吳志國(guó)1,沈熠1,湯淇2,張玉軍3
?。?. 上海大學(xué) 計(jì)算中心,上海 200444;2.上海大學(xué) 計(jì)算機(jī)工程與科學(xué)學(xué)院,上海200444;3.蘇州裕茂機(jī)電工程技術(shù)有限公司,江蘇 蘇州 215000)
摘要:袁文浩等人提出了根據(jù)《信息系統(tǒng)安全保障評(píng)估框架標(biāo)準(zhǔn)》將等級(jí)保護(hù)要求作為分論斷建模的理論。本文在此基礎(chǔ)上,依據(jù)等保測(cè)評(píng)工作的經(jīng)驗(yàn)和技術(shù)搜集,增加了最底層分論斷到直接證據(jù)的建模,完成了基于確保案例模型的網(wǎng)絡(luò)邊界測(cè)評(píng)的建模,并創(chuàng)造性地提出了將網(wǎng)絡(luò)邊界測(cè)評(píng)工作模板化的方法,將測(cè)評(píng)工作分為技術(shù)檢查、訪談和文檔確認(rèn)工作,給出了3個(gè)模板表,進(jìn)一步拓展了等保測(cè)評(píng)發(fā)展的思路。
關(guān)鍵詞:等級(jí)保護(hù);網(wǎng)絡(luò)邊界測(cè)評(píng);確保案例;模板
中圖分類號(hào):TP23文獻(xiàn)標(biāo)識(shí)碼:ADOI: 10.19358/j.issn.16747720.2016.24.001
引用格式:吳志國(guó),沈熠,湯淇,等. 基于確保案例模型的網(wǎng)絡(luò)邊界測(cè)評(píng)模板化[J].微型機(jī)與應(yīng)用,2016,35(24):1-4,7.
0引言
《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 222392008)指出[1],信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。我國(guó)的信息安全等級(jí)保護(hù)共分為自主、指導(dǎo)、監(jiān)督、強(qiáng)制、???個(gè)保護(hù)級(jí)。本文指出信息安全等級(jí)保護(hù)中網(wǎng)絡(luò)邊界測(cè)評(píng)和測(cè)評(píng)中存在的問(wèn)題,介紹了確保案例模型,描述對(duì)信息安全等級(jí)保護(hù)的網(wǎng)絡(luò)邊界測(cè)評(píng)部分進(jìn)行確保案例模型的建模過(guò)程。
1等級(jí)保護(hù)網(wǎng)絡(luò)邊界測(cè)評(píng)
1.1網(wǎng)絡(luò)邊界測(cè)評(píng)
根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》和《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》的規(guī)定,信息安全等級(jí)測(cè)評(píng)是由公安部指定的有資質(zhì)的第三方進(jìn)行的測(cè)評(píng)。而網(wǎng)絡(luò)邊界測(cè)評(píng)是信息安全等級(jí)保護(hù)測(cè)評(píng)的一部分,是測(cè)評(píng)項(xiàng)中和網(wǎng)絡(luò)邊界有關(guān)的內(nèi)容。信息安全等級(jí)保護(hù)分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和安全管理等六個(gè)部分。網(wǎng)絡(luò)邊界安全的測(cè)評(píng)內(nèi)容只和網(wǎng)絡(luò)安全、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理三個(gè)部分有關(guān),其測(cè)評(píng)內(nèi)容包括技術(shù)安全和管理安全、運(yùn)維安全等?,F(xiàn)階段的等級(jí)保護(hù)網(wǎng)絡(luò)邊界測(cè)評(píng)主要依賴測(cè)評(píng)師的個(gè)人經(jīng)驗(yàn),而由于測(cè)評(píng)師的技術(shù)水平和工作經(jīng)驗(yàn)差別較大,加上各個(gè)企業(yè)的網(wǎng)絡(luò)邊界安全建設(shè)情況不盡相同,網(wǎng)絡(luò)邊界測(cè)評(píng)的質(zhì)量很難得到保障。
1.2相關(guān)研究
