面向能力的航天業(yè)務網(wǎng)信息系統(tǒng)安全需求分析方法

郭志亮， 楊勃航， 楊寶軍， 董文文， 黃博華

(中國人民解放軍63780部隊，海南 三亞 572000)

隨著我國航天科技的飛速發(fā)展，航天業(yè)務網(wǎng)作為航天試驗任務的網(wǎng)絡承載平臺，承擔著數(shù)據(jù)、語音、視頻、文件等各類業(yè)務信息的傳遞任務，目前已發(fā)展成為全覆蓋、多方向、高帶寬的一體化大型科研試驗通信專用網(wǎng)絡。由于航天業(yè)務網(wǎng)在設計之初主要從滿足科研試驗通信功能性需求出發(fā)，信息安全規(guī)劃與網(wǎng)絡防護能力需求考慮不足，且航天業(yè)務網(wǎng)的體系結構復雜、業(yè)務應用綜合、信息流量巨大，網(wǎng)絡信息系統(tǒng)面臨著較為嚴重的安全威脅[1]。

信息安全的定義是要保護信息的保密性、完整性和可用性[2]。信息常常作為安全的最終保護對象，而信息的最終目的是為了支持業(yè)務運行。信息系統(tǒng)包括信息、信息處理的相關活動、支持活動運行的功能、活動的執(zhí)行者、支持信息處理以及功能的載體等，因此信息系統(tǒng)的概念要遠比信息的概念寬泛。信息系統(tǒng)安全是指通過安全措施的實施，以滿足信息系統(tǒng)安全需求，使得信息系統(tǒng)能夠安全平穩(wěn)地完成其使命的狀態(tài)[3]。

雖然信息安全問題越來越受到人們的重視，相關信息安全研究與建設正在不斷開展，但信息系統(tǒng)安全需求工作一直沒有得到應有的關注[4]。隨著近年來航天測控領域軍民融合深度發(fā)展[5]，信息安全公司不斷為航天業(yè)務網(wǎng)信息系統(tǒng)提供各類功能豐富的安全產(chǎn)品與服務，但由于缺乏對信息系統(tǒng)安全需求的識別與歸納，難以實現(xiàn)安全投入的高效費比。當前針對安全需求的研究主要包括分析建模理論研究[6-8]和特定信息系統(tǒng)應用研究[9-13]。文獻[7]給出了安全需求分析過程中的安全危險性分析模型和安全需求描述的方法；文獻[8]把計算機網(wǎng)絡與安全相關的系統(tǒng)資源和安全因素抽取出來建立一種面向安全性的安全模型，但分析建模理論研究難以被用戶理解和掌握。文獻[9]～文獻[13]分別針對特定的生產(chǎn)、指揮、電力、云計算以及IoT等信息系統(tǒng)來分析安全需求并給出分析方法，具備較強的操作性。以上研究均面向安全威脅來進行描述，而安全威脅隨著技術進步迅速變化發(fā)展，難以有效確定和應對。文獻[14]從信息安全等級保護的角度來研究軟件安全需求，但信息安全等級保護是通用的體系標準，無法準確描述特定信息系統(tǒng)的安全需求。

本文介紹了信息系統(tǒng)安全需求分析研究現(xiàn)狀，針對航天業(yè)務網(wǎng)信息系統(tǒng)特點，提出了一種面向能力的航天業(yè)務網(wǎng)信息系統(tǒng)安全需求分析方法，并對某個區(qū)域節(jié)點信息系統(tǒng)進行了分析應用。該方法可識別歸納信息系統(tǒng)的安全需求，為后續(xù)信息系統(tǒng)安全建設提供參考依據(jù)。

1 航天業(yè)務網(wǎng)安全現(xiàn)狀

我國航天業(yè)務網(wǎng)是以TCP/IP技術為核心構建的IP網(wǎng)絡，經(jīng)過近年來不斷的建設發(fā)展，逐步形成了各種航天測控資源綜合利用、配置優(yōu)化可靠的大型科研試驗專網(wǎng)[15]。航天技術的迅猛發(fā)展以及網(wǎng)絡安全形勢的不斷變化，對航天業(yè)務網(wǎng)提出了更高的安全要求。

