业务分析方法及装置、业务安全的评估方法及系统制造方法及图纸

技术编号:15878830 阅读:95 留言:0更新日期:2017-07-25 16:49
本发明专利技术提供一种业务分析方法及装置、业务安全的评估方法及系统,属于信息安全技术领域,其可解决现有的面向资产的风险评估方法因忽略了业务层面的不同业务的安全需求以及业务自身运行的安全,从而导致评估结果缺乏针对性和有效性的问题。本发明专利技术的业务分析方法,包括采用企业构架模型对业务进行分析的步骤;其中,企业构架模型包括由上至下的业务层、数据层、应用层和基础设施层;对业务的描述与业务层对应;与业务对应的输入数据、输出数据和控制数据与数据层对应;支持业务的软件应用系统与应用层对应;支持软件应用系统通信的设施和信息处理的硬件与软件平台与基础设施层对应。

Service analysis method and device, service safety evaluation method and system

The invention provides a method and system for estimating method and device for business analysis and business security, which belongs to the technical field of information security, which can solve the existing asset oriented risk assessment method for ignoring the business level of different business security requirements and business operation safety, resulting in the evaluation results of the lack of pertinence and validity the problem. The invention of the business analysis methods, including the use of enterprise architecture analysis steps of business; among them, enterprise architecture model including business layer, data layer, application layer and infrastructure layer from top to bottom; and to describe the business layer corresponding business; corresponding to the input data and output data and control data and data layer business correspondence the software application system; support the business application layer and the corresponding hardware and software platform; and the infrastructure facilities and information processing of the corresponding support software application system communication.

