基于貝葉斯網絡的系統信息安全管理

□趙攀

中國空間技術研究院 北京空間技術研制試驗中心 北京 100094

信息安全評估［1］是指依據國家有關信息安全技術標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程，它要評估信息系統的脆弱性、信息系統面臨的威脅以及脆弱性被威脅源利用后所產生的實際負面影響，并根據安全事件發生的可能性和負面影響的程度來識別信息吸取的安全風險。

信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷［2］。 信息安全［3］主要包括 5 個方面的內容，即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。系統信息安全［4,5］主要所面臨的問題可以分為兩種：一種是針對網絡系統中傳遞的信息的威脅；另一種是針對網絡系統中連接的設備中所儲存信息的威脅。2000年12月國際標準化組織在BS7799的基礎上制定并通過了ISO/IEC 17799，它主要采用系統工程的方法保護信息安全［6］。

貝葉斯網絡（Bayesian Network，BN）［7］又稱為信念網，是1988年由Pearl提出的一種用有向無圈圖來描述隨機變量（事件）之間的因果關系，并引入概率進行貝葉斯推理的一種模型。在貝葉斯網絡中，每個節點表示一個隨機變量，節點間通過一個單向弧表示兩節點間的依賴關系，同時每個節點都附有一個相應的概率［8］。貝葉斯網可以從定性和定量兩個層面來理解。在定性層面，它用有向無圈圖描述了變量之間的依賴和獨立關系；在定量方面，它用條件概率分布刻畫了變量對其父節點的依賴關系。利用貝葉斯網絡模型可以實現預測、分類、因果分析等數據挖掘任務［9］。

目前，貝葉斯網絡已廣泛應用于各領域，用于表達和分析不確定性和概率性事件，用于有條件地依賴多種控制因素的決策，可以從不完全、不精確或不確定的知識或信息中做出推理。本文結合信息系統結構的特點和一些信息安全評估標準，根據層次分析法建立了一個信息安全層次結構模型；其次，結合貝葉斯網絡由節點、有向邊、節點概率分布構成的特點，將信息安全層次結構模型轉換為貝葉斯網絡模型，建立了信息安全貝葉斯網絡模型；最后運用層次分析法對信息安全貝葉斯網絡模型進行節點權重系數計算，并利用BayesiaLab對信息安全進行了評估。

1 系統信息安全貝葉斯網絡模型

1.1 系統信息安全層次結構

AHP法是一種強有力的綜合系統分析與運籌學的方法，對多因素、多標準、多方案的綜合評價及趨勢預測相當有效。面對由“目標層+準則層+指標層”構成的遞階層次結構決策分析問題，給出了一整套處理方法與過程。AHP法最大的優點是可以處理定性與定量相結合的問題，可以將決策者的主觀判斷與政策經驗導入模型，并加以量化處理。下面根據AHP建立一個系統信息安全評估層次結構模型，該模型中各層次的因素如下。

（1）目標層。本次評估的目標是保證系統信息的安全，因此將信息安全作為目標層。信息安全是指信息的保密性、完整性和可用性的保持。

（2）準則層。將信息的三大屬性定為準則層，即保密性 （Confidentiality）、 完整性 （Integrity） 和可用性（Availability）。保密性是指保證信息不被未授權的用戶、實體或進程使用。完整性是指保證信息在傳輸過程中不被未授權者在偶然或惡意的環境下進行修改、刪除、偽造、插入等破壞。可用性是指保證被授權者在需要時可以即時訪問信息及系統資源和服務。

（3）指標層。① 保密性。根據《信息技術 開放系統互連開放系統安全框架第5部分：保密性框架》（GB/T 18974.5-2003/ISO/IEC 10181-5：1996），可以得出針對信息保密性的風險主要表現在：存在性、存取性和可理解性。確定與保密性相關的指標層元素為：存在性、存取性、可理解性、人力資源安全性、物理和環境安全性。②完整性。根據《信息技術 開放系統互連開放系統安全框架 第6部分：完整性框架》（GB/T 18974.6-2003/ISO/IEC 10181-6：1996），得出針對信息完整性的指標層元素為：篡改、創建、重放。③ 可用性。可用性是保證已授權用戶在需要時可即時獲取相應信息。針對信息可用性的指標層元素為：人員的可靠性、硬件的可靠性。

