一種網絡空間安全體系結構建模方法研究
摘 要
隨著網絡空間蓬勃發展,安全問題日益凸顯,網絡空間安全由于復雜性、動態性等特征,使其體系結構設計一直是一個難題。首先對當前多種復雜大系統體系設計方法進行了分析,指出其在網絡空間安全體系設計領域的不適用性問題;然后以美國國防部體系結構框架為基礎,提出了適合于網絡空間安全體系結構設計的框架,給出了具體的體系結構建模流程,為網絡空間安全體系設計提供了參考。
網絡空間已成為繼陸、海、空、天后的第五維空間,與社會各行各業生產以及人們日常生活聯系緊密,大大提升了人們的生活品質,提高了社會生產力。與此同時,網絡空間的安全問題日益凸顯,嚴重威脅到個人隱私、國家安全以及社會穩定。
網絡空間安全由于保護要素多、攻防對抗態勢變化快等特點,亟須采用體系架構技術來提高系統的一體化程度,實現與系統協同融合運行,滿足體系對抗能力要求。
體系結構最初來源于建筑業,信息技術出現后,借鑒其思想,將體系結構概念引入到信息系統、系統工程等領域,用于描述各組成單元及其之間的相互關系,以及成為約束各組成單元設計和發展的原則和指南。當前國外較常用的體系結構方法包括美國國防部體系結構框架(Department of Defense Architecture Framework,DoDAF)、開放組織體系結構框架(The OpenGroup Architecture Framework,TOGAF)等。
DoDAF 是企業體系架構的一個典型框架,目前是軍事領域最成熟的框架之一,其主要核心是將復雜的企業體系結構描述和模型進行易于理解的表達,從而支撐決策。DoDAF 自 2003 年1.0 版本開始,目前已更新到 2.0 版本。與 DoDAF1.5 相 比,DoDAF 2.0將 全 景 視 圖(All View,AV)、作戰視圖(Operational View,OV)、系統 /服務視圖(System/Service View,SV)和技術視圖(Technical View,TV)4 類視圖變為 8 類視點,增加了服務視點(Services Viewpoint,SvcV)、數據和信息視點(Data and Information Viewpoint,DIV)、 能 力 視 點(Capability Viewpoint,CV)和 項 目 視 點(Project Viewpoint,PV)4 類, 其中服務視點是由 DoDAF 1.5 從系統 / 服務視圖中分離出來的,數據和信息視點則是由 DoDAF 1.5的作戰視圖中 OV-7 邏輯數據模型和 SV-11 物理數據模型組成,DoDAF 1.5 與 DoDAF 2.0 對比如圖 1 所示,以此適應體系戰略能力規劃人員、項目規劃人員、系統服務設計人員等更多涉眾的使用需求,并從以產品為中心轉變為以數據為中心。
圖 1 DoDAF 1.5 與 DoDAF 2.0 對比
TOGAF 由國際開放組織制定和推廣,其致力于推動無邊界信息流的創建,最新版本為2019 年發表的 9.2 版本,在民用領域應用最為廣泛,TOGAF 能力框架如圖 2 所示。
圖 2 TOGAF 能力框架
國內方面,借鑒 DoDAF 設計思想,在 2011年發布了國家軍用標準 GJB/Z 156—2011《軍事電子信息系統體系結構設計指南》,該標準是我國首次正式發布實施的體系結構設計文件。指南對標體系結構 DoDAF 1.5 版本進行設計,從作戰、系統和技術 3 個角度提出了詳細的設計要求。劉斌在 DoDAF 基礎上,加入了任務可靠性描述模型,提出了基于可靠性描述框架(DoDAF-Reliability Oriented Description,DoDAF-ROD)的裝備體系建模研究方法,為裝備體系的 ROD 提供了規范化描述建模方法;趙振 南將 統 一 軟 件 開 發 過 程(Rational Unified Process,RUP)應用于 DoDAF 體系結構建模過程,針對聯合作戰信息系統體系進行了建模分析,按不同視角與不同級別對體系結構模型進行集成研究。
