信息系統(tǒng)“風險熵”計算模型的研究
2011-12-31 00:00:00范建華趙文
現(xiàn)代情報 2011年12期
〔摘 要〕本文基于“熵”的相關(guān)理論,從“熵”的角度考慮研究信息系統(tǒng)風險評估定量分析方法,提出信息系統(tǒng)“風險熵”這一概念,依據(jù)“熵”的不同定義及應(yīng)用原理,分別構(gòu)建兩種信息系統(tǒng)“風險熵”計算模型,旨在能量化信息系統(tǒng)安全狀況。
〔關(guān)鍵詞〕信息系統(tǒng);風險評估;熵;信息系統(tǒng)風險熵
DOI:10.3969/j.issn.1008-0821.2011.12.008
〔中圖分類號〕G203 〔文獻標識碼〕A 〔文章編號〕1008-0821(2011)12-0030-04
Research of Computational Models of Information System“Risk Entropy”Fan Jianhua Zhao Wen
(International Business School,Shanxi Normal University,Xian 710062,China)
〔Abstract〕Based on the theories of the“entropy”,this article researched the quantitative analysis of information system risk assessment in the view of“entropy”,proposed the concept of“risk entropy”and built two kinds computational models of information system“risk entropy”,which could give quantitative assessment about the safe of the information system.
〔Key words〕information system;risk assessment;entropy;information system risk entropy
隨著信息化在全球的快速發(fā)展,世界對信息的需求快速增長,信息的傳遞、交流和共享已成為現(xiàn)代科技和經(jīng)濟發(fā)展的重要前提,信息產(chǎn)品和信息服務(wù)對于各個國家、地區(qū)、企業(yè)、單位、家庭、個人都不可缺少,信息技術(shù)也已成為支撐當今經(jīng)濟活動和社會生活的基石,然而就在整個信息化不斷深入發(fā)展、信息網(wǎng)絡(luò)技術(shù)為人們不斷帶來驚喜的同時,信息安全所導(dǎo)致的問題也在日益突出,逐漸升級。一方面,已為各類社會組織帶來了前所未有的威脅與破壞。另一方面,迫使計算機信息系統(tǒng)的安全狀況不斷面臨著日趨復(fù)雜的挑戰(zhàn)。本文針對當前分析解決信息系統(tǒng)安全問題有效方法之一的信息安全風險評估,在其已有的多種定性、定量分析方法基礎(chǔ)之上考慮用“熵”來對信息系統(tǒng)安全問題再做新視角的定量分析。
1 信息系統(tǒng)安全研究現(xiàn)狀
為了加強信息系統(tǒng)的安全性,不少科研技術(shù)人員,管理人員從技術(shù)手段及管理措施都對信息系統(tǒng)做出了相應(yīng)的努力,也取得了不少成果。
對信息系統(tǒng)安全模型研究較為典型的有:BLP模型:它是專門針對軍方需求設(shè)計的訪問控制模型,也是最早的和迄今為止最為常用的安全模型。Bita模型:該模型用完整性等級取代了BLP模型中的安全等級,用一個結(jié)構(gòu)化網(wǎng)絡(luò)來表示授權(quán)用戶和提供用戶類型級別的劃分。這些屬性可以防止非授權(quán)用戶的修改。對信息系統(tǒng)安全技術(shù)手段研究較為典型的有:加解密算法,安全協(xié)議和安全防護技術(shù)等。除此之外,各國許多專家在信息系統(tǒng)安全評估這一重要研究領(lǐng)域,經(jīng)過多年研究,也已形成了廣泛接受,普遍適用的標準和評估細則。
