趙云

摘? ?要：文章分析了現(xiàn)有的信息系統(tǒng)等級(jí)保護(hù)測(cè)試評(píng)價(jià)方法，針對(duì)測(cè)試評(píng)價(jià)結(jié)果易受非技術(shù)因素的影響、存在指標(biāo)無法反應(yīng)系統(tǒng)真實(shí)情況等問題，提出了新的測(cè)試評(píng)價(jià)方法。運(yùn)用改進(jìn)層次分析法處理評(píng)估中存在的模糊值，簡(jiǎn)化評(píng)價(jià)過程。同時(shí)，文章以真實(shí)測(cè)評(píng)數(shù)據(jù)進(jìn)行實(shí)驗(yàn)，對(duì)比了改進(jìn)后的層次分析法在權(quán)重值的計(jì)算結(jié)果對(duì)等保測(cè)評(píng)結(jié)果分析的影響。

關(guān)鍵詞：等級(jí)保護(hù);測(cè)試評(píng)價(jià);層次分析法

中圖分類號(hào)：TP309.7? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： This paper analyses the existing test and evaluation methods of information system hierarchical protection， and proposes a new test and evaluation method to solve the problems that the test and evaluation results are vulnerable to non-technical factors and the indicators can not reflect the real situation of the system. The improved analytic hierarchy process （AHP） is used to deal with the fuzzy values in the evaluation and simplify the evaluation process. This paper compares the influence of the improved analytic hierarchy process on the analysis of the results of peer-to-peer guaranteed assessment with the real data.

Key words： hierarchical protection; test evaluation; analytic hierarchy process

1 引言

隨著我國(guó)改革開放進(jìn)程的進(jìn)一步深入，信息化建設(shè)步伐大幅度加快，各行業(yè)都逐步建立了服務(wù)于業(yè)務(wù)、用戶的信息化系統(tǒng)。一方面，享受著信息化帶給我們生活、工作的各種便利;另一方面，也不得不面對(duì)越來越多的信息安全事件的威脅。近些年來，信息安全已經(jīng)提升至國(guó)家安全的高度，意味著信息系統(tǒng)安全已經(jīng)不僅僅是涉及一個(gè)行業(yè)、一家單位，或者僅僅是系統(tǒng)的擁有者、用戶等某特定范圍內(nèi)的安全，更是關(guān)系到國(guó)計(jì)民生，影響國(guó)家安全穩(wěn)定、行業(yè)資源安全合理運(yùn)用、社會(huì)安定團(tuán)結(jié)的安全。我國(guó)開展信息安全等級(jí)保護(hù)工作已經(jīng)近十年，作為信息系統(tǒng)安全的一個(gè)重要評(píng)價(jià)體系，等級(jí)保護(hù)的各項(xiàng)要求和評(píng)估方法也在持續(xù)地改進(jìn)，如何評(píng)價(jià)一個(gè)信息系統(tǒng)就成了一項(xiàng)重要的研究課題。目前的評(píng)價(jià)體系，經(jīng)歷了一些改進(jìn)，但還是存在諸多問題。本文通過對(duì)信息系統(tǒng)評(píng)價(jià)方法的理論性研究，對(duì)現(xiàn)有的測(cè)試評(píng)估方法進(jìn)行了發(fā)展改進(jìn)，最終得到了一個(gè)較為合理的測(cè)試評(píng)價(jià)方法。

