基于属性监控的安全域自适应划分方法研究*

韩清德　谢　慧　聂　峰

(1.海军工程大学信息安全系　武汉　430033)(2.山东武警总队通信处　济南　250000)



基于属性监控的安全域自适应划分方法研究*

韩清德1谢慧1聂峰2

(1.海军工程大学信息安全系武汉430033)(2.山东武警总队通信处济南250000)

安全域划分作为信息安全等级保护的重要手段，目的是将网络安全问题进行细化，把大规模复杂的网络系统分解为区域型安全防护问题，针对性地进行有重点、有区别的安全防护。针对简单一次性的安全域划分方法无法适应日愈复杂的网络结构和不断增长的业务需求，提出基于属性监控的安全域划分方法。首先给出安全域定义，研究安全域基本构成元素，建立相应的属性值域来划分安全域。并且引入属性监控器来对网络中相关属性进行全面监控，通过监控所反馈的属性变化信息对网络进行动态调整，达到控制安全域内或者安全域间主体对网络相关资源访问关系；确保对重要资源的访问的安全、可靠、有效；对即将发生、正在进行或者已经发生网络攻击的网络安全域进行隔离，以方便对其进行安全增强、有效隔离或者评估治理，防止攻击进一步扩散。

属性监控; 安全域划分; 自适应

Class NumberTP393

1　引言

随着信息技术的不断发展，网络结构日益复杂，网络攻击愈加隐蔽频繁，网络安全形势越来越严峻。信息安全等级保护[1]将网络系统按照不同的安全需求、面临的安全威胁和相应的业务功能进行安全等级划分，以达到对网络系统分级保护的目的。其中，划分安全域作为信息安全等级保护的重要手段[2]，将网络安全问题进行细化，把大规模复杂的网络系统分解为区域型安全属性的相关防护问题，针对性地进行有重点、有区别的安全防护[3]。

现有的安全域划分技术主要是按照业务系统[4～5]、防护等级[6]和系统行为[7]进行划分。文献[4]提出了安全域的宏观和微观的概念，对安全域从微观和宏观的角度进行分析，描述安全域在微观角度上各个元素的组成和行为，并且对行为和规则策略的对应关系进行阐述。在宏观角度下分析安全域结构和安全域交互，通过对安全域宏观现象和微观的本质进行联系，提出了基于功能相似性和业务连续性的安全域划分模型，并对其安全性、有效性、合理性进行了分析。文献[5]是对具体GPRS系统进行安全域划分，通过对GPRS系统进行水平垂直方向上划分，结合业务需求，将系统划分为网络核心域、网络接入域和网络其他域，具有很强的实践应用性，但缺乏对安全域划分方法的理论研究，未能对所设计的方法进行有效性、科学性、安全性等方面进行论证。文献[6]分析了安全域划分存在的困难，给出了分级保护网络中安全域划分的原则，提出不同密级的安全域在网络中的接入模式和管理策略。文献[7]认为受到相似威胁攻击的网络其安全防护策略应该趋于一致，以此为依据进行安全域划分。通过对系统进行威胁和脆弱性进行分析，评估各子系统威胁源和威胁方式的指标值，通过模糊聚类的方法进行安全域划分。

此外，随着本体技术的发展，洪大翔基于IATF深度防御模型和PPDR网络安全模型，在文献[8]提出基于本体的信息系统动态安全域划分技术，构建安全域划分领域本体，并进行相关逻辑推理，建立循环动态的调整安全域划分和安全防护体系。文献[9]提出基于PPDRR与GRL模型的安全域划分技术，通过PPDRR模型对信息系统进行安全需求分析，借助GRL语言对系统安全需求进行层次划分，构建安全需求指标模型，提出基于安全需求相似性的安全域划分方法。