【技术实现步骤摘要】
业务分析方法及装置、业务安全的评估方法及系统
本专利技术属于信息安全
,具体涉及一种业务分析方法及装置、业务安全的评估方法及系统。
技术介绍
目前,大多数的信息安全风险评估方法是以承载业务运行的信息系统及相关的基础设施为评估对象,通过发现信息系统及相关基础设施的价值、存在的脆弱性和面临的威胁进行风险评估。这种评估方法更注重从技术层面罗列安全问题,却忽略了业务层面的不同业务的安全需求以及业务自身运行的安全,从而导致评估结果缺乏针对性和有效性。具体地,面向资产的风险评估方法中的威胁识别是以信息/信息系统为中心,展开对威胁的发现、识别和判定,即先对各信息/信息系统所处的环境条件进行全面、准确的描述,结合以前遭受威胁损害的情况,对威胁进行准确识别。然而,在实际操作中,威胁识别的通常仍然是基于已有的威胁分类,考虑已发现的脆弱性与威胁分类的对应关系,没有针对性的进行威胁建模,虽然目前已经有基于威胁树、威胁场景建模等评估方法,但多以发现技术层面威胁为主,对于系统的业务安全关注较少,更没有从业务安全运行的角度出发来考虑安全。另外,脆弱性识别也仅考虑主机安全、网络安全、应用安全等技术层面安全性,应用安全考虑身份鉴别、访问控制等通用评估要素,没有分析不同应用系统的业务安全特性和需求,导致评估结果“千篇一律”,缺乏针对性和有效性。简单来说,信息系统及相关基础设施只是业务的载体,为业务安全运行提供基础支撑,而业务安全才是信息安全的终极目标和用户所关注的重点,只对信息系统及相关基础设施进行的评估并不能代表对业务安全的评估结果。因此,现有的面向资产的风险评估方法经实践证明存在以下缺点与不足:1)面向资产的风险评估方法的评估对象是信息系统及相关基础设施的安全性,没有对业务是否能够安全运行进行评估;2)面向资产的风险评估方法只能发现技术层面的问题,很难发现能够影响业务安全运行的业务层面的安全问题;3)面向资产的风险评估方法由于缺乏针对性,很难发现能够影响业务安全运行的关键安全问题;4)面向资产的风险评估方法由于对待评估的业务不熟悉,没法根据发现的安全问题对业务影响进行评估。
技术实现思路
本专利技术旨在至少解决现有技术中存在的技术问题之一,提出了一种能够根据业务层面的不同业务的安全需求以及业务自身运行的安全,对业务进行具有针对性和有效性的评估的业务分析方法及装置、业务安全的评估方法及系统。解决本专利技术技术问题所采用的技术方案是一种业务分析方法,包括采用企业构架模型对业务进行分析的步骤;其中,所述企业构架模型包括由上至下的业务层、数据层、应用层和基础设施层;对所述业务的描述与所述业务层对应;与所述业务对应的输入数据、输出数据和控制数据与所述数据层对应;支持所述业务的软件应用系统与所述应用层对应;支持所述软件应用系统通信的设施和信息处理的硬件与软件平台与所述基础设施层对应。其中,所述采用企业构架模型对业务进行分析的步骤包括:将集成计算器辅助制造中的功能建模与所述业务层结合,以对所述业务进行分析;所述功能建模包括业务功能;所述将集成计算器辅助制造中的功能建模与所述业务层结合,以对所述业务进行分析包括:所述业务功能与所述业务层对应;所述数据层向所述业务功能输入控制数据和输入数据,并对所述业务功能的输出数据进行存储;所述应用层向所述业务功能提供执行资源。作为另一技术方案,本专利技术还提供一种业务安全的评估方法,包括:上述任意一项所述的业务分析方法。其中,在所述业务分析方法的步骤之后,还包括:采用威胁模型对所述业务进行威胁分析,以生成业务自身安全需求。其中,在所述采用威胁模型对所述业务进行威胁分析,以生成风险控制安全需求之后,还包括:根据合规性安全需求、业务自身安全需求和风险控制安全需求,映射至数据层、应用层和基础设施层,以生成技术安全测试项和管理安全测试项。其中,在所述根据合规性安全需求、业务自身安全需求和风险控制安全需求,映射至应用层和基础设施层,以生成技术安全测试项和管理安全测试项之后,还包括:对所述技术安全测试项和所述管理安全测试项进行现场测评,生成现场测评结果;根据所述现场测评结果,对业务安全进行评估。其中,所述根据所述现场测评结果,对业务安全进行评估包括:根据所述现场测评结果,生成技术脆弱性和管理脆弱性;根据所述技术脆弱性和所述管理脆弱性,分析出与所述技术脆弱性和所述管理脆弱性相关的业务;对所述业务的业务安全进行评估。作为另一技术方案,本专利技术还提供一种业务分析装置,包括分析模块;所述分析模块,用于采用企业构架模型对业务进行分析;其中,所述企业构架模型包括由上至下的业务层、数据层、应用层和基础设施层;对所述业务的描述与所述业务层对应;与所述业务对应的输入数据、输出数据和控制数据与所述数据层对应;支持所述业务的软件应用系统与所述应用层对应;支持所述软件应用系统通信的设施和信息处理的硬件与软件平台与所述基础设施层对应。其中,所述分析模块具体用于将集成计算器辅助制造中的功能建模与所述业务层结合,以对所述业务进行分析;所述功能建模包括业务功能;所述分析模块包括:对应模块,用于所述业务功能与所述业务层对应;数据模块,用于所述数据层向所述业务功能输入控制数据和输入数据,并对所述业务功能的输出数据进行存储;应用模块,用于所述应用层向所述业务功能提供执行资源。作为另一技术方案,本专利技术还提供一种业务安全的评估系统,包括上述任意一项所述的业务分析装置。其中,所述业务安全的评估系统还包括:威胁分析模块;所述威胁分析模块,用于采用威胁模型对所述业务进行威胁分析,以生成业务自身安全需求。其中,所述业务安全的评估系统还包括:生成模块;所述生成模块,用于根据合规性安全需求、业务自身安全需求和风险控制安全需求,映射至数据层、应用层和基础设施层,以生成技术安全测试项和管理安全测试项。其中,所述生成模块,还用于对所述技术安全测试项和所述管理安全测试项进行现场测评,生成现场测评结果;所述评估系统还包括:评估模块;所述评估模块,用于根据所述现场测评结果,对业务安全进行评估。其中,所述评估模块包括:子生成模块、脆弱性分析模块和子评估模块;所述子生成模块,用于根据所述现场测评结果,生成技术脆弱性和管理脆弱性;所述脆弱性分析模块,用于根据所述技术脆弱性和所述管理脆弱性,分析出与所述技术脆弱性和所述管理脆弱性相关的业务;所述子评估模块,用于对所述业务的业务安全进行评估。本专利技术的业务分析方法及装置中,采用企业构架模型对业务进行分析,其重点在于对待评估目标的业务进行梳理,通过使企业架构(EnterpriseArchitecture,以下简称EA)模型和功能建模相结合,建立起业务层、数据层、应用层和基础设施层直接的对应关系,以业务安全运行为出发点,能够发现跟业务安全运行相关的业务安全问题,即根据业务层、数据层、应用层和基础设施层之间的关系找到导致业务出现安全问题的原因,从而提高了业务梳理的有效性。本专利技术的业务安全的评估方法及系统,从业务梳理出发,并从攻击者的角度通过威胁建模来分析业务过程和业务数据可能面临的威胁,使发现的问题更具有针对性和全面性;而且,通过业务层、数据层、应用层和基础设施层之间的联系,根据应用层和基础设施层所存在的安全问题能够评估其对具体业务的影响。附图说明图1为本专利技术本文档来自技高网
...
业务分析方法及装置、业务安全的评估方法及系统

