吳志國，沈 熠，湯 淇，張玉軍

(1. 上海大學 計算中心，上海 200444；2.上海大學 計算機工程與科學學院，上海200444；3.蘇州裕茂機電工程技術有限公司，江蘇 蘇州 215000)

基于確保案例模型的網(wǎng)絡邊界測評模板化

吳志國1，沈 熠1，湯 淇2，張玉軍3

(1. 上海大學 計算中心，上海 200444；2.上海大學 計算機工程與科學學院，上海200444；3.蘇州裕茂機電工程技術有限公司，江蘇 蘇州 215000)

袁文浩等人提出了根據(jù)《信息系統(tǒng)安全保障評估框架標準》將等級保護要求作為分論斷建模的理論。本文在此基礎上，依據(jù)等保測評工作的經(jīng)驗和技術搜集，增加了最底層分論斷到直接證據(jù)的建模，完成了基于確保案例模型的網(wǎng)絡邊界測評的建模，并創(chuàng)造性地提出了將網(wǎng)絡邊界測評工作模板化的方法，將測評工作分為技術檢查、訪談和文檔確認工作，給出了3個模板表，進一步拓展了等保測評發(fā)展的思路。

等級保護；網(wǎng)絡邊界測評；確保案例；模板

0 引言

《信息系統(tǒng)安全等級保護基本要求》(中華人民共和國國家標準GB/T 22239-2008)指出[1]，信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。我國的信息安全等級保護共分為自主、指導、監(jiān)督、強制、?？?個保護級。本文指出信息安全等級保護中網(wǎng)絡邊界測評和測評中存在的問題，介紹了確保案例模型，描述對信息安全等級保護的網(wǎng)絡邊界測評部分進行確保案例模型的建模過程。

1 等級保護網(wǎng)絡邊界測評

1.1 網(wǎng)絡邊界測評

根據(jù)《信息系統(tǒng)安全等級保護測評過程指南》和《信息系統(tǒng)安全等級保護測評準則》的規(guī)定，信息安全等級測評是由公安部指定的有資質的第三方進行的測評。而網(wǎng)絡邊界測評是信息安全等級保護測評的一部分，是測評項中和網(wǎng)絡邊界有關的內容。信息安全等級保護分為物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全和安全管理等六個部分。網(wǎng)絡邊界安全的測評內容只和網(wǎng)絡安全、系統(tǒng)建設管理和系統(tǒng)運維管理三個部分有關，其測評內容包括技術安全和管理安全、運維安全等?，F(xiàn)階段的等級保護網(wǎng)絡邊界測評主要依賴測評師的個人經(jīng)驗，而由于測評師的技術水平和工作經(jīng)驗差別較大，加上各個企業(yè)的網(wǎng)絡邊界安全建設情況不盡相同，網(wǎng)絡邊界測評的質量很難得到保障。

1.2 相關研究

在對信息安全等保測評方法的研究上，華東理工大學的袁文浩等人提出了CAE(Claim-Argument-Evidence)模型，根據(jù)《信息系統(tǒng)安全保障評估框架標準》，將等級保護測評工作按照標準中的測評項進行模型分解，但他們只提出了相關概念，沒有結合等級保護實際的測評需要，也無法對單元測評內容進行指導。本文依據(jù)等級保護測評工作的經(jīng)驗和技術搜集，增加了最底層分論斷到直接證據(jù)的建模，完成了基于確保案例模型的網(wǎng)絡邊界測評的模型構建，將這一理論方法應用到實際測評工作中。本文還創(chuàng)造性地提出了將網(wǎng)絡邊界測評工作模板化的方法，將測評工作分為技術檢查、訪談和文檔確認工作并給出了3個模板表來拓展等級保護測評發(fā)展的思路。

2 基于確保案例的網(wǎng)絡邊界測評建模

2.1 確保案例模型

確保案例(Assurance Case)的定義是“一個特殊的關鍵性的論斷充分地闡釋了一個特定環(huán)境下有著特定應用方向的一個系統(tǒng)的性能，同時，將大量文檔性證據(jù)作為一個確定的、有效的論據(jù)證明了該論斷的正確性”[2]。系統(tǒng)的論斷以及一些證明這個論斷正確的文檔性的證據(jù)構成了確保案例。

