王奇，張文濤，馬銳

(1.中國(guó)航天工程咨詢(xún)中心，北京市100048)

內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估研究

王奇1，張文濤1，馬銳1

(1.中國(guó)航天工程咨詢(xún)中心，北京市100048)

信息安全已經(jīng)成為國(guó)家安全的基石，信息安全防護(hù)特別是涉及國(guó)家秘密的信息安全防護(hù)一直是保障國(guó)家安全的重點(diǎn)和難點(diǎn)。目前我國(guó)的涉密信息安全仍以涉密信息系統(tǒng)的安全防護(hù)為核心。內(nèi)部人員的安全防護(hù)能力已經(jīng)成為信息安全防護(hù)的重點(diǎn)和脆弱點(diǎn)，同時(shí)也成為了信息安全木桶的短板。在信息安全技術(shù)快速發(fā)展的同時(shí)，人員信息安全防護(hù)能力卻沒(méi)有得到應(yīng)有重視，缺少對(duì)內(nèi)部人員的保密風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)、模型和方法。基于信息安全防護(hù)經(jīng)驗(yàn)和成熟度理論方法建立一套以人為核心的內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估的模型和方法，應(yīng)用于涉密單位場(chǎng)所。

信息安全；內(nèi)部人員；信息安全防護(hù)能力

0 引言

隨著經(jīng)濟(jì)社會(huì)的快速發(fā)展和信息技術(shù)的進(jìn)步，信息安全更加直接、深刻地影響著人們的生活，成為了人們關(guān)注的重點(diǎn)之一，涉及國(guó)家秘密的信息更是國(guó)家安全的基石。由于歷史發(fā)展的原因，我國(guó)涉密信息的安全防護(hù)與涉密信息系統(tǒng)的安全防護(hù)呈現(xiàn)了高度的一致性，涉密信息系統(tǒng)的安全防護(hù)也是涉密信息防護(hù)的核心。

我國(guó)的涉密信息系統(tǒng)建設(shè)使用在充分借鑒了國(guó)外信息安全保護(hù)的方法和經(jīng)驗(yàn)，特別是 SP800[1]的分類(lèi)分級(jí)保護(hù)思想、BS7799[2]的信息安全防護(hù)體系思想和TCSEC[3]的訪問(wèn)控制思想，建立了完整的分級(jí)保護(hù)體系，包含建設(shè)使用、風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)等各個(gè)環(huán)節(jié)?？梢哉f(shuō)涉密信息系統(tǒng)的安全防護(hù)為我國(guó)涉密信息安全的防護(hù)做出了巨大貢獻(xiàn)。

涉密信息系統(tǒng)的安全防護(hù)在面對(duì)傳統(tǒng)威脅時(shí)確實(shí)發(fā)揮了重要作用，但過(guò)于依靠涉密信息系統(tǒng)的防護(hù)來(lái)保障涉密信息的安全防護(hù)具有一定的缺陷性，首先信息系統(tǒng)的安全防護(hù)以技術(shù)手段為主，管理和制度為輔，但攻擊技術(shù)飛速發(fā)展，因?yàn)榻?jīng)濟(jì)投入等原因信息系統(tǒng)的安全防護(hù)始終存在著殘余風(fēng)險(xiǎn)；其次，隨著社會(huì)工程學(xué)的發(fā)展，新的攻擊手段更加側(cè)重了利用甚至控制內(nèi)部人員來(lái)獲取信息進(jìn)而繞過(guò)了嚴(yán)密的信息系統(tǒng)安全防護(hù)[4]。

涉密信息的安全防護(hù)涉及不同的人員和過(guò)程，是一個(gè)復(fù)雜的系統(tǒng)工程[5]，其核心問(wèn)題在于內(nèi)部人員的信息安全防護(hù)能力[6]。人們?cè)陉P(guān)注信息安全的時(shí)候注意力主要集中在信息系統(tǒng)上，卻很少關(guān)注人在整個(gè)安全保密系統(tǒng)中的決定性作用[7]，內(nèi)部人員的信息安全防護(hù)能力不足成為了整個(gè)信息系統(tǒng)中安全防護(hù)的薄弱點(diǎn)[8]。錢(qián)學(xué)森曾強(qiáng)調(diào)，計(jì)算機(jī)發(fā)展的思路是“人機(jī)(網(wǎng))結(jié)合，以人為主”[9]而不是“人機(jī)(網(wǎng))結(jié)合，以機(jī)(網(wǎng))為主”，只有堅(jiān)持人的主導(dǎo)地位才能發(fā)揮系統(tǒng)最好的性能[10]。在涉密信息的安全防護(hù)上，我們也應(yīng)該遵循相同的思路，強(qiáng)調(diào)內(nèi)部人員對(duì)于涉密信息安全的決定作用，將安全關(guān)注的重點(diǎn)逐步從信息系統(tǒng)本身轉(zhuǎn)移到內(nèi)部人員上[11]，實(shí)現(xiàn)以人為本的信息安全防護(hù)。如何評(píng)價(jià)并提高內(nèi)部人員的信息安全防護(hù)能力是當(dāng)前信息安全防護(hù)的新方向。

在眾多安全模型和方法中，成熟度理論更加適合用于評(píng)估涉密人員的安全防護(hù)能力。在成熟度理論中SSE-CMM專(zhuān)注于系統(tǒng)安全建設(shè)防護(hù)的過(guò)程改進(jìn)，信息系統(tǒng)建設(shè)單位使用較多，而PCMM則主要用于提升單位員工的工作能力建設(shè)，主要用在各單位的人力資源部門(mén)。內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估模型則不同，評(píng)估結(jié)論適用于保密、人力和信息化等部門(mén)參考。

