面向能力的航天业务网信息系统安全需求分析方法

郭志亮， 杨勃航， 杨宝军， 董文文， 黄博华

(中国人民解放军63780部队，海南 三亚 572000)

随着我国航天科技的飞速发展，航天业务网作为航天试验任务的网络承载平台，承担着数据、语音、视频、文件等各类业务信息的传递任务，目前已发展成为全覆盖、多方向、高带宽的一体化大型科研试验通信专用网络。由于航天业务网在设计之初主要从满足科研试验通信功能性需求出发，信息安全规划与网络防护能力需求考虑不足，且航天业务网的体系结构复杂、业务应用综合、信息流量巨大，网络信息系统面临着较为严重的安全威胁[1]。

信息安全的定义是要保护信息的保密性、完整性和可用性[2]。信息常常作为安全的最终保护对象，而信息的最终目的是为了支持业务运行。信息系统包括信息、信息处理的相关活动、支持活动运行的功能、活动的执行者、支持信息处理以及功能的载体等，因此信息系统的概念要远比信息的概念宽泛。信息系统安全是指通过安全措施的实施，以满足信息系统安全需求，使得信息系统能够安全平稳地完成其使命的状态[3]。

虽然信息安全问题越来越受到人们的重视，相关信息安全研究与建设正在不断开展，但信息系统安全需求工作一直没有得到应有的关注[4]。随着近年来航天测控领域军民融合深度发展[5]，信息安全公司不断为航天业务网信息系统提供各类功能丰富的安全产品与服务，但由于缺乏对信息系统安全需求的识别与归纳，难以实现安全投入的高效费比。当前针对安全需求的研究主要包括分析建模理论研究[6-8]和特定信息系统应用研究[9-13]。文献[7]给出了安全需求分析过程中的安全危险性分析模型和安全需求描述的方法；文献[8]把计算机网络与安全相关的系统资源和安全因素抽取出来建立一种面向安全性的安全模型，但分析建模理论研究难以被用户理解和掌握。文献[9]～文献[13]分别针对特定的生产、指挥、电力、云计算以及IoT等信息系统来分析安全需求并给出分析方法，具备较强的操作性。以上研究均面向安全威胁来进行描述，而安全威胁随着技术进步迅速变化发展，难以有效确定和应对。文献[14]从信息安全等级保护的角度来研究软件安全需求，但信息安全等级保护是通用的体系标准，无法准确描述特定信息系统的安全需求。

本文介绍了信息系统安全需求分析研究现状，针对航天业务网信息系统特点，提出了一种面向能力的航天业务网信息系统安全需求分析方法，并对某个区域节点信息系统进行了分析应用。该方法可识别归纳信息系统的安全需求，为后续信息系统安全建设提供参考依据。

1 航天业务网安全现状

我国航天业务网是以TCP/IP技术为核心构建的IP网络，经过近年来不断的建设发展，逐步形成了各种航天测控资源综合利用、配置优化可靠的大型科研试验专网[15]。航天技术的迅猛发展以及网络安全形势的不断变化，对航天业务网提出了更高的安全要求。

① 满足多样化职能任务的安全要求。不仅满足传统测控数据的传递处理安全，还要满足扩展职能的安全。

② 满足数据流精细化管控的要求。航天业务网交互方向众多，对数据流需要精确识别管控才能防范安全风险。

③ 满足网络安全运维管理智能化要求。随着航天业务网不断建设发展，传统网络安全运维模式难以适应复杂大规模网络特性，需要通过创新型安全运维技术提高效率。

航天业务网在“十三五”期间不断强化信息安全投入，初步形成了具有特色的信息安全防护体系，主要包括信息安全防护、信息安全管理与服务和密码支撑三大部分。其中，信息安全防护通过综合应用各类安全技术实现信息系统的边界防护、网络监测、终端防护；信息安全管理与服务为全网提供统一的安全态势监控、安全设备管理、安全策略制定、安全审计分析等管理与服务功能；密码支撑主要包括传输加密、身份认证等功能。系统组成如图1所示。但是随着信息安全环境的日益严峻和恶化，现有航天业务网信息安全防护体系存在一定的差距与不足，主要表现在：安全防护体系不够完整，存在薄弱环节，安全防护能力较弱；安全运维体系不够完善，缺乏自动化、智能化运维能力；安全创新技术应用不够广泛，难以应对新型网络安全威胁。

