徐鑫

摘要：網(wǎng)絡(luò)安全等級保護工作已開展多年，在整個工作環(huán)節(jié)中，僅等級保護測評有量化評價。因此，大家往往把個別信息系統(tǒng)的等級保護測評得分與網(wǎng)絡(luò)運營者等級保護工作整體落實情況畫等號，給主管部門整體評價網(wǎng)絡(luò)運營者等級保護落實情況帶來困難。文章根據(jù)多年來等級保護測評經(jīng)驗，對整個等級保護流程進行梳理，建立等級保護各環(huán)節(jié)評價指標(biāo)。采用層次分析法對指標(biāo)進行賦權(quán)，進而采用模糊綜合評價法完成對網(wǎng)絡(luò)運營者等級保護工作情況進行綜合量化評價，突出網(wǎng)絡(luò)安全等級保護工作周期各環(huán)節(jié)的重要性和薄弱點，為網(wǎng)絡(luò)運營者提升等級保護工作效率帶來一定的指導(dǎo)意義。

關(guān)鍵詞：等級保護;信息安全測評;網(wǎng)絡(luò)安全;層次分析法、模糊綜合評價

中圖分類號：TN915.08? ? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2020）32-0014-04

Abstract：Network security classified protection work has been carried out for many years，Throughout the work process，， only the? classified protection evaluation link has a quantitative evaluation. Therefore， people often equate the classified protection evaluation score of an information system with the overall implementation of the network operator's classified protection. This situation caused difficulties for the competent authorities to comprehensively evaluate the implementation of the network operator's classified protection work. This article is based on years of experience in? classified protection evaluation. Based on years of experience in protection evaluation， the article sorts out the entire classified protection process and establishes evaluation indicators for each link of classified protection. The article adopts the analytic hierarchy process to weight the indicators， and then uses the fuzzy comprehensive evaluation method to comprehensively quantify the network operator's classified protection work， highlighting the importance and weakness of each link in the network security classified protection work cycle， it has guiding significance in improving the efficiency of network operators' classified protection

Key words：classified protection; information security evaluation;internet security; analytic hierarchy process（AHP）; fuzzy comprehensive evaluation

1 引言

自國家主管部門頒布《信息系統(tǒng)安全等級保護實施指南》《信息系統(tǒng)安全等級保護基本要求》等標(biāo)準(zhǔn)以來，各地積極落實國家等級保護測評，參與定級測評的信息系統(tǒng)由單一市級單位核心業(yè)務(wù)系統(tǒng)鋪開到輔助業(yè)務(wù)信息系統(tǒng)和區(qū)縣單位運維的信息系統(tǒng)。等級保護測評報告得分在很長時間上代表著網(wǎng)絡(luò)運營者的網(wǎng)絡(luò)安全水平。隨著國家網(wǎng)絡(luò)安全要求的提高，國家及上海地方均成立了網(wǎng)絡(luò)安全監(jiān)測團隊對各類信息系統(tǒng)進行掃描和滲透測試。與此同時，2016年以來各省市相關(guān)主管單位聯(lián)合開展了關(guān)鍵信息基礎(chǔ)設(shè)施檢查。無論是外網(wǎng)滲透還是關(guān)鍵信息基礎(chǔ)設(shè)施檢查均發(fā)現(xiàn)不少問題。究其原因，目前網(wǎng)絡(luò)運營者對等級保護工作認(rèn)識不透徹，未落實等級保護定級、備案、測評、整改、安全建設(shè)各環(huán)節(jié)的要求，僅將工作重點放在測評本身。導(dǎo)致存在定級不全、定級不準(zhǔn)、為得高分安全狀況不好的系統(tǒng)不納入測評對象、系統(tǒng)試運行階段發(fā)生安全事件等等情況。為此本文結(jié)合等級保護工作各環(huán)節(jié)重點與科學(xué)的評價方法，旨在建立一套評價體系，較為完整地對網(wǎng)絡(luò)營運者的等級保護工作進行量化評價，進而為單位網(wǎng)絡(luò)安全工作計劃提出建議。

2 評價指標(biāo)的建立與評價方法的選擇

1）層次分析法

隨著各類研究的深入與細(xì)化，很多問題無法直接建立數(shù)學(xué)模型進行分析或數(shù)學(xué)模型計算工作量急劇增加，美國運籌學(xué)家薩蒂回歸決策人主觀感受，借助數(shù)學(xué)方法整理決策人主觀思路，提出層次分析法。層次分析法是一種結(jié)合定量與定性的研究方法，分析目的較為明確，分析過程結(jié)合主管思維，不易造成偏差。通過將問題分解成層次結(jié)構(gòu)，層層緊密相連，使得整個分析過程具有系統(tǒng)性[1]。

