摘 要
随着網絡空間蓬勃發展,安全問題日益凸顯,網絡空間安全由于複雜性、動态性等特征,使其體系結構設計一直是一個難題。首先對目前多種複雜大系統體系設計方法進行了分析,指出其在網絡空間安全體系設計領域的不适用性問題;然後以美國國防部體系結構架構為基礎,提出了适合于網絡空間安全體系結構設計的架構,給出了具體的體系結構模組化流程,為網絡空間安全體系設計提供了參考。
内容目錄:
1 基于 DoDAF 的安全體系結構模型
1.1 安全視點
1.2 其他視點修改
2 CSAF 模組化流程
3 結 語
網絡空間已成為繼陸、海、空、天後的第五維空間,與社會各行各業生産以及人們日常生活聯系緊密,大大提升了人們的生活品質,提高了社會生産力。與此同時,網絡空間的安全問題日益凸顯,嚴重威脅到個人隐私、國家安全以及社會穩定。
網絡空間安全由于保護要素多、攻防對抗态勢變化快等特點,亟須采用體系架構技術來提高系統的一體化程度,實作與系統協同融合運作,滿足體系對抗能力要求。
體系結構最初來源于建築業,資訊技術出現後,借鑒其思想,将體系結構概念引入到資訊系統、系統工程等領域,用于描述各組成單元及其之間的互相關系,以及成為限制各組成單元設計和發展的原則和指南。目前國外較常用的體系結構方法包括美國國防部體系結構架構(Department of Defense Architecture Framework,DoDAF)、開放組織體系結構架構(The OpenGroup Architecture Framework,TOGAF)等。
DoDAF 是企業體系架構的一個典型架構,目前是軍事領域最成熟的架構之一,其主要核心是将複雜的企業體系結構描述和模型進行易于了解的表達,進而支撐決策。DoDAF 自 2003 年1.0 版本開始,目前已更新到 2.0 版本。與 DoDAF1.5 相 比,DoDAF 2.0将 全 景 視 圖(All View,AV)、作戰視圖(Operational View,OV)、系統 /服務視圖(System/Service View,SV)和技術視圖(Technical View,TV)4 類視圖變為 8 類視點,增加了服務視點(Services Viewpoint,SvcV)、資料和資訊視點(Data and Information Viewpoint,DIV)、 能 力 視 點(Capability Viewpoint,CV)和 項 目 視 點(Project Viewpoint,PV)4 類, 其中服務視點是由 DoDAF 1.5 從系統 / 服務視圖中分離出來的,資料和資訊視點則是由 DoDAF 1.5的作戰視圖中 OV-7 邏輯資料模型和 SV-11 實體資料模型組成,DoDAF 1.5 與 DoDAF 2.0 對比如圖 1 所示,以此适應體系戰略能力規劃人員、項目規劃人員、系統服務設計人員等更多涉衆的使用需求,并從以産品為中心轉變為以資料為中心。
圖 1 DoDAF 1.5 與 DoDAF 2.0 對比
TOGAF 由國際開放組織制定和推廣,其緻力于推動無邊界資訊流的建立,最新版本為2019 年發表的 9.2 版本,在民用領域應用最為廣泛,TOGAF 能力架構如圖 2 所示。
圖 2 TOGAF 能力架構
國内方面,借鑒 DoDAF 設計思想,在 2011年釋出了國家軍用标準 GJB/Z 156—2011《軍事電子資訊系統體系結構設計指南》,該标準是大陸首次正式釋出實施的體系結構設計檔案。指南對标體系結構 DoDAF 1.5 版本進行設計,從作戰、系統和技術 3 個角度提出了詳細的設計要求。劉斌在 DoDAF 基礎上,加入了任務可靠性描述模型,提出了基于可靠性描述架構(DoDAF-Reliability Oriented Description,DoDAF-ROD)的裝備體系模組化研究方法,為裝備體系的 ROD 提供了規範化描述模組化方法;趙振 南将 統 一 軟 件 開 發 過 程(Rational Unified Process,RUP)應用于 DoDAF 體系結構模組化過程,針對聯合作戰資訊系統體系進行了模組化分析,按不同視角與不同級别對體系結構模型進行內建研究。
