唐碩 劉磊 刁藝偉

摘要：信息安全系統(tǒng)的安全保護(hù)制度是我國(guó)的現(xiàn)代化信息的一項(xiàng)基本制度，它對(duì)我國(guó)“信息化”道路的發(fā)展和國(guó)民經(jīng)濟(jì)水平的提高有著顯著的推動(dòng)作用。本文主要研究基于風(fēng)險(xiǎn)評(píng)估建立信息系統(tǒng)安全等級(jí)測(cè)評(píng)模型，并基于該模型得出信息系統(tǒng)是否安全的整體評(píng)估結(jié)果。

關(guān)鍵詞：信息系統(tǒng)；風(fēng)險(xiǎn)評(píng)估；等級(jí)測(cè)評(píng)；測(cè)評(píng)模型

中圖分類號(hào)： TP309.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）25-0163-02

Research on the Security Level of Information System Based on Risk Assessment

TANG Shuo， LIU Lei， DIAO Yi-wei

（Information Security Department， Henan Police College， Zhengzhou 450000， China）

Abstract：The security system of information security system is a basic system of our country's modern information. It has a significant role in promoting the development of China's "information" and the improvement of the level of the national economy. In this paper， we mainly study the security level assessment model based on risk assessment， and get the overall assessment results based on the model.

Key words： Information system； risk assessment； evaluation； evaluation model

1 引言

隨著技術(shù)的發(fā)展，高科技犯罪分子利用病毒、木馬等惡意代碼實(shí)施網(wǎng)絡(luò)犯罪。面對(duì)這種犯罪逐年上升的趨勢(shì)，筆者認(rèn)為，信息系統(tǒng)安全防范工作日趨重要。國(guó)內(nèi)外對(duì)信息系統(tǒng)等級(jí)保護(hù)方面的標(biāo)準(zhǔn)發(fā)展至今已經(jīng)非常成熟，但信息系統(tǒng)安全保護(hù)方面還存在一些現(xiàn)實(shí)問題。如，定性加定量分析的信息系統(tǒng)分級(jí)過程不是特別符合實(shí)際，標(biāo)準(zhǔn)簇中個(gè)別標(biāo)準(zhǔn)對(duì)一些細(xì)節(jié)涵蓋不是特別全面等等。本文擬對(duì)目前存在的量化模型進(jìn)行深入、全面的研究，對(duì)于如何解決信息系統(tǒng)的科學(xué)分級(jí)問題起到一定借鑒作用。

2 一種基于風(fēng)險(xiǎn)評(píng)估的等級(jí)測(cè)評(píng)模型

相關(guān)文獻(xiàn)顯示，基于風(fēng)險(xiǎn)評(píng)估構(gòu)建等級(jí)測(cè)評(píng)模型，將得到更加精確的測(cè)評(píng)結(jié)果。對(duì)前期調(diào)研文獻(xiàn)進(jìn)行匯總及整理，筆者認(rèn)為，構(gòu)建基于風(fēng)險(xiǎn)評(píng)估的等級(jí)測(cè)評(píng)模型涉及下述內(nèi)容。

2.1 風(fēng)險(xiǎn)評(píng)估權(quán)重法參數(shù)指標(biāo)

風(fēng)險(xiǎn)評(píng)估權(quán)重法的計(jì)算是基于數(shù)學(xué)建模對(duì)輸入因子進(jìn)行計(jì)算，生成期望輸出的過程。設(shè)[U=u1，u2，…，un]為輸入指標(biāo)的技術(shù)參數(shù)，[W=w1，w2，…，wk] 為指標(biāo)可能取值，[V=v1，v2，…，vm]為指標(biāo)初始權(quán)值。則有技術(shù)指標(biāo)重要性評(píng)價(jià)權(quán)重集[V=v1，v2，…，vm]，及指標(biāo)符合性判斷[U×W=u1×w1，u2×w2，…，un×wk]。

