張征

摘 要 信息安全模型是保障網(wǎng)絡(luò)信息安全的關(guān)鍵部分，為降低網(wǎng)絡(luò)信息的風(fēng)險(xiǎn)因素，必須展開對信息安全模型建設(shè)進(jìn)行研究，并對具體的安全系統(tǒng)方案進(jìn)行設(shè)計(jì)。然而，實(shí)際的安全系統(tǒng)中，缺乏有效的風(fēng)險(xiǎn)評估能力，不能展開對安全風(fēng)險(xiǎn)的評估和控制，制約企業(yè)的發(fā)展和進(jìn)步。故此，結(jié)合中國移動(dòng)廣東公司的基于4M模型的信息安全風(fēng)險(xiǎn)評估能力模型展開探究，對于具體的信息安全模型和安全系統(tǒng)方案設(shè)計(jì)進(jìn)行研究，旨在提升安全風(fēng)險(xiǎn)的評估能力，提升信息安全效果，推動(dòng)企業(yè)發(fā)展。

關(guān)鍵詞 信息安全模型；研究；安全系統(tǒng)；方案設(shè)計(jì)

中圖分類號 TP3 文獻(xiàn)標(biāo)識碼 A 文章編號 1674-6708（2017）193-0047-02

物聯(lián)網(wǎng)技術(shù)的不斷完善和進(jìn)步，安全威脅的攻擊對象也不斷轉(zhuǎn)變，網(wǎng)絡(luò)安全威脅成為影響物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)安全的關(guān)鍵，這也對網(wǎng)絡(luò)安全技術(shù)和手段提出了更高的要求。而且，頻繁發(fā)生的安全隱患，可能會(huì)造成大范圍損失，嚴(yán)重影響網(wǎng)絡(luò)安全，亟需改變。基于此，需構(gòu)建有效的網(wǎng)絡(luò)安全防護(hù)體系。本次研究結(jié)合移動(dòng)信息企業(yè)的基本情況，對具體的基于4M的信息安全風(fēng)險(xiǎn)評估能力模型進(jìn)行闡述，并對其具體的安全系統(tǒng)方案設(shè)計(jì)進(jìn)行研究，具體內(nèi)容如下。

1 信息安全模型研究

信息安全模型的種類較多，可以根據(jù)具體的安全等級和能力，可分為單級和多級兩種形式。站在的安全控制角度，可以將安全模型分為訪問控制、信息控制等，具體如下所述。

1）訪問控制類模型。這類模型的特點(diǎn)主要體現(xiàn)在直觀性、系統(tǒng)直接對應(yīng)聯(lián)系，是建立在矩陣模型的基礎(chǔ)上。為降低矩陣的體積，可選擇按列存儲的矩陣方式。訪問矩陣有廣泛應(yīng)用，尤其是對保護(hù)系統(tǒng)安全的理論研究。訪問控制類模型，可引入角色概念，構(gòu)建基于角色訪問的控制模型，具有靈活可靠的特點(diǎn)。

2）信息流控制類模型。訪問矩陣模型借助方案監(jiān)控器，結(jié)合訪問矩陣的決定，確定用戶是否具備訪問權(quán)利，經(jīng)過確認(rèn)后，則不再對用戶進(jìn)行監(jiān)控。而信息流控制模型則是在信息流控制的基本理念下展開。信息流控制類模型，可根據(jù)主體與客體的基本情況，對安全等級進(jìn)行劃分，從而完成對信息安全的控制。常見的信息流控制類模型有：軍用安全模型、BLP模型和Bilba模型等。不同的安全模型，需要結(jié)合實(shí)際情況，展開對其的應(yīng)用。

