1前言

    金融、電信、證券、保險、民航、鐵路、稅收和海關8個系統，以及電信網絡、廣電網絡和互聯網絡3個基礎網絡是我國信息安全保障的重中之重。目前，中國信息化水平與國際先進水平還有較大差距，信息安全保障尚存在很多問題亟待解決。我國信息安全保障的發展經歷了3個階段：第一階段為單機版的殺病毒和防病毒軟件；第二個階段為從單一的防火墻產品逐漸向信息安全系列產品發展；第三個階段為信息安全保障體系的建設。信息安全保障的內容和深度不斷得到擴展和加深．但依然存在著“頭痛醫頭，腳痛醫腳”的片面性，沒有從系統工程的角度來考慮和對待信息安全保障問題。

    信息安全保障問題的解決既不能只依靠純粹的技術，也不能靠簡單的安全產品的堆砌。它要依賴于復雜的系統工程——信息安全工程SSE(System Security Engineering)。信息安全工程是采用工程的概念、原理、技術和方法，來研究、開發、實施與維護信息系統安全的過程，是將經過時間考驗證明是正確的工程實施流程、管理技術和當前能夠得到的最好的技術方法相結合的過程。

    由于國家8個重點信息系統和3個重點基礎網絡本身均為復雜的大型信息系統，因此必須采用系統化方法對其信息安全保障的效果和長效性進行評估。

2相關工作

    目前，國際上系統的信息安全評價方法主要是美國國家安全局提出的系統安全工程能力成熟模型ssE-CMM(SystemSecurity Engineering-Capability Maturity Model)和《信息保障技術框架》LATF(Information Assurance TechnicalFramework)。

    系統安全工程能力成熟模型(SSE-CMM)的開發源于1993年5月美國國家安全局發起的研究工作。SSE-CMM確定了一個評價安全工程實施的綜合框架，提供了度量與改善安全工程學科應用情況的方法。也就是說，對合格的安全工程實施者的可信性，是建立在對一個工程組的安全實施與過程的成熟性評估之上的。SSE-CMM項目的目標是將安全工程發展為一整套有定義的、成熟的、可度量的學科。目前，SsE．CMM已經成為西方發達國家政府、軍隊和要害部門組織和實施安全工程的通用方法，是系統安全工程領域里成熟的方法體系，在理論研究和實際應用方面具有舉足輕重的作用。

    美國國家安全局LATF(《信息保障技術框架》)對信息安全工程進行了深入研究，以為保護美國政府和工業界的信息與信息技術設施提供技術指南。IATF從整體、過程的角度看待信息安全問題，其代表理論為“深度防護戰略(Defensein-Depth)。IATF強調人、技術、操作這3個核心原則，關注4個信息安全保障領域：保護網絡和基礎設施、保護邊界、保護計算環境、支撐基礎設施。最終將信息安全工程的重點放在了發掘信息保護的需求上，即“保護需求的導出PNE”，詳細說明了信息安全系統工程ISSE(Information Security Systern Engineering)中第一個、也是最重要的一個活動。

    在國內學術研究方面，北京郵電大學信息安全中心的楊義先教授及其課題組在采用模糊層次分析法Fuzzy-AHP進行網絡攻擊效果評估方面取得了一定的成果；清華大學的段海新教授提出了一種實體安全體系結構；國防科技大學的黃遵國研究員在網絡可生存技術及其實現框架方面取得了成果；國家信息中心的呂欣研究了網絡信息系統的信息安全保障；在信息安全評價框架、模型和算法研究方面，北京大學計算機科學技術研究所信息安全實驗室的徐輝等研究了基于動態貝葉斯規劃圖的狀態安全報警關聯；海軍工程大學的吳曉平教授等提出了基于貝葉斯網絡的信息安全風險評估方法；成都三零盛安信息技術有限公司的魏忠研究了從定性到定量的系統性信息安全綜合集成評估體系；山東大學的黃麗民和王華教授提出了網絡安全多級模糊綜合評價方法；華中科技大學的肖道舉和楊素娟教授進行了網絡安全評估模型研究；還有很多其他研究人員在人為因素和管理等方面都做了大量的工作，提出了許多很好的安全評估方法。

