介紹

　　本節(jié)解釋了系統(tǒng)驅(qū)動(dòng)風(fēng)險(xiǎn)分析的核心概念、這些技術(shù)可以增加哪些價(jià)值以及它們在哪些方面不太有用。

　　本介紹的目的并不是為您提供實(shí)現(xiàn)此類技術(shù)的藍(lán)圖。但是，一旦您了解了這些基礎(chǔ)知識(shí)，您應(yīng)該能夠使用系統(tǒng)驅(qū)動(dòng)的標(biāo)準(zhǔn)或框架（因?yàn)樗鼈兓陬愃频娘L(fēng)險(xiǎn)視角），并了解它們與組件驅(qū)動(dòng)的風(fēng)險(xiǎn)管理技術(shù)有何不同。

　　如果您還沒有這樣做，請?jiān)陂喿x本節(jié)之前先閱讀介紹組件和系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)評估的部分。

　　系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析有什么用處？

　　系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析最適合識(shí)別因系統(tǒng)組件之間的交互而出現(xiàn)的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)可以在沒有任何單個(gè)組件損壞或受到損害的情況下發(fā)生，因此它們可以識(shí)別組件驅(qū)動(dòng)方法無法識(shí)別的風(fēng)險(xiǎn)。

　　在小型、簡單的系統(tǒng)中，無需任何特別正式的方法就可以識(shí)別這些交互風(fēng)險(xiǎn)。然而，對于更大、更復(fù)雜的系統(tǒng)來說，這是不可行的，而這正是系統(tǒng)驅(qū)動(dòng)方法增加真正價(jià)值的地方。系統(tǒng)驅(qū)動(dòng)的方法最適合在某些新場景中使用，特別是在項(xiàng)目或交付框架的設(shè)計(jì)和概念開發(fā)階段，以及您可能需要識(shí)別系統(tǒng)組件之間的交互所出現(xiàn)的風(fēng)險(xiǎn)的情況。

　　這種技術(shù)的最終產(chǎn)品是您正在分析的系統(tǒng)的一組安全要求。系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)管理技術(shù)應(yīng)該使您能夠?qū)⑦@些要求追溯到您試圖避免的特定結(jié)果，這有助于您確定潛在安全改進(jìn)的優(yōu)先順序。

　　什么是系統(tǒng)？

　　就本指南而言，“系統(tǒng)”一詞是指旨在實(shí)現(xiàn)特定功能的事物。這一功能可以通過技術(shù)來實(shí)現(xiàn)，但同樣，“系統(tǒng)”可以是一群人、一座建筑物或自然發(fā)生的天氣模式。因此，談?wù)?ldquo;系統(tǒng)”而不提及其功能或目的是沒有意義的。使用這個(gè)定義，在分析系統(tǒng)時(shí)，由您（和您的利益相關(guān)者）在分析之前定義您正在查看的系統(tǒng)的功能。

　　例如，您可以在組織的網(wǎng)站上執(zhí)行風(fēng)險(xiǎn)評估。您的站點(diǎn)所在的服務(wù)器將是該系統(tǒng)的重要組成部分，但它并不能代表整個(gè)系統(tǒng)。允許您的組織托管網(wǎng)站的系統(tǒng)將包括一系列其他內(nèi)容，包括（但不限于）：

　　你的互聯(lián)網(wǎng)連接

　　維護(hù)網(wǎng)站的人

　　作為網(wǎng)站一部分保存客戶記錄的數(shù)據(jù)庫

　　管理網(wǎng)站管理方式的組織政策

　　在此示例中，您感興趣的系統(tǒng)不僅僅是網(wǎng)站；還包括網(wǎng)站。該系統(tǒng)允許您的客戶和合作伙伴通過互聯(lián)網(wǎng)了解您的組織。定義系統(tǒng)功能是系統(tǒng)驅(qū)動(dòng)風(fēng)險(xiǎn)分析的核心部分。

　　定義“功能”

　　如果您正在談?wù)撓到y(tǒng)，那么首先必須說明您要分析的功能。否則，您可能最終只分析單個(gè)系統(tǒng)組件（例如上例中的網(wǎng)站服務(wù)器）而忽略其余部分。系統(tǒng)功能的示例可能是：

　　讓客戶能夠使用互聯(lián)網(wǎng)購買您的產(chǎn)品

　　使人們能夠在一小時(shí)內(nèi)從倫敦到達(dá)伯明翰

　　使組織的員工能夠協(xié)作制作和共享文檔

　　系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)管理方法的定義特征之一是，它們需要在開發(fā)的早期階段明確說明系統(tǒng)的功能。此階段的一個(gè)常見錯(cuò)誤是將系統(tǒng)的功能與系統(tǒng)有助于解決的問題的陳述相混淆。

　　例如，您可能會(huì)說銷售網(wǎng)站的功能是“提高組織的銷售數(shù)字”。嚴(yán)格來說，網(wǎng)站的功能應(yīng)該是“讓客戶能夠在網(wǎng)上識(shí)別并購買你的產(chǎn)品，并讓你的物流部門能夠及時(shí)發(fā)貨”。該功能將有助于解決“提高銷量”的問題，但并不能徹底解決該問題，其他解決方案也會(huì)對解決該問題產(chǎn)生影響。

　　良好的功能陳述必須是可實(shí)現(xiàn)的，并且必須能夠驗(yàn)證您是否已經(jīng)實(shí)現(xiàn)了它。正確執(zhí)行此功能聲明是進(jìn)行系統(tǒng)驅(qū)動(dòng)風(fēng)險(xiǎn)分析的重要組成部分。