① 滿足多樣化職能任務的安全要求。不僅滿足傳統(tǒng)測控數(shù)據(jù)的傳遞處理安全，還要滿足擴展職能的安全。

② 滿足數(shù)據(jù)流精細化管控的要求。航天業(yè)務網(wǎng)交互方向眾多，對數(shù)據(jù)流需要精確識別管控才能防范安全風險。

③ 滿足網(wǎng)絡安全運維管理智能化要求。隨著航天業(yè)務網(wǎng)不斷建設發(fā)展，傳統(tǒng)網(wǎng)絡安全運維模式難以適應復雜大規(guī)模網(wǎng)絡特性，需要通過創(chuàng)新型安全運維技術提高效率。

航天業(yè)務網(wǎng)在“十三五”期間不斷強化信息安全投入，初步形成了具有特色的信息安全防護體系，主要包括信息安全防護、信息安全管理與服務和密碼支撐三大部分。其中，信息安全防護通過綜合應用各類安全技術實現(xiàn)信息系統(tǒng)的邊界防護、網(wǎng)絡監(jiān)測、終端防護；信息安全管理與服務為全網(wǎng)提供統(tǒng)一的安全態(tài)勢監(jiān)控、安全設備管理、安全策略制定、安全審計分析等管理與服務功能；密碼支撐主要包括傳輸加密、身份認證等功能。系統(tǒng)組成如圖1所示。但是隨著信息安全環(huán)境的日益嚴峻和惡化，現(xiàn)有航天業(yè)務網(wǎng)信息安全防護體系存在一定的差距與不足，主要表現(xiàn)在：安全防護體系不夠完整，存在薄弱環(huán)節(jié)，安全防護能力較弱；安全運維體系不夠完善，缺乏自動化、智能化運維能力；安全創(chuàng)新技術應用不夠廣泛，難以應對新型網(wǎng)絡安全威脅。

圖1 信息安全系統(tǒng)組成圖

2 安全需求分析方法

2.1 基本原理

面向能力的需求開發(fā)機制最早運用在軍事領域，如美軍的JCIDS(聯(lián)合能力集成與開發(fā)系統(tǒng))，其基本的軍事裝備研制建設思想是“作戰(zhàn)概念指導、能力需求牽引”，強調(diào)作戰(zhàn)體系形成“與生俱來”的聯(lián)合性，滿足網(wǎng)絡中心化聯(lián)合作戰(zhàn)的能力需求。傳統(tǒng)的網(wǎng)絡信息系統(tǒng)安全需求分析方法是通過識別安全威脅，采用打補丁的方式進行網(wǎng)絡安全防護，但該方法存在一些先天性的不足：① 威脅的獨立性，通過威脅識別安全需求缺乏全局視圖，難以形成縱深防御體系；② 威脅的不確定性，防御總是處于被動地位，難以有效應對新型的安全威脅；③ 以應對威脅為目的的安全防護體系，由于未能充分結合業(yè)務需求，難以合理安排投入，效費比不足。面向能力的安全需求分析與信息系統(tǒng)承擔的職能任務緊密結合，以能力建設為主線，以威脅應對為輔助，從全局的角度來審視網(wǎng)絡安全問題，形成更加科學合理的安全需求結論，以此指導后續(xù)網(wǎng)絡防護體系建設。

2.2 分析步驟

面向能力的信息系統(tǒng)安全需求方法首先根據(jù)航天業(yè)務網(wǎng)信息系統(tǒng)所承擔的職能，確定能力主線并細化能力目標，以此作為安全需求分析的基礎；再逐項分析滿足該能力的CIA(保密性、完整性、可用性)屬性，確定其所需安全資源；然后根據(jù)安全資源需求頻次以及承擔業(yè)務職能的優(yōu)先級確定權值，確定安全資源需求優(yōu)先級；最后整理形成信息系統(tǒng)安全需求列表，并迭代分析是否滿足信息系統(tǒng)業(yè)務能力，持續(xù)加強與改進。需求分析步驟如圖2所示。