在對(duì)信息安全等保測(cè)評(píng)方法的研究上,華東理工大學(xué)的袁文浩等人提出了CAE(ClaimArgumentEvidence)模型,根據(jù)《信息系統(tǒng)安全保障評(píng)估框架標(biāo)準(zhǔn)》,將等級(jí)保護(hù)測(cè)評(píng)工作按照標(biāo)準(zhǔn)中的測(cè)評(píng)項(xiàng)進(jìn)行模型分解,但他們只提出了相關(guān)概念,沒有結(jié)合等級(jí)保護(hù)實(shí)際的測(cè)評(píng)需要,也無(wú)法對(duì)單元測(cè)評(píng)內(nèi)容進(jìn)行指導(dǎo)。本文依據(jù)等級(jí)保護(hù)測(cè)評(píng)工作的經(jīng)驗(yàn)和技術(shù)搜集,增加了最底層分論斷到直接證據(jù)的建模,完成了基于確保案例模型的網(wǎng)絡(luò)邊界測(cè)評(píng)的模型構(gòu)建,將這一理論方法應(yīng)用到實(shí)際測(cè)評(píng)工作中。本文還創(chuàng)造性地提出了將網(wǎng)絡(luò)邊界測(cè)評(píng)工作模板化的方法,將測(cè)評(píng)工作分為技術(shù)檢查、訪談和文檔確認(rèn)工作并給出了3個(gè)模板表來(lái)拓展等級(jí)保護(hù)測(cè)評(píng)發(fā)展的思路。
2基于確保案例的網(wǎng)絡(luò)邊界測(cè)評(píng)建模
2.1確保案例模型
確保案例(Assurance Case)的定義是“一個(gè)特殊的關(guān)鍵性的論斷充分地闡釋了一個(gè)特定環(huán)境下有著特定應(yīng)用方向的一個(gè)系統(tǒng)的性能,同時(shí),將大量文檔性證據(jù)作為一個(gè)確定的、有效的論據(jù)證明了該論斷的正確性”[2]。系統(tǒng)的論斷以及一些證明這個(gè)論斷正確的文檔性的證據(jù)構(gòu)成了確保案例。
2.2確保案例模型的構(gòu)成
結(jié)構(gòu)化確保案例模型是一種特殊的推導(dǎo)圖,包含三種特定的元素:論斷(claim)、論據(jù)(argument)和直接證據(jù)(evidence)。圖1展示了一個(gè)標(biāo)準(zhǔn)的確保案例以及三個(gè)元素論斷、論據(jù)和直接證據(jù)之間的關(guān)系。圖中最左邊的論斷是頂層論斷,包含兩個(gè)分論斷(subclaim)。此處的論據(jù)證明如果分論斷正確,那么總的論斷也就正確。而分論斷又能分解為下一級(jí)的分論斷,它也有證據(jù)證明。這種下級(jí)證據(jù)對(duì)上級(jí)正確性的約束關(guān)系就是論據(jù)[3]。確保案例模型就是由上而下地分解論斷,然后由下而上地證明論斷正確性的推導(dǎo)模型。論據(jù)用來(lái)解釋證據(jù)怎么證明論斷或者分論斷的正確性并表示節(jié)點(diǎn)的關(guān)系。論據(jù)還可能包含引起證明失敗的原因或者失敗需采取的行為和措施。證據(jù)可能根據(jù)模型產(chǎn)生或者系統(tǒng)自動(dòng)產(chǎn)生,也可以人工去獲取。它可能是確定的信息,也可能是概率性的信息[4-5]。
3網(wǎng)絡(luò)邊界測(cè)評(píng)建模
3.1頂層論斷分解
網(wǎng)絡(luò)邊界安全涉及了網(wǎng)絡(luò)安全、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理三個(gè)部分。因此,頂層論斷經(jīng)過(guò)第一次分解后的模型如圖2所示,包含網(wǎng)絡(luò)安全要求中的網(wǎng)絡(luò)邊界安全、系統(tǒng)建設(shè)管理要求中的網(wǎng)絡(luò)邊界安全、系統(tǒng)運(yùn)維管理要求中的網(wǎng)絡(luò)邊界安全三個(gè)分論斷。
3.2逐層分解和論據(jù)生成