1 涉密人員管理和相關(guān)成熟度模型

1.1 涉密人員的基本情況

涉密人員是保障國(guó)家秘密安全的主體，也是政府機(jī)關(guān)、國(guó)防軍工和科研院所的重要骨干力量。國(guó)家對(duì)涉密人員的管理嚴(yán)格，保障投入到位，建立了完善的安全培訓(xùn)制度，建立了完善的保密合同制度、涉密人員補(bǔ)貼和獎(jiǎng)懲制度、涉密人員培訓(xùn)制度。

對(duì)于涉密人員的培訓(xùn)，各個(gè)單位都投入了大量的精力和財(cái)力。內(nèi)部人員對(duì)各種保密制度要求的學(xué)習(xí)、保密工作流程的規(guī)范和緊急事故的處理演練等有著充分的學(xué)習(xí)，國(guó)家在很多方面也對(duì)涉密人員作出了限制和要求，例如對(duì)出境、涉外婚姻等，在作出要求的同時(shí)也對(duì)涉密人員作出了補(bǔ)償，例如進(jìn)行保密津貼和保密獎(jiǎng)勵(lì)等。

涉密人員的保密工作需要定期考核，對(duì)于出現(xiàn)違規(guī)保密制度的行為會(huì)作出嚴(yán)肅的處理，而對(duì)于考核期內(nèi)保密工作優(yōu)秀的人也會(huì)作出獎(jiǎng)勵(lì)和表彰。

1.2 SSE－CMM模型簡(jiǎn)介

SSE-CMM是由美國(guó)國(guó)家安全局(NSA)提出并被國(guó)際標(biāo)準(zhǔn)化組織看作是最有希望替代CC的認(rèn)證技術(shù)，具有很好的通用性[12]。

SSE-CMM是一個(gè)二維通用模型[13]，如圖1所示，定義了安全工程相關(guān)原則的處理通用框架，需要結(jié)合工程實(shí)際對(duì)框架進(jìn)行取舍，相關(guān)原則根據(jù)工程實(shí)際進(jìn)行選擇添加，模型本身并不提供工程原則。

圖1 SSE－CMM結(jié)構(gòu)

SSE-CMM在縱軸上表述了能力等級(jí)關(guān)系，規(guī)定了表示能力的5個(gè)等級(jí):1級(jí)“非正式執(zhí)行級(jí)”，2級(jí)“計(jì)劃和跟蹤級(jí)”，3級(jí)“充分定義級(jí)”，4級(jí)“量化控制級(jí)”，5級(jí)“連續(xù)改進(jìn)級(jí)”[10]。每個(gè)“能力等級(jí)”需要滿足其所有的“公共特征(CF)”，每一個(gè)“公共特征(CF)”需要滿足所有的“通用實(shí)踐(GP)”，SSE-CMM在數(shù)據(jù)處理上沒(méi)有采用類(lèi)似AHP的方式，而是采用類(lèi)似取下限的方法取所有子項(xiàng)的最小值，即采用滿足木桶原理的數(shù)據(jù)處理方式。

SSE-CMM的橫軸上包含了三大過(guò)程11個(gè)過(guò)程域，每一個(gè)過(guò)程域又有若干個(gè)基本實(shí)踐構(gòu)成。風(fēng)險(xiǎn)過(guò)程包含了評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、評(píng)估安全風(fēng)險(xiǎn)四個(gè)過(guò)程域。工程過(guò)程包含了確定安全需求、提供安全輸入、實(shí)施安全控制、監(jiān)視安全態(tài)勢(shì)、協(xié)調(diào)安全等五個(gè)過(guò)程域。保障過(guò)程包含了驗(yàn)證和確認(rèn)安全、建立保證論據(jù)兩個(gè)過(guò)程域。

經(jīng)過(guò)十多年的發(fā)展，SSE-CMM實(shí)現(xiàn)了從理論創(chuàng)新到工程應(yīng)用實(shí)踐的轉(zhuǎn)變，其應(yīng)用的廣度和深度都有了很大的突破，不僅已用于軍事控制系統(tǒng)，而且在工業(yè)界也已得到廣泛接受[14]。

1.3 PCMM模型簡(jiǎn)介

人員能力成熟度模型(People Capability Maturity Model，PCMM)也是基于CMM理論開(kāi)發(fā)的框架模型，是一套指導(dǎo)企業(yè)持續(xù)提升人力資源管理能力的方法論和知識(shí)體系。

PCMM與SSE-CMM相比在結(jié)構(gòu)上有所不同，不是嚴(yán)格的二維結(jié)構(gòu)，每一個(gè)過(guò)程域?qū)儆谖ㄒ坏哪芰Φ燃?jí)。

PCMM同樣定義了五個(gè)能力等級(jí)，用以表示企業(yè)的人力資源管理能力，在每個(gè)能力等級(jí)中又定義了若干個(gè)若干過(guò)程域。PCMM同時(shí)提供了四個(gè)主題18個(gè)過(guò)程域，它們分屬于不同的能力等級(jí)。

1)初始級(jí):在初始級(jí)，組織人力資源管理工作僅僅是事務(wù)性的，卻沒(méi)有為這些文件的合理使用提供指導(dǎo)或培訓(xùn)。

2)可重復(fù)級(jí):可重復(fù)級(jí)主要目標(biāo)是消除妨礙員工正常工作的主要障礙，為持續(xù)改進(jìn)開(kāi)發(fā)人力資源的實(shí)施方案奠定基礎(chǔ)，包含了工作環(huán)境、溝通、人員配備、績(jī)效管理、培訓(xùn)和薪酬福利。

