信息安全保障度量研究.doc

信息安全保障度量研究 摘　要 科学技术的迅猛发展和信息技术的广泛应用，国家和社会对信息化的依赖度越来越大，信息安全已经成为国家安全的重要组成部分。如何度量信息系统的安全保障水平也受到了越来越多的关注。信息保障度量作为一个研究领域就提供这样的功能。本文的主要研究目的就是基于信息安全度量分类，建立一个信息安全保障综合评价指标体系。论文首先从信息安全的概念入手，依据国内目前的现实情况，提示出了以技术、管理、战略、为三要素的信息保障度量分类模型。在此基础上，构建了多目标的信息安全保障综合评价指标体系，即从技术、管理、战略入手，考查信息、信息系统的静态安全保障措施、动态安全保障能力和安全保障效果。 关键词：信息安全，信息保障度量，评价指标体系 目　录 第一章　前言 1 1.1 课题研究背景 1 1.2 国内外研究现状 1 第二章　信息安全保障体系概述 4 2.1 信息安全与信息保障概念 4 2.2 信息安全保障的地位和原则 5 2.2.1信息安全保障的地位 5 2.2.2信息安全保障的基本原则 5 第三章　信息安全保障体系的基础设施 7 3.1 密码基础设施 7 3.1.1 密码基础设施的地位与作用 7 3.1.2 密码安全保护 7 3.1.3 密码基础设施建设 8 3.2 PKI/PMI基础设施 9 第四章　信息安全保障评价指标体系 10 4.1 信息安全保障评价指标体系的概念 10 4.1.1 基本概念 10 4.1.2 指标体系的研究对象和范围 10 4.2 指标体系的设计 11 4.2.1 设计指标体系的基本原则 11 4.2.2 指标体系的设计 12 4.3 指标的度量 13 4.3.1 指标的量化和序化 13 4.3.2 指标的无量纲化 13 4.3.3 指标权重的确定 14 第五章 总结与展望 15 参考文献 16 第一章　前言 1.1 课题研究背景 目前我国在用电脑总数已经超过3000万台，互联网用户达到9400万，信息系统正在成为中国社会正常运转不可缺少的重要组成部分。与此同时，信息安全的重要性越来越突出，信息安全漏洞带来的隐患和威胁越来越大 美国政府于1998年5月22日颁发了《保护美国关键基础设施》总统令（PDD63），并且围绕信息保障成立了多个组织，其中包括全国信息保障委员会，全国信息保障同盟，关键基础设施保障办公室，首席信息官委员会，联邦计算机事件相应能动组等全国性机构。在国家层次上，由商务部和国防部分工负责全国所有的信息安全工作：商务部的NIST主要负责非保密信息的安全工作，而国防部的国家安全局NSA则主要负责保密信息的安全工作。美国总统正式任命国家安全局局长为国家安全系统的计算机安全国家主管。 1998年美国国家安全局(NSA)制定了炙信息保障技术框架》(IATF)，提出了“深度防御策略”确定了包括“网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施”的深度防御目标。美国总统布什于2000年1月、2002年7月又分别签署了《保卫美军计算机空间一信息系统保护国家计划》和《本土安全国家战略》两个法令，明确提出要重点建设密钥管理基础设施(KMI)、公钥基础设施(PKI)以及检测与响应等支撑性基础设施。2000年9月《信息保障技术框架》更新为IATF 3.0版。新版本特别考虑了美国国防部的安全要求，己成为美国国防部、联邦政府和其他部门、工业界和商界组织与机构的重要参考指南。2002年9月，IATF3.1版发布(与IATF3.0相比，仅仅在信息系统安全工程一章有新的描述)，新的IATF4.0版正在完成之中。 俄罗斯1995年颁布了《联邦信息、信息化和信息保护法》，为提供高效益、高质量的信息保障创造条件，明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。1997年，俄罗斯出台的《俄罗斯国家安全构想》明确提出:“保障国家安全应把保障经济安全放在第一位”，而“信息安全又是经济安全的重中之重” 2000年，普京总统批准了《国家信息安全学说》，明确了联邦信息安全建设的目的、任务 、原则和主要内容，第一次明确指出了俄罗斯在信息领域的利益、受到的威胁以及为确保，信息安全首先要采取的措施等。日本已经制定了国家信息通信技术发展战略，强调“信息安全保障是日本综合安全保障体系的核心”，出台了《21世纪信Pi引言构想》和《信息通信产业技术战略》。 我党历来十分重视信息的安全保护。江泽民同志指出:“在大力推进我国国民经济和 社会信息化的进程中，必须高度重视信息网络的安全问题”。胡锦涛同志明确指示: “要采取有力措施，健全法制，加强管理，切实保障国家计算机信息系统的安全”。党的 十六大提出了“信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带 动工业化，以工业化促进信息化，走出一条科技含量高、经济效益好、