劉迎龍 郭榮華 吳 迪 苗泉強(qiáng)

(中國人民解放軍63891部隊 河南洛陽 471003)

在針對信息系統(tǒng)開展信息安全測試的過程中,信息安全測試用例是對測試活動的科學(xué)化組織與歸納,體現(xiàn)了測試的方案、方法、技術(shù)和策略.由于在測試組織、過程和技術(shù)等方面存在一定的不確定性、測試設(shè)計人員能力和水平也不同等原因,導(dǎo)致設(shè)計的信息安全測試用例優(yōu)劣程度參差不齊,直接影響了系統(tǒng)信息安全測試結(jié)果的客觀性和有效性.信息安全測試用例庫是網(wǎng)絡(luò)安全測試用例的集合,是以測試用例的形式對系統(tǒng)信息安全測試知識進(jìn)行組織,可為測試過程、測試方法和測試用例的復(fù)用提供支撐,進(jìn)而減緩組織、過程、技術(shù)及人員能力水平等方面的不確定性對網(wǎng)絡(luò)安全測試結(jié)果的影響.

因此,本文旨在研究信息安全測試用例的知識表示形式,實(shí)現(xiàn)系統(tǒng)信息安全測試知識集合的有效表示,進(jìn)而構(gòu)建系統(tǒng)信息安全測試用例庫模型,為系統(tǒng)信息安全測試用例庫的構(gòu)建與應(yīng)用提供指導(dǎo)方法.本體是實(shí)現(xiàn)知識共享的有效工具之一,是對領(lǐng)域內(nèi)共享概念模型的形式化規(guī)范說明[1].在系統(tǒng)信息安全測試知識表示中引入本體理論,可統(tǒng)一領(lǐng)域內(nèi)概念和概念關(guān)系層次結(jié)構(gòu),增強(qiáng)測試用例知識表示的規(guī)范性、一致性和擴(kuò)展性,進(jìn)而實(shí)現(xiàn)測試用例庫的共享、重用和互操作[2].

目前,還沒有一個完善的系統(tǒng)信息安全測試用例庫.文獻(xiàn)[3-4]主要從攻擊角度出發(fā),分別構(gòu)建了攻擊案例庫模型和網(wǎng)絡(luò)攻擊知識庫模型.文獻(xiàn)[5]圍繞漏洞信息建立了漏洞庫,但知識庫內(nèi)容單一.文獻(xiàn)[6]從防御角度出發(fā),針對網(wǎng)絡(luò)威脅情報的不同描述規(guī)范,建立了基于結(jié)構(gòu)化威脅情報表達(dá)(structured threat information expression, STIX)V2.0[7]的本體模型,并對其領(lǐng)域本體、應(yīng)用本體和原子本體進(jìn)行詳細(xì)劃分.但在系統(tǒng)信息安全測試活動中,需要從第三方角度對測試相關(guān)要素進(jìn)行組織,而攻擊知識、威脅情報等只與測試用例的部分要素相關(guān),其構(gòu)建的模型不能體現(xiàn)測試用例知識的全部要素與特點(diǎn).在文獻(xiàn)[8]建立的抗攻擊能力測評模型中,從攻擊組織、攻擊組織能力、被保護(hù)對象出發(fā)給出系統(tǒng)威脅測試用例的定義,但該定義偏重于威脅,沒有涵蓋安全測試的全部要素.文獻(xiàn)[9]圍繞軟件測試用例復(fù)用,建立了軟件測試用例庫,在一定程度上提高了測試用例復(fù)用的質(zhì)量.但由于軟件測試與系統(tǒng)信息安全測試在目的、方法、領(lǐng)域上存在較大差異,該構(gòu)建方法不適用于系統(tǒng)信息安全測試用例庫的構(gòu)建.

本文在深入研究信息系統(tǒng)信息安全測試?yán)碚摷夹g(shù)基礎(chǔ)上,對信息安全測試用例進(jìn)行形式化表示,并結(jié)合本體在知識共享方面的應(yīng)用特點(diǎn),構(gòu)建基于本體的信息安全測試用例庫模型.最后根據(jù)信息安全測試用例實(shí)例,分析如何基于本文模型進(jìn)行信息安全測試知識的獲取與表示.

