郭玉翠, 雷 敏, 杨义先

（1.北京邮电大学理学院,北京 100876;2.北京邮电大学信息安全中心,北京 100876;3.灾备技术国家工程实验室,北京 100876）

0 引言

随着互联网进入国家事务和人们生活的各个方面,信息安全被提到前所未有的高度,信息安全就是国家安全已经成为共识。然而当前信息安全领域的现状是实践和技术层面的探索多于理论方面的研究。面对互联网和计算机技术中不断出现的复杂情况和安全问题,原有的信息安全理论已经无法支持技术的发展,信息安全的发展迫切需要新的信息安全理论[1]。

提出采用一般系统论[2]的方法研究信息安全的理论体系,将信息安全作为一个由多种要素并且和环境产生相互作用的动态开放型系统,人、操作和技术是组成系统的主要核心因素;而主机、网络、系统边界和支撑性基础设施是影响系统整体性、关联性,等级结构性、动态平衡性、时序性等系统特征的重要因素。通过微分方程建模来研究这些因素之间的相互关系、相互作用和相互影响;通过微分方程的分析求解来研究系统环境、系统结构和系统行为以及系统运行的规律和特点;目的是探讨实现预警、保护、检测、反应和恢复等安全内容的途径。为以信息的保密性、完整性和可用性为内容的信息安全体系建立理论基础,最终实现信息安全系统的可控制性、可管理性和可改造性,使它的存在与发展合乎日益发展的安全需要。

1 信息安全的快速发展迫切需要新的理论成果作为支撑

在20世纪90年代前,信息安全等同于通信保密。因为信息安全的主要威胁来自于专业化的通信攻击,最有效的保护措施就是信息加密,因此密码学在20世纪得到较为充分的发展。这个时期被称为通信保密（COMSEC）时代,这个时期的信息安全理论的理论基础是Shannon的《信息论》。

在20世纪90年代前后,随着互联网的兴起和信息概念的丰富和发展,数字化的信息安全内容也发生了变化,信息安全除了有保密性的需要外,人们意识到安全还需要包含信息的完整性、信息和信息系统的可用性等,于是就有了信息的保密性、信息的完整性和信息的可用性（Confidentiality Integrity Availability,CIA）等概念,CIA模型成为这一时期的基础的构件,这一阶段称为网络和信息安全阶段。

此后从20世纪90年代后期开始,信息安全的概念也从信息的保护扩展到对整个信息和信息系统的保护和防御,包括对信息系统的保护、检测、反应和恢复能力。针对计算机病毒、网上窃密和黑客攻击等新情况的出现,信息安全除了要重视保密能力外,还要提高系统的入侵检测能力,系统的安全预警能力、系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力等。信息安全表现为系统的安全,所用的基本技术是防火墙、虚拟专用网络（Virtual Private Network,VPN）、加密隧道、入侵检测系统（Intrusion Detection Systems,IDS）入侵检测、防病毒等。然而这些技术尚缺乏强有力的理论支撑。

现在,随着互联网的飞速发展和进入人们社会生活的各个方面,信息安全也进入了一个全新时期,正是因为信息安全问题本身发生了显著变化,原有的理论已经跟不上技术的发展,在这种情况下,发展信息安全理论的需要就显得尤为重要和迫切。托马斯-库恩在《科学革命的结构》[3]中指出:新的理论的出现,一定要有实践变化的促因。实践的变化必然引出新理论。信息安全技术的发展已经为信息安全理论的发展开辟了道路。

然而信息安全的理论问题是一个非常复杂的问题,表现在技术、理论和综合战略等诸多方面,信息安全已经表现为一种集体的和综合性的安全[4-6]。和政治安全、经济安全、文化安全一样,信息安全不是单一的学科能够解决的,一定是要在一个大的背景下研究和探讨。因为网络信息安全的对象是一个开放性的、有人参与其中的、与社会系统紧密耦合的复杂巨系统;网络信息安全的是一个时时处处有人参与的、自适应的、不断演化的、不断涌现出新的整体特性的过程;网络安全管理是综合集成性的,而不是一般的管理手段的叠加和集成;两者的本质区别在于前者强调人在其中的关键性作用,因此网络信息安全是人网结合、人机结合、充分发挥各自优势的安全,是经过综合集成的安全系统,这个系统将涌现出崭新的安全性质——整体大于部分之和。

文中采用一般系统论[2]研究方法的实质正是“整体大于部分和”,其含义是系统的组合特征不能用孤立部分的特征来解释。比如采用信息安全保障的WPDRR（warning（预警）,Protect（保护）,Detect（检测）,React响应）and Restore（恢复）各词首个字母的组合）模型（图1）[7-8],信息安全系统由人、操作、技术以及预警、保护、检测、响应、恢复等因素构成,任意一个单一的因素都不能表示整体的特征,整体的特征与其要素相比表现为“突现性”。然而研究必须从要素开始,如果知道了一个系统所包含的所有组成部分以及它们之间的关系,那么就有可能从组成部分的行为推导出这个系统的行为。

