序
前言
第1章  緒論
  1.1  引言
  1.2  信息與信息繫統
    1.2.1  信息的基本概念
    1.2.2  繫統的基本概念
    1.2.3  信息繫統的基本概念
    1.2.4  開放互聯網絡環境下的信息繫統
  1.3  信息繫統的安全風險
    1.3.1  風險的基本概念與定義
    1.3.2  信息繫統的風險
    1.3.3  信息繫統的安全屬性
  1.4  安全風險的分析與評估
    1.4.1  風險要素關繫
    1.4.2  風險分析與評估的主要內容
  1.5  風險評估與風險控制
    1.5.1  風險評估與控制模型
    1.5.2  風險評估與控制的繫統理論方法
第2章  信息繫統資源分布模型及基於信息資產的風險識別與分析
  2.1  引言
  2.2  信息繫統資源分布模型
    2.2.1  信息繫統構成要素
    2.2.2  基於信息流保護的資源分布模型
  2.3  信息繫統風險識別過程
    2.3.1  風險識別的含義
    2.3.2  風險識別過程活動
  2.4  信息繫統的資產識別
    2.4.1  資產分類及其位置分布
    2.4.2  資產安全屬性賦值
    2.4.3  資產重要性等級
  2.5  信息繫統的威脅識別
    2.5.1  威脅分類
    2.5.2  威脅賦值
  2.6  信息繫統的脆弱性識別
    2.6.1  脆弱性識別內容
    2.6.2  脆弱性賦值
    2.6.3  已有安全措施確認
  2.7  信息繫統的風險分析
    2.7.1  風險計算方法
    2.7.2  風險結果判定
第3章  基於安全風險的信息繫統數學描述與結構分析
  3.1  引言
  3.2  信息繫統安全風險的狀態空間描述
    3.2.1  信息繫統的描述變量
    3.2.2  基於空間坐標繫的狀態模型
    3.2.3  基於時間坐標繫的狀態模型
    3.2.4  隨機擾動情況下的狀態模型
  3.3  基於拓撲結構的信息繫統數學描述
    3.3.1  拓撲結構圖與拓撲結構矩陣
    3.3.2  拓撲結構矩陣邏輯算法
  3.4  信息繫統的可控性與可觀測性
    3.4.1  可控性分析
    3.4.2  可觀測性分析
第4章  信息繫統安全風險的狀態重構與動態估計
  4.1  引言
  4.2  風險狀態觀測器及其存在條件
    4.2.1  風險狀態重構及觀測器構造
    4.2.2  狀態觀測器存在條件
  4.3  風險狀態觀測器設計問題
    4.3.1  全維狀態觀測器設計
    4.3.2  小維狀態觀測器設計
  4.4  隨機干擾情況下的安全風險狀態估計
    4.4.1  基於Kalman濾波的安全風險狀態估計
    4.4.2  線性時不變繫統情形
第5章  信息繫統安全風險的靜態綜合評估與風險熵判別方法
  5.1  引言
  5.2  確定性情況下的安全風險靜態綜合評估
    5.2.1  各資產要素風險對風險域的影響
    5.2.2  風險關聯與風險合理性繫數
    5.2.3  基本風險集與風險評估準則
    5.2.4  靜態綜合評估算法步驟
  5.3  風險評估中的概率模型與風險熵判別方法
    5.3.1  信息資產安全風險的概率模型
    5.3.2  風險熵：信息繫統安全風險遞增規律
    5.3.3  幾條重要結論
第6章  信息繫統安全風險的動態綜合評估與熵判別準則
  6.1  引言
  6.2  基於安全屬性的信息繫統風險概率模型及基本特征
    6.2.1  基於安全屬性的信息繫統安全風險概率描述
    6.2.2  安全風險概率的理論分布
  6.3  基於信息資產的動態評估模型與熵判別準則
    6.3.1  信息資產安全風險的動態概率描述
    6.3.2  安全熵：信息繫統安全性遞減規律
    6.3.3  熵判別準則
第7章  信息繫統安全風險的狀態控制
  7.1  引言
  7.2  化與極大值原理
    7.2.1  化的基本概念
    7.2.2  控制問題的數學描述
    7.2.3  極大值原理的敘述
  7.3  基於線性二次模型的信息繫統風險控制
    7.3.1  離散線性二次問題
    7.3.2  離散線性二次問題的解及控制算法步驟
    7.3.3  離散線性二次問題再解
  7.4  基於概率模型的信息繫統風險控制
    7.4.1  面向信息資產的風險控制模型及控制算法
    7.4.2  信息繫統的安全熵及控制效能綜合評價
  7.5  基於Logistic模型的信息繫統攻防控制
    7.5.1  攻防控制的意義與內涵
    7.5.2  圍繞信息資產的動態競爭模型
    7.5.3  攻防控制模型及控制算法
    7.5.4  信息繫統的狀態熵及攻防控制效能綜合評價
  7.6  信息繫統的風險控制與耗費成本
    7.6.1  關繫方程
    7.6.2  風險控制方案的選擇
    7.6.3  耗費成本增量的分配
第8章  基於博弈論的信息繫統攻防控制
  8.1  引言
  8.2  博弈問題的基本要素與分類
    8.2.1  博弈問題的基本要素
    8.2.2  博弈問題的分類
  8.3  信息繫統攻防博弈模型
    8.3.1  攻防博弈的基本要素
    8.3.2  攻防博弈的模型結構
    8.3.3  攻防博弈問題的數學描述
  8.4  基於矩陣博弈的信息繫統攻防控制
    8.4.1  攻防控制中的矩陣博弈模型
    8.4.2  攻防策略的分類與量化
    8.4.3  基於矩陣博弈的攻防控制算法
    8.4.4  實例仿真與分析
  8.5  基於Nash均衡的信息繫統攻防博弈
    8.5.1  一般和非合作博弈攻防控制模型及控制算法
    8.5.2  攻防控制中的雙矩陣博弈與純策略Nash均衡
    8.5.3  雙矩陣博弈中的混合策略Nash均衡
參考文獻
附錄A  攻防混合策略的線性規劃問題求解
  A1  攻擊方混合策略的線性規劃問題求解
  A2  防御方混合策略的線性規劃問題求解
後記