2.2 確保案例模型的構成

結構化確保案例模型是一種特殊的推導圖，包含三種特定的元素：論斷(claim)、論據(jù)(argument)和直接證據(jù)(evidence)。圖1展示了一個標準的確保案例以及三個元素論斷、論據(jù)和直接證據(jù)之間的關系。圖中最左邊的論斷是頂層論斷，包含兩個分論斷(sub-claim)。此處的論據(jù)證明如果分論斷正確，那么總的論斷也就正確。而分論斷又能分解為下一級的分論斷，它也有證據(jù)證明。這種下級證據(jù)對上級正確性的約束關系就是論據(jù)[3]。確保案例模型就是由上而下地分解論斷，然后由下而上地證明論斷正確性的推導模型。論據(jù)用來解釋證據(jù)怎么證明論斷或者分論斷的正確性并表示節(jié)點的關系。論據(jù)還可能包含引起證明失敗的原因或者失敗需采取的行為和措施。證據(jù)可能根據(jù)模型產(chǎn)生或者系統(tǒng)自動產(chǎn)生，也可以人工去獲取。它可能是確定的信息，也可能是概率性的信息[4-5]。

圖1 確保案例模型示例

3 網(wǎng)絡邊界測評建模

3.1 頂層論斷分解

網(wǎng)絡邊界安全涉及了網(wǎng)絡安全、系統(tǒng)建設管理和系統(tǒng)運維管理三個部分。因此，頂層論斷經(jīng)過第一次分解后的模型如圖2所示，包含網(wǎng)絡安全要求中的網(wǎng)絡邊界安全、系統(tǒng)建設管理要求中的網(wǎng)絡邊界安全、系統(tǒng)運維管理要求中的網(wǎng)絡邊界安全三個分論斷。

圖2 第一次分解后的模型

3.2 逐層分解和論據(jù)生成

下面先構建網(wǎng)絡安全要求中的網(wǎng)絡邊界安全這一分論斷的模型。根據(jù)《GB/T 22239—2008》，3級網(wǎng)絡安全要求中有13項涉及網(wǎng)絡邊界安全。因此這一分論斷可以分解為13個2級分論斷。下面證明“應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑”、“應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷”和“當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警”分論斷的正確性。針對“應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑”這一論斷，依據(jù)等級保護的測評經(jīng)驗，支持該論斷的3級分論斷為“訪問路徑上的路由設備啟用了路由協(xié)議認證及其控制策略”，而支撐此3級論斷的直接證據(jù)就是路由器的配置信息，以Cisco設備為例，輸入show run命令，配置如圖3所示。找出能證明論斷正確的直接證據(jù)后，“應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑”這一論斷之下的模型初步建立，其他兩個2級論斷也同樣找到直接證據(jù)，初步建立起來的“網(wǎng)絡安全要求中的網(wǎng)絡邊界安全”這一分論斷的模型如圖4所示。

圖3 Cisco設置的配置表

分論斷和直接證據(jù)初步組成模型后，就需要將它們之間的關聯(lián)寫成論據(jù)，反映出上下級之間或者同級別之間的分論斷和直接證據(jù)之間的關系。圖4中標出了幾個典型的論據(jù)。

圖4中的論據(jù)1是最簡單的論據(jù)形式。如果分論斷“訪問路徑上的路由設備啟用了路由協(xié)議認證及其控制策略”成立，那么分論斷“應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑”也成立，反之則不成立。論據(jù)2是一種示例型的論據(jù)。因為路由設備的提供商很多，而不同的企業(yè)也會根據(jù)各自的需要采購和使用不同廠家的路由設備，而不同廠家的路由設備的語言體系和配置方式也不完全相同，沒有辦法或者說沒有必要去窮舉出所有的路由設備的配置。下面是遇到Cisco設備的示例。若檢查結果成立，那么分論斷“訪問路徑上的路由設備啟用了路由協(xié)議認證及其控制策略”成立。而如果檢查的設備是其他廠商的路由設備，只要其配置等同于列出的Cisco設備所顯示的配置，即配置的功能相同，則分論斷也同樣成立。論據(jù)3和4是組合型的論據(jù)。表面上分論斷“應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷”由終端的控制和交換機閑置端口的關閉兩個分論斷所支持，它們的邏輯關系就是“與”或“或”。但是這兩個論斷有一定的限制關系。企業(yè)都會控制網(wǎng)絡接入來管理接入終端，而不同的企業(yè)使用不同的管理軟件和控制方式，能達到的效果和防止欺騙的能力差別很大。例如某外資銀行采用的方法是連入銀行網(wǎng)絡的終端必須在IT部門注冊和認證，而這個終端連入網(wǎng)絡時需要員工所攜帶的動態(tài)密碼。這樣，分論斷“應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷”應該判斷為成立。從這個例子看出，論據(jù)4對上級分論斷的影響程度還取決于分論斷“部署終端管理軟件或采用網(wǎng)絡準入控制技術手段防止非授權設備接入內部網(wǎng)絡”中所描述的技術水平，也就是說判斷分論斷“部署終端管理軟件或采用網(wǎng)絡準入控制技術手段防止非授權設備接入內部網(wǎng)絡”時不僅判斷所產(chǎn)生的結果成立與否，還要判斷是否要與分論斷“檢查交換機配置信息，所有閑置端口均已關閉”的結果相“與”。