　　定義系統(tǒng)的“損失”

　　在系統(tǒng)和組件驅(qū)動(dòng)技術(shù)的介紹中，我們了解了系統(tǒng)不應(yīng)實(shí)現(xiàn)（或有助于實(shí)現(xiàn)）的高級目的如何被稱為損失。為了執(zhí)行系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析，您需要枚舉您不希望在系統(tǒng)運(yùn)行中發(fā)生的高級結(jié)果。在這種情況下，我們只關(guān)心損失的實(shí)際結(jié)果。

　　在這里，我們談?wù)摰氖墙M織非常關(guān)心的高層損失。如果您識(shí)別出少量非常重大的損失，而不是大量相對較小的損失，那么這種方法最有效。

　　損失的例子包括：

　　受傷或死亡

　　針對您的組織的大規(guī)模欺詐

　　觸犯法律

　　關(guān)鍵的組織流程被破壞

　　任何系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析的一個(gè)重要部分是清楚、準(zhǔn)確地定義您在操作或設(shè)計(jì)的系統(tǒng)背景下?lián)哪男p失。重要的是，我們不是在討論實(shí)現(xiàn)損失的方式，而是在討論結(jié)果本身。此階段的結(jié)果應(yīng)該是您確定與您的系統(tǒng)相關(guān)的損失列表。

　　將這些原則付諸實(shí)踐

　　在網(wǎng)絡(luò)安全中，系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析技術(shù)遠(yuǎn)沒有組件驅(qū)動(dòng)的技術(shù)那么成熟。因此，形式化技術(shù)較少，而且它們之間的差異較大。本指南介紹了NCSC認(rèn)為這些技術(shù)的共同特征，并解釋了它們可以增加哪些價(jià)值。

　　任何系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析技術(shù)都應(yīng)該從功能的闡明以及您希望避免的損失開始。您通常期望看到一個(gè)迭代過程，通過將功能語句分解為子系統(tǒng)（每個(gè)子系統(tǒng)都有自己的功能）并演示這些子系統(tǒng)如何相互控制和通信，從而增加該功能語句的復(fù)雜性。在每個(gè)迭代階段，您將探索任何可能的損失風(fēng)險(xiǎn)，在此過程中，您將制定安全要求以避免這些風(fēng)險(xiǎn)。

　　談?wù)摷夹g(shù)系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一個(gè)重大障礙是組織和分析師在正確分析系統(tǒng)級別之前快速轉(zhuǎn)向組件級別思考的誘惑。這就是為什么我們建議組織通過在系統(tǒng)和組件級別上了解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)來獲得對其所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的最佳視角。

　　常用的系統(tǒng)驅(qū)動(dòng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法和框架

　　本節(jié)簡要描述一些系統(tǒng)驅(qū)動(dòng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法和框架。

　　我們提供了每種技術(shù)的具體指南的鏈接。這些提供了有關(guān)每種技術(shù)如何工作以及它們?nèi)绾卧黾觾r(jià)值的更多詳細(xì)信息。

　　還有更多應(yīng)用這些原則的技術(shù)（此處未列出）。下面包含的三個(gè)（我們認(rèn)為）最好地說明了這些類型的技術(shù)之間的差異。

　　STPA

　　STPA（系統(tǒng)理論過程分析）是STAMP框架的一部分，它是對事故原因進(jìn)行建模的技術(shù)集合。它是由麻省理工學(xué)院的NancyLeveson教授和她的同事開發(fā)的。雖然STPA最初專注于安全，但后來它已適應(yīng)許多其他環(huán)境，其中一些適應(yīng)網(wǎng)絡(luò)安全要求。

　　托加夫

　　TOGAF（TheOpenGroupArchitecturalFramework）是TheOpenGroup開發(fā)的商用架構(gòu)框架。雖然它本身不是一種風(fēng)險(xiǎn)管理技術(shù)，但它借鑒了許多與系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析框架（例如STPA）相同的想法。它是一種企業(yè)架構(gòu)標(biāo)準(zhǔn)，旨在提高業(yè)務(wù)效率和管理風(fēng)險(xiǎn)，例如尋求提供更好的投資回報(bào)、減少管理費(fèi)用和改進(jìn)采購流程。該框架基于迭代過程模型，可以單獨(dú)或與其他框架集成在整個(gè)組織的不同級別實(shí)施。TOGAF支持我們的指南中描述的自上而下（系統(tǒng)驅(qū)動(dòng)）和自下而上（組件）的風(fēng)險(xiǎn)管理方法。

　　南非標(biāo)準(zhǔn)協(xié)會(huì)

　　南非標(biāo)準(zhǔn)協(xié)會(huì)是一個(gè)業(yè)務(wù)驅(qū)動(dòng)的安全架構(gòu)框架，高度關(guān)注組織如何為利益相關(guān)者創(chuàng)造價(jià)值。正如TOGAF所指出的，雖然SABSA主要不是一種風(fēng)險(xiǎn)分析技術(shù)，但它借鑒了許多相同的系統(tǒng)概念。從組織價(jià)值鏈的獨(dú)特配置開始，SABSA框架幫助分析師將流程分解為多個(gè)業(yè)務(wù)架構(gòu)層。這些層依次向下發(fā)展為業(yè)務(wù)能力、業(yè)務(wù)流程、業(yè)務(wù)服務(wù)，并從那里向下進(jìn)入技術(shù)服務(wù)。SABSA要求分析師解決每一層的風(fēng)險(xiǎn)，以便在“堆棧”頂部定義的需求能夠向下繼承并在每一層得到解決。