基于屬性監(jiān)控的安全域自適應(yīng)劃分方法研究*

韓清德　謝　慧　聶　峰

(1.海軍工程大學(xué)信息安全系　武漢　430033)(2.山東武警總隊(duì)通信處　濟(jì)南　250000)

?

基于屬性監(jiān)控的安全域自適應(yīng)劃分方法研究*

韓清德1謝慧1聶峰2

(1.海軍工程大學(xué)信息安全系武漢430033)(2.山東武警總隊(duì)通信處濟(jì)南250000)

安全域劃分作為信息安全等級(jí)保護(hù)的重要手段，目的是將網(wǎng)絡(luò)安全問(wèn)題進(jìn)行細(xì)化，把大規(guī)模復(fù)雜的網(wǎng)絡(luò)系統(tǒng)分解為區(qū)域型安全防護(hù)問(wèn)題，針對(duì)性地進(jìn)行有重點(diǎn)、有區(qū)別的安全防護(hù)。針對(duì)簡(jiǎn)單一次性的安全域劃分方法無(wú)法適應(yīng)日愈復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)和不斷增長(zhǎng)的業(yè)務(wù)需求，提出基于屬性監(jiān)控的安全域劃分方法。首先給出安全域定義，研究安全域基本構(gòu)成元素，建立相應(yīng)的屬性值域來(lái)劃分安全域。并且引入屬性監(jiān)控器來(lái)對(duì)網(wǎng)絡(luò)中相關(guān)屬性進(jìn)行全面監(jiān)控，通過(guò)監(jiān)控所反饋的屬性變化信息對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)調(diào)整，達(dá)到控制安全域內(nèi)或者安全域間主體對(duì)網(wǎng)絡(luò)相關(guān)資源訪問(wèn)關(guān)系；確保對(duì)重要資源的訪問(wèn)的安全、可靠、有效；對(duì)即將發(fā)生、正在進(jìn)行或者已經(jīng)發(fā)生網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全域進(jìn)行隔離，以方便對(duì)其進(jìn)行安全增強(qiáng)、有效隔離或者評(píng)估治理，防止攻擊進(jìn)一步擴(kuò)散。

屬性監(jiān)控; 安全域劃分; 自適應(yīng)

Class NumberTP393

1　引言

隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，網(wǎng)絡(luò)攻擊愈加隱蔽頻繁，網(wǎng)絡(luò)安全形勢(shì)越來(lái)越嚴(yán)峻。信息安全等級(jí)保護(hù)[1]將網(wǎng)絡(luò)系統(tǒng)按照不同的安全需求、面臨的安全威脅和相應(yīng)的業(yè)務(wù)功能進(jìn)行安全等級(jí)劃分，以達(dá)到對(duì)網(wǎng)絡(luò)系統(tǒng)分級(jí)保護(hù)的目的。其中，劃分安全域作為信息安全等級(jí)保護(hù)的重要手段[2]，將網(wǎng)絡(luò)安全問(wèn)題進(jìn)行細(xì)化，把大規(guī)模復(fù)雜的網(wǎng)絡(luò)系統(tǒng)分解為區(qū)域型安全屬性的相關(guān)防護(hù)問(wèn)題，針對(duì)性地進(jìn)行有重點(diǎn)、有區(qū)別的安全防護(hù)[3]。

現(xiàn)有的安全域劃分技術(shù)主要是按照業(yè)務(wù)系統(tǒng)[4～5]、防護(hù)等級(jí)[6]和系統(tǒng)行為[7]進(jìn)行劃分。文獻(xiàn)[4]提出了安全域的宏觀和微觀的概念，對(duì)安全域從微觀和宏觀的角度進(jìn)行分析，描述安全域在微觀角度上各個(gè)元素的組成和行為，并且對(duì)行為和規(guī)則策略的對(duì)應(yīng)關(guān)系進(jìn)行闡述。在宏觀角度下分析安全域結(jié)構(gòu)和安全域交互，通過(guò)對(duì)安全域宏觀現(xiàn)象和微觀的本質(zhì)進(jìn)行聯(lián)系，提出了基于功能相似性和業(yè)務(wù)連續(xù)性的安全域劃分模型，并對(duì)其安全性、有效性、合理性進(jìn)行了分析。文獻(xiàn)[5]是對(duì)具體GPRS系統(tǒng)進(jìn)行安全域劃分，通過(guò)對(duì)GPRS系統(tǒng)進(jìn)行水平垂直方向上劃分，結(jié)合業(yè)務(wù)需求，將系統(tǒng)劃分為網(wǎng)絡(luò)核心域、網(wǎng)絡(luò)接入域和網(wǎng)絡(luò)其他域，具有很強(qiáng)的實(shí)踐應(yīng)用性，但缺乏對(duì)安全域劃分方法的理論研究，未能對(duì)所設(shè)計(jì)的方法進(jìn)行有效性、科學(xué)性、安全性等方面進(jìn)行論證。文獻(xiàn)[6]分析了安全域劃分存在的困難，給出了分級(jí)保護(hù)網(wǎng)絡(luò)中安全域劃分的原則，提出不同密級(jí)的安全域在網(wǎng)絡(luò)中的接入模式和管理策略。文獻(xiàn)[7]認(rèn)為受到相似威脅攻擊的網(wǎng)絡(luò)其安全防護(hù)策略應(yīng)該趨于一致，以此為依據(jù)進(jìn)行安全域劃分。通過(guò)對(duì)系統(tǒng)進(jìn)行威脅和脆弱性進(jìn)行分析，評(píng)估各子系統(tǒng)威脅源和威脅方式的指標(biāo)值，通過(guò)模糊聚類(lèi)的方法進(jìn)行安全域劃分。

