电子信息安全性评估分析.docVIP

电子信息安全性评估分析 ; 1指标体系建立的原则; 电子信息系统是一个较为特殊的系统,其关系相当复杂,对其进行安全性评估需要建立一整套综合评估指标体系,体系中各个评价指标相互联系、相互依存。一般而言,指标体系的建立需要遵循以下原则:(1)科学性和系统性。评价指标的选择应综合考虑评估目标的各种因素,在对电子信息系统科学研究的基础上建立起来的科学指标。建立一个综合性指标体系,只有定性分析和定量分析相结合才能使建立的指标体系结构合理、层次清晰、协调一致。(2)层次性和独立性。电子信息系统安全评价指标体系可反映该系统各个方面的综合安全信息,每个指标属性不同,各因素之间的相互关系呈现出一定的层次关系。而每个指标又是相互独立的,都可独立地评估系统的安全性。(3)简易性和实用性。电子信息系统安全评价指标体系层次结构确定后,每层次中的指标数目不会太多。同时,各个指标的选取是根据电子信息系统的实际情况选取出的,不可照搬其它系统的现成指标体系。; 2电子信息系统安全性评估指标体系; 2.1指标体系的一般模型; 指标体系是通过对影响评估结果的各个因素进行综合分析而建立起来的可以反映系统各个方面安全性信息的体系。因此,指标体系通常是递阶层次结构,包括:目标层,准则层,指标层。其中,目标层是最高层,表示安全评估的整体目标。中间层是准则层,表示安全评估评估的各个准则。底层是指标层,是指安全评估的具体指标,表示影响目标实现的各种因素。需指出说明的是,有些指标只设一层无法准确的表征需要更多地指标将其细化,对这样的指标,可将其分解,成为二级评估指标,作为递阶层次的第四层,以此类推。; 2.2指标体系的建立; 德尔菲法(Delphi)是一种规定程序专家调查法,由美国兰德公司于20世纪50年代提出。其基本程序为:确定目标;选择专家;设计评估意见征询表;专家间信息反馈。具体做法是:在对所要预测的问题征得专家的意见之后,进行整理、归纳、统计,再匿名反馈给各专家,再次征求意见,再集中,再反馈,直至得到收敛、基本一致的结果。采用此方法可以轻松解决电子信息系统的安全性评估涉及范围广,不确定因素多等问题。本文采用德尔菲法建立指标体系,利用德尔菲法建立电子信息系统安全性评估指标体系的步骤如下:第一步,设计调查表,收集专家认为影响电子信息系统安全性的因素,调查表中不应掺杂问卷调研者的个人意见。第二步,回收调查表,并制定第二轮调查表。汇总整理出专家对影响电子信息系统安全性的因素,并总结出分析指标。通过第一轮调查可知影响电子信息系统安全性的因素主要集中在信息安全、软件安全、硬件安全、管理安全和环境安全五个方面。根据上述标设计出第二轮专家调查表,收集专家认为影响通信安全保密系统安全性的其它因素。第三步,回收第二轮调查表,并制定第三轮调查表。从第二轮调查表中汇总整理出专家所列的安全性指标可见,安全因素得到进一步细化,如信息安全包含五方面内容:身份鉴别、访问控制、信息加密、抗抵赖性和信息完整性五个方面;软件安全包含数据库安全、操作系统安全、应用软件安全、灾难恢复技术、木马病毒防范、漏洞补丁修复和系统日志七个方面;环境安全包括:设备安全、物理保障和安全供电三个方面。信息安全保密包含专家所列的安全性指标明显增多,并依据汇总结果制定第三轮调查表,收集专家对于已有指标的意见。第四步,回收第三轮调查表,汇总得出电子信息系统安全性评估指标体系。经过上述过程可得出如下电子信息系统安全性评估指标体系,如图1所示。; 2.3运行安全指标分析; 运行安全是电子信息系统各项业务能够顺利开展的必要条件,可为系统运行提供一个安全稳定的环境。运行安全主要有以下几个指标:(1)备份与恢复电子信息系统必须具有能够持续不断地提供各种业务的能力。备份和恢复是一个电子信息系统所必需的,因为对系统和数据进行备份,可以使电子信息系统具有灾难恢复能力,保证电子信息系统能够在受到病毒破坏、黑客攻击、硬件故障、认为操作失误等情况下快速恢复正常运转。(2)病毒防治计算机病毒对电子信息系统的破坏是毁灭性的,不仅可以破坏系统数据,引起计算机故障,而且还会盗取电子信息系统的信息,从而影响通信安全保密系统的安全运行。对病毒的防治要将查找病毒和清除病毒结合起来,从而实现全面防毒、查毒、杀毒。(3)操作系统安全操作系统安全是计算机系统安全的关键。操作系统为应用程序提供执行环境,支撑着通信安全保密系统的信息存储、处理和通信,其安全性对系统影响重大。操作系统安全等级低、配置不正确、更新管理不及时等因素可能导致通信安全保密系统的严重事故。(4)应用系统安全应用系统安全是指电子信息系统各项业务顺利进行的前提。如果应用系统的稳定性、可用性等遭到破坏,可能造成系统中断等事故。(5)数据库安全数据库安全是电子信息系统能够正常运行的关键因素。数据库安全就是要