信息安全屬性教學(xué)問(wèn)題與對(duì)策探索

王 娜，任志宇, 王文娟, 單棣斌

（戰(zhàn)略支援部隊(duì)信息工程大學(xué) 三院，河南 鄭州 450002）

0 引 言

2015年6月11日，為實(shí)施國(guó)家安全戰(zhàn)略，加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng)，國(guó)務(wù)院學(xué)位委員會(huì)在“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級(jí)學(xué)科[1]。網(wǎng)絡(luò)空間安全學(xué)科是研究信息獲取、信息存儲(chǔ)、信息傳輸和信息處理中的信息安全保障問(wèn)題的一門新興學(xué)科。網(wǎng)絡(luò)空間安全的核心內(nèi)涵仍是信息安全，沒(méi)有信息安全就沒(méi)有網(wǎng)絡(luò)空間安全[2]。信息安全包含信息安全和信息系統(tǒng)安全。信息系統(tǒng)是一般的抽象概念，包括所有的具體信息系統(tǒng)，如應(yīng)用系統(tǒng)、操作系統(tǒng)、計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等。信息安全屬性是信息安全中一個(gè)非常重要的概念，它勾勒了信息安全的內(nèi)涵，是信息安全理論與技術(shù)的基礎(chǔ)，但在教學(xué)過(guò)程中，筆者發(fā)現(xiàn)學(xué)生對(duì)安全屬性的理解易出現(xiàn)“混淆抗抵賴性與真實(shí)性”“認(rèn)為保密性最重要”等問(wèn)題。

1 信息安全屬性教學(xué)問(wèn)題分析與改進(jìn)方法

信息安全屬性是一個(gè)較為寬泛的概念，包括保密性、完整性、可用性、真實(shí)性、可控性、抗抵賴性、可靠性、可生存性、穩(wěn)定性等，其中最重要的屬性是保密性、完整性、可用性、真實(shí)性、可控性和抗抵賴性。這些屬性刻畫了信息安全的基本特征和需求，被普遍認(rèn)為是信息安全的基本屬性[3-4]，其具體含義如下。

（1）保密性：保證信息不被泄露給非授權(quán)實(shí)體。

（2）完整性：保證信息不被非授權(quán)的篡改，如插入、刪除、亂序等。

（3）可用性：保證信息系統(tǒng)能夠以人們所接受的質(zhì)量水平持續(xù)運(yùn)行，為人們提供有效的信息服務(wù)。

（4）真實(shí)性：又稱為可認(rèn)證性，保證實(shí)體（如人、進(jìn)程或系統(tǒng)等）身份或數(shù)據(jù)源的真實(shí)性。

（5）可控性：保證信息系統(tǒng)時(shí)刻處于合法所有者或管理者的有效控制之下。

（6）抗抵賴性：又稱為不可否認(rèn)性，保證用戶在事后無(wú)法抵賴曾經(jīng)對(duì)信息進(jìn)行的生成、簽發(fā)、接收等行為。

在授課過(guò)程中筆者發(fā)現(xiàn)學(xué)生對(duì)上述基本安全屬性的理解易出現(xiàn)“混淆抗抵賴性與真實(shí)性”、“認(rèn)為保密性最重要”等問(wèn)題。下面將深入分析造成這兩個(gè)問(wèn)題的原因，并探討改進(jìn)方法。

1.1 “混淆抗抵賴性與真實(shí)性”問(wèn)題的分析與改進(jìn)方法

在講授涉及數(shù)據(jù)源真實(shí)性的消息認(rèn)證、數(shù)字簽名技術(shù)時(shí)，學(xué)生易將抗抵賴性和真實(shí)性混為一談。這是由于學(xué)生對(duì)抗抵賴性和真實(shí)性內(nèi)涵的理解不深刻導(dǎo)致的。為此，在教學(xué)過(guò)程中要進(jìn)一步加強(qiáng)對(duì)抗抵賴性和真實(shí)性的內(nèi)涵及其關(guān)系的討論。

