一种基于业务过程的信息系统安全需求分析方法

一种基于业务过程的信息系统安全需求分析方法一种基于业务过程的信息系统安全需求分析方法余志伟唐任仲贾东浇等一种基于业务过程的信息系统安全需求分析方法余志伟唐任仲贾东浇叶范波1.浙江大学,杭州,3100272.浙江大学宁波理工学院,宁波,315100摘要:为了识别信息系统安全需求,提出一种基于业务过程的信息系统安全需求分析方法.以业务过程安全为中心和目标,通过安全树模型,识别影响业务过程安全的关联资产.应用风险包和风险传递模型技术识别资产安全需求.通过覆盖分析,形成信息系统安全需求列表.最后通过案例简要介绍了该方法的应用.关键词:业务过程;信息系统;安全需求;安全树模型中图分类号:F270;TP309文章编号:1OO4132X(2007)04-0457一O4ABusinessPrOcessbasedMethodonSecurityRequirementAnalysisofInformationSystemsYuZhiweiTangRengzhongJiaDongjiaoYeFanbo1.ZhejiangUniversity,Hangzhou,3100272.NingboInstituteofTechnology,ZhejiangUniversity,Ningbo,Zhejiang,315100Abstract:Toidentifythesecurityrequirementsofinformationsystems,abusinessprocess-basedsecurityrequirementanalysismethodWaSpresented.Focusedonthebusinessprocesssecurity,therelatedassetswhichaffectthebusinessprocesssecuritywereidentifiedbysecuritytreemode1.ThesecurityrequirementsofassetswereidentifiedbyriskpacketandrisktransferringmodeI.andthenthesecurityrequirementslistwasformedaftercoverageanalysis.Finally.acasewasstudiedtoillustratetheproposedmethod.Keywords:businessprocess;informationsystem;securityrequirement;securitytreemodel0引言安全需求就是保障信息系统安全要做什么的问题,而非怎么做的问题l1.安全需求分析就是明确要做什么的过程.基于资产的安全需求分析方法已经受到质疑.视信息系统为一个整体,从业务角度出发对信息系统进行安全需求分析是今后的发展方向4-63.Sharon等提出了面向业务的信息技术风险评估与管理方法,并指出,面向业务的方法能够鼓励管理者积极参与,可以提高时间和资源的效率,以信息系统使命为驱动,增强业务人员的自主性等,但对于业务风险,没有指出如何获取安全需求.R6hrig等研究了电子商务过程的安全分析并提出面向过程的安全模型(POSeM)方法,分析了业务过程的安全目标及其实现,回答了业务过程的理想安全状态及安全措施的选择,指出POSeM方法能够有助于增强业务人员的安全意识,能够将安全的焦点聚集于业务,但没有研究业务过程实际上需要哪些安全需求.Gerber等提出要用安全需求分析来替代传统的自底而上的收稿日期:2OO6O116基金项目:国家863高技术研究发展计划资助项目(2003AA414O45);浙江省制造业信息化工程重大科技攻关项目(2003C1101O)风险评估方法的观点.唐志红等9研究了动态联盟信息流的安全需求.上述研究从不同侧面对信息系统安全需求进行了研究,取得了一定的成果,但尚未形成一套系统的基于业务过程的安全需求分析方法.本文提出一种基于业务过程的信息系统安全需求分析方法.,从业务过程角度人手分析信息系统的安全需求.l基于业务过程的信息系统安全需求分析过程从信息系统构成来看,信息系统指基于计算机的系统,是人,规程,数据库,硬件和软件等各种设施,工具和运行环境的有机集合,它突出的是计算机和网络通信等技术的应用.然而,信息系统安全问题之所以受到极大的关注,是因为信息系统日益成为支持业务过程运作必不可少的工具.因此,信息系统安全的目的实质上就是保证信息系统所支持的业务过程运作的安全.根据以上分析,提出基于业务过程的信息系统安全需求分析过程,如图1所示.基于业务过程的安全需求分析方法首先根据信息系统支持的业务过程视图分析业务过程活动的安全需求,以此作为信息系统安全需求分析的?457?中国机械工程第18卷第4期2007年2月下半月业务过H业茎全H活动安窒全塑卜.1训W厂_-L活动全塑_/l1HIlI一资产安全需求分析二二安全需求覆盖分析资产安全需求列,-_,信息系统安全需求列表图1基于业务过程的信息系统安全需求分析过程目标;根据安全树模型识别支持业务过程活动的关联资产,建立活动安全树;再根据安全需求推理机推理出活动关联资产的安全需求;最后通过覆盖分析形成信息系统安全需求列表.2基于业务过程的信息系统安全需求分析2.1业务过程安全需求分析过程是一系列定义好了的活动,通过这些活动可以在一定的约束条件下,借助一定的资源将任何形式的输入转换成输出_1.