袁靜　任衛(wèi)紅　趙泰

摘要：采用層次分析法構(gòu)建保護能力的評價指標(biāo)體系，并以此為基礎(chǔ)層層匯總計算各措施層指標(biāo)的合成權(quán)重，作為保護能力得分量化的基礎(chǔ)。同時，還在現(xiàn)有等級測評的基礎(chǔ)上，創(chuàng)新性提出從“正反”兩個不同的角度來度量信息系統(tǒng)的安全狀況，安全保護能力評價結(jié)合了正向的保護狀況和反向的風(fēng)險情況進行綜合判定。

關(guān)鍵詞：等級測評；評價指標(biāo)；權(quán)重；風(fēng)險分析；多對象平均分

中圖分類號：TP391文獻標(biāo)識碼：A

Abstract：Evaluation Index System of information system protection capabilities was built based on AHP， which was used as the basis to calculate the various layers weights as the synthesis weight of the index of measure layer， and used as the foundation of quantifying security capability score. Meanwhile， based on the existing classified protection testing and evaluating， a new idea was put forward to measure the information system security protection situation from the "pros and cons" of two different views. Information system security capability was evaluated and comprehensively judged by combining with the positive evaluation of the protection situation and reverse risks.

Key words：classified protection testing and evaluating；evaluation index；weight；risk analysis；average score of multiobject

1引言

對信息系統(tǒng)實施等級測評具有重要的現(xiàn)實意義，其中對信息系統(tǒng)的安全保護能力進行評價是等級測評的重要環(huán)節(jié)。信息系統(tǒng)安全保護能力評價是對等級測評結(jié)果進行全面評估、分析與度量。安全保護能力評價雖然不能直接保護信息系統(tǒng)，但其結(jié)果可以反映信息系統(tǒng)的安全保護狀況，發(fā)現(xiàn)信息系統(tǒng)存在的薄弱點，可以作為信息系統(tǒng)安全整改和后期安全規(guī)劃的依據(jù)和基礎(chǔ)。

2研究狀況分析

在信息安全評價方面，從安全評估模型的著眼點看，目前存在兩方面完全不同的模型：一種是從“正面”分析信息系統(tǒng)安全保護能力為出發(fā)點的安全評估模型，如閆強等人提出的安全度量評估模型[1]；另一種則是從“反面”以信息系統(tǒng)存在的脆弱性為出發(fā)點的安全評估模型，如風(fēng)險評估模型，從可靠性評定模型中發(fā)展過來的故障樹模型等。這兩種不同的模型，分別從“正反”兩個不同的角度來度量信息系統(tǒng)的安全狀況。

本文充分借鑒上述兩種模型的優(yōu)點，首先從“正面”分析系統(tǒng)安全保護能力是否達到等級保護相關(guān)標(biāo)準(zhǔn)的要求，然后從“反面”以在等級測評中發(fā)現(xiàn)的系統(tǒng)脆弱性為出發(fā)點，綜合分析系統(tǒng)面臨的風(fēng)險。

3系統(tǒng)安全保護能力評價指標(biāo)體系

系統(tǒng)安全保護能力評價是在等級測評的單項測評結(jié)果基礎(chǔ)上進行的，主要內(nèi)容分為五個方面：單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風(fēng)險評估以及綜合分析[2，3]。

整體測評主要是以“正向”為主，包括安全控制間、層面間和區(qū)域間相互作用的安全測評，以及漏洞掃描、滲透測試等。風(fēng)險評估主要是以“反向”為主，綜合分析則是根據(jù)單項測評、整體測評、風(fēng)險評估的結(jié)果對信息系統(tǒng)的整體安全保護能力狀況進行綜合評價分析。

單項測評中的各項測評指標(biāo)直接來自《信息系統(tǒng)安全等級保護基本要求》[4]（簡稱《基本要求》），與其存在一一對應(yīng)的關(guān)系。這些測評指標(biāo)與系統(tǒng)安全保護能力之間沒有明確的關(guān)聯(lián)關(guān)系。因此，為了判定系統(tǒng)安全保護能力，首先需要研究如何將安全保護能力與各項具體測評指標(biāo)關(guān)聯(lián)起來，形成科學(xué)的安全保護能力評價指標(biāo)體系[5]。

