复杂业务的非技术性安全分析建模与实践初探.PDF

专家视角 复杂业务的非技术性安全分析建模与 实践初探 北京分公司 刘凯陆辉 关键词：非技术性安全安全分析建模业务逻辑安全安全管控措施IT 架构 摘要：本文从非技术角度，对复杂业务的业务逻辑设计进行安全分析建模和实践。针对 IT 系统建设初期，特别是设计过程中，如何挖掘复杂业务的系统和系统间的逻辑缺陷、如何 设计系统内安全管控措施，降低系统可能存在的安全隐患，进行初步探索和讨论。希望通过 此文，能够提高IT 系统架构师的安全意识并扩展其安全视野，使其设计出更安全、易用的IT 系统，将安全设计于无形。 引言 一、一些基本概念理解 随着近年企业IT 信息化建设的大力开展和实践，当前多数企业 什么是复杂业务。本文中的理解是对于某一业务，其业务流程 已经基本实现主要业务的IT 系统支撑，但对复杂业务的多 复杂、实现逻辑复杂，其需要由多个IT 系统相互协作处理，最终完 IT 系统建设，多系统间的协调、分工、辅助、支撑还依然面临建设 成其业务使命，对于这样的业务称之为复杂业务。例如：一个保单 经验不足、宏观布局缺乏的客观困难。在信息安全方面，技术手段 赔付业务，其需要前期报案、调度、查勘、立案、定损、理赔、核赔、 的安全措施已经有了一定积累，但非技术手段的安全措施，例如在多 记账、资金支付等若干环节，完成这些环节需要依赖若干IT 系统共 系统中的业务逻辑安全、系统安全管控措施等，都缺乏行之有效的 同对该流程的支持，这便是一种复杂业务的情况。 安全设计、分析方法和防控手段，从企业全局出发的IT 安全设计少 什么是非技术性安全分析。本文中的理解是基于对业务逻辑、 之又少，因此，我们有必要探讨一下，复杂业务的IT 建设中非技术 业务系统功能的了解，采取非技术性手段，以发现业务过程中人与系 性安全分析建模和实践。 统、系统内和系统间逻辑、接口等缺陷为目的的分析过程。其与传 8 专家视角 统的技术性分析目的相同，但方法不同，不是从技术的威 （1）假设推理的前提是假设人的互动行为，一般的互动行为有“正确操作” 胁、脆弱性的角度出发。 即对系统的合理操作；“错误操作”即使用系统时无心而为的错误操作；“恶意 什么是业务逻辑。本文中的理解是单一系统中或多系 操作”即使用系统时有心为之的恶意操作。 统中，应用软件对业务相关部分的任务处理的逻辑。 （2）在假设前提确定后，推理过程可采用多种方法进行分析。常可使用的 什么是安全管控措施。本文中的理解是业务系统软件 分析方法如德尔菲法、质疑枚举法、头脑风暴法、时间序列法等，都可以在推 自身实现的安全管理、控制的逻辑，其最直接的体现即是 理中使用。德尔菲法（专家意见法）和枚举法常常是使用率最高的分析手段。 （3）完成推理过程后，会得到“人机交互”过程每个环节的结论，这些结 系统中的安全功能，如认证功能、授权管理功能。 论一般分为符合预期结果和不符合预期结果。针对不符合预期的结果，正是 二、人与系统交互分析建模和实践 通过假设推理建模要挖掘的逻辑缺陷，以及需要加强安全管控措施的环节。 我们在理解复杂业务后，如何设计安全可靠的IT 系 需要注意的是该假设推理分析建模只适用于“人机交互”活动的安全性分 统？首先需要面临的是 “人机交互”的问题。所谓“人机 析，由IT 系统自动完成的活动（功能、任务）不适用于此建模。其二，由于其 交互”即人在进行复杂业务活动过程中，与IT 系统的相