以上安全域划分技术多基于特定运用环境，并且在一定程度上寻求通过一次划分安全域来达到对网络安全威胁的分割控制，但是缺少对安全域管理问题研究。目前，安全域管理基本依靠人工方式进行管理，难以对网络进行实时、准确、全面分析，无法及时依据网络中的相关变化而进行安全域调整划分，随时间的推移，简单一次性划分及单纯依靠人工管理的方式，无法确保现有的安全域划分能满足长期安全标准要求。因此，需要一种能够对网络相关变化进行实时掌控，并自适应地调整安全域结构的管理方法。文献[10]提出一种安全域自动核查技术，通过对基于真实网络拓扑结构的安全域划分审计技术，自动发现网络拓扑结构，并对真实的网络拓扑结构进行还原、展现和核查，对违规的拓扑结构进行自动响应。但是该方案主要针对小型企业内部网络，对大规模、复杂网络结构的网络，难以进行及时核查响应。而且随着网络内部威胁的不断增多，网络结构日愈复杂，网络业务不断拓展延伸[11]，网络呈现出规模庞大、结构复杂、面临威胁多样的特征，仅仅依靠简单一次性地进行安全域划分和依赖于人工管理或者小规模系统自动核查调整[12]，无法适应日愈复杂的网络环境和不断增长的业务需求。

鉴于安全域划分及安全域管理方面的问题，本文从安全域定义出发，研究安全域基本构成元素，通过对安全域基本构成元素进行属性分析，建立各构成元素的基本指标体系，对各属性进行评估取值，通过建立相应的属性值域来划分安全域。并且引入属性监控器来对网络中相关属性进行全面监控，通过监控所反馈的属性变化信息对网络进行动态调整，以适应网络环境变化和业务增长需求。

2　安全域

2.1安全域定义

在国家保密标准中，安全域的定义是由实施共同安全策略的主体和客体构成的集合，其中主体表示安全域中的各类终端用户，客体表示安全域中各类资源如数据库信息、文档等。在这个定义中，同一个安全域应是具有相同的安全策略，为实现相同的安全需求所构成的集合。不同安全域间的安全需求不同、安全策略不同。安全策略用于描述主体与客体间的操作关系，而安全策略的制定是依据主体和客体的安全需求和防护等级等综合考虑的，这里将这类考虑归类为主体属性和客体属性。

定义1主体属性为各类终端用户安全属性如角色、安全权限、承担的任务等，以SATTR表示。

定义2客体属性为各类资源的安全属性，就机密性、完整性、可用性和可恢复性，以OATTR表示。

定义3网络环境属性是指网络中信道性能、安全威胁、漏洞、系统参数和相关硬件设施的参数等，以EATTR表示。

同一安全域的主体与客体的相关属性应该符合本安全域的属性。因此，在划分安全域时应该考虑网络中主体属性、客体属性、主体对客体的操作关系，以及网络环境的相关约束条件比如受威胁等级、漏洞信息和病毒信息等。本文在文献[13～14]研究的基础上，结合划分安全域的基础考虑，给出安全域的形式化定义：

定义4安全域是一个三元组SD={SATTR,OAATR,EAATR}，其中SD表示安全域，SATTR表示主体属性，OATTR表示客体属性，EATTR表示网络环境属性。又设svi表示主体属性值，ovj表示客体属性值，evk表示网络环境属性值，则各属性值在一定的变化范围称为属性值域，该域将与安全域进行映射，作为划分安全域的基础。

2.2安全域划分原则

安全域的划分是为了更好地实施安全策略，如果对网络进行安全域划分过细，则会造成安全策略过于复杂，增加了管理的复杂度，如果划分粒度过粗，则将造成对安全策略过于简单，造成网络安全的脆弱性。因此，在进行安全域划分时应该遵循以下原则：

1) 可用性原则。安全域划分要能够保证整个网络系统能够正常运行，安全域的划分是为了使得网络主体和客体在安全的环境中，通过各种安全措施保障安全，实现运转的高效与低风险的效果。

2) 等级保护原则。即确保每一个安全域中的等级防护措施均配置无误，同时，应该满足保密性、完整性和可用性。

3) 相似性原则。安全域内部的主体、客体和网络环境等应该具有四个方面的联系，即应用服务和系统功能相似性、资产相似性、安全要求相似性和威胁相似性，使得安全域满足等级保护原则。