此外，隨著本體技術(shù)的發(fā)展，洪大翔基于IATF深度防御模型和PPDR網(wǎng)絡(luò)安全模型，在文獻(xiàn)[8]提出基于本體的信息系統(tǒng)動(dòng)態(tài)安全域劃分技術(shù)，構(gòu)建安全域劃分領(lǐng)域本體，并進(jìn)行相關(guān)邏輯推理，建立循環(huán)動(dòng)態(tài)的調(diào)整安全域劃分和安全防護(hù)體系。文獻(xiàn)[9]提出基于PPDRR與GRL模型的安全域劃分技術(shù)，通過(guò)PPDRR模型對(duì)信息系統(tǒng)進(jìn)行安全需求分析，借助GRL語(yǔ)言對(duì)系統(tǒng)安全需求進(jìn)行層次劃分，構(gòu)建安全需求指標(biāo)模型，提出基于安全需求相似性的安全域劃分方法。

以上安全域劃分技術(shù)多基于特定運(yùn)用環(huán)境，并且在一定程度上尋求通過(guò)一次劃分安全域來(lái)達(dá)到對(duì)網(wǎng)絡(luò)安全威脅的分割控制，但是缺少對(duì)安全域管理問(wèn)題研究。目前，安全域管理基本依靠人工方式進(jìn)行管理，難以對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)、準(zhǔn)確、全面分析，無(wú)法及時(shí)依據(jù)網(wǎng)絡(luò)中的相關(guān)變化而進(jìn)行安全域調(diào)整劃分，隨時(shí)間的推移，簡(jiǎn)單一次性劃分及單純依靠人工管理的方式，無(wú)法確保現(xiàn)有的安全域劃分能滿足長(zhǎng)期安全標(biāo)準(zhǔn)要求。因此，需要一種能夠?qū)W(wǎng)絡(luò)相關(guān)變化進(jìn)行實(shí)時(shí)掌控，并自適應(yīng)地調(diào)整安全域結(jié)構(gòu)的管理方法。文獻(xiàn)[10]提出一種安全域自動(dòng)核查技術(shù)，通過(guò)對(duì)基于真實(shí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全域劃分審計(jì)技術(shù)，自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并對(duì)真實(shí)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行還原、展現(xiàn)和核查，對(duì)違規(guī)的拓?fù)浣Y(jié)構(gòu)進(jìn)行自動(dòng)響應(yīng)。但是該方案主要針對(duì)小型企業(yè)內(nèi)部網(wǎng)絡(luò)，對(duì)大規(guī)模、復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)的網(wǎng)絡(luò)，難以進(jìn)行及時(shí)核查響應(yīng)。而且隨著網(wǎng)絡(luò)內(nèi)部威脅的不斷增多，網(wǎng)絡(luò)結(jié)構(gòu)日愈復(fù)雜，網(wǎng)絡(luò)業(yè)務(wù)不斷拓展延伸[11]，網(wǎng)絡(luò)呈現(xiàn)出規(guī)模龐大、結(jié)構(gòu)復(fù)雜、面臨威脅多樣的特征，僅僅依靠簡(jiǎn)單一次性地進(jìn)行安全域劃分和依賴于人工管理或者小規(guī)模系統(tǒng)自動(dòng)核查調(diào)整[12]，無(wú)法適應(yīng)日愈復(fù)雜的網(wǎng)絡(luò)環(huán)境和不斷增長(zhǎng)的業(yè)務(wù)需求。

鑒于安全域劃分及安全域管理方面的問(wèn)題，本文從安全域定義出發(fā)，研究安全域基本構(gòu)成元素，通過(guò)對(duì)安全域基本構(gòu)成元素進(jìn)行屬性分析，建立各構(gòu)成元素的基本指標(biāo)體系，對(duì)各屬性進(jìn)行評(píng)估取值，通過(guò)建立相應(yīng)的屬性值域來(lái)劃分安全域。并且引入屬性監(jiān)控器來(lái)對(duì)網(wǎng)絡(luò)中相關(guān)屬性進(jìn)行全面監(jiān)控，通過(guò)監(jiān)控所反饋的屬性變化信息對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)調(diào)整，以適應(yīng)網(wǎng)絡(luò)環(huán)境變化和業(yè)務(wù)增長(zhǎng)需求。

