系統工程師有越來越多的機會為增強系統免受網絡攻擊做出重要貢獻。這将需要關注系統級别的安全要求,其中系統是指以層次結構、緊急屬性以及指令和控制為特征的實體模型。
本文提供了一種方法:先确定代表性架構。對于架構,指的是與安全相關的系統上下文的抽象,它可以為系統安全架構和相關安全解決方案的分類提供基礎。架構提供了一種将企業資産格局映射到威脅格局的方法,以便快速識别系統安全要求并測試潛在的解決方案。
然後,本論文提供了一個基于重用安全解決方案設計原則的系統安全架構公式,作為不斷擴充的标準系統安全模式集的潛在基礎。
模式是一組架構工件,可用于實作給定架構的系統。保留術語安全架構模式或安全功能來指代與架構的架構上下文相對應的安全設計原則的實作。
最後,介紹了一種基于安全特性和它們旨在解決的特定安全問題來開發系統安全名額的方法。這種度量方法的一個重要方面,是體系結構安全功能不限于作為系統外圍的附加元件。
每個架構特性的安全名額為将該特性內建到設計中的替代方法的價值提供了定量支援,圖1是模拟對這些術語的使用的系統。
網絡威脅和目前的安全解決方案
網絡攻擊是從企業到政府等組織面臨的一個日益嚴重的問題。這些通常通過财務損失的估計來衡量;然而,任何試圖以确切的總金額或其他能力損失來表示網絡攻擊風險增加的嘗試都沒有導緻更大風險的原因越來越多重要。
這些包括但絕不限于:(1)網絡通信、電子電路和軟體的供應鍊越來越脆弱;(2)技術成熟且有組織的對手數量穩步上升;(3)越來越傾向于依賴資訊保障标準和實踐來代替系統工程方法來滿足安全要求。
對于熟悉目前報紙頭條的人來說,上述要點中的前兩個應該不會引起争議。系統安全工程的情況對于不在該領域工作的人來說可能并不明顯,而在該領域工作的人也沒有必要關注其明顯的缺陷。
然而,上述第一點的明顯确定性是由于缺乏足夠的方法、過程和工具來滿足當今系統工程過程中的安全要求。國防部關于改進資訊保障勞動力的指令規定了在認證級别從事網絡安全工作的系統工程師的資格,可以通過為期一周的課程和商業安全技術測試來獲得。
過度依賴利益相關者可以闡明安全要求的标準和假設提供了标準機構或系統所有者了解并知道如何解決系統安全問題的錯誤保證。
如圖2所示,邊界安全解決方案通常被描述為縱深防禦、靶心目标,它側重于配置基礎設施,以最大限度地減少對給定系統每個技術層的系統資産的通路。
周邊安全解決方案的工程有優勢,比如:它們已經商業化和商品化,是以解決方案的成本和支援結構已經達到了其他更特定于應用程式的解決方案可能無法提供的規模經濟水準。
工程包括管理方法和教育訓練,作為系統所有者和營運商可以輕松采用的解決方案的一部分;工程支援不幹涉軟體功能開發的政策,這通常是由上市時間壓力驅動的,這促使設計人員和開發人員避免因內建度更高的安全解決方案而導緻的衆所周知的延遲等。
與此同時,它也帶來了随着網絡威脅的演變而變得更加嚴重的劣勢,比如:系統的設計通常不會考慮其功能和技術設計中固有的實際網絡攻擊風險。
使用定制的特定于應用程式的解決方案并不是網絡安全解決方案領域的一個重要方面,這大大減少了可能解決網絡攻擊風險降低的工具集;系統并非設計用于預測可能的新安全威脅和解決方案,導緻在新解決方案出現時內建不必要的困難等等。
圖3是自上而下的工程設計和內建過程的标準教科書模型。它用系統工程過程中應考慮安全性的點進行注釋,無論它是否是明确的利益相關者要求。
如果沒有系統生存能力的概念,性能和功能規範以及驗證計劃在某種意義上是毫無意義的。應考慮納入“按設計”規範的安全設計原則包括一整套衆所周知的安全功能,例如不可否認性、故障安全預設、機制經濟、設計透明度和授權使用的易用性。
這種将安全性納入系統工程過程的方法應該在系統操作概念和相關的緊急威脅環境的背景下加以考慮,并充分認識到這兩者都可能在設計過程中發生變化。它需要考慮系統的支援環境,并将系統邊界擴充到在生命周期的操作階段維護和更新元件的人員、流程和技術。
該方法應為系統工程社群提供基礎,将資訊保障和網絡安全作為正常功能整合到其整體工作的廣泛範圍内,以與系統工程師處理其他系統屬性(如可靠性)類似的方式處理、可維護性、可用性、可支援性等。
安全架構和名額
任何領域的專業知識都可能與模式識别有關,系統架構也不例外。模式可以簡潔地提供相對大量的資訊和了解,這些資訊和了解可以直接綁定到目标系統架構。
