一種基于業(yè)務(wù)數(shù)據(jù)流模型的安全威脅分析方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種信息技術(shù)的安全分析方法�,具體講涉及一種基于業(yè)務(wù)數(shù)據(jù)流模型 的安全威脅分析方法。
【背景技術(shù)】
[0002] 在人類社會(huì)的發(fā)展和生存越來越依賴于信息的今天�����,信息系統(tǒng)已成為人們用于生 產(chǎn)�、傳送�����、使用�����、管理信息的主要工具和手段���。當(dāng)前,國(guó)內(nèi)外信息安全形勢(shì)日益嚴(yán)峻�����,黑客的 攻擊趨勢(shì)也已發(fā)生較大改變���,由傳統(tǒng)的針底層網(wǎng)絡(luò)��、操作系統(tǒng)等基礎(chǔ)軟硬件的攻擊�����,逐漸轉(zhuǎn) 變?yōu)獒槍?duì)信息系統(tǒng)上層應(yīng)用的攻擊��。由于系統(tǒng)自身安全缺陷突出���,比如安全威脅識(shí)別不準(zhǔn) 確�、安全需求不足�、安全設(shè)計(jì)不合理等原因����,使得這種攻擊方式更易實(shí)現(xiàn)而且危害更大。如 何開發(fā)一套安全可靠的信息系統(tǒng)是各行業(yè)面臨的重要問題�����。
[0003] 安全威脅分析就是識(shí)別信息系統(tǒng)面臨的各種信息安全威脅�。然而目前在安全威脅 分析過程中存在如下問題:1)缺乏一套完整規(guī)范的安全威脅分析及表示方法。目前安全威 脅分析過程主要依靠開發(fā)人員的個(gè)人經(jīng)驗(yàn)或者簡(jiǎn)單風(fēng)險(xiǎn)分析���,導(dǎo)致威脅分析不全面�。2)缺 乏從業(yè)務(wù)角度分析安全風(fēng)險(xiǎn)���。開發(fā)人員僅從信息安全角度進(jìn)行分析�,而且業(yè)務(wù)人員較少參 與��,導(dǎo)致安全威脅普遍缺乏針對(duì)性�����。
【發(fā)明內(nèi)容】
[0004] 針對(duì)現(xiàn)有技術(shù)的不足,本發(fā)明的目的是提供一種基于業(yè)務(wù)數(shù)據(jù)流模型的安全威脅 分析方法����,該方法從業(yè)務(wù)出發(fā),對(duì)基本業(yè)務(wù)流程進(jìn)行抽象����,提出了通用業(yè)務(wù)數(shù)據(jù)流分析模 型。在具體安全威脅分析過程中����,首先梳理關(guān)鍵業(yè)務(wù)活動(dòng),進(jìn)而識(shí)別涉及的數(shù)據(jù)資源�����,然后 基于業(yè)務(wù)數(shù)據(jù)流模型分析并識(shí)別各種業(yè)務(wù)活動(dòng)中面臨的安全威脅����。
[0005] 本發(fā)明的目的是采用下述技術(shù)方案實(shí)現(xiàn)的:
[0006] 本發(fā)明提供一種基于業(yè)務(wù)數(shù)據(jù)流模型的安全威脅分析方法,其改進(jìn)住處在于�����,所 述方法包括下述步驟:
[0007] (1)構(gòu)建業(yè)務(wù)數(shù)據(jù)流模型;
[0008] (2)信息系統(tǒng)分解��;
[0009] (3)關(guān)鍵業(yè)務(wù)流轉(zhuǎn)分析���;
[0010] (4)敏感數(shù)據(jù)識(shí)別與定級(jí)�����;
[0011] (5)安全威脅分析。
[0012] 進(jìn)一步地���,所述步驟(1)中���,所述業(yè)務(wù)數(shù)據(jù)流模型包括下述環(huán)節(jié):
[0013] 1)用戶端啟動(dòng):用戶或終端設(shè)備通過啟動(dòng)瀏覽器或客戶端程序與主站端建立訪 問;此環(huán)節(jié)面臨的威脅包括客戶端程序偽造和終端惡意攻擊���;
[0014] 2)用戶端向主站端提交數(shù)據(jù):用戶端與主站端交互過程中���,用戶端向主站端提交 數(shù)據(jù),提交的方式包括:用戶輸入方式或用戶端自動(dòng)采集方式��;此環(huán)節(jié)面臨的威脅包括敏 感信息泄漏、認(rèn)證繞過和暴力破解�����;