    目前，有關信息系統的安全評價雖然存在著多種多樣的具體實踐方式，但在世界上還沒有形成系統化和形式化的評價理論和方法。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數學，而評價方法基本上用層次分析法AHP(Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP將定性因素與定量參數結合，建立了安全評價體系，并運用隸屬函數和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統安全的某一個方面出發，如技術、管理、過程、人員等。著重于評估網絡系統安全某一方面的實踐規范。在操作上主觀隨意性較強，其評估過程主要依靠測試者的技術水平和對網絡系統的了解程度，缺乏統一的、系統化的安全評估框架，很多評估準則和指標沒有與被評價對象的實際運行情況和信息安全保障的效果結合起來。

3系統化信息安全評估模型

    系統化信息安全評估是為確保實施長效機制的信息安全保障工程，對信息安全保障建設過程進行監督和指導。其內容包括：(1)涉及分布于整個信息安全保障工程生命周期中各個環節的工程活動，包括概念定義、需求分析、設計、開發、集成、安裝、運行、維護及更新；(2)為信息安全產品開發者、安全系統開發者和集成者提供信息安全保障指導，以及提供信息安全服務和信息安全工程的組織；(3)適用于各種類型和規模的信息安全保障工程組織，例如行業、商業、政府和研究機構。

    3．1信息安全保障框架模型

    信息保障系統在結構上具有分布式、層次化的特點，在功能上具有動態、多樣化的特點。現代信息保障體系包含戰略、管理、技術和工程體系3大要素；擁有預警、保護、檢測、反應、恢復和反擊6大能力。信息保障評價過程跨越了信息和信息系統的規劃、設計、實施、運維和廢棄5個基本階段。因此，評價一個信息保障系統保障能力的大小，需要從不同的維度進行度量，既要考慮現有的安全措施是否滿足抵御威脅的要求，又要考慮實際的運行效果是否滿足設計要求。

    圖1信息保障框架模型

    依據上述對保障模型的分析，可以看出保障措施和保障效果的好壞存在因果關系，即保障措施是因，保障效果是果。保障措施越不力，保障效果就越差，發生安全事件的可能性就越大，反之也成立。但是安全事件的發生除了與保障措施設置不當有關以外，在很大程度上受到偶然性的影響。因而，評價保障措施指標從而預測保障效果和實際運行效果之間存在一定程度的相關關系，它們從不同側面、不同階段反映了系統整體的安全保障水平，二者互為補充。這兩種指標結合，既考查了系統在一定時期內實際安全保障成績，又考查了系統要素及其組合中因措施不力而造成的安全隱患，避免了評價過程的片面性，能夠比較全面而客觀地反映信息保障的整體安全態勢。

    3．2基于狀態觀測器的信息安全綜合評價模型

    本文根據現代控制理論和狀態控制理論，在信息安全保障框架模型(見圖1)的基礎上，建立了一個基于狀態觀測器的信息保障綜合評價模型，如圖2所示。

    該模型具有2個反饋環路。通過狀態變量的計算。安全屬性值按照一定的反饋控制律反饋輸入端，也就是調整安全保障措施，使信息保障的保障能力動態調整，不斷地適應安全需求。具體到模型中，反饋控制的變量為保障措施，例如入侵檢測、傳輸加密和防火墻等。保障措施設置不當，體現在某個保障措施的某個具體參數不適當，例如加密算法的密鑰長度、防火墻的過濾規則等。假如在整體保障能力中有某項安全屬性要求的情況下，依據子系統權重遞減的順序。先分析重要性最高的子系統。如果該子系統能滿足屬性需求，則考慮次重要子系統。否則，分析該子系統中的基礎指標集合，同樣依據基礎指標的權重，從最重要的基礎指標的安全措施調整，調整力度為提高一個序化等級，然后再次進行整體屬性計算，直到能夠滿足所有的安全屬性保障需求為止。

    圖2所示的信息保障評價模型，主要包含保障措施集合、保障效果集合、狀態觀測器、狀態反饋控制律、實際效果反饋等組成要素。

    圖2 基于狀態觀測器的信息保障綜合評價模型

    在控制理論中，狀態觀測又叫狀態重構，其實質就是對物理上無法直接觀測的狀態變量進行估計的過程。在本文所設計的基于狀態觀測器的信息保障評價模型中，狀態變量選取的是信息安全屬性指標，顯然這些指標不具備物理可觀測性。因此必須構造適當的狀態觀測器，對信息安全屬性進行測算。

