□趙攀

中國空間技術(shù)研究院 北京空間技術(shù)研制試驗(yàn)中心 北京 100094

信息安全評估［1］是指依據(jù)國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評價(jià)的過程，它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識(shí)別信息吸取的安全風(fēng)險(xiǎn)。

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷［2］。 信息安全［3］主要包括 5 個(gè)方面的內(nèi)容，即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。系統(tǒng)信息安全［4,5］主要所面臨的問題可以分為兩種：一種是針對網(wǎng)絡(luò)系統(tǒng)中傳遞的信息的威脅；另一種是針對網(wǎng)絡(luò)系統(tǒng)中連接的設(shè)備中所儲(chǔ)存信息的威脅。2000年12月國際標(biāo)準(zhǔn)化組織在BS7799的基礎(chǔ)上制定并通過了ISO/IEC 17799，它主要采用系統(tǒng)工程的方法保護(hù)信息安全［6］。

貝葉斯網(wǎng)絡(luò)（Bayesian Network，BN）［7］又稱為信念網(wǎng)，是1988年由Pearl提出的一種用有向無圈圖來描述隨機(jī)變量（事件）之間的因果關(guān)系，并引入概率進(jìn)行貝葉斯推理的一種模型。在貝葉斯網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)表示一個(gè)隨機(jī)變量，節(jié)點(diǎn)間通過一個(gè)單向弧表示兩節(jié)點(diǎn)間的依賴關(guān)系，同時(shí)每個(gè)節(jié)點(diǎn)都附有一個(gè)相應(yīng)的概率［8］。貝葉斯網(wǎng)可以從定性和定量兩個(gè)層面來理解。在定性層面，它用有向無圈圖描述了變量之間的依賴和獨(dú)立關(guān)系；在定量方面，它用條件概率分布刻畫了變量對其父節(jié)點(diǎn)的依賴關(guān)系。利用貝葉斯網(wǎng)絡(luò)模型可以實(shí)現(xiàn)預(yù)測、分類、因果分析等數(shù)據(jù)挖掘任務(wù)［9］。

目前，貝葉斯網(wǎng)絡(luò)已廣泛應(yīng)用于各領(lǐng)域，用于表達(dá)和分析不確定性和概率性事件，用于有條件地依賴多種控制因素的決策，可以從不完全、不精確或不確定的知識(shí)或信息中做出推理。本文結(jié)合信息系統(tǒng)結(jié)構(gòu)的特點(diǎn)和一些信息安全評估標(biāo)準(zhǔn)，根據(jù)層次分析法建立了一個(gè)信息安全層次結(jié)構(gòu)模型；其次，結(jié)合貝葉斯網(wǎng)絡(luò)由節(jié)點(diǎn)、有向邊、節(jié)點(diǎn)概率分布構(gòu)成的特點(diǎn)，將信息安全層次結(jié)構(gòu)模型轉(zhuǎn)換為貝葉斯網(wǎng)絡(luò)模型，建立了信息安全貝葉斯網(wǎng)絡(luò)模型；最后運(yùn)用層次分析法對信息安全貝葉斯網(wǎng)絡(luò)模型進(jìn)行節(jié)點(diǎn)權(quán)重系數(shù)計(jì)算，并利用BayesiaLab對信息安全進(jìn)行了評估。

1 系統(tǒng)信息安全貝葉斯網(wǎng)絡(luò)模型

1.1 系統(tǒng)信息安全層次結(jié)構(gòu)

AHP法是一種強(qiáng)有力的綜合系統(tǒng)分析與運(yùn)籌學(xué)的方法，對多因素、多標(biāo)準(zhǔn)、多方案的綜合評價(jià)及趨勢預(yù)測相當(dāng)有效。面對由“目標(biāo)層+準(zhǔn)則層+指標(biāo)層”構(gòu)成的遞階層次結(jié)構(gòu)決策分析問題，給出了一整套處理方法與過程。AHP法最大的優(yōu)點(diǎn)是可以處理定性與定量相結(jié)合的問題，可以將決策者的主觀判斷與政策經(jīng)驗(yàn)導(dǎo)入模型，并加以量化處理。下面根據(jù)AHP建立一個(gè)系統(tǒng)信息安全評估層次結(jié)構(gòu)模型，該模型中各層次的因素如下。

（1）目標(biāo)層。本次評估的目標(biāo)是保證系統(tǒng)信息的安全，因此將信息安全作為目標(biāo)層。信息安全是指信息的保密性、完整性和可用性的保持。