基于風(fēng)險(xiǎn)評(píng)估權(quán)重法的計(jì)算，需要具備三個(gè)矩陣的初始值：指標(biāo)集[U=u1，u2，…，un]；目標(biāo)集[W=w1，w2，…，wk]；指標(biāo)權(quán)重集[V=v1，v2，…，vm]。

用R表示測(cè)評(píng)指標(biāo)目標(biāo)矩陣，則：

[R=r11r12r13r14r21r22r23r24…………rm1rm2rm3rm4]

2.2 定級(jí)指標(biāo)的計(jì)算

定級(jí)指標(biāo)體系分為兩個(gè)級(jí)別。第一級(jí)為“信息技術(shù)單元測(cè)試”，第二級(jí)為“安全技術(shù)測(cè)評(píng)”及“安全管理測(cè)評(píng)”。評(píng)測(cè)指標(biāo)包括：“評(píng)價(jià)目標(biāo)”、“測(cè)評(píng)層面”、“測(cè)評(píng)指標(biāo)”、“測(cè)評(píng)項(xiàng)”四個(gè)方面。如，“評(píng)價(jià)目標(biāo)”、“測(cè)評(píng)層面”包含的子集可表示為：用U1，U2分別表示“安全技術(shù)測(cè)評(píng)”和“安全管理測(cè)評(píng)”。 則，U1，U2可分別表示為：

鑒于每個(gè)指標(biāo)要賦予不同權(quán)值，所以可以利用模糊數(shù)學(xué)解決這個(gè)問題。最終能夠輸出測(cè)評(píng)項(xiàng)符合項(xiàng)的隸屬度。表1為某測(cè)評(píng)結(jié)果。由表格輸出結(jié)果可知Z的模糊輸出值（即屬于某個(gè)級(jí)別的隸屬度）。

表1 測(cè)評(píng)結(jié)果

[等級(jí)＼&1＼&2＼&3＼&4＼&5＼&模糊輸出值Z＼&[≤75%]＼&[75%?80%]＼&[80%?85%]＼&[85%?90%]＼&[≥90]＼&]

計(jì)算過程中，分別對(duì)“安全技術(shù)”及“安全管理”進(jìn)行測(cè)評(píng)。根據(jù)這兩個(gè)層面不同的測(cè)評(píng)矩陣，用μij表示。其中，i=1，2，3，4； j=1，2，3，4。分別統(tǒng)計(jì)出“符合”、“部分符合”、“不符合”、“不適用”四類統(tǒng)計(jì)結(jié)果。

2.3 權(quán)重的確定

為了突出重大風(fēng)險(xiǎn)，可以通過專家組打分賦值的方法最大化克服主觀評(píng)價(jià)的偏差，得到最終權(quán)重值。通常需要將兩個(gè)指標(biāo)經(jīng)過運(yùn)算通過一個(gè)指標(biāo)來(lái)標(biāo)識(shí)。令X，Y分別表示二維輸入指標(biāo)，通過計(jì)算[z=fx，y]可計(jì)算出一維輸出z。如下述。

[x=x1，x2，…，xi，…，xm1<=i<=m； y=y1，y2，…，yj，…，yn1<=j<=m]

（其中[xi]，[yi]為正整數(shù)）

可求得Z的取值為：

[z=z11，z12，…，zij，…，znm1<=i<=m1<=j<=m]

（其中[zij]為正整數(shù)）

其中，[Zij=xi+yj] 或者[zij=xi+yj]

或者 [zij=α?xi+β?yj]

利用專家組（根據(jù)情況選擇相關(guān)各類專家），再根據(jù)重要程度、可信程度等組成矩陣。如圖1所示。

[u1…ui…um專家1?專家j?專家kV11…Vi1…Vm1???V1j…Vij…Vmj???V1k…Vik…Vmk]

圖1 權(quán)重計(jì)算

由圖1可知，[vi=1kj=1kviji=1，2，…，m]

即權(quán)重矩陣為：

[V=1kj=1kv1j，…，1kj=1kvij，…，1kj=1kvmi]