图1 信息安全系统组成图

2 安全需求分析方法

2.1 基本原理

面向能力的需求开发机制最早运用在军事领域，如美军的JCIDS(联合能力集成与开发系统)，其基本的军事装备研制建设思想是“作战概念指导、能力需求牵引”，强调作战体系形成“与生俱来”的联合性，满足网络中心化联合作战的能力需求。传统的网络信息系统安全需求分析方法是通过识别安全威胁，采用打补丁的方式进行网络安全防护，但该方法存在一些先天性的不足：① 威胁的独立性，通过威胁识别安全需求缺乏全局视图，难以形成纵深防御体系；② 威胁的不确定性，防御总是处于被动地位，难以有效应对新型的安全威胁；③ 以应对威胁为目的的安全防护体系，由于未能充分结合业务需求，难以合理安排投入，效费比不足。面向能力的安全需求分析与信息系统承担的职能任务紧密结合，以能力建设为主线，以威胁应对为辅助，从全局的角度来审视网络安全问题，形成更加科学合理的安全需求结论，以此指导后续网络防护体系建设。

2.2 分析步骤

面向能力的信息系统安全需求方法首先根据航天业务网信息系统所承担的职能，确定能力主线并细化能力目标，以此作为安全需求分析的基础；再逐项分析满足该能力的CIA(保密性、完整性、可用性)属性，确定其所需安全资源；然后根据安全资源需求频次以及承担业务职能的优先级确定权值，确定安全资源需求优先级；最后整理形成信息系统安全需求列表，并迭代分析是否满足信息系统业务能力，持续加强与改进。需求分析步骤如图2所示。

图2 面向能力的信息系统安全需求分析步骤

2.3 形式化描述

信息系统所承担的职能是在系统规划设计时期确定的，并随着系统建设与运行不断演进完善。信息系统职能是安全需求分析的起点和基础，通常情况下可以通过能力集合来表示。其中，单个能力又可以细化为具体的能力目标，因此信息系统能力可以表示为

Capability=(T1,T2,…,Tn)

(1)

从安全的角度考虑，信息系统的每一种能力目标均需要耗费一定的安全资源，以满足其CIA属性，可以定义能力目标T的安全需求为

RequirementT=(CT,IT,AT)

(2)

式中，CT为能力目标T对应的保密性，即信息系统满足T的情况下信息不被非法传递的安全属性；IT为能力目标T对应的完整性，即信息系统满足T的情况下信息不被非法篡改的安全属性；AT为能力目标T对应的可用性，即信息系统满足T的情况下系统能够稳定运行安全属性。

安全资源在信息系统中是由具体的实体组成，通常情况下主要包括安全设备D、安全策略P、运维管理O等安全子项。其中D为固定资产，P为动态规则，O为制度规范，第i项安全需求对应的安全资源具体可以表示为

Resourcei=(Di,Pi,Qi)

(3)

由以上分析可知，从能力目标T分析得出安全资源需求Resource是分析过程的核心环节，为此给出安全需求推理机模型，如图3所示。首先依据安全威胁、技术发展以及专家经验形成了安全资源集，再对特定的能力目标T进行CIA属性分析，并逐项判断安全资源集的条目是否满足安全属性要求，如果满足则加入Resource集，直至安全资源集遍历完成。

图3 安全需求推理机模型

根据信息系统承担职能的重要程度，可以对能力目标T进行定量赋值，ValueT用于衡量T的重要性，赋值参考标准如表1所示。

表1 能力目标赋值标准

由于不同的能力目标T对应的Resource集可能存在交集重叠部分，重叠数高的安全子项且ValueT高对应的Resource集可认为是重要的，将ResourceT与ValueT相乘后汇总，统计各安全子项重叠数，即可形成安全设备、安全策略、运维管理的安全资源全集DPO，表示为

(4)