4) 层次化原则。安全域划分应该具有层次逻辑，通过对网络进行层次划分，使其能够对网络中各层的特点进行针对性的安全防护。

2.3安全域划分模型

依据安全域定义和安全域划分原则，现有的安全域划分方法多基于相似性原则进行安全域划分，也有基于深度防御理论(Defense in Depth)和PPDRR网络安全模型进行安全域划分。

1) 深度防御理论(Defense in Depth)[15]

深度防御理论是由美国国家安全局组织编写的，其创新地提出信息保障的关键在于：人依托技术进行操作，实现组织职能。其中，人(People)、技术(Technology)和操作(Operation)是构成IA的三要素，通过对信息保障需求划分为四个基础域：保护网络和信息基础设施、边界防护、保护计算环境和为基础设施提供的技术支撑，实现对信息基础设施的多重防护。

2) PPDR网络安全模型[16]

PPDR包括策略(Policy)、保护(Protection)、检测(Detection)和响应(Response)四个部分组成。该模型以策略为支撑，不断进行保护、检测和响应，通过预先制定的网络安全策略，不断地、动态地、螺旋上升地对网络进行安全防护。

3) Framework for Improving Critical Infrastructure Cyberspace(FICIC)[17]

FICIC是提升网络空间关键基础设施安全防护能力框架，其给出的框架核心结构包括：识别(Identify)、防护(Protect)、检测(Detect)、响应(Respond)和恢复(Recover)，该核心结构并不是执行流程，而是框架的核心功能组成。通过这些功能，使得网络空间关键基础设施的风险管理从初级提升到自适应级别。

3　基于属性监控的安全域自适应划分模型

现代网络随着业务的拓展，网络边界的不断模糊，使得网络结构愈加多变，网络组成元素关系愈加复杂，因此，划分安全域是一个长期的动态的过程，其不仅仅是需要对网络进行分层次、分重点进行深度防御，也需要不断检测、响应，而持续的检测本质上是对网络各组成元素进行全面的监控。本文在深度防御理论、PPDR网络安全模型和FICIC框架的基础上，结合网络持续监控的核心理念，提出基于持续的网络监控进行安全域划分方法。通过持续的网络监控，实时地对监控数据进行收集、分析处理，提取相关属性信息，进行安全域自适应划分和调整，具体模型如图1所示。

图1　监控循环响应

1) 数据收集。数据收集是整个模型的基础，其目的是对系统行为日志、网络日志、用户登录日志、访问日志、漏洞信息、病毒库更新信息、端口信息和各类事件进行数据收集和提取。

2) 数据分析处理。对1)中产生的大数据进行数据分类、分析，得到安全域划分所依据的主体属性值svi、客体属性值ovj和网络环境属性值evk。

3) 安全域。划分安全域是为了统筹不同安全属性的主体与客体之间的操作关系，体现在：(1)控制安全域内或者安全域间主体对网络相关资源访问关系，确保对重要资源的访问的安全、可靠、有效；(2)对即将发生、正在进行或者已经发生网络攻击的网络安全域进行隔离，以方便对其进行安全增强、有效隔离或者评估治理，防止攻击进一步扩散。本文按照业务系统所处理的信息的涉密程度将网络进行等级划分，为安全核心域、内部服务域和公共服务域。

·安全核心域：将网络中涉及业务系统核心的业务、通信、身份认证等相关信息资源和行为主体归为安全核心域，为整个网络中最核心的区域。

·内部服务域：主要为内部工作环境提供基础支撑，有基础的文档服务器、web服务器、内部邮件服务器等。

·公共服务域：主要是对外业务相关的服务需求，包括相关的服务器和基础认证设施。

为方便对各密级网络进行管理，进一步实现对网络的控制和隔离，特别是实现对安全域内部安全问题的处理，将各安全域进一步进行划分为安全管理子域、安全用户子域、安全资源子域、安全联接子域、安全服务子域和安全隔离子域，以达到对网络分重点、分层次的安全等级防护。