3)可定義級(jí):定義級(jí)的主要目標(biāo)是開(kāi)發(fā)和建立基于業(yè)務(wù)策略的員工的知識(shí)和能力，為員工知識(shí)和能力的持續(xù)提升建立基礎(chǔ)。這個(gè)級(jí)別包含了知識(shí)和技能分析、員工計(jì)劃、能力的開(kāi)發(fā)、職業(yè)發(fā)展、基于能力的實(shí)施方案和提供參與機(jī)會(huì)的文化。

4)可管理級(jí):可管理級(jí)的目標(biāo)在可定義級(jí)級(jí)的基礎(chǔ)上，采取進(jìn)一步的措施使員工的核心能力能夠成為組織總體的戰(zhàn)略?xún)?yōu)勢(shì)。這個(gè)級(jí)別包含了教練、團(tuán)隊(duì)建設(shè)、基于團(tuán)隊(duì)的實(shí)施方案、組織能力管理和組織績(jī)效的協(xié)調(diào)性。

5)優(yōu)化級(jí):在優(yōu)化級(jí)，組織持續(xù)關(guān)注提高員工個(gè)人能力，并尋求改進(jìn)員工動(dòng)機(jī)和能力的革新方法。這個(gè)級(jí)別包含個(gè)人能力的開(kāi)發(fā)、導(dǎo)師和持續(xù)的員工管理革新。

2 內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估體系

涉密信息系統(tǒng)運(yùn)行使用和互聯(lián)網(wǎng)網(wǎng)絡(luò)有很大的不同，涉密信息系統(tǒng)實(shí)行嚴(yán)格的物理隔離，部署了大量的安全產(chǎn)品，實(shí)施嚴(yán)格的防護(hù)措施，外部人員直接發(fā)起網(wǎng)絡(luò)攻擊竊取信息的成功概率極小，只有通過(guò)信息安全防護(hù)能力不足的內(nèi)部員工有意或無(wú)意的為外部人員提高幫助或配合外部人員才有可能對(duì)涉密信息系統(tǒng)產(chǎn)生威脅。因此，提升內(nèi)部人員的信息安全防護(hù)能力對(duì)于提升涉密信息系統(tǒng)的安全有著重要意義。

另一方面，涉密信息的安全始終處于在涉密單位內(nèi)部人員的管理使用中，一旦脫離信息系統(tǒng)的技術(shù)監(jiān)控，只能更多的使用管理制度手段進(jìn)行約束。此時(shí)，涉密單位內(nèi)部人員的信息安全防護(hù)能力在很大程度上決定了涉密信息的安全程度。作為涉密信息安全防護(hù)的主體，內(nèi)部人員應(yīng)該有著科學(xué)的信息安全防護(hù)能力評(píng)估體系[15]。

本文結(jié)合現(xiàn)有涉密信息系統(tǒng)的安全測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)并借鑒成熟度理論方法在信息系統(tǒng)安全領(lǐng)域和人力資源管理領(lǐng)域的實(shí)際應(yīng)用，建立了內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估體系。該評(píng)估體系主要包括評(píng)估模型、評(píng)估準(zhǔn)則和評(píng)估方法三大部分，評(píng)估模型是整個(gè)評(píng)估體系的指導(dǎo)方針，而評(píng)估準(zhǔn)則是評(píng)估判斷的具體依據(jù)，評(píng)估方法是評(píng)估工作的具體指導(dǎo)。通過(guò)對(duì)不同類(lèi)型內(nèi)部人員信息安全防護(hù)能力進(jìn)行評(píng)價(jià)和分析，通過(guò)提高單位整體的信息安全防護(hù)能力。內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估體系可以作為我國(guó)現(xiàn)行的涉密信息系統(tǒng)測(cè)評(píng)的有效補(bǔ)充，也可以為人力資源和保密部門(mén)提供幫助。

2.1 內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估模型

本文結(jié)合PCMM、SSE-CMM基本模型和涉密人員工作實(shí)際環(huán)境，建立了三維的內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估模型，見(jiàn)圖2，三個(gè)維度分別為能力維度、過(guò)程維度和人員維度。

圖2 內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估模型

過(guò)程維度(基本慣例)分為三個(gè)過(guò)程類(lèi)別10個(gè)過(guò)程域，三個(gè)過(guò)程分別為:風(fēng)險(xiǎn)意識(shí)、個(gè)人風(fēng)險(xiǎn)與保障、工作安全狀態(tài)。在過(guò)程維度里，10個(gè)過(guò)程域分屬三個(gè)過(guò)程，每個(gè)過(guò)程又包含了一組基本慣例，而每一個(gè)基本慣例則需要若干考核項(xiàng)。

風(fēng)險(xiǎn)意識(shí)過(guò)程中包含PA1工作職責(zé)風(fēng)險(xiǎn)認(rèn)知、PA2工作環(huán)境風(fēng)險(xiǎn)認(rèn)知、PA3社交活動(dòng)風(fēng)險(xiǎn)認(rèn)知三個(gè)過(guò)程域，分析內(nèi)部員工特別是涉密人員對(duì)于不同方面的威脅、脆弱性和影響因素的風(fēng)險(xiǎn)意識(shí)水平。只有對(duì)自身工作生活相關(guān)的信息安全有著較為深刻的認(rèn)識(shí)和體會(huì)才有可能對(duì)工作的信息安全防護(hù)有著真正的意識(shí)和主動(dòng)性。風(fēng)險(xiǎn)意識(shí)評(píng)估在實(shí)際工作中與保密部門(mén)的工作密切相關(guān)，衡量和體現(xiàn)保密部門(mén)日常保密培訓(xùn)和教育工作的成果。

