李建軍

(1.中國(guó)電子科技集團(tuán)公司第三十二研究所，上海 201808；2.國(guó)家工程軟件產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心，上海 201808)

0 引言

隨著信息化建設(shè)步伐的加快，信息系統(tǒng)已成為從互聯(lián)網(wǎng)上獲取信息和服務(wù)的主要來(lái)源。近年來(lái)，惡意網(wǎng)絡(luò)攻擊事件頻發(fā)，攻擊方式持續(xù)迭代升級(jí)，網(wǎng)絡(luò)威脅造成的損害不斷增強(qiáng)，網(wǎng)絡(luò)信息安全產(chǎn)品和服務(wù)需求持續(xù)增長(zhǎng)。政府關(guān)注和政策扶持也不斷推動(dòng)我國(guó)信息安全產(chǎn)業(yè)向安全可信、自主可控方向快速發(fā)展。我國(guó)在信息安全保障方面正在全面實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，通過(guò)制度建設(shè)推進(jìn)我國(guó)重要信息系統(tǒng)安全水平提升，但通過(guò)了網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)并不能保證信息系統(tǒng)的高安全性、高可靠性，尤其對(duì)于國(guó)防、能源、金融等關(guān)鍵信息基礎(chǔ)設(shè)施的信息安全來(lái)說(shuō)還遠(yuǎn)遠(yuǎn)不夠。依賴于傳統(tǒng)安全加固手段無(wú)法抵御未知漏洞后門等導(dǎo)致的未知風(fēng)險(xiǎn)或不確定威脅，借鑒生物界的擬態(tài)多樣性，鄔江興院士團(tuán)隊(duì)提出了擬態(tài)防御機(jī)制，從擬態(tài)結(jié)構(gòu)本身而不是依賴現(xiàn)有防御手段和方法保證其安全性。市場(chǎng)上的擬態(tài)信息系統(tǒng)應(yīng)用目前普遍缺少有效的測(cè)試驗(yàn)證手段，研究擬態(tài)信息系統(tǒng)測(cè)評(píng)方法和測(cè)評(píng)技術(shù)具有重要的意義。

從研究信息系統(tǒng)攻擊現(xiàn)狀和擬態(tài)防御安全信息系統(tǒng)體系模型入手，建立了基于GB/T 25000質(zhì)量特性、擬態(tài)防御機(jī)理、擬態(tài)防御效果、網(wǎng)絡(luò)安全等保合規(guī)性測(cè)試的、分層的擬態(tài)安全信息系統(tǒng)測(cè)評(píng)體系，并對(duì)擬態(tài)特性的驗(yàn)證方法提出了技術(shù)思路。

1 信息系統(tǒng)網(wǎng)絡(luò)攻擊

信息系統(tǒng)攻擊者常用四種攻擊手段[1]：分布式拒絕服務(wù)攻擊；網(wǎng)絡(luò)主機(jī)利用型攻擊(攻擊手段包括口令破解、特洛伊木馬、緩沖區(qū)溢出等)；信息收集型攻擊(通過(guò)掃描系統(tǒng)漏洞、刺探網(wǎng)絡(luò)體系結(jié)構(gòu)、社會(huì)工程學(xué)等手段獲得系統(tǒng)信息，為進(jìn)一步入侵提供支持)；篡改信息攻擊(如偽造通信網(wǎng)絡(luò)報(bào)文、電子郵件、服務(wù)網(wǎng)址重定向等)。在網(wǎng)絡(luò)攻防博弈中,攻擊方與防御方處于非對(duì)稱的地位。只要攻擊者在信息系統(tǒng)中發(fā)現(xiàn)易受攻擊的點(diǎn)，就可以展開(kāi)攻擊，而防御者需要進(jìn)行全面的安全保護(hù)；另一方面，防御者很難準(zhǔn)確預(yù)測(cè)攻擊的計(jì)劃或發(fā)生，也不能快速定位漏洞并在短時(shí)間內(nèi)修補(bǔ)漏洞，導(dǎo)致防御者的被動(dòng)劣勢(shì)。攻擊過(guò)程[2]一般可以分為掃描探測(cè)、漏洞分析利用、攻擊植入和攻擊保持四個(gè)階段。

自信息系統(tǒng)安全技術(shù)發(fā)展以來(lái),出現(xiàn)了許多防御技術(shù),典型的如入侵檢測(cè)、入侵防御、入侵容忍和移動(dòng)目標(biāo)防御等,這些技術(shù)具備不同的防御特點(diǎn)。在網(wǎng)絡(luò)攻防博弈中,防御技術(shù)是對(duì)抗網(wǎng)絡(luò)攻擊的直接手段。