2 基于一般系统论的信息安全理论体系

一般系统论之父、美籍奥地利生物学家贝塔朗菲将系统定义为“由相互作用着的若干要素组成的复合体”。他认为,若干要素（Q）处于若干关系（R）中,以致一个要素Q在R中的行为不同于它在另一个关系R′中的行为。系统具有以下属性:整体性、关联性,等级结构性、动态平衡性、时序性等。按照这样的定义,信息安全的各要素组成一个系统（如图2）[9-12]:信息安全的目标,即保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）（CIA）将信息安全的3个内容:硬件安全、软件安全和通信安全联系在一起,在物理、人员和组织3个层面上通过制定和应用信息安全行业的标准来实现保护与防御机制。从本质上讲,标准和政策的实施是要告诉核心因素——人（管理员,用户和运营商）如何使用安全产品,以确保组织内的信息安全。

图1 信息安全保障的WRDRR模型

图2 信息安全系统

一般系统论认为处在一定相互联系中,与环境发生关系、由各个组成部分组成的整体即是系统,整体性、关联性,等级结构性、动态平衡性、时序性等是所有系统共同的基本特征。从这个意义上讲,信息安全构成一个系统。各要素之间的关系见图1,其中保证信息的保密性、完整性和可用性是信息安全的核心,即第一层次;第二个层次是要保证硬件安全、软件安全和通信安全;第三个层次是要实现人员安全（即操作和使用系统的人员出了问题,一定会给安全带来极大的障碍）,组织安全（即要遵循信息安全的相关法令、公约和标准等等）和产品安全（也称物理安全,因为与安全相关的许多问题最终要以产品的形式呈现）。显然这些要素组成一个信息安全整体;各要素之间是相互关联的,偏失了哪一方面,都会使安全出现漏洞,造成损失;这些要素具有等级结构性,比如人员安全处于信息安全的基础等级,而信息的完整性处于信息安全的较高等级;这些因素是处于动态平衡状态的,在系统内始终会存在此消彼长的涨落状态,但系统是自组织的,运动的,处于动态平衡状态或趋于动态平衡状态的;时序性在信息安全系统的运行中也是比较突出的特征,由于系统的涨落、运动,此时此地的情形会区别于彼时彼地的情形,显现出时序性。由此可见信息安全系统具备一般系统的共同的基本特征,可以遵循一般系统论的思想和研究方法来研究信息安全系统。

3 一般系统论意义下信息安全理论体系的数学模型

采用微分动力系统方法研究信息安全系统以及组成系统各要素之间的关系。取一组联立的微分方程

其中,Pi表示要素Qi（i=1,2,…,n）的某个量。（1）式表明任何一个量Pi的变化,是所有P（从Pi到Pn）的函数;反之,任一Pi的变化承担着所有其他量以及整个方程组的变化。在具体的研究过程中,需要将整个系统分成若干个子系统,这些子系统是大系统的成员,它本身又构成下一个较低层次的系统。其要素P1,P2,…,Pn中每一个又是要素Pi1,Pi2,…,Pin的系统,其中每一个系统 W又可以用与（1）式相似的方程来定义

系统这样的重叠叫做层次序列。这样的层次结构,一层层地组合为层次越来越高的系统。

如果考虑单个因素的影响,就要在（1）式中取的一种特殊情况:要素之间的相互作用随时间而减小。即在（1）式中,Pi的系数不是常数,而是随时间减小,

在这种情况下,系统从整体状态演变为各要素独立的状态。系统的原始统一状态逐渐地分裂为各自独立的因果链,在一般系统论中把这种情况叫做渐进分异。

系统分异为从属的部分系统意味着它的复杂性增加,向高层次转化,其先决条件是要有能量补给,而只有开放系统才能从环境中取得能量,并不断地把它输入系统内部。因此,还需要将信息安全系统看成是开放系统。

开放系统被定义为与环境交换物质、能量和信息的系统,表现为输入和输出,物质组分的组建与破坏。

根据耗散结构理论创始人普利高津理论[13],开放系统中的熵的总变化量可以写成

其中deS代表由于输入而引起的熵变化,diS代表由于系统内不可逆过程而产生的熵。根据热力学第二定律,diS项总是正的;deS传递熵可以是正的,也可以是负的,后者是由于输入携带的自由能或“负熵”的物质势能载体而引起的。这是有机体系统里负熵趋势的依据。

开放系统和封闭系统的一个根本区别就是:封闭系统最终必定达到不依赖于时间的化学和热力学平衡状态;反之,开放系统在一定条件下可能达到一种叫做稳态的不依赖于时间的状态。处于稳态的系统,尽管它的组分不断变换,却保持恒定的构成。

一般地将没有物质（或能量及信息）输入或输出的系统叫做“封闭”系统,而“开放”式系统被定义为与环境交换物质（或能量及信息）的系统,表现为输入和输出,物质组分会发生重新组建也会发生破坏。信息安全系统是一个开放性系统,所以在研究的过程中,不但要考虑系统内各要素的性质、作用以及它们之间相互作用的特点和规律,还要研究系统与环境之间的相互影响和作用,这样才能把握系统发展和运动的方向,找到系统优化的方法。根据热力学第二定律,封闭系统最终必定达到一个不依赖于时间的平衡状态,这可以用最大熵和最小自由能来定义,其中各项之间比率保持不变。一个平衡的封闭系统不需要吸收能量来维持,也不能从它得到能量。例如一个封闭的水库含有大量的（势）能,但它不能驱动一台发动机。

