一般系統論意義下的信息安全體系模型

郭玉翠, 雷 敏, 楊義先

（1.北京郵電大學理學院,北京 100876;2.北京郵電大學信息安全中心,北京 100876;3.災備技術國家工程實驗室,北京 100876）

0 引言

隨著互聯網進入國家事務和人們生活的各個方面,信息安全被提到前所未有的高度,信息安全就是國家安全已經成為共識。然而當前信息安全領域的現狀是實踐和技術層面的探索多于理論方面的研究。面對互聯網和計算機技術中不斷出現的復雜情況和安全問題,原有的信息安全理論已經無法支持技術的發展,信息安全的發展迫切需要新的信息安全理論[1]。

提出采用一般系統論[2]的方法研究信息安全的理論體系,將信息安全作為一個由多種要素并且和環境產生相互作用的動態開放型系統,人、操作和技術是組成系統的主要核心因素;而主機、網絡、系統邊界和支撐性基礎設施是影響系統整體性、關聯性,等級結構性、動態平衡性、時序性等系統特征的重要因素。通過微分方程建模來研究這些因素之間的相互關系、相互作用和相互影響;通過微分方程的分析求解來研究系統環境、系統結構和系統行為以及系統運行的規律和特點;目的是探討實現預警、保護、檢測、反應和恢復等安全內容的途徑。為以信息的保密性、完整性和可用性為內容的信息安全體系建立理論基礎,最終實現信息安全系統的可控制性、可管理性和可改造性,使它的存在與發展合乎日益發展的安全需要。

1 信息安全的快速發展迫切需要新的理論成果作為支撐

在20世紀90年代前,信息安全等同于通信保密。因為信息安全的主要威脅來自于專業化的通信攻擊,最有效的保護措施就是信息加密,因此密碼學在20世紀得到較為充分的發展。這個時期被稱為通信保密（COMSEC）時代,這個時期的信息安全理論的理論基礎是Shannon的《信息論》。

在20世紀90年代前后,隨著互聯網的興起和信息概念的豐富和發展,數字化的信息安全內容也發生了變化,信息安全除了有保密性的需要外,人們意識到安全還需要包含信息的完整性、信息和信息系統的可用性等,于是就有了信息的保密性、信息的完整性和信息的可用性（Confidentiality Integrity Availability,CIA）等概念,CIA模型成為這一時期的基礎的構件,這一階段稱為網絡和信息安全階段。

此后從20世紀90年代后期開始,信息安全的概念也從信息的保護擴展到對整個信息和信息系統的保護和防御,包括對信息系統的保護、檢測、反應和恢復能力。針對計算機病毒、網上竊密和黑客攻擊等新情況的出現,信息安全除了要重視保密能力外,還要提高系統的入侵檢測能力,系統的安全預警能力、系統的事件反應能力和系統遭到入侵引起破壞的快速恢復能力等。信息安全表現為系統的安全,所用的基本技術是防火墻、虛擬專用網絡（Virtual Private Network,VPN）、加密隧道、入侵檢測系統（Intrusion Detection Systems,IDS）入侵檢測、防病毒等。然而這些技術尚缺乏強有力的理論支撐。

現在,隨著互聯網的飛速發展和進入人們社會生活的各個方面,信息安全也進入了一個全新時期,正是因為信息安全問題本身發生了顯著變化,原有的理論已經跟不上技術的發展,在這種情況下,發展信息安全理論的需要就顯得尤為重要和迫切。托馬斯-庫恩在《科學革命的結構》[3]中指出:新的理論的出現,一定要有實踐變化的促因。實踐的變化必然引出新理論。信息安全技術的發展已經為信息安全理論的發展開辟了道路。

