陳艷春

(1.北京理工大學(xué)管理與經(jīng)濟(jì)學(xué)院,北京 100083;2.石家莊鐵道大學(xué)經(jīng)濟(jì)管理學(xué)院,河北石家莊

050043)

Mashup應(yīng)用安全風(fēng)險(xiǎn)評估模型研究

陳艷春1,2

(1.北京理工大學(xué)管理與經(jīng)濟(jì)學(xué)院,北京 100083;2.石家莊鐵道大學(xué)經(jīng)濟(jì)管理學(xué)院,河北石家莊

050043)

Mashup應(yīng)用作為企業(yè)情境應(yīng)用程序,它利用從外部數(shù)據(jù)源檢索到的內(nèi)容來創(chuàng)建全新的服務(wù)。由于缺乏安全標(biāo)準(zhǔn)和核實(shí)鑒別的信任機(jī)制,隨著更多的企業(yè)用戶構(gòu)建基于Mashup的應(yīng)用,潛在的安全風(fēng)險(xiǎn)急劇增加。為了解決這個(gè)問題,以開發(fā)者的視角,通過解構(gòu)Mashup應(yīng)用的開發(fā)過程,

集靜態(tài)和動(dòng)態(tài)安全風(fēng)險(xiǎn)因素于一體,透視Mashup應(yīng)用的組件和行為特征,提出Mashup應(yīng)用的定量風(fēng)險(xiǎn)評估框架,定義風(fēng)險(xiǎn)評估模型,在滿足假設(shè)條件基礎(chǔ)上,應(yīng)用 M arkov鏈予以定量評估,為開發(fā)安全的應(yīng)用提供參考。

Mashup;應(yīng)用;風(fēng)險(xiǎn)評估;評估模型

一種新型的基于 Web的數(shù)據(jù)集成應(yīng)用程序正在 Internet上逐漸興起。通常用術(shù)語Mashup表示,它們的流行萌芽于對交互式用戶參與和集成第3方數(shù)據(jù)的類似于科學(xué)怪人方式的重視[1]。在互聯(lián)網(wǎng)上,用戶可以借用已有Mashup組件搭建自己的程序,這就是Mashup應(yīng)用。隨著更多的企業(yè)用戶構(gòu)建基于Mashup的應(yīng)用,Mashup應(yīng)用的安全問題日益受到關(guān)注,已有文獻(xiàn)從多種視角進(jìn)行探索。NAONE和來自O(shè)penA jax聯(lián)盟、微軟研究院、信息安全公司的MAND IAN T,以及Mashup Maker公司的JACKBE等業(yè)界專家一起討論并評估了Mashup安全的現(xiàn)狀以及未來的關(guān)注點(diǎn)[2]。來自BEA的RHUBART和GARRISON從部署服務(wù)的視角探索安全性,認(rèn)為應(yīng)該設(shè)計(jì)更安全的服務(wù)框架。DAN IEL等從組件質(zhì)量的角度研究安全問題[3],認(rèn)為應(yīng)該從組件的API質(zhì)量、數(shù)據(jù)質(zhì)量和性能提高安全性。筆者基于已有成果,采取動(dòng)態(tài)和靜態(tài)相結(jié)合的思想,通過對Mashup應(yīng)用組件的質(zhì)量、應(yīng)用的體系結(jié)構(gòu)和組件之間的訪問聯(lián)結(jié)來評估風(fēng)險(xiǎn),為構(gòu)建安全的Mashup應(yīng)用提供參考。