[0015] 3)數(shù)據(jù)通過網(wǎng)絡(luò)傳輸I :用戶端提交的數(shù)據(jù)通過網(wǎng)絡(luò)進(jìn)行傳輸�,數(shù)據(jù)將經(jīng)過不同 網(wǎng)絡(luò)環(huán)境,會(huì)跨越多個(gè)可信或不可信網(wǎng)絡(luò)邊界����;此環(huán)節(jié)面臨的威脅包括敏感信息收集、數(shù)據(jù) 篡改�����、會(huì)話劫持和拒絕服務(wù)�;
[0016] 4)主站端接受并處理數(shù)據(jù):主站端對(duì)來源用戶端的數(shù)據(jù)進(jìn)行匯總、加工處理��、分 析計(jì)算�,并根據(jù)處理結(jié)果進(jìn)行相應(yīng)操作;同時(shí)數(shù)據(jù)會(huì)在主站端的多個(gè)應(yīng)用程序間傳輸�����;此 環(huán)節(jié)面臨的威脅包括認(rèn)證繞過�、非授權(quán)訪問��、會(huì)話重放�、敏感信息泄漏�����、數(shù)據(jù)篡改����、路徑遍 歷、注入攻擊�����、溢出攻擊和URL重定向����;
[0017] 5)數(shù)據(jù)在主站端保存及更新:主站端應(yīng)用程序?qū)⑻幚砗蟮臄?shù)據(jù)寫入后臺(tái)數(shù)據(jù)庫 或更新數(shù)據(jù)�����;此環(huán)節(jié)面臨的威脅包括數(shù)據(jù)篡改和敏感信息泄漏�;
[0018] 6)主站端向用戶端返回?cái)?shù)據(jù):主站端應(yīng)用程序在完成數(shù)據(jù)的收集和處理后,將處 理結(jié)果信息返回用戶端�����;此環(huán)節(jié)面臨的威脅包括敏感信息泄漏;
[0019] 7)數(shù)據(jù)通過網(wǎng)絡(luò)傳輸II :主站端返回的數(shù)據(jù)通過網(wǎng)絡(luò)進(jìn)行傳輸���,數(shù)據(jù)將經(jīng)過不同 網(wǎng)絡(luò)環(huán)境�,會(huì)跨越多個(gè)可信或不可信網(wǎng)絡(luò)邊界�;此環(huán)節(jié)面臨的威脅包括敏感信息收集、數(shù)據(jù) 篡改和會(huì)話劫持���;
[0020] 8)數(shù)據(jù)在用戶端顯示及保存:用戶端接收到主站端返回的數(shù)據(jù)�����,通過整合后在用 戶端進(jìn)行顯示����,部分?jǐn)?shù)據(jù)將存儲(chǔ)在用戶端���;此環(huán)節(jié)面臨的威脅包括數(shù)據(jù)篡改���、敏感信息泄漏 和URL重定向。
[0021] 進(jìn)一步地�,所述步驟(2)中���,系統(tǒng)分解以應(yīng)用系統(tǒng)為主體,根據(jù)系統(tǒng)功能 Functions��、系統(tǒng)用戶Users�����、系統(tǒng)內(nèi)部結(jié)構(gòu)Structure和系統(tǒng)訪問量Visits+對(duì)應(yīng)用系統(tǒng)進(jìn) 行分解�����;所述系統(tǒng)分解包括下述步驟:
[0022] A�、首先調(diào)研應(yīng)用系統(tǒng)功能,獲得系統(tǒng)分解集合sd :sd =< Usri, Clti, Svri, eSi, > ;
[0023] B���、根據(jù)步驟A中的系統(tǒng)分解集合sd,繪制系統(tǒng)邏輯架構(gòu)����;
[0024] 其中:sd表示系統(tǒng)分解集合,由用戶����、客戶端����、服務(wù)器���、外部系統(tǒng)和信任邊界五元 組描述��;
[0025] 其中用戶Usri e User��,User是對(duì)應(yīng)用系統(tǒng)進(jìn)行操作的用戶集合User ={gU�,mU����,mu},集合中的元素分別表示普通用戶��、管理用戶和惡意用戶�;客戶端 CltiG Client,Client是指連接應(yīng)用系統(tǒng)服務(wù)端的工具集合Client = {b���,cs}��,集合中的 元素分別表示瀏覽器和客戶端軟件�;服務(wù)器SvriE Server��,Server是應(yīng)用系統(tǒng)服務(wù)端的服 務(wù)器集合Server = {as,Ws��,ds}�����,集合中的元素分別表示應(yīng)用服務(wù)器����、Web服務(wù)器和數(shù)據(jù)庫 服務(wù)器;eSi^ External-System��,External-System是與應(yīng)用系統(tǒng)進(jìn)行交互的外部系統(tǒng)集 合�����;Trust-Boundaries�����,Trust-Boundaries是應(yīng)用系統(tǒng)中的信任邊界集合��。