然而正如引言所述,伴隨著科技的飛速發(fā)展,計算機技術(shù)不斷的創(chuàng)新升級,信息系統(tǒng)的安全問題勢必愈演愈烈,這就需要我們盡可能的從多方面多角度去觀察問題,描述問題,繼而解決問題。
2 熵理論
熵作為一個概念,在希臘文中的字義是發(fā)展演化。從對熵概念的研究歷史來看,熵是由1865年由德國物理學(xué)家克勞休斯(K.Clausius)在熱之唯動說一書中,為了將熱力學(xué)第二定律格式化而提出的。他發(fā)現(xiàn),熵(S)是一個狀態(tài)函數(shù),用它可以表征熱力學(xué)第二定律:
dS=dQ/T
ds0
上式表明:在孤立系統(tǒng)中,不可逆過程使熵值增加,可逆過程則熵值不變,即為著名的熵增加原理。
除此之外,對熵的認識理解還有兩種主要思路,一種是來自統(tǒng)計力學(xué)。1870年玻爾茲曼(L.Boltzmann)研究發(fā)現(xiàn)某物質(zhì)系統(tǒng)的微觀單元的運動狀態(tài)共有Ω種,那么該物質(zhì)系統(tǒng)的lnΩ與熱力學(xué)熵S成正比。由此提出:熵是形容分子運動的無序程度和混亂程度的狀態(tài)量。公式表示為:
S=KlnΩ
另一種是來自信息論[1-2]。香農(nóng)(C.E.Shannon)在1948年將熱力學(xué)熵引進信息論,在信息論中,熵表示的是不確定性的量度。一個系統(tǒng)X的信息量大小H(即信息熵)與該系統(tǒng)的狀態(tài)概率P緊密聯(lián)系在一起。若該系統(tǒng)由狀態(tài)集{a1,a2,…,an}組成,每個狀態(tài)對應(yīng)的概率分別為p1,p2,…,pn,且∑ni=1pi=1。則系統(tǒng)X的信息熵為:
H[X]=H(p1,p2,…,pn)=k∑ni=1PilnPi
在自然科學(xué)和社會科學(xué)的各個領(lǐng)域中存在著大量的不同層次不同類別的隨機事件的集合,由于熵對不確定性和無序度的描述可以不受各個學(xué)科內(nèi)容的限制,因此熵概念能夠廣泛應(yīng)用于眾多學(xué)科[3]。如在物理學(xué)領(lǐng)域有量子熵、黑洞熵等;在化學(xué)領(lǐng)域有電離熵、遷移熵等;在數(shù)學(xué)領(lǐng)域有拓撲熵、樣本熵等等[4]。
信息系統(tǒng)“風險熵”計算模型的研究3 信息系統(tǒng)“風險熵”模型的構(gòu)建
3.1 信息系統(tǒng)“風險熵”的提出
在參考了上述對熵的不同認識理解以及將熵應(yīng)用于眾多學(xué)科,定義出多種熵學(xué)科的基礎(chǔ)上,本文結(jié)合熵原理對信息系統(tǒng)提出“風險熵”的概念和定義,同時構(gòu)建并分析研究不同角度下的信息系統(tǒng)“風險熵”模型。
3.2 基于“系統(tǒng)狀態(tài)豐富程度”的信息系統(tǒng)“風險熵”模型3.2.1 模型的引入
從對熵理論的3種成功認識思路中可以看出[5],雖然它們彼此對應(yīng)用熵理論的原理不一樣,但是在分析中也有一個共同點,即都涉及對象的狀態(tài)。不妨認為熵就是計量狀態(tài)的標尺。所謂狀態(tài)的多少具體是說狀態(tài)的豐富程度。一個系統(tǒng)內(nèi)部的狀態(tài)越多也就是狀態(tài)越豐富、越復(fù)雜。反之,狀態(tài)越少就是狀態(tài)越不豐富、越簡單,越單調(diào)。
豐富程度這個詞在科學(xué)中較為嚴格,但通俗一些而又不歪曲本質(zhì)的提法是復(fù)雜程度。這樣就把熵直接理解為物質(zhì)系統(tǒng)的狀態(tài)的豐富程度或稱為復(fù)雜程度的度量。由此這里定義信息系統(tǒng)“風險熵”為對信息系統(tǒng)面臨風險的狀態(tài)豐富程度的度量。
根據(jù)風險的產(chǎn)生來考慮,只有系統(tǒng)資產(chǎn)本身的脆弱性面臨與之相對應(yīng)的威脅時,才能構(gòu)成風險。在這里考慮構(gòu)建風險熵模型就是找資產(chǎn)脆弱性和威脅的對應(yīng)關(guān)系。這種判斷等同于已有風險評估方法里求風險值。即假設(shè)某資產(chǎn)為A1,它面臨2個威脅,其威脅發(fā)生頻率值分別為T1和T2,T1可以利用A1存在的2個脆弱性,分別為V1和V2;T2可以利用用A1存在的3個脆弱性,分別為V3、V4和V5,因此資產(chǎn)A1面臨的風險值共有5個。
