介紹

本節(jié)解釋了系統(tǒng)驅(qū)動(dòng)風(fēng)險(xiǎn)分析的核心概念、這些技術(shù)可以增加哪些價(jià)值以及它們?cè)谀男┓矫娌惶杏谩?/span>

• 本介紹的目的并不是為您提供實(shí)現(xiàn)此類技術(shù)的藍(lán)圖。但是，一旦您了解了這些基礎(chǔ)知識(shí)，您應(yīng)該能夠使用系統(tǒng)驅(qū)動(dòng)的標(biāo)準(zhǔn)或框架（因?yàn)樗鼈兓陬愃频娘L(fēng)險(xiǎn)視角），并了解它們與組件驅(qū)動(dòng)的風(fēng)險(xiǎn)管理技術(shù)有何不同。
•  如果您還沒(méi)有這樣做，請(qǐng)?jiān)陂喿x本節(jié)之前先閱讀介紹組件和系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)評(píng)估的部分。

系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析有什么用處？

系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析最適合識(shí)別因系統(tǒng)組件之間的交互而出現(xiàn)的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)可以在沒(méi)有任何單個(gè)組件損壞或受到損害的情況下發(fā)生，因此它們可以識(shí)別組件驅(qū)動(dòng)方法無(wú)法識(shí)別的風(fēng)險(xiǎn)。

在小型、簡(jiǎn)單的系統(tǒng)中，無(wú)需任何特別正式的方法就可以識(shí)別這些交互風(fēng)險(xiǎn)。然而，對(duì)于更大、更復(fù)雜的系統(tǒng)來(lái)說(shuō)，這是不可行的，而這正是系統(tǒng)驅(qū)動(dòng)方法增加真正價(jià)值的地方。系統(tǒng)驅(qū)動(dòng)的方法最適合在某些新場(chǎng)景中使用，特別是在項(xiàng)目或交付框架的設(shè)計(jì)和概念開(kāi)發(fā)階段，以及您可能需要識(shí)別系統(tǒng)組件之間的交互所出現(xiàn)的風(fēng)險(xiǎn)的情況。

這種技術(shù)的最終產(chǎn)品是您正在分析的系統(tǒng)的一組安全要求。系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)管理技術(shù)應(yīng)該使您能夠?qū)⑦@些要求追溯到您試圖避免的特定結(jié)果，這有助于您確定潛在安全改進(jìn)的優(yōu)先順序。

什么是系統(tǒng)？

就本指南而言，“系統(tǒng)”一詞是指旨在實(shí)現(xiàn)特定功能的事物。這一功能可以通過(guò)技術(shù)來(lái)實(shí)現(xiàn)，但同樣，“系統(tǒng)”可以是一群人、一座建筑物或自然發(fā)生的天氣模式。因此，談?wù)摗跋到y(tǒng)”而不提及其功能或目的是沒(méi)有意義的。使用這個(gè)定義，在分析系統(tǒng)時(shí)，由您（和您的利益相關(guān)者）在分析之前定義您正在查看的系統(tǒng)的功能。

例如，您可以在組織的網(wǎng)站上執(zhí)行風(fēng)險(xiǎn)評(píng)估。您的站點(diǎn)所在的服務(wù)器將是該系統(tǒng)的重要組成部分，但它并不能代表整個(gè)系統(tǒng)。允許您的組織托管網(wǎng)站的系統(tǒng)將包括一系列其他內(nèi)容，包括（但不限于）：

• 你的互聯(lián)網(wǎng)連接
• 維護(hù)網(wǎng)站的人
• 作為網(wǎng)站一部分保存客戶記錄的數(shù)據(jù)庫(kù)
• 管理網(wǎng)站管理方式的組織政策

在此示例中，您感興趣的系統(tǒng)不僅僅是網(wǎng)站；還包括網(wǎng)站。該系統(tǒng)允許您的客戶和合作伙伴通過(guò)互聯(lián)網(wǎng)了解您的組織。定義系統(tǒng)功能是系統(tǒng)驅(qū)動(dòng)風(fēng)險(xiǎn)分析的核心部分。

