三級(jí)系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指標(biāo)體系研究

姚洪磊，楊 文

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

三級(jí)系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指標(biāo)體系研究

姚洪磊，楊 文

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中對(duì)三級(jí)系統(tǒng)的要求，本文建立了三級(jí)系統(tǒng)信息安全等級(jí)保護(hù)評(píng)價(jià)指標(biāo)體系結(jié)構(gòu)，并對(duì)三級(jí)信息系統(tǒng)各項(xiàng)測(cè)評(píng)指標(biāo)進(jìn)行了分解，使測(cè)評(píng)人員可以更有針對(duì)性地對(duì)信息系統(tǒng)標(biāo)準(zhǔn)符合性進(jìn)行評(píng)價(jià)，依據(jù)分解后的指標(biāo)體系，采用層次分析法和主觀評(píng)價(jià)法確定了信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)指標(biāo)體系中各項(xiàng)指標(biāo)所占的權(quán)重，得出更加精確的綜合測(cè)評(píng)結(jié)果，為各行業(yè)的信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作的開展提供參考。

信息安全；等級(jí)保護(hù)；測(cè)評(píng)指標(biāo)

伴隨我國(guó)信息化程度的提高，信息安全等級(jí)保護(hù)測(cè)評(píng)逐漸成為各行業(yè)信息系統(tǒng)安全管理和安全技術(shù)的重要保障手段，通過測(cè)評(píng)結(jié)果可以體現(xiàn)出各類信息系統(tǒng)的安全程度。目前測(cè)評(píng)結(jié)果主要依據(jù)國(guó)家標(biāo)準(zhǔn)并通過人工經(jīng)驗(yàn)分析得到，但由于標(biāo)準(zhǔn)的條款和指標(biāo)較為宏觀，無(wú)法對(duì)每一項(xiàng)指標(biāo)進(jìn)行細(xì)化和量化，導(dǎo)致測(cè)評(píng)過程中的人為主觀判斷影響較大，需要制定一個(gè)規(guī)范、客觀的標(biāo)準(zhǔn)進(jìn)行衡量，因此對(duì)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的結(jié)果進(jìn)行全面的量化是有必要的。

層次分析法是T.L.Saaty在20世紀(jì)70年代首次提出的[1~3]，它是將復(fù)雜問題分解成各個(gè)不同因素，按一定的支配關(guān)系形成遞階層次的結(jié)構(gòu)，通過比較的方式，采用相對(duì)尺度的辦法，減少性質(zhì)不同的因素在比對(duì)過程中存在的問題和困難，綜合人為判斷，得出決策因素的重要性排序。

本文根據(jù)信息系統(tǒng)等級(jí)保護(hù)的實(shí)際測(cè)評(píng)經(jīng)驗(yàn)，開展了如下研究工作：（1）將《信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)基本要求》[4]中的測(cè)評(píng)指標(biāo)按照技術(shù)類別進(jìn)行重新分類，建立三級(jí)信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)指標(biāo)體系，便于測(cè)評(píng)人員在實(shí)際測(cè)評(píng)過程中對(duì)各層面間的互補(bǔ)因素進(jìn)行統(tǒng)籌和綜合考慮，大大減輕了各層面間互補(bǔ)分析環(huán)節(jié)的工作量；（2）在建立的體系基礎(chǔ)上，對(duì)各項(xiàng)指標(biāo)進(jìn)行細(xì)化和分解，盡可能對(duì)各項(xiàng)指標(biāo)要求進(jìn)行量化，減少人為判斷的主觀影響；（3）采用層次分析法，確定三級(jí)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)指標(biāo)中各項(xiàng)指標(biāo)的權(quán)重，具有實(shí)用性，為繼續(xù)開展等級(jí)保護(hù)測(cè)評(píng)研究打下了基礎(chǔ)。

1 測(cè)評(píng)指標(biāo)體系結(jié)構(gòu)

依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，將三級(jí)系統(tǒng)中的技術(shù)安全指標(biāo)按照技術(shù)類別進(jìn)行了重新劃分，形成了三級(jí)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)指標(biāo)體系，如圖1所示。

圖1 三級(jí)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)指標(biāo)體系

2 測(cè)評(píng)指標(biāo)及要求

本文將測(cè)評(píng)指標(biāo)中的安全技術(shù)劃分為9類，以身份鑒別技術(shù)為例，對(duì)身份鑒別技術(shù)進(jìn)行指標(biāo)分解，如表1所示。

表1 身份鑒別技術(shù)指標(biāo)及要求

3 測(cè)評(píng)指標(biāo)計(jì)算

3.1 測(cè)評(píng)指標(biāo)的權(quán)重

測(cè)評(píng)指標(biāo)的權(quán)重反映了對(duì)應(yīng)的指標(biāo)在信息系統(tǒng)測(cè)試要求中所占的比重大小，本文以某個(gè)三級(jí)信息系統(tǒng)測(cè)評(píng)結(jié)果為例，說(shuō)明如何采用層次分析法來(lái)量化信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)指標(biāo)和權(quán)重，如表2所示。

