信息安全屬性教學(xué)問題與對策探索

王 娜，任志宇, 王文娟, 單棣斌

（戰(zhàn)略支援部隊信息工程大學(xué) 三院，河南 鄭州 450002）

0 引 言

2015年6月11日，為實施國家安全戰(zhàn)略，加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng)，國務(wù)院學(xué)位委員會在“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級學(xué)科[1]。網(wǎng)絡(luò)空間安全學(xué)科是研究信息獲取、信息存儲、信息傳輸和信息處理中的信息安全保障問題的一門新興學(xué)科。網(wǎng)絡(luò)空間安全的核心內(nèi)涵仍是信息安全，沒有信息安全就沒有網(wǎng)絡(luò)空間安全[2]。信息安全包含信息安全和信息系統(tǒng)安全。信息系統(tǒng)是一般的抽象概念，包括所有的具體信息系統(tǒng)，如應(yīng)用系統(tǒng)、操作系統(tǒng)、計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等。信息安全屬性是信息安全中一個非常重要的概念，它勾勒了信息安全的內(nèi)涵，是信息安全理論與技術(shù)的基礎(chǔ)，但在教學(xué)過程中，筆者發(fā)現(xiàn)學(xué)生對安全屬性的理解易出現(xiàn)“混淆抗抵賴性與真實性”“認(rèn)為保密性最重要”等問題。

1 信息安全屬性教學(xué)問題分析與改進(jìn)方法

信息安全屬性是一個較為寬泛的概念，包括保密性、完整性、可用性、真實性、可控性、抗抵賴性、可靠性、可生存性、穩(wěn)定性等，其中最重要的屬性是保密性、完整性、可用性、真實性、可控性和抗抵賴性。這些屬性刻畫了信息安全的基本特征和需求，被普遍認(rèn)為是信息安全的基本屬性[3-4]，其具體含義如下。

（1）保密性：保證信息不被泄露給非授權(quán)實體。

（2）完整性：保證信息不被非授權(quán)的篡改，如插入、刪除、亂序等。

（3）可用性：保證信息系統(tǒng)能夠以人們所接受的質(zhì)量水平持續(xù)運行，為人們提供有效的信息服務(wù)。

（4）真實性：又稱為可認(rèn)證性，保證實體（如人、進(jìn)程或系統(tǒng)等）身份或數(shù)據(jù)源的真實性。

（5）可控性：保證信息系統(tǒng)時刻處于合法所有者或管理者的有效控制之下。

（6）抗抵賴性：又稱為不可否認(rèn)性，保證用戶在事后無法抵賴曾經(jīng)對信息進(jìn)行的生成、簽發(fā)、接收等行為。

在授課過程中筆者發(fā)現(xiàn)學(xué)生對上述基本安全屬性的理解易出現(xiàn)“混淆抗抵賴性與真實性”、“認(rèn)為保密性最重要”等問題。下面將深入分析造成這兩個問題的原因，并探討改進(jìn)方法。

1.1 “混淆抗抵賴性與真實性”問題的分析與改進(jìn)方法

在講授涉及數(shù)據(jù)源真實性的消息認(rèn)證、數(shù)字簽名技術(shù)時，學(xué)生易將抗抵賴性和真實性混為一談。這是由于學(xué)生對抗抵賴性和真實性內(nèi)涵的理解不深刻導(dǎo)致的。為此，在教學(xué)過程中要進(jìn)一步加強對抗抵賴性和真實性的內(nèi)涵及其關(guān)系的討論。

抗抵賴性是伴隨人們在互聯(lián)網(wǎng)上交互利益相關(guān)信息（如電子商務(wù)、電子政務(wù)）而出現(xiàn)的安全屬性。根據(jù)利益交互雙方的需求，分為發(fā)方抗抵賴和收發(fā)抗抵賴：發(fā)方抗抵賴指發(fā)送方不能抵賴已發(fā)送的消息，收方抗抵賴指接收方不能抵賴已收到的信息。與其他安全屬性不同，抗抵賴性是一種為信息安全糾紛提供“事后調(diào)查”的依據(jù)和手段的特性，即它并不能防止抵賴行為的發(fā)生，只是當(dāng)出現(xiàn)安全糾紛時，能夠提供無可辯駁的證據(jù)。因此，在實際中實現(xiàn)抗抵賴服務(wù)時，需要引入公證機構(gòu)。