第1章 緒論

1.1引言

人類進入信息社會，網絡信息繫統無處不在，無時不有，各行各業及人們的日

常工作和生活都依賴於信息網絡，離不開信息網絡.人們利用信息網絡進行生產、

生活、交流和管理等過程活動.在這些過程活動中，信息網絡作為載體或工具表達

人（自然人、法人、利益集團等）的意志或感情，或交流有價值的資產，或發出指令

實施指揮和管理，或與敵對勢力和武裝集團對抗，從而保護人類社會的正常生活與

生產秩序，保障國家對社會秩序的管理和對社會狀態的控制，保障國家主權和領土

完整，改善或提高人類的整體素質和生活質量，促進人類社會的交流和進步.然而，

信息網絡的開放互聯性及信息繫統組件（硬件和軟件）本身固有的脆弱性和設計的

缺陷給信息繫統的安全與管理帶來極大的困難，給信息的傳輸、存儲和使用帶來潛

在的安全風險.如何正確地識別、估計和評價信息繫統客觀存在的安全風險，進而

預防和控制風險事件的發生，從安全角度保障網絡信息繫統正常、有序和持續運行，

合理地利用現有資源以獲取的社會經濟效益，這始終是信息繫統面臨的重大研

究課題.

伴隨著互聯網技術的快速發展與普及，國內外關於信息繫統安全體繫結構理論

與技術的研究已有20多年的歷史，信息安全的內涵不斷延伸，從初通信信息的

保密性發展到網絡化信息的完整性、可用性、可控性、可審查性等諸多方面，取得

一繫列的理論與技術研究成果.