圖2 面向能力的信息系統(tǒng)安全需求分析步驟

2.3 形式化描述

信息系統(tǒng)所承擔的職能是在系統(tǒng)規(guī)劃設計時期確定的，并隨著系統(tǒng)建設與運行不斷演進完善。信息系統(tǒng)職能是安全需求分析的起點和基礎，通常情況下可以通過能力集合來表示。其中，單個能力又可以細化為具體的能力目標，因此信息系統(tǒng)能力可以表示為

Capability=(T1,T2,…,Tn)

(1)

從安全的角度考慮，信息系統(tǒng)的每一種能力目標均需要耗費一定的安全資源，以滿足其CIA屬性，可以定義能力目標T的安全需求為

RequirementT=(CT,IT,AT)

(2)

式中，CT為能力目標T對應的保密性，即信息系統(tǒng)滿足T的情況下信息不被非法傳遞的安全屬性；IT為能力目標T對應的完整性，即信息系統(tǒng)滿足T的情況下信息不被非法篡改的安全屬性；AT為能力目標T對應的可用性，即信息系統(tǒng)滿足T的情況下系統(tǒng)能夠穩(wěn)定運行安全屬性。

安全資源在信息系統(tǒng)中是由具體的實體組成，通常情況下主要包括安全設備D、安全策略P、運維管理O等安全子項。其中D為固定資產(chǎn)，P為動態(tài)規(guī)則，O為制度規(guī)范，第i項安全需求對應的安全資源具體可以表示為

Resourcei=(Di,Pi,Qi)

(3)

由以上分析可知，從能力目標T分析得出安全資源需求Resource是分析過程的核心環(huán)節(jié)，為此給出安全需求推理機模型，如圖3所示。首先依據(jù)安全威脅、技術發(fā)展以及專家經(jīng)驗形成了安全資源集，再對特定的能力目標T進行CIA屬性分析，并逐項判斷安全資源集的條目是否滿足安全屬性要求，如果滿足則加入Resource集，直至安全資源集遍歷完成。

圖3 安全需求推理機模型

根據(jù)信息系統(tǒng)承擔職能的重要程度，可以對能力目標T進行定量賦值，ValueT用于衡量T的重要性，賦值參考標準如表1所示。

表1 能力目標賦值標準

由于不同的能力目標T對應的Resource集可能存在交集重疊部分，重疊數(shù)高的安全子項且ValueT高對應的Resource集可認為是重要的，將ResourceT與ValueT相乘后匯總，統(tǒng)計各安全子項重疊數(shù)，即可形成安全設備、安全策略、運維管理的安全資源全集DPO，表示為

(4)

式中，α，β，γ分別為不同安全子項的重疊數(shù)。

最后通過對重疊數(shù)的歸一化處理，即可得出每個安全子項的權重值W，安全需求列表SRL，表示為

(5)

SRL形成后，可依據(jù)信息安全等級保護標準進行第三方專家評審，也可根據(jù)信息系統(tǒng)能力擴展、信息安全形勢發(fā)展等條件進行迭代更新，最后用于指導信息系統(tǒng)安全建設，不斷提高安全防護能力。

3 應用研究

3.1 信息系統(tǒng)能力分析

以某區(qū)域中心航天業(yè)務網(wǎng)信息系統(tǒng)為例，分析該系統(tǒng)的安全需求。該區(qū)域中心承擔航天發(fā)射測控以及各類衛(wèi)星載荷應用數(shù)據(jù)的接收與傳輸任務，數(shù)據(jù)種類多樣，通信方向眾多，傳輸穩(wěn)定性、時效性要求較高。通過專家咨詢與用戶調(diào)查，從業(yè)務能力、裝備能力、運維能力3個方面對該信息系統(tǒng)的能力目標進行分析，形成能力目標集如圖4所示。

