网安加·百家讲坛 | 樊山：数据安全之威胁建模

作者简介：樊山，锦联世纪教育能源工业互联网数字安全CSM(新能源运维师)课程特聘培训讲师，哈尔滨工业大学（深圳）信飞合创数据合规联合实验室特聘专家，武汉赛博网络安全人才研究中心资深专家；近24年信息安全工作经验，熟悉网络架构设计、安全体系建设、风险治理、应急响应、内部威胁与治理、业务安全、数据安全、网络安全立法与供应链安全知识域；主持实施多项中国移动省地市公司多项信息安全规划、安全评估、安全审计项目；省级国地税安全规划与风险评估项目；主持实施多家政府机构风险评估和安全规划，历年来为多家大型企业重大网络安全事件提供顾问及事件分析服务，参与多项行业标准的编写。

1. 概述

威胁建模是一种系统化的方法，用于识别、评估和管理潜在的安全威胁，旨在开发和部署符合企业组织安全和风险目标的软件和IT系统。威胁建模建立在系统工程理论基础之上，以风险为驱动通过结构化的方式识别、评估和管理安全威胁。从而为有效实现“安全左移”的目标提供基础和支撑。

传统的威胁建模理论通常是建立在应用开发与系统建设之中，通过数据安全威胁建模实现数据安全工作，是针对威胁建模的一种延伸和发展，本文的目的是通过数据安全威胁建模从全业务链的角度分析数据威胁场景，提升组织全面审视数据安全风险的能力。全文从认识威胁建模、基于数据的威胁建模场景、威胁建模下的威胁地图三个层面分析数据威胁模型，从数据安全治理概述等方面出发，提供关于威胁建模的全面理解和实践指导。

2. 理解威胁建模

从传统风险评估而言，我们通常会从风险三大要素——资产、威胁和脆弱性来分析组织资产的风险状态。然而，受到诸多因素的影响，现有的风险评估工作往往侧重于脆弱性的识别与评估，忽视了威胁对脆弱性的利用能力，这导致了风险值受到脆弱性赋值的影响被过度放大，同时脆弱性的过度考虑还会导致风险的静态化问题。然而风险值并非一成不变，而是随着威胁环境的变化而动态调整。

例如，一个漏洞的存在并不意味着必然面临高风险，关键在于该漏洞能否被特定的威胁所利用。因此，将威胁与脆弱性相结合，进行动态风险评估，成为提升评估准确性的关键。威胁建模正是在此背景下应运而生，它通过将威胁前置实现安全左移，即在系统设计阶段便充分考虑安全需求，从而有效降低了安全风险。

在系统工程理论指导下，三同步建设（同步设计、同步建设、同步使用）成为确保系统安全性的重要原则。其中，同步设计尤为关键。系统架构师在设计阶段便需充分考虑风险场景，识别并评估潜在威胁，这也正是威胁建模的核心所在。威胁建模使威胁被前置，成为系统设计不可或缺的一部分。通过构建威胁模型，我们可以清晰地识别出系统面临的各种威胁，以及这些威胁可能利用的脆弱点。这不仅有助于提升系统的安全性，还能在开发过程中引导开发人员采取针对性的安全措施，实现安全左移。

威胁建模是一个结构化的过程，其核心在于识别安全需求、精确定位安全威胁和潜在漏洞。在数据安全与网络安全领域，威胁建模的应用尤为广泛。通过威胁建模，我们可以对系统进行全面的安全分析，识别出潜在的安全风险，并采取相应的补救措施。

3. 基于数据的威胁建模

3.1 数据威胁建模的目的

以数据场景为例，我们可以构建一个简单的威胁模型来评估身份证号等敏感数据的安全性。在构建数据模型时，我们需明确身份证号等敏感数据的业务逻辑与调用需求。在此基础上，我们可以对身份证号进行去标识化处理或加密处理，以确保其安全性。这一过程不仅有助于提升数据的安全性，还能为开发人员提供明确的安全指导。此外，威胁建模还能量化威胁和漏洞的关键性，并优先考虑补救方法。通过威胁建模，我们可以清晰地了解系统面临的各种威胁及其严重程度，从而制定出针对性的安全策略与措施。这有助于提升系统的整体安全性，降低安全风险。

在完成整体安全体系建设后，我们往往还需考虑是否需为数据安全增设额外的补偿性控制措施，如增设硬件、软件、固件或加强管理等。这些措施的实施，进一步凸显了威胁建模在构建安全体系中的复杂性与重要性。威胁建模不仅帮助我们识别并评估潜在的安全威胁，还促使我们思考如何更有效地融合情报、利用先进技术（如AI）来完善安全策略。威胁建模过程中，我们可能面临的首要挑战是系统的抽象化以及潜在攻击者的能力评估。这要求我们深入理解攻击者的目标、方法以及可能的威胁目录。随着技术的不断进步，威胁建模与情报的融合成为了一个重要的趋势。通过有效融合情报，我们可以更准确地预测和防范潜在的安全威胁。

同时，笔者注意到AI及大模型在处理海量数据、定义复杂场景方面的优势。尽管笔者对大模型持保留态度，但其处理能力和先天价值确实可以作为辅助手段，帮助我们完善威胁建模中对于海量场景的定义。这极大地减轻了人工工作的负担，提高了威胁建模的效率和准确性。

3.2 构建数据威胁模型