下面先構(gòu)建網(wǎng)絡(luò)安全要求中的網(wǎng)絡(luò)邊界安全這一分論斷的模型。根據(jù)《GB/T 22239—2008》,3級(jí)網(wǎng)絡(luò)安全要求中有13項(xiàng)涉及網(wǎng)絡(luò)邊界安全。因此這一分論斷可以分解為13個(gè)2級(jí)分論斷。下面證明“應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑”、“應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷”和“當(dāng)檢測(cè)到攻擊行為時(shí),記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警”分論斷的正確性。針對(duì)“應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑”這一論斷,依據(jù)等級(jí)保護(hù)的測(cè)評(píng)經(jīng)驗(yàn),支持該論斷的3級(jí)分論斷為“訪問(wèn)路徑上的路由設(shè)備啟用了路由協(xié)議認(rèn)證及其控制策略”,而支撐此3級(jí)論斷的直接證據(jù)就是路由器的配置信息,以Cisco設(shè)備為例,輸入show run命令,配置如圖3所示。找出能證明論斷正確的直接證據(jù)后,“應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑”這一論斷之下的模型初步建立,其他兩個(gè)2級(jí)論斷也同樣找到直接證據(jù),初步建立起來(lái)的“網(wǎng)絡(luò)安全要求中的網(wǎng)絡(luò)邊界安全”這一分論斷的模型如圖4所示?! ?/p>
分論斷和直接證據(jù)初步組成模型后,就需要將它們之間的關(guān)聯(lián)寫成論據(jù),反映出上下級(jí)之間或者同級(jí)別之間的分論斷和直接證據(jù)之間的關(guān)系。圖4中標(biāo)出了幾個(gè)典型的論據(jù)。
圖4中的論據(jù)1是最簡(jiǎn)單的論據(jù)形式。如果分論斷“訪問(wèn)路徑上的路由設(shè)備啟用了路由協(xié)議認(rèn)證及其控制策略”成立,那么分論斷“應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑”也成立,反之則不成立。論據(jù)2是一種示例型的論據(jù)。因?yàn)槁酚稍O(shè)備的提供商很多,而不同的企業(yè)也會(huì)根據(jù)各自的需要采購(gòu)和使用不同廠家的路由設(shè)備,而不同廠家的路由設(shè)備的語(yǔ)言體系和配置方式也不完全相同,沒有辦法或者說(shuō)沒有必要去窮舉出所有的路由設(shè)備的配置。下面是遇到Cisco設(shè)備的圖4論斷“網(wǎng)絡(luò)安全要求中的網(wǎng)絡(luò)邊界安全”的確保案例模型示例。若檢查結(jié)果成立,那么分論斷“訪問(wèn)路徑上的路由設(shè)備啟用了路由協(xié)議認(rèn)證及其控制策略”成立。而如果檢查的設(shè)備是其他廠商的路由設(shè)備,只要其配置等同于列出的Cisco設(shè)備所顯示的配置,即配置的功能相同,則分論斷也同樣成立。論據(jù)3和4是組合型的論據(jù)。表面上分論斷“應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷”由終端的控制和交換機(jī)閑置端口的關(guān)閉兩個(gè)分論斷所支持,它們的邏輯關(guān)系就是“與”或“或”。但是這兩個(gè)論斷有一定的限制關(guān)系。企業(yè)都會(huì)控制網(wǎng)絡(luò)接入來(lái)管理接入終端,而不同的企業(yè)使用不同的管理軟件和控制方式,能達(dá)到的效果和防止欺騙的能力差別很大。例如某外資銀行采用的方法是連入銀行網(wǎng)絡(luò)的終端必須在IT部門注冊(cè)和認(rèn)證,而這個(gè)終端連入網(wǎng)絡(luò)時(shí)需要員工所攜帶的動(dòng)態(tài)密碼。這樣,分論斷“應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷”應(yīng)該判斷為成立。從這個(gè)例子看出,論據(jù)4對(duì)上級(jí)分論斷的影響程度還取決于分論斷“部署終端管理軟件或采用網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)手段防止非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)”中所描述的技術(shù)水平,也就是說(shuō)判斷分論斷“部署終端管理軟件或采用網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)手段防止非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)”時(shí)不僅判斷所產(chǎn)生的結(jié)果成立與否,還要判斷是否要與分論斷“檢查交換機(jī)配置信息,所有閑置端口均已關(guān)閉”的結(jié)果相“與”。