2　安全域

2.1安全域定義

在國(guó)家保密標(biāo)準(zhǔn)中，安全域的定義是由實(shí)施共同安全策略的主體和客體構(gòu)成的集合，其中主體表示安全域中的各類(lèi)終端用戶，客體表示安全域中各類(lèi)資源如數(shù)據(jù)庫(kù)信息、文檔等。在這個(gè)定義中，同一個(gè)安全域應(yīng)是具有相同的安全策略，為實(shí)現(xiàn)相同的安全需求所構(gòu)成的集合。不同安全域間的安全需求不同、安全策略不同。安全策略用于描述主體與客體間的操作關(guān)系，而安全策略的制定是依據(jù)主體和客體的安全需求和防護(hù)等級(jí)等綜合考慮的，這里將這類(lèi)考慮歸類(lèi)為主體屬性和客體屬性。

定義1主體屬性為各類(lèi)終端用戶安全屬性如角色、安全權(quán)限、承擔(dān)的任務(wù)等，以SATTR表示。

定義2客體屬性為各類(lèi)資源的安全屬性，就機(jī)密性、完整性、可用性和可恢復(fù)性，以O(shè)ATTR表示。

定義3網(wǎng)絡(luò)環(huán)境屬性是指網(wǎng)絡(luò)中信道性能、安全威脅、漏洞、系統(tǒng)參數(shù)和相關(guān)硬件設(shè)施的參數(shù)等，以EATTR表示。

同一安全域的主體與客體的相關(guān)屬性應(yīng)該符合本安全域的屬性。因此，在劃分安全域時(shí)應(yīng)該考慮網(wǎng)絡(luò)中主體屬性、客體屬性、主體對(duì)客體的操作關(guān)系，以及網(wǎng)絡(luò)環(huán)境的相關(guān)約束條件比如受威脅等級(jí)、漏洞信息和病毒信息等。本文在文獻(xiàn)[13～14]研究的基礎(chǔ)上，結(jié)合劃分安全域的基礎(chǔ)考慮，給出安全域的形式化定義：

定義4安全域是一個(gè)三元組SD={SATTR,OAATR,EAATR}，其中SD表示安全域，SATTR表示主體屬性，OATTR表示客體屬性，EATTR表示網(wǎng)絡(luò)環(huán)境屬性。又設(shè)svi表示主體屬性值，ovj表示客體屬性值，evk表示網(wǎng)絡(luò)環(huán)境屬性值，則各屬性值在一定的變化范圍稱為屬性值域，該域?qū)⑴c安全域進(jìn)行映射，作為劃分安全域的基礎(chǔ)。

2.2安全域劃分原則

安全域的劃分是為了更好地實(shí)施安全策略，如果對(duì)網(wǎng)絡(luò)進(jìn)行安全域劃分過(guò)細(xì)，則會(huì)造成安全策略過(guò)于復(fù)雜，增加了管理的復(fù)雜度，如果劃分粒度過(guò)粗，則將造成對(duì)安全策略過(guò)于簡(jiǎn)單，造成網(wǎng)絡(luò)安全的脆弱性。因此，在進(jìn)行安全域劃分時(shí)應(yīng)該遵循以下原則：

1) 可用性原則。安全域劃分要能夠保證整個(gè)網(wǎng)絡(luò)系統(tǒng)能夠正常運(yùn)行，安全域的劃分是為了使得網(wǎng)絡(luò)主體和客體在安全的環(huán)境中，通過(guò)各種安全措施保障安全，實(shí)現(xiàn)運(yùn)轉(zhuǎn)的高效與低風(fēng)險(xiǎn)的效果。

2) 等級(jí)保護(hù)原則。即確保每一個(gè)安全域中的等級(jí)防護(hù)措施均配置無(wú)誤，同時(shí)，應(yīng)該滿足保密性、完整性和可用性。

3) 相似性原則。安全域內(nèi)部的主體、客體和網(wǎng)絡(luò)環(huán)境等應(yīng)該具有四個(gè)方面的聯(lián)系，即應(yīng)用服務(wù)和系統(tǒng)功能相似性、資產(chǎn)相似性、安全要求相似性和威脅相似性，使得安全域滿足等級(jí)保護(hù)原則。

4) 層次化原則。安全域劃分應(yīng)該具有層次邏輯，通過(guò)對(duì)網(wǎng)絡(luò)進(jìn)行層次劃分，使其能夠?qū)W(wǎng)絡(luò)中各層的特點(diǎn)進(jìn)行針對(duì)性的安全防護(hù)。

2.3安全域劃分模型

依據(jù)安全域定義和安全域劃分原則，現(xiàn)有的安全域劃分方法多基于相似性原則進(jìn)行安全域劃分，也有基于深度防御理論(Defense in Depth)和PPDRR網(wǎng)絡(luò)安全模型進(jìn)行安全域劃分。

1) 深度防御理論(Defense in Depth)[15]