    在信息保障評價模型中，狀態觀測的過程就是通過對目標保障系統建立適當的指標體系，采集指標，然后進行信息安全屬性量化計算的過程。目前，對信息安全屬性的定義往往是敘述性的描述。若要對其進行量化計算，就需要首先解決兩個問題：一個是信息安全屬性的量化定義；一個是信息安全屬性的量化算法。在現代控制論中，狀態變量能夠完全反映系統的運動狀態。在信息保障評價模型中，狀態變量——信息安全屬性的計算結果，全面反映著信息保障體系的保障能力，是進行信息保障評價的最終目標之一。因此，狀態變量的計算或者說狀態觀測器的設計就顯得尤為重要。

    如系統控制理論所說，狀態反饋是將系統的每一個狀態變量乘以相應的反饋系數，然后反饋到輸入端，參考輸入相加，形成控制律，作為受控系統的控制輸入。因此，反饋控制律的設計是反饋控制的核心。在本文設計的評價模型中，狀態反饋發生在信息安全按屬性計算之后，通過比較每一個信息安全屬性的計算結果和安全需求的差值來判斷反饋過程。如果發現某一個安全屬性的計算結果大于安全需求區間，則判定為該屬性過度保障，需要降低保障措施的保障級別。反之，如果小于安全需求區間，則判定為該屬性保障不足，需要提高保障措施的保障級別。

    信息安全是一個全面的概念，包含信息系統安全、信息安全和運行安全3大層次的內容。信息保障措施依據其保障對象也可以分為信息系統保障措施、信息安全保障措施和運行安全保障措施3大類。

    (1)信息系統保障措施保障的是信息系統的抗毀性、生存性和有效性，屬于物理安全。面臨的主要威脅是人為的或自然的物理破壞，例如地震、火災、施工破壞、設備自然老化等。保障的目的是信息系統抵御物理破壞的能力或者物理破壞發生后的生存能力。主要的保障措施有重要設備訪問控制、機房建筑防火抗震、通信線路合理布置和可靠供電系統等。

    (2)信息安全保障措施保障的是信息自身的機密性、完整性、真實性、可鑒別性和不可抵賴性。面臨的主要威脅是信息竊取、篡改、仿冒和抵賴等。威脅的表現形式有黑客攻擊、病毒、蠕蟲和詐騙等。技術保障措施有身份認證、防病毒體系、訪問控制、加密技術、安全協議和安全操作系統等。

    (3)運行保障措施保障的是系統運行的可控性、可用性、可確認性，保證系統在滿足服務需求的水平上穩定運行。主要面臨的威脅有非法控制系統、拒絕服務攻擊等。主要的技術保障措施有防火墻、入侵檢測系統、安全審計技術等。

    隨著信息保障技術的不斷發展，有一些保障技術設備擁有了多種保障能力。例如。有些防火墻設備集中了包過濾、防病毒、入侵檢測和加密傳輸等多種功能。因此，難以從物理形態上對這些保障措施進行區分。所以，本文提出的信息保障評價模型輸入量的保障措施為邏輯上的概念，是一定的保障功能和技術參數的集合，并非指的是物理設備。例如，定義防火墻就是一種執行網絡過濾功能的保障措施，其技術參數有并發連接數、網絡數據包處理速度、最大規則數、時延和包過濾算法等。

    為了實現對保障措施自適應的反饋調整，需要對保障措施的保障能力進行度量。度量參考的指標就是每個保障措施自身的技術參數。度量方法可以采用序化度量的方式。

    序化度量的思想就是采用一系列值，這些值表明由大到小或由小到大的順序，并不是反映實際的大小或者實際的大小沒有意義。例如，加密技術中按照密鑰長度進行序化度量，可以分為128位、256位、1024位等幾個級別。這樣，當保障措施需要調整時，可以按照需要按升序或降序調整保障措施的具體參數。

