秦 群

（河海大學，江蘇南京，211100）

0 引言

隨著計算機技術的發(fā)展和電子信息系統(tǒng)的廣泛普及，電子信息基礎設施的安全問題轉化為電子信息系統(tǒng)的安全性保障問題，電子信息系統(tǒng)的安全性保障問題已成為現(xiàn)階段亟待解決的重要問題。信息化發(fā)展是現(xiàn)代社會必不可少的一個綜合發(fā)展進程，涉及的領域眾多，不僅包括計算機技術，而且還涉及到人的操作、管理行為等很多方面。隨之而來的安全問題也具有很大的綜合性，其復雜性和不確定性使得安全問題解決起來相當困難。同時，信息系統(tǒng)的安全問題也會伴隨著信息化的發(fā)展而不斷變化，產(chǎn)生更多的問題，使得安全性問題的解決更加困難。為了更好地保障電子信息系統(tǒng)的安全，迫切需要建立起一套科學的、可度量的、可操作的信息安全保護評價指標體系去評估電子信息系統(tǒng)的安全性。

電子信息系統(tǒng)的安全問題不僅涉及計算機技術領域而且還與管理息息相關，而計算機技術和管理又有很多因素組成，因此，如何科學合理地建立其評價指標體系是電子信息系統(tǒng)安全評價的基礎。同時，不同評價指標并不是孤立的，各指標之間相互關聯(lián)，而各指標的重要程度也各不相同，如何準確的確定各個評價指標的重要程度（即權重）將直接影響安全評價的客觀性與真實性。本文采用層次分析法（AHP）進行電子信息系統(tǒng)進行安全評估，建立電子信息系統(tǒng)安全性評價指標體系。

1 指標體系建立的原則

電子信息系統(tǒng)是一個較為特殊的系統(tǒng)，其關系相當復雜，對其進行安全性評估需要建立一整套綜合評估指標體系，體系中各個評價指標相互聯(lián)系、相互依存。一般而言，指標體系的建立需要遵循以下原則:

（1）科學性和系統(tǒng)性。評價指標的選擇應綜合考慮評估目標的各種因素，在對電子信息系統(tǒng)科學研究的基礎上建立起來的科學指標。建立一個綜合性指標體系，只有定性分析和定量分析相結合才能使建立的指標體系結構合理、層次清晰、協(xié)調(diào)一致。

（2）層次性和獨立性。電子信息系統(tǒng)安全評價指標體系可反映該系統(tǒng)各個方面的綜合安全信息，每個指標屬性不同，各因素之間的相互關系呈現(xiàn)出一定的層次關系。而每個指標又是相互獨立的，都可獨立地評估系統(tǒng)的安全性。

（3）簡易性和實用性。電子信息系統(tǒng)安全評價指標體系層次結構確定后，每層次中的指標數(shù)目不會太多。同時，各個指標的選取是根據(jù)電子信息系統(tǒng)的實際情況選取出的，不可照搬其它系統(tǒng)的現(xiàn)成指標體系。

2 電子信息系統(tǒng)安全性評估指標體系

2.1 指標體系的一般模型

指標體系是通過對影響評估結果的各個因素進行綜合分析而建立起來的可以反映系統(tǒng)各個方面安全性信息的體系。因此，指標體系通常是遞階層次結構，包括：目標層，準則層，指標層。

其中，目標層是最高層，表示安全評估的整體目標。中間層是準則層，表示安全評估評估的各個準則。底層是指標層，是指安全評估的具體指標，表示影響目標實現(xiàn)的各種因素。需指出說明的是,有些指標只設一層無法準確的表征需要更多地指標將其細化，對這樣的指標,可將其分解，成為二級評估指標,作為遞階層次的第四層,以此類推。

2.2 指標體系的建立

德爾菲法(Delphi)是一種規(guī)定程序專家調(diào)查法,由美國蘭德公司于20世紀50年代提出。其基本程序為:確定目標；選擇專家；設計評估意見征詢表；專家間信息反饋。具體做法是：在對所要預測的問題征得專家的意見之后,進行整理、歸納、統(tǒng)計,再匿名反饋給各專家,再次征求意見,再集中,再反饋,直至得到收斂、基本一致的結果。采用此方法可以輕松解決電子信息系統(tǒng)的安全性評估涉及范圍廣,不確定因素多等問題。

本文采用德爾菲法建立指標體系，利用德爾菲法建立電子信息系統(tǒng)安全性評估指標體系的步驟如下:

第一步,設計調(diào)查表,收集專家認為影響電子信息系統(tǒng)安全性的因素，調(diào)查表中不應摻雜問卷調(diào)研者的個人意見。

第二步,回收調(diào)查表,并制定第二輪調(diào)查表。匯總整理出專家對影響電子信息系統(tǒng)安全性的因素，并總結出分析指標。通過第一輪調(diào)查可知影響電子信息系統(tǒng)安全性的因素主要集中在信息安全、軟件安全、硬件安全、管理安全和環(huán)境安全五個方面。根據(jù)上述標設計出第二輪專家調(diào)查表,收集專家認為影響通信安全保密系統(tǒng)安全性的其它因素。