深度防御理論是由美國(guó)國(guó)家安全局組織編寫(xiě)的，其創(chuàng)新地提出信息保障的關(guān)鍵在于：人依托技術(shù)進(jìn)行操作，實(shí)現(xiàn)組織職能。其中，人(People)、技術(shù)(Technology)和操作(Operation)是構(gòu)成IA的三要素，通過(guò)對(duì)信息保障需求劃分為四個(gè)基礎(chǔ)域：保護(hù)網(wǎng)絡(luò)和信息基礎(chǔ)設(shè)施、邊界防護(hù)、保護(hù)計(jì)算環(huán)境和為基礎(chǔ)設(shè)施提供的技術(shù)支撐，實(shí)現(xiàn)對(duì)信息基礎(chǔ)設(shè)施的多重防護(hù)。

2) PPDR網(wǎng)絡(luò)安全模型[16]

PPDR包括策略(Policy)、保護(hù)(Protection)、檢測(cè)(Detection)和響應(yīng)(Response)四個(gè)部分組成。該模型以策略為支撐，不斷進(jìn)行保護(hù)、檢測(cè)和響應(yīng)，通過(guò)預(yù)先制定的網(wǎng)絡(luò)安全策略，不斷地、動(dòng)態(tài)地、螺旋上升地對(duì)網(wǎng)絡(luò)進(jìn)行安全防護(hù)。

3) Framework for Improving Critical Infrastructure Cyberspace(FICIC)[17]

FICIC是提升網(wǎng)絡(luò)空間關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù)能力框架，其給出的框架核心結(jié)構(gòu)包括：識(shí)別(Identify)、防護(hù)(Protect)、檢測(cè)(Detect)、響應(yīng)(Respond)和恢復(fù)(Recover)，該核心結(jié)構(gòu)并不是執(zhí)行流程，而是框架的核心功能組成。通過(guò)這些功能，使得網(wǎng)絡(luò)空間關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)管理從初級(jí)提升到自適應(yīng)級(jí)別。

3　基于屬性監(jiān)控的安全域自適應(yīng)劃分模型

現(xiàn)代網(wǎng)絡(luò)隨著業(yè)務(wù)的拓展，網(wǎng)絡(luò)邊界的不斷模糊，使得網(wǎng)絡(luò)結(jié)構(gòu)愈加多變，網(wǎng)絡(luò)組成元素關(guān)系愈加復(fù)雜，因此，劃分安全域是一個(gè)長(zhǎng)期的動(dòng)態(tài)的過(guò)程，其不僅僅是需要對(duì)網(wǎng)絡(luò)進(jìn)行分層次、分重點(diǎn)進(jìn)行深度防御，也需要不斷檢測(cè)、響應(yīng)，而持續(xù)的檢測(cè)本質(zhì)上是對(duì)網(wǎng)絡(luò)各組成元素進(jìn)行全面的監(jiān)控。本文在深度防御理論、PPDR網(wǎng)絡(luò)安全模型和FICIC框架的基礎(chǔ)上，結(jié)合網(wǎng)絡(luò)持續(xù)監(jiān)控的核心理念，提出基于持續(xù)的網(wǎng)絡(luò)監(jiān)控進(jìn)行安全域劃分方法。通過(guò)持續(xù)的網(wǎng)絡(luò)監(jiān)控，實(shí)時(shí)地對(duì)監(jiān)控?cái)?shù)據(jù)進(jìn)行收集、分析處理，提取相關(guān)屬性信息，進(jìn)行安全域自適應(yīng)劃分和調(diào)整，具體模型如圖1所示。

圖1　監(jiān)控循環(huán)響應(yīng)

1) 數(shù)據(jù)收集。數(shù)據(jù)收集是整個(gè)模型的基礎(chǔ)，其目的是對(duì)系統(tǒng)行為日志、網(wǎng)絡(luò)日志、用戶登錄日志、訪問(wèn)日志、漏洞信息、病毒庫(kù)更新信息、端口信息和各類(lèi)事件進(jìn)行數(shù)據(jù)收集和提取。

2) 數(shù)據(jù)分析處理。對(duì)1)中產(chǎn)生的大數(shù)據(jù)進(jìn)行數(shù)據(jù)分類(lèi)、分析，得到安全域劃分所依據(jù)的主體屬性值svi、客體屬性值ovj和網(wǎng)絡(luò)環(huán)境屬性值evk。

3) 安全域。劃分安全域是為了統(tǒng)籌不同安全屬性的主體與客體之間的操作關(guān)系，體現(xiàn)在：(1)控制安全域內(nèi)或者安全域間主體對(duì)網(wǎng)絡(luò)相關(guān)資源訪問(wèn)關(guān)系，確保對(duì)重要資源的訪問(wèn)的安全、可靠、有效；(2)對(duì)即將發(fā)生、正在進(jìn)行或者已經(jīng)發(fā)生網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全域進(jìn)行隔離，以方便對(duì)其進(jìn)行安全增強(qiáng)、有效隔離或者評(píng)估治理，防止攻擊進(jìn)一步擴(kuò)散。本文按照業(yè)務(wù)系統(tǒng)所處理的信息的涉密程度將網(wǎng)絡(luò)進(jìn)行等級(jí)劃分，為安全核心域、內(nèi)部服務(wù)域和公共服務(wù)域。

