系統(tǒng)服務(wù)開放情況獲取主機(jī)網(wǎng)絡(luò)連接狀態(tài);

第五步：分解業(yè)務(wù)系統(tǒng)，將業(yè)務(wù)系統(tǒng)按照功能模塊分解成更小的業(yè)務(wù)單位，了解各業(yè)務(wù)單元之間的相互訪問關(guān)系，以便從單個(gè)功能的角度去識別脆弱性和威脅。

第六步：脆弱性分析，針對每一個(gè)需要保護(hù)的資產(chǎn)，識別可能被威脅利用的弱點(diǎn)，并對脆弱性的嚴(yán)重程度進(jìn)行評估。脆弱性的識別的數(shù)據(jù)主要來自資產(chǎn)的所有者、使用者以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)人士。在此基礎(chǔ)上，進(jìn)行威脅路徑分析，分析業(yè)務(wù)系統(tǒng)體系結(jié)構(gòu)中潛在的安全漏洞結(jié)合攻擊者的目標(biāo)，通過業(yè)務(wù)數(shù)據(jù)流示意圖來識別所有可能影響目標(biāo)的威脅路徑。

第七步：風(fēng)險(xiǎn)綜合分析，結(jié)合系統(tǒng)的脆弱性和威脅路徑進(jìn)行綜合的風(fēng)險(xiǎn)分析，對威脅發(fā)生的可能性進(jìn)行評估，將威脅帶來的風(fēng)險(xiǎn)與攻擊者的成本進(jìn)行比較，進(jìn)而采取相應(yīng)的措施。

第八步：給出安全建議，對于分析得出的風(fēng)險(xiǎn)，給出整改建議并輸出相應(yīng)的評估報(bào)告。

安全需求（脆弱性）分析方法說明

安全控制體系構(gòu)建途徑：系統(tǒng)安全控制體系構(gòu)建經(jīng)過三個(gè)步驟：1、信息安全需求定義;2、信息安全控制目標(biāo)確立;3、信息安全管控體系設(shè)計(jì)和實(shí)現(xiàn)。通過系統(tǒng)化管控過程，對安全管控體系構(gòu)建和運(yùn)行過程進(jìn)行管理和控制。下面對上述三個(gè)步驟的主要工作內(nèi)容進(jìn)行概要描述：

信息安全需求定義：系統(tǒng)信息安全需求來源于三個(gè)方面：法規(guī)依從性要求、業(yè)務(wù)安全需要和風(fēng)險(xiǎn)管控要求。綜合三方面安全需求，對系統(tǒng)安全需求進(jìn)行定義，作為信息安全目標(biāo)確立以及安全管控體系設(shè)計(jì)的依據(jù);

信息安全控制目標(biāo)確立：基于系統(tǒng)安全需求定義，確定安全控制目標(biāo)。考慮系統(tǒng)現(xiàn)有安全措施，組織風(fēng)險(xiǎn)接受程度、安全項(xiàng)目建設(shè)規(guī)劃等因素，對需求定義中確定的安全需求進(jìn)行歸類合并，分解成多個(gè)可實(shí)現(xiàn)的安全控制目標(biāo)。這些控制目標(biāo)將成為系統(tǒng)安全策略和安全控制制定和構(gòu)建依據(jù)與基礎(chǔ)。

信息安全控制體系設(shè)計(jì)和實(shí)現(xiàn)：第一步是明確安全政策，信息安全政策是約束主體對信息客體行為的準(zhǔn)則，是為了達(dá)到一定的信息安全管控目標(biāo)而制定的，安全政策是安全建設(shè)的基礎(chǔ)要素。第二步具體制定系統(tǒng)安全管理制度、落實(shí)系統(tǒng)安全責(zé)任體系、落地系統(tǒng)技術(shù)控制措施、建立系統(tǒng)安全過程。

安全管控是動態(tài)的持續(xù)性過程，體系運(yùn)行過程中，隨時(shí)面臨安全風(fēng)險(xiǎn)，通過持續(xù)性監(jiān)控確保安全管控體系持續(xù)運(yùn)行，實(shí)現(xiàn)信息安全的閉環(huán)管理。

根據(jù)系統(tǒng)信息安全管控體系建設(shè)過程，信息安全的需求來源于三個(gè)方面，即合規(guī)性要求、業(yè)務(wù)要求和風(fēng)險(xiǎn)控制要求。