1 解構(gòu)Mashup應(yīng)用

圖1 Mashup應(yīng)用開發(fā)模型Fig.1 Development model for Mashup app lications

Mashup應(yīng)用是跨組織的系統(tǒng)集成,就像搭積木一樣,可以把來自外部的內(nèi)容嵌入到自己的網(wǎng)頁,不同部件之間可以調(diào)用。Mashup應(yīng)用從架構(gòu)上來說由3部分組成,它們在邏輯上和物理上都是相互脫離的(可能由網(wǎng)絡(luò)和組織邊界分隔):API/內(nèi)容提供者、Mashup站點(diǎn)和客戶機(jī)的 Web瀏覽器[1]。對于開發(fā)者,混搭的安全存在于開發(fā)的每個(gè)部件和環(huán)節(jié),圖1從開發(fā)的角度描述了Mashup應(yīng)用的開發(fā)過程。最頂層是Mashup應(yīng)用,這是應(yīng)用內(nèi)外部的數(shù)據(jù)和組件搭建的Web程序,每個(gè)程序有一些混搭網(wǎng)頁組成,網(wǎng)頁被劃分為若干區(qū)域,這些區(qū)域是組件所在地,組件通過API接口隱藏了內(nèi)部復(fù)雜的實(shí)現(xiàn)細(xì)節(jié)。組件開發(fā)完成后在Mashup站點(diǎn)發(fā)布供開發(fā)者使用,開發(fā)者可以通過專有工具去構(gòu)建應(yīng)用。從圖1可知:組件的功能和非功能因素如體系結(jié)構(gòu)、數(shù)據(jù)格式、語言、協(xié)議等影響組件的性能,這也是評估組件質(zhì)量的參數(shù)。

1.1 Mashup站點(diǎn)

Mashup站點(diǎn)是存放Mashup的地方。值得注意的是,它僅僅是Mashup邏輯所在的地方,而不是執(zhí)行這些邏輯的地方。從一方面來說,Mashup可以直接使用服務(wù)器端動(dòng)態(tài)內(nèi)容生成技術(shù)(如Java servlets,CGI,PHP或ASP)實(shí)現(xiàn)類似傳統(tǒng)的 Web應(yīng)用程序。

1.2 Mashup應(yīng)用

Mashup應(yīng)用的頁面被分割成幾個(gè)長方形區(qū)域,每個(gè)區(qū)域用于顯示1個(gè)部件。1個(gè)部件就是它隸屬的服務(wù)器端的輸入和輸出窗口,可以與服務(wù)器端獨(dú)立交互。微軟將含有多個(gè)部件的網(wǎng)頁叫部件頁,含有外來部件的部件頁叫混搭網(wǎng)頁,或者混搭部件頁。簡單的混搭部件頁中,各個(gè)部件獨(dú)立工作。在復(fù)雜的混搭部件頁中不同部件之間存在調(diào)用關(guān)系。含有混搭網(wǎng)頁的網(wǎng)站叫Mashup網(wǎng)站,提供內(nèi)容的網(wǎng)站叫Mashup供源。Mashup供源提供的服務(wù)分為 SaaS和DaaS。

1.3 API/內(nèi)容提供者

內(nèi)容提供者是正在進(jìn)行融合的內(nèi)容的提供者。比如在 ChicagoCrime.org Mashup的例子中,提供者是Google和芝加哥警察局[1]。為了方便數(shù)據(jù)的檢索,提供者通常會(huì)將自己的內(nèi)容通過 Web協(xié)議對外提供。然而,很多有趣的潛在數(shù)據(jù)源可能并沒有方便地對外提供API。如從Wikipedia,TV Guide和所有政府及公共領(lǐng)域的Web站點(diǎn)上提取內(nèi)容的Mashup都是通過一種稱為屏幕抓取(screen scraping)的技術(shù)實(shí)現(xiàn)的。在這種情況中,屏幕抓取就意味著使用一種工具從內(nèi)容提供者那里提取信息的過程。該工具可以對提供者的頁面進(jìn)行分析。