·安全核心域：將網(wǎng)絡(luò)中涉及業(yè)務(wù)系統(tǒng)核心的業(yè)務(wù)、通信、身份認(rèn)證等相關(guān)信息資源和行為主體歸為安全核心域，為整個(gè)網(wǎng)絡(luò)中最核心的區(qū)域。

·內(nèi)部服務(wù)域：主要為內(nèi)部工作環(huán)境提供基礎(chǔ)支撐，有基礎(chǔ)的文檔服務(wù)器、web服務(wù)器、內(nèi)部郵件服務(wù)器等。

·公共服務(wù)域：主要是對(duì)外業(yè)務(wù)相關(guān)的服務(wù)需求，包括相關(guān)的服務(wù)器和基礎(chǔ)認(rèn)證設(shè)施。

為方便對(duì)各密級(jí)網(wǎng)絡(luò)進(jìn)行管理，進(jìn)一步實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的控制和隔離，特別是實(shí)現(xiàn)對(duì)安全域內(nèi)部安全問(wèn)題的處理，將各安全域進(jìn)一步進(jìn)行劃分為安全管理子域、安全用戶子域、安全資源子域、安全聯(lián)接子域、安全服務(wù)子域和安全隔離子域，以達(dá)到對(duì)網(wǎng)絡(luò)分重點(diǎn)、分層次的安全等級(jí)防護(hù)。

·安全管理子域：包括網(wǎng)絡(luò)管理、安全運(yùn)維、配置管理、審計(jì)、認(rèn)證、監(jiān)控等管理職責(zé)內(nèi)的硬件及軟件系統(tǒng)。

·安全用戶子域：包括所有需要訪問(wèn)安全計(jì)算子域、安全服務(wù)子域的各類(lèi)客戶端和終端。

·安全資源子域：是業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)的關(guān)鍵域，由業(yè)務(wù)主機(jī)、相關(guān)數(shù)據(jù)庫(kù)、存儲(chǔ)系統(tǒng)等構(gòu)成。

·安全聯(lián)接子域：由路由器、交換機(jī)、VPN等網(wǎng)絡(luò)設(shè)備以及相關(guān)的安全設(shè)備構(gòu)成。

·安全服務(wù)子域：為合法授權(quán)用戶提供各類(lèi)網(wǎng)絡(luò)服務(wù)。

·安全隔離子域：為實(shí)現(xiàn)安全隔離，對(duì)受攻擊的某區(qū)域進(jìn)行隔離治理，以及對(duì)內(nèi)部相關(guān)非法用戶進(jìn)行隔離審查，是實(shí)現(xiàn)安全治理的重要手段。

4) 屬性值域。屬性值域是預(yù)先制定的，將主體屬性值、客體屬性值和網(wǎng)絡(luò)環(huán)境屬性值與安全域進(jìn)行對(duì)應(yīng)，同時(shí)作為基準(zhǔn)以便自適應(yīng)調(diào)整安全域劃分。根據(jù)本文給出的安全域定義，結(jié)合所給出的安全域劃分模型，表1給出屬性值與安全域?qū)?yīng)關(guān)系。

表1　屬性值與安全域?qū)?yīng)關(guān)系

其中，集合U、P、Q分別表示三個(gè)不同的值域，并且滿足U≠?,P≠?,Q≠?且U∩P=?,U∩Q=?,P∩Q=?。

而對(duì)安全子域，規(guī)定核心域的主體和客體不下調(diào)至內(nèi)部服務(wù)域和公共服務(wù)域的相關(guān)子域，而是動(dòng)態(tài)調(diào)整到安全核心域的安全隔離子域中，以防止信息泄露。因此，對(duì)于各安全域中的安全子域與相關(guān)屬性值有如表2所示的對(duì)應(yīng)關(guān)系。

表2　屬性值與安全子域?qū)?yīng)關(guān)系

5) 響應(yīng)。響應(yīng)是進(jìn)行安全域劃分和動(dòng)態(tài)調(diào)整的過(guò)程，在數(shù)據(jù)分析處理的基礎(chǔ)上，將所得的屬性信息與屬性值域進(jìn)行映射，對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的安全域劃分。

該模型的核心是持續(xù)的監(jiān)控，通過(guò)對(duì)監(jiān)控所得數(shù)據(jù)進(jìn)行屬性提取，分析對(duì)比屬性值域，進(jìn)而進(jìn)行系統(tǒng)響應(yīng)。為了縮短系統(tǒng)響應(yīng)時(shí)間，實(shí)時(shí)發(fā)現(xiàn)屬性信息變化即響應(yīng)，發(fā)現(xiàn)威脅即隔離控制，將數(shù)據(jù)收集、數(shù)據(jù)分析處理和響應(yīng)三個(gè)部分進(jìn)行整合為安全域?qū)傩员O(jiān)控器，由其實(shí)現(xiàn)此三部分的功能。