3.3論斷與證據(jù)交叉聯(lián)系
按照上述方法構(gòu)建剩下兩個(gè)分論斷的模型。構(gòu)建這兩個(gè)分論斷模型會(huì)分解出管理文檔上和網(wǎng)絡(luò)技術(shù)上的證據(jù),需要注意的是這些網(wǎng)絡(luò)技術(shù)上的證據(jù)會(huì)與之前“網(wǎng)絡(luò)安全要求中的網(wǎng)絡(luò)邊界安全”模型中的證據(jù)有重疊。如圖5所示,將三個(gè)分論斷的模型組合,組合時(shí)要注意添加新形成的論據(jù)和一些論據(jù)的修改,然后檢查最圖5模型中不同分論斷同時(shí)指向同一證據(jù)示例終形成的模型。最后確認(rèn)論斷/分論斷、論據(jù)和證據(jù)之間關(guān)系的牢固性和充分性達(dá)到要求,這樣就完成了對(duì)“網(wǎng)絡(luò)邊界在等保要求的范圍內(nèi)安全”這一論斷的建模。
3.4生成測(cè)評(píng)模板——模板表
信息安全等級(jí)保護(hù)的現(xiàn)場(chǎng)測(cè)評(píng)有三種工作方式:技術(shù)檢查、訪談和文檔確認(rèn)。以網(wǎng)絡(luò)邊界測(cè)評(píng)為例,根據(jù)確保案例模型生成的證據(jù)項(xiàng)和等級(jí)保護(hù)工作的特點(diǎn),生成技術(shù)檢查表、訪談表和文檔確認(rèn)表的模板,如表1~3所示。
4結(jié)論
本文在袁文浩等人研究工作的基礎(chǔ)上依據(jù)等級(jí)保護(hù)測(cè)評(píng)工作的經(jīng)驗(yàn)和實(shí)際工作中的技術(shù)方法,通過(guò)實(shí)例介紹了最底層分論斷到直接證據(jù)的建模過(guò)程,完成基于確保案例模型的網(wǎng)絡(luò)邊界測(cè)評(píng)的建模,提出了一種將網(wǎng)絡(luò)邊界測(cè)評(píng)工作模板化的方法。利用此方法可以將測(cè)評(píng)工作分為技術(shù)檢查、訪談和文檔確認(rèn)工作,給出了3種工作模板表。這種基于確保案例模型的網(wǎng)絡(luò)邊界測(cè)評(píng)模板化的方法將進(jìn)一步拓展等級(jí)保護(hù)測(cè)評(píng)發(fā)展的思路?! ?/p>
參考文獻(xiàn)
[1] 袁文浩, 林家駿, 王雨. 信息安全等級(jí)保護(hù)中等級(jí)測(cè)評(píng)的 CAE 建模[J]. 計(jì)算機(jī)應(yīng)用與軟件,2012,29(10):230233.
[2] ANKRUM T S, KROMHOLZ A H. Structured assurance cases: three common standards[C]. Ninth IEEE International Symposium on HighAssurance Systems Engineering, HASE 2005, IEEE, 2005: 99108.
?。?] BLOOMFIELD R,MASERA M, MILLER A, et al. Assurance cases for security: the metrics challenge[C]. IEEE/IFIP International Conference on Dependable Systems and Networks. IEEE, 2007:807808.
[4] DJENANA C. Software assurance evidence metamodel (SAEM), OMG Document, 2010:1[J/OL].(20100201)[20160630]. http://www.omg.org/cgibin/doc?sysa/100201.
?。?] RHODES T, BOLAND F, FONG E. Software assurance using structured assurance case models[M]. Gailhersburg: US Department of Commerce: National Institute of Standards and Technology, 2009.