2 理論基礎(chǔ)與評估框架

與安全風(fēng)險(xiǎn)評估相關(guān)的國際標(biāo)準(zhǔn)來自ISO/IEC,ISO 8402—86專注應(yīng)用軟件質(zhì)量或?qū)τ谝粋€(gè)給定的評估過程。標(biāo)準(zhǔn)ISO 8402-86定義質(zhì)量的總體特征和特定的軟件產(chǎn)品應(yīng)滿足規(guī)定或隱含需求,標(biāo)準(zhǔn)ISO/IEC 9126-1定義軟件產(chǎn)品的質(zhì)量特征組合,通過代表軟件產(chǎn)品屬性的6個(gè)特征來描述和評價(jià)軟件產(chǎn)品。對每個(gè)參數(shù),標(biāo)準(zhǔn)也提供了一系列子參數(shù)來評估質(zhì)量。

基于ISO/IEC標(biāo)準(zhǔn),國內(nèi)外的學(xué)者面向傳統(tǒng)的Web應(yīng)用提出質(zhì)量控制模型[4]。對Mashup應(yīng)用的安全性從不同方面予以研究,如文獻(xiàn)[5]從組件的內(nèi)部和外部特征建立評估Mashup組件的質(zhì)量模型;有的學(xué)者探討Mashup軟件的開發(fā)過程,以加強(qiáng)安全性,如文獻(xiàn)[6]。上述做法可以歸納為從組件的特征來評估質(zhì)量和風(fēng)險(xiǎn),但是應(yīng)用的運(yùn)行不僅涉及組件本身,還涉及組件之間的聯(lián)結(jié),因此需要從動(dòng)態(tài)和靜態(tài)結(jié)合的角度來制定評估標(biāo)準(zhǔn)。

圖2 安全風(fēng)險(xiǎn)評估模型Fig.2 Framework of security risk evaluation model

基于上述研究成果,依據(jù)ISO/IEC標(biāo)準(zhǔn),抓住組件和組件之間調(diào)用的動(dòng)態(tài)特征,構(gòu)建Mashup應(yīng)用的安全評估模型?？蚣苋鐖D2所示,該安全風(fēng)險(xiǎn)評估框架包括3層:第1層是安全風(fēng)險(xiǎn)評估的目標(biāo),根據(jù)國家標(biāo)準(zhǔn) GB/T 20269-2006和GB/T 20273—2006,信息安全等級分為D類、C類、B類、A類和超A類,共5級,安全等級與評分結(jié)果的對應(yīng)關(guān)系參見文獻(xiàn)[6]。為了實(shí)現(xiàn)目標(biāo)控制要求,從2個(gè)方面來評估:一是Mashup組件的質(zhì)量,二是組件與組件之間聯(lián)結(jié)。

3 Mashup應(yīng)用的風(fēng)險(xiǎn)評估參考模型

安全風(fēng)險(xiǎn)評估依據(jù)風(fēng)險(xiǎn)評估模型。風(fēng)險(xiǎn)評估模型驅(qū)動(dòng)風(fēng)險(xiǎn)評估:評估方法依靠良好的風(fēng)險(xiǎn)模型框架和可識別的維度劃分,并且對維度能正確度量[3]。評估的整體思路為構(gòu)建評價(jià)指標(biāo)、指標(biāo)的量化處理、進(jìn)行綜合評價(jià)等若干步驟[7]。

3.1 Mashup組件的風(fēng)險(xiǎn)評估

3.1.1 Mashup組件的風(fēng)險(xiǎn)評估指標(biāo)

國際標(biāo)準(zhǔn)ISO/IEC 9126從功能性、可靠性、可用性、有效性、可維護(hù)性和可移植性來評估信息系統(tǒng)質(zhì)量。Mashup組件的質(zhì)量是由多種因素決定的,開發(fā)者更在乎的是API、數(shù)據(jù)質(zhì)量和性能?；趪H標(biāo)準(zhǔn),從開發(fā)者的角度出發(fā),綜合組件的內(nèi)部和外部質(zhì)量屬性,按照傳統(tǒng)應(yīng)用MVC(表示層 —邏輯層 —數(shù)據(jù)層)架構(gòu)分解,分析影響用戶使用的性能指標(biāo)。表1從API、數(shù)據(jù)質(zhì)量和性能描述3個(gè)維度來衡量。針對每個(gè)給定指標(biāo)給出具體的子參數(shù),如API維度又可從互操作性、可靠性、安全性和可用性方面來評估[4]。