【技术保护点】
一种业务分析方法,其特征在于,包括采用企业构架模型对业务进行分析的步骤;其中,所述企业构架模型包括由上至下的业务层、数据层、应用层和基础设施层;对所述业务的描述与所述业务层对应;与所述业务对应的输入数据、输出数据和控制数据与所述数据层对应;支持所述业务的软件应用系统与所述应用层对应;支持所述软件应用系统通信的设施和信息处理的硬件与软件平台与所述基础设施层对应。

【技术特征摘要】
1.一种业务分析方法,其特征在于,包括采用企业构架模型对业务进行分析的步骤;其中,所述企业构架模型包括由上至下的业务层、数据层、应用层和基础设施层;对所述业务的描述与所述业务层对应;与所述业务对应的输入数据、输出数据和控制数据与所述数据层对应;支持所述业务的软件应用系统与所述应用层对应;支持所述软件应用系统通信的设施和信息处理的硬件与软件平台与所述基础设施层对应。2.根据权利要求1所述的业务分析方法,其特征在于,所述采用企业构架模型对业务进行分析的步骤包括:将集成计算器辅助制造中的功能建模与所述业务层结合,以对所述业务进行分析;所述功能建模包括业务功能;所述将集成计算器辅助制造中的功能建模与所述业务层结合,以对所述业务进行分析包括:所述业务功能与所述业务层对应;所述数据层向所述业务功能输入控制数据和输入数据,并对所述业务功能的输出数据进行存储;所述应用层向所述业务功能提供执行资源。3.一种业务安全的评估方法,其特征在于,包括:权利要求1或2所述的业务分析方法。4.根据权利要求3所述的业务安全的评估方法,其特征在于,在所述业务分析方法的步骤之后,还包括:采用威胁模型对所述业务进行威胁分析,以生成业务自身安全需求。5.根据权利要求4所述的业务安全的评估方法,其特征在于,在所述采用威胁模型对所述业务进行威胁分析,以生成风险控制安全需求之后,还包括:根据合规性安全需求、业务自身安全需求和风险控制安全需求,映射至数据层、应用层和基础设施层,以生成技术安全测试项和管理安全测试项。6.根据权利要求5所述的业务安全的评估方法,其特征在于,在所述根据合规性安全需求、业务自身安全需求和风险控制安全需求,映射至应用层和基础设施层,以生成技术安全测试项和管理安全测试项之后,还包括:对所述技术安全测试项和所述管理安全测试项进行现场测评,生成现场测评结果;根据所述现场测评结果,对业务安全进行评估。7.根据权利要求6所述的业务安全的评估方法,其特征在于,所述根据所述现场测评结果,对业务安全进行评估包括:根据所述现场测评结果,生成技术脆弱性和管理脆弱性;根据所述技术脆弱性和所述管理脆弱性,分析出与所述技术脆弱性和所述管理脆弱性相关的业务;对所述业...

【专利技术属性】
技术研发人员:陈锦佟鑫宋璟王禹李斌班晓芳
申请(专利权)人:中国信息安全测评中心
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1