4　安全域?qū)傩员O(jiān)控器

4.1需求分析

由于信息、信息載體和信息環(huán)境隨時(shí)間不斷變化，網(wǎng)絡(luò)業(yè)務(wù)不斷拓展、新的未知的威脅不斷持續(xù)，網(wǎng)絡(luò)外部攻擊和內(nèi)部攻擊使得網(wǎng)絡(luò)安全不再是一個(gè)常態(tài)，因而，安全域劃分不應(yīng)該是一成不變，而是以動(dòng)態(tài)、實(shí)時(shí)的調(diào)整來(lái)完善劃分邏輯。為了能夠?qū)崟r(shí)掌握安全域中主體、客體的屬性變化和安全域網(wǎng)絡(luò)環(huán)境的變化情況，引入屬性監(jiān)控器[18]，通過(guò)持續(xù)監(jiān)控對(duì)各主體和客體以及域本身相關(guān)安全屬性進(jìn)行跟蹤監(jiān)視，為安全域自適應(yīng)調(diào)整提供依據(jù)。依據(jù)本文給出的安全域定義，對(duì)安全域的相關(guān)屬性監(jiān)控需求為：

1) 主體監(jiān)控：對(duì)本安全域的主體屬性、其他域的主體對(duì)本安全域的資源的使用情況進(jìn)行監(jiān)控，通過(guò)監(jiān)測(cè)本安全域的主體屬性的相關(guān)變化、是否有違規(guī)操作、越權(quán)訪問(wèn)等，為動(dòng)態(tài)安全域劃分提供依據(jù)。

2) 客體監(jiān)控：對(duì)本安全域的所有資產(chǎn)屬性進(jìn)行監(jiān)控，以便于實(shí)時(shí)調(diào)整安全域劃分結(jié)構(gòu)。

3) 外部環(huán)境監(jiān)控：監(jiān)控安全域外部環(huán)境，主要監(jiān)控包括其他域內(nèi)用戶訪問(wèn)是否合法、是否存在漏洞、是否存在病毒等。

4) 內(nèi)部環(huán)境監(jiān)控：域內(nèi)環(huán)境進(jìn)行監(jiān)控，實(shí)時(shí)監(jiān)測(cè)流量信息、網(wǎng)絡(luò)硬件設(shè)備工作情況和其他網(wǎng)絡(luò)結(jié)構(gòu)增減情況，以及內(nèi)部軟件的漏洞信息、病毒信息等。

4.2設(shè)計(jì)目標(biāo)

為提高安全域的聯(lián)通能力、動(dòng)態(tài)擴(kuò)展等能力，屬性監(jiān)控器設(shè)計(jì)目標(biāo)為：

1) 不同安全域的監(jiān)控器應(yīng)該能進(jìn)行信息互聯(lián)，將相應(yīng)的網(wǎng)絡(luò)變化進(jìn)行共享，提高協(xié)同能力。

2) 能夠?qū)τ騼?nèi)的相關(guān)設(shè)備的動(dòng)態(tài)加入或刪除進(jìn)行相應(yīng)的調(diào)整，及時(shí)進(jìn)行監(jiān)控。

3) 監(jiān)控是主動(dòng)的監(jiān)控而不是被動(dòng)的信息收集。

4) 要能夠?qū)ΡO(jiān)控的數(shù)據(jù)進(jìn)行預(yù)處理，使其符合一定的數(shù)據(jù)格式。

5) 對(duì)相關(guān)屬性變化能夠做到及時(shí)響應(yīng)，自適應(yīng)調(diào)整安全域劃分邏輯結(jié)構(gòu)。

4.3安全域?qū)傩员O(jiān)控器設(shè)計(jì)

安全域?qū)傩员O(jiān)控器可分為數(shù)據(jù)收集層、數(shù)據(jù)處理層、通信層、自適應(yīng)響應(yīng)層和屬性數(shù)據(jù)庫(kù)。其中，數(shù)據(jù)收集層用于收集監(jiān)控范圍內(nèi)的相關(guān)屬性數(shù)據(jù)，數(shù)據(jù)處理層對(duì)收集的數(shù)據(jù)進(jìn)行處理，通信層將本域的相關(guān)變化信息與其他安全域進(jìn)行共享，自適應(yīng)響應(yīng)層是實(shí)現(xiàn)安全域自適應(yīng)調(diào)整的核心，通過(guò)屬性數(shù)據(jù)收集和處理，并且與其他域進(jìn)行信息交換，充分掌握安全域內(nèi)外的相關(guān)屬性變化，完成安全域的動(dòng)態(tài)調(diào)整，屬性數(shù)據(jù)庫(kù)用于存儲(chǔ)各類(lèi)屬性信息，以及屬性值列表，作為對(duì)響應(yīng)模塊的信息支撐。具體分層模型如圖2所示。

