郭志亮， 楊勃航， 楊寶軍， 董文文， 黃博華

(中國人民解放軍63780部隊(duì)，海南 三亞 572000)

隨著我國航天科技的飛速發(fā)展，航天業(yè)務(wù)網(wǎng)作為航天試驗(yàn)任務(wù)的網(wǎng)絡(luò)承載平臺(tái)，承擔(dān)著數(shù)據(jù)、語音、視頻、文件等各類業(yè)務(wù)信息的傳遞任務(wù)，目前已發(fā)展成為全覆蓋、多方向、高帶寬的一體化大型科研試驗(yàn)通信專用網(wǎng)絡(luò)。由于航天業(yè)務(wù)網(wǎng)在設(shè)計(jì)之初主要從滿足科研試驗(yàn)通信功能性需求出發(fā)，信息安全規(guī)劃與網(wǎng)絡(luò)防護(hù)能力需求考慮不足，且航天業(yè)務(wù)網(wǎng)的體系結(jié)構(gòu)復(fù)雜、業(yè)務(wù)應(yīng)用綜合、信息流量巨大，網(wǎng)絡(luò)信息系統(tǒng)面臨著較為嚴(yán)重的安全威脅[1]。

信息安全的定義是要保護(hù)信息的保密性、完整性和可用性[2]。信息常常作為安全的最終保護(hù)對(duì)象，而信息的最終目的是為了支持業(yè)務(wù)運(yùn)行。信息系統(tǒng)包括信息、信息處理的相關(guān)活動(dòng)、支持活動(dòng)運(yùn)行的功能、活動(dòng)的執(zhí)行者、支持信息處理以及功能的載體等，因此信息系統(tǒng)的概念要遠(yuǎn)比信息的概念寬泛。信息系統(tǒng)安全是指通過安全措施的實(shí)施，以滿足信息系統(tǒng)安全需求，使得信息系統(tǒng)能夠安全平穩(wěn)地完成其使命的狀態(tài)[3]。

雖然信息安全問題越來越受到人們的重視，相關(guān)信息安全研究與建設(shè)正在不斷開展，但信息系統(tǒng)安全需求工作一直沒有得到應(yīng)有的關(guān)注[4]。隨著近年來航天測(cè)控領(lǐng)域軍民融合深度發(fā)展[5]，信息安全公司不斷為航天業(yè)務(wù)網(wǎng)信息系統(tǒng)提供各類功能豐富的安全產(chǎn)品與服務(wù)，但由于缺乏對(duì)信息系統(tǒng)安全需求的識(shí)別與歸納，難以實(shí)現(xiàn)安全投入的高效費(fèi)比。當(dāng)前針對(duì)安全需求的研究主要包括分析建模理論研究[6-8]和特定信息系統(tǒng)應(yīng)用研究[9-13]。文獻(xiàn)[7]給出了安全需求分析過程中的安全危險(xiǎn)性分析模型和安全需求描述的方法；文獻(xiàn)[8]把計(jì)算機(jī)網(wǎng)絡(luò)與安全相關(guān)的系統(tǒng)資源和安全因素抽取出來建立一種面向安全性的安全模型，但分析建模理論研究難以被用戶理解和掌握。文獻(xiàn)[9]～文獻(xiàn)[13]分別針對(duì)特定的生產(chǎn)、指揮、電力、云計(jì)算以及IoT等信息系統(tǒng)來分析安全需求并給出分析方法，具備較強(qiáng)的操作性。以上研究均面向安全威脅來進(jìn)行描述，而安全威脅隨著技術(shù)進(jìn)步迅速變化發(fā)展，難以有效確定和應(yīng)對(duì)。文獻(xiàn)[14]從信息安全等級(jí)保護(hù)的角度來研究軟件安全需求，但信息安全等級(jí)保護(hù)是通用的體系標(biāo)準(zhǔn)，無法準(zhǔn)確描述特定信息系統(tǒng)的安全需求。