風(fēng)險(xiǎn)與保障過(guò)程中包含了PA4背景與社交分析、PA5保密培訓(xùn)和保密意識(shí)兩個(gè)過(guò)程域。背景與社交分析過(guò)程域主要關(guān)注涉密人員自身的客觀風(fēng)險(xiǎn)因素，這些因素肯能誘發(fā)主觀因素，涉及到人員的涉密程度、經(jīng)濟(jì)情況、心理素質(zhì)、身體素質(zhì)、家庭成員和社會(huì)交往等，這與涉密人員入職時(shí)人力資源部門(mén)做的的背景調(diào)查有相似之處，但又超過(guò)了人力資源部門(mén)調(diào)查的范圍和深度。從涉密人員的角度看待保密部門(mén)的培訓(xùn)方式和效果，分析結(jié)果可以為保密部門(mén)改善培訓(xùn)方式增強(qiáng)培訓(xùn)效果提供幫助。通過(guò)涉密人員的的背景和社交分析，我們可以找到引發(fā)威脅的一部分客觀因素，這些因素引發(fā)涉密人員在涉密信息安全防護(hù)方面主觀錯(cuò)誤，比單純工作失誤造成更大更危險(xiǎn)的損失，這兩個(gè)過(guò)程域的結(jié)果可以供人力資源部門(mén)和保密部門(mén)參考使用。

工作安全狀態(tài)過(guò)程中包含了PA6涉密網(wǎng)絡(luò)的使用、PA7涉密文件和設(shè)備的使用、PA8涉密辦公場(chǎng)所的使用、PA9安全事件處理和PA10工作團(tuán)隊(duì)、單位的安全狀態(tài)等五個(gè)過(guò)程域。這五個(gè)過(guò)程域基本涵蓋了涉密人員在實(shí)際工作中處理涉密信息的各種情況，通過(guò)分析他們?cè)谌粘９ぷ髦刑幚硇畔⒌牧鞒?、?xí)慣等因素，判斷涉密人員在信息安全保障方面的能力。

人員維度:內(nèi)部人員信息安全防護(hù)評(píng)估模型強(qiáng)調(diào)用不同崗位的觀點(diǎn)去分析信息安全防護(hù)的價(jià)值點(diǎn)和防護(hù)缺失點(diǎn)，因而針對(duì)不同的類(lèi)型的人員考核項(xiàng)可能有所不同?；诓煌?lèi)型人員對(duì)于涉密信息和信息系統(tǒng)的依賴(lài)和影響不同，建立人員類(lèi)別維度。SSE-CMM和PCMM基本模型把整個(gè)工程組織或單位看做是一個(gè)整體，在工程過(guò)程中這個(gè)組織甚至包含了若干家不同的法人單位，他們的單位性質(zhì)可能不同，企業(yè)能力和員工素質(zhì)也可能差距很大；在人員培養(yǎng)過(guò)程中不同部門(mén)或工作類(lèi)型的人員在工作能力、待遇等方面的差距也往往較大，用完全一致的標(biāo)準(zhǔn)評(píng)價(jià)不同對(duì)象，不具有科學(xué)代表性。針對(duì)每一個(gè)崗位或人員類(lèi)別制度不同的評(píng)價(jià)標(biāo)準(zhǔn)，不僅成本過(guò)高而且存在著標(biāo)準(zhǔn)過(guò)多無(wú)法準(zhǔn)確把握內(nèi)容不盡合理等問(wèn)題。通過(guò)人員類(lèi)別維度，科學(xué)的選擇涉密人員個(gè)體，得出不同崗位類(lèi)別、人員類(lèi)別和整個(gè)單位的涉密人員能力等級(jí)，既解決了單一標(biāo)準(zhǔn)的不科學(xué)性又解決了不同標(biāo)準(zhǔn)的代價(jià)高、效果差的缺點(diǎn)。

能力維度(通用慣例):為了保持內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估結(jié)果和SSE-CMM、PCMM等成熟度評(píng)估結(jié)論一樣具有通用性和易于理解性，能力評(píng)估結(jié)論給出了五個(gè)安全能力等級(jí)。

1風(fēng)險(xiǎn)級(jí):缺少足夠的風(fēng)險(xiǎn)的意識(shí)，有抵觸情緒的執(zhí)行了國(guó)家和單位要求的保密措施?？梢员硎鰹槲艺J(rèn)為沒(méi)有必要，也不想做。

2可改進(jìn)級(jí):風(fēng)險(xiǎn)意識(shí)不夠強(qiáng)，但對(duì)保密要求的執(zhí)行相對(duì)嚴(yán)格?？梢员硎鰹槲也恢烙惺裁春蠊?，但我按照你的要求去做。

3勝任級(jí):有較強(qiáng)的風(fēng)險(xiǎn)意識(shí)并執(zhí)行了單位和國(guó)家的保密要求，并清楚哪些可能產(chǎn)生問(wèn)題的地方。可以表述為我知道問(wèn)題可能導(dǎo)致的后果，所以認(rèn)真的去做。

4可靠級(jí):具有非常強(qiáng)的風(fēng)險(xiǎn)意識(shí)，在實(shí)際工作中不僅能夠遵守保密制度而且能夠積極規(guī)避風(fēng)險(xiǎn)?？梢员硎鰹槲液芮宄?wèn)題的后果，但我能夠在保障信息安全的條件下正確的完成任務(wù)。

5安全級(jí):明確可能的產(chǎn)生問(wèn)題的風(fēng)險(xiǎn)點(diǎn)和原因，并采取了恰當(dāng)?shù)拇胧?yīng)對(duì)，并能在制度等方面提出合理的意見(jiàn)和建議。可以表述為我知道問(wèn)題出在哪里，我來(lái)告訴你們應(yīng)該如何做。