抗抵賴性是伴隨人們?cè)诨ヂ?lián)網(wǎng)上交互利益相關(guān)信息（如電子商務(wù)、電子政務(wù)）而出現(xiàn)的安全屬性。根據(jù)利益交互雙方的需求，分為發(fā)方抗抵賴和收發(fā)抗抵賴：發(fā)方抗抵賴指發(fā)送方不能抵賴已發(fā)送的消息，收方抗抵賴指接收方不能抵賴已收到的信息。與其他安全屬性不同，抗抵賴性是一種為信息安全糾紛提供“事后調(diào)查”的依據(jù)和手段的特性，即它并不能防止抵賴行為的發(fā)生，只是當(dāng)出現(xiàn)安全糾紛時(shí)，能夠提供無(wú)可辯駁的證據(jù)。因此，在實(shí)際中實(shí)現(xiàn)抗抵賴服務(wù)時(shí)，需要引入公證機(jī)構(gòu)。

IETF RFC 4949將真實(shí)性定義為“the property of being genuine and able to be verified and be trusted（See: authenticate, authentication, validate vs.verify）”[5]。即真實(shí)性是一個(gè)“真的”、能夠被驗(yàn)證和信任的屬性，與認(rèn)證、驗(yàn)證相關(guān)。因此，真實(shí)性也稱為可認(rèn)證性。真實(shí)性包含數(shù)據(jù)源真實(shí)性和對(duì)等實(shí)體真實(shí)性。數(shù)據(jù)源真實(shí)性指能夠驗(yàn)證接收數(shù)據(jù)單元發(fā)送者的身份是其所聲稱的，對(duì)等實(shí)體真實(shí)性指能夠驗(yàn)證在當(dāng)前關(guān)聯(lián)中對(duì)等實(shí)體的身份是其所聲稱的。數(shù)據(jù)源真實(shí)性和對(duì)等實(shí)體真實(shí)性是真實(shí)性在不同應(yīng)用場(chǎng)景下的體現(xiàn)。數(shù)據(jù)源真實(shí)性強(qiáng)調(diào)在通信場(chǎng)景下數(shù)據(jù)單元發(fā)送者身份的真實(shí)性；對(duì)等實(shí)體真實(shí)性強(qiáng)調(diào)在實(shí)體（如人、進(jìn)程或系統(tǒng)等）訪問(wèn)信息系統(tǒng)場(chǎng)景下實(shí)體身份的真實(shí)性，如終端認(rèn)證。在實(shí)體通過(guò)網(wǎng)絡(luò)訪問(wèn)信息系統(tǒng)的應(yīng)用場(chǎng)景下，需要同時(shí)保證數(shù)據(jù)源真實(shí)性和對(duì)等實(shí)體真實(shí)性，且數(shù)據(jù)源真實(shí)性是對(duì)等實(shí)體真實(shí)性的基礎(chǔ)。完整性是數(shù)據(jù)源真實(shí)性的基礎(chǔ)，即如果某數(shù)據(jù)單元被篡改，那么將無(wú)從驗(yàn)證該數(shù)據(jù)單元發(fā)送者的身份是不是其所聲稱的。可見(jiàn)，如果保證了數(shù)據(jù)單元的完整性，那么也為確保數(shù)據(jù)源真實(shí)性奠定了基礎(chǔ)；如果保證了數(shù)據(jù)源真實(shí)性，那么數(shù)據(jù)單元肯定沒(méi)有被篡改。因此，有些學(xué)者將完整性的內(nèi)涵適當(dāng)擴(kuò)展，認(rèn)為“信息沒(méi)有被非授權(quán)的篡改”中包含“信息源沒(méi)有被非授權(quán)的篡改（信息源不是假的、冒充的）”，即數(shù)據(jù)源真實(shí)性包含在完整性中[6]。對(duì)等實(shí)體真實(shí)性是可控性的基礎(chǔ)，即如果對(duì)等實(shí)體的身份是假的、冒充的，那么對(duì)該實(shí)體訪問(wèn)本信息系統(tǒng)的控制將無(wú)從談起。

