本文探討的是系統(tǒng)驅(qū)動(dòng)風(fēng)險(xiǎn)分析中涉及的核心概念，這些技術(shù)可以增加什么價(jià)值，以及它們?cè)谀男┓矫娌惶杏谩?/p>

　　這篇文章的目的不是為組織提供實(shí)現(xiàn)這些技術(shù)的藍(lán)圖。一旦組織了解了這些基礎(chǔ)知識(shí)，就應(yīng)該能夠使用系統(tǒng)驅(qū)動(dòng)的標(biāo)準(zhǔn)或框架（因?yàn)樗鼈兓陬愃频娘L(fēng)險(xiǎn)視角）并了解它們與組件驅(qū)動(dòng)方法的不同之處。

　　如果組織還沒有這樣做，請(qǐng)?jiān)陂喿x昨日《風(fēng)險(xiǎn)管理之引入組件驅(qū)動(dòng)和系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)評(píng)估》。

　　其實(shí)，組織并不總是需要使用系統(tǒng)驅(qū)動(dòng)的方法，可能非常耗時(shí)且占用大量資源，尤其是在開發(fā)簡(jiǎn)單的 IT 基礎(chǔ)架構(gòu)（或使用已知的開發(fā)模式）時(shí)，因?yàn)檫@些技術(shù)幾乎沒有增加任何價(jià)值。所以，需要因地制宜、因時(shí)制宜的考慮問題。

　　系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析有什么用？

　　系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析最適合識(shí)別由系統(tǒng)所有組件相互作用產(chǎn)生的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)可以在沒有任何單個(gè)組件損壞或受到損害的情況下發(fā)生，因此它們可以識(shí)別組件驅(qū)動(dòng)方法無法識(shí)別的風(fēng)險(xiǎn)。在小型、簡(jiǎn)單的系統(tǒng)中，無需任何特別正式的方法即可識(shí)別這些交互風(fēng)險(xiǎn)。然而，這對(duì)于更大、更復(fù)雜的系統(tǒng)來說變得不可行，而這正是系統(tǒng)驅(qū)動(dòng)方法增加真正價(jià)值的地方。

　　這種技術(shù)的最終產(chǎn)品是正在分析的系統(tǒng)的一組安全要求。系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)管理技術(shù)應(yīng)該使組織能夠?qū)⑦@些需求追溯到試圖避免的特定結(jié)果，這有助于將潛在的安全改進(jìn)與其他類型的需求以及其他類型的需求進(jìn)行優(yōu)先級(jí)排序。

　　什么是系統(tǒng)？

　　就這類的“系統(tǒng)”一詞是指旨在實(shí)現(xiàn)特定功能的事物。這一功能可以通過技術(shù)來實(shí)現(xiàn)，但同樣一個(gè)“系統(tǒng)”可以是一群人、一座建筑物或一種自然發(fā)生的天氣模式。出于這個(gè)原因，談?wù)摗跋到y(tǒng)”而不提及它們的功能或目的是沒有意義的。使用此定義，在分析系統(tǒng)時(shí)，由（利益相關(guān)者）在分析之前定義正在查看的系統(tǒng)的功能。

　　例如，組織可以在組織的網(wǎng)站上執(zhí)行風(fēng)險(xiǎn)評(píng)估。站點(diǎn)所在的服務(wù)器將是該系統(tǒng)的重要組成部分，但它并不代表全部。允許組織托管網(wǎng)站的系統(tǒng)將包括一系列其他內(nèi)容，包括（但不限于）：

　　互聯(lián)網(wǎng)連接

　　維護(hù)網(wǎng)站的人

　　將客戶記錄保存為站點(diǎn)一部分的數(shù)據(jù)庫

　　管理網(wǎng)站管理方式的組織政策

　　在這個(gè)例子中，個(gè)人感興趣的系統(tǒng)不僅僅是網(wǎng)站，允許客戶和合作伙伴通過 Internet 了解組織的系統(tǒng)。定義系統(tǒng)功能是進(jìn)行系統(tǒng)驅(qū)動(dòng)風(fēng)險(xiǎn)分析的核心部分。

　　定義“函數(shù)”

　　如果在談?wù)撓到y(tǒng)來說是必不可少的，應(yīng)先申明的功能，你要分析。否則，最終可能只分析單個(gè)系統(tǒng)組件（例如上面示例中的網(wǎng)站服務(wù)器）而忽略其余部分。系統(tǒng)功能的例子可能是：

　　使客戶能夠使用互聯(lián)網(wǎng)購買我們的產(chǎn)品

　　使人們能夠在一小時(shí)內(nèi)從倫敦前往伯明翰

　　使組織的員工能夠協(xié)作生成和共享文檔

　　系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)管理方法的定義特征之一是，需要在開發(fā)的早期階段明確說明系統(tǒng)的功能。這個(gè)階段的一個(gè)常見錯(cuò)誤是將系統(tǒng)的功能與系統(tǒng)有助于解決的問題的陳述混淆。

　　例如，可能會(huì)說在線銷售網(wǎng)站的功能是“提高組織的銷售數(shù)據(jù)”。嚴(yán)格來說，網(wǎng)站的功能最好描述為“讓客戶在線識(shí)別和購買您的產(chǎn)品，讓您的物流部門及時(shí)發(fā)貨”。該功能將有助于解決“提高銷售”的問題，但不會(huì)完全解決，其他解決方案也會(huì)影響解決該問題。

　　一個(gè)好的功能陳述需要是可實(shí)現(xiàn)的，并且必須可以驗(yàn)證你是否已經(jīng)實(shí)現(xiàn)了它。獲得正確的功能聲明是進(jìn)行系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析的重要組成部分。

　　定義系統(tǒng)的“損失”