2.2 模型中數(shù)據(jù)獲取和處理

內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估模型中的數(shù)據(jù)操作分為基礎(chǔ)數(shù)據(jù)的獲取和數(shù)據(jù)處理?；A(chǔ)數(shù)據(jù)是在現(xiàn)場(chǎng)評(píng)估過(guò)程中由評(píng)估人員依據(jù)評(píng)估標(biāo)準(zhǔn)和被測(cè)人員的實(shí)際情況填寫(xiě)在評(píng)估表單中的每一小測(cè)評(píng)項(xiàng)的得分。

數(shù)據(jù)處理是在評(píng)估機(jī)構(gòu)完成現(xiàn)場(chǎng)評(píng)估的基礎(chǔ)上綜合所有數(shù)據(jù)和依據(jù)，對(duì)數(shù)據(jù)進(jìn)行處理分析的過(guò)程。數(shù)據(jù)處理方式則結(jié)合了信息安全領(lǐng)域測(cè)評(píng)普遍采用的層次分析法，同時(shí)借鑒了SSECMM模型中去下限值的經(jīng)驗(yàn)。層次分析法是處理復(fù)雜系統(tǒng)數(shù)據(jù)的有效方法，可以簡(jiǎn)化處理流程；取下限的方法則嚴(yán)格遵守了信息安全領(lǐng)域的“木桶原理”，即劣勢(shì)部分往往決定了整個(gè)組織的水平。由低層級(jí)數(shù)據(jù)獲取高層級(jí)數(shù)據(jù)時(shí)，采用以下三個(gè)步驟獲取，一、采用層次分析法，通過(guò)下層原始數(shù)據(jù)矩陣與系數(shù)矩陣的處理獲取高層次數(shù)據(jù)。二、對(duì)獲得的高層次數(shù)據(jù)進(jìn)行取整處理。根據(jù)評(píng)估前設(shè)定的小數(shù)閥值，大于閥值的小數(shù)部分向上取整，小于等于閥值的小數(shù)部分則舍棄。三、數(shù)據(jù)糾正，對(duì)于獲取的高層次能力值，不能大于下層能力最小值加1。

步驟一執(zhí)行了層次分析法的一般步驟，人員類(lèi)別數(shù)據(jù)矩陣取決于了人員比例的設(shè)定，過(guò)程域數(shù)據(jù)矩陣則是不同單位對(duì)于不同過(guò)程域的重視程度，人員系數(shù)矩陣可以糾正人員選擇的比例。步驟二通過(guò)設(shè)定小數(shù)閥值直接決定了評(píng)估的嚴(yán)格程度。步驟三通過(guò)數(shù)據(jù)糾正，遵守“木桶原理”，保證較高能力等級(jí)的組織中不存在能力等級(jí)過(guò)低的部分。

2.3 內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估方法

內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估方法充分借鑒了SSE-CMM模型的評(píng)估方法和涉密信息系統(tǒng)測(cè)評(píng)的實(shí)踐經(jīng)驗(yàn)，既保持了成熟度評(píng)估方法的簡(jiǎn)介高效性又保證了評(píng)估結(jié)果的準(zhǔn)確客觀性。

整個(gè)評(píng)估分為三個(gè)階段7個(gè)步驟:準(zhǔn)備階段、評(píng)估階段和反饋階段，主要流程見(jiàn)圖3.內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估流程。準(zhǔn)備階段，一、被測(cè)單位提交保密風(fēng)險(xiǎn)評(píng)估申請(qǐng)書(shū)，提供內(nèi)部員工和單位的基本情況；二、評(píng)估小組對(duì)被測(cè)單位提供的申請(qǐng)書(shū)材料進(jìn)行審核，以了解被測(cè)單位的基本情況，明確評(píng)估的人員范圍、數(shù)目和構(gòu)成特點(diǎn)，根據(jù)被測(cè)單位特點(diǎn)尋找關(guān)注點(diǎn)和敏感點(diǎn)；三、制定評(píng)估表單，設(shè)計(jì)選擇被測(cè)人員等；在準(zhǔn)備階段，評(píng)估小組需要對(duì)被測(cè)單位的基本情況有所了解，確定評(píng)估的范圍。評(píng)價(jià)階段，四、實(shí)際評(píng)估前測(cè)評(píng)小組與被測(cè)單位溝通相關(guān)問(wèn)題，在這個(gè)階段需要被測(cè)單位領(lǐng)導(dǎo)對(duì)本次評(píng)估明確做出支持的表態(tài)并安排相應(yīng)權(quán)限級(jí)別的人員進(jìn)行協(xié)調(diào)和配合，領(lǐng)導(dǎo)層對(duì)評(píng)估的支持是評(píng)估工作的基礎(chǔ)，這一階段的另一工作是測(cè)評(píng)小組向被測(cè)單位提出關(guān)注的問(wèn)題和相應(yīng)的工作要求；五、測(cè)評(píng)小組分組測(cè)評(píng)對(duì)不同類(lèi)型的人員采取不同形式的評(píng)估，例如訪談、問(wèn)卷調(diào)查、檢查日常工作記錄和文檔；這一階段被測(cè)單位的支持和配合相當(dāng)重要，需要擁有足夠權(quán)利的被測(cè)單位領(lǐng)導(dǎo)進(jìn)行協(xié)調(diào)溝通和組織。反饋階段，六、測(cè)評(píng)小組匯總、分析相關(guān)數(shù)據(jù)，對(duì)被測(cè)單位的總體情況、人員類(lèi)別、過(guò)程域情況和人員過(guò)程域情況分別做出分析，分析其中的問(wèn)題給出建議，出具相關(guān)報(bào)告；七、測(cè)評(píng)小組向被測(cè)單位提交報(bào)告并匯報(bào)總體結(jié)論、問(wèn)題點(diǎn)和建議，解答被測(cè)單位的相關(guān)疑問(wèn)。這一階段主要是評(píng)估小組處理評(píng)估數(shù)據(jù)并反饋被測(cè)單位，也是整個(gè)評(píng)估的成果階段，不僅要出具評(píng)估報(bào)告，還要解答被測(cè)單位的基本問(wèn)題。

