跳转至

MBSE 安全性与架构分析方法

核心理念

安全左移:将安全分析从后期验证阶段前移到架构设计阶段,在系统设计早期识别和缓解安全风险。

CMU SEI 架构分析框架

初始架构分析(Preliminary Architecture Analysis)

方法论

  • 在系统开发早期阶段进行结构化的架构评估
  • 建模方法论:场景和模型示例
  • 组织功能域映射与业务目标对齐

关键活动

  1. 场景定义:定义评估场景
  2. 模型构建:建立架构模型
  3. 功能域映射:映射组织功能域
  4. 目标对齐:与业务目标对齐

价值

  • 支持早期决策制定
  • 降低后期变更成本
  • 提高架构质量

主动式网络安全威胁架构分析(PAACT-BUS)

核心问题

  • MBSE 是什么?
  • 能用白板进行威胁狩猎吗?
  • 安全分析和建模应贯穿整个生命周期

PAACT-BUS 方法

  • Proactive:主动式
  • Architectural:架构级
  • Analysis:分析
  • Cybersecurity:网络安全
  • Threats:威胁
  • BUS:业务统一安全

关键步骤

  1. 威胁建模嵌入:将威胁建模嵌入 MBSE 流程
  2. 全生命周期覆盖:安全分析贯穿整个生命周期
  3. 主动识别:在架构阶段主动识别威胁

基于模型的契约与论证

多声明-多分析框架

  • 多个保证声明:针对不同安全属性
  • 多个分析方法:组合多种分析技术
  • 假设验证:验证分析假设
  • 冲突解决:解决假设冲突

适用于安全关键系统

  • 航空航天系统
  • 国防武器系统
  • 医疗设备
  • 核能系统

方法对比

方法 阶段 关注点 适用场景
初始架构分析 早期 架构质量 系统设计初期
PAACT-BUS 全生命周期 网络安全 威胁建模
契约与论证 全生命周期 安全保障 安全关键系统

中国军工应用启示

可借鉴的最佳实践

  1. 架构评估前置:在武器系统设计初期进行架构评估
  2. 威胁建模嵌入:将网络安全威胁建模嵌入 MBSE 流程
  3. 安全保障形式化:用模型驱动方法进行安全保障

需要注意的差异

  1. 合规框架:中国有自己的军用标准体系(GJB)
  2. 威胁模型差异:不同威胁环境需要不同的威胁模型
  3. 工具生态:国内工具链与 CMU SEI 体系不完全兼容

参考资源

相关页面