·安全管理子域：包括网络管理、安全运维、配置管理、审计、认证、监控等管理职责内的硬件及软件系统。

·安全用户子域：包括所有需要访问安全计算子域、安全服务子域的各类客户端和终端。

·安全资源子域：是业务系统实现的关键域，由业务主机、相关数据库、存储系统等构成。

·安全联接子域：由路由器、交换机、VPN等网络设备以及相关的安全设备构成。

·安全服务子域：为合法授权用户提供各类网络服务。

·安全隔离子域：为实现安全隔离，对受攻击的某区域进行隔离治理，以及对内部相关非法用户进行隔离审查，是实现安全治理的重要手段。

4) 属性值域。属性值域是预先制定的，将主体属性值、客体属性值和网络环境属性值与安全域进行对应，同时作为基准以便自适应调整安全域划分。根据本文给出的安全域定义，结合所给出的安全域划分模型，表1给出属性值与安全域对应关系。

表1　属性值与安全域对应关系

其中，集合U、P、Q分别表示三个不同的值域，并且满足U≠∅,P≠∅,Q≠∅且U∩P=∅,U∩Q=∅,P∩Q=∅。

而对安全子域，规定核心域的主体和客体不下调至内部服务域和公共服务域的相关子域，而是动态调整到安全核心域的安全隔离子域中，以防止信息泄露。因此，对于各安全域中的安全子域与相关属性值有如表2所示的对应关系。

表2　属性值与安全子域对应关系

5) 响应。响应是进行安全域划分和动态调整的过程，在数据分析处理的基础上，将所得的属性信息与属性值域进行映射，对网络进行实时的安全域划分。

该模型的核心是持续的监控，通过对监控所得数据进行属性提取，分析对比属性值域，进而进行系统响应。为了缩短系统响应时间，实时发现属性信息变化即响应，发现威胁即隔离控制，将数据收集、数据分析处理和响应三个部分进行整合为安全域属性监控器，由其实现此三部分的功能。

4　安全域属性监控器

4.1需求分析

由于信息、信息载体和信息环境随时间不断变化，网络业务不断拓展、新的未知的威胁不断持续，网络外部攻击和内部攻击使得网络安全不再是一个常态，因而，安全域划分不应该是一成不变，而是以动态、实时的调整来完善划分逻辑。为了能够实时掌握安全域中主体、客体的属性变化和安全域网络环境的变化情况，引入属性监控器[18]，通过持续监控对各主体和客体以及域本身相关安全属性进行跟踪监视，为安全域自适应调整提供依据。依据本文给出的安全域定义，对安全域的相关属性监控需求为：

1) 主体监控：对本安全域的主体属性、其他域的主体对本安全域的资源的使用情况进行监控，通过监测本安全域的主体属性的相关变化、是否有违规操作、越权访问等，为动态安全域划分提供依据。

2) 客体监控：对本安全域的所有资产属性进行监控，以便于实时调整安全域划分结构。

3) 外部环境监控：监控安全域外部环境，主要监控包括其他域内用户访问是否合法、是否存在漏洞、是否存在病毒等。

4) 内部环境监控：域内环境进行监控，实时监测流量信息、网络硬件设备工作情况和其他网络结构增减情况，以及内部软件的漏洞信息、病毒信息等。

4.2设计目标

为提高安全域的联通能力、动态扩展等能力，属性监控器设计目标为：

1) 不同安全域的监控器应该能进行信息互联，将相应的网络变化进行共享，提高协同能力。

2) 能够对域内的相关设备的动态加入或删除进行相应的调整，及时进行监控。

3) 监控是主动的监控而不是被动的信息收集。

4) 要能够对监控的数据进行预处理，使其符合一定的数据格式。

5) 对相关属性变化能够做到及时响应，自适应调整安全域划分逻辑结构。

4.3安全域属性监控器设计

安全域属性监控器可分为数据收集层、数据处理层、通信层、自适应响应层和属性数据库。其中，数据收集层用于收集监控范围内的相关属性数据，数据处理层对收集的数据进行处理，通信层将本域的相关变化信息与其他安全域进行共享，自适应响应层是实现安全域自适应调整的核心，通过属性数据收集和处理，并且与其他域进行信息交换，充分掌握安全域内外的相关属性变化，完成安全域的动态调整，属性数据库用于存储各类属性信息，以及属性值列表，作为对响应模块的信息支撑。具体分层模型如图2所示。