從分析上述體系結構框架和國內研究成果不難看出,各類方法中并沒有獨立的安全視點,安全相關的概念和屬性會以信息 / 數據、業務活動 / 系統功能或系統等核心元素屬性的形式進行描述,如 DoDAF 作戰視點中信息交換矩陣OV-3。在描述業務信息交換中,安全作為信息的一個屬性,表達了該信息對安全的需求,如鏈路傳輸加密需求;在系統視點的數據交換矩陣SV-6 中,安全也同樣作為系統交互數據的一個屬性,表達了系統所交換的數據對安全的需求。但這些描述較為粗略,僅僅表達信息和數據對安全防御有需求,并未對信息系統的安全需求展開充足的分析,不能明確信息系統面臨的安全威脅和安全風險,難以確定所需的安全措施和手段,最終導致安全系統或設備往往需要以打“補丁”的方式來彌補信息系統設計中存在的安全能力差距,安全防護系統和裝備也不能形成體系,大大影響了安全防御效能的發揮。
本文針對上述問題,通過深入研究當前多種典型體系結構框架和分析框架,提出了一種基于 DoDAF 的安全體系結構設計建模方法,并給出了其典型的設計流程。
1
基于 DoDAF 的安全體系結構模型
針 對 以 上 安 全 體 系 設 計 存 在 的 不 足, 本節將對 DoDAF 2.0 框架進行改進,形成適用于網絡空間安全體系結構設計的模型方法——網絡空間安全體系結構框架(Cyberspace Security Architecture Framework,CSAF)。
與 DoDAF 2.0 相比,CSAF 主要修改和添加的內容包括:一是在原有 DoDAF 框架中加入安全視點,分析信息系統業務、系統和服務的安全需求,構建安全視點與作戰視點、系統視點和服務視點等其他視點的關聯關系,提升信息系統與安全的融合設計能力;二是基于網絡安全與信息系統同規劃、同設計、同建設的 3 個原則,基于安全視點中的相關分析,在 DoDAF 框架各視圖中添加相應的安全要素。CSAF 體系結構框架如圖 3 所示。
圖 3 CSAF 體系結構框架
1.1 安全視點
安全視點(Cyberspace Security View Point,CSecV)借鑒安全風險評估思路進行設計,包括資產識別分析模型、威脅分析模型、風險評估模型、風險與安全映射模型和安全體系組織運維模型 5 類模型。
1.1.1 資產識別分析模型
資產識別分析模型(CSecV-1)主要包括“資產分類”和“資產賦值”兩個過程。資產分類主要是根據體系結構設計中的作戰視點、系統視點和服務視點等相關模型數據,提取需要保護的資產,主要包含硬件、軟件、服務、數據、人員和其他 6 大類,如表 1 所示。硬件主要包括網絡設備、傳輸線路、計算終端、存儲設備、保障設備和外設等;軟件主要包括系統軟件、應用軟件、源程序等;服務主要包括信息服務、網絡服務、辦公服務等。在信息系統體系結構設計工作中,關注的重點是數據、系統和服務,對應資產分類表中的數據、軟件和服務分類,關聯體系結構模型數據包括作戰視點中的信息流,系統視點中的系統、系統功能和數據流,以及服務視點中的服務和服務功能。
表 1 資產分類
資產賦值包括資產的“保密性”“完整性”和“可用性”3 個維度,從 3 個維度對資產進行賦值,并通過相應的評估模型,綜合分析評估資產的重要等級。參照國家標準,資產的“保密性”“完整性”和“可用性”賦值均采用“5 級分級制”,即“很高”“高”“中等”“低”和“很低”。資產保密性“5 級分級制”賦值表如表 2所示,資產完整性“5 級分級制”賦值表如表 3所示,資產可用性“5 級分級制”賦值表如表 4所示,根據表格評分標準對資產“保密性”“完整性”和“可用性”進行評分。然后,確定資產“保密性”“完整性”和“可用性”的權重,根據計算評估模型,綜合分析評估資產重要等級,資產重要等級的具體含義如表 5 所示。
表 2 資產保密性賦值
表 3 資產完整性賦值
表 4 資產可用性賦值
表 5 資產重要等級含義描述
1.1.2 威脅分析模型
威脅分析(CSecV-2)是根據資產存在的脆弱性,找出資產可能面臨的相關危害來源,并分析威脅利用脆弱點的難易程度,從而優化改進信息系統的安全設計。在實際設計過程中,基于 CSecV-1 的建模,以及借鑒微軟公司的 STRIDE建模方法進行相應設計,完成對CSecV-1 模型中辨識出的資產進行威脅分析。STRIDE 模型是微軟提出的威脅分析方法,模型將威脅分為假冒、篡改、抵賴、信息泄露、拒絕服務、提升權限 6 個維度,通過 6 個維度的建模完成威脅分析,STRIDE 模型如表 6 所示。