一是法規(guī)依從安全要求，組織具有社會性，參與各種社會活動，負(fù)有社會責(zé)任，行為受到各種社會規(guī)則的約束，這些約束來自國家、行業(yè)、商業(yè)活動以及企業(yè)內(nèi)部要求四方面。

國家層面：作為重要國企之一，信息化建設(shè)必須符合國家法律、法規(guī)、政策、標(biāo)準(zhǔn)，不能對國家、社會、其他組織和個(gè)人造成不良影響和傷害。

行業(yè)層面：作為國家重點(diǎn)監(jiān)管的企業(yè)，其各種行為包括信息化、信息安全建設(shè)必須符合行業(yè)主管（即國務(wù)院國有資產(chǎn)監(jiān)督管理委員會，簡稱國資委）制定的政策、規(guī)范和標(biāo)準(zhǔn)。

商業(yè)協(xié)議約束：作為企業(yè)，參與各種商業(yè)活動，需遵守商業(yè)活動涉及的標(biāo)準(zhǔn)、協(xié)議要求。系統(tǒng)作為商業(yè)活動經(jīng)常使用的信息傳輸工具，必須符合相關(guān)約定。

企業(yè)內(nèi)部：是一體積龐大的國有企業(yè)，為保證內(nèi)部信息化以及信息安全建設(shè)的規(guī)范化、持續(xù)化發(fā)展，制定的有關(guān)管理辦法、規(guī)范和標(biāo)準(zhǔn)，適用于所有的分項(xiàng)信息化建設(shè)。因此，系統(tǒng)安全建設(shè)必須符合相關(guān)文件的要求。

上述四方面的要求大部分以文件發(fā)布的方式明確各自的要求。系統(tǒng)安全建設(shè)之初，需對此類文件進(jìn)行收集，對相關(guān)條款進(jìn)行解讀，確定適用條款。其中，法律、法規(guī)、行業(yè)規(guī)范以及商業(yè)合同約束等為強(qiáng)制性合規(guī)條款;建設(shè)標(biāo)準(zhǔn)、指南屬于參考性條款。

二是業(yè)務(wù)安全要求，業(yè)務(wù)自身安全需求在安全開發(fā)體系中側(cè)重EA架構(gòu)中的業(yè)務(wù)層和信息層，主要來源于業(yè)務(wù)系統(tǒng)梳理后所涉及的業(yè)務(wù)邏輯安全、業(yè)務(wù)權(quán)限、數(shù)據(jù)生命周期安全及針對業(yè)務(wù)系統(tǒng)日常運(yùn)維安全事件記錄等進(jìn)行匯總。業(yè)務(wù)自身安全需求需根據(jù)業(yè)務(wù)系統(tǒng)業(yè)務(wù)功能的變化及日常發(fā)生的業(yè)務(wù)安全運(yùn)維事件記錄不斷更新。

三是風(fēng)險(xiǎn)控制安全需求，通過信息化手段實(shí)現(xiàn)業(yè)務(wù)，就不可避免的面臨信息有關(guān)的安全風(fēng)險(xiǎn)。電子業(yè)務(wù)面臨的風(fēng)險(xiǎn)分為兩類：系統(tǒng)風(fēng)險(xiǎn)和系統(tǒng)應(yīng)用風(fēng)險(xiǎn)。

系統(tǒng)自身風(fēng)險(xiǎn)：是由于系統(tǒng)自身的控制措施不足導(dǎo)致系統(tǒng)自身重要信息資產(chǎn)和基礎(chǔ)設(shè)施面臨被攻擊或破壞的的風(fēng)險(xiǎn)。面臨風(fēng)險(xiǎn)的主體是系統(tǒng)本身，其安全需求集中在如何保證系統(tǒng)自身的安全。可采用行業(yè)內(nèi)信息系統(tǒng)風(fēng)險(xiǎn)評估方法，發(fā)現(xiàn)系統(tǒng)的技術(shù)風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)。