2.4 實(shí)施評(píng)測(cè)流程

一般地，實(shí)施評(píng)測(cè)流程主要包括信息收集、測(cè)評(píng)方案生成、現(xiàn)場(chǎng)測(cè)評(píng)、總結(jié)測(cè)評(píng)結(jié)果幾個(gè)階段。

關(guān)于符合項(xiàng)比例計(jì)算如下。

定義結(jié)論集U。

[U=u1，u2，u3，u4=符合項(xiàng)數(shù)，不符合項(xiàng)數(shù)，部分符合項(xiàng)數(shù)，不適用項(xiàng)數(shù)]

構(gòu)建評(píng)價(jià)矩陣R，計(jì)算測(cè)評(píng)指標(biāo)安全等級(jí)。令每個(gè)測(cè)評(píng)指標(biāo)需要進(jìn)行S項(xiàng)測(cè)評(píng)。分別用[a，b，c，d]表示符合項(xiàng)、不符合項(xiàng)、部分符合項(xiàng)、不適用項(xiàng)。則有下述公式成立。

2.5 安全技術(shù)評(píng)價(jià)

一般地，實(shí)施評(píng)測(cè)流程主要包括下述幾個(gè)階段。

一般地，基于加權(quán)統(tǒng)計(jì)技術(shù)可以完成安全性評(píng)測(cè)過程。步驟如下。

第一，測(cè)評(píng)指標(biāo)的確定。根據(jù)標(biāo)準(zhǔn)，安全技術(shù)的安全評(píng)測(cè)包括：“物理安全”、“網(wǎng)絡(luò)安全”、“主機(jī)安全”、“應(yīng)用安全”、“數(shù)據(jù)安全及備份恢復(fù)”。第二，測(cè)評(píng)層面權(quán)重分配向量的建立。

3 結(jié)論

本文先從研究意義、國(guó)內(nèi)外發(fā)展現(xiàn)狀開始，對(duì)于等級(jí)測(cè)評(píng)中定級(jí)模型進(jìn)行了深入研究。并且將典型模型、基于風(fēng)險(xiǎn)權(quán)值的定級(jí)模型進(jìn)行了研究。特別是在研究基于風(fēng)險(xiǎn)權(quán)值的量化定級(jí)模型過程中，使用了模糊數(shù)學(xué)模糊集合的知識(shí)，根據(jù)隸屬度實(shí)現(xiàn)對(duì)信息系統(tǒng)的精確定級(jí)。本文的研究擬對(duì)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)這個(gè)關(guān)鍵問題起到一定借鑒作用。進(jìn)一步的工作將會(huì)針對(duì)風(fēng)險(xiǎn)評(píng)價(jià)量化模型的實(shí)施及實(shí)際案例展開。最終擬針對(duì)教育信息網(wǎng)絡(luò)建立特定的量化定級(jí)模型。

參考文獻(xiàn)：

[1] 王禎學(xué).信息系統(tǒng)安全風(fēng)險(xiǎn)估計(jì)與控制理論[M].北京：科學(xué)出版社，2011.

[2] 王斌君.信息安全體系[M].北京：高等教育出版，2008.

[3] （美）惠特曼，（美）馬特奧德.信息安全管理[M].重慶：重慶大學(xué)出版社，2005.

[4] 黃芳芳.信息安全風(fēng)險(xiǎn)評(píng)估量化模型的研究與應(yīng)用[D].湖北：湖北工業(yè)大學(xué)，2010.

[5] 邱意民.風(fēng)險(xiǎn)評(píng)估在安全等級(jí)保護(hù)測(cè)評(píng)中的應(yīng)用[A].2012年電力通信管理暨智能電網(wǎng)通信技術(shù)論壇論文集[C].2013.

[6] 張益.信息安全等級(jí)保護(hù)模糊綜合評(píng)價(jià)模型研究[A]. 第二屆全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)會(huì)議論文集[C]. 2012.