姚洪磊，楊 文

（中國鐵道科學(xué)研究院 電子計算技術(shù)研究所，北京 100081）

三級系統(tǒng)信息安全等級保護(hù)測評指標(biāo)體系研究

姚洪磊，楊 文

（中國鐵道科學(xué)研究院 電子計算技術(shù)研究所，北京 100081）

依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》中對三級系統(tǒng)的要求，本文建立了三級系統(tǒng)信息安全等級保護(hù)評價指標(biāo)體系結(jié)構(gòu)，并對三級信息系統(tǒng)各項測評指標(biāo)進(jìn)行了分解，使測評人員可以更有針對性地對信息系統(tǒng)標(biāo)準(zhǔn)符合性進(jìn)行評價，依據(jù)分解后的指標(biāo)體系，采用層次分析法和主觀評價法確定了信息系統(tǒng)等級保護(hù)測評指標(biāo)體系中各項指標(biāo)所占的權(quán)重，得出更加精確的綜合測評結(jié)果，為各行業(yè)的信息系統(tǒng)等級保護(hù)測評工作的開展提供參考。

信息安全；等級保護(hù)；測評指標(biāo)

伴隨我國信息化程度的提高，信息安全等級保護(hù)測評逐漸成為各行業(yè)信息系統(tǒng)安全管理和安全技術(shù)的重要保障手段，通過測評結(jié)果可以體現(xiàn)出各類信息系統(tǒng)的安全程度。目前測評結(jié)果主要依據(jù)國家標(biāo)準(zhǔn)并通過人工經(jīng)驗分析得到，但由于標(biāo)準(zhǔn)的條款和指標(biāo)較為宏觀，無法對每一項指標(biāo)進(jìn)行細(xì)化和量化，導(dǎo)致測評過程中的人為主觀判斷影響較大，需要制定一個規(guī)范、客觀的標(biāo)準(zhǔn)進(jìn)行衡量，因此對信息系統(tǒng)等級保護(hù)測評的結(jié)果進(jìn)行全面的量化是有必要的。

層次分析法是T.L.Saaty在20世紀(jì)70年代首次提出的[1~3]，它是將復(fù)雜問題分解成各個不同因素，按一定的支配關(guān)系形成遞階層次的結(jié)構(gòu)，通過比較的方式，采用相對尺度的辦法，減少性質(zhì)不同的因素在比對過程中存在的問題和困難，綜合人為判斷，得出決策因素的重要性排序。

本文根據(jù)信息系統(tǒng)等級保護(hù)的實際測評經(jīng)驗，開展了如下研究工作：（1）將《信息系統(tǒng)等級保護(hù)測評基本要求》[4]中的測評指標(biāo)按照技術(shù)類別進(jìn)行重新分類，建立三級信息系統(tǒng)的等級保護(hù)測評指標(biāo)體系，便于測評人員在實際測評過程中對各層面間的互補(bǔ)因素進(jìn)行統(tǒng)籌和綜合考慮，大大減輕了各層面間互補(bǔ)分析環(huán)節(jié)的工作量；（2）在建立的體系基礎(chǔ)上，對各項指標(biāo)進(jìn)行細(xì)化和分解，盡可能對各項指標(biāo)要求進(jìn)行量化，減少人為判斷的主觀影響；（3）采用層次分析法，確定三級信息系統(tǒng)等級保護(hù)測評指標(biāo)中各項指標(biāo)的權(quán)重，具有實用性，為繼續(xù)開展等級保護(hù)測評研究打下了基礎(chǔ)。

1 測評指標(biāo)體系結(jié)構(gòu)

依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》，將三級系統(tǒng)中的技術(shù)安全指標(biāo)按照技術(shù)類別進(jìn)行了重新劃分，形成了三級信息系統(tǒng)等級保護(hù)測評指標(biāo)體系，如圖1所示。

圖1 三級信息系統(tǒng)等級保護(hù)測評指標(biāo)體系

2 測評指標(biāo)及要求

本文將測評指標(biāo)中的安全技術(shù)劃分為9類，以身份鑒別技術(shù)為例，對身份鑒別技術(shù)進(jìn)行指標(biāo)分解，如表1所示。

表1 身份鑒別技術(shù)指標(biāo)及要求

3 測評指標(biāo)計算

3.1 測評指標(biāo)的權(quán)重

測評指標(biāo)的權(quán)重反映了對應(yīng)的指標(biāo)在信息系統(tǒng)測試要求中所占的比重大小，本文以某個三級信息系統(tǒng)測評結(jié)果為例，說明如何采用層次分析法來量化信息系統(tǒng)等級保護(hù)測評指標(biāo)和權(quán)重，如表2所示。