第三步,回收第二輪調(diào)查表,并制定第三輪調(diào)查表。從第二輪調(diào)查表中匯總整理出專家所列的安全性指標可見，安全因素得到進一步細化，如信息安全包含五方面內(nèi)容：身份鑒別、訪問控制、信息加密、抗抵賴性和信息完整性五個方面；軟件安全包含數(shù)據(jù)庫安全、操作系統(tǒng)安全、應用軟件安全、災難恢復技術、木馬病毒防范、漏洞補丁修復和系統(tǒng)日志七個方面；環(huán)境安全包括：設備安全、物理保障和安全供電三個方面。信息安全保密包含專家所列的安全性指標明顯增多，并依據(jù)匯總結果制定第三輪調(diào)查表,收集專家對于已有指標的意見。

第四步,回收第三輪調(diào)查表,匯總得出電子信息系統(tǒng)安全性評估指標體系。

經(jīng)過上述過程可得出如下電子信息系統(tǒng)安全性評估指標體系,如圖1 所示。

圖1 電子信息系統(tǒng)安全評價指標體系

2.3 運行安全指標分析

運行安全是電子信息系統(tǒng)各項業(yè)務能夠順利開展的必要條件,可為系統(tǒng)運行提供一個安全穩(wěn)定的環(huán)境。運行安全主要有以下幾個指標:

（1)備份與恢復

電子信息系統(tǒng)必須具有能夠持續(xù)不斷地提供各種業(yè)務的能力。備份和恢復是一個電子信息系統(tǒng)所必需的，因為對系統(tǒng)和數(shù)據(jù)進行備份,可以使電子信息系統(tǒng)具有災難恢復能力,保證電子信息系統(tǒng)能夠在受到病毒破壞、黑客攻擊、硬件故障、認為操作失誤等情況下快速恢復正常運轉。

（2)病毒防治

計算機病毒對電子信息系統(tǒng)的破壞是毀滅性的，不僅可以破壞系統(tǒng)數(shù)據(jù),引起計算機故障,而且還會盜取電子信息系統(tǒng)的信息，從而影響通信安全保密系統(tǒng)的安全運行。對病毒的防治要將查找病毒和清除病毒結合起來,從而實現(xiàn)全面防毒、查毒、殺毒。

（3)操作系統(tǒng)安全

操作系統(tǒng)安全是計算機系統(tǒng)安全的關鍵。操作系統(tǒng)為應用程序提供執(zhí)行環(huán)境,支撐著通信安全保密系統(tǒng)的信息存儲、處理和通信,其安全性對系統(tǒng)影響重大。操作系統(tǒng)安全等級低、配置不正確、更新管理不及時等因素可能導致通信安全保密系統(tǒng)的嚴重事故。

（4)應用系統(tǒng)安全

應用系統(tǒng)安全是指電子信息系統(tǒng)各項業(yè)務順利進行的前提。如果應用系統(tǒng)的穩(wěn)定性、可用性等遭到破壞,可能造成系統(tǒng)中斷等事故。

（5)數(shù)據(jù)庫安全

數(shù)據(jù)庫安全是電子信息系統(tǒng)能夠正常運行的關鍵因素。數(shù)據(jù)庫安全就是要保護數(shù)據(jù)庫信息，以防止數(shù)據(jù)信息泄露，同時也要保護數(shù)據(jù)庫信息不泄漏、更改或破壞，從根本上保護電子信息系統(tǒng)的信息安全。

3 結語

安全評價指標體系是對系統(tǒng)進行安全性評估的基礎,也是系統(tǒng)設計的理論依據(jù)。建立一套科學的指標體系對于開展電子信息系統(tǒng)的安全性評估具有十分重要的意義。本文針對電子信息系統(tǒng)的特點,結合指標體系建立的原則,利用德爾菲法的原理與方法構建了電子信息系統(tǒng)安全性評估指標體系,并給出了運行安全指標的具體描述。該指標體系全面客觀地反映了電子信息的安全風險因素,對于電子信息系統(tǒng)的設計和管理具有重要的參考價值。

[1]郭錫泉,姚國祥.網(wǎng)絡安全管理的多維度可拓模糊綜合評價[J].計算機工程,2011,37(4):287-289.DOI:10.3969/j.issn.1000-3428.2011.04.103.

[2]陳艷春.Mashup 應用安全風險評估模型研究[J].河北科技大學學報,2011,32(1):52-56.

[3]劉仁山,孟祥宏.基于層次分析法的信息系統(tǒng)安全評價研究[J].河北工業(yè)科技,2013,30(1):15-19.DOI:10.7535/hbgykj.2013yx0105.

[4]孫逸群,高會生,冉靜學等.光纖保護通道安全風險評估指標體系的構建[J].電力系統(tǒng)通信,2006,27(12):71-77.DOI:10.3969/j.issn.1005-7641.2006.12.018.

[5]王甲生,付鈺,吳曉平等.通信安全保密系統(tǒng)安全性評估指標體系研究[J].計算機與數(shù)字工程,2009,37(8):112-114,186.DOI:10.3969/j.issn.1672-9722.2009.08.030.

[6]邵立周,白春杰.系統(tǒng)綜合評價指標體系構建方法研究[J].海軍工程大學學報,2008,20(3):48-52.