本文借鑒層次分析法[6，7]的思想建立評價指標(biāo)體系并求取各測評指標(biāo)權(quán)重。評價指標(biāo)體系可以分解為目標(biāo)層、準(zhǔn)則層和措施層[8]。措施層（對應(yīng)《基本要求》的具體要求項）是明確實現(xiàn)各安全保護能力需要的安全機制或安全措施，是綜合安全保護能力的最細化、最底層的層次。準(zhǔn)則層（對應(yīng)各項保護能力）是在歸納總結(jié)措施層不同層次不同方面的各項措施能夠?qū)崿F(xiàn)的安全保護能力形成的，是多項安全措施的綜合，準(zhǔn)則層是措施層與目標(biāo)層之間的橋梁。目標(biāo)層（A層）只有綜合保護能力一個指標(biāo)，是所有準(zhǔn)則層各項保護能力的綜合，是信息系統(tǒng)綜合安全保護能力的量化直觀反映，也是等級測評的最終結(jié)論，量化分數(shù)的高低可以反映出信息系統(tǒng)安全保護現(xiàn)狀與相應(yīng)等級安全保護能力要求之間的差距。

評價指標(biāo)體系各層次內(nèi)容及其之間的關(guān)系可用示例圖1來表示。

其中，準(zhǔn)則層指標(biāo)可以進一步分為能力層（B層）、能力子層（C層）和能力底層（D層），該層指標(biāo)自上而下是對綜合保護能力的進一步細化、分解。其中能力層分為8類能力（見圖1），能力子層分為36類子能力，能力底層則進一步細分為126類子能力。準(zhǔn)則層分解示例如下表1所示：措施層（E層）來自于《基本要求》技術(shù)和管理兩大部分的安全措施。其與準(zhǔn)則層的關(guān)聯(lián)關(guān)系示例如表2所示。

4測評指標(biāo)綜合權(quán)重計算

在建立了等級測評安全保護能力評價指標(biāo)體系之后，進而通過層次分析法確定每一層相對于上一層的影響權(quán)重，得出全部測評指標(biāo)的綜合權(quán)重得分。

下面詳細說明如何使用判斷矩陣求得等級測評指標(biāo)各層的權(quán)重系數(shù)。

B層相對于A層的各指標(biāo)權(quán)重。根據(jù)層次分析法，當(dāng)相互比較因素的重要性能夠用具有實際意義的比值說明時，則取這個比值作為B層相對于A層的各指標(biāo)權(quán)重。根據(jù)信息系統(tǒng)等級保護能力的要求，5個不同級別的安全保護能力有如下表的特點，即1級更強調(diào)安全防護方面的能力；2級在1級的基礎(chǔ)上，進一步強調(diào)檢測能力；等等。

因此，可以根據(jù)不同等級能力的體現(xiàn)，通過專家對比評審的方式確定判斷矩陣。根據(jù)專家對比的結(jié)果形成判斷矩陣AB，計算最大特征根和特征向量，歸一化處理后得到B層指標(biāo)對A層而言的權(quán)重系數(shù)WB，并進行一致性較驗。

wb=WA1B1……WA1Bn

WA2B2……WA2Bn（1）

WA15n代表B層第n個指標(biāo)對A1的權(quán)重系數(shù)，WA2Bn代表B層第n個指標(biāo)對A2的權(quán)重系數(shù)，n為從1到8的正整數(shù)。

另外，C層相對于B層的各指標(biāo)權(quán)重以及D層相對于C層、E層相對于D層的各指標(biāo)權(quán)重是不會隨安全等級的變動而改變的，也不隨其服務(wù)的是業(yè)務(wù)信息安全還是系統(tǒng)服務(wù)安全而改變，也就是說其權(quán)重系數(shù)是相對穩(wěn)定的，主要決定于C層對B層、D層對C層、E層對D層的貢獻。因此，可以采取通過專家評審對比構(gòu)造判斷矩陣、計算最大特征根、計算特征向量并歸一化的方式，得到權(quán)重向量。通過計算得出一組權(quán)重系數(shù)。