本文介紹了信息系統(tǒng)安全需求分析研究現(xiàn)狀，針對(duì)航天業(yè)務(wù)網(wǎng)信息系統(tǒng)特點(diǎn)，提出了一種面向能力的航天業(yè)務(wù)網(wǎng)信息系統(tǒng)安全需求分析方法，并對(duì)某個(gè)區(qū)域節(jié)點(diǎn)信息系統(tǒng)進(jìn)行了分析應(yīng)用。該方法可識(shí)別歸納信息系統(tǒng)的安全需求，為后續(xù)信息系統(tǒng)安全建設(shè)提供參考依據(jù)。

1 航天業(yè)務(wù)網(wǎng)安全現(xiàn)狀

我國航天業(yè)務(wù)網(wǎng)是以TCP/IP技術(shù)為核心構(gòu)建的IP網(wǎng)絡(luò)，經(jīng)過近年來不斷的建設(shè)發(fā)展，逐步形成了各種航天測(cè)控資源綜合利用、配置優(yōu)化可靠的大型科研試驗(yàn)專網(wǎng)[15]。航天技術(shù)的迅猛發(fā)展以及網(wǎng)絡(luò)安全形勢(shì)的不斷變化，對(duì)航天業(yè)務(wù)網(wǎng)提出了更高的安全要求。

① 滿足多樣化職能任務(wù)的安全要求。不僅滿足傳統(tǒng)測(cè)控?cái)?shù)據(jù)的傳遞處理安全，還要滿足擴(kuò)展職能的安全。

② 滿足數(shù)據(jù)流精細(xì)化管控的要求。航天業(yè)務(wù)網(wǎng)交互方向眾多，對(duì)數(shù)據(jù)流需要精確識(shí)別管控才能防范安全風(fēng)險(xiǎn)。

③ 滿足網(wǎng)絡(luò)安全運(yùn)維管理智能化要求。隨著航天業(yè)務(wù)網(wǎng)不斷建設(shè)發(fā)展，傳統(tǒng)網(wǎng)絡(luò)安全運(yùn)維模式難以適應(yīng)復(fù)雜大規(guī)模網(wǎng)絡(luò)特性，需要通過創(chuàng)新型安全運(yùn)維技術(shù)提高效率。

航天業(yè)務(wù)網(wǎng)在“十三五”期間不斷強(qiáng)化信息安全投入，初步形成了具有特色的信息安全防護(hù)體系，主要包括信息安全防護(hù)、信息安全管理與服務(wù)和密碼支撐三大部分。其中，信息安全防護(hù)通過綜合應(yīng)用各類安全技術(shù)實(shí)現(xiàn)信息系統(tǒng)的邊界防護(hù)、網(wǎng)絡(luò)監(jiān)測(cè)、終端防護(hù)；信息安全管理與服務(wù)為全網(wǎng)提供統(tǒng)一的安全態(tài)勢(shì)監(jiān)控、安全設(shè)備管理、安全策略制定、安全審計(jì)分析等管理與服務(wù)功能；密碼支撐主要包括傳輸加密、身份認(rèn)證等功能。系統(tǒng)組成如圖1所示。但是隨著信息安全環(huán)境的日益嚴(yán)峻和惡化，現(xiàn)有航天業(yè)務(wù)網(wǎng)信息安全防護(hù)體系存在一定的差距與不足，主要表現(xiàn)在：安全防護(hù)體系不夠完整，存在薄弱環(huán)節(jié)，安全防護(hù)能力較弱；安全運(yùn)維體系不夠完善，缺乏自動(dòng)化、智能化運(yùn)維能力；安全創(chuàng)新技術(shù)應(yīng)用不夠廣泛，難以應(yīng)對(duì)新型網(wǎng)絡(luò)安全威脅。