[0026] 進(jìn)一步地���,所述步驟(3)中��,關(guān)鍵業(yè)務(wù)流轉(zhuǎn)分析識(shí)別應(yīng)用系統(tǒng)的關(guān)鍵業(yè)務(wù)功能(關(guān) 鍵業(yè)務(wù)功能如用戶登錄功能和轉(zhuǎn)賬功能等)��,用cbfa表示��,cbfa = {bj集合中元素表示關(guān) 鍵業(yè)務(wù)功能����。
[0027] 進(jìn)一步地��,所述步驟(4)中�,根據(jù)關(guān)鍵業(yè)務(wù)流轉(zhuǎn)分析的結(jié)果cbfa,識(shí)別每個(gè)關(guān)鍵 業(yè)務(wù)用例所包含的敏感數(shù)據(jù)data = W1, d2, d3. .. dn}并進(jìn)行綜合評(píng)價(jià)���;按照敏感數(shù)據(jù)的 機(jī)密性confidentiality���、完整性integrity、可用性availability屬性進(jìn)行分析�����;其中 confidentiality = {1�,2, 3}、integrity = {1�����,2, 3}、availability = {1,2,3}�����;
[0028] 滿足 Confidentialityi= 3�����、confidentiality i= 2&integrity ^ 2 其中一個(gè)條 件數(shù)據(jù)安全級(jí)別為增強(qiáng)型����;如果其中任一條件都不滿足,則數(shù)據(jù)安全級(jí)別為一般性����;
[0029] 所述敏感數(shù)據(jù)識(shí)別與定級(jí)包括下述步驟:
[0030] 〈1>根據(jù)關(guān)鍵業(yè)務(wù)流轉(zhuǎn)分析結(jié)果Cbfa,對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)進(jìn)行分類梳理���,確定敏 感數(shù)據(jù):data = W1, d2, d3. · · dn};
[0031] 〈2>計(jì)算敏感數(shù)據(jù)的機(jī)密性confidentiality����、完整性integrity和可用性 availability并對(duì)其進(jìn)行賦值��;
[0032] 〈3>根據(jù)敏感數(shù)據(jù)的機(jī)密性confidentiality���、完整性integrity和可用 性 availability 的值���,計(jì)算是否滿足 Confidentialityi= 3 或 confidentiality i = 2&integrity 多 2 ;
[0033] 〈4>確定數(shù)據(jù)安全級(jí)別是增強(qiáng)性還是一般性:data = {dla, d2a, d3a. ·· dna};
[0034] 其中 a e {increase, general} ;increase 表不增強(qiáng)性,general 表不一般性��,α 表不increase和general中的一種���。
[0035] 進(jìn)一步地���,所述步驟(5)中,根據(jù)關(guān)鍵業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)P建立基于業(yè)務(wù)數(shù)據(jù)流威 脅模型的安全威脅分析���;安全威脅分析包括下述步驟:
[0036] 1>根據(jù)總體業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)����,確定本應(yīng)用系統(tǒng)的業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)bdt :bdt = {PJ ;其中ie {1���,2, 3, 4, 5, 6, 7, 8}七為用戶端啟動(dòng)���、P2S用戶端向主站端提交數(shù)據(jù)�、P3S 數(shù)據(jù)通過網(wǎng)絡(luò)傳輸I���、P4為主站端接收并處理數(shù)據(jù)����、P 5為數(shù)據(jù)在主站端更新及存儲(chǔ)�、P 6為主 站端向用戶