信息安全等级保护模糊综合评价模型研究-信息网络安全.PDF

2012年增刊 优 秀 论 文 信息安全等级保护 模糊综合评价模型研究 张益   （信息产业信息安全测评中心，北京  100083） 摘　要：当前信息安全等级保护能力评价采用了定性评价方法，缺少定量评价。文章应用模糊数学理论， 把模糊综合评价方法应用到信息安全等级保护能力评价中，建立了基于标准的信息安全等级保护能力评价 指标体系，给出了基于信息安全等级保护的模糊综合评价模型及其评价方法。通过实例应用，表明了该评 价模型的合理性，评价方法可操作性强，效果较好，为信息安全等级保护能力评价提供了具有指导意义的 技术和方法。 关键词：信息安全等级保护；评价指标体系；模糊综合评价 中图分类号：TP393.08  文献标识码：A  0 引言 信息安全等级保护是国家的一项基本制度，并已逐渐成为各企事业单位的一项重要日常工作。信息安全等级保护能力评价是 信息安全等级保护工作的重要环节，信息安全等级保护能力评价技术迅速发展，在一定程度上推动了整个信息安全等级保护工 作的顺利开展 [1] 。 在信息安全等级保护的五个工作环节中，信息安全等级保护能力评价主要体现在等级测评，按照《信息安全等级保护管理办法》 中的规定，信息系统主管部门、信息系统运营和使用单位应按要求选择安全等级测评机构，由测评机构制定安全等级保护测评 方案，并按照相关测评标准对信息系统进行测评，最终出具规范和完整的测评报告。等级测评属于标准符合性测试，按照标准 的基本要求，判断信息系统的安全保护能力与国家要求之间的符合程度，寻找安全保护水平与国家要求之间的差距，并作为安 全需求，用于指导信息系统的安全建设或系统改造 [2] 。 当前，等级测评仍采用定性的测评方法，通过对安全问题的风险级别分析，以判断信息系统安全等级保护能力是否符合要求， 测评结论分为“不符合”、“基本符合”和“符合”，缺少定量分析。本文将首次提出采用模糊数学理论中的模糊综合评价方法来 定量评价信息系统安全等级保护能力，为信息安全等级保护定量评价的可行性研究提供一种新的研究思路和方法 [3-5] 。 1 模糊综合评价模型及评价方法 模糊综合评价是以模糊数学为基础，应用模糊关系合成的原理，将一些边界不清，不易定量的因素定量化，进行综合评价 的一种方法。模糊综合评价是通过构造等级模糊子集把反映被评事物的模糊指标进行量化，然后利用模糊变换原理对各指标综 合评价。其评价过程为 ：将评价目标看成是由多种因素组成的模糊集合，再设定这些因素所能选取的评审等级，组成评语的模 糊集合，分别求出各单一因素对各个评审等级的归属程度，然后根据各个因素在评价目标中的权重分配，通过计算求出评价的定 量解值。 模糊综合评价分为单级和多级，对于信息等级安全保护能力这样一个复杂的评价对象，本文采用多级模糊综合评价模型以 对其进行评价。 1.1 信息安全等级保护模糊综合评价指标体系 在进行信息系统安全等级保护能力评价过程中，首先，要通过有关的数据和信息对信息系统的层次、结构、边界以及内部 关系等有一个全面的理解和深刻的认识，以确定相关的评价指标。本文将依据《GB/T 22239-2008 信息安全技术 信息系统安全 等级保护基本要求》中的第三级要求确定信息系统安全等级保护的评价指标体系，如图 1 所示。 作者简介 ： 张益（1983-），男，湖南，测评一部部长，工程师，硕士，主要研究方向：信息安全、等级测评。 23 优 秀 论 文 2012年增刊 …………………………………（7） u i S