2 基于擬態(tài)防御的安全信息系統(tǒng)

擬態(tài)安全信息系統(tǒng)采用動(dòng)態(tài)異構(gòu)冗余(Dynamic Heterogeneous Redundancy，DHR)模型。攻擊者面對(duì)基于擬態(tài)架構(gòu)的信息系統(tǒng)，由于被攻擊目標(biāo)的動(dòng)態(tài)性，已經(jīng)難以通過(guò)系統(tǒng)探測(cè)、漏洞挖掘、系統(tǒng)突破、系統(tǒng)控制等技術(shù)手段對(duì)信息獲取和信息進(jìn)行控制。擬態(tài)安全信息系統(tǒng)將網(wǎng)絡(luò)空間人與人之間博弈的問(wèn)題轉(zhuǎn)化為攻擊者能否攻破信息系統(tǒng)的概率問(wèn)題。

圖1 擬態(tài)防御體系抽象模型

擬態(tài)安全信息系統(tǒng)防御機(jī)構(gòu)模型如圖1所示，擬態(tài)防御體系是以維護(hù)目標(biāo)對(duì)象(如網(wǎng)絡(luò)、存儲(chǔ)、系統(tǒng)、配置項(xiàng)、部件、單元等)元服務(wù)功能(包括私密信息保護(hù))健壯性與安全可信為目的，以目標(biāo)系統(tǒng)服務(wù)功能與其多元、冗余配置的實(shí)現(xiàn)結(jié)構(gòu)或算法間引入不確定性映射關(guān)系為核心，以給定資源條件下異構(gòu)執(zhí)行體的策略調(diào)度和多維動(dòng)態(tài)重構(gòu)機(jī)制提升防御場(chǎng)景的動(dòng)態(tài)相異性為方法，以非配合條件下輸出矢量多模裁決為中心的閉環(huán)控制機(jī)制阻斷、屏蔽非協(xié)同攻擊(或差模失效)為手段，以干擾或隱匿寄生在異構(gòu)執(zhí)行體上漏洞后門的可達(dá)性與可利用性為重點(diǎn)，以架構(gòu)自身功效獲得內(nèi)生安全屬性。從擬態(tài)防御模型上可以分析出，擬態(tài)結(jié)構(gòu)的脆弱點(diǎn)在于輸入代理和分發(fā)判決，一旦前端被攻破，則其防御機(jī)制受到破壞。

3 擬態(tài)安全測(cè)評(píng)

擬態(tài)安全測(cè)評(píng)需要從測(cè)評(píng)輸入、測(cè)評(píng)過(guò)程和測(cè)評(píng)輸出三個(gè)方面規(guī)范對(duì)擬態(tài)信息系統(tǒng)實(shí)施測(cè)試評(píng)估活動(dòng)的要求，建立多層次、多粒度、開(kāi)放性、可定制的擬態(tài)安全測(cè)評(píng)評(píng)估指標(biāo)體系框架，以保證測(cè)評(píng)過(guò)程、測(cè)評(píng)結(jié)果和結(jié)論的科學(xué)性、正確性和依從性。

擬態(tài)安全信息系統(tǒng)測(cè)評(píng)需要規(guī)定開(kāi)展擬態(tài)安全測(cè)評(píng)過(guò)程的基本過(guò)程、流程、任務(wù)及工作產(chǎn)品等，規(guī)范測(cè)評(píng)工作人員、組織、機(jī)構(gòu)的工作，在擬態(tài)安全測(cè)評(píng)過(guò)程中如何正確使用擬態(tài)安全測(cè)評(píng)要求中的具體測(cè)評(píng)方法、步驟和判斷依據(jù)。擬態(tài)安全測(cè)評(píng)不同于傳統(tǒng)的應(yīng)用系統(tǒng)或安全防御系統(tǒng)評(píng)估，擬態(tài)信息系統(tǒng)需要綜合考慮擬態(tài)特征、擬態(tài)算法效能以及安全防護(hù)等多個(gè)要素，需要結(jié)合具體的任務(wù)需求靈活制定測(cè)評(píng)方案。