1 信息安全測試用例庫描述

信息安全測試用例表示就是把以往的信息安全測試用例以一定的邏輯結(jié)果進(jìn)行表述,并存儲在測試用例庫中,構(gòu)成信息系統(tǒng)信息安全測試用例庫.本文將信息安全測試用例庫形式化定義為

(1)

其中,C1,C2表示信息安全測試用例之間的關(guān)系,R1,R2表示信息安全測試用例庫索引規(guī)則.

一個信息安全測試用例是對一個信息安全測試科目的完整表示.一個基本的信息安全測試用例主要由用例名稱、用例描述(測試對象、測試目標(biāo))、參試設(shè)備、測試環(huán)境、方法步驟、測試數(shù)據(jù)和結(jié)果判定等要素組成.因此,本文將信息安全測試用例形式化定義為

(2)

其中,CN表示測試用例名稱,作為測試用例在測試用例庫的唯一標(biāo)識;CDesc表示測試用例描述,包括測試用例的各種描述信息,如測試對象、測試目標(biāo)、測試內(nèi)容、測試類型等;TEquip表示參試裝備,包括該測試科目所需的測試設(shè)備、被試系統(tǒng)、測試設(shè)備和環(huán)境構(gòu)建系統(tǒng)等;TEnv表示測試環(huán)境,描述了各參試裝備如何連接、布局,系統(tǒng)、軟件如何部署安裝等;TStep表示測試步驟,為該用例的執(zhí)行步驟,以分步形式描述了測試的過程,在每個步驟描述了具體的配置、操作,包括操作的主體、客體和內(nèi)容等信息;TData表示測試數(shù)據(jù),主要指測試環(huán)境配置數(shù)據(jù)及測試過程中需要記錄的用作最后結(jié)果評判的數(shù)據(jù);EResult表示期望結(jié)果,用作與實(shí)際結(jié)果進(jìn)行對比的基準(zhǔn).

依據(jù)上述定義,系統(tǒng)信息安全測試用例的組成要素可分為對象域、方法域和數(shù)據(jù)域,其組成結(jié)構(gòu)關(guān)系如圖1所示:

圖1 系統(tǒng)信息安全測試用例結(jié)構(gòu)

1.1 測試對象域

對象域主要描述安全測試用例中的角色,包括測試主體、測試對象和測試環(huán)境3個組件.

1) 測試主體.

測試主體是指在系統(tǒng)信息安全測試活動中針對測試對象開展安全測試活動的主體,是測試用例的發(fā)起者,包括發(fā)起測試活動的測試人員、測試設(shè)備/軟件、采集設(shè)備等.

2) 測試對象.

測試對象是指在系統(tǒng)信息安全測試中被試系統(tǒng)內(nèi)部被測試的部分,是測試用例的作用對象,包括被試系統(tǒng)的硬件、軟件、鏈路和數(shù)據(jù)等.

3) 測試環(huán)境.

測試環(huán)境是指在系統(tǒng)信息安全測試中執(zhí)行測試用例的環(huán)境,包括測試主體運(yùn)行支撐環(huán)境和測試場景等.

1.2 測試方法域

方法域主要描述測試用例中的方法類元素,主要包括測試主體操作和測試對象操作,通過測試操作刺激測試主體、測試對象和測試環(huán)境產(chǎn)生響應(yīng),生成測試數(shù)據(jù).

1) 測試主體操作.

測試主體操作是指測試人員、測試設(shè)備/軟件等針對測試對象及測試環(huán)境采取的方法、技術(shù)和過程.

2) 測試對象操作.

測試對象操作主要指被試裝備在測試用例執(zhí)行過程中,針對測試主體的測試行為所采取的方法、技術(shù)和過程,其作用對象為測試主體與測試環(huán)境.

1.3 測試數(shù)據(jù)域

測試數(shù)據(jù)域主要描述測試用例執(zhí)行過程中測試主體、測試對象、測試環(huán)境狀態(tài)屬性及相應(yīng)的變化情況,測試數(shù)據(jù)域主要包括測試數(shù)據(jù)和測試結(jié)果2個組件.

1) 測試數(shù)據(jù).

測試數(shù)據(jù)是測試用例執(zhí)行過程中能夠反映測試主體、測試對象、測試環(huán)境狀態(tài)屬性及其變化的數(shù)據(jù)、事件等,包括場景數(shù)據(jù)、過程數(shù)據(jù)、結(jié)果數(shù)據(jù)等.

2) 測試結(jié)果.