IETF RFC 4949將真實性定義為“the property of being genuine and able to be verified and be trusted（See: authenticate, authentication, validate vs.verify）”[5]。即真實性是一個“真的”、能夠被驗證和信任的屬性，與認(rèn)證、驗證相關(guān)。因此，真實性也稱為可認(rèn)證性。真實性包含數(shù)據(jù)源真實性和對等實體真實性。數(shù)據(jù)源真實性指能夠驗證接收數(shù)據(jù)單元發(fā)送者的身份是其所聲稱的，對等實體真實性指能夠驗證在當(dāng)前關(guān)聯(lián)中對等實體的身份是其所聲稱的。數(shù)據(jù)源真實性和對等實體真實性是真實性在不同應(yīng)用場景下的體現(xiàn)。數(shù)據(jù)源真實性強調(diào)在通信場景下數(shù)據(jù)單元發(fā)送者身份的真實性；對等實體真實性強調(diào)在實體（如人、進(jìn)程或系統(tǒng)等）訪問信息系統(tǒng)場景下實體身份的真實性，如終端認(rèn)證。在實體通過網(wǎng)絡(luò)訪問信息系統(tǒng)的應(yīng)用場景下，需要同時保證數(shù)據(jù)源真實性和對等實體真實性，且數(shù)據(jù)源真實性是對等實體真實性的基礎(chǔ)。完整性是數(shù)據(jù)源真實性的基礎(chǔ)，即如果某數(shù)據(jù)單元被篡改，那么將無從驗證該數(shù)據(jù)單元發(fā)送者的身份是不是其所聲稱的?？梢姡绻ＷC了數(shù)據(jù)單元的完整性，那么也為確保數(shù)據(jù)源真實性奠定了基礎(chǔ)；如果保證了數(shù)據(jù)源真實性，那么數(shù)據(jù)單元肯定沒有被篡改。因此，有些學(xué)者將完整性的內(nèi)涵適當(dāng)擴展，認(rèn)為“信息沒有被非授權(quán)的篡改”中包含“信息源沒有被非授權(quán)的篡改（信息源不是假的、冒充的）”，即數(shù)據(jù)源真實性包含在完整性中[6]。對等實體真實性是可控性的基礎(chǔ)，即如果對等實體的身份是假的、冒充的，那么對該實體訪問本信息系統(tǒng)的控制將無從談起。

真實性是抗抵賴性的基礎(chǔ)，即如果保證了交互雙方身份的真實性，則為保證抗抵賴性奠定了基礎(chǔ)；如果保證了交互雙方的抗抵賴性，則交互雙方身份的真實性肯定得到了保證。

1.2 “認(rèn)為保密性最重要”問題的分析與改進(jìn)方法

學(xué)生總是認(rèn)為最重要的安全屬性是“保密性”。導(dǎo)致此問題的根本原因是學(xué)生對安全屬性分級的概念沒有建立起來。為避免此問題，在講授完信息安全基本屬性的概念后，需要對安全屬性分級的概念進(jìn)行討論，包括安全屬性分級的意義和安全屬性分級方法。

安全屬性分級的意義在于指導(dǎo)安全方案的設(shè)計。在實際應(yīng)用中，需要滿足的安全屬性很多，但因可用資源或資金的限制，無法滿足所有安全屬性。這就要求有所取舍，在安全強度和安全代價間尋求平衡點，這也是“適度安全”思想的體現(xiàn)。譬如，對于醫(yī)院數(shù)據(jù)庫中病人的過敏信息，其關(guān)注的安全屬性就包括完整性和保密性，且完整性重要于保密性。因為雖然病人的過敏信息屬于病人的隱私信息，需要保證它的保密性，但是如果該信息被篡改，會對病人帶來嚴(yán)重的、災(zāi)難性的后果，甚至可能會失去生命。這就意味著在設(shè)計醫(yī)院數(shù)據(jù)庫的安全方案時，保障病人過敏信息的完整性就是最重要和關(guān)鍵的。

