基于風險評估的信息系統(tǒng)安全等級研究

唐碩 劉磊 刁藝偉

摘要：信息安全系統(tǒng)的安全保護制度是我國的現代化信息的一項基本制度，它對我國“信息化”道路的發(fā)展和國民經濟水平的提高有著顯著的推動作用。本文主要研究基于風險評估建立信息系統(tǒng)安全等級測評模型，并基于該模型得出信息系統(tǒng)是否安全的整體評估結果。

關鍵詞：信息系統(tǒng)；風險評估；等級測評；測評模型

中圖分類號： TP309.1 文獻標識碼：A 文章編號：1009-3044（2015）25-0163-02

Research on the Security Level of Information System Based on Risk Assessment

TANG Shuo， LIU Lei， DIAO Yi-wei

（Information Security Department， Henan Police College， Zhengzhou 450000， China）

Abstract：The security system of information security system is a basic system of our country's modern information. It has a significant role in promoting the development of China's "information" and the improvement of the level of the national economy. In this paper， we mainly study the security level assessment model based on risk assessment， and get the overall assessment results based on the model.

Key words： Information system； risk assessment； evaluation； evaluation model

1 引言

隨著技術的發(fā)展，高科技犯罪分子利用病毒、木馬等惡意代碼實施網絡犯罪。面對這種犯罪逐年上升的趨勢，筆者認為，信息系統(tǒng)安全防范工作日趨重要。國內外對信息系統(tǒng)等級保護方面的標準發(fā)展至今已經非常成熟，但信息系統(tǒng)安全保護方面還存在一些現實問題。如，定性加定量分析的信息系統(tǒng)分級過程不是特別符合實際，標準簇中個別標準對一些細節(jié)涵蓋不是特別全面等等。本文擬對目前存在的量化模型進行深入、全面的研究，對于如何解決信息系統(tǒng)的科學分級問題起到一定借鑒作用。

2 一種基于風險評估的等級測評模型

相關文獻顯示，基于風險評估構建等級測評模型，將得到更加精確的測評結果。對前期調研文獻進行匯總及整理，筆者認為，構建基于風險評估的等級測評模型涉及下述內容。

2.1 風險評估權重法參數指標

風險評估權重法的計算是基于數學建模對輸入因子進行計算，生成期望輸出的過程。設[U=u1，u2，…，un]為輸入指標的技術參數，[W=w1，w2，…，wk] 為指標可能取值，[V=v1，v2，…，vm]為指標初始權值。則有技術指標重要性評價權重集[V=v1，v2，…，vm]，及指標符合性判斷[U×W=u1×w1，u2×w2，…，un×wk]。

基于風險評估權重法的計算，需要具備三個矩陣的初始值：指標集[U=u1，u2，…，un]；目標集[W=w1，w2，…，wk]；指標權重集[V=v1，v2，…，vm]。

用R表示測評指標目標矩陣，則：

[R=r11r12r13r14r21r22r23r24…………rm1rm2rm3rm4]

2.2 定級指標的計算

定級指標體系分為兩個級別。第一級為“信息技術單元測試”，第二級為“安全技術測評”及“安全管理測評”。評測指標包括：“評價目標”、“測評層面”、“測評指標”、“測評項”四個方面。如，“評價目標”、“測評層面”包含的子集可表示為：用U1，U2分別表示“安全技術測評”和“安全管理測評”。 則，U1，U2可分別表示為：

鑒于每個指標要賦予不同權值，所以可以利用模糊數學解決這個問題。最終能夠輸出測評項符合項的隸屬度。表1為某測評結果。由表格輸出結果可知Z的模糊輸出值（即屬于某個級別的隸屬度）。

表1 測評結果

[等級＼&1＼&2＼&3＼&4＼&5＼&模糊輸出值Z＼&[≤75%]＼&[75%?80%]＼&[80%?85%]＼&[85%?90%]＼&[≥90]＼&]

計算過程中，分別對“安全技術”及“安全管理”進行測評。根據這兩個層面不同的測評矩陣，用μij表示。其中，i=1，2，3，4； j=1，2，3，4。分別統(tǒng)計出“符合”、“部分符合”、“不符合”、“不適用”四類統(tǒng)計結果。

2.3 權重的確定

為了突出重大風險，可以通過專家組打分賦值的方法最大化克服主觀評價的偏差，得到最終權重值。通常需要將兩個指標經過運算通過一個指標來標識。令X，Y分別表示二維輸入指標，通過計算[z=fx，y]可計算出一維輸出z。如下述。

[x=x1，x2，…，xi，…，xm1<=i<=m； y=y1，y2，…，yj，…，yn1<=j<=m]

（其中[xi]，[yi]為正整數）

可求得Z的取值為：

[z=z11，z12，…，zij，…，znm1<=i<=m1<=j<=m]

（其中[zij]為正整數）

其中，[Zij=xi+yj] 或者[zij=xi+yj]

或者 [zij=α?xi+β?yj]

利用專家組（根據情況選擇相關各類專家），再根據重要程度、可信程度等組成矩陣。如圖1所示。

[u1…ui…um專家1?專家j?專家kV11…Vi1…Vm1???V1j…Vij…Vmj???V1k…Vik…Vmk]

圖1 權重計算

由圖1可知，[vi=1kj=1kviji=1，2，…，m]

即權重矩陣為：

[V=1kj=1kv1j，…，1kj=1kvij，…，1kj=1kvmi]

2.4 實施評測流程

一般地，實施評測流程主要包括信息收集、測評方案生成、現場測評、總結測評結果幾個階段。

關于符合項比例計算如下。

定義結論集U。

[U=u1，u2，u3，u4=符合項數，不符合項數，部分符合項數，不適用項數]

構建評價矩陣R，計算測評指標安全等級。令每個測評指標需要進行S項測評。分別用[a，b，c，d]表示符合項、不符合項、部分符合項、不適用項。則有下述公式成立。

2.5 安全技術評價

一般地，實施評測流程主要包括下述幾個階段。

一般地，基于加權統(tǒng)計技術可以完成安全性評測過程。步驟如下。

第一，測評指標的確定。根據標準，安全技術的安全評測包括：“物理安全”、“網絡安全”、“主機安全”、“應用安全”、“數據安全及備份恢復”。第二，測評層面權重分配向量的建立。

3 結論

本文先從研究意義、國內外發(fā)展現狀開始，對于等級測評中定級模型進行了深入研究。并且將典型模型、基于風險權值的定級模型進行了研究。特別是在研究基于風險權值的量化定級模型過程中，使用了模糊數學模糊集合的知識，根據隸屬度實現對信息系統(tǒng)的精確定級。本文的研究擬對信息系統(tǒng)安全等級保護定級這個關鍵問題起到一定借鑒作用。進一步的工作將會針對風險評價量化模型的實施及實際案例展開。最終擬針對教育信息網絡建立特定的量化定級模型。

參考文獻：

[1] 王禎學.信息系統(tǒng)安全風險估計與控制理論[M].北京：科學出版社，2011.

[2] 王斌君.信息安全體系[M].北京：高等教育出版，2008.

[3] （美）惠特曼，（美）馬特奧德.信息安全管理[M].重慶：重慶大學出版社，2005.

[4] 黃芳芳.信息安全風險評估量化模型的研究與應用[D].湖北：湖北工業(yè)大學，2010.

[5] 邱意民.風險評估在安全等級保護測評中的應用[A].2012年電力通信管理暨智能電網通信技術論壇論文集[C].2013.

[6] 張益.信息安全等級保護模糊綜合評價模型研究[A]. 第二屆全國信息安全等級保護測評體系建設會議論文集[C]. 2012.