3.2.2 模型的定義與計算
根據(jù)上述的解釋,構(gòu)架信息系統(tǒng)“風險熵”數(shù)量化模型如下:
Hi=clnΩi①
其中,Ωi=f(Vi,Ti),(i=1,2,3…n)
Ωi為某信息資產(chǎn)的風險態(tài)個數(shù),其數(shù)值由威脅與脆弱性決定;
C是一個比例常數(shù);
Vi是信息資產(chǎn)存在的脆弱性個數(shù);
Ti是信息資產(chǎn)面臨的威脅個數(shù)。
3.2.3 模型的分析
客觀地說,信息系統(tǒng)之間如果不發(fā)生信息的交流,傳遞,即它處于一種相對的靜態(tài)時,它所面臨的風險會低于信息在各個信息系統(tǒng)之間交流、傳遞時的狀態(tài),從極限角度分析此模型存在兩個極限狀態(tài)值。
H=0:信息系統(tǒng)處于相對靜態(tài),即各實體資產(chǎn)處于無用狀態(tài)。
H=HMAX:信息系統(tǒng)處于相對動態(tài),即各資產(chǎn)處在應(yīng)用當中,同時信息系統(tǒng)處于裸保護。
為了方便對此模型的理解,現(xiàn)選取某公司信息系統(tǒng)的“物理環(huán)境”為要評估的資產(chǎn),對其所面臨的威脅及自身脆弱性識別列舉如下圖1:
威脅脆弱性 斷電靜電灰塵潮濕溫度鼠疫蟲害電磁干擾洪災(zāi)火災(zāi)地震雷擊機房場地機房防火機房供配電機房防靜電機房接地與防雷電磁防護通信線路的保護機房區(qū)域的防護機房設(shè)備圖1 “物理環(huán)境”面臨的威脅與自身脆弱性對應(yīng)關(guān)系圖
圖1中連線表示左側(cè)威脅與右側(cè)脆弱性相對應(yīng)的關(guān)系,可以看出“物理環(huán)境”的Ω=f(V,T)=14,H=ClnΩ=Cln14=3C。因為C是比例常數(shù),可以根據(jù)不同的信息系統(tǒng)需要確定數(shù)值,由此可計算出信息系統(tǒng)里每一個需要評估的信息資產(chǎn)的風險熵值。由熵的基本原理知道,信息系統(tǒng)內(nèi)某資產(chǎn)熵值越大,即其所呈現(xiàn)“風險態(tài)”的豐富程度就越高,相比其它資產(chǎn)來說越危險,從做好信息系統(tǒng)安全管理的角度來看,可依據(jù)此模型求出的風險熵值高低有主次的采取相應(yīng)保護措施降低信息系統(tǒng)內(nèi)熵值高的資產(chǎn),將資產(chǎn)的風險弱化,故而達到降低信息系統(tǒng)風險目的。
這種模型要求計算出需要判別的信息資產(chǎn)的風險熵值,而熵值計算的模型中需要識別列舉所關(guān)注信息資產(chǎn)面臨的威脅和自身脆弱性,而目前在信息安全管理研究進展中,威脅的窮舉是個暫時還未解決的難題,導(dǎo)致該模型公式計算信息系統(tǒng)風險熵集中表現(xiàn)在對信息資產(chǎn)的主要風險態(tài)的豐富程度做到定量計算,不能窮盡資產(chǎn)的所有風險態(tài),自然計算結(jié)果并非完全精確。所以只有對信息系統(tǒng)資產(chǎn)面臨的威脅和自身脆弱性認識越全面詳盡,其“風險熵”計算結(jié)果越能準確反映該資產(chǎn)“風險態(tài)”的豐富程度,繼而為后續(xù)信息系統(tǒng)的安全管理提供更可靠依據(jù)。
3.3 基于“信息系統(tǒng)損失分析數(shù)量度量”的信息系統(tǒng)“風險熵”模型 與上述的信息系統(tǒng)“風險熵”模型的含義理解不同的是,以下建立的信息系統(tǒng)的“風險熵”模型是從另一角度研究的。即構(gòu)建數(shù)量化模型力求計算出信息系統(tǒng)內(nèi)實體資產(chǎn)與信息資產(chǎn)的熵值,旨在對信息系統(tǒng)遭遇風險的損失有個數(shù)量度量。
3.3.1 信息系統(tǒng)安全的考量因素