模式作為成功的先例從工程界出現,反映了工程師之間的共識。在記錄時,它們提供了一個模闆,通過該模闆将工程問題映射到設計解決方案。
可以鼓勵具有相似功能要求和相似安全利益的社群(包括美國國土安全部以及軍事和情報界确定的緊急支援功能和關鍵資源的所有所有者)記錄和共享他們認為在解決安全需求方面成功的架構模式。
外圍防禦政策和相關的縱深防禦工程方法是安全模式的一個示例。它有資格作為一種模式,因為工程師通常将它作為一種安全解決方案應用于任何看起來像需要安全的電子過程的架構。
與定制系統安全工程流程相反,應用該模式可以降低成本和實施時間,并減輕工程師的發明負擔。
計算機安全文獻包括許多縱深防禦邊界模式,這些模式使用加密、身份驗證和網絡分段技術元件來實作安全功能,這些技術元件在商業安全産品中得到了很好的應用。
相關名額包括覆寫範圍和控制名額的組合,旨在確定通過适當的技術配置來應對網絡清單的已知威脅和漏洞。這些對應于圖3圖表中的“build-to”文檔。
然而,從對手滲透當今安全技術的難易程度可以明顯看出,系統工程師過于依賴這些以網絡為中心的邊界模式,是以需要更多樣化的架構安全解決方案或模式。還需要與安全架構選擇相對應的名額,而不是控制實施的技術驗證。
這些将是圖3中水準線上方的安全架構名額。但是僅僅能夠以模闆格式描述模式并不能使該模式成為成功的先例。
安全架構模式還可以為定義用于安全驗證和驗證的系統安全名額提供基礎;與被保護系統的需求以及所采用的特定安全設計原則直接相關的名額。這些特定于架構的名額将為獨立的安全評估人員提供系統特定的安全标準,這些評估人員并不十分熟悉被評估的系統。
與傳統的安全名額一樣,這些标準将與機制是否根據設計實施的驗證有關。然而,與傳統安全度量的情況不同,該架構還将提供系統特定的功能标準以作為系統規範的一部分進行測量。
安全設計模式和名額
資料連續性檢查。重要的監控系統設計內建了流水線計算過程。這些通常從資料收集功能開始,然後通過資料處理管道進行,包括計算過程,例如對象檢測、對象位置跟蹤、來自多個資料收集源的相關報告的內建、對象識别以及向負責的操作員呈現對象管理或回應觀察。
有許多包含此類功能的系統示例。它們包括收集雷達監視報告以支援空中交通管理功能的空中交通管制系統,以及收集紅外和雷達報告以提醒軍事指揮部注意洲際彈道飛彈(ICBM)攻擊的軍事預警系統,以便及時作出軍事反應。
實際上,執行此類流程的架構各不相同,從集中式計算配置到高度分布式計算配置。
正如之前提到的,應納入“設計目标”規範的安全功能包括安全原則,例如通路控制、故障安全預設值、機制經濟、設計透明度和授權使用的易用性。
這些設計原則可能還沒有被空中交通或彈道飛彈系統的工程師正式确定。但是,在實施多種類型的資料連續性系統的幾十年中,已經建立了共識,使人們能夠确定成功的共同安全特征此類系統的實作。
對于任何此類配置,考慮持續威脅(存在于硬體或軟體中)的可能性,包括:
(1)防止資料被正确處理以避免操作員觀察特定對象;(2)建立人工資料作為誘餌,以将操作員的注意力從應采取行動的其他資料上移開。
這個例子的重要性在1980年被觀察到,當時美國洲際彈道飛彈警告系統向其操作員表明已經對美國發起了全面核攻擊。
包括總統參與在内的戰略指揮和控制系統以一系列行動作出回應,其中包括立即将核武器轟炸機分散到待命模式以等待後續指令(以避免它們在地面上被摧毀)。當然,該事件是誤報,後來發現是由硬體故障引起的。
事後分析提出了一個問題,即為什麼警告系統的設計沒有識别出一種情況,在這種情況下,操作員觀察到的螢幕上有資料表明受到了攻擊,而同時沒有與飛彈相關的資料從系統傳感器接收的資料。
這種安排被稱為資料連續性檢查,這個問題的唯一答案是系統工程功能沒有将此視為警告系統所需的安全功能。雖然此事件是由硬體故障引發的,但它也可能是通過供應鍊插入并由内部人員控制的特洛伊木馬。
此示例為系統工程師指出了開發有助于確定資料完整性的連續性檢查軟體代理的機會。例如,決策支援系統應用程式的“資料連續性代理”将從管道中的標明元件收集和分析中繼資料,以幫助確定不會通過特洛伊木馬的操作發生外部注入的更改。
這種資料連續性代理的設計需要:
(1 )開發一種将資料元素與決策相關聯的分類法,以幫助系統使用者将決策支援資料中的外部強制更改與潛在的關鍵決策錯誤聯系起來。