圖1 信息安全系統(tǒng)組成圖

2 安全需求分析方法

2.1 基本原理

面向能力的需求開發(fā)機(jī)制最早運(yùn)用在軍事領(lǐng)域，如美軍的JCIDS(聯(lián)合能力集成與開發(fā)系統(tǒng))，其基本的軍事裝備研制建設(shè)思想是“作戰(zhàn)概念指導(dǎo)、能力需求牽引”，強(qiáng)調(diào)作戰(zhàn)體系形成“與生俱來”的聯(lián)合性，滿足網(wǎng)絡(luò)中心化聯(lián)合作戰(zhàn)的能力需求。傳統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)安全需求分析方法是通過識(shí)別安全威脅，采用打補(bǔ)丁的方式進(jìn)行網(wǎng)絡(luò)安全防護(hù)，但該方法存在一些先天性的不足：① 威脅的獨(dú)立性，通過威脅識(shí)別安全需求缺乏全局視圖，難以形成縱深防御體系；② 威脅的不確定性，防御總是處于被動(dòng)地位，難以有效應(yīng)對(duì)新型的安全威脅；③ 以應(yīng)對(duì)威脅為目的的安全防護(hù)體系，由于未能充分結(jié)合業(yè)務(wù)需求，難以合理安排投入，效費(fèi)比不足。面向能力的安全需求分析與信息系統(tǒng)承擔(dān)的職能任務(wù)緊密結(jié)合，以能力建設(shè)為主線，以威脅應(yīng)對(duì)為輔助，從全局的角度來審視網(wǎng)絡(luò)安全問題，形成更加科學(xué)合理的安全需求結(jié)論，以此指導(dǎo)后續(xù)網(wǎng)絡(luò)防護(hù)體系建設(shè)。

2.2 分析步驟

面向能力的信息系統(tǒng)安全需求方法首先根據(jù)航天業(yè)務(wù)網(wǎng)信息系統(tǒng)所承擔(dān)的職能，確定能力主線并細(xì)化能力目標(biāo)，以此作為安全需求分析的基礎(chǔ)；再逐項(xiàng)分析滿足該能力的CIA(保密性、完整性、可用性)屬性，確定其所需安全資源；然后根據(jù)安全資源需求頻次以及承擔(dān)業(yè)務(wù)職能的優(yōu)先級(jí)確定權(quán)值，確定安全資源需求優(yōu)先級(jí)；最后整理形成信息系統(tǒng)安全需求列表，并迭代分析是否滿足信息系統(tǒng)業(yè)務(wù)能力，持續(xù)加強(qiáng)與改進(jìn)。需求分析步驟如圖2所示。

圖2 面向能力的信息系統(tǒng)安全需求分析步驟

2.3 形式化描述

信息系統(tǒng)所承擔(dān)的職能是在系統(tǒng)規(guī)劃設(shè)計(jì)時(shí)期確定的，并隨著系統(tǒng)建設(shè)與運(yùn)行不斷演進(jìn)完善。信息系統(tǒng)職能是安全需求分析的起點(diǎn)和基礎(chǔ)，通常情況下可以通過能力集合來表示。其中，單個(gè)能力又可以細(xì)化為具體的能力目標(biāo)，因此信息系統(tǒng)能力可以表示為

Capability=(T1,T2,…,Tn)

(1)

從安全的角度考慮，信息系統(tǒng)的每一種能力目標(biāo)均需要耗費(fèi)一定的安全資源，以滿足其CIA屬性，可以定義能力目標(biāo)T的安全需求為

RequirementT=(CT,IT,AT)

(2)

式中，CT為能力目標(biāo)T對(duì)應(yīng)的保密性，即信息系統(tǒng)滿足T的情況下信息不被非法傳遞的安全屬性；IT為能力目標(biāo)T對(duì)應(yīng)的完整性，即信息系統(tǒng)滿足T的情況下信息不被非法篡改的安全屬性；AT為能力目標(biāo)T對(duì)應(yīng)的可用性，即信息系統(tǒng)滿足T的情況下系統(tǒng)能夠穩(wěn)定運(yùn)行安全屬性。

安全資源在信息系統(tǒng)中是由具體的實(shí)體組成，通常情況下主要包括安全設(shè)備D、安全策略P、運(yùn)維管理O等安全子項(xiàng)。其中D為固定資產(chǎn)，P為動(dòng)態(tài)規(guī)則，O為制度規(guī)范，第i項(xiàng)安全需求對(duì)應(yīng)的安全資源具體可以表示為