　　在介紹系統(tǒng)和部件的驅(qū)動(dòng)技術(shù)，我們學(xué)會(huì)了如何在高層次的目的，系統(tǒng)應(yīng)該沒有達(dá)到（或有助于實(shí)現(xiàn)）被稱為損失。為了執(zhí)行系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析，需要列舉不希望在系統(tǒng)運(yùn)行中發(fā)生的高級(jí)結(jié)果。在這種情況下，我們只關(guān)心損失的實(shí)際結(jié)果。

　　在這里，我們談?wù)摰氖墙M織非常關(guān)心的頂級(jí)損失。如果識(shí)別出少量非常顯著的損失，而不是大量相對(duì)較小的損失，則此方法最有效。

　　損失的例子包括：

　　受傷或喪生

　　針對(duì)組織的大規(guī)模欺詐

　　觸犯法律

　　關(guān)鍵組織流程被打亂

　　任何系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析的一個(gè)重要部分是正在操作或設(shè)計(jì)的系統(tǒng)的背景下明確定義組織關(guān)注的損失。重要的是，我們不是在談?wù)搶?shí)現(xiàn)損失的方式，而是在談?wù)摻Y(jié)果本身。此階段的結(jié)果應(yīng)該是確定與組織系統(tǒng)相關(guān)的損失清單。

　　實(shí)踐原則

　　在網(wǎng)絡(luò)安全領(lǐng)域，系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析技術(shù)遠(yuǎn)不如組件驅(qū)動(dòng)的技術(shù)成熟。因此，用于實(shí)現(xiàn)這些原則的形式化技術(shù)較少，并且它們之間存在較大差異。

　　任何系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析技術(shù)都應(yīng)首先闡明功能以及希望避免的損失。通過將其分解為子系統(tǒng)，每個(gè)子系統(tǒng)都有自己的功能，并通過演示這些子系統(tǒng)如何控制和相互通信，通常會(huì)期望看到一個(gè)迭代過程，為該功能聲明增加復(fù)雜性。在每個(gè)迭代階段，將探索任何可能的損失風(fēng)險(xiǎn)，并在此過程中制定安全要求以避免這些風(fēng)險(xiǎn)。

　　最后要注意的一點(diǎn)是：團(tuán)隊(duì)在過去幾年中對(duì)不同的系統(tǒng)驅(qū)動(dòng)風(fēng)險(xiǎn)分析技術(shù)進(jìn)行了大量現(xiàn)場(chǎng)試驗(yàn)。在任何情況下，從高層損失的角度談?wù)摷夹g(shù)系統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)都存在巨大的文化障礙。在正確分析系統(tǒng)級(jí)別之前，討論很快就會(huì)轉(zhuǎn)移到組件級(jí)別的漏洞上。

　　常用的系統(tǒng)驅(qū)動(dòng)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法和框架

　　簡(jiǎn)要介紹一些系統(tǒng)驅(qū)動(dòng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法和框架。

　　為每種技術(shù)提供特定指南。提供有關(guān)每種技術(shù)如何工作以及它們?nèi)绾卧黾觾r(jià)值的更多詳細(xì)信息。

　　還有更多應(yīng)用這些原則的技術(shù)（此處未列出）。下面的三個(gè)（我們相信）最能說明這些類型的技術(shù)之間的差異。

　　STAMP

　　STAMP（系統(tǒng)理論事故模型和過程）是一組用于模擬事故原因的技術(shù)。由美國麻省理工學(xué)院的 Nancy Leveson 教授和她的同事開發(fā)。雖然 STAMP 最初側(cè)重于安全，但 STAMP 概念已適應(yīng)許多其他環(huán)境，其中一些適應(yīng)網(wǎng)絡(luò)安全要求。

　　英國國家網(wǎng)絡(luò)安全中心的部分關(guān)于系統(tǒng)驅(qū)動(dòng)風(fēng)險(xiǎn)評(píng)估原則的文章中引入的許多語言和概念都來自 STAMP 框架。

　　TOGAF

　　TOGAF（The Open Group Architectural Framework）是由 The Open Group 開發(fā)的商用架構(gòu)框架。是一種企業(yè)架構(gòu)標(biāo)準(zhǔn)，旨在提高業(yè)務(wù)效率和管理風(fēng)險(xiǎn)，例如尋求提供更好的投資回報(bào)、減少管理費(fèi)用和改進(jìn)采購流程。該框架基于迭代過程模型，該模型可以在整個(gè)組織的不同級(jí)別單獨(dú)實(shí)施或與其他框架集成。TOGAF 支持我們指南中描述的自上而下（系統(tǒng)驅(qū)動(dòng)）方法和自下而上（組件）風(fēng)險(xiǎn)管理方法。

　　SABSA

　　SABSA是一個(gè)業(yè)務(wù)驅(qū)動(dòng)的安全架構(gòu)框架，高度關(guān)注組織如何為利益相關(guān)者創(chuàng)造價(jià)值。從組織對(duì)其價(jià)值鏈的獨(dú)特配置開始，SABSA 框架可幫助分析師將流程分解為多個(gè)業(yè)務(wù)架構(gòu)層。這些層通過業(yè)務(wù)能力、業(yè)務(wù)流程、業(yè)務(wù)服務(wù)向下發(fā)展，然后再向下發(fā)展到技術(shù)服務(wù)。

　　SABSA 要求分析師在每一層解決風(fēng)險(xiǎn)，以便在“堆?！表敳慷x的需求通過分層向下繼承并在每一層解決。任何較低層都可能會(huì)損害高級(jí)別、創(chuàng)造價(jià)值的機(jī)會(huì)，但這種逐層分析可確?？紤]一系列不同的網(wǎng)絡(luò)風(fēng)險(xiǎn)觀點(diǎn)。