本说明书实施例公开了一种业务风险分析方法、装置及设备。对于新提交的业务产品文档PRD,抽离出其中的业务链路,通过预先建立的风险相关的结构化的数据库进行匹配对比,寻找出其中可能被攻击的利益业务环节,进而生成可能存在的风险攻击路径,针对风险攻击路径上所涉及的业务环节,进行相对应的关联分析,对新业务的风险分析及安全方案制定提供一站式的自动化评估和建议。
【技术实现步骤摘要】
一种业务风险分析方法、装置及设备
本说明书涉及计算机
,尤其涉及一种业务风险分析方法、装置及设备。
技术介绍
在业务部署过程中,事先对业务风险进行评估以及应对是不可或缺的一部分。在传统方式下,业务项目在构思完成后,以产品需求文档(ProductRequirementDocument,PRD)或样品Demo演示的形式提交安全系统,通过人工审核方式进行风险评审。这种风险评估方式,依赖专家经验,不能全面的覆盖业务涉及的风险,不同人给出的风险评级也多有差异,同时,数据也难以沉淀下来作为以后评估的依据。基于此,需要一种更有效的业务风险分析方案。
技术实现思路
本说明书实施例提供一种业务风险分析方法、装置和设备,用于解决如下问题:以提供一种更有效的业务风险分析方案。基于此,本说明书实施例提供一种业务风险分析方法,包括:获取与业务方案相对应的业务链路,其中,所述业务链路由多个包含业务标签的业务节点组成,所述业务节点至少包含一个业务环节;根据预先建立的业务标签和业务环节的对应关系,确定所述业务链路中的利益业务环节;判定所述利益业务环节是否存在风险,若存在风险,生成以所述利益业务环节作为终点的风险攻击路径;针对所述风险攻击路径中的任一业务环节,确定所述业务环节所对应的风险类型,生成包含所述风险类型的评估结果。同时,本说明书的实施例还提供一种业务风险分析装置,包括:获取模块,获取与业务方案相对应的业务链路,其中,所述业务链路由多个包含业务标签的业务节点组成,所述业务节点至少包含一个业务环节;确定模块,根据预先建立的业务标签和业务环节的对应关系,确定所述业务链路中的利益业务环节;判定模块,判定所述利益业务环节是否存在风险,若存在风险,生成以所述利益业务环节作为终点的风险攻击路径;生成模块,针对所述风险攻击路径中的任一业务环节,确定所述业务环节所对应的风险类型,生成包含所述风险类型的评估结果。对应的,本说明书实施例还提供一种业务风险分析设备,包括:存储器,存储有业务风险分析程序;处理器,调用所述存储器中的业务风险分析程序,并执行:获取与业务方案相对应的业务链路,其中,所述业务链路由多个包含业务标签的业务节点组成,所述业务节点至少包含一个业务环节;根据预先建立的业务标签和业务环节的对应关系,确定所述业务链路中的利益业务环节;判定所述利益业务环节是否存在风险,若存在风险,生成以所述利益业务环节作为终点的风险攻击路径;针对所述风险攻击路径中的任一业务环节,确定所述业务环节所对应的风险类型,生成包含所述风险类型的评估结果。对应的,本说明书的实施例还提供一种非易失性计算机存储介质,存储有计算机可执行指令,所述计算机可执行指令设置为:获取与业务方案相对应的业务链路,其中,所述业务链路由多个包含业务标签的业务节点组成,所述业务节点至少包含一个业务环节;根据预先建立的业务标签和业务环节的对应关系,确定所述业务链路中的利益业务环节;判定所述利益业务环节是否存在风险,若存在风险,生成以所述利益业务环节作为终点的风险攻击路径;针对所述风险攻击路径中的任一业务环节,确定所述业务环节所对应的风险类型,生成包含所述风险类型的评估结果。本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果:通过预先收集与沉淀的数据,建立起与风险相关的结构化的数据库,其中,包括业务节点、各业务节点所涉及的相关业务环节、各业务环节所对应的业务标签、承重墙策略,防守策略,风险类型,风险等级等等,把历史经验转化为明确的分析点。而后,对于新提交的业务产品文档PRD,抽离出其中的业务链路,进行匹配对比,寻找出其中可能被攻击的利益业务环节,进而生成可能存在的风险攻击路径,针对风险攻击路径上所涉及的业务环节,进行相对应的关联分析,对新业务的风险分析及安全方案制定提供一站式的自动化建议。附图说明图1为说明本说明书的实施例提供的业务风险分析过程的示意图;图2为本说明书实施例所提供的商户扫描用户的付款码进行支付时所涉及的风险攻击路径的示意图;图3为本说明书实施例所提供的业务安全规则的示意图;图4为本说明书实施例所提供在外籍账户绑卡中所涉及的风险评级信息的示意图;图5为本说明书实施例所涉及的一站式风险评估的整体逻辑示意图;图6为本说明书实施例所提供的装置结构示意图。具体实施方式为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。一般而言,业务项目在构思完成后,需要以PRD或Demo的形式提交安全进行风险评审,风险评审涵盖风险分析,安全方案制定等工作。传统的分析依赖人工经验,同时,对同一业务项目上,不同人之间的经验分析也会有很大差异。