圖3 內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估流程

內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估方法保障數(shù)據(jù)的有效性的一個(gè)前提是被評(píng)估人員的合理選擇。由于涉密單位的員工人數(shù)眾多，由于出差、會(huì)議等工作原因部分人員不在單位，如何選擇一個(gè)具有代表性的群體是整個(gè)工作的關(guān)鍵。

在選擇評(píng)估對(duì)象時(shí)應(yīng)堅(jiān)持三條基本原則，一是選擇對(duì)象應(yīng)包含所有類(lèi)別、崗位的人員，二是選擇對(duì)象的各類(lèi)人員比例應(yīng)與實(shí)際員工數(shù)目、新老員工比例、崗位比例相關(guān)，三是選擇對(duì)象的各類(lèi)人員比例與接粗涉密信息程度、使用涉密信息系統(tǒng)的程度相關(guān)。我們建立了“個(gè)體人員—崗位類(lèi)別—人員類(lèi)別”的模式，將對(duì)于信息系統(tǒng)產(chǎn)生不同影響的人分為若干類(lèi)，區(qū)分對(duì)待。對(duì)于主管領(lǐng)導(dǎo)層、一般涉密人員、重要涉密人員。核心涉密人員、涉密信息系統(tǒng)運(yùn)維人員、保密和安保人員、人力資源部門(mén)人員、物業(yè)保障人員等不同人員類(lèi)別對(duì)涉密信息安全的影響程度和方式都不一樣，關(guān)注點(diǎn)也不同，針對(duì)不同類(lèi)型的人員在不同過(guò)程域我們采用的評(píng)價(jià)標(biāo)準(zhǔn)也有所差異。

內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估方法另一個(gè)重要工作就是評(píng)估細(xì)則的制定和評(píng)估表單的設(shè)計(jì)。內(nèi)部人員風(fēng)險(xiǎn)的評(píng)估沒(méi)有現(xiàn)成的標(biāo)準(zhǔn)，但可以充分借鑒保密部門(mén)的相關(guān)保密要求和制度、涉密信息系統(tǒng)管理的要求制度和人力資源部門(mén)關(guān)于人力管理的規(guī)定，是一個(gè)以關(guān)注涉密主體為核心的綜合性的制度。評(píng)估表單則是根據(jù)評(píng)估工作的情況，靈活的將評(píng)估標(biāo)準(zhǔn)列出，方便使用和查詢(xún)。評(píng)估的形式也充分結(jié)合了SSE-CMM的評(píng)估形式和涉密信息系統(tǒng)安全測(cè)評(píng)的形式，采取了自由訪談、問(wèn)卷調(diào)查、檢查記錄和文檔等方式。

自由訪談的目的在于讓不同崗位的人去表達(dá)闡述自己在工作崗位中對(duì)保密工作的認(rèn)識(shí)，特別信息價(jià)值的大小、脆弱點(diǎn)和潛在威脅，以便更加全面了解單位的風(fēng)險(xiǎn)信息。一線員工往往能夠在細(xì)節(jié)處發(fā)現(xiàn)問(wèn)題的關(guān)鍵，這是依靠單位報(bào)告所得不到的。

問(wèn)卷調(diào)查也跟保密部門(mén)的保密答卷有很大的不同，問(wèn)卷的答案不在評(píng)估標(biāo)準(zhǔn)中而是被評(píng)估者對(duì)信息安全的認(rèn)識(shí)，是自由訪談的重要組成形式。自由訪談和問(wèn)卷調(diào)查的過(guò)程，只有測(cè)評(píng)人員和被評(píng)估人員，相關(guān)的記錄也不會(huì)提交被測(cè)單位，以保證被評(píng)估人員信息的準(zhǔn)確性。

另外，人員評(píng)估過(guò)程可能會(huì)充分借鑒其他評(píng)估的結(jié)果，特別是發(fā)現(xiàn)的問(wèn)題所在，以減少不必要的工作量并更多的發(fā)現(xiàn)問(wèn)題所在。

3 內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估模型的應(yīng)用

3.1 數(shù)據(jù)的獲取歸納

運(yùn)用此方法我們對(duì)航天科技集團(tuán)下屬涉密單位進(jìn)行了內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估。選擇一典型的某單位的內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估進(jìn)行說(shuō)明。

首先是普通員工個(gè)體過(guò)程域能力等級(jí)的獲取。將該單位的評(píng)估表單進(jìn)行收集，統(tǒng)一進(jìn)行分析處理。對(duì)于同一個(gè)員工的數(shù)據(jù)進(jìn)行處理，由不同的基本評(píng)估實(shí)例數(shù)據(jù)與系數(shù)矩陣相互作用得出基本實(shí)踐能力值的原始值，對(duì)原始值進(jìn)行取整處理，根據(jù)基本評(píng)估實(shí)例數(shù)值的約束對(duì)取整后的基本實(shí)踐原始值進(jìn)行數(shù)據(jù)修正，進(jìn)而得到準(zhǔn)確的基本實(shí)踐能力值。根據(jù)同樣的方法，由基本實(shí)踐能力值得到過(guò)程域能力值。由此得出了一個(gè)普通員工的各個(gè)過(guò)程域的能力值。