1985年美國國防部為適應軍事計算機的保密需要制定了可信計算機繫統安全

評估準則（TCSEC，從橘皮書到彩虹繫列）[1]，它是計算機信息繫統安全評估的

個正式標準.其後對網絡繫統、數據庫等方面做出繫列安全解釋，形成了信息繫統

安全體繫結構的早原則.至今美國已研制出達到TCSEC要求的安全繫統（包括

安全操作繫統、安全數據庫、安全網絡部件）100多種.TCSEC標準把繫統的保密

性作為討論的重點，忽略了信息的完整性和可用性等安全屬性，因而這些繫統仍有

相當大的局限性，同時也沒有真正達到形式化描述和證明的可信水平.

20世紀90年代初，歐洲四國法、英、荷、德針對TCSEC隻考慮保密性的局

限性，聯合提出了包括信息安全的機密性、完整性、可用性等安全屬性概念的“信

息技術安全評價準則”（ITSEC，歐洲白皮書）[2].ITSEC把可信計算機的概念提高

到可信信息技術的高度來認識，對國際信息安全的理論研究和技術實施產生了深刻

的影響.但是該標準也同樣沒有給出形式化描述的理論證明.

1996年，美、加、英、法、德、荷六個國家聯合提出了信息技術安全評估的通

用準則（common criteria，CC）[3]，並逐漸形成國際標準ISO15408[4；5；6].該標準定義

了評價信息技術產品和繫統安全性基本準則，提出了目前國際上公認的表述信息技

術安全性的體繫結構，即把安全要求分為規範產品和繫統安全行為的功能要求，以

及如何正確有效地實施這些功能的保證要求.CC標準是個信息技術安全評價

的國際準則，它的發布對信息安全具有重要意義，是信息技術安全評價標準以及信

息安全技術發展的一個重要裡程碑.但CC評價標準是針對產品和繫統的安全性

測試及等級評估，事先假定用戶知道安全需求，忽略了對信息繫統的風險分析，缺

少綜合解決保障信息繫統多種安全屬性的理論模型依據.

2000年，國際標準化組織（ISO）在英國提出的信息安全管理標準（BS7799）的

基礎上[7；8]，制定並通過了信息安全管理指南ISO/IEC17799[9]，采用繫統工程方

法確定安全管理的方針和範圍，在風險評估的基礎上選擇適宜的控制目標與控制

方式，制定業務持續性計劃，建立並實施信息安全管理體繫.但ISO/IEC17799（或

BS7799）的目的並不是告訴使用者有關“怎麼做”的細節，它所闡述的主題是安全

策略和具有普遍意義的安全操作，它討論的主題很廣泛但每一項內容的討論都沒有

深入下去，沒有提供關於任何安全主題的確定或專門的材料，也沒有提供足夠的信

息以幫助機構進行深入的安全檢查.

1996年12月開始發布的ISO13335繫列標準[10；11；12；13]，提出了關於信息技術

安全的機密性、完整性、可用性、審計性、真實性、可靠性等6個方面的含義，並

提出了基於風險管理的安全模型.該模型闡述了信息安全評估的基本思路，對信息

繫統安全風險的評估工作具有指導意義.

2000年9月，美國國家安全局為了促進美國政府信息繫統安全需求的協調，在

“工業界/政府聯合信息保障技術框架”的基礎上推出了《信息保障技術框架》（IATF）：

3.0版[14].IATF定義了對一個繫統進行信息保障的過程以及該繫統中硬件和軟件

部件的安全需求，提出了多層防護原則，稱之為“縱深保衛戰略”（Defense-in-Depth

Strategy）.縱深保衛戰略的四個主要技術焦點分別為：保衛網絡和基礎設施、保衛

邊界、保衛計算環境以及為基礎設施提供支持.IATF得到了廣泛的采納和應用，美

國國防部（DOD）的《全球信息網（GIG）IA政策和實施指南》就是圍繞縱深保衛戰

略而建的，它把IATF作為技術解決方案的信息源以及國防部IA實施的指南.雖

然IATF提出了縱深保衛戰略的概念，並圍繞該概念對信息繫統進行建設和保護，

但僅起到對安全需求的協調和安全解決方案的建議作用，並沒有描述如何對一個信

息繫統提供完整安全解決方案的技術框架和技術路線.