2 發(fā)展歷程

由于信息系統(tǒng)的多樣性和互聯(lián)網(wǎng)環(huán)境的復(fù)雜性，信息系統(tǒng)時(shí)刻受到互聯(lián)網(wǎng)上的各種攻擊威脅，為此在等級(jí)保護(hù)制度發(fā)展方面，我國(guó)于1994年頒布的國(guó)務(wù)院147號(hào)令，確定了在我國(guó)信息安全系統(tǒng)保障工作中實(shí)行等保制度。公安部作為信息安全等保工作的監(jiān)督、檢查、指導(dǎo)單位，推進(jìn)著整個(gè)等級(jí)保護(hù)工作。公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化領(lǐng)導(dǎo)小組于2007年聯(lián)合頒布了861號(hào)文件《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》和《信息安全等級(jí)保護(hù)管理辦法》[1]，奠定了信息系統(tǒng)安全基本制度。近幾年，在相關(guān)部委的支持下，公安部陸續(xù)出臺(tái)了一系列指導(dǎo)意見和規(guī)范等文件。隨著《網(wǎng)絡(luò)安全法》的實(shí)施，等級(jí)保護(hù)進(jìn)入了全新階段，等級(jí)保護(hù)制度從國(guó)家的基本制度和基本國(guó)策上升到國(guó)家法律，更多的行業(yè)、單位的系統(tǒng)開始納入等級(jí)保護(hù)監(jiān)管對(duì)象，等級(jí)保護(hù)制度進(jìn)入到深入推進(jìn)階段。根據(jù)等級(jí)劃分準(zhǔn)則和現(xiàn)有相關(guān)文件規(guī)定，對(duì)信息系統(tǒng)防護(hù)要求進(jìn)行分類，如圖1所示。

從圖1可以看出，“基本要求”是等級(jí)保護(hù)測(cè)評(píng)的主要依據(jù)，包括技術(shù)和管理兩個(gè)方面，每個(gè)方面分別包括五個(gè)層面，每個(gè)層面下又區(qū)分不同的安全控制點(diǎn)，控制點(diǎn)下還規(guī)定了具體要求項(xiàng)。

近些年來，等級(jí)保護(hù)評(píng)價(jià)方法也做了一些改進(jìn)，但是程度有限，僅僅將各測(cè)評(píng)項(xiàng)做了權(quán)重的區(qū)分。單項(xiàng)測(cè)評(píng)結(jié)果從原來的3種增加到6種，即測(cè)試結(jié)果采用計(jì)分制，分為0至5分，0分即是原來的不符合，5分即為原來的符合，將部分符合做了區(qū)分，可以判1至4分。但是，近年來新增的行業(yè)和領(lǐng)域?qū)е滦畔⑾到y(tǒng)多樣化，專業(yè)化測(cè)試評(píng)價(jià)方法越來越高，以往“一刀切”式的評(píng)價(jià)方式越來越無法滿足實(shí)際需要，無法區(qū)分每個(gè)測(cè)評(píng)點(diǎn)對(duì)信息系統(tǒng)的影響程度。

3 信息系統(tǒng)測(cè)試評(píng)價(jià)體系

當(dāng)前，信息安全等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)體系已經(jīng)趨于完善，并且正向著專業(yè)化細(xì)分發(fā)展。但是，測(cè)試評(píng)價(jià)方法還未跟上標(biāo)準(zhǔn)體系進(jìn)步的腳步。另外，由于沒有針對(duì)行業(yè)做區(qū)分，測(cè)試結(jié)果在行業(yè)間存在著較大的偏離值。例如，有的行業(yè)在管理要求上實(shí)施情況較好，有比較完整的管理制度和執(zhí)行記錄，但在實(shí)際的技術(shù)要求上，欠缺很多的措施，有的還存有較多的安全隱患，但在現(xiàn)有的評(píng)價(jià)體系上，這樣的系統(tǒng)最終評(píng)價(jià)分?jǐn)?shù)可能比較高，與真實(shí)的測(cè)評(píng)結(jié)果比較有明顯差別;再比如，在兩個(gè)行業(yè)之間，可能針對(duì)某些安全風(fēng)險(xiǎn)點(diǎn)本來的要求就因?yàn)闃I(yè)務(wù)應(yīng)用的實(shí)際需要不同，標(biāo)準(zhǔn)的要求目前也沒有明顯的行業(yè)區(qū)分，不僅僅需要從測(cè)評(píng)者的主觀判斷出發(fā)，更應(yīng)該考慮行業(yè)的具體要求和實(shí)際的業(yè)務(wù)需要，不能按要求機(jī)械的地判斷。此時(shí)，制定科學(xué)有效的測(cè)試評(píng)價(jià)體系就更為重要和有意義。