信息安全保障评价指标体系的分析.docxVIP

PAGE 1 PAGE 1 信息安全保障评价指标体系的分析  安全保障与信息系统本身一样是一个复杂的系统。为了能够很好反映信息安全保障系统的功效。需要用可量化的参数作为衡量指标。从中国信息安全保障的国家战略、管理策略、工程规范和技术措施方面动身，提出了以“安全基线政策”(SecurityBaselinePolicy)为核心的信息安全评价指标体系(Indicator)；研究了具有双重反馈的评价思想和流程。利用信息安全保障评价指标体系有助于建立信息系统安全保障的长效机制，增加信息系统的安全性。  　　1、前言  　　为了更好地保障我国的信息安全，中央办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发27号)。27号文明确了加强信息安全保障工作的总体要求和主要原则，对加强信息安全保障工作做出了全面部署，提出了5年内建成国家信息安全保障体系IA(InformationAssurance)的构想。目前，关系国家安全、经济命脉和社会稳定等方面的3大基础信息网络(电信网络、广电网络和互联蜘络)和8个重要信息系统行业(金融、电信、证券、保险、民航、铁路、税收和海关)的信息安全保障系统渐渐建成，并投入使用。  　　信息化是信息技术系统与社会系统相互作用、紧密耦合，且有大量人的行为参与其中的综合发展进程。然而安全因素和系统因素相互制约，使得信息安全具有很大的综合性、复杂性和不确定性。同时，信息安全保障会伴随信息化的发展而不断变化。为了保证国家基础网络设施和重要信息系统等关键部门所建设的信息安全保障体系的长效机制，迫切需要针对不同重要行业、业务系统研究建立科学的、可度量的，可操作的信息安令保障评价指标体系(Indicator)，对其信息安全保障的整体状态进行科学的、客观的评价与描述，从而确定所建设的信息安全保障体系的保障水平、保障实效和保障周期等问题。闪此。信息安全保障评价指标体系就是用一组科学的、可度量的指标作对信息安全保障系统的保障功能、保障效果和保障周期进行综合的考核和评价。  　　2、相关工作  　　现有的安全评估方式可以大致归结为4类：安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSECMM(SystemsSecurityEngineeringCapabilityMaturityModel)等。大部分通用的信息安全标准，如ISO17799，ISO13335等，其核心思想都是基于风险的安全理念。信息技术先进的国家，例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面已经领先开展了研究工作。特殊是美国，利用卡内基梅隆大学系统安全工程能力成熟度模型SSECMM较早地建立了信息安全保障评价指标体系。RayfordB.Vaughn和NabilSeddigh等人研究了信息安全保障评价的概念和范畴，给出了信息安全保障评价的框架。在国内，国家信息中心研究了网络信息系统的信息安全保障理论和评价指标体系；更多的研究针对网络安全的评价指标体系。在评估方面。魏忠提出了从定性到定量的系统性信息安全综合集成评估体系；肖道举等进行了网络安全评估模型的研究；黄丽民等提出了网络安全多级模糊综合评价方法；李宏伟等在采用模糊层次分析法Fuzzy-AHP评估网络攻击效果方面取得了一定的成果。有些研究已经应用到详细的行业中。最近，中国工业与信息产业部推出了“中国信息安全产品评测指标体系”。  　　目前，有关网络信息系统的安全评价虽然存在着多种多样的详细实践方式，但在世界上还没有形成系统化和形式化的评价理论和方法。评价模型基本是基于灰色理论(GrayTheory)或者模糊(Fuzzy)数学，而评价方法基本上用层次分析法AHP(AnalyticHierarchyProcess)或模糊层次分析法Fuzzy-AHP，将定性因素与定量参数结合，建立了安全评价体系，并运用隶属函数和隶属度确定待评对象的安全状况。  　　上述各种安全评估思想都是从信息系统安全的某一个方面动身，如技术、管理、过程、人员等，着重于评估网络系统安全某一方面的实践规范，在操作上主观随便性较强，其评估过程主要依靠测试者的技术水平和对网络系统的了解程度，缺乏统一的、系统化的安全评估框架，许多评估准则和指标没有与被评价对象的实际运行状况和信息安全保障的效果结合起来。在目前的评估方法中，基础指标(技术、管理、工程和战略)是相互独立的，技术、管理、工程和战略措施是并行的，评价指标之间相互独立，从而导致评价精度下降和评价精确性出现偏差。  　　本文从中国信息安全保障的国家战略、管理策略、工程规范和技术措施方面动身，提出以“安全基线政策”(SecurityBaselinePolicy)为核心的信息安全评价指标体系