2）模糊綜合評價法

對一個單位總體等級保護工作或某一項具體事宜進行評價，主觀上存在“差”“較差”“一般”“較好”“好”的評價。模糊綜合評價法通過構(gòu)造評價對象集合、評價集合、確定評價指標(biāo)權(quán)重、構(gòu)建模糊評價矩陣計算出評價目標(biāo)對應(yīng)評價集合的隸屬度。模糊綜合評價法優(yōu)點在于如果指標(biāo)權(quán)重準(zhǔn)確，計算出的隸屬度矩陣則能準(zhǔn)確反映和評價目前的真實情況[2]。

3）方法選取

對運維單位等級保護工作進行量化評價，需要經(jīng)過建立評價指標(biāo)，指標(biāo)權(quán)重進行量化以及將評價意見進行科學(xué)量化三個環(huán)節(jié)。本文評價指標(biāo)的建立參照等級保護測評定級、備案、測評、整改的流程，融入《網(wǎng)絡(luò)安全法》網(wǎng)絡(luò)安全責(zé)任制和“同步規(guī)劃、同步設(shè)計、同步運行”的新要求設(shè)計指標(biāo)。指標(biāo)具備清晰的層次模型結(jié)構(gòu)，且評價實施的基礎(chǔ)數(shù)據(jù)依賴評價人員主觀評價。因此通過層次分析法確定評估指標(biāo)權(quán)重，采用模糊綜合評價法進行綜合評估計算單位等級保護工作對應(yīng)評價集合隸屬度，在實踐中較為切實可行。

3 評價體系的建立

3.1 評價指標(biāo)的建立

結(jié)合等級保護流程及相關(guān)工作經(jīng)驗，本文將等級保護評價工作分為定級及備案、測評、整改、整體控制評估一級指標(biāo)[3]。

3.1.1 定級及備案

1）定級備案全面性：梳理單位全部信息系統(tǒng)，結(jié)合業(yè)務(wù)服務(wù)需求、對方數(shù)量與存儲數(shù)據(jù)重要性等情況，比對單位已定級備案的系統(tǒng)。評價定級備案全面性情況。

2）定級備案準(zhǔn)確性：查閱單位內(nèi)定級備案流程，是否與業(yè)務(wù)部門協(xié)同定級，是否遵循《定級指南》以及地方主管單位的要求，是否咨詢專家和上級單位指導(dǎo)意見。

3）新建網(wǎng)絡(luò)定級：新建網(wǎng)絡(luò)是否遵循“同步規(guī)劃、同步建設(shè)、同步運行”原則，在網(wǎng)絡(luò)規(guī)劃設(shè)計階段進行定級。

4）定級備案責(zé)任明確： 單位內(nèi)部制度上是否明確定級備案責(zé)任崗位，制度上是否規(guī)范定級備案流程，對隨意定級、隱瞞定級等行為是否進行約束。

3.1.2 測評

1）測評責(zé)任明確：等級保護測評總體負(fù)責(zé)人和各層面管理員是否明確，是否向負(fù)責(zé)人和各層面負(fù)責(zé)人宣貫等級保護工作的重要性以便積極配合等級保護測評的開展。

2）測評實施及時性： 對所有定級備案的系統(tǒng)或平臺的歷史測評時間進行查詢，根據(jù)等級保護制度要求對全部系統(tǒng)進行評價。

3）測評結(jié)論：查看等級保護測評報告，統(tǒng)計各個系統(tǒng)或平臺得分情況，對測評結(jié)果進行評價。

3.1.3 整改

1）整改責(zé)任明確：對等級保護測評、風(fēng)險評估、安全自查發(fā)現(xiàn)的問題項整改責(zé)任是否落實到個人。

2）整改方案制定：是否制定了詳細(xì)的切實可行的整改方案，是否包含短期整改計劃及遠(yuǎn)期安全目標(biāo)。

3）整改方案落實：是否落實整改方案的內(nèi)容，及時消除風(fēng)險隱患，并依據(jù)遠(yuǎn)期安全目標(biāo)制定采購、研發(fā)計劃。

3.1.4 整體控制

1）網(wǎng)絡(luò)安全責(zé)任落實：是否確定網(wǎng)絡(luò)安全等級保護工作責(zé)任人，建立網(wǎng)絡(luò)安全等級保護工作責(zé)任制，落實責(zé)任追究制度。工作責(zé)任人是否為單位主要領(lǐng)導(dǎo)直接擔(dān)任。

2）網(wǎng)絡(luò)安全檢查落實：單位責(zé)任領(lǐng)導(dǎo)是否組織網(wǎng)絡(luò)安全自查以及滲透測試，對現(xiàn)有制度的落實情況進行控制。