擬態(tài)安全測(cè)評(píng)需要?jiǎng)澏〝M態(tài)界面，擬態(tài)界面所定義功能的完整性、有效性和安全性是擬態(tài)防御有效性的前提條件，擬態(tài)界面未明確定義的功能/操作不屬于擬態(tài)防御的范圍(但也可能存在衍生的保護(hù)效應(yīng))。根據(jù)擬態(tài)防御要求，可以根據(jù)不同應(yīng)用場(chǎng)景對(duì)安全性與實(shí)現(xiàn)代價(jià)的綜合需求定義更多的防御等級(jí)，在安全性上需要重點(diǎn)考慮以下四方面因素：擬態(tài)防御核心是給攻擊過(guò)程造成的各種不確定性；使攻擊者無(wú)法在攻擊過(guò)程的各個(gè)層面獲取防御系統(tǒng)結(jié)構(gòu)或系統(tǒng)反饋的有效信息；使攻擊失去可用的穩(wěn)定性；使基于檢測(cè)或攻擊累積的經(jīng)驗(yàn)不能用作后續(xù)攻擊活動(dòng)中的先驗(yàn)知識(shí)。

在GB/T 25000.10-2016 《系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE)第10部分：系統(tǒng)與軟件質(zhì)量模型》中詳細(xì)定義了軟件產(chǎn)品8個(gè)質(zhì)量特性(功能性、性能效率、兼容性、易用性、可靠性、信息安全性、維護(hù)性和可移植性)和相應(yīng)子特性，結(jié)合《GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》對(duì)軟件安全等級(jí)的劃分，針對(duì)擬態(tài)產(chǎn)品的“動(dòng)態(tài)異構(gòu)冗余”構(gòu)架，建立一套合適的測(cè)評(píng)評(píng)估體系。體系包括質(zhì)量特性、質(zhì)量子特性、質(zhì)量屬性。擬態(tài)信息系統(tǒng)評(píng)估指標(biāo)體系采用基本要求和分項(xiàng)要求的分層結(jié)構(gòu)，總體架構(gòu)如圖2所示。

從評(píng)估模型上看，目標(biāo)層是擬態(tài)信息系統(tǒng)安全防護(hù)能力的綜合反映，準(zhǔn)則層指標(biāo)可以進(jìn)一步分為能力層、能力子層，自上而下對(duì)擬態(tài)信息系統(tǒng)安全防護(hù)能力進(jìn)行一步細(xì)化、分解。測(cè)評(píng)指標(biāo)層則是從對(duì)各項(xiàng)能力的指標(biāo)量化，并進(jìn)行測(cè)試項(xiàng)的劃分，為后續(xù)進(jìn)行擬態(tài)信息系統(tǒng)測(cè)評(píng)提供基本要求和為給出測(cè)評(píng)結(jié)論提供依據(jù)。

圖2 擬態(tài)安全信息系統(tǒng)測(cè)評(píng)

擬態(tài)信息系統(tǒng)測(cè)試采用層次分析法，引入多維度的測(cè)試策略，建立多層次的擬態(tài)信息系統(tǒng)評(píng)價(jià)體系。從四個(gè)維度測(cè)試評(píng)價(jià)擬態(tài)信息系統(tǒng)：

一是基于GB/T25000軟件質(zhì)量特性的測(cè)試，此為傳統(tǒng)信息系統(tǒng)測(cè)試方法，不再贅述。

二是擬態(tài)特性驗(yàn)證，針對(duì)擬態(tài)信息系統(tǒng)的擬態(tài)特性進(jìn)行測(cè)評(píng)，主要包括：動(dòng)態(tài)性、異構(gòu)性、冗余性、功能等效性等，驗(yàn)證擬態(tài)防御機(jī)制的相關(guān)模塊是否符合研制要求。

三是防御效能驗(yàn)證，結(jié)合對(duì)擬態(tài)信息系統(tǒng)的質(zhì)量特性測(cè)評(píng)，對(duì)系統(tǒng)功能和防御能力進(jìn)行評(píng)價(jià)，主要包括：信息掃描、漏洞檢測(cè)、后門利用等，評(píng)估被測(cè)系統(tǒng)改變固有漏洞和后門的呈現(xiàn)性質(zhì)；擾亂漏洞或后門的可鎖定性與攻擊鏈路通達(dá)性；是否大幅增加了系統(tǒng)中漏洞和后門的可利用難度。

四是網(wǎng)絡(luò)安全等保合規(guī)性，從擬態(tài)信息系統(tǒng)是否滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求進(jìn)行合規(guī)性匹配檢查。

