基于模糊层次分析法的信息网络安全评估体系研究.pdfVIP

基于模糊层次分析法的信息网络 安全评估体系研究 ● 国网衡阳供电公司 成 凯 摘 要：基于企业信息内外网络的相关特征，结合网络中的模糊性和不确定性因素，从实体安全、安全管理、数据 安全、软件安全等方面进行了分析，制定了信息网络安全综合评价指标体系，并用模糊层次分析法构建了评价 指标体系模型，通过对信息网络中各要素影响进行整体评估，有效地反映出信息网络的脆弱程度，为信息化管 理和运维部门研究、评价信息网络安全性提供理论依据。 关键词：网络安全；评价指标体系；模糊层次分析法 数据受到保护，不因偶然的或者恶意的因素而遭到破坏、 0 引言 更改、泄露，系统连续可靠正常地运行，网络服务不中断。 随着电力信息化的快速发展， 计算机网络和信息化 简而言之，网络安全包含物理安全和逻辑安全两个方面， 技术在电力行业得到了越来越广泛的应用。 企业信息化 物理安全指的是网络实体安全，即硬件、附属设备、网络 管理的不断推进，信息化设备的逐步增多和不断更新，使 传输通道、物理环境及设施的安全；逻辑安全是指对网络 得信息网络的基础性、全局性作用逐渐增强，信息网络技 信息的保密性、完整性和可用性的保护。 因此，对于电力 术在电力系统各个领域日益普及， 运用信息网络的业务 企业而言，网络安全涉及的内容既有技术方面的问题，也 需求持续提高，应用层次逐渐深入，应用领域由小型业务 有管理方面的问题，两方面相互补充，缺一不可。 技术方 系统逐渐向大型、关键业务系统扩展。 在满足服务要求的 面主要侧重于防范内外部非法用户的攻击， 管理方面则 同时，对信息网络的安全性要求也越来越高，存在的网络 侧重于内部人为因素的管理。 风险甚至直接影响着企业的管理经营和电网运行状况。 1.2 网络安全评估概念 目前企业内部对网络安全已形成防火墙 入侵检测 网络安全评估是通过对信息网络系统中的不确定性 + + 防病毒 访问控制列表的防护模式 。 在网络边界部署防 和可能性因素进行考察、预测、收集，结合网络系统的资 + [1] 火墙，网络核心部署入侵检测系统，整个内部网络部署防 产、面临威胁、存在的脆弱性、产生的影响和采用的安全 病毒系统， 内部子网或设备间配置访问控制列表的安全 措施等进行分析， 从技术和管理层面综合判断信息网络 防护体系。 这种防护模式虽然实现了由外到内的全方位 安全性程度的过程。 从风险管理的角度来看，运用科学的 防护，各类技术也相当成熟，但网络安全事件还是时有发 方法和手段系统地分析信息网络所面临的威胁及存在的 生，究其原因还是因为这是一种被动的防护手段，不能有 脆弱性，评估安全事件一旦发生可能造成的危害程度，为 效地预防或解决网络中存在的安全问题。 而此时，信息网 防范和化解安全风险或者将风险控制在可以接受的水 络安全风险评估可作为一种有效的补充手段， 定期对网 平， 提出并制定有针对性的抵御威胁的防护对策和整改 络安全进行评估，及时发现内部隐患并整改。 措施，从而最大可能的保障网络安全。 本文提出了信息网络安全评价指标体系， 利用模糊 1.3 网络安全评估 综合评价和层次分析法中的定量分析技术 ，研究越来 网络系统的安全评估到目