3）應(yīng)急預(yù)案與演練：單位內(nèi)部是否制定詳細(xì)的應(yīng)急預(yù)案并進行演練，對現(xiàn)有安全措施進行驗證。責(zé)任領(lǐng)導(dǎo)是否直接參與應(yīng)急預(yù)案與演練，保證應(yīng)急相應(yīng)工作具備充足的人力物力資源支持[4]。

3.2 評價指標(biāo)權(quán)重確認(rèn)

根據(jù)第二章建立的評價指標(biāo)，以等級保護工作評價為決策目的，將定級備案、測評等環(huán)節(jié)作為準(zhǔn)則，將具體評價點作為直接評價的指標(biāo)，建立層次結(jié)構(gòu)如圖1評價指標(biāo)層次結(jié)構(gòu)圖。

確定對比尺度，設(shè)置主觀上對比兩種方案或準(zhǔn)則的差距的數(shù)字量化尺度，如表1 尺度含義。

設(shè)置獨立三組評價人員分別對準(zhǔn)則層相對決策層影響對比、方案層對決策層影響對比，形成如下表的對比矩陣如表2評價對比對比矩陣，共可構(gòu)造準(zhǔn)則層矩陣S和方案層矩陣[S1]、[S2]、[S3]、[S4]。

（1）依次求出單行的影響程度對比指標(biāo)值的乘積的i次方根：

（2）計算評價人員對比矩陣特征向量值即評估指標(biāo)權(quán)重，為方便對比，進行劃一。

對三組評價人員特征向量值取算數(shù)平均數(shù)，得出模糊評價所需指標(biāo)權(quán)重。

3.3 模糊綜合評價實施

根據(jù)第二章節(jié)描述構(gòu)造評價集合如下：

通過三個評估人員獨立對13個評估指標(biāo)進行評價，形成評價矩陣[H1]、[H2]、[H3]、[H4]。

其中n=5，表示具體評價標(biāo)號，m=13，表示評價評價指標(biāo)編號。[hmn]表示對標(biāo)號為m的指標(biāo)項給出標(biāo)號為n的評價的人員比例。

[E]即網(wǎng)絡(luò)運營者等級保護工作對應(yīng)各評價的隸屬度，其中數(shù)字最大e對應(yīng)的評價為該網(wǎng)絡(luò)運營者的總體評價。為了進一步對網(wǎng)絡(luò)運營者提出具體改進方向，借用效用原理，為評價集合每個評價附上效用值，如表3評價效用值。

4 模擬案例分析

模擬某大型國有單位M進行評價，權(quán)重須采集多名專家意見形成評價矩陣，模擬簡化為單一專家意見。

分別經(jīng)過（1）（2）計算，S決策層權(quán)重向量記為[Wm]，方案層權(quán)重向量記為[Wn]，方案層綜合權(quán)重[Wmn=Wm*Wn]，見表4指標(biāo)項權(quán)重表。

根據(jù)公式（4）由三個信息安全專家對各指標(biāo)進行模糊評價，形成評價集合[H]。根據(jù)公式（5）求隸屬度向量[E]。

因此該單位等級保護測評對應(yīng)評價集合內(nèi)各評價的隸屬度見表5評價隸屬度。

結(jié)合指標(biāo)項權(quán)重[Wmn]與指標(biāo)項得分[F]，得出評價結(jié)論如表6評價輸出。單位即可結(jié)合自身人員配置、制度規(guī)定以及預(yù)算情況進行有目的性調(diào)整等級保護工作要點，提升等級保護工作效率。

5 結(jié)束語

在工作中，本人經(jīng)常面臨如何對某個單位開展等級保護工作情況進行評價的難題。整理針對這些困惑所存在的問題點，提出評價網(wǎng)絡(luò)運營者等保工作的評價指標(biāo)，同時也借助一些成熟的研究方法，使得結(jié)果更加直觀和量化。目前所設(shè)計的體系處于初步狀況，在后期的工作中將進一步完善該評價體系，希望能為主管部門評價等級保護工作做一些探索。

參考文獻：

[1] 程朝霞，李光耀，韓瑞婷.基于AHP模型的運城鹽湖濕地及周邊景觀綜合評價[J].天津農(nóng)業(yè)科學(xué)，2019，25（8）：69-72.

[2] Lothar PhilippsJust Descisions Using Multiple Criteria or：Who Gets the Porsche？ An Application of Ronald R.Yager's Fuzzy Logic Method[C].ICAIL95 Proceedings of the 5th international conference on Artificial intelligence and law，USA：ACM，1995：195，200.

[3] 公安部信息安全等級保護評估中心.信息安全等級保護政策培訓(xùn)教程[M] .北京：電子工業(yè)出版社，2010：1，3.

[4] GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求[S].

【通聯(lián)編輯：代影】