根據(jù)上述得出的這些權(quán)重系數(shù)可以生成合成權(quán)重。合成權(quán)重是指最下層（措施層E層）諸要素對最上層（目標(biāo)層A層）的綜合權(quán)重W。根據(jù)層次分析法，可以預(yù)先計算出從措施層E層到目標(biāo)層A層的綜合權(quán)重WA，WA=WB×WC×WD×WE。從而在計算綜合得分中直接使用，以減少中介計算。

5安全保護能力綜合評價

在等級測評中各單元測評指標(biāo)的得分包括單項測評結(jié)果的符合程度直接得分和整體測評對直接得分的修正分。

5.1單項測評結(jié)果符合程度直接得分

單測評項根據(jù)不同的測評方式、測評內(nèi)容等，可能會存在多個測評實施過程與之對應(yīng)。執(zhí)行這些測評實施過程后，會得到多個測評證據(jù)。如何根據(jù)這些測評證據(jù)獲得單項測評結(jié)果是判定得到等級測評結(jié)論的基礎(chǔ)。

單項測評結(jié)果的形成方法通常是：首先將實際獲得的多個測評結(jié)果分別與預(yù)期的測評結(jié)果相比較，分別判斷每一個測評結(jié)果與預(yù)期結(jié)果之間的相符性；然后，根據(jù)所有測評結(jié)果的判斷情況，綜合判定給出該測評項的符合程度得分，符合程度得分為5分制，滿分為5分，最低分為0分，測評人員根據(jù)符合情況給出0～5的整數(shù)分值[9]。這個得分即為該測評項的單項測評結(jié)果符合程度的直接得分。其中，0分的情況是指獲取的測評證據(jù)低于相應(yīng)測評項應(yīng)達到的最低要求。

單項測評結(jié)果的符合程度得分體現(xiàn)了安全保護措施是否有效以及有效性程度[10]。

同時，由于單項測評結(jié)果符合程度直接得分越高，表明該項對應(yīng)的安全問題越不嚴重，因此可以根據(jù)單項測評結(jié)果的符合程度得分得到對應(yīng)的安全問題嚴重程度得分。即：

S安全問題嚴重程度得分=5-S單項測評結(jié)果符合程度直接得分（2）

5.2單項測評結(jié)果的多對象平均分

一般來說，一個測評項可能在多個測評對象上實施。因此，作為綜合得分計算基礎(chǔ)的單項測評結(jié)果應(yīng)為多個測評對象的平均得分，即多對象平均分。

5.2.1測評對象分類

針對單個測評項的測評可能會落實到一個或多個測評對象上。由于這些測評對象在信息系統(tǒng)中所起的作用會有所不同，所以測評對象對于測評項對應(yīng)體現(xiàn)的安全功能所起的作用就有所不同，從而對單項測評結(jié)果形成的貢獻就可能有所不同。根據(jù)測評對象對某一單項測評結(jié)果形成貢獻的大小，即其重要程度的不同，把測評對象分為：重要測評對象和一般測評對象。

1）重要測評對象，主要是指該測評對象對于某一測評項在信息系統(tǒng)中的實現(xiàn)起關(guān)鍵性作用，即對此測評項測評結(jié)果的形成貢獻非常大；

2）一般測評對象，主要是指該測評對象對于某一測評項在信息系統(tǒng)中的實現(xiàn)起一般性的作用，即對此測評項測評結(jié)果的形成貢獻不大。

因為重要測評對象和一般測評對象對于單項測評結(jié)果形成的貢獻大小有所不同，所以給他們賦予的權(quán)重也就應(yīng)該不同[11]，在這里分別賦予他們相對權(quán)重為2和1。

5.2.2多對象平均分

結(jié)合單項測評結(jié)果符合程度直接得分和測評對象權(quán)重，采用幾何加權(quán)平均方法計算測評項的多對象平均分（四舍五入取整小數(shù)點后一位計）：

