MBSE 安全性与架构分析方法¶
核心理念¶
安全左移:将安全分析从后期验证阶段前移到架构设计阶段,在系统设计早期识别和缓解安全风险。
CMU SEI 架构分析框架¶
初始架构分析(Preliminary Architecture Analysis)¶
方法论¶
- 在系统开发早期阶段进行结构化的架构评估
- 建模方法论:场景和模型示例
- 组织功能域映射与业务目标对齐
关键活动¶
- 场景定义:定义评估场景
- 模型构建:建立架构模型
- 功能域映射:映射组织功能域
- 目标对齐:与业务目标对齐
价值¶
- 支持早期决策制定
- 降低后期变更成本
- 提高架构质量
主动式网络安全威胁架构分析(PAACT-BUS)¶
核心问题¶
- MBSE 是什么?
- 能用白板进行威胁狩猎吗?
- 安全分析和建模应贯穿整个生命周期
PAACT-BUS 方法¶
- Proactive:主动式
- Architectural:架构级
- Analysis:分析
- Cybersecurity:网络安全
- Threats:威胁
- BUS:业务统一安全
关键步骤¶
- 威胁建模嵌入:将威胁建模嵌入 MBSE 流程
- 全生命周期覆盖:安全分析贯穿整个生命周期
- 主动识别:在架构阶段主动识别威胁
基于模型的契约与论证¶
多声明-多分析框架¶
- 多个保证声明:针对不同安全属性
- 多个分析方法:组合多种分析技术
- 假设验证:验证分析假设
- 冲突解决:解决假设冲突
适用于安全关键系统¶
- 航空航天系统
- 国防武器系统
- 医疗设备
- 核能系统
方法对比¶
| 方法 | 阶段 | 关注点 | 适用场景 |
|---|---|---|---|
| 初始架构分析 | 早期 | 架构质量 | 系统设计初期 |
| PAACT-BUS | 全生命周期 | 网络安全 | 威胁建模 |
| 契约与论证 | 全生命周期 | 安全保障 | 安全关键系统 |
中国军工应用启示¶
可借鉴的最佳实践¶
- 架构评估前置:在武器系统设计初期进行架构评估
- 威胁建模嵌入:将网络安全威胁建模嵌入 MBSE 流程
- 安全保障形式化:用模型驱动方法进行安全保障
需要注意的差异¶
- 合规框架:中国有自己的军用标准体系(GJB)
- 威胁模型差异:不同威胁环境需要不同的威胁模型
- 工具生态:国内工具链与 CMU SEI 体系不完全兼容