真實(shí)性是抗抵賴性的基礎(chǔ)，即如果保證了交互雙方身份的真實(shí)性，則為保證抗抵賴性奠定了基礎(chǔ)；如果保證了交互雙方的抗抵賴性，則交互雙方身份的真實(shí)性肯定得到了保證。

1.2 “認(rèn)為保密性最重要”問(wèn)題的分析與改進(jìn)方法

學(xué)生總是認(rèn)為最重要的安全屬性是“保密性”。導(dǎo)致此問(wèn)題的根本原因是學(xué)生對(duì)安全屬性分級(jí)的概念沒(méi)有建立起來(lái)。為避免此問(wèn)題，在講授完信息安全基本屬性的概念后，需要對(duì)安全屬性分級(jí)的概念進(jìn)行討論，包括安全屬性分級(jí)的意義和安全屬性分級(jí)方法。

安全屬性分級(jí)的意義在于指導(dǎo)安全方案的設(shè)計(jì)。在實(shí)際應(yīng)用中，需要滿足的安全屬性很多，但因可用資源或資金的限制，無(wú)法滿足所有安全屬性。這就要求有所取舍，在安全強(qiáng)度和安全代價(jià)間尋求平衡點(diǎn)，這也是“適度安全”思想的體現(xiàn)。譬如，對(duì)于醫(yī)院數(shù)據(jù)庫(kù)中病人的過(guò)敏信息，其關(guān)注的安全屬性就包括完整性和保密性，且完整性重要于保密性。因?yàn)殡m然病人的過(guò)敏信息屬于病人的隱私信息，需要保證它的保密性，但是如果該信息被篡改，會(huì)對(duì)病人帶來(lái)嚴(yán)重的、災(zāi)難性的后果，甚至可能會(huì)失去生命。這就意味著在設(shè)計(jì)醫(yī)院數(shù)據(jù)庫(kù)的安全方案時(shí)，保障病人過(guò)敏信息的完整性就是最重要和關(guān)鍵的。

安全屬性分級(jí)方法以美國(guó)國(guó)家標(biāo)準(zhǔn)研究院（National Institute of Standards and Technology,NIST）發(fā)布的標(biāo)準(zhǔn)FIPS PUB 199中闡述的方法為例說(shuō)明。根據(jù)安全缺乏對(duì)機(jī)構(gòu)或個(gè)人可能造成的影響，NIST FIPS PUB 199將安全屬性分為3個(gè)級(jí)別[7]。

（1）低級(jí)：安全缺乏會(huì)對(duì)機(jī)構(gòu)運(yùn)轉(zhuǎn)、機(jī)構(gòu)資產(chǎn)或個(gè)人帶來(lái)有限的負(fù)面影響。例如導(dǎo)致任務(wù)處理能力在一定程度上退化，盡管在此期間機(jī)構(gòu)能夠完成其主要職責(zé)，但其效率明顯降低；導(dǎo)致機(jī)構(gòu)資產(chǎn)的少許破壞；導(dǎo)致少許財(cái)務(wù)損失；導(dǎo)致對(duì)個(gè)人的少許危害。

（2）中級(jí)：安全缺乏會(huì)對(duì)機(jī)構(gòu)運(yùn)轉(zhuǎn)、機(jī)構(gòu)資產(chǎn)或個(gè)人帶來(lái)嚴(yán)重的負(fù)面影響。如導(dǎo)致任務(wù)處理能力明顯退化，盡管在此期間機(jī)構(gòu)能夠完成其主要職責(zé)，但其效率明顯降低；導(dǎo)致機(jī)構(gòu)資產(chǎn)明顯被破壞；導(dǎo)致明顯財(cái)務(wù)損失；導(dǎo)致對(duì)個(gè)人的明顯危害，但是不涉及失去生命或嚴(yán)重危及生命的傷害。