安全屬性分級方法以美國國家標(biāo)準(zhǔn)研究院（National Institute of Standards and Technology,NIST）發(fā)布的標(biāo)準(zhǔn)FIPS PUB 199中闡述的方法為例說明。根據(jù)安全缺乏對機構(gòu)或個人可能造成的影響，NIST FIPS PUB 199將安全屬性分為3個級別[7]。

（1）低級：安全缺乏會對機構(gòu)運轉(zhuǎn)、機構(gòu)資產(chǎn)或個人帶來有限的負(fù)面影響。例如導(dǎo)致任務(wù)處理能力在一定程度上退化，盡管在此期間機構(gòu)能夠完成其主要職責(zé)，但其效率明顯降低；導(dǎo)致機構(gòu)資產(chǎn)的少許破壞；導(dǎo)致少許財務(wù)損失；導(dǎo)致對個人的少許危害。

（2）中級：安全缺乏會對機構(gòu)運轉(zhuǎn)、機構(gòu)資產(chǎn)或個人帶來嚴(yán)重的負(fù)面影響。如導(dǎo)致任務(wù)處理能力明顯退化，盡管在此期間機構(gòu)能夠完成其主要職責(zé)，但其效率明顯降低；導(dǎo)致機構(gòu)資產(chǎn)明顯被破壞；導(dǎo)致明顯財務(wù)損失；導(dǎo)致對個人的明顯危害，但是不涉及失去生命或嚴(yán)重危及生命的傷害。

（3）高級：安全缺乏會對機構(gòu)運轉(zhuǎn)、機構(gòu)資產(chǎn)或個人帶來非常嚴(yán)重的或災(zāi)難性的負(fù)面影響。如導(dǎo)致任務(wù)處理能力嚴(yán)重退化，在此期間機構(gòu)不能完成一個或多個主要職責(zé)；導(dǎo)致機構(gòu)資產(chǎn)的嚴(yán)重破壞；導(dǎo)致嚴(yán)重的財務(wù)損失；導(dǎo)致對個人嚴(yán)重的、災(zāi)難性的危害，包括失去生命或嚴(yán)重危及生命的傷害。

因上述分級方法是一種定性的方法，學(xué)生可能難以理解。在教學(xué)過程中，可適當(dāng)舉一些例子，如對于保密性而言，某場戰(zhàn)爭的開始時間及戰(zhàn)術(shù)部署屬于高級，個人隱私信息屬于中級，某大學(xué)老師名單屬于低級；對于完整性而言，醫(yī)院數(shù)據(jù)庫中病人過敏信息屬于高級，根據(jù)金額大小，電子合同、網(wǎng)上支付屬于高級或中級，網(wǎng)上匿名投票數(shù)屬于低級。

2 面向“信息安全屬性”教學(xué)的遞進(jìn)式教學(xué)方法

鑒于信息安全屬性的重要性，課程組提出了一種遞進(jìn)式教學(xué)方法，見圖1，以使學(xué)生能夠深刻理解信息安全屬性的內(nèi)涵，并初步掌握實際解決安全問題時安全需求的分析方法。遞進(jìn)式教學(xué)方法分兩個階段：第一階段主要采用理論講授的方法，使學(xué)生理解信息安全基本屬性的含義、安全屬性分級的意義，并了解安全屬性分級的方法；第二階段主要采用研討的教學(xué)方法，以進(jìn)一步加深學(xué)生對信息安全基本屬性內(nèi)涵的理解，使學(xué)生初步掌握實際應(yīng)用中安全需求的分析方法。

圖1 遞進(jìn)式教學(xué)方法

2.1 信息安全基本屬性的辨析

基于歷年來學(xué)生作業(yè)、課堂討論中的易錯點，課程組有針對性地給出若干辨析題，通過課堂研討來幫助學(xué)生進(jìn)一步加深對信息安全基本屬性內(nèi)涵的理解。例如，課程組曾采用的關(guān)于完整性的辨析題包括“在用戶與網(wǎng)站之間傳遞的信息不能遺失”“填寫用戶信息時，必須完整”“用戶提交給網(wǎng)站的訂單等必須信息完整”“若A給B發(fā)送一封郵件，并想讓B能驗證郵件是由A發(fā)出的，則應(yīng)該滿足完整性安全需求”等；關(guān)于可控性的辨析題包括“確保用戶的賬戶由自己操作，不是他人冒充”“不同類型的用戶會有不同的權(quán)限”“在系統(tǒng)安全性受到傷害時，后果在可控范圍內(nèi)”等；關(guān)于抗抵賴性的辨析題包括“為實現(xiàn)收方抗抵賴，要提供給發(fā)送者以交付證明”“發(fā)方抗抵賴指發(fā)送方不能抵賴曾經(jīng)發(fā)送的消息”“如果某安全機制提供了抗抵賴服務(wù)，該機制所在的系統(tǒng)就不會發(fā)生抵賴行為了”“為防止假冒攻擊，需要采用可提供抗抵賴服務(wù)的安全機制”等。