有文獻[6]定義信息系統(tǒng)是指用于采集、處理、存儲、傳輸、分布和部署信息的整個基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和。其基本構(gòu)成元素如下:計算機硬件、軟件、網(wǎng)絡(luò)、人員和信息流程。這些元素彼此合作,為組織的運營和管理提供有價值的信息,因此信息系統(tǒng)的安全性分析是基于上述元素以及其提供信息的綜合分析。
從信息安全的屬性來看,被學(xué)術(shù)界普遍認可的是信息安全金三角CIA的框架,而與CIA三元組相反的是DAD三元組的概念,即泄漏(Disclosure)、篡改(Alteration)和破壞(Destruction),實際上DAD就是信息安全面臨的最普遍的3類風險,是信息安全實踐活動最終應(yīng)該解決的問題[7]。
文獻[8]對信息系統(tǒng)安全的定義:信息系統(tǒng)安全是指確保信息系統(tǒng)結(jié)構(gòu)安全、與信息系統(tǒng)相關(guān)的元素安全以及與此相關(guān)的各項安全技術(shù)、安全服務(wù)和安全管理的總和。由此分析信息系統(tǒng)的安全從以下兩項內(nèi)容考慮:(1)信息系統(tǒng)各實體資產(chǎn)安全;(2)信息系統(tǒng)所傳遞的信息安全。
3.3.2 模型的定義與計算
在有了前述對“熵”、信息系統(tǒng)安全相關(guān)考量因素的認識理解后,從計算信息系統(tǒng)遭遇風險損失后的數(shù)量表征結(jié)果出發(fā),構(gòu)建信息系統(tǒng)“風險熵”計算模型,以定期時間為檢測單位,對信息系統(tǒng)安全所涉及的對象分別計算出“風險熵”值,用數(shù)量結(jié)果分析信息系統(tǒng)遭遇風險損失情況,為信息系統(tǒng)安全管理的后續(xù)研究提供某些數(shù)量化參考對象,提高信息系統(tǒng)安全管理工作效率。
在此模型中,一個相對完整的信息系統(tǒng)“風險熵”從構(gòu)成來講包括:信息系統(tǒng)實體資產(chǎn)風險熵:SA和信息系統(tǒng)信息風險熵:SR。同時定義信息系統(tǒng)資產(chǎn)風險熵是指對信息系統(tǒng)中信息實體資產(chǎn)發(fā)生風險導(dǎo)致安全損益的度量;信息系統(tǒng)風險熵是對信息系統(tǒng)中的信息遭遇的最普遍的3類風險的影響的度量。
其中SA、SR計算公式分別如下:
SA:信息系統(tǒng)實體資產(chǎn)風險熵
SA=∑ni=1dli/p②
dli:信息系統(tǒng)各信息資產(chǎn)的損益比,其中dli=vi/ci,vi為信息系統(tǒng)實體資產(chǎn)的意義價值,ci為信息系統(tǒng)實體資產(chǎn)的實際購買價值。
P:信息系統(tǒng)中實體資產(chǎn)抵御風險最低防護能力等級。
對②式的含義理解如下:分子、分母分別代表廣延量和強度量,即廣延量與強度量之比得廣義熵,由于廣義熵具有勢函數(shù)的品格,故可作為系統(tǒng)的判據(jù)。(廣延量:整體的值是2個或2個以上部分值的和,如:長度 ;強度量:整體和部分相同,如:壓強)。例如信息系統(tǒng)中實體資產(chǎn)“液晶顯示器”的購買價格為1 000元,它的意義價值為200元(在信息系統(tǒng)的運作中,液晶顯示器不能正常工作并不影響硬盤里的數(shù)據(jù)信息,故其意義價值低于出售價格),損益比dl1=0.2,p的取值決定于信息系統(tǒng)實體資產(chǎn)中防護能力最弱的資產(chǎn),即信息系統(tǒng)的防護能力由防護能力最弱的資產(chǎn)定。依據(jù)相對取值的原理:一個信息系統(tǒng)當中總有抵御風險能力最薄弱的實體資產(chǎn),這個薄弱處資產(chǎn)的取值在本信息系統(tǒng)中量化取1,即②式中的P值為1。
SR:信息系統(tǒng)信息風險熵
SR=∑ni=1p(xi)log1p(xi)=-∑ni=1p(xi)logp(xi) (i=1,2,3)③