測試結(jié)果是對測試用例的測試目標(biāo)是否達(dá)到的判定,測試結(jié)果以測試數(shù)據(jù)為依據(jù),結(jié)合結(jié)果判定規(guī)則生成測試結(jié)果.本文從測試用例達(dá)成的測試效果出發(fā),將測試結(jié)果分為2類,即安全防護(hù)功能測試結(jié)果和安全防護(hù)性能測試結(jié)果.

2 信息安全測試用例本體模型

在上述定義的信息安全測試用例形式化表示的基礎(chǔ)上,本文通過應(yīng)用本體這一知識共享工具,構(gòu)建信息安全測試用例本體模型,實(shí)現(xiàn)信息安全測試用例知識的共享.

2.1 本體構(gòu)建基本流程

在計算機(jī)及相關(guān)領(lǐng)域,本體指應(yīng)用本體論的基本方法,即通過概念分析、建模,把現(xiàn)實(shí)世界中的實(shí)體抽象為一組概念與概念之間關(guān)系的理論和方法.本體的構(gòu)建[10-14]是指對某個特定領(lǐng)域的概念和關(guān)系按某種層次結(jié)構(gòu)進(jìn)行分層刻畫,通過基于本體的知識表示方法來組織和表達(dá)不同類型的知識,利用形式化的知識表示方法獲取知識語義信息的過程.本體建模首先要確定本體的應(yīng)用領(lǐng)域,然后針對該領(lǐng)域抽象出領(lǐng)域概念,確立概念間的層次關(guān)系,進(jìn)而構(gòu)建領(lǐng)域知識本體模型.

本文圍繞系統(tǒng)信息安全測試用例相關(guān)概念,利用本體技術(shù)構(gòu)建信息安全測試用例概念模型,實(shí)現(xiàn)信息測試用例知識的共享.信息安全測試用例本體構(gòu)建流程如圖2所示.

圖2 信息安全測試用例本體構(gòu)建流程

針對系統(tǒng)信息安全測試用例領(lǐng)域知識本體表述局部層次化的特點(diǎn),本文從領(lǐng)域本體、應(yīng)用本體和原子本體3個層次對信息安全測試用例本體進(jìn)行建模,三者之間的關(guān)系如圖3所示:

圖3 信息安全測試用例本體層次關(guān)系

2.2 領(lǐng)域本體

信息安全測試用例領(lǐng)域本體主要用于描述信息安全測試用例所需的概念和關(guān)系,信息安全測試用例領(lǐng)域本體包含7個子類:測試主體、測試環(huán)境、測試對象、測試數(shù)據(jù)、測試結(jié)果、測試主體操作、測試對象操作.信息安全測試用例概念之間的關(guān)系包括7種:執(zhí)行、刺激、響應(yīng)、生成、表征、支撐、影響,如圖4所示.

圖4 信息安全測試用例領(lǐng)域本體

2.3 應(yīng)用本體

應(yīng)用本體是對領(lǐng)域本體的進(jìn)一步描述,根據(jù)上述對信息安全測試用例領(lǐng)域子類的劃分,可對各領(lǐng)域的子本體作進(jìn)一步的表述:

1) 測試主體子領(lǐng)域應(yīng)用本體包括測試人員、測試設(shè)備、采集設(shè)備等;

2) 測試對象子領(lǐng)域應(yīng)用本體包括硬件、軟件、鏈路、數(shù)據(jù)等;

3) 測試環(huán)境子領(lǐng)域應(yīng)用本體包括測試支撐環(huán)境和測試業(yè)務(wù)場景等;

4) 測試主體操作子領(lǐng)域應(yīng)用本體包括操作目標(biāo)、操作條件、操作過程等;

5) 測試對象操作子領(lǐng)域應(yīng)用本體包括網(wǎng)絡(luò)防護(hù)、節(jié)點(diǎn)防護(hù)、數(shù)據(jù)防護(hù)等;

6) 測試數(shù)據(jù)子領(lǐng)域應(yīng)用本體包括流量數(shù)據(jù)、事件數(shù)據(jù)、場景信息等;

7) 測試結(jié)果子領(lǐng)域應(yīng)用本體包括安全防護(hù)功能測試結(jié)果、安全防護(hù)性能測試結(jié)果.

信息安全測試用例領(lǐng)域本體與應(yīng)用本體之間為包含關(guān)系,其應(yīng)用本體如圖5所示:

圖5 信息安全測試用例應(yīng)用本體

2.4 原子本體

信息安全測試用例原子本體是可以直接用于描述測試用例實(shí)體概念的聲明,是對應(yīng)用本體實(shí)例化,是本體論中最小的不可分割的概念,因測試人員不可再分,所以沒有原子本體.

