本发明专利技术公开了一种面向威胁建模的信息处理方法、系统及电子设备,获取待建模的软件对应的软件信息,利用预创建的威胁知识库中的信息对软件信息中的软件数据流图进行映射,获得威胁分析结果,对所述威胁分析结果进行处理,得到目标威胁分析结果。本发明专利技术通过威胁映射对软件中存在的潜在风险进行识别,对专业经验和知识的要求较低,使得应用范围更广,有效帮助开发人员识别风险,提高软件安全性;另外还可根据各行业特点在威胁知识库中加入行业业务特有的威胁点,使威胁分析及结果更全面,有效识别和抵御业务风险。
【技术实现步骤摘要】
面向威胁建模的信息处理方法、系统及电子设备
本专利技术涉及信息处理
,特别是涉及一种面向威胁建模的信息处理方法、系统及电子设备。
技术介绍
安全漏洞往往给攻击者提供了非授权的访问和攻击系统的入口点,达成控制或破坏系统的目的。业务风险是一种典型的威胁,如航旅业务往往面临机票爬取、恶意占座等业务风险,如不能对业务风险进行有效控制,会影响业务正常开展,增加经营成本。安全代码审计和渗透测试是两种最为常见的发现威胁以提供系统安全性的方式。但是这两种方式都具备类似的缺点:只能在系统开发完成后才进行设计和测试,无法系统化威胁。而威胁建模作为SDL(安全开发生命周期)设计阶段的一部分安全活动,是安全设计人员站在攻击者的角度,通过建模的方式将威胁抽象化和结构化,以图表辅助确定威胁的范围,识别产品架构和功能设计中潜在的安全问题和威胁并实施相应环节措施,规避风险,确保产品安全性。如在业务安全这个维度,通过定位攻击目标和可利用的业务安全漏铜来提高系统安全性,然后定义防范或减轻系统业务风险的对策的过程。但是,目前威胁建模通常会基于攻击树模型或者STRIDE方法实现,攻击树模型对涉及攻击书的安全人员的安全技能和攻防经验要求非常高,在实际中很难被大范围的软件应用以提升其安全性;STRIDE威胁建模方法主要依靠专家头脑风暴的方式进行人工分析,成本较高。
技术实现思路
针对于上述问题,本专利技术提供一种面向威胁建模的信息处理方法、系统及电子设备,实现了应用范围广及提高软件安全性和业务安全性的目的。为了实现上述目的,本专利技术提供了如下技术方案:一种面向威胁建模的信息处理方法,所述方法包括:获取待建模的软件对应的软件信息,所述软件信息包括软件数据流图;基于所述软件信息生成自动化威胁建模请求;响应于所述自动化威胁建模请求,利用预创建的威胁知识库中的信息对所述软件数据流图进行映射,获得建模结果,所述建模结果包括威胁分析结果,所述预创建的威胁知识库包括不同类型的威胁数据和基于行业的业务特征确定的特定威胁数据;对所述威胁分析结果进行处理,得到目标威胁分析结果。一种面向威胁建模的信息处理系统,所述系统包括:获取单元,用于获取待建模的软件对应的软件信息,所述软件信息包括软件数据流图;映射单元,用于利用预创建的威胁知识库中的信息对所述软件数据流图进行映射,获得建模结果,所述建模结果包括威胁分析结果,所述预创建的威胁知识库包括不同类型的威胁数据和基于行业的业务特征确定的特定威胁数据;处理单元,用于对所述威胁分析结果进行处理,得到目标威胁分析结果。一种存储介质,所述存储介质上存储有可执行指令,所述指令被处理器执行时实现如权利要求1至7中任一项所述的面向威胁建模的信息处理方法。一种电子设备,包括:存储器,用于存储程序;处理器,用于执行所述程序,所述程序具体用于:获取待建模的软件对应的软件信息,所述软件信息包括软件数据流图;利用预创建的威胁知识库中的信息对所述软件数据流图进行映射,获得建模结果,所述建模结果包括威胁分析结果,所述预创建的威胁知识库包括不同类型的威胁数据和基于行业的业务特征确定的特定威胁数据;对所述威胁分析结果进行处理,得到目标威胁分析结果。相较于现有技术,本专利技术提供了一种面向威胁建模的信息处理方法、系统及电子设备,获取待建模的软件对应的软件信息,利用预创建的威胁知识库中的信息对软件信息中的软件数据流图进行映射,获得威胁分析结果,对所述威胁分析结果进行处理,得到目标威胁分析结果。本专利技术通过建立威胁知识库进行威胁映射对软件中存在的潜在风险进行识别,对专业经验和知识的要求较低,使得应用范围更广,有效帮助开发人员识别风险,提高软件安全性;另外还可根据各行业特点在威胁知识库中加入行业业务特有的威胁点,使威胁分析及结果更全面,有效识别和抵御业务风险。附图说明结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、有点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记标识相同或相似的元素。