（2）準(zhǔn)則層。將信息的三大屬性定為準(zhǔn)則層，即保密性 （Confidentiality）、 完整性 （Integrity） 和可用性（Availability）。保密性是指保證信息不被未授權(quán)的用戶、實(shí)體或進(jìn)程使用。完整性是指保證信息在傳輸過程中不被未授權(quán)者在偶然或惡意的環(huán)境下進(jìn)行修改、刪除、偽造、插入等破壞?？捎眯允侵副ＷC被授權(quán)者在需要時(shí)可以即時(shí)訪問信息及系統(tǒng)資源和服務(wù)。

（3）指標(biāo)層。① 保密性。根據(jù)《信息技術(shù) 開放系統(tǒng)互連開放系統(tǒng)安全框架第5部分：保密性框架》（GB/T 18974.5-2003/ISO/IEC 10181-5：1996），可以得出針對信息保密性的風(fēng)險(xiǎn)主要表現(xiàn)在：存在性、存取性和可理解性。確定與保密性相關(guān)的指標(biāo)層元素為：存在性、存取性、可理解性、人力資源安全性、物理和環(huán)境安全性。②完整性。根據(jù)《信息技術(shù) 開放系統(tǒng)互連開放系統(tǒng)安全框架 第6部分：完整性框架》（GB/T 18974.6-2003/ISO/IEC 10181-6：1996），得出針對信息完整性的指標(biāo)層元素為：篡改、創(chuàng)建、重放。③ 可用性?？捎眯允潜ＷC已授權(quán)用戶在需要時(shí)可即時(shí)獲取相應(yīng)信息。針對信息可用性的指標(biāo)層元素為：人員的可靠性、硬件的可靠性。

綜上，信息安全層次結(jié)構(gòu)如圖1所示。

▲圖1 系統(tǒng)信息安全評估層次結(jié)構(gòu)

1.2 模型建立

根據(jù)信息安全層次結(jié)構(gòu)，結(jié)合貝葉斯網(wǎng)絡(luò)，提出一種信息安全評估貝葉斯網(wǎng)絡(luò)模型。信息安全貝葉斯網(wǎng)絡(luò)模型是用網(wǎng)絡(luò)結(jié)構(gòu)表達(dá)與信息安全有關(guān)的各種因素及其相互關(guān)系的一種評估模型，用一個(gè)三元組（X，A，P）表達(dá)。 其中：X=｛X0，X1j，X2j｝為與信息安全相關(guān)的目標(biāo)層、準(zhǔn)則層、指標(biāo)層元素集合。

將圖1中的系統(tǒng)信息安全層次結(jié)構(gòu)轉(zhuǎn)換為貝葉斯網(wǎng)絡(luò)，如圖2所示。

其中信息安全為N0；完整性、保密性、可用性分別為 N11、N12、N13；篡 改 、創(chuàng) 建 、重 放 分 別 為 N211、N212、N213；人力資源安全性、存在性、存取性、物理和環(huán)境安全性、可理解性分別為 N221、N222、N223、N224、N225；人員可靠性、硬件可靠性分別為N231、N232。

▲圖2 信息安全評估貝葉斯網(wǎng)絡(luò)模型

貝葉斯網(wǎng)絡(luò)由節(jié)點(diǎn)、有向邊和節(jié)點(diǎn)概率組成，從圖2 可以看出，Nimn（0≤i≤2，1≤m≤3，1≤n≤5，i，m、n∈N*）表示貝葉斯網(wǎng)絡(luò)中的節(jié)點(diǎn)，兩節(jié)點(diǎn)之間的有向箭頭表示兩節(jié)點(diǎn)之間的關(guān)聯(lián)關(guān)系即有向邊，而各節(jié)點(diǎn)的概率則需要通過相應(yīng)的概率計(jì)算獲得。

2 系統(tǒng)信息安全分析

2.1 節(jié)點(diǎn)概率計(jì)算

在信息安全貝葉斯網(wǎng)絡(luò)中，節(jié)點(diǎn)O有｛X1，X2，…，Xn｝n 個(gè)父節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)有（0，1）兩個(gè)狀態(tài)，層次分析法分析得到各節(jié)點(diǎn)的權(quán)重系數(shù)為Wi，對于節(jié)點(diǎn)O在狀態(tài)1條件下的概率為父節(jié)點(diǎn)狀態(tài)等于1的權(quán)重系數(shù)之和，即：

