中国工程院院士:关于信息安全属性的可计算性初探(1)

主持人：谢谢张处长的介绍，接下来请中国工程院方滨兴院士给我们做《关于信息安全属性的可计算性初探》。

方滨兴：我来这觉得来错了，我们叫中国信息安全大会，其实是产业性大会，我想试图介绍一下关于信息安全有一些什么理论问题在研究，我主要是说信息安全属性的可计算性问题。

我们对信息安全属性提高结果没有一个量化，我们国家信息安全中心，接受国信办的委托在研究这方面的事情，想通过一些指标体系做一些反映，目前确实没有直接关系，就好比我们在比较一个设备，比较一个防火墙还是什么也好，更多比较自身的属性，比如带宽怎么样？防御怎么样？没有一个直接对应，这个属性加了它提高了什么样的量化？缺少这方面的具体实践，就理论研究而言，这方面确实有一些研究。

说安全属性研究首先要从安全定义讲起，安全定义分很多的层次，为什么分层次，我们随着它的演变来看的，信息安全最初目标，叫数据安全，它关心的是数据自身，所以是一个狭义的数据安全，是保护信息自身的安全。

到了60、70年代，可能一个用户把另一个用户的资源弄走了，或把系统控制了。到了90年代可以通过网络远程对计算机攻击和控制，所以产生网络安全问题，这些问题都可以看成运行安全层面。运行安全关心的是信息系统自身的安全，前面是信息的安全，这是信息系统的安全，在计算机信息系统和网络安全两个层面。我们称为0、1逻辑基础之上的，还有它的基础设施，有硬件环境，有电源，有温度环境，磁场环境等等，这个称为一个物理安全层面问题，再往下内容安全，我们在20世纪末，21世纪初，国家社会推出应用安全，也就是内容安全，通过内容反映一些问题，我们需要对这系统要有逐步的控制能力，即便有授权用户，它应该还在我的控制之下，我的控制要凌驾信息系统之上。

国际上有什么定义，这是17799的定义，信息安全是对下述保护的一种特性，机密性，确保信息只能被授权访问方所接受。完整性，保护信息技处理手段的正确与完整。可用性，确保授权用户在需要时能够访问信息技相关的资源。信息安全是通过实施一组控制而达到的，包括策略、措施、过程，组织结构及软件功能。所以目前国际社会包括学术界对信息安全准确定义或形式化定义是缺乏的，现在描述无非是两个，一个是层次描述，就是信息安全的作用点而言。还有就是从属性，一个作用点在什么层面上发生问题，做保护和攻击。还有对什么样属性做保护和攻击。刚才国际社会的标准就是从属性上来的。

我们要做定义，任何一个定义形式化定义不是目的，目的是要支持计算性，所以我们想做定义就要从两个角度说起。第一个角度我们知道信息安全在什么样环境下说事的，它的对象是什么？它的对象是什么样的状况，我们定义是作用对象和环境，反过来说安全环境是什么？安全环境就是属性，所以首先是它的环境，另外到底关心哪些是安全属性。

这些安全的定义，称为一致化定义，它蕴含所有物理安全，运行安全、数据安全、内容安全，这包括五个源组，前面四个是运行对象和环境，后来S反映信息安全属性，前三个是对什么说话，第四个就是这个环境在什么样子工作环境中。从这个来说，信息安全包含了四个层面，所以是这四个层面的综合，包括物理安全，数据安全，运行安全和内容安全。

我们定义涉及部分有运行环境与安全属性，属性由机密性、可建立性、可控和可用性组正。我们知道更多的可靠性，生存性完整性等。各种各样的属性全都可以放在这四个核心层内。这样四个核心属性从定义中，这是定义了这么一个情况，这是张开说明表达什么环境。E是作用对象，在不同层次反映情况不一样，所以我们说它在物理安全，反映的是设备安全。在运行安全反映的是资源状态，比如内存，线程、进程数等，数据安全反映的是加密解密。

第三就是条件，在不同情况条件不一样的，在物理安全中条件是环境，温度环境、磁场环境是不是保障了，抗震环境是不是保障了。在运行过程中就是满足访问库，是不是符合你的身份等？在数据安全中，密码是最小的保障。在内容里信息的获得是不是有一个句柄，你融入进去都要句柄，有了这些任何一个基本描述，无非是对你对象实现控制的功能。

我这对应七个基本算子，这七个基本算子，第一个是因果符号，因为在运行当中必然存在树型关系。第二个称为条件操作符号，对象在一定条件实行一个功能操作，我对象可能是一个资源，加入物理层可能是一个设备，设备在环境条件下启用一个功能，或者在一个条件下使用一个资源。也可能是无条件的，无条件实际上等效于因果符号。再一个是缺失条件操作符号，它在条件具备和不具备的情况下，如果f功能被实现了，这个系统存在缺失条件的可能，这都是我们需要挖掘的。我们关心的是否在你访问控制条件下，不满足平衡还可以达到的，这就是反映这个问题，同样条件缺失能不能对某些资源进行访问。条件缺失对资源采取f操作，它和你的设计理念是有冲突的，我们要挖掘这种冲突的可能性。这个符号称为损害符号，这是负的损害，这也是我们需要关心的，可能是设施受到损害，可能是条件受到损害，比如功能限制条件，再有功能受到损害，这是与集合选择性符号，假设有一组设备在条件下都可以提供这种功能，这些条件在理论条件下还可以提供功能化，我们说这是一种集合的选择性，集合选择性想表达什么意思？实际上是表达一种属性，这里的设备任何一组出现问题，只要有一组还存在，整个功能就存在。安全我们反映有一些容灾的属性在里面。这符号是一个并集合累加符号，在这里面可以分解多个不同设备在多个环境下提供不同的设备，这称为并集合累加符号，最后一个就是一个信息是在访问句柄下在信息集合中做操作，这是带举句柄条件的信息符号。一个信息融入到一个信息集合中，比如上载发布信息，这个融入一定要带一个句柄，你的目的是让人发现，这个句柄要告知的，你把你的句柄连接到别人上面或者公布等等，这是表明一个信息是从一个句柄的控制下，从一个信息集合中抽出来，相当于在网上阅读一个信息。这是缺失条件，就是条件不存在，一个信息在条件不存在的情况下就是挖掘，不知道存在在哪儿，我想办法挖掘出来。