为了使系统做功,即可能产生能量的输入和输出,必须使系统处于非平衡态,但有趋于平衡态的趋势即要维持系统的动态平衡。可以用一个一般的传输方程来推导这种状态的条件和特性。令 Pi是系统的第i个元素的一个量,它的变化可以表示为

其中 Ti代表在空间某点一个体积元内元素Pi的传输速度,而 Qi是生产率。

对于信息安全系统,这里得到一组联立的偏微分方程,Qi和Ti一般都是Pi和其他系统变量Pj的非线性函数,此外还是空间坐标x,y,z和时间t的函数。为解此方程,必须给出方程的特殊形式及其初始条件和边界条件。

通常,用微分方程（5）定义的一个系统可能有3种不同的解,第一个是P可以无限增长的解;第二,可以达到一个不随时间变化的稳态解;第三,可能有周期解。

要证明一般系统（5）存在稳态解是困难的,只能在某些情况下证明它。假设方程右边两项都是Pi的线性函数,并且不依赖于时间t,则可以用积分方法求出具有下列形式的解

其中Pi2是时间 t的函数,在某些边界条件下,随着时间的增长,这一项可以减小到零。

另一方面,如果存在一个用（6）式中的Pi1表示的不依赖于时间的稳态,则Pi1必须满足不依赖于时间的方程

由此可以得到下列结论:

（i）如果存在恒定解,并且没有像在封闭系统中那样达到平衡态,则尽管有物质流入或流出系统,处于稳态的系统的构成相对于组分Qi保持不变,信息安全系统能非常好地表示了这个特征。

（ii）在稳态中,每单位时间内依靠传输和相互作用加入状态 Qi（x,y,z,t）的元素的数目等于离开它的数目。

4 结束语

组成信息安全系统的要素不仅数量众多,而且关系复杂。文中给出采用一般系统论方法[13-16]来表示和描述系统各要素（或称组分）以及它们之间的相互影响和相互作用的数学模型,这些模型可以用非线性微分方程来表示。也就是说可以通过微分方程的求解来分析信息安全系统和组成系统的各要素的行为、作用、相互影响和对系统存在和发展的贡献,从理论上分析控制、管理、改造信息安全系统的方法和途径,以使它的存在与发展合乎日益变化的安全需要的目的。

[1] 崔光耀.网络信息安全呼唤理论创新[EB/OL].http://netsecurity.51cto.com,2007-08-31.

[2] [美]贝塔朗菲.林康义,魏宏森等,译.一般系统论基础、发展和应用[M].北京:清华大学出版社,1987.

[3] [美]托马斯◦库恩.金吾伦,胡新和,译.科学革命的结构[M].北京:北京大学出版社,2003.

[4] 南相浩.浅谈信息安全发展动向[J].信息安全与通信保密,2008,（5）.

[5] 吴世忠.电子政务的安全态势与顶层设计[J].信息系统工程,2010,（11）.

[6] 何德全.网络安全需要多方面有机结合[EB/OL].ERP世界网http://www.enicn.com/2009/1016/1119.shtml,2009-10-16.

[7] 王代潮,曾德超,刘岩.信息安全管理平台理论与实践[M].北京:电子工业出版社,2007.

[8] From Wikipedia,the free encyclopedia,Information security[EB/OL].http://en.wikipedia.org/wiki/Information-security.

[9] Anderson,K.IT Security Professionals Must Evolve for Changing Market[J].SC Magazine,2006,（12）.

[10] Aceituno,V.On Information Security Paradigms[J].ISSA Journal,2005,（9）.

[11] Dhillon,G.Principles of Information Systems Security:text and cases[M].John Wiley&Sons,2007.

[12] 湛垦华,沈小峰.普利高津与耗散结构理论[M].西安:陕西科学技术出版社,1982.

[13] Norell Bergendahl M,Grimheden M,Leifer,L.etc.General Systems Theory Based Integral Design Method[J].Proceedings of the 17th International Conference on Engineering Design（ICED'09）,2009,（5）.

[14] Vladislav V Tokarev,Veniamin N.Livchits,SYSTEMS ANALYSIS AND MODELING OF INTEGRATED WORLD SYSTEMS[EB/OL].www.eolss.net/ebooklib/ViewEbookDetail-1.aspx?catid=15&fileid=E1-26,2009.

[15] Jokela P,Karlsudd P,stlund M.Theory,Method and Tools for Evaluation Using a Systems-based Approach[J].The Electronic Journal Information Systems Evaluation 2008,11（3）:197-212.

[16] Edward Garrity.Improving Organizational Systems:Incorporating General Systems Theory and Design Principles,Managing worldwide operations and communications with information technology:2007 Information Resources Management Association International Conference,Vancouver,British Columbia,2007,（1）:19-23.