（3）高級(jí)：安全缺乏會(huì)對(duì)機(jī)構(gòu)運(yùn)轉(zhuǎn)、機(jī)構(gòu)資產(chǎn)或個(gè)人帶來(lái)非常嚴(yán)重的或?yàn)?zāi)難性的負(fù)面影響。如導(dǎo)致任務(wù)處理能力嚴(yán)重退化，在此期間機(jī)構(gòu)不能完成一個(gè)或多個(gè)主要職責(zé)；導(dǎo)致機(jī)構(gòu)資產(chǎn)的嚴(yán)重破壞；導(dǎo)致嚴(yán)重的財(cái)務(wù)損失；導(dǎo)致對(duì)個(gè)人嚴(yán)重的、災(zāi)難性的危害，包括失去生命或嚴(yán)重危及生命的傷害。

因上述分級(jí)方法是一種定性的方法，學(xué)生可能難以理解。在教學(xué)過(guò)程中，可適當(dāng)舉一些例子，如對(duì)于保密性而言，某場(chǎng)戰(zhàn)爭(zhēng)的開(kāi)始時(shí)間及戰(zhàn)術(shù)部署屬于高級(jí)，個(gè)人隱私信息屬于中級(jí)，某大學(xué)老師名單屬于低級(jí)；對(duì)于完整性而言，醫(yī)院數(shù)據(jù)庫(kù)中病人過(guò)敏信息屬于高級(jí)，根據(jù)金額大小，電子合同、網(wǎng)上支付屬于高級(jí)或中級(jí)，網(wǎng)上匿名投票數(shù)屬于低級(jí)。

2 面向“信息安全屬性”教學(xué)的遞進(jìn)式教學(xué)方法

鑒于信息安全屬性的重要性，課程組提出了一種遞進(jìn)式教學(xué)方法，見(jiàn)圖1，以使學(xué)生能夠深刻理解信息安全屬性的內(nèi)涵，并初步掌握實(shí)際解決安全問(wèn)題時(shí)安全需求的分析方法。遞進(jìn)式教學(xué)方法分兩個(gè)階段：第一階段主要采用理論講授的方法，使學(xué)生理解信息安全基本屬性的含義、安全屬性分級(jí)的意義，并了解安全屬性分級(jí)的方法；第二階段主要采用研討的教學(xué)方法，以進(jìn)一步加深學(xué)生對(duì)信息安全基本屬性內(nèi)涵的理解，使學(xué)生初步掌握實(shí)際應(yīng)用中安全需求的分析方法。

圖1 遞進(jìn)式教學(xué)方法

2.1 信息安全基本屬性的辨析

基于歷年來(lái)學(xué)生作業(yè)、課堂討論中的易錯(cuò)點(diǎn)，課程組有針對(duì)性地給出若干辨析題，通過(guò)課堂研討來(lái)幫助學(xué)生進(jìn)一步加深對(duì)信息安全基本屬性內(nèi)涵的理解。例如，課程組曾采用的關(guān)于完整性的辨析題包括“在用戶與網(wǎng)站之間傳遞的信息不能遺失”“填寫用戶信息時(shí)，必須完整”“用戶提交給網(wǎng)站的訂單等必須信息完整”“若A給B發(fā)送一封郵件，并想讓B能驗(yàn)證郵件是由A發(fā)出的，則應(yīng)該滿足完整性安全需求”等；關(guān)于可控性的辨析題包括“確保用戶的賬戶由自己操作，不是他人冒充”“不同類型的用戶會(huì)有不同的權(quán)限”“在系統(tǒng)安全性受到傷害時(shí)，后果在可控范圍內(nèi)”等；關(guān)于抗抵賴性的辨析題包括“為實(shí)現(xiàn)收方抗抵賴，要提供給發(fā)送者以交付證明”“發(fā)方抗抵賴指發(fā)送方不能抵賴曾經(jīng)發(fā)送的消息”“如果某安全機(jī)制提供了抗抵賴服務(wù)，該機(jī)制所在的系統(tǒng)就不會(huì)發(fā)生抵賴行為了”“為防止假冒攻擊，需要采用可提供抗抵賴服務(wù)的安全機(jī)制”等。

