面向能力的航天業務網信息系統安全需求分析方法

郭志亮， 楊勃航， 楊寶軍， 董文文， 黃博華

(中國人民解放軍63780部隊，海南 三亞 572000)

隨著我國航天科技的飛速發展，航天業務網作為航天試驗任務的網絡承載平臺，承擔著數據、語音、視頻、文件等各類業務信息的傳遞任務，目前已發展成為全覆蓋、多方向、高帶寬的一體化大型科研試驗通信專用網絡。由于航天業務網在設計之初主要從滿足科研試驗通信功能性需求出發，信息安全規劃與網絡防護能力需求考慮不足，且航天業務網的體系結構復雜、業務應用綜合、信息流量巨大，網絡信息系統面臨著較為嚴重的安全威脅[1]。

信息安全的定義是要保護信息的保密性、完整性和可用性[2]。信息常常作為安全的最終保護對象，而信息的最終目的是為了支持業務運行。信息系統包括信息、信息處理的相關活動、支持活動運行的功能、活動的執行者、支持信息處理以及功能的載體等，因此信息系統的概念要遠比信息的概念寬泛。信息系統安全是指通過安全措施的實施，以滿足信息系統安全需求，使得信息系統能夠安全平穩地完成其使命的狀態[3]。

雖然信息安全問題越來越受到人們的重視，相關信息安全研究與建設正在不斷開展，但信息系統安全需求工作一直沒有得到應有的關注[4]。隨著近年來航天測控領域軍民融合深度發展[5]，信息安全公司不斷為航天業務網信息系統提供各類功能豐富的安全產品與服務，但由于缺乏對信息系統安全需求的識別與歸納，難以實現安全投入的高效費比。當前針對安全需求的研究主要包括分析建模理論研究[6-8]和特定信息系統應用研究[9-13]。文獻[7]給出了安全需求分析過程中的安全危險性分析模型和安全需求描述的方法；文獻[8]把計算機網絡與安全相關的系統資源和安全因素抽取出來建立一種面向安全性的安全模型，但分析建模理論研究難以被用戶理解和掌握。文獻[9]～文獻[13]分別針對特定的生產、指揮、電力、云計算以及IoT等信息系統來分析安全需求并給出分析方法，具備較強的操作性。以上研究均面向安全威脅來進行描述，而安全威脅隨著技術進步迅速變化發展，難以有效確定和應對。文獻[14]從信息安全等級保護的角度來研究軟件安全需求，但信息安全等級保護是通用的體系標準，無法準確描述特定信息系統的安全需求。

本文介紹了信息系統安全需求分析研究現狀，針對航天業務網信息系統特點，提出了一種面向能力的航天業務網信息系統安全需求分析方法，并對某個區域節點信息系統進行了分析應用。該方法可識別歸納信息系統的安全需求，為后續信息系統安全建設提供參考依據。

1 航天業務網安全現狀

我國航天業務網是以TCP/IP技術為核心構建的IP網絡，經過近年來不斷的建設發展，逐步形成了各種航天測控資源綜合利用、配置優化可靠的大型科研試驗專網[15]。航天技術的迅猛發展以及網絡安全形勢的不斷變化，對航天業務網提出了更高的安全要求。

① 滿足多樣化職能任務的安全要求。不僅滿足傳統測控數據的傳遞處理安全，還要滿足擴展職能的安全。

② 滿足數據流精細化管控的要求。航天業務網交互方向眾多，對數據流需要精確識別管控才能防范安全風險。

③ 滿足網絡安全運維管理智能化要求。隨著航天業務網不斷建設發展，傳統網絡安全運維模式難以適應復雜大規模網絡特性，需要通過創新型安全運維技術提高效率。

航天業務網在“十三五”期間不斷強化信息安全投入，初步形成了具有特色的信息安全防護體系，主要包括信息安全防護、信息安全管理與服務和密碼支撐三大部分。其中，信息安全防護通過綜合應用各類安全技術實現信息系統的邊界防護、網絡監測、終端防護；信息安全管理與服務為全網提供統一的安全態勢監控、安全設備管理、安全策略制定、安全審計分析等管理與服務功能；密碼支撐主要包括傳輸加密、身份認證等功能。系統組成如圖1所示。但是隨著信息安全環境的日益嚴峻和惡化，現有航天業務網信息安全防護體系存在一定的差距與不足，主要表現在：安全防護體系不夠完整，存在薄弱環節，安全防護能力較弱；安全運維體系不夠完善，缺乏自動化、智能化運維能力；安全創新技術應用不夠廣泛，難以應對新型網絡安全威脅。