表 6 STRIDE 模型
1.1.3 風險評估模型
風險評估是利用風險評估模型(CSecV-3)計算威脅可能對資產產生的影響,即產生損失的可能性以及損失大小。在實際設計過程中,綜合 CSecV-1 和 CSecV-2 的建模結果,基于微軟公司的 DREAD 風險評估模型 ,對辨識出的資產進行風險評估。DREAD 模型從危害性、復現難度、利用難度、受影響用戶和發現難度 5個維度對風險進行評估,根據實際需求,可將模型中每一個因素劃分為不同等級,本文將每個因素劃分為高、中、低 3 個等級,DREAD 模型如表 7 所示。
表 7 DREAD 模型
1.1.4 風險與安全映射模型
形成風險評估模型后,即可開展安全系統方案設計工作,根據設計,完善 SV 相關視圖設計。完成安全系統的設計后,需要對設計的安全模型是否完備進行評估,通過對風險與安全映射模型(CSecV-4)的梳理,可以找到是否有遺漏的安全風險沒有被考慮,建模方式采用跟蹤矩陣方式進行梳理,風險與安全方案映射模型實例如表 8 所示。
表 8 風險與安全方案映射模型實例
1.1.5 安全體系組織運維模型
在安全系統設計完成后,需要對安全系統的運行維護進行設計。安全體系組織運維模型(CSecV-5)主要描述安全體系中各系統在日常運維和應急響應等典型業務流程中的信息交互,以及信息交互時序,通過組織運維模型設計,支撐安全防御動態能力形成。該模型通常采用統一建模語言(Unified Modeling Language,UML)時序圖進行表征,如圖 4、圖 5 所示,分別描述了日常運維中網絡安全設備管理系統根據安全事件進行策略調整的時序流程,以及應急響應情況下應急響應系統與安全設備管理系統和網絡安全設備的聯動時序流程。
圖 4 網絡安全設備管理流程
圖 5 應急響應流程
1.2 其他視點修改
CSecV 與各視圖關系如圖 6 所示。
圖 6 安全視點與作戰視點、系統視點、服務視點的關系
CSecV-1 資產識別分析從信息系統作戰視點、系統視點和服務視點的模型數據中提取對應的資產數據;CSecV-2 威脅分析和 CSecV-3風險評估為系統視點和服務視點安全系統架構提供設計依據;作戰視點中分析安全業務需求,為系統視點和服務視點中的安全監管功能、系統、服務功能和服務提供設計依據。各視圖具體的修改和添加內容如表 9 所示。
表 9 其他視圖修訂內容情況
2
CSAF 建模流程
CSAF 建模流程如圖 7 所示,主要分為基礎數據獲取、威脅分析及風險評估建模和安全系統架構構建 3 個階段。
圖 7 CSAF 建模流程
階段 1:基礎數據獲取。獲得信息系統作戰視點、系統視點和服務視點中各模型數據,通過作戰視點識別提取業務活動、業務流、業務地點、人員等數據;通過系統視點提取系統功能、系統數據、系統組成及系統部署等數據;通過服務視點提取服務功能、服務等數據,為威脅分析及風險評估建模提供數據資源支撐。
階段 2:威脅分析及風險評估建模。根據階段 1 獲取的基礎數據,提取數據、系統、硬件、服務、人員等相關資產,并從“保密性”“完整性”和“可用性”3 個方面對資產進行賦值賦權,綜合評估資產重要等級;采用 STRIDE 模型,從假冒、篡改、抵賴、信息泄露、拒絕服務、提升權限 6 個方面構建威脅模型,分析資產威脅,確定資產攻擊面;通過 DREAD 模型,結合資產重要等級和威脅,從危害性、復現難度、利用難度、受影響用戶和發現難度 5 個方面評估安全風險。
階段 3:安全系統架構構建。根據威脅分析及風險評估建模分析結果,將安全機制、安全功能、安全服務等融入業務流程、系統功能和服務中;然后構建風險與安全方案映射模型CSecV-4,檢查是否能滿足系統安全保障需求,并利用 OV 分析安全業務自身流程,設計安全監管系統和服務,從而完成整個安全系統架構設計。
3
結 語
體系結構的重要性和安全的重要性凸顯了CSAF 的必要性,本文介紹的 CSAF 建模方法是安全設計和信息系統體系架構設計的一個有益嘗試,還需要更多的項目實踐來迭代優化,從而適應我國體系架構設計現狀,進一步推動信息系統與網絡安全的融合設計,支撐網絡空間安全能力形成,保障國家網信事業安全健康發展。