其次是由普通員工個(gè)體的過(guò)程域能力獲取人員類(lèi)型的過(guò)程域能力。根據(jù)普通員工個(gè)體的過(guò)程域能力和人員類(lèi)別系數(shù)獲取人員類(lèi)型過(guò)程域的能力初始值，同樣采用取整處理和數(shù)值糾正，獲得準(zhǔn)確的人員類(lèi)型信息安全防護(hù)能力值，如表1所示。

表1 某單位內(nèi)部人員風(fēng)險(xiǎn)數(shù)據(jù)

最后，由人員類(lèi)型的過(guò)程域能力二維數(shù)據(jù)得到不同人員類(lèi)型、不同過(guò)程域和單位整體情況的信息安全防護(hù)能力。通過(guò)人員類(lèi)別和過(guò)程域的二維數(shù)據(jù)矩陣和人員類(lèi)別系數(shù)矩陣、過(guò)程域系數(shù)矩陣我們可以得到不同類(lèi)別人員和不同過(guò)程域的保密風(fēng)險(xiǎn)評(píng)估初始值，經(jīng)過(guò)取整和數(shù)據(jù)糾正得到表2。

表2 某單位涉密人員風(fēng)險(xiǎn)數(shù)據(jù)

3.2 基于數(shù)據(jù)的保密風(fēng)險(xiǎn)評(píng)估分析

(1)單位整體能力情況分析

通過(guò)表2可以較為清晰的看到這個(gè)單位整體的能力水平，單位員工的人員保密風(fēng)險(xiǎn)評(píng)估能力普遍在3勝任級(jí)到4可靠級(jí)，認(rèn)為這些單位的內(nèi)部人員具有勝任保障信息安全的能力，具有較高的安全意識(shí)和安全防護(hù)能力，但仍具有很大的提升空間，只要找到關(guān)鍵節(jié)點(diǎn)，選擇關(guān)鍵的人員和關(guān)鍵過(guò)程即可快速提升單位的能力等級(jí)。

(2)人員類(lèi)別能力分析

通過(guò)表格2可以得到不同類(lèi)別人員的保密風(fēng)險(xiǎn)評(píng)估能力等級(jí)，整理成人員類(lèi)別的保密風(fēng)險(xiǎn)評(píng)估能力等級(jí)數(shù)據(jù)圖，見(jiàn)圖4，在實(shí)際情況中人員類(lèi)別要復(fù)雜的多。分析發(fā)現(xiàn)，業(yè)務(wù)部門(mén)2的重要涉密人員和系統(tǒng)運(yùn)維人員的人員保密風(fēng)險(xiǎn)評(píng)估能力等級(jí)相對(duì)較高達(dá)到了4級(jí)要求，對(duì)信息系統(tǒng)的安全運(yùn)行有著較為深刻全面的認(rèn)識(shí)，可以認(rèn)為這兩個(gè)崗位的人員對(duì)信息安全防護(hù)的關(guān)注和思考較多有助于解決單位的系統(tǒng)安全問(wèn)題；其他的人員人員保密風(fēng)險(xiǎn)評(píng)估能力普遍在3級(jí)，僅有物業(yè)部門(mén)的部分人員的整體能力在2級(jí)。這個(gè)單位中人員類(lèi)型的人員保密風(fēng)險(xiǎn)評(píng)估能力與其工作類(lèi)型關(guān)聯(lián)很大，工作涉密程度越高呈現(xiàn)出人員保密風(fēng)險(xiǎn)評(píng)估能力越強(qiáng)的趨勢(shì)，但對(duì)于涉密程度不高的人員缺少足夠的培訓(xùn)和考核。

圖4 某單位不同人員類(lèi)別的保密風(fēng)險(xiǎn)評(píng)估能力

通過(guò)表1整理成過(guò)程域成熟度數(shù)據(jù)圖，見(jiàn)圖5。各個(gè)基本過(guò)程域的人員保密風(fēng)險(xiǎn)評(píng)估能力普遍在3級(jí)和4級(jí)，沒(méi)有出現(xiàn)過(guò)高或過(guò)低的過(guò)程域，說(shuō)明單位在信息安全防護(hù)建設(shè)工作做得比較全面。與工作過(guò)程實(shí)際相關(guān)的過(guò)程域往往能力等級(jí)較高，而與實(shí)際工作直接關(guān)聯(lián)較少的過(guò)程域能力等級(jí)則較低，說(shuō)明單位內(nèi)員工的工作環(huán)境安全意識(shí)很強(qiáng)，生活中的安全保密意識(shí)不足。

圖5 某單位各個(gè)過(guò)程域的安全能力成熟度

通過(guò)對(duì)單位整體、分人員類(lèi)別、分過(guò)程類(lèi)別的分析后，我們對(duì)影響單位能力成熟度的關(guān)鍵因素進(jìn)行分析，通過(guò)表1可以看出，在140個(gè)人員過(guò)程得分中集中了9個(gè)得分較低的項(xiàng)，他們成為制約整個(gè)單位能力提升的節(jié)點(diǎn)。9個(gè)關(guān)鍵節(jié)點(diǎn)主要集中在風(fēng)險(xiǎn)安全意識(shí)方面的幾個(gè)過(guò)程域，只要找對(duì)人員針對(duì)他們的風(fēng)險(xiǎn)安全意識(shí)進(jìn)行有目的的培訓(xùn)就可以快速解決風(fēng)險(xiǎn)因素。