活动是业务过程的基本单元,业务过程可表示为PROCESS一(A1,A2,A)(1)一般地,可以通过企业相关部门直接获取信息系统支持的业务过程视图,这也是基于业务过程的信息系统安全需求分析的起点和基础.业务过程安全需求是指业务过程的保密性,完整性和连续性安全需求,定义如下:SR一CP,JP,AP)(2)其中,C表示业务过程保密性,即业务过程运作内容不泄露给未授权代理(如竞争对手)的安全属性;J表示业务过程完整性,即业务过程能够按照预定的程序运作的安全属性;A表示业务过程连续性,即业务过程运作能否按时完成,能否不造成业务过程中断的安全属性.为了保证业务过程的安全平稳运作,必须保证构成业务过程的活动以及活动之间达到一定的安全要求.由于活动之间的逻辑关系是通过输入和输出以及资源的共享表现出来的,一个活动的输入往往是其前续活动的输出,所以活动之间的安全需求可以通过每一个活动的安全需求来满足.活动的安全需求包括活动的保密性,完整性和可用性要求.活动的保密性是指活动执行步骤和内容不被泄露给未授权代理的安全属性;活动的完整性是指活动的执行质量,即要求活动按照预定的程序执行的安全属性;活动的可用性指活动能否按照预定的时间完成的安全属性.2.2活动关联资产识别活动是指活动执行者与信息系统之间的交?458?互,通过这种人机交互,达到对业务相关信息的存储,处理,传输的目的.因此,活动离不开执行者,活动平台,数据等资产,活动是在信息系统各种资产相互协调共同作用下才得以执行的.之所以要对活动关联资产进行识别,是因为资产是执行业务过程活动的主体,是实现业务过程安全的载体.业务过程的安全通过关联资产的安全来保证.关联资产是指支持业务过程活动运作的资产,包括直接关联资产和间接关联资产.直接关联资产是指直接支持活动执行的执行者,数据和软件平台,可表示为A一(P,D,S)(3)式中,P为活动A的执行者;D为活动A所涉及的数据;S为执行活动A所依赖的软件平台.间接关联资产是指对直接关联资产提供支持的资产,如存储活动数据的相关数据库.为了便于表达资产对业务过程活动的支持,我们建立了如图2所示的活动安全树.活动1是通过执行者1,应用软件1和数据1这三个直接关联的资产来支持的,因此,任意一个直接关联资产的不安全都会对活动1的安全造成影响.而应用软件1以及数据1又是通过数据管理系统,网络,工作站计算机和应用服务器等资产支持的,所以需要进一步分析影响应用软件1和数据1的间接关联资产.r表示一个对象(如活动,执行者,数据,计算L_J机,网络等)的安全状态厂,连接符号,即一个对象的安全状态可能受其他一一个或多个对象状态的影响厂,终止符号,即不再对影响该对象的其他对象进U行分析八转移符号,表示该对象的安全状态的展开分析一另见该对象的安全状态分树(此处略)图2活动安全树示意图根据活动安全树对支持活动运作的资产进行识别,确定直接关联资产和间接关联资产,以便于对活动关联资产进行安全需求分析.2.3活动关联资产的安全需求分析根据已经识别出的活动安全需求,进一步对活动所依赖的各个关联资产进行安全需求分析,以保障活动安全需求得到满足.一种基于业务过程的信息系统安全需求分析方法余志伟唐任仲贾东浇等资产的安全需求包括资产的保密性,完整性和可用性.根据活动的安全需求,对支持活动执行的直接关联资产提出安全需求.从活动安全树模型可以看出,关联资产之间的关系非常复杂,为此,建立了资产的安全需求推理机模型,如图3所示.图中,M为影响资产E的其他资产个数,E代表对E造成影响的一个资产.首先判断资产E是否存在安全需求,若存在安全需求,则将其安全需求增加到资产安全需求列表;然后根据图2所示的活动安全树识别出影响该资产的其他M个资产,对这M个资产一一进行安全需求判断,对信息系统安全需求列表进行更新,形成信息系统初步的安全需求列表.图3安全需求推理机2.4安全需求覆盖分析如图2所示,一个业务活动往往对多个资产提出安全方面的要求,且这些资产之间关系复杂,因此通过以上步骤分析出的安全需求势必存在一定的重复,例如,当一个资产支持多个活动时,则不同的活动对该资产就可能提出不同的安全需求.为此,需要对推理出的安全需求进行覆盖分析.覆盖分析是指应用覆盖机制对一个资产的不同安全需求进行统一的过程.为了不遗漏资产的安全需求,覆盖机制就是对安全需求取并集.假设经过资产安全需求分析后,某一对象存在着N个安全需求,记为SR,SR,SR.很显然,这个资产的安全需求应该是这N个安全需求的并集:SRSR1USR2UUSRN(4)3案例研究以浙江省一大型电子制造企业自制生产计划业务过程为例,分析支持该业务过程的信息系统安全需求.3.1自制生产计划业务过程视图自制生产计划业务过程包括月度自制件需求分解,制定车间日作业计划,确认车间日作业计划和制定班次作业指令四个活动,如图4所示.