表1 Mashup組件風(fēng)險(xiǎn)評估指標(biāo)Tab.1 Evaluation inder of Mashup component

由表1可以看出,指標(biāo)體系為樹狀結(jié)構(gòu),即每個(gè)下級指標(biāo)只與一個(gè)上級指標(biāo)相關(guān)聯(lián);每個(gè)屬性的邊際價(jià)值是線性的,每2個(gè)屬性都是相互價(jià)值獨(dú)立的,很難判斷哪個(gè)維度更重要。

3.1.2 Mashup組件風(fēng)險(xiǎn)指標(biāo)量化

目前,缺乏組件的質(zhì)量標(biāo)準(zhǔn)和規(guī)范,對 Mashup組件的質(zhì)量評估數(shù)據(jù)來源于 http://www.p rogrammableweb.com網(wǎng)站。該網(wǎng)站發(fā)布的組件主要有2個(gè)特點(diǎn):一是每一分類標(biāo)簽下的組件數(shù)目懸殊,如地圖組件占27%,圖書、插件、消息組件各占4%;二是每天均有大量新組件上傳,新組件單獨(dú)列表,用戶還沒有開始聲譽(yù)評價(jià)。

為了定量評估,首先需要對每一個(gè)參數(shù)進(jìn)行標(biāo)準(zhǔn)化和歸一化處理,如安全性的變化范圍限定到0和1,如果支持SSL協(xié)議是1,否則是0?？傆幸恍傩詿o法或很難量化,這時(shí)就給不出決策矩陣,只能給出每個(gè)維度下各組件的優(yōu)劣次序,采用基于估計(jì)相對位置的方案排隊(duì)法給出每類組件的優(yōu)先順序,對開發(fā)者來說,也只能在上述網(wǎng)站中選擇組件。但每天都有大量的新組件出現(xiàn),對組件的評估實(shí)際是與已知的最好的比較給出的相對值,也就是說對組件的定量評估要實(shí)現(xiàn)動(dòng)態(tài)調(diào)整其排名。

3.2 Mashup應(yīng)用的行為模型

Mashup應(yīng)用通常稱為企業(yè)情境應(yīng)用程序,是針對特定場景創(chuàng)建的,并且通常僅在該場景存在的時(shí)間段內(nèi)使用。在對Mashup應(yīng)用建模中,稱系統(tǒng)的各個(gè)組成部分為組件,組件之間的通信鏈路為聯(lián)結(jié)。Mashup應(yīng)用不僅包括系統(tǒng)行為和界面等功能性的屬性,還包括非功能性屬性,因此有必要研究Mashup應(yīng)用的行為模型。

圖3是Mashup應(yīng)用的行為模型,采用分層的思想:首先把應(yīng)用分解成若干任務(wù),直到成為不可分解的原子任務(wù)為止。為了完成該任務(wù),需要至少1個(gè)組件來完成,筆者研究的組件數(shù)目大于等于2個(gè)。圖3中,任務(wù) X開始執(zhí)行,首先調(diào)用組件Ci,Ci可以調(diào)用組件Cj或者Ck等完成任務(wù)X,“結(jié)束”是任務(wù)的中止點(diǎn)。pij代表組件Ci在運(yùn)行后執(zhí)行組件Cj的條件概率 。轉(zhuǎn)移概率矩陣用 P表示。其中,pij=nij/ni,nij是在執(zhí)行任務(wù) Tx過程中i組件調(diào)用j組件的次數(shù);ni= ∑ nij是任務(wù) Tx執(zhí)行過程中i組件調(diào)用其他組件的次數(shù)總和。