1) 測試主體原子本體.

測試主體原子本體是測試用例的發(fā)起者,本文將測試主體分為測試人員、測試設(shè)備和采集設(shè)備.其中:測試人員應(yīng)用本體不可再分,其原子本身即為測試人員本身;測試設(shè)備包括基礎(chǔ)測試設(shè)備、應(yīng)用安全測試設(shè)備、協(xié)議安全測試設(shè)備和硬件安全測試設(shè)備;采集設(shè)備包括網(wǎng)絡(luò)信息采集設(shè)備、節(jié)點(diǎn)信息采集設(shè)備.

2) 測試對象原子本體.

測試對象原子本體是被試系統(tǒng)中測試用例作用的對象,本文將安全測試對象分為硬件、軟件、鏈路和數(shù)據(jù).其中硬件包含安全設(shè)備(如IDS、防火墻等)、交換設(shè)備(如路由器、交換機(jī)等)、計算存儲設(shè)備(如主機(jī)、服務(wù)器等)等;軟件包括操作系統(tǒng)、通用平臺軟件(如數(shù)據(jù)庫平臺、網(wǎng)絡(luò)服務(wù)軟件、辦公軟件等)、業(yè)務(wù)軟件等;鏈路包括鏈路的功能、性能等;數(shù)據(jù)包括系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù).

3) 測試環(huán)境原子本體.

測試環(huán)境原子本體是信息安全測試用例執(zhí)行所需的環(huán)境,本文將測試環(huán)境分為測試支撐環(huán)境和測試業(yè)務(wù)環(huán)境.其中測試支撐環(huán)境主要包括網(wǎng)絡(luò)環(huán)境、主機(jī)環(huán)境;測試業(yè)務(wù)環(huán)境主要包括測試應(yīng)用業(yè)務(wù)環(huán)境和測試背景業(yè)務(wù)環(huán)境.

4) 測試主體操作原子本體.

測試主體操作原子本體是信息安全測試用例執(zhí)行過程中測試主體對測試對象及測試環(huán)境采取的方法、技術(shù)和過程.本文將測試主體操作分為測試目標(biāo)、測試條件和測試過程.其中測試目標(biāo)為測試最終所要達(dá)到的效果,包括權(quán)限獲取、服務(wù)竊取、服務(wù)增加、拒絕服務(wù)、系統(tǒng)錯誤、信息欺騙、口令竊取、信息泄露和信息篡改;測試條件為操作執(zhí)行的前提,包括權(quán)限(指操作成功執(zhí)行時,需要獲取的目標(biāo)系統(tǒng)權(quán)限)、環(huán)境(指操作成功執(zhí)行時目標(biāo)對象環(huán)境應(yīng)滿足的條件)和情報(指操作成功執(zhí)行時需要掌握的目標(biāo)系統(tǒng)情報信息);操作過程包括安全檢查(主要指安全配置、安全預(yù)案等內(nèi)容的檢查)、信息收集(主要指主動/被動收集環(huán)境與對象的信息,包括掃描、監(jiān)聽等手段)、概率攻擊、非法注入、突破訪問控制、欺騙攻擊、濫用攻擊、操控數(shù)據(jù)和操控系統(tǒng)資源等.

5) 測試對象操作原子本體.

測試對象操作原子本體主要指被試系統(tǒng)在測試用例執(zhí)行過程中,針對測試主體的測試行為采取的方法、技術(shù)和過程.本文將測試對象操作分為網(wǎng)絡(luò)防護(hù)、節(jié)點(diǎn)防護(hù)、數(shù)據(jù)防護(hù).其中網(wǎng)絡(luò)防護(hù)包括網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全審計、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防護(hù)、網(wǎng)絡(luò)接入控制等;節(jié)點(diǎn)防護(hù)包括系統(tǒng)安全配置、主機(jī)防病毒、應(yīng)用安全配置、節(jié)點(diǎn)訪問控制等;數(shù)據(jù)安全防護(hù)操作包括加密存儲、加密傳輸、備份恢復(fù)等.

6) 測試數(shù)據(jù)原子本體.