在國內，由於信息安全技術及體繫結構的研究滯後於信息技術應用和產業的發

展，國內主要是等同采用國際標準.例如，《信息技術安全技術信息技術安全性

評估準則》（GB/T18336|2001）[15.17]就是等同采用ISO/IEC15408：1999.另外，

由公安部主持制定、國家技術監督局發布的《計算機信息繫統安全保護等級劃分

準則》（GB17859|1999）將計算機繫統安全保護能力分為五個等級：用戶自主保

護級、繫統審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級.主要

的安全考核指標有身份驗證、自主訪控制、數據完整性、審計等，這些指標涵蓋了

不同級別的安全要求[18].但這個標準的基本思想未能在根本上突破TCSEC架構，

同時缺乏可操作性.

2007年正式發布並實施的GB/T20984|2007《信息安全技術信息安全風險

評估規範》，作為中華人民共和國國家標準[19]，給出了信息繫統安全風險評估的基

本概念、要素關繫、分析原理、實施流程和評估方法以及風險評估在信息繫統生命

周期不同階段的實施要點和工作形式，具有較強的可操作性.標準在資產識別和分

類的基礎上，按照機密性、完整性和可用性三個安全屬性的達成程度對資產進行賦

值，並依據賦值大小劃分資產重要性等級；對資產面臨的威脅狀況和存在的脆弱性

程度進行識別並賦值；根據威脅出現的頻率和資產脆弱性程度計算安全事件發生的

可能性；根據資產價值和資產脆弱性程度計算安全事件發生造成的損失；根據安全

事件發生的可能性和安全事件發生造成的損失計算資產的風險值，並進行等級化處

理.但該標準給出的安全風險評估流程、評估方法和評估結果都是針對各信息資產

而言的，缺乏對信息繫統各風險域及繫統整體風險的描述與評價.

從國內外研究現狀可以看出，迄今為止的信息安全評估標準雖然都強調了風險

評估的必要性和重要性，都要求以信息繫統安全風險的分析為核心，通過評估繫統

或產品的安全屬性來判斷繫統或產品的安全等級是否符合要求，但這些標準所采

用的方法一般都是通過問卷式的調查訪談給出不同風險域在安全管理方面存在的

漏洞和各領域的安全等級，後給出策略建議.這至少在以下三個方面存在問題或

不足：一是對於信息繫統安全風險分布規律的認識大多停留在專業人員或專家的

個人經驗上，因而缺乏繫統性和客觀性；二是在風險評估的量化及評價方面普遍缺

乏可操作的工程數學方法，導致評估結果在繫統性和客觀性方面存在較大的主觀偏

好；三是對信息繫統安全風險的時空分布特性（尤其是時間分布特性）缺乏描述與

分析，因而無法解決安全風險的動態估計問題.

在安全保護（風險控制）方面，迄今為止人們采取了各種各樣的措施並研究了

各種類型的繫統或設備來堵塞繫統的安全漏洞，以降低安全風險，盡力將風險控制

在人們可接受的範圍之內.但所取得的成果都是局部性的或工程性的，對信息繫統

安全保護（風險控制）過程中帶有一般性的普遍意義的研究還很缺乏，對信息繫統

所存在的安全風險、安全方案設計的優劣、風險評估與風險控制性能的評價等方面

還缺乏科學嚴謹的評判理論與方法.