应当理解附图是式意性的,原件和元素不一定按照比例绘制。图1为本专利技术实施例提供的一种民航信息安全控制系统的架构图;图2为本专利技术实施例提供的一种面向威胁建模的信息处理方法的流程示意图;图3为本专利技术实施例提供的一种软件数据流图;图4为本专利技术实施例提供的一种数据流图与风险表映射的示意图;图5为本专利技术实施例提供的一种决策与复审流程示意图;图6为本专利技术实施例提供的一种风险聚合过程的示意图;图7为本专利技术实施例提供的一种面向威胁建模的信息处理系统的结构示意图。具体实施方式下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。在本专利技术实施例提供了一种面向威胁建模的信息处理方法,所述方法可以应用于民航信息安全控制系统,参见图1,其示出了本专利技术实施例提供的一种民航信息安全控制系统的架构图,该民航信息安全控制系统包括前端组件、风险展示组件、威胁管理组件和知识库组件,对应的,前端组件包括建模前端、管理前端,威胁管理组件包括决策组件、复审组件和威胁映射组件,风险展示组件包括风险地图展示组件,风险聚合组件。需要说明的是,该您航信息安全控制系统还可以包括控制接口,即在识别到对应软件存在威胁或者风险时,可以控制该软件的应用系统暂停处理,也可以控制对应的修复系统对该软件存在的漏洞进行修复,也可以控制预警系统对存在风险的软件进行预警,以保证信息的安全性。会在本专利技术提供的面向威胁建模的信息处理方法中对该民航信息安全控制系统的各个组件进行说明。参见图2,其示出了本专利技术实施例提供的一种面向威胁建模的信息处理方法的流程示意图,该方法可以包括以下步骤:S101、获取待建模的软件对应的软件信息。可以通过民航安全信息控制系统的建模前端获取待建模的软件对应的软件信息,即该建模前端提供与用户进行交互的接口,即提供软件信息、软件数据流图、威胁建模、结果确认、本文档来自技高网...
【技术保护点】
1.一种面向威胁建模的信息处理方法,其特征在于,所述方法包括:/n获取待建模的软件对应的软件信息,所述软件信息包括软件数据流图;/n利用预创建的威胁知识库中的信息对所述软件数据流图进行映射,获得建模结果,所述建模结果包括威胁分析结果,所述预创建的威胁知识库包括不同类型的威胁数据和基于行业的业务特征确定的特定威胁数据;/n对所述威胁分析结果进行处理,得到目标威胁分析结果。/n
【技术特征摘要】
1.一种面向威胁建模的信息处理方法,其特征在于,所述方法包括:
获取待建模的软件对应的软件信息,所述软件信息包括软件数据流图;
利用预创建的威胁知识库中的信息对所述软件数据流图进行映射,获得建模结果,所述建模结果包括威胁分析结果,所述预创建的威胁知识库包括不同类型的威胁数据和基于行业的业务特征确定的特定威胁数据;
对所述威胁分析结果进行处理,得到目标威胁分析结果。
2.根据权利要求1所述的方法,其特征在于,所述获取待建模的软件对应的软件信息,包括:
获取软件的基础信息,以及与所述基础信息对应的关联信息,所述关联信息包括软件上游信息、软件下游信息和软件数据流图;
或者,
获取软件的基础信息;
生成与所述基础信息对应的待选定信息;
响应于对所述待选定信息的选定操作,确定目标信息;
基于所述目标信息生成软件数据流图。
3.根据权利要求1所述的方法,所述利用预创建的威胁知识库中的信息对所述软件数据流图进行映射,获得建模结果,包括:
获得所述软件数据流图对应的元素信息;
获取所述预创建的威胁知识库中的不同类型的威胁信息;
将所述元素信息的各个元素与各个类型的威胁信息进行映射,得到初始威胁点;
对所述初始威胁点进行分析,得到建模结果。
4.根据权利要求1所述的方法,其特征在于,所述对所述威胁分析结果进行处理,得到目标威胁分析结果,包括:
通过专家共识对所述威胁分析结果进行复审验证,将验证通过的威胁分析结果确定为目标威胁分析结果。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
基于所述软件信息对所述威胁分析结果进行补充和裁剪,得到处理后的威胁分析结果,将所述处理后的威胁分...
【专利技术属性】
技术研发人员:高健媛,李永进,于明亮,赵悦,张海洋,
申请(专利权)人:中国民航信息网络股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。