測試數(shù)據(jù)原子本體主要指測試用例執(zhí)行過程中能夠反映測試主體、測試對象、測試環(huán)境狀態(tài)屬性及其變化的數(shù)據(jù)和事件等.本文將測試數(shù)據(jù)分為場景數(shù)據(jù)、過程數(shù)據(jù)和結(jié)果數(shù)據(jù).其中:場景數(shù)據(jù)指測試用例執(zhí)行過程中的靜態(tài)數(shù)據(jù),包括外部場景數(shù)據(jù)(如情報、知識信息等)、內(nèi)部場景數(shù)據(jù)(包括配置信息、漏洞信息、資產(chǎn)數(shù)據(jù)等);過程數(shù)據(jù)主要是測試用例執(zhí)行過程中對象的狀態(tài)、各類事件、流量等信息,包括流量統(tǒng)計信息、網(wǎng)絡(luò)數(shù)據(jù)包、節(jié)點(diǎn)狀態(tài)、安全防護(hù)事件、系統(tǒng)事件、應(yīng)用服務(wù)事件等;結(jié)果數(shù)據(jù)為測試設(shè)備的檢測結(jié)果數(shù)據(jù),包括基礎(chǔ)測試結(jié)果(如網(wǎng)絡(luò)基準(zhǔn)性能、極限性能檢測結(jié)果等)、安全配置核查結(jié)果、代碼審查結(jié)果、漏洞掃描結(jié)果、漏洞挖掘結(jié)果等.

7) 測試結(jié)果原子本體.

測試結(jié)果原子本體是對測試用例的測試目標(biāo)是否達(dá)到的判定.本文將測試結(jié)果分為安全防護(hù)功能測試結(jié)果和安全防護(hù)性能測試結(jié)果.其中安全防護(hù)功能失效測試結(jié)果包括身份認(rèn)證功能失效、訪問控制功能失效、數(shù)據(jù)完整性功能失效、數(shù)據(jù)保密性功能失效、抗抵賴性功能失效、安全審計功能失效;安全防護(hù)性能測試結(jié)果包括準(zhǔn)確性降低和效率降低等.

3 實(shí)例分析

本節(jié)以某Web應(yīng)用系統(tǒng)對SQL注入的防護(hù)能力測試為例,根據(jù)上述定義的基于本體的測試用例模型,對該實(shí)例進(jìn)行案例化表示,以驗(yàn)證模型的有效性.

由于SQL注入有可能造成信息泄露,嚴(yán)重情況下(根據(jù)使用的數(shù)據(jù)庫而定)甚至可能造成數(shù)據(jù)修改、刪除,從而導(dǎo)致業(yè)務(wù)中斷[15].因此必須發(fā)現(xiàn)所有已存在的注入點(diǎn).針對SQL注入防護(hù)的測試可以采用手工注入測試和工具自動化注入測試.在測試過程中,構(gòu)建如圖6所示的測試環(huán)境,其中Web應(yīng)用運(yùn)行正常,用戶能夠正常訪問Web應(yīng)用提供的服務(wù),測試人員利用Pangolin工具,對存在參數(shù)輸入的待測目標(biāo)URL執(zhí)行SQL注入測試,并通過Web代理和測試工具檢查目標(biāo)頁面響應(yīng)結(jié)果,查看是否存在SQL注入漏洞.

圖6 SQL注入測試環(huán)境布局

根據(jù)構(gòu)建的信息安全測試用例本體模型,從測試主體、測試對象、測試環(huán)境、測試主體操作、測試客體操作、測試數(shù)據(jù)、測試結(jié)果7個方面對上述案例進(jìn)行描述,如圖7所示.

圖7 SQL注入測試用例描述

從上述信息安全測試用例表示過程可知,通過利用本體表示模型能夠?qū)y試用例知識進(jìn)行統(tǒng)一規(guī)范的表示,可有效支撐測試案例的擴(kuò)展與復(fù)用.如果將測試主體中的Pangolin測試工具替換為Google Chrome瀏覽器,則可以執(zhí)行手工注入測試.

4 結(jié) 語

本文從測試用例的角度對系統(tǒng)信息安全測試用例進(jìn)行了研究,結(jié)合測試用例表示的通用方法,給出了信息安全測試用例的形式化定義,繼而構(gòu)建了信息安全測試用例領(lǐng)域知識本體模型,為構(gòu)建一個共享、重用、可擴(kuò)展的信息安全實(shí)驗(yàn)測試用例庫,實(shí)現(xiàn)信息安全測試用例自動化生成提供支撐.最后,通過對Web應(yīng)用安全測試用例進(jìn)行測試知識獲取,驗(yàn)證了基于本體的信息安全測試用例庫模型的正確性與有效性.