图4制定目制生产计划过程图3.2自制生产计划的活动安全需求分析以月度自制件需求分解活动为例,为了保证自制生产计划这一业务过程的安全,就必须要求及时进行月度自制件需求分解,正确地进行月度自制件需求分解,并且不将月度自制件需求信息透露给未授权单位和个人,如表1所示.类似地可以分析得出其他活动的安全需求.表1基于自制生产计划的信息系统安全需求示例序活动安全需求直接关联资产间接关联资产号安全需求安全需求自制物料需求ORACLE数及时进行月度数据的可用性据库的可用性R1自制件需求分解生产管理系统企业应用服务的可用性器的可用性不将月度自制自制物料需求ORACLE数件需求信息透露数据的保密性据库访问的控制R2给未授权单位和生产管理系统生产管理系统个人的保密性模块权限控制正确地进行月度自制物料需求ORACLE数据R3自制件需求分解的完整性库的完整性约束3.3活动安全树的建立为了进一步分析支持该活动的关联资产的安全需求,对该活动的关联资产进行识别.该活动是企管办通过生产管理系统来处理自制物料需求信息,而生产管理系统和自制物料需求信息又依赖于车间主任办公室计算机,企业应用服务器和企业内部网络,ORACLE数据库等资产.根据活动安全树模型,建立月度自制件需求分解活动安全树,如图5所示.3.4活动相关资产的安全需求分析由图5可知,为了满足及时进行月度自制件需求分解,就可以推出自制物料需求数据的可用性,生产管理系统的可用性等安全需求,进而推出ORACLE数据库的可用性以及企业应用服务器的可用性等活动间接关联资产的安全?459?中国机械工程第18卷第4期2007年2月下半月图5月度自制件需求分解活动安全树需求;为了满足正确地进行月度自制件计划分解,则可以推出自制物料需求的完整性等安全需求,依此类推,便能分析为了保障月度自制件需求分解活动的安全平稳执行而对信息系统提出的安全需求,如表1直接关联资产安全需求栏和间接关联资产安全需求栏所示.3.5安全需求覆盖分析覆盖分析的实质就是在分析资产安全需求时,若一个资产支持多个活动,需要保证每一个活动的安全需求得到满足.例如,订单信息,产品成本信息,物料信息等都对ORACLE数据库提出了安全需求,那么ORACLE数据库的安全需求就是满足所有数据保密性,可用性和完整性的安全需求的并集.如ORACLE数据库的访问控制就需要根据不同数据所支持的不同业务活动来分配给具有不同角色的活动执行者.通过覆盖分析,形成最终安全需求.根据分析出的安全需求列表,就可以借助一些技术,管理方法来满足安全需求,保障信息系统所支持的业务过程运作的安全.4结论本文提出了一种基于业务过程的信息系统安全需求分析方法,该方法以信息系统所支持的业务过程为中心,以满足业务过程活动安全需求为目标,提出活动关联资产的安全需求.在信息系统支持的业务过程视图的基础上,通过对业务过程安全需求分析,建立活动安全树,分析活动关联资产的安全需求以及对安全需求进行覆盖分析等步骤,分析出信息系统的安全需求.相对于传统的基于资产的安全需求分析方法,本文提出的基于业务过程的安全需求分析方法更具有针对性,去除了对与业务执行无关的资产的安全需求分析,更能反映信息系统安全管理的本质和目的.参考文献:1曹阳,张维明.信息系统安全需求分析方法研究J.?46D?.计算机科学,2003,30(4):121124.2SharonH,KarinB,SOlmsR.ABusinessApproachtOEffectiveInformationTechnologyRiskAnalysisandManagementJ.InformationManagement&ComputerSecurity,1996,4(1):1931.LabuschagneL,EloffJHP.RiskAnalysisGenerationstheEvolutionofRiskAnalysisEB/OL3.SouthAfrica:RandAfrikaansUniversity,19992005425.http:/csweb.rau.ac.za/deth/research/articles/ra_generations.pdf.WrightM.ThirdGenerationRiskManagementPracticesJ.ComputerFraud&Security,1999,1999(2):9-12.FletcherSK,HalbgewachsR,JansmaRM,eta1.SoftwareSystemRiskManagementandAssuranceC/Proceedingsofthe1995NewSecurityParadigmsWorkshop.SanDiego,CA,1995:6674.CraftR,WyssG,VandewartR,eta1.AnOpenFrameworkforRiskManagementEB/OL.CrystalCity,VA,US:NationalInformationSystemsSecurityConference,19982004一ll一1O./nissc/1998/proceedings/paperE6.pdf.Rhrig6S,KnorrK.Secur