基于此,本说明书实施例提供一种业务风险分析方案,提供对业务链路的分析和匹配的平台,通过沉淀出的数据库,对抽离出的业务链路提供一站式的风险分析和安全建议,提高效率。如图1所示,图1为说明本说明书的实施例提供的业务风险分析过程的示意图,该过程具体包括以下步骤:S101,获取与业务方案相对应的业务链路,其中,所述业务链路由多个包含业务标签的业务节点组成,所述业务节点至少包含一个业务环节。业务节点的划分方式基于实际需要可以有多种。例如,可基于实际业务处理过程中的操作主体进行划分,分为用户端、服务端等等;又例如,可基于业务流程中所涉及到的利益团体,划分为用户节点、银行节点、第三方节点等等;以及,还可以根据业务处理过程中所涉及到的部门进行划分,例如,划分为支付部门节点、信贷部门节点等等。该对于工作节点的划分方式可基于人为经验实行自定义。换言之,将业务项目通过分域,形成一种可以界定权责或者利益归属的安全边界,在不同的域上的操作人、业务功能、业务风险以及安全控制策略都不完全一样,从而得到多个互不相同的业务节点。容易理解,在一个业务节点上,至少需要对一个业务环节进行处理,更一般的情况下,则是具有多个业务环节。例如,在用户节点上,当用户确定了双方的账户之后,进行转账时,还存在需要输入转账金额、密码以及备注信息等环节;在服务端节点上,在支付之前,还需要有信息读取(例如,根据收款方的ID获取其对应的收款账号)、信息验证等业务环节。在支付领域中,所述业务环节至少包括用户登录环节、生成数字对象唯一标识符(DigitalObjectUniqueIdentifier,DOI)环节、展示DOI环节、输入支付金额,输入支付密码等等环节。基于业务流的走向,将多个业务节点串联起来,即为本方案所述的业务链路。在业务链路上,每个业务节点以及业务环节至少应具有相应的名称,以及,还可以有其他人为给定的业务标签。S103,根据预先建立的业务标签和业务环节的对应关系,确定所述业务链路中的利益业务环节。所述业务标签具体而言,可以包括业务环节的名称标签、功能标签、风险类型标签、域标签、风险等级标签、安全策略标签(用于说明在本节点上具体采用了哪些安全措施)、权责标签、资金流向标签等等。容易理解,一个业务节点由于一般具有多个业务环节,业务环节可以包含多个业务标签本文档来自技高网...
【技术保护点】
1.一种业务风险分析方法,包括:获取与业务方案相对应的业务链路,其中,所述业务链路由多个包含业务标签的业务节点组成,所述业务节点至少包含一个业务环节;根据预先建立的业务标签和业务环节的对应关系,确定所述业务链路中的利益业务环节;判定所述利益业务环节是否存在风险,若存在风险,生成以所述利益业务环节作为终点的风险攻击路径;针对所述风险攻击路径中的任一业务环节,确定所述业务环节所对应的风险类型,生成包含所述风险类型的评估结果。
【技术特征摘要】
1.一种业务风险分析方法,包括:获取与业务方案相对应的业务链路,其中,所述业务链路由多个包含业务标签的业务节点组成,所述业务节点至少包含一个业务环节;根据预先建立的业务标签和业务环节的对应关系,确定所述业务链路中的利益业务环节;判定所述利益业务环节是否存在风险,若存在风险,生成以所述利益业务环节作为终点的风险攻击路径;针对所述风险攻击路径中的任一业务环节,确定所述业务环节所对应的风险类型,生成包含所述风险类型的评估结果。2.如权利要求1所述的方法,根据预先建立的业务标签和业务环节的对应关系,确定所述业务链路中的利益业务环节,包括:针对业务链路中的任一业务环节所包含的业务标签,查询与所述业务标签相同或者相似的业务标签所对应的业务环节;根据查询得到的业务环节所对应的业务标签,确定所述业务链路中的业务节点是否为利益业务节点。3.如权利要求1所述的方法,生成以所述利益业务环节作为终点的风险攻击路径,包括:确定所述利益业务环节所对应的一个或者多个入口业务环节,生成从所述入口业务环节至所述利益业务环节的风险攻击路径。4.如权利要求1所述的方法,还包括:针对所述评估结果中的任一风险类型,获取与所述风险类型相对应的业务安全规则,或者,获取与所述风险类型相对应的安全产品名称;生成与所述风险攻击路径相关的风险控制信息,其中所述风险控制信息包含所述业务安全规则或者安全产品名称。5.如权利要求1所述的方法,所述业务方案包括支付相关的业务方案,所述业务节点包括用户端、商户端、服务端或者银行端。6.如权利要求1所述的方法,还包括:确定所述风险链路中各业务环节所包含的风险维度,生成包含所述风险维度的具体等级的风险评级信息。7.一种业务风险分析装置,包括:获取模块,获取与业务方案相对应的业务链路,其中,所述业务链路由多个包含业务标签的业务节点组成,所述业务节点至少包含一个业务环节;确定模块,根据预先建立的业务标签和业务环节的对应关系,确定所述业务链路中的利...
【专利技术属性】
技术研发人员:张靖靖,金宇秋,骆宁,韩腾飞,雍璨宁,邵琳,俞芳芳,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。