表2 層次分析法對三級信息系統(tǒng)測評指標(biāo)評分

3.2 測評指標(biāo)的計算

3.2.1 判斷測評點指標(biāo)得分

依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》，被測信息系統(tǒng)各項指標(biāo)的符合程度可以劃分為“符合”、“基本符合”、“一般符合”、“基本不中符合”、“不符合”5種類型，根據(jù)實踐經(jīng)驗，5個符合程度的判別依據(jù)及其賦值如表3所示。

表3 測評點標(biāo)準(zhǔn)符合程度判別依據(jù)及賦值

3.2.2 綜合測評指標(biāo)計算

綜合測評指標(biāo)[5]是用于反映當(dāng)前信息系統(tǒng)的安全程度，是評價和描述信息系統(tǒng)安全標(biāo)準(zhǔn)符合性的綜合性指標(biāo)，計算公式為：

式（1）中，P為綜合測評指標(biāo)，Qi為第i項測評點的權(quán)重，F(xiàn)i為第i項測評點指標(biāo)評分值，n為測評點指標(biāo)的項目總數(shù)。綜合測評指標(biāo)與測評體系標(biāo)準(zhǔn)符合程度和對應(yīng)關(guān)系如表4所示。

表4 綜合測評指標(biāo)與測評體系標(biāo)準(zhǔn)符合程度和對應(yīng)關(guān)系

以某個第3級信息系統(tǒng)等級保護(hù)測評結(jié)果為例，根據(jù)表2得到 Fi、Qi的值，應(yīng)用公式（1）可得P值：

對照表4，P的值在80≤P< 90 間，三級信息系統(tǒng)符合《信息系統(tǒng)安全等級保護(hù)基本要求》中的要求。

4 結(jié)束語

本文首先建立了三級信息系統(tǒng)的測評指標(biāo)體系結(jié)構(gòu)，在此基礎(chǔ)上對《信息系統(tǒng)安全等級保護(hù)基本要求》的3級系統(tǒng)各項測評指標(biāo)進(jìn)行了分解，使測評人員可以更有針對性地對信息系統(tǒng)標(biāo)準(zhǔn)符合性進(jìn)行評價；依據(jù)分解后的指標(biāo)體系，采用層次分析法和主觀評價法確定了信息系統(tǒng)等級保護(hù)測評指標(biāo)體系中各項指標(biāo)的權(quán)重，得出了更加精確的綜合評價結(jié)果，該方法可以對信息系統(tǒng)等級保護(hù)測評工作的建設(shè)和應(yīng)用提供參考和依據(jù)。

[1] 楊學(xué)津，魏愛榮，魯瑞云.用于因素分析的綜合集成層次分析法[J]. 技術(shù)經(jīng)濟(jì)與管理研究，2000（5）：46-47.

[2] 胡海軍，程光旭，禹盛林，等. 一種基于層次分析法的危險化學(xué)品源安全評價綜合模型[J]. 安全與環(huán)境學(xué)報，2007，7（3）：141-144.

[3] 郭金玉，張忠彬，孫慶云. 層次分析法的研究與應(yīng)用[J].中國安全科學(xué)學(xué)報，2008，18（5）：148-153.

[4] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局.GB/T 22239-2008，信息安全技術(shù)—信息系統(tǒng)安全等級保護(hù)基本要求[S].北京：中國標(biāo)準(zhǔn)出版社，2008.

[5] 王海珍，鄭志峰. 二級信息系統(tǒng)等級保護(hù)評價指標(biāo)體系[C].全國計算機(jī)安全學(xué)術(shù)交流會論文集，2009：238-243.

責(zé)任編輯 陳 蓉

Evaluation index system of information security level protection for third-class system

YAO Honglei, YANG Wen
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

According to the requirements of “essential demand of information system security level protection” to third class system, the paper built the evaluation index system of information security level protection for third class system, further analyzed the evaluation index, made the personnel evaluate the standard compliance of information system with pertinence. According to the index system of decomposition, the weight of index in the System was determined by analytic hierarchy process and subjective estimate method, the integrated evaluation results were got more precise. It was provided reference for the evaluation work.

information security; level protection; evaluation index

U29-39

A

1005-8451（2015）02-0059-04

2014-10-08

姚洪磊，助理研究員；楊 文，助理研究員。