從分析上述體系結構架構和國内研究成果不難看出,各類方法中并沒有獨立的安全視點,安全相關的概念和屬性會以資訊 / 資料、業務活動 / 系統功能或系統等核心元素屬性的形式進行描述,如 DoDAF 作戰視點中資訊交換矩陣OV-3。在描述業務資訊交換中,安全作為資訊的一個屬性,表達了該資訊對安全的需求,如鍊路傳輸加密需求;在系統視點的資料交換矩陣SV-6 中,安全也同樣作為系統互動資料的一個屬性,表達了系統所交換的資料對安全的需求。但這些描述較為粗略,僅僅表達資訊和資料對安全防禦有需求,并未對資訊系統的安全需求展開充足的分析,不能明确資訊系統面臨的安全威脅和安全風險,難以确定所需的安全措施和手段,最終導緻安全系統或裝置往往需要以打“更新檔”的方式來彌補資訊系統設計中存在的安全能力差距,安全防護系統和裝備也不能形成體系,大大影響了安全防禦效能的發揮。
本文針對上述問題,通過深入研究目前多種典型體系結構架構和分析架構,提出了一種基于 DoDAF 的安全體系結構設計模組化方法,并給出了其典型的設計流程。
1 基于 DoDAF 的安全體系結構模型
針 對 以 上 安 全 體 系 設 計 存 在 的 不 足, 本節将對 DoDAF 2.0 架構進行改進,形成适用于網絡空間安全體系結構設計的模型方法——網絡空間安全體系結構架構(Cyberspace Security Architecture Framework,CSAF)。
與 DoDAF 2.0 相比,CSAF 主要修改和添加的内容包括:一是在原有 DoDAF 架構中加入安全視點,分析資訊系統業務、系統和服務的安全需求,建構安全視點與作戰視點、系統視點和服務視點等其他視點的關聯關系,提升資訊系統與安全的融合設計能力;二是基于網絡安全與資訊系統同規劃、同設計、同建設的 3 個原則,基于安全視點中的相關分析,在 DoDAF 架構各視圖中添加相應的安全要素。CSAF 體系結構架構如圖 3 所示。
圖 3 CSAF 體系結構架構
1.1 安全視點
安全視點(Cyberspace Security View Point,CSecV)借鑒安全風險評估思路進行設計,包括資産識别分析模型、威脅分析模型、風險評估模型、風險與安全映射模型和安全體系組織運維模型 5 類模型。
1.1.1 資産識别分析模型
資産識别分析模型(CSecV-1)主要包括“資産分類”和“資産指派”兩個過程。資産分類主要是根據體系結構設計中的作戰視點、系統視點和服務視點等相關模型資料,提取需要保護的資産,主要包含硬體、軟體、服務、資料、人員和其他 6 大類,如表 1 所示。硬體主要包括網絡裝置、傳輸線路、計算終端、儲存設備、保障裝置和外設等;軟體主要包括系統軟體、應用軟體、源程式等;服務主要包括資訊服務、網絡服務、辦公服務等。在資訊系統體系結構設計工作中,關注的重點是資料、系統和服務,對應資産分類表中的資料、軟體和服務分類,關聯體系結構模型資料包括作戰視點中的資訊流,系統視點中的系統、系統功能和資料流,以及服務視點中的服務和服務功能。
表 1 資産分類
資産指派包括資産的“保密性”“完整性”和“可用性”3 個次元,從 3 個次元對資産進行指派,并通過相應的評估模型,綜合分析評估資産的重要等級。參照國家标準,資産的“保密性”“完整性”和“可用性”指派均采用“5 級分級制”,即“很高”“高”“中等”“低”和“很低”。資産保密性“5 級分級制”指派表如表 2所示,資産完整性“5 級分級制”指派表如表 3所示,資産可用性“5 級分級制”指派表如表 4所示,根據表格評分标準對資産“保密性”“完整性”和“可用性”進行評分。然後,确定資産“保密性”“完整性”和“可用性”的權重,根據計算評估模型,綜合分析評估資産重要等級,資産重要等級的具體含義如表 5 所示。
表 2 資産保密性指派
表 3 資産完整性指派
表 4 資産可用性指派
表 5 資産重要等級含義描述
1.1.2 威脅分析模型
威脅分析(CSecV-2)是根據資産存在的脆弱性,找出資産可能面臨的相關危害來源,并分析威脅利用脆弱點的難易程度,進而優化改進資訊系統的安全設計。在實際設計過程中,基于 CSecV-1 的模組化,以及借鑒微軟公司的 STRIDE模組化方法進行相應設計,完成對CSecV-1 模型中辨識出的資産進行威脅分析。STRIDE 模型是微軟提出的威脅分析方法,模型将威脅分為假冒、篡改、抵賴、資訊洩露、拒絕服務、提升權限 6 個次元,通過 6 個次元的模組化完成威脅分析,STRIDE 模型如表 6 所示。
表 6 STRIDE 模型
1.1.3 風險評估模型