然而信息安全的理論問題是一個非常復雜的問題,表現在技術、理論和綜合戰略等諸多方面,信息安全已經表現為一種集體的和綜合性的安全[4-6]。和政治安全、經濟安全、文化安全一樣,信息安全不是單一的學科能夠解決的,一定是要在一個大的背景下研究和探討。因為網絡信息安全的對象是一個開放性的、有人參與其中的、與社會系統緊密耦合的復雜巨系統;網絡信息安全的是一個時時處處有人參與的、自適應的、不斷演化的、不斷涌現出新的整體特性的過程;網絡安全管理是綜合集成性的,而不是一般的管理手段的疊加和集成;兩者的本質區別在于前者強調人在其中的關鍵性作用,因此網絡信息安全是人網結合、人機結合、充分發揮各自優勢的安全,是經過綜合集成的安全系統,這個系統將涌現出嶄新的安全性質——整體大于部分之和。

文中采用一般系統論[2]研究方法的實質正是“整體大于部分和”,其含義是系統的組合特征不能用孤立部分的特征來解釋。比如采用信息安全保障的WPDRR（warning（預警）,Protect（保護）,Detect（檢測）,React響應）and Restore（恢復）各詞首個字母的組合）模型（圖1）[7-8],信息安全系統由人、操作、技術以及預警、保護、檢測、響應、恢復等因素構成,任意一個單一的因素都不能表示整體的特征,整體的特征與其要素相比表現為“突現性”。然而研究必須從要素開始,如果知道了一個系統所包含的所有組成部分以及它們之間的關系,那么就有可能從組成部分的行為推導出這個系統的行為。

2 基于一般系統論的信息安全理論體系

一般系統論之父、美籍奧地利生物學家貝塔朗菲將系統定義為“由相互作用著的若干要素組成的復合體”。他認為,若干要素（Q）處于若干關系（R）中,以致一個要素Q在R中的行為不同于它在另一個關系R′中的行為。系統具有以下屬性:整體性、關聯性,等級結構性、動態平衡性、時序性等。按照這樣的定義,信息安全的各要素組成一個系統（如圖2）[9-12]:信息安全的目標,即保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）（CIA）將信息安全的3個內容:硬件安全、軟件安全和通信安全聯系在一起,在物理、人員和組織3個層面上通過制定和應用信息安全行業的標準來實現保護與防御機制。從本質上講,標準和政策的實施是要告訴核心因素——人（管理員,用戶和運營商）如何使用安全產品,以確保組織內的信息安全。

圖1 信息安全保障的WRDRR模型

圖2 信息安全系統

一般系統論認為處在一定相互聯系中,與環境發生關系、由各個組成部分組成的整體即是系統,整體性、關聯性,等級結構性、動態平衡性、時序性等是所有系統共同的基本特征。從這個意義上講,信息安全構成一個系統。各要素之間的關系見圖1,其中保證信息的保密性、完整性和可用性是信息安全的核心,即第一層次;第二個層次是要保證硬件安全、軟件安全和通信安全;第三個層次是要實現人員安全（即操作和使用系統的人員出了問題,一定會給安全帶來極大的障礙）,組織安全（即要遵循信息安全的相關法令、公約和標準等等）和產品安全（也稱物理安全,因為與安全相關的許多問題最終要以產品的形式呈現）。顯然這些要素組成一個信息安全整體;各要素之間是相互關聯的,偏失了哪一方面,都會使安全出現漏洞,造成損失;這些要素具有等級結構性,比如人員安全處于信息安全的基礎等級,而信息的完整性處于信息安全的較高等級;這些因素是處于動態平衡狀態的,在系統內始終會存在此消彼長的漲落狀態,但系統是自組織的,運動的,處于動態平衡狀態或趨于動態平衡狀態的;時序性在信息安全系統的運行中也是比較突出的特征,由于系統的漲落、運動,此時此地的情形會區別于彼時彼地的情形,顯現出時序性。由此可見信息安全系統具備一般系統的共同的基本特征,可以遵循一般系統論的思想和研究方法來研究信息安全系統。