③式中,令B(x1,x2,x3)為信息系統(tǒng)中信息可能遭遇的3類風險,其中xi為對應(yīng)某類風險的相關(guān)信息,P(xi)是關(guān)于此類風險的相關(guān)信息的確知度,在實際信息系統(tǒng)計算應(yīng)用時,P(xi)是信息在一定時間內(nèi)發(fā)生上述3類風險的統(tǒng)計概率值,且P(xi)≤1。
3.3.3 模型的分析
如同前述熵理論中所說的,在熱力學(xué)中,物理系統(tǒng)的熵在不可逆過程中隨著時間的變化總是在單調(diào)遞增的,除非有外界能量介入才會導(dǎo)致它的熵值減小。信息系統(tǒng)也是如此,隨著各種實體資產(chǎn)的增加以及數(shù)據(jù)信息的不斷產(chǎn)生、傳遞,信息系統(tǒng)實體資產(chǎn)風險熵和信息系統(tǒng)信息風險熵的熵值是逐步單調(diào)增加的,只有借助外界的防護措施,才有可能降低各熵值。
一旦信息系統(tǒng)發(fā)生風險勢必造成損失,而即便最大程度的彌補信息系統(tǒng)的損失,從某種意義上講也不能使其恢復(fù)如初,即發(fā)生風險導(dǎo)致?lián)p失決定了信息系統(tǒng)運行的不可逆。此模型求得的各熵值在量化表述信息系統(tǒng)風險損失程度的前提下也反映出信息系統(tǒng)運行過程不可逆性的大小,亦即可作為不可逆性的量度。但是正如“一枚硬幣的兩面性”一樣,此種模型在其具有創(chuàng)新性意義的前提下也有些許不足,例如對信息系統(tǒng)實體資產(chǎn)意義價值的確定還有待精確化、客觀化等。
4 結(jié) 語
由于信息系統(tǒng)所面臨的安全問題的復(fù)雜性,多樣性,不可預(yù)見性等特征,決定了對一個實際信息系統(tǒng)進行安全分析是一項艱巨的任務(wù)。本文是在對“熵”基本原理的理解上,從本著最大限度保護信息系統(tǒng)安全這一原則出發(fā),從不同角度,不同側(cè)重點出發(fā)構(gòu)建本質(zhì)意義不同的信息系統(tǒng)“風險熵”模型,這不僅是對信息安全風險評估增加定量分析的評估方法,也是對信息系統(tǒng)實體資產(chǎn)與數(shù)據(jù)信息在遭遇風險后損失的數(shù)量化度量,更是對“熵”這一概念廣泛應(yīng)用的又一跨越。但由于熵理論本身十分豐富和復(fù)雜,信息系統(tǒng)遭遇風險也有眾多不可估量的因素,故上述兩個信息系統(tǒng)“風險熵”模型也都分別存在一些未考慮完善的問題。需要在后續(xù)研究中,不斷努力,理論上更好的詮釋代表不同意義的信息系統(tǒng)“風險熵”熵值分析方法,解決模型存在的某些不足,實證上更好的驗證不同信息系統(tǒng)“風險熵”的實用性,方便不同企業(yè)依據(jù)各自系統(tǒng)特點、業(yè)務(wù)需求等做好按需選取分析模型,以求有效,經(jīng)濟的做好信息系統(tǒng)安全管理。
參考文獻
[1]賈世樓,等.信息論理論基礎(chǔ)(第二版)[M].哈爾濱:哈爾濱工業(yè)大學(xué)出版社,2004.
[2]傅祖蕓.信息論——基礎(chǔ)理論與應(yīng)用[M].北京:電子工業(yè)出版社,2001.
[3]朱耀鎧.信息系統(tǒng)安全熵值分析方法研究[D].國防科學(xué)技術(shù)大學(xué),2008.
[4]何西培,何坤振.信息熵辨析與熵的泛化[J].情報雜志,2006,(1):110-112.
[5]張學(xué)文.熵究竟是什么.熵與交叉學(xué)科[M].北京:氣象出版社,1988.
[6]全國信息安全標準化技術(shù)委員會,TC260 N0001,信息技術(shù)安全技術(shù)信息系統(tǒng)安全保障等級評估準則第一部分:簡介和一般模型[S].2004.
[7]戴宗坤,羅萬伯,等.信息系統(tǒng)安全[M].北京:電子工業(yè)出版社,2002.
[8](美)M.達塔.熵的一百年[J].今日物理,1968,21(1).譯文載《摘譯——外國自然科學(xué)哲學(xué)》,1976,(1).
[9]C,E.Shannon,A Mathematical Theory of Communication[J].Bell System Technical Journal,1948,27.