P多對象平均分=（∑nK=1測評對象k在該測評項的符合程度得分×測評對象K權(quán)重）∑nK=1測評對象K權(quán)重（3）

其中，P為測評項的多對象平均分，n為同一測評項測評的測評對象個數(shù)。

5.3整體測評修正直接得分

系統(tǒng)整體測評主要是在單項測評的基礎(chǔ)上，通過測評分析安全控制間、層面間和安全區(qū)域間存在的關(guān)聯(lián)作用驗證和分析不符合項是否影響系統(tǒng)的安全保護能力，測試分析系統(tǒng)的整體安全性是否合理。根據(jù)整體測評結(jié)果，確定已有安全控制措施對安全問題的彌補程度將修正因子設(shè)為0.5～0.9，已有安全問題相互之間的削弱程度將修正因子設(shè)為1.1～1.5。

根據(jù)修正因子修改安全問題嚴重程度值及對應(yīng)的修正后的單測評項符合程度得分。具體計算公式為：

S修正后問題嚴重程度值=S修正前的問題嚴重程度值×g修正因子（4）

S修正后測評項符合程度=5-S修正后問題嚴重程度值/

W測評項權(quán)重（5）

其中，整體測評之后求得的修正后測評項符合程度得分即為單項測評結(jié)果符合程度最終得分，修正后問題嚴重程度值也為最終的安全問題嚴重值。

最后，根據(jù)修正后測評項符合程度判定最終的單項測評結(jié)果。

5.4風(fēng)險分析

風(fēng)險分析時，將結(jié)合關(guān)聯(lián)資產(chǎn)和威脅分別分析安全危害，找出可能對信息系統(tǒng)、單位、社會及國家造成的最大安全危害（損失），并根據(jù)最大安全危害嚴重程度進一步確定信息系統(tǒng)面臨的風(fēng)險等級。最大安全危害（損失）結(jié)果應(yīng)能夠反映安全問題所影響業(yè)務(wù)的重要程度、相關(guān)系統(tǒng)組件的重要程度、安全問題嚴重程度以及安全事件影響范圍等。

根據(jù)風(fēng)險分析思路，本文確定最終的風(fēng)險計算方法如下。

5.4.1可能性分析

本文以威脅的統(tǒng)計頻率、脆弱性被利用的難易程度等因素計算安全事件發(fā)生的可能性。

安全事件發(fā)生的可能性P計算方法為：

P=f（T，V）=T×V（6）

T為威脅發(fā)生的頻率；V為脆弱性組的利用難易程度，本文中為上述求出的修正后問題嚴重程度值。

5.4.2安全事件損失分析

L=F（A，V）=A×V（7）

L為安全事件的損失；A為資產(chǎn)價值；V為脆弱性組對資產(chǎn)的損害程度。

5.4.3安全風(fēng)險分析

根據(jù)下表可計算安全風(fēng)險值

R=L×P（8）

R為安全事件造成的風(fēng)險；L為安全事件的損失；P為安全事件發(fā)生的可能性。

5.4.4風(fēng)險等級確定

根據(jù)安全風(fēng)險值R確定信息系統(tǒng)面臨的風(fēng)險等級，結(jié)果為“高”、“中”或“低”。

5.5計算綜合得分及結(jié)論判定

綜合得分可以采取層層往上匯總的方式來得到，各層指標(biāo)的分值滿分以5分計，也可以直接通過措施層E層各指標(biāo)的“最終得分”乘以合成權(quán)重系數(shù)直接得到。在此以合成權(quán)重方式進行計算。

考慮等級保護要求，信息系統(tǒng)中不準(zhǔn)存在高風(fēng)險安全風(fēng)險。因此，若信息系統(tǒng)中存在的安全問題會導(dǎo)致其面臨高等級安全風(fēng)險，則綜合得分計算公式[9]為：