圖1 信息安全系統組成圖

2 安全需求分析方法

2.1 基本原理

面向能力的需求開發機制最早運用在軍事領域，如美軍的JCIDS(聯合能力集成與開發系統)，其基本的軍事裝備研制建設思想是“作戰概念指導、能力需求牽引”，強調作戰體系形成“與生俱來”的聯合性，滿足網絡中心化聯合作戰的能力需求。傳統的網絡信息系統安全需求分析方法是通過識別安全威脅，采用打補丁的方式進行網絡安全防護，但該方法存在一些先天性的不足：① 威脅的獨立性，通過威脅識別安全需求缺乏全局視圖，難以形成縱深防御體系；② 威脅的不確定性，防御總是處于被動地位，難以有效應對新型的安全威脅；③ 以應對威脅為目的的安全防護體系，由于未能充分結合業務需求，難以合理安排投入，效費比不足。面向能力的安全需求分析與信息系統承擔的職能任務緊密結合，以能力建設為主線，以威脅應對為輔助，從全局的角度來審視網絡安全問題，形成更加科學合理的安全需求結論，以此指導后續網絡防護體系建設。

2.2 分析步驟

面向能力的信息系統安全需求方法首先根據航天業務網信息系統所承擔的職能，確定能力主線并細化能力目標，以此作為安全需求分析的基礎；再逐項分析滿足該能力的CIA(保密性、完整性、可用性)屬性，確定其所需安全資源；然后根據安全資源需求頻次以及承擔業務職能的優先級確定權值，確定安全資源需求優先級；最后整理形成信息系統安全需求列表，并迭代分析是否滿足信息系統業務能力，持續加強與改進。需求分析步驟如圖2所示。

圖2 面向能力的信息系統安全需求分析步驟

2.3 形式化描述

信息系統所承擔的職能是在系統規劃設計時期確定的，并隨著系統建設與運行不斷演進完善。信息系統職能是安全需求分析的起點和基礎，通常情況下可以通過能力集合來表示。其中，單個能力又可以細化為具體的能力目標，因此信息系統能力可以表示為

Capability=(T1,T2,…,Tn)

(1)

從安全的角度考慮，信息系統的每一種能力目標均需要耗費一定的安全資源，以滿足其CIA屬性，可以定義能力目標T的安全需求為

RequirementT=(CT,IT,AT)

(2)

式中，CT為能力目標T對應的保密性，即信息系統滿足T的情況下信息不被非法傳遞的安全屬性；IT為能力目標T對應的完整性，即信息系統滿足T的情況下信息不被非法篡改的安全屬性；AT為能力目標T對應的可用性，即信息系統滿足T的情況下系統能夠穩定運行安全屬性。

安全資源在信息系統中是由具體的實體組成，通常情況下主要包括安全設備D、安全策略P、運維管理O等安全子項。其中D為固定資產，P為動態規則，O為制度規范，第i項安全需求對應的安全資源具體可以表示為

Resourcei=(Di,Pi,Qi)

(3)

由以上分析可知，從能力目標T分析得出安全資源需求Resource是分析過程的核心環節，為此給出安全需求推理機模型，如圖3所示。首先依據安全威脅、技術發展以及專家經驗形成了安全資源集，再對特定的能力目標T進行CIA屬性分析，并逐項判斷安全資源集的條目是否滿足安全屬性要求，如果滿足則加入Resource集，直至安全資源集遍歷完成。

圖3 安全需求推理機模型

根據信息系統承擔職能的重要程度，可以對能力目標T進行定量賦值，ValueT用于衡量T的重要性，賦值參考標準如表1所示。

表1 能力目標賦值標準

由于不同的能力目標T對應的Resource集可能存在交集重疊部分，重疊數高的安全子項且ValueT高對應的Resource集可認為是重要的，將ResourceT與ValueT相乘后匯總，統計各安全子項重疊數，即可形成安全設備、安全策略、運維管理的安全資源全集DPO，表示為

(4)