表2 層次分析法對(duì)三級(jí)信息系統(tǒng)測(cè)評(píng)指標(biāo)評(píng)分

3.2 測(cè)評(píng)指標(biāo)的計(jì)算

3.2.1 判斷測(cè)評(píng)點(diǎn)指標(biāo)得分

依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，被測(cè)信息系統(tǒng)各項(xiàng)指標(biāo)的符合程度可以劃分為“符合”、“基本符合”、“一般符合”、“基本不中符合”、“不符合”5種類型，根據(jù)實(shí)踐經(jīng)驗(yàn)，5個(gè)符合程度的判別依據(jù)及其賦值如表3所示。

表3 測(cè)評(píng)點(diǎn)標(biāo)準(zhǔn)符合程度判別依據(jù)及賦值

3.2.2 綜合測(cè)評(píng)指標(biāo)計(jì)算

綜合測(cè)評(píng)指標(biāo)[5]是用于反映當(dāng)前信息系統(tǒng)的安全程度，是評(píng)價(jià)和描述信息系統(tǒng)安全標(biāo)準(zhǔn)符合性的綜合性指標(biāo)，計(jì)算公式為：

式（1）中，P為綜合測(cè)評(píng)指標(biāo)，Qi為第i項(xiàng)測(cè)評(píng)點(diǎn)的權(quán)重，F(xiàn)i為第i項(xiàng)測(cè)評(píng)點(diǎn)指標(biāo)評(píng)分值，n為測(cè)評(píng)點(diǎn)指標(biāo)的項(xiàng)目總數(shù)。綜合測(cè)評(píng)指標(biāo)與測(cè)評(píng)體系標(biāo)準(zhǔn)符合程度和對(duì)應(yīng)關(guān)系如表4所示。

表4 綜合測(cè)評(píng)指標(biāo)與測(cè)評(píng)體系標(biāo)準(zhǔn)符合程度和對(duì)應(yīng)關(guān)系

以某個(gè)第3級(jí)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)結(jié)果為例，根據(jù)表2得到 Fi、Qi的值，應(yīng)用公式（1）可得P值：

對(duì)照表4，P的值在80≤P< 90 間，三級(jí)信息系統(tǒng)符合《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的要求。

4 結(jié)束語(yǔ)

本文首先建立了三級(jí)信息系統(tǒng)的測(cè)評(píng)指標(biāo)體系結(jié)構(gòu)，在此基礎(chǔ)上對(duì)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的3級(jí)系統(tǒng)各項(xiàng)測(cè)評(píng)指標(biāo)進(jìn)行了分解，使測(cè)評(píng)人員可以更有針對(duì)性地對(duì)信息系統(tǒng)標(biāo)準(zhǔn)符合性進(jìn)行評(píng)價(jià)；依據(jù)分解后的指標(biāo)體系，采用層次分析法和主觀評(píng)價(jià)法確定了信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)指標(biāo)體系中各項(xiàng)指標(biāo)的權(quán)重，得出了更加精確的綜合評(píng)價(jià)結(jié)果，該方法可以對(duì)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作的建設(shè)和應(yīng)用提供參考和依據(jù)。

[1] 楊學(xué)津，魏愛榮，魯瑞云.用于因素分析的綜合集成層次分析法[J]. 技術(shù)經(jīng)濟(jì)與管理研究，2000（5）：46-47.

[2] 胡海軍，程光旭，禹盛林，等. 一種基于層次分析法的危險(xiǎn)化學(xué)品源安全評(píng)價(jià)綜合模型[J]. 安全與環(huán)境學(xué)報(bào)，2007，7（3）：141-144.

[3] 郭金玉，張忠彬，孫慶云. 層次分析法的研究與應(yīng)用[J].中國(guó)安全科學(xué)學(xué)報(bào)，2008，18（5）：148-153.

[4] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局.GB/T 22239-2008，信息安全技術(shù)—信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.

[5] 王海珍，鄭志峰. 二級(jí)信息系統(tǒng)等級(jí)保護(hù)評(píng)價(jià)指標(biāo)體系[C].全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集，2009：238-243.

責(zé)任編輯 陳 蓉

Evaluation index system of information security level protection for third-class system

YAO Honglei, YANG Wen
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

According to the requirements of “essential demand of information system security level protection” to third class system, the paper built the evaluation index system of information security level protection for third class system, further analyzed the evaluation index, made the personnel evaluate the standard compliance of information system with pertinence. According to the index system of decomposition, the weight of index in the System was determined by analytic hierarchy process and subjective estimate method, the integrated evaluation results were got more precise. It was provided reference for the evaluation work.

information security; level protection; evaluation index

U29-39

A

1005-8451（2015）02-0059-04

2014-10-08

姚洪磊，助理研究員；楊 文，助理研究員。