4 結(jié)語(yǔ)

相對(duì)于傳統(tǒng)的涉密信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法，內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估模型方法強(qiáng)調(diào)更多的關(guān)注人的信息安全防護(hù)能力，以人為主的觀點(diǎn)看待信息安全問(wèn)題。

在涉密單位目前保密工作仍然以涉密信息系統(tǒng)為核心，相關(guān)的安全測(cè)評(píng)也以涉密信息的安全測(cè)評(píng)或者風(fēng)險(xiǎn)評(píng)估為主，人員的保密培訓(xùn)也因各種因素在形式和效果上也較為有限。內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估恰恰以人員為評(píng)估對(duì)象，可以有效的發(fā)現(xiàn)問(wèn)題，評(píng)估結(jié)論可以為保密培訓(xùn)提供參考和幫助，也可以為人力部門(mén)的相關(guān)工作提供幫助，同時(shí)也間接的減少了涉密信息系統(tǒng)的風(fēng)險(xiǎn)。從實(shí)踐結(jié)論上看，該體系具有較大的應(yīng)用價(jià)值，可以作為涉密信息系統(tǒng)安全測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估的有效補(bǔ)充，也可以作為相關(guān)單位提高內(nèi)部員工能力的自我評(píng)估方法。

雖然內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估模型目前處于探索階段，相關(guān)模型還有待改進(jìn)，評(píng)估的細(xì)則也有待優(yōu)化，但對(duì)于人員信息安全防護(hù)能力評(píng)估的必要性和應(yīng)用前景卻十分明確。

[1]王惠蒞，楊晨，楊建.SP 800-53信息安全控制措施研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2011(8):46-49.

[2]王艷瑋，王娟.BS7799與SSE-CMM的對(duì)比研究[J].圖書(shū)館理論與實(shí)踐，2012(4):22-25.

[3]譚良，佘堃，周明天.信息安全評(píng)估標(biāo)準(zhǔn)研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2006(4):634-637.

[4]王治，范明鈺，王光衛(wèi).信息安全領(lǐng)域中的社會(huì)工程學(xué)研究[J].信息安全與保密通信，2005(07):229-231.

[5]戴汝為，操龍兵.Internet-一個(gè)開(kāi)放的復(fù)雜巨系統(tǒng)[J].中國(guó)科學(xué)(E輯):技術(shù)科學(xué)，2003.

[6]王鮮紅，郝偉，李哲等.軍工科研單位涉密人員管理研究[J].信息安全與技術(shù)，2014(3):10-13.

[7]趙仁軍.基于模糊層次和證據(jù)理論的信思系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法研究[D].湖南長(zhǎng)沙:湖南大學(xué)，2009.

[8]李婕娜陳德運(yùn).基于證據(jù)理論的信息安全管理度量[J].哈爾濱理工大學(xué)學(xué)報(bào)，2008，13(1):29-31.

[9]錢(qián)學(xué)森，戴汝為.論信息空間的大成智[M].上海:上海交通大學(xué)出版社，2007:175-177.

[10]田鵬.基于證據(jù)理論的人才綜合評(píng)測(cè)方法[J].天津工業(yè)大學(xué)學(xué)報(bào)，2003，22(3):46-48.

[11]丁移粟，王宇.基于證據(jù)理論的涉密人員風(fēng)險(xiǎn)評(píng)估模型研究[J].2012年全國(guó)網(wǎng)絡(luò)與數(shù)字內(nèi)容安全學(xué)術(shù)年會(huì)論文集，2012.

[12]任雁.基于SSE-CMM模型的信息系統(tǒng)安全工程管理[J].網(wǎng)絡(luò)與信息工程，2014(4):49-50.

[13]SSE-CMM Working Group.SSE-CMM Model Description Document version 2.0〔EB/OL〕.1999[2015.10.25]，at http:＼www.sse-cmm.org.

[14]張小寒.基于SSE-CMM模型的校園網(wǎng)安全風(fēng)險(xiǎn)評(píng)估[D].長(zhǎng)沙:湖南大學(xué)，2012.

[15]喬保蕊，宋巍，宋征玉.數(shù)字時(shí)代涉密人員的考核[J].科技信息，2013(23):68-75.

InternalPersonnel Confidentiality Risk Assessment

WANG Qi，ZHANG Wen-tao，MA Rui
(China Academy of Aerospace Systems Science and Engineering，Beijing 100048，China)

Information security now becomes the cornerstone of national security，and infosec protection concerning the state secrets in particular，always constitutes a key and difficult problem.Currently classified information system security is the core of the classified information safety，and internal personnel security protection capability may become both a focal point and a weak point，or in other words，the short plank of an infosec wooden bucket.With the rapid development of infosec technology，a proper attention should be given to the internal personnel security protection capability，and the related standards，models and methods for assessment of internal personnel confidentiality risk be established.In light of this，a set of human-centered models and methods based on the experience of infosec protection and mature theory for assessment of internal personnel confidentiality risk are proposed，and these models and methods could be applied to the classified departments.

information security； internal personnel； infosec protection capability

TP 393.08 [文獻(xiàn)標(biāo)志碼][J] [文章編號(hào)]1009-8054(2016)04-0102-07

2016-01-19

王奇(1987—)，男，碩士，學(xué)生，主要研究方向?yàn)樾畔踩?/p>

張文濤(1971—)，男，碩士，研究員、碩導(dǎo)，主要研究方向?yàn)樾畔踩⒕W(wǎng)絡(luò)安全與管理、云計(jì)算；

馬銳(1978—)，女，碩士，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、信息管理、云計(jì)算與虛擬化。