式中，α，β，γ分別為不同安全子項的重疊數。

最后通過對重疊數的歸一化處理，即可得出每個安全子項的權重值W，安全需求列表SRL，表示為

(5)

SRL形成后，可依據信息安全等級保護標準進行第三方專家評審，也可根據信息系統能力擴展、信息安全形勢發展等條件進行迭代更新，最后用于指導信息系統安全建設，不斷提高安全防護能力。

3 應用研究

3.1 信息系統能力分析

以某區域中心航天業務網信息系統為例，分析該系統的安全需求。該區域中心承擔航天發射測控以及各類衛星載荷應用數據的接收與傳輸任務，數據種類多樣，通信方向眾多，傳輸穩定性、時效性要求較高。通過專家咨詢與用戶調查，從業務能力、裝備能力、運維能力3個方面對該信息系統的能力目標進行分析，形成能力目標集如圖4所示。

圖4 某區域中心信息系統能力目標集示意圖

3.2 安全資源需求分析

以“衛星發射測控數據的安全傳輸”能力目標T1為例，通過分析其CIA屬性，結合經驗與技術推理得出所需的安全資源。由于衛星發射測控數據具有時效性強、不可逆，且影響域廣泛等特性，對信息系統安全性具有非常高的需求，CIA屬性如表2所示。

表2 能力目標T1安全屬性

通過安全需求推理機模型，在前期收集整理網絡安全資源的基礎上，形成了能力目標T1所需的網絡安全資源集如圖5所示，其中[C.1]表示該資源滿足保密性第一條屬性。

圖5 能力目標對應安全資源集示意圖

3.3 安全資源優先級確定

通過對每個能力目標T進行安全資源需求分析，匯總整理后統計各個安全子項的重疊數，并進行max-min歸一化處理，即可得出安全需求列表，權值越高，表明該安全子項的覆蓋度越廣、重要性越高。后續通過迭代分析，識別安全需求列表是否滿足所有的業務能力，并定期進行迭代更新，持續改進。安全需求列表如表3所示。

表3 安全需求列表

3.4 有效性評估

相較于傳統安全需求分析方法，本文提出的方法從能力需求分析到安全資源確定，分析步驟較為明確清晰，形成了確定優先級的安全資源需求列表，是一種系統的分析方法。兩種方法特性對比如表4所示，傳統方法近似采用隨機的方法進行設備選取，而本文方法優先選取高優先級的安全設備。

表4 兩種需求分析方法特性對比

采用覆蓋度指標來對比評估安全需求分析方法的有效性，即在總投資一定的前提下，比較傳統方法與本文提出的方法分析得出的安全設備對信息系統的安全保護覆蓋度高低。為便于比較，以表3中的安全設備為全集，且不考慮具體設備之間的價格差異，以設備數量代替投資值。例如：假定安全設備集總數量為n,安全設備投資值為m，傳統方法使用函數random(m,n)選取安全設備，本文方法則選取優先級前m個安全設備。覆蓋度計算以某安全設備對信息系統能力目標的有效保護為準，有效記1分，無效記0分，得分較高表示該安全設備具備更廣泛的保護能力。最后逐項累加并歸一化處理，得出投資值與覆蓋度的關系如圖6所示。

由圖6可以看出，隨著投資值不斷下降，兩種方法選取的安全設備覆蓋度均呈下降態勢，但本文方法選取設備的覆蓋度優勢一直保持，表明該方法能夠有效提高安全設備選取的科學性。

圖6 兩種方法安全保護覆蓋度比較示意圖

4 結束語

針對航天業務網信息系統安全現狀，提出了一種面向能力的信息系統安全需求分析方法。該方法以信息系統承擔職能為起點，通過信息系統能力分析、安全資源需求分析、安全資源優先級確定等過程，分析得出信息系統的安全需求。相較于傳統面向威脅的安全需求分析方法，面向能力的安全需求分析方法更具有針對性，更加能夠反映信息系統安全管理的目標。最后在航天業務網某區域中心信息系統進行了實際應用與評估，驗證了該方法的可行性。

本文給出的安全需求分析方法重點突出了安全資源需求，在指導工程實踐方面仍存在一定的局限性，后續將加強網絡安全架構的設計等問題的研究，通過更加系統和完善的方法提高信息系統安全性。