3 一般系統論意義下信息安全理論體系的數學模型

采用微分動力系統方法研究信息安全系統以及組成系統各要素之間的關系。取一組聯立的微分方程

其中,Pi表示要素Qi（i=1,2,…,n）的某個量。（1）式表明任何一個量Pi的變化,是所有P（從Pi到Pn）的函數;反之,任一Pi的變化承擔著所有其他量以及整個方程組的變化。在具體的研究過程中,需要將整個系統分成若干個子系統,這些子系統是大系統的成員,它本身又構成下一個較低層次的系統。其要素P1,P2,…,Pn中每一個又是要素Pi1,Pi2,…,Pin的系統,其中每一個系統 W又可以用與（1）式相似的方程來定義

系統這樣的重疊叫做層次序列。這樣的層次結構,一層層地組合為層次越來越高的系統。

如果考慮單個因素的影響,就要在（1）式中取的一種特殊情況:要素之間的相互作用隨時間而減小。即在（1）式中,Pi的系數不是常數,而是隨時間減小,

在這種情況下,系統從整體狀態演變為各要素獨立的狀態。系統的原始統一狀態逐漸地分裂為各自獨立的因果鏈,在一般系統論中把這種情況叫做漸進分異。

系統分異為從屬的部分系統意味著它的復雜性增加,向高層次轉化,其先決條件是要有能量補給,而只有開放系統才能從環境中取得能量,并不斷地把它輸入系統內部。因此,還需要將信息安全系統看成是開放系統。

開放系統被定義為與環境交換物質、能量和信息的系統,表現為輸入和輸出,物質組分的組建與破壞。

根據耗散結構理論創始人普利高津理論[13],開放系統中的熵的總變化量可以寫成

其中deS代表由于輸入而引起的熵變化,diS代表由于系統內不可逆過程而產生的熵。根據熱力學第二定律,diS項總是正的;deS傳遞熵可以是正的,也可以是負的,后者是由于輸入攜帶的自由能或“負熵”的物質勢能載體而引起的。這是有機體系統里負熵趨勢的依據。

開放系統和封閉系統的一個根本區別就是:封閉系統最終必定達到不依賴于時間的化學和熱力學平衡狀態;反之,開放系統在一定條件下可能達到一種叫做穩態的不依賴于時間的狀態。處于穩態的系統,盡管它的組分不斷變換,卻保持恒定的構成。

一般地將沒有物質（或能量及信息）輸入或輸出的系統叫做“封閉”系統,而“開放”式系統被定義為與環境交換物質（或能量及信息）的系統,表現為輸入和輸出,物質組分會發生重新組建也會發生破壞。信息安全系統是一個開放性系統,所以在研究的過程中,不但要考慮系統內各要素的性質、作用以及它們之間相互作用的特點和規律,還要研究系統與環境之間的相互影響和作用,這樣才能把握系統發展和運動的方向,找到系統優化的方法。根據熱力學第二定律,封閉系統最終必定達到一個不依賴于時間的平衡狀態,這可以用最大熵和最小自由能來定義,其中各項之間比率保持不變。一個平衡的封閉系統不需要吸收能量來維持,也不能從它得到能量。例如一個封閉的水庫含有大量的（勢）能,但它不能驅動一臺發動機。

為了使系統做功,即可能產生能量的輸入和輸出,必須使系統處于非平衡態,但有趨于平衡態的趨勢即要維持系統的動態平衡?？梢杂靡粋€一般的傳輸方程來推導這種狀態的條件和特性。令 Pi是系統的第i個元素的一個量,它的變化可以表示為

其中 Ti代表在空間某點一個體積元內元素Pi的傳輸速度,而 Qi是生產率。

對于信息安全系統,這里得到一組聯立的偏微分方程,Qi和Ti一般都是Pi和其他系統變量Pj的非線性函數,此外還是空間坐標x,y,z和時間t的函數。為解此方程,必須給出方程的特殊形式及其初始條件和邊界條件。