系統(tǒng)應(yīng)用風(fēng)險(xiǎn)：系統(tǒng)是員工進(jìn)行內(nèi)部、外部溝通的主要信息傳輸工具，是最大的暴露面之一。惡意份子借助系統(tǒng)，可能滲透到企業(yè)內(nèi)XX用戶，并以此做為跳板攻擊企業(yè)網(wǎng)內(nèi)部，或竊取內(nèi)部敏感信息;內(nèi)部員工，可能通過系統(tǒng)發(fā)送違法信息或竊取內(nèi)部敏感信息;系統(tǒng)本身也可能被利用，例如被攻擊成為垃圾XX的制造和發(fā)送者。這些風(fēng)險(xiǎn)不會影響業(yè)務(wù)的正常使用，但是會對其他系統(tǒng)或信息造成安全隱患。

本方法強(qiáng)調(diào)在進(jìn)行安全需求分析時(shí)，要全面考慮這三個(gè)來源。上述三個(gè)方面的安全要求，沒有明確的界限，會出現(xiàn)交叉現(xiàn)象。三者關(guān)系如下圖所示：

五是業(yè)務(wù)自身安全需求，業(yè)務(wù)自身安全需求是通過業(yè)務(wù)梳理分析而得到，具體來說是識別業(yè)務(wù)活動、識別業(yè)務(wù)數(shù)據(jù)、識別跟安全相關(guān)的業(yè)務(wù)規(guī)則，然后用經(jīng)典的CIA（保密性、完整性、可信性）針對EA架構(gòu)中的業(yè)務(wù)層、信息層、應(yīng)用層、基礎(chǔ)設(shè)施層（側(cè)重業(yè)務(wù)層和信息層）分別進(jìn)行分析，從而得到響應(yīng)的控制點(diǎn)（重點(diǎn)是業(yè)務(wù)邏輯安全、業(yè)務(wù)權(quán)限、數(shù)據(jù)生命周期安全）。詳細(xì)控制點(diǎn)參見方法論報(bào)告附件中的實(shí)例。

六是風(fēng)險(xiǎn)控制安全需求，針對業(yè)務(wù)場景采用微軟STRIDE威脅模型，STRIDE威脅分類法是從攻擊者的角度考慮威脅，圍繞外部實(shí)體、處理、數(shù)據(jù)存儲、數(shù)據(jù)流四個(gè)方面從如下六個(gè)角度分別進(jìn)行分析：偽冒（Spoofing），偽冒威脅是指惡意方偽裝成某人或某對象，如釣魚站點(diǎn)偽冒真實(shí)的網(wǎng)銀服務(wù)器，對用戶發(fā)起釣魚攻擊。篡改（Tampering），篡改威脅包含對于數(shù)據(jù)以及代碼的各種惡意修改。如惡意攻擊者在鏈路層上修改用戶轉(zhuǎn)賬的轉(zhuǎn)賬對象賬號，竊取用戶資金。抵賴（Repudiation），抵賴威脅是指用戶或入侵者拒絕承認(rèn)一個(gè)已執(zhí)行的無法證實(shí)的行為，如用戶否認(rèn)進(jìn)行交易。信息泄露（Information Disclosure），信息泄露是指將敏感信息泄露給那些未經(jīng)授權(quán)獲得訪問的個(gè)體，如本地臨時(shí)信息未及時(shí)清理造成的敏感信息泄露。拒絕服務(wù)（Denial of Service），拒絕服務(wù)（DoS）攻擊通過使得服務(wù)暫時(shí)不可用或癱瘓，從而破壞系統(tǒng)的可用性。如針對網(wǎng)銀服務(wù)器的拒絕服務(wù)攻擊。權(quán)限提升（Elevation of Privilege），權(quán)限提升（EoP）通常發(fā)生在用戶獲得更高的能力場景之下，比如匿名用戶利用系統(tǒng)的某個(gè)漏洞獲得認(rèn)證用戶才能具有的權(quán)限。

在業(yè)務(wù)安全評估過程中，基于業(yè)務(wù)場景進(jìn)行風(fēng)險(xiǎn)控制安全需求分析借助stride威脅模型能幫助理解系統(tǒng)中的潛在的安全威脅，明確風(fēng)險(xiǎn)并建立相應(yīng)消減機(jī)制。對于業(yè)務(wù)系統(tǒng)安全測評來說，在測評準(zhǔn)備階段，通過威脅建模理解系統(tǒng)可能面臨的安全威脅，掌握威脅可能利用的脆弱點(diǎn)位置，使得測評人員在現(xiàn)場測試階段能有目的的按照預(yù)定的脆弱點(diǎn)位置查找漏洞和隱患，并幫助滲透測試人員快速有效尋找攻擊路徑，使測試工作更能貼合信息系統(tǒng)的安全風(fēng)險(xiǎn)場景。