Resourcei=(Di,Pi,Qi)

(3)

由以上分析可知，從能力目標(biāo)T分析得出安全資源需求Resource是分析過程的核心環(huán)節(jié)，為此給出安全需求推理機(jī)模型，如圖3所示。首先依據(jù)安全威脅、技術(shù)發(fā)展以及專家經(jīng)驗(yàn)形成了安全資源集，再對(duì)特定的能力目標(biāo)T進(jìn)行CIA屬性分析，并逐項(xiàng)判斷安全資源集的條目是否滿足安全屬性要求，如果滿足則加入Resource集，直至安全資源集遍歷完成。

圖3 安全需求推理機(jī)模型

根據(jù)信息系統(tǒng)承擔(dān)職能的重要程度，可以對(duì)能力目標(biāo)T進(jìn)行定量賦值，ValueT用于衡量T的重要性，賦值參考標(biāo)準(zhǔn)如表1所示。

表1 能力目標(biāo)賦值標(biāo)準(zhǔn)

由于不同的能力目標(biāo)T對(duì)應(yīng)的Resource集可能存在交集重疊部分，重疊數(shù)高的安全子項(xiàng)且ValueT高對(duì)應(yīng)的Resource集可認(rèn)為是重要的，將ResourceT與ValueT相乘后匯總，統(tǒng)計(jì)各安全子項(xiàng)重疊數(shù)，即可形成安全設(shè)備、安全策略、運(yùn)維管理的安全資源全集DPO，表示為

(4)

式中，α，β，γ分別為不同安全子項(xiàng)的重疊數(shù)。

最后通過對(duì)重疊數(shù)的歸一化處理，即可得出每個(gè)安全子項(xiàng)的權(quán)重值W，安全需求列表SRL，表示為

(5)

SRL形成后，可依據(jù)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)進(jìn)行第三方專家評(píng)審，也可根據(jù)信息系統(tǒng)能力擴(kuò)展、信息安全形勢(shì)發(fā)展等條件進(jìn)行迭代更新，最后用于指導(dǎo)信息系統(tǒng)安全建設(shè)，不斷提高安全防護(hù)能力。

3 應(yīng)用研究

3.1 信息系統(tǒng)能力分析

以某區(qū)域中心航天業(yè)務(wù)網(wǎng)信息系統(tǒng)為例，分析該系統(tǒng)的安全需求。該區(qū)域中心承擔(dān)航天發(fā)射測(cè)控以及各類衛(wèi)星載荷應(yīng)用數(shù)據(jù)的接收與傳輸任務(wù)，數(shù)據(jù)種類多樣，通信方向眾多，傳輸穩(wěn)定性、時(shí)效性要求較高。通過專家咨詢與用戶調(diào)查，從業(yè)務(wù)能力、裝備能力、運(yùn)維能力3個(gè)方面對(duì)該信息系統(tǒng)的能力目標(biāo)進(jìn)行分析，形成能力目標(biāo)集如圖4所示。

圖4 某區(qū)域中心信息系統(tǒng)能力目標(biāo)集示意圖

3.2 安全資源需求分析

以“衛(wèi)星發(fā)射測(cè)控?cái)?shù)據(jù)的安全傳輸”能力目標(biāo)T1為例，通過分析其CIA屬性，結(jié)合經(jīng)驗(yàn)與技術(shù)推理得出所需的安全資源。由于衛(wèi)星發(fā)射測(cè)控?cái)?shù)據(jù)具有時(shí)效性強(qiáng)、不可逆，且影響域廣泛等特性，對(duì)信息系統(tǒng)安全性具有非常高的需求，CIA屬性如表2所示。

表2 能力目標(biāo)T1安全屬性

通過安全需求推理機(jī)模型，在前期收集整理網(wǎng)絡(luò)安全資源的基礎(chǔ)上，形成了能力目標(biāo)T1所需的網(wǎng)絡(luò)安全資源集如圖5所示，其中[C.1]表示該資源滿足保密性第一條屬性。