3）基于4M的信息安全風(fēng)險(xiǎn)評估能力模型。模型是通過構(gòu)建體系（systeM）、工具（platforM）、機(jī)制（Means）、隊(duì)伍（teaM）4個(gè)層面，完成對系統(tǒng)安全態(tài)勢的度量，進(jìn)而為信息安全奠定基礎(chǔ)?；?M的信息安全風(fēng)險(xiǎn)評估能力模型，融入ISO27001：2013，并以系統(tǒng)—領(lǐng)域—要素—指標(biāo)為核心框架，可順利完成系統(tǒng)安全狀態(tài)的量化評估。且能夠借助云服務(wù)，實(shí)現(xiàn)有效的信息共享，符合現(xiàn)代移動(dòng)通信企業(yè)的基本需求。

2 安全系統(tǒng)方案設(shè)計(jì)

選擇基于4M的信息安全風(fēng)險(xiǎn)評估能力模型，作為信息安全模型，展開對安全系統(tǒng)方案設(shè)計(jì)，內(nèi)容如下。

2.1 體系設(shè)計(jì)

構(gòu)建全面適用的評估體系，實(shí)現(xiàn)對信息風(fēng)險(xiǎn)的評估。系統(tǒng)風(fēng)險(xiǎn)評估，是推動(dòng)信息安全管理的關(guān)鍵部分。具體的體系設(shè)計(jì)中，需要對風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)框架進(jìn)行構(gòu)建。框架主要是以系統(tǒng)、領(lǐng)域、要素和指標(biāo)為核心骨架，按照逐級建設(shè)的方式，完成對風(fēng)險(xiǎn)度量指標(biāo)體系的構(gòu)建。具體的構(gòu)建中，可引入ISO27001：2013信息安全管理規(guī)范等內(nèi)容，其中指標(biāo)作為體系的關(guān)鍵部分，從其具體的定義、分級等入手，進(jìn)而完成對體系的設(shè)計(jì)。

為實(shí)現(xiàn)系統(tǒng)的量化評估，則需對量化評分手段進(jìn)行研究，具體的量化評估方式，可以按照4層遞歸評分方式。

2.2 工具設(shè)計(jì)

為實(shí)現(xiàn)對安全系統(tǒng)方案的設(shè)計(jì)，需加強(qiáng)對安全度量平臺的建設(shè)，借助安全度量平臺，實(shí)現(xiàn)對系統(tǒng)風(fēng)險(xiǎn)的綜合評估，并借助云服務(wù)推動(dòng)度量平臺的推廣。安全度量平臺可有效提升計(jì)算自動(dòng)化水平，降低成本，并降低門檻推動(dòng)人員的運(yùn)維效果，且數(shù)據(jù)能夠可視化、對比和共享，符合通信企業(yè)的基本需求。

2.3 隊(duì)伍設(shè)計(jì)

隊(duì)伍無需專業(yè)評估人員，評價(jià)者僅僅需要對系統(tǒng)具體操作進(jìn)行了解，具體的評價(jià)設(shè)計(jì)方式，主要以答卷化為主，并對評估內(nèi)容進(jìn)行簡化，將選擇題、判斷題作為主要的風(fēng)險(xiǎn)評價(jià)指標(biāo)度量的關(guān)鍵。而且，還可以指定度量分配方案，由不同的人員完成對不同類型的指標(biāo)評價(jià)，滿足信息安全的基本需求。

2.4 機(jī)制設(shè)計(jì)

為保障信息安全評估的有效性，需要建立有效的機(jī)制，本文通過構(gòu)建系統(tǒng)交互、人工識別驗(yàn)證、系統(tǒng)設(shè)備自動(dòng)采集信息等方式，滿足系統(tǒng)原始數(shù)據(jù)信息的客觀性和準(zhǔn)確性。只有保障數(shù)據(jù)信息的可靠穩(wěn)定，才能保障風(fēng)險(xiǎn)識別的效果。其中系統(tǒng)交互驗(yàn)證機(jī)制的具體交互方式，是由運(yùn)維人員，將數(shù)據(jù)信息上傳到度量平臺。對于人工識別驗(yàn)證機(jī)制，主要是通過工作人員識別提取的文件類型，并借助定期提交管理規(guī)范文件的方式，實(shí)現(xiàn)交互。