定義“功能”

如果您正在談?wù)撓到y(tǒng)，那么首先必須說(shuō)明您要分析的功能。否則，您可能最終只分析單個(gè)系統(tǒng)組件（例如上例中的網(wǎng)站服務(wù)器）而忽略其余部分。系統(tǒng)功能的示例可能是：

• 讓客戶能夠使用互聯(lián)網(wǎng)購(gòu)買(mǎi)您的產(chǎn)品
• 使人們能夠在一小時(shí)內(nèi)從倫敦到達(dá)伯明翰
• 使組織的員工能夠協(xié)作制作和共享文檔

系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)管理方法的定義特征之一是，它們需要在開(kāi)發(fā)的早期階段明確說(shuō)明系統(tǒng)的功能。此階段的一個(gè)常見(jiàn)錯(cuò)誤是將系統(tǒng)的功能與系統(tǒng)有助于解決的問(wèn)題的陳述相混淆。

例如，您可能會(huì)說(shuō)銷售網(wǎng)站的功能是“提高組織的銷售數(shù)字”。嚴(yán)格來(lái)說(shuō)，網(wǎng)站的功能應(yīng)該是“讓客戶能夠在網(wǎng)上識(shí)別并購(gòu)買(mǎi)你的產(chǎn)品，并讓你的物流部門(mén)能夠及時(shí)發(fā)貨”。該功能將有助于解決“提高銷量”的問(wèn)題，但并不能徹底解決該問(wèn)題，其他解決方案也會(huì)對(duì)解決該問(wèn)題產(chǎn)生影響。

良好的功能陳述必須是可實(shí)現(xiàn)的，并且必須能夠驗(yàn)證您是否已經(jīng)實(shí)現(xiàn)了它。正確執(zhí)行此功能聲明是進(jìn)行系統(tǒng)驅(qū)動(dòng)風(fēng)險(xiǎn)分析的重要組成部分。

定義系統(tǒng)的“損失”

在系統(tǒng)和組件驅(qū)動(dòng)技術(shù)的介紹中，我們了解了系統(tǒng)不應(yīng)實(shí)現(xiàn)（或有助于實(shí)現(xiàn)）的高級(jí)目的如何被稱為損失。為了執(zhí)行系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析，您需要枚舉您不希望在系統(tǒng)運(yùn)行中發(fā)生的高級(jí)結(jié)果。在這種情況下，我們只關(guān)心損失的實(shí)際結(jié)果。

在這里，我們談?wù)摰氖墙M織非常關(guān)心的高層損失。如果您識(shí)別出少量非常重大的損失，而不是大量相對(duì)較小的損失，那么這種方法最有效。

損失的例子包括：

• 受傷或死亡
• 針對(duì)您的組織的大規(guī)模欺詐
• 觸犯法律
• 關(guān)鍵的組織流程被破壞

任何系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析的一個(gè)重要部分是清楚、準(zhǔn)確地定義您在操作或設(shè)計(jì)的系統(tǒng)背景下?lián)哪男p失。重要的是，我們不是在討論實(shí)現(xiàn)損失的方式，而是在討論結(jié)果本身。此階段的結(jié)果應(yīng)該是您確定與您的系統(tǒng)相關(guān)的損失列表。

將這些原則付諸實(shí)踐

在網(wǎng)絡(luò)安全中，系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析技術(shù)遠(yuǎn)沒(méi)有組件驅(qū)動(dòng)的技術(shù)那么成熟。因此，形式化技術(shù)較少，而且它們之間的差異較大。本指南介紹了 NCSC 認(rèn)為這些技術(shù)的共同特征，并解釋了它們可以增加哪些價(jià)值。