图3　数据收集核心业务流程

1) 数据收集层。通过在安全域中部署属性监控器，对域内的主体、客体和域内外的网络环境的相关数据进行收集，从漏洞信息、补丁更新、各类日志和事件、用户相关信息、技术更新、病毒信息、操作系统信息等进行全面监控和数据收集。下面给出数据收集的核心业务流程，如图3所示。

2) 数据处理层。通过对数据收集层收集的数据进行筛选提取和分类，得出主体属性矩阵SATTR、客体属性矩阵OATTR和网络环境属性矩阵EATTR。再结合网络结构IP、相关权威机构发布的威胁情报Info、通信层共享信息Message以及安全策略Policy对数据进行分析、评估，得到属性值表达式，该表达式包含了属性类别type、所属子域信息id和属性值v。给出数据处理核心代码如下所示：

算法: Attribute_get(SATTR,OATTR,EATTR,IP,Info,Messgage,Policy)

输入: 主体属性矩阵SATTR,客体属性矩阵OATTR,网络环境属性矩阵EATTR

输出: 属性表达式SATTR=[type,id,sv]、OATTR=[type,id,ov]、EATTR=[type,id,ev]

1定义SATTR、OATTR、EATTR为三元组集合初始值均为空

2对于主体属性矩阵SATTR=[Role,Mission]

3sv=Role→Mission;

4If(sv=M_SATTR_sv)

5SATTR_type=get(IP,Info,SATTR);

6SATTR_id=get(IP,Policy,SATTR);

7Else SATTR=M_SATTR;

8对于客体属性矩阵OATTR=[Confidentiality,Integrity,Avaibility,Recovery]

9c=Confidentiality(),i=Integrity(),a=Availabilty(),r=Rocovery();

10ov=c×i×a×r;

11If(ov=M_OATTR_ov)

12OATTR_type=get(IP,Info,OATTR);

13OATTR_id=get(IP,Policy,OATTR);

13Else OATTR=M_OATTR;

15对于网络环境属性矩阵EATTR=[Channal,Threat,Vulnerability,Stabilty]

16ch=Channal(),t=Threat(),v=Vulnerability(),s=Stability();

17ov=ch×t×v×s;

18If(ov=M_EATTR_ov)

19EATTR_type=get(IP,Info,EATTR);

20EATTR_id=get(IP,Policy,EATTR);

21Else EATTR=M_EATTR;

22返回SATTR[],OATTR[],EATTR[]

3) 自适应响应层。当接收到数据处理层上传的属性值表达式后，得到属性类别、子域信息和属性值，通过对属性数据库进行信息检索，对该属性类别的属性值进行属性值域匹配检索，若该属性值满足当前子域的属性值域则只进行信息更新；若不满足则进行属性值域检索，确认新的属性值域，并对其进行安全域调整。自适应响应的核心流程如下：

图4　监控响应流程

4) 通信层。当自适应响应层确认安全域内发生属性值变化且进行了安全域调整，则对该变化进行公告，通过专用信道进行各安全域属性监控器信息共享。为方便其他安全域对通信信息进行处理存储，统一定义通信格式M=[Time,IDsd,SATTR,OATTR,EATTR]，其中，Time表示变更时间。

5　结语

安全域划分是网络安全防护的重要技术，是防护内部网络攻击主要手段，本文通过设计一种安全域属性监控器来实现对网络安全域自适应划分，通过对监控过程产生的大量数据进行属性提取，并进行相应的响应，以达到安全域自适应划分和控制内部威胁漫延的目标。而对网络实时的监控将产生海量的数据，而如何高效地对这些数据进行属性提取和相应的属性分析以及对安全域属性监控器进行算法实现将是下一步的研究重点。

[1] GB/T 25058-2010, 信息安全技术.信息系统安全等级保护实施指南[S].