不同信息系統(tǒng)由于其各自業(yè)務(wù)使命的不同，其威脅模型不同。隨著信息系統(tǒng)運(yùn)行環(huán)境的變化（例如最新的攻擊技術(shù)，內(nèi)外網(wǎng)應(yīng)用轉(zhuǎn)換等），其威脅模型也會變化。不同人員其對系統(tǒng)安全風(fēng)險(xiǎn)的理解不同，所建立的威脅模型也有差別。

這里需說明兩點(diǎn)：1、風(fēng)險(xiǎn)控制安全需求實(shí)際上是業(yè)務(wù)安全需求導(dǎo)出的輔助（得到某業(yè)務(wù)場景潛在的安全威脅），本省并不能導(dǎo)出控制點(diǎn)。2、能達(dá)成檢查對象的落地。從外部實(shí)體、處理、數(shù)據(jù)存儲、數(shù)據(jù)流四個(gè)方面著手，通過EA架構(gòu)映射到具體的基礎(chǔ)實(shí)施，得到某個(gè)業(yè)務(wù)流程應(yīng)該檢查的實(shí)際對象。

業(yè)務(wù)影響分析

業(yè)務(wù)影響分析（Business Impact Analysis），也稱業(yè)務(wù)影響評估（Business Impact Assessment），分析了干擾性風(fēng)險(xiǎn)對組織運(yùn)營的影響方式，同時(shí)識別并量化了必要的風(fēng)險(xiǎn)管理能力。具體來說，BIA就以下問題達(dá)成了一致的認(rèn)識：

關(guān)鍵經(jīng)營過程的識別和臨界狀態(tài)、職能和相關(guān)資源以及組織已有的關(guān)鍵互相依存關(guān)系;

干擾性事項(xiàng)對實(shí)現(xiàn)重要經(jīng)營目標(biāo)的能力會產(chǎn)生怎樣的影響;

管理干擾的影響以及使組織恢復(fù)到約定運(yùn)行水平所需的能力。

業(yè)務(wù)影響分析（BIA）和風(fēng)險(xiǎn)評估通常是兩個(gè)獨(dú)立的流程，但它們必須同時(shí)或并行執(zhí)行。其原因是，對沒有進(jìn)行風(fēng)險(xiǎn)評估的業(yè)務(wù)進(jìn)行的評估影響不能提供全面的信息。我們可以認(rèn)為影響是不會改變的。如果一個(gè)關(guān)鍵系統(tǒng)的中斷對業(yè)務(wù)具有較高的影響（財(cái)務(wù)的或其他的），那么無論我們做什么，實(shí)際中斷所造成的影響仍然很高。我們無法改變影響，我們只能盡量避免運(yùn)行中斷。

BIA的主要作用是：

對關(guān)鍵過程的認(rèn)識，使組織有能力繼續(xù)實(shí)現(xiàn)其既定目標(biāo);

對資源的認(rèn)識;

有機(jī)會重新界定組織的運(yùn)行過程，以增強(qiáng)組織的靈活性。

結(jié)合業(yè)務(wù)風(fēng)險(xiǎn)評估的具體的業(yè)務(wù)影響分析框架圖如下：

國內(nèi)外大量文獻(xiàn)對基于業(yè)務(wù)的安全評估方法進(jìn)行了研究，提出了很多有用的方案和算法。但是對業(yè)務(wù)安全的專項(xiàng)研究比較少，由于業(yè)務(wù)安全是一種新興的技術(shù)，目前的應(yīng)用還主要在實(shí)驗(yàn)階段，研究存在一定的局限性，未來可以嘗試通過模擬仿真等方法對該機(jī)制進(jìn)行更進(jìn)一步的論證，并嘗試推廣到其他應(yīng)用場景。

參考文獻(xiàn)：

[1]《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）.

[2]《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）.

[3]《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）.

[4]《GB/T 18336-2008信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則》.

[5]《GB/T 22239-2019 信息系統(tǒng)安全等級保護(hù)基本要求》.

[6]《GB/T 20984-2007 信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》.