3.1 擬態(tài)特性驗(yàn)證

3.1.1動(dòng)態(tài)性驗(yàn)證

擬態(tài)安全信息系統(tǒng)應(yīng)可以動(dòng)態(tài)選擇當(dāng)前執(zhí)行體集，技術(shù)實(shí)現(xiàn)上通過(guò)預(yù)先準(zhǔn)備一個(gè)異構(gòu)構(gòu)件資源池，并配置動(dòng)態(tài)選擇算法模塊，這些算法可以使用概率算法、動(dòng)態(tài)選擇算法使動(dòng)態(tài)異構(gòu)冗余結(jié)構(gòu)具有動(dòng)態(tài)性。

動(dòng)態(tài)也體現(xiàn)在分發(fā)判決器上，通過(guò)網(wǎng)絡(luò)抓包軟件或日志文件可以驗(yàn)證分發(fā)的動(dòng)態(tài)性。

3.1.2異構(gòu)性驗(yàn)證

擬態(tài)的異構(gòu)性體現(xiàn)為多個(gè)層次，硬件平臺(tái)架構(gòu)的異構(gòu)性(X86、PowerPC、龍芯等)，操作系統(tǒng)的異構(gòu)性(Windows、Linux、UNIX等)、編譯系統(tǒng)的異構(gòu)性(Visual C++、GCC、DEV C++)、中間件的異構(gòu)性(JBoss、Tomcat、Weblogic)、數(shù)據(jù)庫(kù)的異構(gòu)性(MySQL、Oracle、SQL Server)，這些在開(kāi)展實(shí)際測(cè)試時(shí)較容易判定，但更為重要的應(yīng)用程序的異構(gòu)性卻方法相對(duì)有限。

多版本系統(tǒng)構(gòu)架下，設(shè)計(jì)或開(kāi)發(fā)功能一致的程序版本會(huì)導(dǎo)致工作量的成倍增加，程序多樣性通常采用編譯過(guò)程的轉(zhuǎn)化、基于二進(jìn)制目標(biāo)碼的轉(zhuǎn)換、加載過(guò)程中的轉(zhuǎn)化、運(yùn)行過(guò)程中的轉(zhuǎn)化等。針對(duì)相同工程代碼采用不同編譯器編譯、或者通過(guò)同一編譯器的不同編譯開(kāi)關(guān)選項(xiàng)來(lái)構(gòu)造程序異構(gòu)體的方法，從成本上來(lái)說(shuō)對(duì)于開(kāi)發(fā)多版本非相似軟件是一種比較可行的方案，但從擬態(tài)防御效果來(lái)看，通過(guò)擬態(tài)編譯生產(chǎn)的軟件多變體存在同源問(wèn)題，導(dǎo)致軟件變體中存在同一漏洞的概率較高，增加了網(wǎng)絡(luò)攻擊成功率。

通過(guò)軟件加殼和混淆技術(shù)方式生成不同的軟件變體，理論上并沒(méi)有增強(qiáng)其異構(gòu)性。控制流平坦化、花指令、標(biāo)識(shí)符混淆、字符串混淆、控制流變換等代碼混淆技術(shù)側(cè)重于增加代碼的迷惑性，降低代碼可讀性；加殼技術(shù)對(duì)可執(zhí)行文件進(jìn)行加密、壓縮，并附加一個(gè)外殼，加載時(shí)外殼程序首先進(jìn)行原程序還原操作，并把控制權(quán)還給解壓解密后的原程序[3]。

針對(duì)程序異構(gòu)性判定可以使用基于控制流圖的結(jié)構(gòu)對(duì)比的驗(yàn)證方法。對(duì)于在源程序級(jí)提供異構(gòu)變體的，只要將編譯前的工程源代碼通過(guò)一定的方法分析出它的控制流圖[4]，進(jìn)行相互比較即可。對(duì)于只提供編譯后的目標(biāo)二級(jí)制代碼的情況，可以通過(guò)IDA pro等類似反編譯工具預(yù)處理后再分析出控制流圖，在圖論里面，兩個(gè)圖同構(gòu)即表示存在頂點(diǎn)之間的雙射，使用同構(gòu)圖的算法可對(duì)它們進(jìn)行對(duì)比。