圖3　數(shù)據(jù)收集核心業(yè)務(wù)流程

1) 數(shù)據(jù)收集層。通過(guò)在安全域中部署屬性監(jiān)控器，對(duì)域內(nèi)的主體、客體和域內(nèi)外的網(wǎng)絡(luò)環(huán)境的相關(guān)數(shù)據(jù)進(jìn)行收集，從漏洞信息、補(bǔ)丁更新、各類(lèi)日志和事件、用戶相關(guān)信息、技術(shù)更新、病毒信息、操作系統(tǒng)信息等進(jìn)行全面監(jiān)控和數(shù)據(jù)收集。下面給出數(shù)據(jù)收集的核心業(yè)務(wù)流程，如圖3所示。

2) 數(shù)據(jù)處理層。通過(guò)對(duì)數(shù)據(jù)收集層收集的數(shù)據(jù)進(jìn)行篩選提取和分類(lèi)，得出主體屬性矩陣SATTR、客體屬性矩陣OATTR和網(wǎng)絡(luò)環(huán)境屬性矩陣EATTR。再結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)IP、相關(guān)權(quán)威機(jī)構(gòu)發(fā)布的威脅情報(bào)Info、通信層共享信息Message以及安全策略Policy對(duì)數(shù)據(jù)進(jìn)行分析、評(píng)估，得到屬性值表達(dá)式，該表達(dá)式包含了屬性類(lèi)別type、所屬子域信息id和屬性值v。給出數(shù)據(jù)處理核心代碼如下所示：

算法: Attribute_get(SATTR,OATTR,EATTR,IP,Info,Messgage,Policy)

輸入: 主體屬性矩陣SATTR,客體屬性矩陣OATTR,網(wǎng)絡(luò)環(huán)境屬性矩陣EATTR

輸出: 屬性表達(dá)式SATTR=[type,id,sv]、OATTR=[type,id,ov]、EATTR=[type,id,ev]

1定義SATTR、OATTR、EATTR為三元組集合初始值均為空

2對(duì)于主體屬性矩陣SATTR=[Role,Mission]

3sv=Role→Mission;

4If(sv=M_SATTR_sv)

5SATTR_type=get(IP,Info,SATTR);

6SATTR_id=get(IP,Policy,SATTR);

7Else SATTR=M_SATTR;

8對(duì)于客體屬性矩陣OATTR=[Confidentiality,Integrity,Avaibility,Recovery]

9c=Confidentiality(),i=Integrity(),a=Availabilty(),r=Rocovery();

10ov=c×i×a×r;

11If(ov=M_OATTR_ov)

12OATTR_type=get(IP,Info,OATTR);

13OATTR_id=get(IP,Policy,OATTR);

13Else OATTR=M_OATTR;

15對(duì)于網(wǎng)絡(luò)環(huán)境屬性矩陣EATTR=[Channal,Threat,Vulnerability,Stabilty]

16ch=Channal(),t=Threat(),v=Vulnerability(),s=Stability();

17ov=ch×t×v×s;

18If(ov=M_EATTR_ov)

19EATTR_type=get(IP,Info,EATTR);

20EATTR_id=get(IP,Policy,EATTR);

21Else EATTR=M_EATTR;

22返回SATTR[],OATTR[],EATTR[]

3) 自適應(yīng)響應(yīng)層。當(dāng)接收到數(shù)據(jù)處理層上傳的屬性值表達(dá)式后，得到屬性類(lèi)別、子域信息和屬性值，通過(guò)對(duì)屬性數(shù)據(jù)庫(kù)進(jìn)行信息檢索，對(duì)該屬性類(lèi)別的屬性值進(jìn)行屬性值域匹配檢索，若該屬性值滿足當(dāng)前子域的屬性值域則只進(jìn)行信息更新；若不滿足則進(jìn)行屬性值域檢索，確認(rèn)新的屬性值域，并對(duì)其進(jìn)行安全域調(diào)整。自適應(yīng)響應(yīng)的核心流程如下：

圖4　監(jiān)控響應(yīng)流程

4) 通信層。當(dāng)自適應(yīng)響應(yīng)層確認(rèn)安全域內(nèi)發(fā)生屬性值變化且進(jìn)行了安全域調(diào)整，則對(duì)該變化進(jìn)行公告，通過(guò)專用信道進(jìn)行各安全域?qū)傩员O(jiān)控器信息共享。為方便其他安全域?qū)νㄐ判畔⑦M(jìn)行處理存儲(chǔ)，統(tǒng)一定義通信格式M=[Time,IDsd,SATTR,OATTR,EATTR]，其中，Time表示變更時(shí)間。

5　結(jié)語(yǔ)

安全域劃分是網(wǎng)絡(luò)安全防護(hù)的重要技術(shù)，是防護(hù)內(nèi)部網(wǎng)絡(luò)攻擊主要手段，本文通過(guò)設(shè)計(jì)一種安全域?qū)傩员O(jiān)控器來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全域自適應(yīng)劃分，通過(guò)對(duì)監(jiān)控過(guò)程產(chǎn)生的大量數(shù)據(jù)進(jìn)行屬性提取，并進(jìn)行相應(yīng)的響應(yīng)，以達(dá)到安全域自適應(yīng)劃分和控制內(nèi)部威脅漫延的目標(biāo)。而對(duì)網(wǎng)絡(luò)實(shí)時(shí)的監(jiān)控將產(chǎn)生海量的數(shù)據(jù)，而如何高效地對(duì)這些數(shù)據(jù)進(jìn)行屬性提取和相應(yīng)的屬性分析以及對(duì)安全域?qū)傩员O(jiān)控器進(jìn)行算法實(shí)現(xiàn)將是下一步的研究重點(diǎn)。

[1] GB/T 25058-2010, 信息安全技術(shù).信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南[S].