風險評估是利用風險評估模型(CSecV-3)計算威脅可能對資産産生的影響,即産生損失的可能性以及損失大小。在實際設計過程中,綜合 CSecV-1 和 CSecV-2 的模組化結果,基于微軟公司的 DREAD 風險評估模型 ,對辨識出的資産進行風險評估。DREAD 模型從危害性、複現難度、利用難度、受影響使用者和發現難度 5個次元對風險進行評估,根據實際需求,可将模型中每一個因素劃分為不同等級,本文将每個因素劃分為高、中、低 3 個等級,DREAD 模型如表 7 所示。
表 7 DREAD 模型
1.1.4 風險與安全映射模型
形成風險評估模型後,即可開展安全系統方案設計工作,根據設計,完善 SV 相關視圖設計。完成安全系統的設計後,需要對設計的安全模型是否完備進行評估,通過對風險與安全映射模型(CSecV-4)的梳理,可以找到是否有遺漏的安全風險沒有被考慮,模組化方式采用跟蹤矩陣方式進行梳理,風險與安全方案映射模型執行個體如表 8 所示。
表 8 風險與安全方案映射模型執行個體
1.1.5 安全體系組織運維模型
在安全系統設計完成後,需要對安全系統的運作維護進行設計。安全體系組織運維模型(CSecV-5)主要描述安全體系中各系統在日常運維和應急響應等典型業務流程中的資訊互動,以及資訊互動時序,通過組織運維模型設計,支撐安全防禦動态能力形成。該模型通常采用統一模組化語言(Unified Modeling Language,UML)時序圖進行表征,如圖 4、圖 5 所示,分别描述了日常運維中網絡安全裝置管理系統根據安全事件進行政策調整的時序流程,以及應急響應情況下應急響應系統與安全裝置管理系統和網絡安全裝置的關聯時序流程。
圖 4 網絡安全裝置管理流程
圖 5 應急響應流程
1.2 其他視點修改
CSecV 與各視圖關系如圖 6 所示。
圖 6 安全視點與作戰視點、系統視點、服務視點的關系
CSecV-1 資産識别分析從資訊系統作戰視點、系統視點和服務視點的模型資料中提取對應的資産資料;CSecV-2 威脅分析和 CSecV-3風險評估為系統視點和服務視點安全系統架構提供設計依據;作戰視點中分析安全業務需求,為系統視點和服務視點中的安全監管功能、系統、服務功能和服務提供設計依據。各視圖具體的修改和添加内容如表 9 所示。
表 9 其他視圖修訂内容情況
2 CSAF 模組化流程
CSAF 模組化流程如圖 7 所示,主要分為基礎資料擷取、威脅分析及風險評估模組化和安全系統架構建構 3 個階段。
圖 7 CSAF 模組化流程
階段 1:基礎資料擷取。獲得資訊系統作戰視點、系統視點和服務視點中各模型資料,通過作戰視點識别提取業務活動、業務流、業務地點、人員等資料;通過系統視點提取系統功能、系統資料、系統組成及系統部署等資料;通過服務視點提取服務功能、服務等資料,為威脅分析及風險評估模組化提供資料資源支撐。
階段 2:威脅分析及風險評估模組化。根據階段 1 擷取的基礎資料,提取資料、系統、硬體、服務、人員等相關資産,并從“保密性”“完整性”和“可用性”3 個方面對資産進行指派賦權,綜合評估資産重要等級;采用 STRIDE 模型,從假冒、篡改、抵賴、資訊洩露、拒絕服務、提升權限 6 個方面建構威脅模型,分析資産威脅,确定資産攻擊面;通過 DREAD 模型,結合資産重要等級和威脅,從危害性、複現難度、利用難度、受影響使用者和發現難度 5 個方面評估安全風險。
階段 3:安全系統架構建構。根據威脅分析及風險評估模組化分析結果,将安全機制、安全功能、安全服務等融入業務流程、系統功能和服務中;然後建構風險與安全方案映射模型CSecV-4,檢查是否能滿足系統安全保障需求,并利用 OV 分析安全業務自身流程,設計安全監管系統和服務,進而完成整個安全系統架構設計。
3 結 語
體系結構的重要性和安全的重要性凸顯了CSAF 的必要性,本文介紹的 CSAF 模組化方法是安全設計和資訊系統體系架構設計的一個有益嘗試,還需要更多的項目實踐來疊代優化,進而适應大陸體系架構設計現狀,進一步推動資訊系統與網絡安全的融合設計,支撐網絡空間安全能力形成,保障國家網信事業安全健康發展。
引用格式:王科銳 , 譚齊 , 張德治 . 一種網絡空間安全體系結構模組化方法研究 [J]. 資訊安全與通信保密 ,2022(12):89-98.
作者簡介 >>>
王科銳,男,學士,工程師,主要研究方向為資訊安全、體系結構設計;
譚 齊,男,碩士,進階工程師,主要研究方向為網絡安全、安全評估;
張德治,男,碩士,進階工程師,主要研究方向為網絡安全、安全評估。
選自《資訊安全與通信保密》2022年第12期(為便于排版,已省去原文參考文獻)