3.1.3冗余驗(yàn)證

對(duì)于高安全高可靠系統(tǒng)來(lái)說(shuō)，在當(dāng)前的技術(shù)背景下，除了選用高可靠性電子元器件外，通常采用多模冗余的方式提高計(jì)算機(jī)平臺(tái)的可靠性和安全性[5]，比如RTCA DO—178B《機(jī)載系統(tǒng)和設(shè)備合格審定中的軟件考慮》中就提出了使用多版本非相似軟件的設(shè)計(jì)方案。測(cè)試時(shí)重點(diǎn)檢查是否滿足冗余要求。

3.1.4功能等效性

對(duì)于擬態(tài)安全信息系統(tǒng)中的多個(gè)異構(gòu)執(zhí)行體，需要確保其相互之間的功能等效性。擬態(tài)安全信息系統(tǒng)或產(chǎn)品包含若干組定義的規(guī)范和協(xié)議關(guān)鍵服務(wù)/操作功能。通過(guò)這些標(biāo)準(zhǔn)化協(xié)議或規(guī)范的一致性或一致性測(cè)試，可以確定給定服務(wù)/操作功能的多個(gè)異構(gòu)可執(zhí)行文件的性能等效性。也就是說(shuō)，擬態(tài)界面的輸入和輸出關(guān)系的一致性測(cè)試可用于判斷功能執(zhí)行之間的等效性，包括給定異常處理函數(shù)或性能的一致性。

3.2 擬態(tài)防御效能

針對(duì)擬態(tài)防御效能測(cè)試可采取黑盒測(cè)試、注入測(cè)試、深度滲透測(cè)試、對(duì)比測(cè)試、人為預(yù)置后門激活、預(yù)置木馬等測(cè)試手段，對(duì)擬態(tài)信息系統(tǒng)本身的各項(xiàng)功能正常與否進(jìn)行測(cè)試驗(yàn)證，并針對(duì)不同類別的攻擊，對(duì)該擬態(tài)系統(tǒng)的安全防御能力進(jìn)行測(cè)試和分析[6]。

擬態(tài)安全信息系統(tǒng)可從以下兩個(gè)維度進(jìn)行：一是脆弱性測(cè)評(píng)，從風(fēng)險(xiǎn)控制的角度梳理核查，測(cè)試驗(yàn)證脆弱性漏洞問(wèn)題；二是安全策略關(guān)聯(lián)數(shù)據(jù)流測(cè)評(píng)，從應(yīng)用系統(tǒng)的數(shù)據(jù)流、業(yè)務(wù)邏輯流程及安全策略方面進(jìn)行測(cè)評(píng)。針對(duì)擬態(tài)Web服務(wù)器需驗(yàn)證其安全性和性能。安全性方面主要從防御強(qiáng)度、防御面和安全代價(jià)三方面，在掃描探測(cè)、漏洞挖掘、攻擊植入和攻擊維持四個(gè)階段進(jìn)行防御能力的評(píng)估。

擬態(tài)防御效能測(cè)試需要覆蓋以下測(cè)試項(xiàng)：(1)擬態(tài)安全信息系統(tǒng)能否隱匿擬態(tài)界內(nèi)的未知漏洞和后門；(2)攻擊者能否利用未知漏洞給擬態(tài)信息系統(tǒng)注入未知病毒木馬；(3)能否顯著降低攻擊或探測(cè)經(jīng)驗(yàn)的可重復(fù)利用性；(4)擬態(tài)信息系統(tǒng)內(nèi)是否允許存在病毒或木馬；(5)擬態(tài)信息系統(tǒng)的性能指標(biāo)下降情況。

3.3 網(wǎng)絡(luò)安全等保合規(guī)性

根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0相關(guān)標(biāo)準(zhǔn)，從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全以及安全管理等方面開(kāi)展動(dòng)態(tài)異構(gòu)冗余結(jié)構(gòu)擬態(tài)信息系統(tǒng)網(wǎng)絡(luò)安全等保合規(guī)性測(cè)評(píng)。

4 結(jié)論

擬態(tài)安全信息系統(tǒng)基于動(dòng)態(tài)異構(gòu)冗余結(jié)構(gòu)，從理論上大幅提高了信息安全防護(hù)能力。本文重點(diǎn)研究了擬態(tài)特性驗(yàn)證方法和技術(shù)，并對(duì)擬態(tài)防御效能和網(wǎng)絡(luò)安全等級(jí)保護(hù)合規(guī)性測(cè)評(píng)要點(diǎn)進(jìn)行了分析，從而為擬態(tài)安全信息系統(tǒng)測(cè)評(píng)認(rèn)證提供了一種手段。