節(jié)點(diǎn)O在狀態(tài)0條件下的概率為父節(jié)點(diǎn)狀態(tài)等于0的權(quán)重系數(shù)之和，即：

節(jié)點(diǎn)的權(quán)重系數(shù)如圖3所示。

▲圖3 信息安全貝葉斯網(wǎng)絡(luò)模型

▲圖4 BayesiaLab-信息安全評估圖

2.2 BayesiaLab分析

在BayesiaLab中根據(jù)圖3建立圖4貝葉斯網(wǎng)絡(luò)。通過BayesiaLab分析，可以得到各節(jié)點(diǎn)的后驗(yàn)概率，以節(jié)點(diǎn)N11為例簡要說明如下。

雙擊節(jié)點(diǎn) N0、N11、N12、N13，在窗口右側(cè)會(huì)出現(xiàn)各節(jié)點(diǎn)各狀態(tài)的概率。雙擊節(jié)點(diǎn)N11為真的狀態(tài)，則可得到此情況下目標(biāo)節(jié)點(diǎn)N0各狀態(tài)的概率，其中N0為真的概率=48.42%，即 P（N0=1 N11=1）=0.484 2，如圖 5所示。

雙擊節(jié)點(diǎn)N11為假的狀態(tài)，則可得到此情況下目標(biāo)節(jié)點(diǎn)N0各狀態(tài)的概率，其中N0為真的概率=26.50%，即 P（N0=1 N11=0）=0.265 0，如圖 6 所示。

▲圖5 計(jì)算P（N0=1 N11=1）

▲圖6 計(jì)算P（N0=1 N11=0）

上面計(jì)算所得的P（N0=1 N11=1）=0.484 2和P（N0=1 N11=0）=0.265 0是節(jié)點(diǎn)N11在目標(biāo)節(jié)點(diǎn)N0為真（即N0＝1時(shí)的后驗(yàn)概率）。因此，按上述方法依次可得各節(jié)點(diǎn)在目標(biāo)節(jié)點(diǎn)N0為真 （即N0＝1時(shí)的后驗(yàn)概率），可以計(jì)算 P（N0=1 NX=1）-P（N0=1 NX=0）差值來比較對信息安全影響比較大的層次指標(biāo)，見表1。

由表1可知，在系統(tǒng)信息安全評估中，N12對系統(tǒng)信息安全的影響較大，需要重點(diǎn)關(guān)注，N213對系統(tǒng)信息安全的影響最小，可以忽略。工程師可以根據(jù)表1中的系統(tǒng)信息安全指標(biāo)影響排序來對信息安全指標(biāo)進(jìn)行綜合評估，并對其優(yōu)化做出量化指導(dǎo)。

表1 系統(tǒng)信息安全指標(biāo)影響排序

［1］ 國務(wù)院信息辦信息安全風(fēng)險(xiǎn)評估課題組.信息安全風(fēng)險(xiǎn)評估研究報(bào)告［R］.2003.

［2］ 何涇沙，韋潛.信息安全導(dǎo)論［M］.北京：機(jī)械工業(yè)出版社，2012.

［3］ 姚茂峰.淺談網(wǎng)絡(luò)信息安全技術(shù)［J］.管理觀察，2004（12）:125-127.

［4］ 黃英虎.復(fù)雜網(wǎng)絡(luò)上的幾個(gè)信息安全問題研究［D］.西安：西安交通大學(xué)，2010.

［5］ 談?wù)\.Web環(huán)境下的MES系統(tǒng)信息安全的研究 ［D］.武漢：武漢理工大學(xué)，2008.

［6］ 吳曉平，付鈺.信息安全風(fēng)險(xiǎn)評估教程［M］.武漢：武漢大學(xué)出版社，2011.

［7］ 張兵利，裴亞輝.貝葉斯網(wǎng)絡(luò)模型概述［J］.電腦與信息技術(shù)，2008,16（5）:41-42.

［8］ 張連文，郭海鵬.貝葉斯網(wǎng)絡(luò)引論［M］.北京：科學(xué)出版社，2006.

［9］ 林士敏，田鳳占，陸玉昌.貝葉斯網(wǎng)絡(luò)的建造及其在數(shù)據(jù)挖掘中的應(yīng)用 ［J］.清華大學(xué)學(xué)報(bào) （自然科學(xué)版），2001，41（1）:49-52.