圖5 能力目標(biāo)對(duì)應(yīng)安全資源集示意圖

3.3 安全資源優(yōu)先級(jí)確定

通過對(duì)每個(gè)能力目標(biāo)T進(jìn)行安全資源需求分析，匯總整理后統(tǒng)計(jì)各個(gè)安全子項(xiàng)的重疊數(shù)，并進(jìn)行max-min歸一化處理，即可得出安全需求列表，權(quán)值越高，表明該安全子項(xiàng)的覆蓋度越廣、重要性越高。后續(xù)通過迭代分析，識(shí)別安全需求列表是否滿足所有的業(yè)務(wù)能力，并定期進(jìn)行迭代更新，持續(xù)改進(jìn)。安全需求列表如表3所示。

表3 安全需求列表

3.4 有效性評(píng)估

相較于傳統(tǒng)安全需求分析方法，本文提出的方法從能力需求分析到安全資源確定，分析步驟較為明確清晰，形成了確定優(yōu)先級(jí)的安全資源需求列表，是一種系統(tǒng)的分析方法。兩種方法特性對(duì)比如表4所示，傳統(tǒng)方法近似采用隨機(jī)的方法進(jìn)行設(shè)備選取，而本文方法優(yōu)先選取高優(yōu)先級(jí)的安全設(shè)備。

表4 兩種需求分析方法特性對(duì)比

采用覆蓋度指標(biāo)來對(duì)比評(píng)估安全需求分析方法的有效性，即在總投資一定的前提下，比較傳統(tǒng)方法與本文提出的方法分析得出的安全設(shè)備對(duì)信息系統(tǒng)的安全保護(hù)覆蓋度高低。為便于比較，以表3中的安全設(shè)備為全集，且不考慮具體設(shè)備之間的價(jià)格差異，以設(shè)備數(shù)量代替投資值。例如：假定安全設(shè)備集總數(shù)量為n,安全設(shè)備投資值為m，傳統(tǒng)方法使用函數(shù)random(m,n)選取安全設(shè)備，本文方法則選取優(yōu)先級(jí)前m個(gè)安全設(shè)備。覆蓋度計(jì)算以某安全設(shè)備對(duì)信息系統(tǒng)能力目標(biāo)的有效保護(hù)為準(zhǔn)，有效記1分，無效記0分，得分較高表示該安全設(shè)備具備更廣泛的保護(hù)能力。最后逐項(xiàng)累加并歸一化處理，得出投資值與覆蓋度的關(guān)系如圖6所示。

由圖6可以看出，隨著投資值不斷下降，兩種方法選取的安全設(shè)備覆蓋度均呈下降態(tài)勢(shì)，但本文方法選取設(shè)備的覆蓋度優(yōu)勢(shì)一直保持，表明該方法能夠有效提高安全設(shè)備選取的科學(xué)性。

圖6 兩種方法安全保護(hù)覆蓋度比較示意圖

4 結(jié)束語

針對(duì)航天業(yè)務(wù)網(wǎng)信息系統(tǒng)安全現(xiàn)狀，提出了一種面向能力的信息系統(tǒng)安全需求分析方法。該方法以信息系統(tǒng)承擔(dān)職能為起點(diǎn)，通過信息系統(tǒng)能力分析、安全資源需求分析、安全資源優(yōu)先級(jí)確定等過程，分析得出信息系統(tǒng)的安全需求。相較于傳統(tǒng)面向威脅的安全需求分析方法，面向能力的安全需求分析方法更具有針對(duì)性，更加能夠反映信息系統(tǒng)安全管理的目標(biāo)。最后在航天業(yè)務(wù)網(wǎng)某區(qū)域中心信息系統(tǒng)進(jìn)行了實(shí)際應(yīng)用與評(píng)估，驗(yàn)證了該方法的可行性。

本文給出的安全需求分析方法重點(diǎn)突出了安全資源需求，在指導(dǎo)工程實(shí)踐方面仍存在一定的局限性，后續(xù)將加強(qiáng)網(wǎng)絡(luò)安全架構(gòu)的設(shè)計(jì)等問題的研究，通過更加系統(tǒng)和完善的方法提高信息系統(tǒng)安全性。