圖4 某區(qū)域中心信息系統(tǒng)能力目標集示意圖

3.2 安全資源需求分析

以“衛(wèi)星發(fā)射測控數(shù)據(jù)的安全傳輸”能力目標T1為例，通過分析其CIA屬性，結合經(jīng)驗與技術推理得出所需的安全資源。由于衛(wèi)星發(fā)射測控數(shù)據(jù)具有時效性強、不可逆，且影響域廣泛等特性，對信息系統(tǒng)安全性具有非常高的需求，CIA屬性如表2所示。

表2 能力目標T1安全屬性

通過安全需求推理機模型，在前期收集整理網(wǎng)絡安全資源的基礎上，形成了能力目標T1所需的網(wǎng)絡安全資源集如圖5所示，其中[C.1]表示該資源滿足保密性第一條屬性。

圖5 能力目標對應安全資源集示意圖

3.3 安全資源優(yōu)先級確定

通過對每個能力目標T進行安全資源需求分析，匯總整理后統(tǒng)計各個安全子項的重疊數(shù)，并進行max-min歸一化處理，即可得出安全需求列表，權值越高，表明該安全子項的覆蓋度越廣、重要性越高。后續(xù)通過迭代分析，識別安全需求列表是否滿足所有的業(yè)務能力，并定期進行迭代更新，持續(xù)改進。安全需求列表如表3所示。

表3 安全需求列表

3.4 有效性評估

相較于傳統(tǒng)安全需求分析方法，本文提出的方法從能力需求分析到安全資源確定，分析步驟較為明確清晰，形成了確定優(yōu)先級的安全資源需求列表，是一種系統(tǒng)的分析方法。兩種方法特性對比如表4所示，傳統(tǒng)方法近似采用隨機的方法進行設備選取，而本文方法優(yōu)先選取高優(yōu)先級的安全設備。

表4 兩種需求分析方法特性對比

采用覆蓋度指標來對比評估安全需求分析方法的有效性，即在總投資一定的前提下，比較傳統(tǒng)方法與本文提出的方法分析得出的安全設備對信息系統(tǒng)的安全保護覆蓋度高低。為便于比較，以表3中的安全設備為全集，且不考慮具體設備之間的價格差異，以設備數(shù)量代替投資值。例如：假定安全設備集總數(shù)量為n,安全設備投資值為m，傳統(tǒng)方法使用函數(shù)random(m,n)選取安全設備，本文方法則選取優(yōu)先級前m個安全設備。覆蓋度計算以某安全設備對信息系統(tǒng)能力目標的有效保護為準，有效記1分，無效記0分，得分較高表示該安全設備具備更廣泛的保護能力。最后逐項累加并歸一化處理，得出投資值與覆蓋度的關系如圖6所示。

由圖6可以看出，隨著投資值不斷下降，兩種方法選取的安全設備覆蓋度均呈下降態(tài)勢，但本文方法選取設備的覆蓋度優(yōu)勢一直保持，表明該方法能夠有效提高安全設備選取的科學性。

圖6 兩種方法安全保護覆蓋度比較示意圖

4 結束語

針對航天業(yè)務網(wǎng)信息系統(tǒng)安全現(xiàn)狀，提出了一種面向能力的信息系統(tǒng)安全需求分析方法。該方法以信息系統(tǒng)承擔職能為起點，通過信息系統(tǒng)能力分析、安全資源需求分析、安全資源優(yōu)先級確定等過程，分析得出信息系統(tǒng)的安全需求。相較于傳統(tǒng)面向威脅的安全需求分析方法，面向能力的安全需求分析方法更具有針對性，更加能夠反映信息系統(tǒng)安全管理的目標。最后在航天業(yè)務網(wǎng)某區(qū)域中心信息系統(tǒng)進行了實際應用與評估，驗證了該方法的可行性。

本文給出的安全需求分析方法重點突出了安全資源需求，在指導工程實踐方面仍存在一定的局限性，后續(xù)將加強網(wǎng)絡安全架構的設計等問題的研究，通過更加系統(tǒng)和完善的方法提高信息系統(tǒng)安全性。