在此基礎(chǔ)上，還需要綜合對訪問控制、保密、驗(yàn)證和安全保護(hù)等內(nèi)容進(jìn)行設(shè)計(jì)。其中對于系統(tǒng)訪問控制對每個(gè)用戶進(jìn)行命令授權(quán)、等級劃分等內(nèi)容，并選擇多級保密的方式，確保系統(tǒng)信息的整體安全性。為進(jìn)一步保障系統(tǒng)的安全，本次研究可選擇智能卡進(jìn)行用戶的身份驗(yàn)證，對不同類型用戶的權(quán)限進(jìn)行劃分，并保障用戶身份真實(shí)的基礎(chǔ)上，完成對用戶的識別驗(yàn)證。系統(tǒng)自身的安全保護(hù)。為保護(hù)系統(tǒng)整體安全，必須對安全系統(tǒng)自身的安全保護(hù)部分的設(shè)計(jì)。另外，為實(shí)現(xiàn)基于4M的信息安全風(fēng)險(xiǎn)評估能力模型的安全系統(tǒng)，還需要對各個(gè)模塊進(jìn)行設(shè)計(jì)，模塊包括系統(tǒng)管理員操作模塊、量化評分模塊等內(nèi)容。

3 應(yīng)用研究

基于4M的信息安全風(fēng)險(xiǎn)評估能力模型所構(gòu)建的安全系統(tǒng)，于2015年1月—12月，安全系統(tǒng)已經(jīng)在廣東省得到了全面的實(shí)施，且在試用期間，也得到較好的節(jié)約成本的目的。借助安全系統(tǒng)的應(yīng)用，有效的規(guī)避安全風(fēng)險(xiǎn)的帶來的損失，未來在全省9 000余套系統(tǒng)的全面推廣，可預(yù)計(jì)節(jié)約成本3 240萬元，規(guī)避信息安全問題的產(chǎn)生，符合企業(yè)持續(xù)健康發(fā)展的需求。

另外，安全系統(tǒng)的應(yīng)用，在基本控制安全風(fēng)險(xiǎn)的基礎(chǔ)上，還可以提供安全工作的效率，可提升60%，并為重點(diǎn)管理工作提供有效的決策依據(jù)，推動(dòng)企業(yè)的信息安全。

4 結(jié)論

結(jié)合中國移動(dòng)廣東公司的信息安全模型展開研究，對具體的基于4M模型的信息安全評價(jià)體系進(jìn)行研究，結(jié)合實(shí)際情況，對具體的安全系統(tǒng)方案設(shè)計(jì)進(jìn)行研究，最后對具體的系統(tǒng)應(yīng)用情況進(jìn)行闡述，得到有效的安全系統(tǒng)方案設(shè)計(jì)，對改善企業(yè)信息安全具有積極的作用與意義。

參考文獻(xiàn)

[1]劉靜.基于模擬攻擊方式的信息安全性檢測模型的研究與設(shè)計(jì)[D].西安：西北大學(xué)，2011：35-36.

[2]李軍，郭紅梅.計(jì)算機(jī)信息安全技術(shù)的應(yīng)用探究[J].電子測試，2014（21）：152-153.

[3]曹祥飛，王奔，黃承鍵.計(jì)算機(jī)信息系統(tǒng)安全防護(hù)體系模型建立與實(shí)現(xiàn)分析探究[J].工程技術(shù)：全文版，2016（12）：00320.

[4]陳澤徐.基于RBAC的信息安全模型的研究與設(shè)計(jì)[J].電子制作，2012（11）：10.

[5]曹霞.基于面向服務(wù)的信息安全模型探究[J].電腦編程技巧與維護(hù)，2015（11）：99-100.