圖3 Mashup應(yīng)用的行為模型Fig.3 Behavior model fo r Mashup app lication

為了便于分析,提出3點(diǎn)假設(shè)。

假設(shè)1:假定不同任務(wù)之間的關(guān)系是單向的,系統(tǒng)執(zhí)行有唯一的起點(diǎn)和終點(diǎn)。筆者先研究此種情形下的模型,然后依此類推,可以擴(kuò)展到多維的情形。

假設(shè)2:假定系統(tǒng)不同組件執(zhí)行的活動(dòng)具有Markov特性,即在已知受控組件狀態(tài)下,系統(tǒng)下一步活動(dòng)僅與前一步活動(dòng)有關(guān),與所有其他過去活動(dòng)無關(guān)。

假設(shè)3:假定系統(tǒng)中各個(gè)組件和聯(lián)結(jié)具備風(fēng)險(xiǎn)獨(dú)立性,即某個(gè)組件出現(xiàn)問題,都不會(huì)影響其他組件和聯(lián)結(jié)本身的性能或安全性[8]。

3.3 基于Markov鏈的風(fēng)險(xiǎn)評估模型

基于上述假設(shè),任務(wù)執(zhí)行的狀態(tài)只與當(dāng)前受控組件有關(guān),而與以前的組件狀態(tài)無關(guān),因此這是離散的M arkov鏈。設(shè){Xn,n∈T}為M arkov鏈,其中(X1,X2,…,Xn)表示組件調(diào)用序列(或系統(tǒng)運(yùn)行狀態(tài)等),其狀態(tài)空間為應(yīng)用中所有組件調(diào)用的集合。假設(shè)給定應(yīng)用共需要調(diào)用l個(gè)組件,則該M arkov鏈具有l(wèi)+1過渡狀態(tài),1個(gè)吸收態(tài),其值代表不同的安全風(fēng)險(xiǎn)狀態(tài)。轉(zhuǎn)移概率不僅包括組件還應(yīng)包括組件之間的聯(lián)結(jié)。首先,通過統(tǒng)計(jì)方法計(jì)算一步狀態(tài)轉(zhuǎn)移概率矩陣P,pij定義為組件Ci執(zhí)行后成功執(zhí)行Cj的概率,pij=nij/ni,其中ni表示組件Ci調(diào)用所有組件的次數(shù),nij表示組件Ci調(diào)用組件 Cj的次數(shù)。設(shè) ri為組件Ci發(fā)生安全事件風(fēng)險(xiǎn)概率,rij表示Ci與Cj之間的聯(lián)結(jié)發(fā)生安全事件的風(fēng)險(xiǎn)概率,因此,轉(zhuǎn)移概率修正成(1-ri)pij(1-rij),記為p′ij,表示當(dāng) Ci且Ci與Cj之間的聯(lián)結(jié)沒有發(fā)生安全事件的情況下 Ci到Cj的轉(zhuǎn)移概率[8]。令 R是(l+1)×(l+1)階矩陣,表示過渡態(tài)之間的轉(zhuǎn)移概率,A為(l+1)×l向量,表示過渡態(tài)到吸收態(tài)轉(zhuǎn)移矩陣,U為單位矩陣,則轉(zhuǎn)移概率矩陣可寫為

從過渡狀態(tài)到達(dá)吸收狀態(tài)的概率矩陣B可寫成:

矩陣B是應(yīng)用的風(fēng)險(xiǎn)指標(biāo),其取值的高低分別代表5個(gè)安全風(fēng)險(xiǎn)狀態(tài)。

3.4 算例分析

圖4 房源管理應(yīng)用行為模型Fig.4 Behavio r model fo r housing info rmation management

例如,房地產(chǎn)交易網(wǎng)站,可以將該城市的地圖影像與住宅小區(qū)的房源信息關(guān)聯(lián),購房者在地圖中圈出期望的新家所在地,這個(gè)區(qū)域的房源信息就會(huì)立即顯示出來。在Mashup應(yīng)用主頁面首先加載地圖組件(記為C1)和數(shù)據(jù)顯示組件(記為 C2),然后集成房源信息和安全狀況數(shù)據(jù)(記為C3),該應(yīng)用的行為模型見圖4。房源信息是網(wǎng)站自己的數(shù)據(jù),而地圖組件可以選擇的有 Google M aps,Yahoo Maps,M icrosoft Virtual Earth等5個(gè)組件,這些組件被評為四星級以上,公司的聲譽(yù)很好,是目前地圖組件的首選,組件風(fēng)險(xiǎn)取值為1。

4 結(jié) 語

以開發(fā)者的視角,通過解構(gòu)Mashup應(yīng)用的開發(fā)過程,從靜態(tài)和動(dòng)態(tài)相結(jié)合方法分析影響安全風(fēng)險(xiǎn)的因素,透視Mashup應(yīng)用的組件和行為特征,定義風(fēng)險(xiǎn)評估模型,定量計(jì)算應(yīng)用的風(fēng)險(xiǎn)指標(biāo),為開發(fā)者選擇組件提供參考。

[1] M ERRILL D.Mashups:The New Breed of Web App[EB/OL].http://www.ibm.com/developerworks/xm l/library/x-Mashups.htm l,2006-10-16.

[2] ROBB INS S.服務(wù)和Mashup的安全性[EB/OL].http://www.kuqin.com/web/20080421/7233.htm l,2008-04-21.

[3] DANIEL F,MATERA M.Turning web applications into Mashup components:Issues,models,and solutions[A].International Conference[C].[S.l.]:[s.n.],2009.

[4] CAPPIELLOO C,DAN IEL F,MA TERA M.A quality model for Mashup components[A].International Conference[C].[S.l.]:[s.n.],2009.

[5] OLSINA L,SASSANO R,M ICH L.Specifying Quality Requirements for the Web 2.0 Applications[M].[S.l.]:IWWOST,2008.

[6] 韓利紅.電網(wǎng)企業(yè)投資效益數(shù)學(xué)評價(jià)方法研究[J].河北科技大學(xué)學(xué)報(bào)(Journal of Hebei University of Science and Technology),2009,30(2):180-184.

[7] 毛建偉.廣義模糊綜合安全評價(jià)模型及其在鐵路橋梁評價(jià)中的應(yīng)用[J].河北科技大學(xué)學(xué)報(bào)(Journal of Hebei University of Science and Technology),2008,29(3):246-249.

[8] L IH T,L IU Y,HED Q.Security risk evaluation for IT systems based on the Markov chain[J].Journal of the China Railway Society,2007,29(2):50-53.

Security risk evaluation model for Mashup application

CHEN Yan-chun1,2

(1.School of Management and Economics,Beijing Institute of Technology,Beijing 100083,China;2.Economic and Management Institute,Shijiazhuang Railway University,Shijiazhuang Hebei 050043,China)

An exciting type of data-integrated app lication based on Web is sp routing up all across the Internet,w hich is called Mashup app lication.A t the same time,some new technologies and social challenges reveal themselves sequentially.This paper researches in Mashup app lication from a perspective of security,discusses how to assess the risks of Mashup app lication,and puts fo rward a risk evaluation model and some possible metrics for the actual assessment.

Mashup;app lication;risk assessment;evaluation model

TP393.08

A

1008-1542(2011)01-0052-05

2010-05-11;責(zé)任編輯:李 穆

河北省社會(huì)科學(xué)規(guī)劃項(xiàng)目(HB10EYJ102)

陳艷春(1974-),女,河北玉田人,副教授,博士研究生,主要從事信息系統(tǒng)安全評估、知識管理等方面的研究。