圖4 論斷“網(wǎng)絡安全要求中的網(wǎng)絡邊界安全”的確保案例模型

3.3 論斷與證據(jù)交叉聯(lián)系

按照上述方法構建剩下兩個分論斷的模型。構建這兩個分論斷模型會分解出管理文檔上和網(wǎng)絡技術上的證據(jù)，需要注意的是這些網(wǎng)絡技術上的證據(jù)會與之前“網(wǎng)絡安全要求中的網(wǎng)絡邊界安全”模型中的證據(jù)有重疊。如圖5所示，將三個分論斷的模型組合，組合時要注意添加新形成的論據(jù)和一些論據(jù)的修改，然后檢查最終形成的模型。最后確認論斷/分論斷、論據(jù)和證據(jù)之間關系的牢固性和充分性達到要求，這樣就完成了對“網(wǎng)絡邊界在等保要求的范圍內安全”這一論斷的建模。

圖5 模型中不同分論斷同時指向同一證據(jù)示例

3.4 生成測評模板——模板表

信息安全等級保護的現(xiàn)場測評有三種工作方式：技術檢查、訪談和文檔確認。以網(wǎng)絡邊界測評為例，根據(jù)確保案例模型生成的證據(jù)項和等級保護工作的特點，生成技術檢查表、訪談表和文檔確認表的模板，如表1～3所示。

表1 網(wǎng)絡邊界測評技術檢查表

4 結論

本文在袁文浩等人研究工作的基礎上依據(jù)等級保護測評工作的經(jīng)驗和實際工作中的技術方法，通過實例介紹了最底層分論斷到直接證據(jù)的建模過程，完成基于確保案例模型的網(wǎng)絡邊界測評的建模，提出了一種將網(wǎng)絡邊界測評工作模板化的方法。利用此方法可以將測評工作分為技術檢查、訪談和文檔確認工作，給出了3種工作模板表。這種基于確保案例模型的網(wǎng)絡邊界測評模板化的方法將進一步拓展等級保護測評發(fā)展的思路。

表2 網(wǎng)絡邊界測評訪談表

表3 網(wǎng)絡邊界測評文檔檢查表

[1] 袁文浩, 林家駿, 王雨. 信息安全等級保護中等級測評的 CAE 建模[J]. 計算機應用與軟件，2012，29(10)：230-233.

[2] ANKRUM T S, KROMHOLZ A H. Structured assurance cases: three common standards[C]. Ninth IEEE International Symposium on High-Assurance Systems Engineering, HASE 2005, IEEE, 2005: 99-108.

[3] BLOOMFIELD R,MASERA M, MILLER A, et al. Assurance cases for security: the metrics challenge[C]. IEEE/IFIP International Conference on Dependable Systems and Networks. IEEE, 2007:807-808.

[4] DJENANA C. Software assurance evidence metamodel (SAEM), OMG Document, 2010:1[J/OL].(2010-02-01)[2016-06-30]. http://www.omg.org/cgi-bin/doc?sysa/10-02-01.

[5] RHODES T, BOLAND F, FONG E. Software assurance using structured assurance case models[M]. Gailhersburg: US Department of Commerce: National Institute of Standards and Technology, 2009．

The template of network boundary evaluation based on assurance case model

Wu Zhiguo1，Shen Yi1，Tang Qi2，Zhang Yujun3

(1.Computer Center, Shanghai University, Shanghai 200444, China; 2.School of Computer Engineering and Science Shanghai University, Shanghai 200444, China; 3. Suzhou Yu Mao Mechanical and Electrical Engineering Technology Co., Ltd., Suzhou 200444, China)

Yuan Wenhao and others have put forward the modeling theory that sub-claims are based on requirement for classified protection according to“The evaluation framework standards for information systems security”. According to the experience and technology of classification protection assessment work, this article raises the modeling from the bottom sub-claims to the direct evidence and completes modeling of network boundary evaluation based on assurance case model. It also puts forward the method of the template of network boundary evaluation creatively. The assessment work is classified into technical inspection, interview and document confirmation with this method. At last, three template tables are given out. It expands the development way of information security classification protection evaluation。

classification protection; network boundary evaluation; assurance case; template

TP23

A

10.19358/j.issn.1674- 7720.2016.24.001

吳志國，沈熠，湯淇，等. 基于確保案例模型的網(wǎng)絡邊界測評模板化[J].微型機與應用，2016,35(24)：1-4，7.

2016-06-30)

吳志國(1989-)，男，碩士，助理實驗師，主要研究方向：軟件工程、軟件測試。

沈熠(1989-)，男，碩士，助理實驗師，主要研究方向：軟件工程、軟件測試。