式中，α，β，γ分别为不同安全子项的重叠数。

最后通过对重叠数的归一化处理，即可得出每个安全子项的权重值W，安全需求列表SRL，表示为

(5)

SRL形成后，可依据信息安全等级保护标准进行第三方专家评审，也可根据信息系统能力扩展、信息安全形势发展等条件进行迭代更新，最后用于指导信息系统安全建设，不断提高安全防护能力。

3 应用研究

3.1 信息系统能力分析

以某区域中心航天业务网信息系统为例，分析该系统的安全需求。该区域中心承担航天发射测控以及各类卫星载荷应用数据的接收与传输任务，数据种类多样，通信方向众多，传输稳定性、时效性要求较高。通过专家咨询与用户调查，从业务能力、装备能力、运维能力3个方面对该信息系统的能力目标进行分析，形成能力目标集如图4所示。

图4 某区域中心信息系统能力目标集示意图

3.2 安全资源需求分析

以“卫星发射测控数据的安全传输”能力目标T1为例，通过分析其CIA属性，结合经验与技术推理得出所需的安全资源。由于卫星发射测控数据具有时效性强、不可逆，且影响域广泛等特性，对信息系统安全性具有非常高的需求，CIA属性如表2所示。

表2 能力目标T1安全属性

通过安全需求推理机模型，在前期收集整理网络安全资源的基础上，形成了能力目标T1所需的网络安全资源集如图5所示，其中[C.1]表示该资源满足保密性第一条属性。

图5 能力目标对应安全资源集示意图

3.3 安全资源优先级确定

通过对每个能力目标T进行安全资源需求分析，汇总整理后统计各个安全子项的重叠数，并进行max-min归一化处理，即可得出安全需求列表，权值越高，表明该安全子项的覆盖度越广、重要性越高。后续通过迭代分析，识别安全需求列表是否满足所有的业务能力，并定期进行迭代更新，持续改进。安全需求列表如表3所示。

表3 安全需求列表

3.4 有效性评估

相较于传统安全需求分析方法，本文提出的方法从能力需求分析到安全资源确定，分析步骤较为明确清晰，形成了确定优先级的安全资源需求列表，是一种系统的分析方法。两种方法特性对比如表4所示，传统方法近似采用随机的方法进行设备选取，而本文方法优先选取高优先级的安全设备。

表4 两种需求分析方法特性对比

采用覆盖度指标来对比评估安全需求分析方法的有效性，即在总投资一定的前提下，比较传统方法与本文提出的方法分析得出的安全设备对信息系统的安全保护覆盖度高低。为便于比较，以表3中的安全设备为全集，且不考虑具体设备之间的价格差异，以设备数量代替投资值。例如：假定安全设备集总数量为n,安全设备投资值为m，传统方法使用函数random(m,n)选取安全设备，本文方法则选取优先级前m个安全设备。覆盖度计算以某安全设备对信息系统能力目标的有效保护为准，有效记1分，无效记0分，得分较高表示该安全设备具备更广泛的保护能力。最后逐项累加并归一化处理，得出投资值与覆盖度的关系如图6所示。

由图6可以看出，随着投资值不断下降，两种方法选取的安全设备覆盖度均呈下降态势，但本文方法选取设备的覆盖度优势一直保持，表明该方法能够有效提高安全设备选取的科学性。

图6 两种方法安全保护覆盖度比较示意图

4 结束语

针对航天业务网信息系统安全现状，提出了一种面向能力的信息系统安全需求分析方法。该方法以信息系统承担职能为起点，通过信息系统能力分析、安全资源需求分析、安全资源优先级确定等过程，分析得出信息系统的安全需求。相较于传统面向威胁的安全需求分析方法，面向能力的安全需求分析方法更具有针对性，更加能够反映信息系统安全管理的目标。最后在航天业务网某区域中心信息系统进行了实际应用与评估，验证了该方法的可行性。

本文给出的安全需求分析方法重点突出了安全资源需求，在指导工程实践方面仍存在一定的局限性，后续将加强网络安全架构的设计等问题的研究，通过更加系统和完善的方法提高信息系统安全性。