[2] 周寧,張之剛,馬建偉,等.基于本體和語(yǔ)義規(guī)則的信息系統(tǒng)安全域劃分[J].計(jì)算機(jī)工程與應(yīng)用,2015(3):103-108.

[3] 羅俊.一種基于安全域的網(wǎng)絡(luò)信息系統(tǒng)安全性評(píng)估方法[J].通信技術(shù),2014(2):210-214.

[4] 吳金鵬.業(yè)務(wù)型安全域劃分方法研究和案例分析[D].重慶:重慶大學(xué),2008.

[5] 姚興.GPRS業(yè)務(wù)系統(tǒng)安全域劃分[D].烏魯木齊:內(nèi)蒙古大學(xué),2012.

[6] 翟勝軍.談分級(jí)保護(hù)網(wǎng)絡(luò)中的安全域劃分[J].保密科學(xué)技術(shù),2011(10):15-17,21.

[7] 張海亮.威脅型安全域劃分指標(biāo)及方法的研究和案例分析[D].重慶:重慶大學(xué),2007.

[8] 洪大翔.基于本體的信息系統(tǒng)安全域劃分的研究與應(yīng)用[D].重慶:重慶大學(xué),2014.

[9] 艾鵬.基于PPDRR與GRL模型的安全域劃分度量方法研究[D].重慶:重慶大學(xué),2012.

[10] 劉曉峰,譚彬,邱嵐,等.網(wǎng)絡(luò)安全域自動(dòng)核查分析技術(shù)及應(yīng)用[J].電信科學(xué),2015(1):177-181.

[11] 王明強(qiáng).河南移動(dòng)網(wǎng)管支撐系統(tǒng)安全域優(yōu)化及實(shí)施方案設(shè)計(jì)[D].北京:北京郵電大學(xué),2010.

[12] 向宏,向慶華,吳金鵬.一種定量劃分網(wǎng)絡(luò)信息系統(tǒng)安全域的方法[J].重慶工學(xué)院學(xué)報(bào)(自然科學(xué)版),2008(10):117-120,134.[13] 林莉,懷進(jìn)鵬,李先賢.基于屬性的訪問(wèn)控制策略合成代數(shù)[J].軟件學(xué)報(bào),2009(2):403-414.

[14] 王小明,付紅,張立臣.基于屬性的訪問(wèn)控制研究進(jìn)展[J].電子學(xué)報(bào),2010(7):1660-1667.

[15] National Security Agency. Information Assurance guidance for each each of the Defense in Depth focus areas[R]. NSA, 2001.https://www.iad.gov/library/iatf.cfm, 2015-03-24.

[16] Shen Ping Ping. An improved model of distributed network information security[C]//2010 International Conference in Educational and Information Technology,2010:V3-391-V3-393.

[17] NIST. Framework for Improving Critical Infrastructure Cybersecurity[R]. NAST,2014,12.

[18] 高燕燕.基于通用屬性庫(kù)的跨域訪問(wèn)控制[D].鄭州:鄭州大學(xué),2014.

Security Domain Adaptive Classification Method Based On Attribute Monitoring Research

HAN Qingde1XIE Hui1NIE Feng2

(1.Department of Information Security, Naval University of Engineering, Wuhan430033)(2.Division of Communication, China People’s Armed Police Corps in Shandong Province, JiNan250000)

Security domain classification, as one of the important ways to protect information security levels, its purpose is to pertinently advance security protections which have an emphasis and difference, through dividing security domain to delaminate network security issues, the extensive complex network structure is decomposed to domain type security protection issues. Due to the complex network structure and rising business demand, the security domain classification is no longer the same, it is a long-term dynamic process. This paper presents a method of domain adaptive classification based on attribute monitoring. Firstly, the definability of the security domain attribute is given. Secondly the model of the cycle of monitor and respond is found out. Finally, an attribute monitor of security domain is designed, via continuous monitoring on subject attribute, object attribute and network environment attribute, proceeding date analyzing in real time, adaptive dividing security domain.

attribute monitoring, divide security domain, adaptive

2016年4月5日,

2016年5月17日

韓清德,男,碩士研究生,研究方向：網(wǎng)絡(luò)安全。謝慧,女,碩士,副教授,研究方向：網(wǎng)絡(luò)安全。聶峰,男,碩士,研究方向：通信網(wǎng)絡(luò)安全。

TP393

10.3969/j.issn.1672-9730.2016.10.024