(2)開發資料連續性代理的使用者界面,用于:指定代理可從系統中的各種服務元件獲得的中繼資料;作為識别不連續性的基礎,代理人需要進行的比較;用于比較的時間線;代理應該用來報告不連續性的界面。
這些設計問題表明系統工程師是該系統上下文中安全問題解決方案的邏輯來源,是以,它有資格作為安全模式。執行個體化資料連續性代理的安全功能的可重用性将引起人們的興趣,并且可以将此類代理設計為跨一組定義的系統規範進行重用。防空系統中的資料連續性模式如圖。
假設系統的設計遵循解決方案中推薦的指南和靈活性标準,将設計相應的名額,以明确訓示設計中内置的安全強度。
如圖所示,還可以将此架構中提供的安全性與非惡意來源的不連續性引起的誤報率相關聯,例如:
(a)可能的跟蹤錯誤;(b)傳感器信号到-噪聲比;(c)資料連續性量化水準;(d)資料更新率;(e)資料連續性檢查的頻率;(f)最終使用者/營運商可用的資訊傳遞替代方案的類型和數量。
資料連續性架構的安全架構模式可以包括與上述每個單獨因素相關的名額,以及與整個組相關的名額。綜合名額可以包括序數和基數訓示,安全評估員選擇最适合系統和評估風險的訓示。
通信的彈性。與資料連續性示例一樣,合格的工程師在通信系統架構中預設遵守安全設計原則。已達成共識,使人們能夠确定成功實施此類系統所共有的安全功能。
此示例與阻止和響應旨在破壞地理上獨立的系統元件之間的通信的攻擊有關。公認的系統拒絕服務威脅涉及連接配接系統中分離元素的通信的實體中斷。
應對此類威脅的一種常用安全架構模式是提供備援通信源,例如通過空間分離的替代路由路徑接收備援固定電話通信,使破壞行為更難在不被發現的情況下進行攻擊。這種模式可以擴充到包括多種通信模式,例如用多個無線電通信系統補充陸線通信以提供通信的連續性。
然而,對于資料傳輸的正常帶寬要求超過用于提供連續性的無線電系統的可用帶寬的系統,必須修改系統的功能元件,以在能夠容忍接收資料時的較大延遲的模式下運作,或者在以下模式下運作:能可以接受減少資料内容的工作,以便将通信延遲保持在正常系統規範内。
這種安全架構模式将提供必要的系統調整,以适應更大的延遲或減少傳輸的資料量。
例如,支援軍事預警系統的通信容易遭到破壞和電子戰。資料延遲必須保持在最低限度,因為警告是時間緊迫響應的先兆。是以,為了應用此系統安全架構模式,必須壓縮通過低帶寬無線電系統發送的資料以提供遠端通信的連續性,以避免不必要的延遲。
作為一個特定示例,警報系統可能通常以每秒9600位的速率通過專用陸線電信系統接收相關的遠端傳感器監視資訊。
對于同一系統,可能需要使用HF無線電系統作為備援源,但隻能以每秒2400位的速度傳送資料。系統設計人員可以選擇将資料延遲4倍,或者資料可以壓縮4倍。
假設增加的延遲不可接受,則需要壓縮。一種壓縮方法可能是更改資料量化級别。例如,對于接收關于攻擊源位置的通信的警告系統,而不是發送精度為0.1英裡的位置,通信資料可以定位精度較低(例如,1英裡精度)的源,進而減少位數所需的傳輸。
進一步假設系統設計者希望在通信中斷方面具有更高的安全性,并且希望在HF系統之外添加僅支援每秒100位通信的較低頻率通信系統。
與固定電話正常發送的每秒9600位相比,這種大幅減少可能需要設計一種新的系統操作模式,該模式使用摘要報告而不是單獨的位置報告(例如,“有3個攻擊源來自北部地區”敵人位置”),隻有數量和扇區描述是通信資料。
雖然此示例的細節高度依賴于受保護架構的細節,但通用安全架構模式很可能用于需要類似安全解決方案的各種系統。
建議
雖然建議的架構方法可能無法提供與可重用現成軟體相關的所有效率,但它會提供一組新的且具有潛在價值的解決方案,其方式将提供其自身的效率并添加新的安全功能,這些功能是周邊安全解決方案不提供。
通過使用重用設計模式的體系結構方法,系統工程師可以潛在地建立從成本和進度角度來看都高效的解決方案,并且還以受保護系統獨有的方式提供安全性。
作為一個重要的附加好處,設計模式的獨特實作對于依賴于開發可以滲透現成外圍解決方案的漏洞利用并且通常可以在使用相同産品的系統基礎上重用這些漏洞利用的攻擊者來說是有問題的安全。
參考文獻:W.Larson,D.Kirkpatrick,J.J.Sellers,D.Thomas,and D.Verma,Applied space systems engineering, McGraw Hill, New Y ork,2009.