本書站在控制論或繫統論的高度，綜合利用信息論、控制論、繫統論（包括復

雜繫統理論）的基本思想和方法，從分析信息繫統構成要素和資產所面臨的安全風

險入手，用定性和定量分析相結合的方法，首先建立信息繫統風險評估與控制的模

型結構，以此為基礎，給出“基於信息流保護的資源分布模型”，進而對信息資產、

資產的脆弱性和面臨的威脅進行識別與分析，並給出信息資產安全風險的計算方

法；然後討論描述信息繫統安全風險的數學模型，給出基於模型的風險狀態觀測和

風險狀態估計方法；接著介紹信息繫統安全風險的綜合描述與評價方法；後用較

大篇幅討論信息繫統安全風險控制的理論與方法問題，包括“信息繫統安全風險的

狀態控制”、“信息繫統風險控制與耗費成本”、“基於Logistic模型的信息繫統攻

防控制”、“基於博弈論的信息繫統攻防控制”等內容.

作為緒論，接下來就信息與信息繫統、信息繫統的安全風險、安全風險的分析

與評估、風險控制與風險控制繫統等基本概念首先予以介紹，為後面各章 的詳細討

論奠定的基礎.

1.2信息與信息繫統

1.2.1信息的基本概念

人們之所以把現代社會稱為信息社會，是因為信息與物質和能量一樣，已經成

為人類生存和社會發展的必要條件之一[20].那麼信息是什麼呢？簡單地說，信息

是物質的一種固有屬性，它來源於物質的運動，是物質運動狀態和運動方式的表征.

信息與物質和能量有著密不可分的關繫：沒有物質、沒有物質的運動，就沒有信息，

但信息不等同於物質，信息不是物質本身，它隻是反映物質的運動狀態和方式；同

時，沒有能量，物質就不能運動，當然也就沒有信息，但信息也不等同於能量，能量

是物質運動的原因，信息是物質運動的結果.物質、能量、信息是人類社會發展和

進步的三大基本要素.

此外，物質和能量受到空間和時間的限制，但是信息原則上可以延伸和拓展到

無限的空間和時間.物質和能量隻存在於客觀世界，但信息除了客觀存在以外還接

受主觀世界的影響，例如信息的內涵與感知者的理解、思維能力、偏好、判斷水平

等因素有關.信息可分為狹義和廣義兩類：狹義信息又稱為客觀信息，它以概率統

計為基礎，用信息的量度、傳輸速率、信息容量等來衡量；廣義信息又稱為有效信

息，它在統計信息的基礎上，進一步考慮信息的邏輯含義和實效內容，並用平均效

用度來衡量.

要進一步理解信息的特征與內涵，還必須弄清楚“消息”的基本概念，以及消

息和信息的區別和內在聯繫.消息是人們熟知的概念，比如在電報通信中電文是消

息，在電話通信中話音是消息，在電視中畫面圖像是消息，在遙控和遙測中一些測

量數據和指令也是消息，等等.很明顯，各種消息在物理特征上極不相同，各種消息

的組成亦不可能相同，但它們有一個共同的特點，即消息的隨機性.發信端在發送

消息時可以隨心所欲地發出這樣或那樣的序列和過程，收信端在收到消息之前是無

法預測的，亦即消息的出現是隨機的、不確定的.在信息繫統內傳遞的消息本身無

法量度，但其不確定性是可以量度的.因此，人們又引用信息的概念來量度消息的

不確定性，即“信息”是消息不確定性程度的測度.

傳遞信息是通信的目的，每一條消息都包含著一定的信息量，而信息量的大小

與消息發生的概率有著密切的關繫.比如，某人告訴我們一條非常可能發生的消息，

比起告訴我們一條不太可能發生的消息來說，所傳遞的信息量就比較少.因此，消

息發生的概率可以作為人們預期程度的度量單位，它和信息量大小有關.也就是說，

在信息度量中基本的就是不確定性的概念，即消息的內容越是不能確定，則消息

所包含的信息量就越大.如果我們能夠預測給定消息的內容，那就沒有傳遞什麼新

的信息，即信息量很少，甚至等於零.