2.2 安全屬性與安全需求間關(guān)系的建立

解決信息安全問(wèn)題的基本思路見(jiàn)圖2。其中安全需求位于重要核心位置，所分析安全需求正確、全面與否直接關(guān)系著所選擇的安全機(jī)制能否解決目標(biāo)應(yīng)用所面臨的安全威脅。但是，在實(shí)際中安全需求經(jīng)常被忽視，安全工程師常常會(huì)從安全威脅直接跳到解決該威脅可采用的技術(shù)和方法（即安全機(jī)制），導(dǎo)致安全需求挖掘不全面或深入，所選擇的安全機(jī)制難以解決所有安全問(wèn)題。安全需求的本質(zhì)就是安全屬性，因此課程組認(rèn)為有必要在講解安全屬性時(shí)，給學(xué)生建立起安全需求與安全屬性間的關(guān)系，也使安全屬性能夠落地。

課程組從安全屬性的角度出發(fā)，逆向思維，通過(guò)引導(dǎo)、啟發(fā)和討論，和學(xué)生一起分析實(shí)際中存在哪些與基本安全屬性相關(guān)的需求實(shí)例。表1給出了一些典型需求實(shí)例。在這些例子的討論過(guò)程中，通過(guò)適當(dāng)延伸，還可為后面的教學(xué)內(nèi)容（如口令認(rèn)證、BLP模型、Biba模型、RBAC模型等）埋下伏筆。

圖2 解決信息安全問(wèn)題的基本思路

表1 典型需求實(shí)例

2.3 安全需求的分析

在上述討論的基礎(chǔ)上，本階段將通過(guò)設(shè)計(jì)一些研討題目，引導(dǎo)學(xué)生分析具體實(shí)例，以使學(xué)生初步掌握實(shí)際應(yīng)用中安全需求的分析方法。在研討題目中，特別要求學(xué)生對(duì)安全需求進(jìn)行排序，以體現(xiàn)安全屬性分級(jí)的思想。下面給出了一些可采用的難易程度不同的研討題目。在教學(xué)過(guò)程中發(fā)現(xiàn)經(jīng)過(guò)之前的鋪墊，學(xué)生對(duì)基本安全需求的分析已經(jīng)初步掌握。但是，因?yàn)槌霭l(fā)點(diǎn)不同，對(duì)安全需求的排序存在較大差異。因此，為了能夠獲得一致的安全需求排序共識(shí)，在題目中設(shè)置了約束條件，要求從系統(tǒng)開(kāi)發(fā)人員的角度對(duì)安全需求進(jìn)行排序。

例1 教學(xué)信息系統(tǒng)實(shí)現(xiàn)了選課、成績(jī)發(fā)布與查詢、教學(xué)評(píng)估等主要功能。請(qǐng)從系統(tǒng)開(kāi)發(fā)人員的角度出發(fā)，分析教學(xué)信息系統(tǒng)需滿足的基本安全需求，并對(duì)這些需求進(jìn)行排序。

例2 支付寶主要實(shí)現(xiàn)了電子支付功能。請(qǐng)從支付寶開(kāi)發(fā)人員的角度，分析支付寶需滿足的基本安全需求，并對(duì)這些需求進(jìn)行排序。

例3 12306網(wǎng)站可為用戶提供火車票購(gòu)買等服務(wù)。請(qǐng)從網(wǎng)站開(kāi)發(fā)人員的角度出發(fā)，分析12306網(wǎng)站需滿足的基本安全需求，并對(duì)這些需求進(jìn)行排序。

3 結(jié) 語(yǔ)

網(wǎng)絡(luò)空間安全的核心是信息安全。信息安全屬性是信息安全中最為重要和基礎(chǔ)的一個(gè)概念。針對(duì)信息安全屬性的教學(xué)，本文總結(jié)、分析了教學(xué)過(guò)程中發(fā)現(xiàn)的問(wèn)題，提出了一種遞進(jìn)式教學(xué)方法，該方法有助于學(xué)生深刻理解信息安全屬性的內(nèi)涵，建立起信息安全屬性分級(jí)的概念，并初步掌握實(shí)際解決安全問(wèn)題時(shí)安全需求的分析方法。課程組在教學(xué)實(shí)踐中運(yùn)用該方法已經(jīng)取得了良好的教學(xué)效果。