2.2 安全屬性與安全需求間關(guān)系的建立

解決信息安全問題的基本思路見圖2。其中安全需求位于重要核心位置，所分析安全需求正確、全面與否直接關(guān)系著所選擇的安全機制能否解決目標(biāo)應(yīng)用所面臨的安全威脅。但是，在實際中安全需求經(jīng)常被忽視，安全工程師常常會從安全威脅直接跳到解決該威脅可采用的技術(shù)和方法（即安全機制），導(dǎo)致安全需求挖掘不全面或深入，所選擇的安全機制難以解決所有安全問題。安全需求的本質(zhì)就是安全屬性，因此課程組認(rèn)為有必要在講解安全屬性時，給學(xué)生建立起安全需求與安全屬性間的關(guān)系，也使安全屬性能夠落地。

課程組從安全屬性的角度出發(fā)，逆向思維，通過引導(dǎo)、啟發(fā)和討論，和學(xué)生一起分析實際中存在哪些與基本安全屬性相關(guān)的需求實例。表1給出了一些典型需求實例。在這些例子的討論過程中，通過適當(dāng)延伸，還可為后面的教學(xué)內(nèi)容（如口令認(rèn)證、BLP模型、Biba模型、RBAC模型等）埋下伏筆。

圖2 解決信息安全問題的基本思路

表1 典型需求實例

2.3 安全需求的分析

在上述討論的基礎(chǔ)上，本階段將通過設(shè)計一些研討題目，引導(dǎo)學(xué)生分析具體實例，以使學(xué)生初步掌握實際應(yīng)用中安全需求的分析方法。在研討題目中，特別要求學(xué)生對安全需求進(jìn)行排序，以體現(xiàn)安全屬性分級的思想。下面給出了一些可采用的難易程度不同的研討題目。在教學(xué)過程中發(fā)現(xiàn)經(jīng)過之前的鋪墊，學(xué)生對基本安全需求的分析已經(jīng)初步掌握。但是，因為出發(fā)點不同，對安全需求的排序存在較大差異。因此，為了能夠獲得一致的安全需求排序共識，在題目中設(shè)置了約束條件，要求從系統(tǒng)開發(fā)人員的角度對安全需求進(jìn)行排序。

例1 教學(xué)信息系統(tǒng)實現(xiàn)了選課、成績發(fā)布與查詢、教學(xué)評估等主要功能。請從系統(tǒng)開發(fā)人員的角度出發(fā)，分析教學(xué)信息系統(tǒng)需滿足的基本安全需求，并對這些需求進(jìn)行排序。

例2 支付寶主要實現(xiàn)了電子支付功能。請從支付寶開發(fā)人員的角度，分析支付寶需滿足的基本安全需求，并對這些需求進(jìn)行排序。

例3 12306網(wǎng)站可為用戶提供火車票購買等服務(wù)。請從網(wǎng)站開發(fā)人員的角度出發(fā)，分析12306網(wǎng)站需滿足的基本安全需求，并對這些需求進(jìn)行排序。

3 結(jié) 語

網(wǎng)絡(luò)空間安全的核心是信息安全。信息安全屬性是信息安全中最為重要和基礎(chǔ)的一個概念。針對信息安全屬性的教學(xué)，本文總結(jié)、分析了教學(xué)過程中發(fā)現(xiàn)的問題，提出了一種遞進(jìn)式教學(xué)方法，該方法有助于學(xué)生深刻理解信息安全屬性的內(nèi)涵，建立起信息安全屬性分級的概念，并初步掌握實際解決安全問題時安全需求的分析方法。課程組在教學(xué)實踐中運用該方法已經(jīng)取得了良好的教學(xué)效果。