任何系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析技術(shù)都應(yīng)該從功能的闡明以及您希望避免的損失開(kāi)始。您通常期望看到一個(gè)迭代過(guò)程，通過(guò)將功能語(yǔ)句分解為子系統(tǒng)（每個(gè)子系統(tǒng)都有自己的功能）并演示這些子系統(tǒng)如何相互控制和通信，從而增加該功能語(yǔ)句的復(fù)雜性。在每個(gè)迭代階段，您將探索任何可能的損失風(fēng)險(xiǎn)，在此過(guò)程中，您將制定安全要求以避免這些風(fēng)險(xiǎn)。

談?wù)摷夹g(shù)系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一個(gè)重大障礙是組織和分析師在正確分析系統(tǒng)級(jí)別之前快速轉(zhuǎn)向組件級(jí)別思考的誘惑。這就是為什么我們建議組織通過(guò)在系統(tǒng)和組件級(jí)別上了解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)來(lái)獲得對(duì)其所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的最佳視角。

常用的系統(tǒng)驅(qū)動(dòng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法和框架

本節(jié)簡(jiǎn)要描述一些系統(tǒng)驅(qū)動(dòng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法和框架。

• 我們提供了每種技術(shù)的具體指南的鏈接。這些提供了有關(guān)每種技術(shù)如何工作以及它們?nèi)绾卧黾觾r(jià)值的更多詳細(xì)信息。
• 還有更多應(yīng)用這些原則的技術(shù)（此處未列出）。下面包含的三個(gè)（我們認(rèn)為）最好地說(shuō)明了這些類型的技術(shù)之間的差異。

STPA

STPA（系統(tǒng)理論過(guò)程分析）是 STAMP 框架的一部分，它是對(duì)事故原因進(jìn)行建模的技術(shù)集合。它是由麻省理工學(xué)院的 Nancy Leveson 教授和她的同事開(kāi)發(fā)的。雖然 STPA 最初專注于安全，但后來(lái)它已適應(yīng)許多其他環(huán)境，其中一些適應(yīng)網(wǎng)絡(luò)安全要求。

托加夫

TOGAF（The Open Group Architectural Framework）是 The Open Group 開(kāi)發(fā)的商用架構(gòu)框架。雖然它本身不是一種風(fēng)險(xiǎn)管理技術(shù)，但它借鑒了許多與系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析框架（例如 STPA）相同的想法。它是一種企業(yè)架構(gòu)標(biāo)準(zhǔn)，旨在提高業(yè)務(wù)效率和管理風(fēng)險(xiǎn)，例如尋求提供更好的投資回報(bào)、減少管理費(fèi)用和改進(jìn)采購(gòu)流程。該框架基于迭代過(guò)程模型，可以單獨(dú)或與其他框架集成在整個(gè)組織的不同級(jí)別實(shí)施。TOGAF 支持我們的指南中描述的自上而下（系統(tǒng)驅(qū)動(dòng)）和自下而上（組件）的風(fēng)險(xiǎn)管理方法。

南非標(biāo)準(zhǔn)協(xié)會(huì)

南非標(biāo)準(zhǔn)協(xié)會(huì)是一個(gè)業(yè)務(wù)驅(qū)動(dòng)的安全架構(gòu)框架，高度關(guān)注組織如何為利益相關(guān)者創(chuàng)造價(jià)值。正如 TOGAF 所指出的，雖然 SABSA 主要不是一種風(fēng)險(xiǎn)分析技術(shù)，但它借鑒了許多相同的系統(tǒng)概念。從組織價(jià)值鏈的獨(dú)特配置開(kāi)始，SABSA 框架幫助分析師將流程分解為多個(gè)業(yè)務(wù)架構(gòu)層。這些層依次向下發(fā)展為業(yè)務(wù)能力、業(yè)務(wù)流程、業(yè)務(wù)服務(wù)，并從那里向下進(jìn)入技術(shù)服務(wù)。SABSA 要求分析師解決每一層的風(fēng)險(xiǎn)，以便在“堆棧”頂部定義的需求能夠向下繼承并在每一層得到解決。