綜上所述，消息是信息傳輸的具體對像，而信息是抽像化的消息；消息中包含

信息的量度是基於消息出現的概率，並且信息量的大小和消息發生的概率有著相反

的關繫.如果消息是確定的（即發生概率為1），那麼它包含的信息量為零；如果消息

是完全不可能的（即發生的概率為0），那麼它包含著無窮的信息量.因此，信息量

可以用消息發生概率倒數的某個函數來表示.在信息論中，信息的科學定義為

式中，p為消息發生的概率，也稱為先驗概率；I為從消息發生中能夠得到的信息量；

log表示對數.對數的底決定著量度信息的單位：若取2為底，則I的單位為二進

制單位，即比特（bit）；若取e為底，則I的單位為自然單位，即奈特（nit）.在信息

通信中通常取2為底，它的單位是比特.例如，傳輸一個以等概率出現的二進制碼
<（0或1），接收端所獲得的信息量就為1bit，即當p（0）=p（1）=1/2時，有

1.2.2繫統的基本概念

控制論的奠基人Rorbert Wiener把控制論定義為“通信和控制的科學”[21]，按

照控制論（cybernetics）一詞的原意，有人又把它稱為“掌舵術”的學問.要討論的

主要問題是：指揮、協調、調節、穩定、反饋、控制等等，而這些問題的討論，離不

開繫統的基本概念.

繫統一詞是人們所熟知的，它是一個廣義的概念，有各種不同的定義方法，本

書從繫統的基本特征出發，給出一個直觀的定義.

定義1.1繫統是特定命題和制束條件下有組織體制的通稱.

注意上述定義中的“特定命題”、“制束條件”、“有組織體制”幾個關鍵詞.所

謂特定命題，是指為了達到某些特定的目的而確定的研究對像；所謂制束條件，是

指組成部件）之間互有關聯，並按一定的規則相互連接；所謂有組

織體制，是指組成繫統之間的關繫要服從整體的要求與繫統之間

的關繫也要服從整體的要求，以整體的觀念來協調繫統.可見，能夠稱之

為繫統的研究對像至少必須具備以下基本特征：

（1）目的性.例如，研究開放互聯網絡環境下的信息繫統，目的是什麼呢？首先

當然是信息通信和信息共享，這就是命題，也就是目的.在這個命題下去研究信息

繫統的通信性能和互聯互通規則，如網絡傳輸延遲、路由選擇的轉發指數、網絡容

量、網絡協議等.其次是在保證信息通信和信息共享的同時，還必須保證信息的安

全.在信息通信和信息共享的過程中保證信息安全，這也是命題，也是目的.從這

個命題去研究信息繫統的安全風險特性，如信息資產的脆弱性和可能受到的威脅以

及由此引發的安全事件發生的可能性和安全事件造成的損失等.

（2）相關性.組成部件）之間要相互聯繫，相互作用；互聯要

按一定的規則，即受到一定的約束.顯然，信息繫統必須由客體（計算機網絡）、主

體（管理者和使用者）和運行環境（客體和主體共存的物理空間、邏輯空間及保障

條件）三大要素按事先設計好的網絡拓撲結構圖和管理規則連接組成.若隻有以上

三大要素而不按網絡拓撲結構圖和管理規則連接，或者缺少其中必需要素而添上別

的要素，都構不成信息繫統.

（3）整體性.無論部件）的參數，還是協之間的關繫

以和整體之間的關繫，都要從整體的觀念出發，服從整體的要求.

（4）相對性.通常，人們把繫統看部件更復雜、規模更大的組成體，但

這是不確切的.因為實際上很難從復雜程度和規模的大小來確切區分部

件，什麼是繫統.例如，一個雙穩態觸發器，作為記憶和信息處理繫統，它由兩隻晶

體管和幾隻電阻、電容構成；但在一個運算或控制繫統裡，這個雙穩態觸發器就退

居為一個，這個運算或控制繫統在一臺復雜的計算機中隻能算一個部件.

在一個規模不大的局域網繫統中，一臺計算機隻能算一個.所以繫統的概

念具有明顯的相對性，與我們要討論的命題和要達到的目的緊密相關，而不是從簡

單或復雜程度來區分部件，什麼是繫統.