S綜合得分=C60-∑mj=1Sj∑nK=1Wk×12（9）

其中，S綜合得分為系統(tǒng)安全保護能力綜合得分，Sj為修正后問題j的嚴重程度值，Wk為測評項k的合成權(quán)重，m為安全問題數(shù)量，n為總測評項數(shù)，不含不適用的控制點和測評項。

其他情況下，綜合得分計算公式[7]為：

∑nk=1Pk×Wk∑nk=1WK×20（10）

其中S綜合得分為系統(tǒng)安全保護能力綜合得分，Pk為測評項k的多對象平均分QUOTE，Wk為測評項k的合成權(quán)重，n為總測評項數(shù)，不含不適用的控制點和測評項，有修正的測評項以4.3章節(jié)中的修正后測評項符合程度得分帶入計算。

等級測評結(jié)論根據(jù)綜合得分計算結(jié)果進行判定。結(jié)論分為“符合”、“基本符合”或者“不符合”，判定依據(jù)如下：

1）符合：綜合得分為100分。

2）基本符合：綜合得分為60分（含60分）至100分（不含100分）之間。

3）不符合：綜合得分低于60分。

6結(jié)語

本文采用層次分析法構(gòu)建保護能力的評價指標(biāo)體系，并以此為基礎(chǔ)層層匯總計算各措施層指標(biāo)的合成權(quán)重，作為保護能力得分量化的基礎(chǔ)。同時，本文還在現(xiàn)有等級測評的基礎(chǔ)上，創(chuàng)新性提出了從“正反”兩個不同的角度來度量信息系統(tǒng)的安全狀況，安全保護能力評價結(jié)合了正向的保護狀況和反向的風(fēng)險情況進行綜合判定。

依據(jù)本文的研究成果，公安部于2014年12月31日發(fā)布了《信息安全等級保護測評報告模版（2015年版）》，通過該模版發(fā)布前十幾個第三級信息系統(tǒng)等級測評試用以及近一年來信息系統(tǒng)等級測評工作使用，驗證了本文研究成果的有效性，能夠較科學(xué)的反映信息系統(tǒng)的真實安全保護狀況，并且已有多家機構(gòu)開發(fā)了等級測評工具。

總而言之，本文采用了量化評價方式支撐系統(tǒng)等級測評結(jié)論判定，有利于促進等級測評往安全措施有效性和完備性方向發(fā)展，有利于等級測評工具化，從而使得結(jié)論更客觀、更有利于不同系統(tǒng)之間安全保護狀況的比較。

參考文獻

[1]趙亮.信息系統(tǒng)安全評估理論及其群決策方法研究[D].上海：上海交通大學(xué)，2011.

[2]GB/T 28448-2012，信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求[S].北京：中國標(biāo)準(zhǔn)出版社，2012.

[3]GB/T 28449-2012，信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南[S].北京：中國標(biāo)準(zhǔn)出版社，2012.

[4]GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求[S].北京：中國標(biāo)準(zhǔn)出版社，2008.

[5]符萍.電子政務(wù)系統(tǒng)綜合評價動態(tài)指標(biāo)體系構(gòu)建模型研究[D].成都：電子科技大學(xué)，2006.

[6]許樹柏. 層次分析原理[M]. 天津：天津大學(xué)出版社，1988.

[7]王蓮芬，許樹柏. 層次分析法引論[M]. 北京：中國人民大學(xué)出版社，1990.

[8]袁禮， 黃洪，周紹華. 基于層次分析法的系統(tǒng)安全保護能力評價模型[J].計算機仿真， 2011（5）：126-130.

[9]公安部網(wǎng)絡(luò)安全保衛(wèi)局.信息安全等級保護測評報告模版（2015年版）[R]，2015年，http：//www.djbh.net/webdev/web/HomeWebAction.do？p=getlistHomeZxdt# .

[10]袁靜，任衛(wèi)紅，朱建平.等級測評中關(guān)鍵安全保護功能有效性測評技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2013（1）：2-4.

[11]許雪燕.模糊綜合評價模型的研究及應(yīng)用[D].成都：西南石油大學(xué)，2011.