綜上，信息安全層次結構如圖1所示。

▲圖1 系統信息安全評估層次結構

1.2 模型建立

根據信息安全層次結構，結合貝葉斯網絡，提出一種信息安全評估貝葉斯網絡模型。信息安全貝葉斯網絡模型是用網絡結構表達與信息安全有關的各種因素及其相互關系的一種評估模型，用一個三元組（X，A，P）表達。 其中：X=｛X0，X1j，X2j｝為與信息安全相關的目標層、準則層、指標層元素集合。

將圖1中的系統信息安全層次結構轉換為貝葉斯網絡，如圖2所示。

其中信息安全為N0；完整性、保密性、可用性分別為 N11、N12、N13；篡 改 、創 建 、重 放 分 別 為 N211、N212、N213；人力資源安全性、存在性、存取性、物理和環境安全性、可理解性分別為 N221、N222、N223、N224、N225；人員可靠性、硬件可靠性分別為N231、N232。

▲圖2 信息安全評估貝葉斯網絡模型

貝葉斯網絡由節點、有向邊和節點概率組成，從圖2 可以看出，Nimn（0≤i≤2，1≤m≤3，1≤n≤5，i，m、n∈N*）表示貝葉斯網絡中的節點，兩節點之間的有向箭頭表示兩節點之間的關聯關系即有向邊，而各節點的概率則需要通過相應的概率計算獲得。

2 系統信息安全分析

2.1 節點概率計算

在信息安全貝葉斯網絡中，節點O有｛X1，X2，…，Xn｝n 個父節點，每個節點有（0，1）兩個狀態，層次分析法分析得到各節點的權重系數為Wi，對于節點O在狀態1條件下的概率為父節點狀態等于1的權重系數之和，即：

節點O在狀態0條件下的概率為父節點狀態等于0的權重系數之和，即：

節點的權重系數如圖3所示。

▲圖3 信息安全貝葉斯網絡模型

▲圖4 BayesiaLab-信息安全評估圖

2.2 BayesiaLab分析

在BayesiaLab中根據圖3建立圖4貝葉斯網絡。通過BayesiaLab分析，可以得到各節點的后驗概率，以節點N11為例簡要說明如下。

雙擊節點 N0、N11、N12、N13，在窗口右側會出現各節點各狀態的概率。雙擊節點N11為真的狀態，則可得到此情況下目標節點N0各狀態的概率，其中N0為真的概率=48.42%，即 P（N0=1 N11=1）=0.484 2，如圖 5所示。

雙擊節點N11為假的狀態，則可得到此情況下目標節點N0各狀態的概率，其中N0為真的概率=26.50%，即 P（N0=1 N11=0）=0.265 0，如圖 6 所示。

▲圖5 計算P（N0=1 N11=1）

▲圖6 計算P（N0=1 N11=0）

上面計算所得的P（N0=1 N11=1）=0.484 2和P（N0=1 N11=0）=0.265 0是節點N11在目標節點N0為真（即N0＝1時的后驗概率）。因此，按上述方法依次可得各節點在目標節點N0為真 （即N0＝1時的后驗概率），可以計算 P（N0=1 NX=1）-P（N0=1 NX=0）差值來比較對信息安全影響比較大的層次指標，見表1。

由表1可知，在系統信息安全評估中，N12對系統信息安全的影響較大，需要重點關注，N213對系統信息安全的影響最小，可以忽略。工程師可以根據表1中的系統信息安全指標影響排序來對信息安全指標進行綜合評估，并對其優化做出量化指導。

表1 系統信息安全指標影響排序

［1］ 國務院信息辦信息安全風險評估課題組.信息安全風險評估研究報告［R］.2003.

［2］ 何涇沙，韋潛.信息安全導論［M］.北京：機械工業出版社，2012.

［3］ 姚茂峰.淺談網絡信息安全技術［J］.管理觀察，2004（12）:125-127.

［4］ 黃英虎.復雜網絡上的幾個信息安全問題研究［D］.西安：西安交通大學，2010.

［5］ 談誠.Web環境下的MES系統信息安全的研究 ［D］.武漢：武漢理工大學，2008.

［6］ 吳曉平，付鈺.信息安全風險評估教程［M］.武漢：武漢大學出版社，2011.

［7］ 張兵利，裴亞輝.貝葉斯網絡模型概述［J］.電腦與信息技術，2008,16（5）:41-42.

［8］ 張連文，郭海鵬.貝葉斯網絡引論［M］.北京：科學出版社，2006.

［9］ 林士敏，田鳳占，陸玉昌.貝葉斯網絡的建造及其在數據挖掘中的應用 ［J］.清華大學學報 （自然科學版），2001，41（1）:49-52.