The invention provides a method and system for estimating method and device for business analysis and business security, which belongs to the technical field of information security, which can solve the existing asset oriented risk assessment method for ignoring the business level of different business security requirements and business operation safety, resulting in the evaluation results of the lack of pertinence and validity the problem. The invention of the business analysis methods, including the use of enterprise architecture analysis steps of business; among them, enterprise architecture model including business layer, data layer, application layer and infrastructure layer from top to bottom; and to describe the business layer corresponding business; corresponding to the input data and output data and control data and data layer business correspondence the software application system; support the business application layer and the corresponding hardware and software platform; and the infrastructure facilities and information processing of the corresponding support software application system communication.
【技术实现步骤摘要】
业务分析方法及装置、业务安全的评估方法及系统
本专利技术属于信息安全
,具体涉及一种业务分析方法及装置、业务安全的评估方法及系统。
技术介绍
目前,大多数的信息安全风险评估方法是以承载业务运行的信息系统及相关的基础设施为评估对象,通过发现信息系统及相关基础设施的价值、存在的脆弱性和面临的威胁进行风险评估。这种评估方法更注重从技术层面罗列安全问题,却忽略了业务层面的不同业务的安全需求以及业务自身运行的安全,从而导致评估结果缺乏针对性和有效性。具体地,面向资产的风险评估方法中的威胁识别是以信息/信息系统为中心,展开对威胁的发现、识别和判定,即先对各信息/信息系统所处的环境条件进行全面、准确的描述,结合以前遭受威胁损害的情况,对威胁进行准确识别。然而,在实际操作中,威胁识别的通常仍然是基于已有的威胁分类,考虑已发现的脆弱性与威胁分类的对应关系,没有针对性的进行威胁建模,虽然目前已经有基于威胁树、威胁场景建模等评估方法,但多以发现技术层面威胁为主,对于系统的业务安全关注较少,更没有从业务安全运行的角度出发来考虑安全。另外,脆弱性识别也仅考虑主机安全、网络安全、应用安全等技术层面安全性,应用安全考虑身份鉴别、访问控制等通用评估要素,没有分析不同应用系统的业务安全特性和需求,导致评估结果“千篇一律”,缺乏针对性和有效性。简单来说,信息系统及相关基础设施只是业务的载体,为业务安全运行提供基础支撑,而业务安全才是信息安全的终极目标和用户所关注的重点,只对信息系统及相关基础设施进行的评估并不能代表对业务安全的评估结果。因此,现有的面向资产的风险评估方法经实践证明存在以 ...
【技术保护点】
一种业务分析方法,其特征在于,包括采用企业构架模型对业务进行分析的步骤;其中,所述企业构架模型包括由上至下的业务层、数据层、应用层和基础设施层;对所述业务的描述与所述业务层对应;与所述业务对应的输入数据、输出数据和控制数据与所述数据层对应;支持所述业务的软件应用系统与所述应用层对应;支持所述软件应用系统通信的设施和信息处理的硬件与软件平台与所述基础设施层对应。
【技术特征摘要】
1.一种业务分析方法,其特征在于,包括采用企业构架模型对业务进行分析的步骤;其中,所述企业构架模型包括由上至下的业务层、数据层、应用层和基础设施层;对所述业务的描述与所述业务层对应;与所述业务对应的输入数据、输出数据和控制数据与所述数据层对应;支持所述业务的软件应用系统与所述应用层对应;支持所述软件应用系统通信的设施和信息处理的硬件与软件平台与所述基础设施层对应。2.根据权利要求1所述的业务分析方法,其特征在于,所述采用企业构架模型对业务进行分析的步骤包括:将集成计算器辅助制造中的功能建模与所述业务层结合,以对所述业务进行分析;所述功能建模包括业务功能;所述将集成计算器辅助制造中的功能建模与所述业务层结合,以对所述业务进行分析包括:所述业务功能与所述业务层对应;所述数据层向所述业务功能输入控制数据和输入数据,并对所述业务功能的输出数据进行存储;所述应用层向所述业务功能提供执行资源。3.一种业务安全的评估方法,其特征在于,包括:权利要求1或2所述的业务分析方法。4.根据权利要求3所述的业务安全的评估方法,其特征在于,在所述业务分析方法的步骤之后,还包括:采用威胁模型对所述业务进行威胁分析,以生成业务自身安全需求。5.根据权利要求4所述的业务安全的评估方法,其特征在于,在所述采用威胁模型对所述业务进行威胁分析,以生成风险控制安全需求之后,还包括:根据合规性安全需求、业务自身安全需求和风险控制安全需求,映射至数据层、应用层和基础设施层,以生成技术安全测试项和管理安全测试项。6.根据权利要求5所述的业务安全的评估方法,其特征在于,在所述根据合规性安全需求、业务自身安全需求和风险控制安全需求,映射至应用层和基础设施层,以生成技术安全测试项和管理安全测试项之后,还包括:对所述技术安全测试项和所述管理安全测试项进行现场测评,生成现场测评结果;根据所述现场测评结果,对业务安全进行评估。7.根据权利要求6所述的业务安全的评估方法,其特征在于,所述根据所述现场测评结果,对业务安全进行评估包括:根据所述现场测评结果,生成技术脆弱性和管理脆弱性;根据所述技术脆弱性和所述管理脆弱性,分析出与所述技术脆弱性和所述管理脆弱性相关的业务;对所述业...
【专利技术属性】
技术研发人员:陈锦,佟鑫,宋璟,王禹,李斌,班晓芳,
申请(专利权)人:中国信息安全测评中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。