[2] 周宁,张之刚,马建伟,等.基于本体和语义规则的信息系统安全域划分[J].计算机工程与应用,2015(3):103-108.

[3] 罗俊.一种基于安全域的网络信息系统安全性评估方法[J].通信技术,2014(2):210-214.

[4] 吴金鹏.业务型安全域划分方法研究和案例分析[D].重庆:重庆大学,2008.

[5] 姚兴.GPRS业务系统安全域划分[D].乌鲁木齐:内蒙古大学,2012.

[6] 翟胜军.谈分级保护网络中的安全域划分[J].保密科学技术,2011(10):15-17,21.

[7] 张海亮.威胁型安全域划分指标及方法的研究和案例分析[D].重庆:重庆大学,2007.

[8] 洪大翔.基于本体的信息系统安全域划分的研究与应用[D].重庆:重庆大学,2014.

[9] 艾鹏.基于PPDRR与GRL模型的安全域划分度量方法研究[D].重庆:重庆大学,2012.

[10] 刘晓峰,谭彬,邱岚,等.网络安全域自动核查分析技术及应用[J].电信科学,2015(1):177-181.

[11] 王明强.河南移动网管支撑系统安全域优化及实施方案设计[D].北京:北京邮电大学,2010.

[12] 向宏,向庆华,吴金鹏.一种定量划分网络信息系统安全域的方法[J].重庆工学院学报(自然科学版),2008(10):117-120,134.[13] 林莉,怀进鹏,李先贤.基于属性的访问控制策略合成代数[J].软件学报,2009(2):403-414.

[14] 王小明,付红,张立臣.基于属性的访问控制研究进展[J].电子学报,2010(7):1660-1667.

[15] National Security Agency. Information Assurance guidance for each each of the Defense in Depth focus areas[R]. NSA, 2001.https://www.iad.gov/library/iatf.cfm, 2015-03-24.

[16] Shen Ping Ping. An improved model of distributed network information security[C]//2010 International Conference in Educational and Information Technology,2010:V3-391-V3-393.

[17] NIST. Framework for Improving Critical Infrastructure Cybersecurity[R]. NAST,2014,12.

[18] 高燕燕.基于通用属性库的跨域访问控制[D].郑州:郑州大学,2014.

Security Domain Adaptive Classification Method Based On Attribute Monitoring Research

HAN Qingde1XIE Hui1NIE Feng2

(1.Department of Information Security, Naval University of Engineering, Wuhan430033)(2.Division of Communication, China People’s Armed Police Corps in Shandong Province, JiNan250000)

Security domain classification, as one of the important ways to protect information security levels, its purpose is to pertinently advance security protections which have an emphasis and difference, through dividing security domain to delaminate network security issues, the extensive complex network structure is decomposed to domain type security protection issues. Due to the complex network structure and rising business demand, the security domain classification is no longer the same, it is a long-term dynamic process. This paper presents a method of domain adaptive classification based on attribute monitoring. Firstly, the definability of the security domain attribute is given. Secondly the model of the cycle of monitor and respond is found out. Finally, an attribute monitor of security domain is designed, via continuous monitoring on subject attribute, object attribute and network environment attribute, proceeding date analyzing in real time, adaptive dividing security domain.

attribute monitoring, divide security domain, adaptive

2016年4月5日,

2016年5月17日

韩清德,男,硕士研究生,研究方向：网络安全。谢慧,女,硕士,副教授,研究方向：网络安全。聂峰,男,硕士,研究方向：通信网络安全。

TP393

10.3969/j.issn.1672-9730.2016.10.024