通常,用微分方程（5）定義的一個系統可能有3種不同的解,第一個是P可以無限增長的解;第二,可以達到一個不隨時間變化的穩態解;第三,可能有周期解。

要證明一般系統（5）存在穩態解是困難的,只能在某些情況下證明它。假設方程右邊兩項都是Pi的線性函數,并且不依賴于時間t,則可以用積分方法求出具有下列形式的解

其中Pi2是時間 t的函數,在某些邊界條件下,隨著時間的增長,這一項可以減小到零。

另一方面,如果存在一個用（6）式中的Pi1表示的不依賴于時間的穩態,則Pi1必須滿足不依賴于時間的方程

由此可以得到下列結論:

（i）如果存在恒定解,并且沒有像在封閉系統中那樣達到平衡態,則盡管有物質流入或流出系統,處于穩態的系統的構成相對于組分Qi保持不變,信息安全系統能非常好地表示了這個特征。

（ii）在穩態中,每單位時間內依靠傳輸和相互作用加入狀態 Qi（x,y,z,t）的元素的數目等于離開它的數目。

4 結束語

組成信息安全系統的要素不僅數量眾多,而且關系復雜。文中給出采用一般系統論方法[13-16]來表示和描述系統各要素（或稱組分）以及它們之間的相互影響和相互作用的數學模型,這些模型可以用非線性微分方程來表示。也就是說可以通過微分方程的求解來分析信息安全系統和組成系統的各要素的行為、作用、相互影響和對系統存在和發展的貢獻,從理論上分析控制、管理、改造信息安全系統的方法和途徑,以使它的存在與發展合乎日益變化的安全需要的目的。

[1] 崔光耀.網絡信息安全呼喚理論創新[EB/OL].http://netsecurity.51cto.com,2007-08-31.

[2] [美]貝塔朗菲.林康義,魏宏森等,譯.一般系統論基礎、發展和應用[M].北京:清華大學出版社,1987.

[3] [美]托馬斯?庫恩.金吾倫,胡新和,譯.科學革命的結構[M].北京:北京大學出版社,2003.

[4] 南相浩.淺談信息安全發展動向[J].信息安全與通信保密,2008,（5）.

[5] 吳世忠.電子政務的安全態勢與頂層設計[J].信息系統工程,2010,（11）.

[6] 何德全.網絡安全需要多方面有機結合[EB/OL].ERP世界網http://www.enicn.com/2009/1016/1119.shtml,2009-10-16.

[7] 王代潮,曾德超,劉巖.信息安全管理平臺理論與實踐[M].北京:電子工業出版社,2007.

[8] From Wikipedia,the free encyclopedia,Information security[EB/OL].http://en.wikipedia.org/wiki/Information-security.

[9] Anderson,K.IT Security Professionals Must Evolve for Changing Market[J].SC Magazine,2006,（12）.

[10] Aceituno,V.On Information Security Paradigms[J].ISSA Journal,2005,（9）.

[11] Dhillon,G.Principles of Information Systems Security:text and cases[M].John Wiley&Sons,2007.

[12] 湛墾華,沈小峰.普利高津與耗散結構理論[M].西安:陜西科學技術出版社,1982.

[13] Norell Bergendahl M,Grimheden M,Leifer,L.etc.General Systems Theory Based Integral Design Method[J].Proceedings of the 17th International Conference on Engineering Design（ICED'09）,2009,（5）.

[14] Vladislav V Tokarev,Veniamin N.Livchits,SYSTEMS ANALYSIS AND MODELING OF INTEGRATED WORLD SYSTEMS[EB/OL].www.eolss.net/ebooklib/ViewEbookDetail-1.aspx?catid=15&fileid=E1-26,2009.

[15] Jokela P,Karlsudd P,stlund M.Theory,Method and Tools for Evaluation Using a Systems-based Approach[J].The Electronic Journal Information Systems Evaluation 2008,11（3）:197-212.

[16] Edward Garrity.Improving Organizational Systems:Incorporating General Systems Theory and Design Principles,Managing worldwide operations and communications with information technology:2007 Information Resources Management Association International Conference,Vancouver,British Columbia,2007,（1）:19-23.