    就國家而言，保障的核心信息系統的重要性是有層次性和差異性的；就企事業單位而言，支撐其業務正常流轉的各類信息、信息系統重要性也有差異。因此，構建信息安全保障體系需要針對信息和信息系統面臨的威脅、信息的重要性、信息系統的重要性和系統遭到攻擊破壞后造成的危害程度等。依據國家制定的等級保護標準設定其保護等級，細化安全需求。只有通過科學分析，合理確定安全需求，才能真正實現科學合理的適度保障，既能避免保障不足造成的損失，又不會由于過度保障引起不必要的浪費。安全需求的量化描述就是依據信息安全屬性的量化定義，各組織機構依據實際需求，給出所有信息安全屬性的量化的需求底線。假設以概率方法定義信息安全屬性，以機密性為例是：信息在操作過程中不會被捕獲或捕獲不被解密的概率，此時某組織對信息保障機密性的要求為95％，其含義就是信息保障系統要保障重要信息不被捕獲或者捕獲之后不被破解的概率不能低于95％。

    在圖2所示的評價模型中，實際保障效果作為評價模型的輸出量而存在，說明了保障措施和實際保障效果之間存在正相關性。簡單來說，就是保障措施設置越到位，在一定時期內安全事件發生的次數就越少，安全事件造成的損失也越小。反之，如果實際保障效果不能滿足組織對信息保障的要求，也就說明保障措施的設置存在缺陷，需要有針對性地調整。通過狀態觀測器測量的屬性結果是一種帶有預計性的保障能力評價，與實際的保障效果可能有偏差。因此，需要依據一定時期內統計的實際保障效果，有針對性地調整保障措施。實際效果反饋的是一種“亡羊補牢”的思想，信息保障體系在實際運行一定時期后，由于安全形勢發生了改變，或者出現新的安全威脅等原因，需要對保障體系進行重新規劃和設計。

4系統化評估方法

    系統化的評估方法就是從戰略、管理、工程和技術4個方面對信息系統的信息安全進行全面的評估。信息安全評價包括3個過程：靜態評估、動態檢測和狀態監控。本文提出的信息系統信息安全評價方法如圖3所示。

    圖3 信息系統信息安全評價方案

    為了解決模糊問題，基于灰色理論中關聯空間和光滑離散函數等概念，定義灰導數和灰微分方程，用離散數據列建立微分方程型的動態模型，即灰色模型GM(Grey Model)。它是本征系統的基本模型，而且模型非唯一。利用多級關聯度分析法GRA即可解決信息系統中多層次之間、同層次中各個因素之間的模糊關聯問題。

    運用圖3所示的評價方法進行信息保障評價的具體流程如圖5所示。

    圖5信息保障評價模型工作流程

    信息保障評價模型工作流程需要經過系統劃分、保障需求分析、保障措施識別、指標體系建立、基礎指標采集整理、信息安全屬性運算和狀態反饋等幾個主要環節。其中，系統劃分、保障需求分析、保障措施識別是評價準備階段，為信息安全屬性的計算提供基礎數據。

    結束語系統化信息安全評價的思想是為確定一個評價信息安全工程實施的綜合框架，提供評價度量與改善信息安全工程學科應用情況的方法。系統化評價模型及其評價方法可達到的目的:(1)確定信息安全保障工程的保障能力和目標，(2)完成信息安全保障工程的設計和建設;(2)決定信息安全保障工程的投資決策;(3)建立信息安全保障工程的長效機制。系統化信息安全評價的方法適用于所有形式的信息安全保障工程，涵蓋信息安全保障工程的3個方面:安全狀態改善、防護能力評估和保障效果評價。

    建立健全的信息系統的信息安全保障評估方法體系，是實施中國信息安全戰略的重要保證。借助信息安全保障評價體系對我國的重點信息系統和核心業務系統進行統一分析和縱橫比較，將有助于對我國信息安全防御態勢做出量化的結論，為國家提供決策支持，對我國重點信息安全建設的規劃、信息安全建設的投人，乃至信息安全管理政策的制定、信息安全技術的研究與發展都具有重要意義。因此，建立健全的國家信息安全保障評價體系是一項帶有戰略意義的任務。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.guhuozai8.cn/

本文標題：系統化的信息安全評估方法

本文網址：http://m.guhuozai8.cn/html/consultation/1083952083.html