软件工程之安全工程建模

随着《网络安全法》的颁布和信息安全等级保护测评标准2.0的推广，信息安全上升到了新的高度。国内各个科研和生产单位从技术与管理、理论与实践、国民自主研发与引进西方科技、计算机科学与犯罪心理学等多个角度探讨信息安全问题，对信息网络犯罪的动机、手段、途径、社会危害程度等进行多方位分析，期望找到抵御信息犯罪、加固网络安全的方法。但是，信息网络安全是近些年兴起的课题，缺乏长期的经验积累，存在很多空白领域，这些空白领域给不法分子留有可乘之机。同时，移动互联网发展势头迅猛，高速发展势必导致新安全隐患不断涌现的局面。旧隐患未能及时解决，新隐患又出现，信息网络安全形势不容乐观。

荀子云，君子性非异也，善假于物也。我们可以遴选其他科研领域久经考验的、成熟的方法，将这些方法加以改造，以便适应信息安全领域。这比从无到有地创建一套新方法要快得多；更重要的是，这些方法本身经过历史和实践的考验，具备良好的可行性。

软件工程学属于计算机科学的一个分支，是信息安全学的近亲；同时，软件工程学和信息安全学均属于工程学，两者具备天然的、良好的相关性。软件工程学历史悠久，科研成果丰硕。我们可以从软件工程学中学习借鉴相关方法，有针对性地进行改造，以便能适用于信息安全学。当然，这些改造是小范围的调整，不是大改动。如果改动规模过大，那就偏离了初衷。软件工程学和信息安全学的相关性，是我们工作的切入点。软件工程学中很多知识可以借鉴到信息安全学，比如需求分析、项目管理、工程建模方法等等。我们首先选择工程建模方法作为研究对象，以工程建模方法为蓝本，评估改造方案的实用性，总结经验和教训，以便进一步改进和推广。

笔者于2017年在《数字军工》杂志上发表过一篇名为《采用迭代模型进行信息系统安全等级保护测评》的文章。这篇文章论述了传统信息安全等级保护测评流程中的弊端，提出用迭代模型代替瀑布模型，作为信息安全等级保护测评的工程模型。该论文有一定的进步意义，但是却忽视了一个问题：信息安全等级保护测评是个非常复杂的过程，单一的工程模型不能满足实际需要。信息安全等级保护测评分为十个层面，每一个层面均有自己的特点，较难用一个统一的工程模型来建模。即使是同一个层面，在面临不同的客户时候，情况也不一样。因为不同客户的技术水平、工作态度、人员配备、经济支持力度不同，用一个一成不变的模型肯定不能很好地完成建模工作，需要根据实际情况分别处理。

当然，这十个层面未完全割裂，根据真实的信息安全工作经验，可以将十个层面依据天然的相关性分为四类：网络相关类、应用系统技术类、应用系统管理类和通用管理类。根据分类，将信息安全等级保护工作划分四个工作条线：网络条线、应用系统技术条线、应用系统管理条线和通用管理条线。物理机房层面被划分到应用系统管理条线，该层面从相关性上更适合划分到通用管理条线，划分到应用系统管理条线是为了平均四个条线的工作量，便于加快整个项目的进度。四个条线没有先后顺序，可以同时开展，一般情况下由一名测评师负责一个条线，相互之间没有交叉。条线之间具备并发特性，符合喷泉模型。采用喷泉模型，可以直观地描述四个条线之间的关系，下面进一步对条线内部的工作进行建模。对于工作经验丰富的测评师和相关准备活动充分的条线，由于工作目标明确，工作环境比较熟悉，可以一气呵成完成工作，建议采用瀑布模型。对于经验匮乏的测评师、相关准备活动不充分的条线，由于对工作目标、工作环境不了解，不可能一步到位完成每一个环节的工作，会出现返工的情况，可以采用迭代模型。先尝试着针对已掌握的测评对象，制定测评方法，进行部分测评工作。在进展过程中，探索未知情况。针对新探索到的情况，采用回溯的方法，更新测评对象，更新测评方法，对新对象进行相对严格的测评。这样持续测评，回溯，再测评，再回溯，循环迭代完成工作。之前介绍的两种模型，适用于单个测评师测评单个条线的情况。在真实情况下，可能出现多个测评师测评同一个条线的情况。因为不同的测评师和条线，测评速度不可能完全一致。为了尽快完成全部测评工作，进展快条线（A条线）的测评师在完成自己的任务后，会在项目经理的要求下，参与到进展慢条线（B条线）的工作中。为了在不干扰B条线测评师正常工作的前提下，加速B条线的工作进展，要在B条线中开辟出一个被称为“增量块”的地带，并在“增量块”中开展新工作。“增量块”是从B条线中新截取下来的模块，与B条线中正在进行的测评工作截然分开，不相互干扰，这就是“增量块”的主要特点。“增量块”是增量模型领域的概念。将适用于整个项目的喷泉模型和适用于各个条线的瀑布模型、迭代模型和增量模型结合起来，就得到了信息安全等级保护测评的最终工程模型。

在绵阳市燃气公司计费系统的信息安全等级保护测评过程中，试用上述复合工程模型，检验效果。团队中四个人分别负责独立的条线，并行开展工作，符合喷泉模型。负责应用系统管理条线和通用管理条线的测评师，具备多年工作经验，可以采用简单有效的瀑布模型进行测评。前期网络拓扑情况未调查清楚，负责网络条线的测评师采用迭代模型进行测评，一边测评，一边熟悉网络拓扑，并根据新掌握的拓扑，持续改进原有测评计划，递进测评。负责应用系统技术条线的测评师是新手，之前参与测评不多，需要其他测评师予以支持，以便加快整个项目进度。该测评师采用增量模型，方便为其他测评师提供切入点。经过项目检验，复合模型可以有效地提升工作效率和准确度，比较良好地指导信息安全等级保护测评工作，具备可行性。

利用知识的相关性，可以将部分学科成熟的方法推广到新学科。这种做法可以在保证质量的前提下，加快新学科的发展速度，是省时省力的好手段，希望大家能借鉴学习，将这一方法发扬光大。同时希望相关专家提出宝贵意见，相互交流，共同进步。