信息技術設備安全運行風險評估系統研究與設計

2016-08-08 07:54:52中國信息通信研究院趙曉昕徐春瑩

電子世界 2016年13期

中國信息通信研究院趙曉昕徐春瑩

中國信息通信研究院趙曉昕徐春瑩

【摘要】信息技術設備可以承載自動化系統，保存、傳輸和共享系統資源，為人們工作、生活和學習提供方便，提高社會信息化水平。但在設備使用過程中，其面臨著較多的黑客攻擊、木馬侵襲和病毒感染，因此亟需構建一個風險評估系統，以便能夠實時地獲取信息技術設備運行狀態，判斷設備是否存在危險，及時地進行防御和補救。

【關鍵詞】信息技術設備；風險評估；層次分析；安全矩陣

1.引言

隨著互聯網、數據庫、多媒體等技術的快速發展，利用這些計算機技術已經在智能教育、金融通信、工業生產、軍工研發、電子政務等領域開發了許多的自動化、分布式管理系統，提高了人們工作、生活和學習的便捷性。信息技術設備是承載自動化系統運行、保存處理信息數據的硬件資源，因此設備安全是保證系統可靠運行的重要前提［1］。但是，隨著程序開發技術的提升，病毒、木馬和黑客攻擊手段越來越高超，給信息技術設備安全運行帶來了很大的風險。因此，亟需采用先進的風險評估技術識別、量化分析設備面臨的風險狀況，評估威脅帶來的影響，以便更好地制定安全防御策略，為計算機網絡信息提供安全運行保障。

2.信息技術設備安全運行風險評估方法

目前，信息技術設備安全運行風險評估方法主要分為定性分析、定量分析和混合分析三種，常用的方法包括事故樹分析方法、專家分析方法、BP神經網絡等［2］。

（1）事故樹分析方法。事故樹分析方法是一種演繹分析方法，其可以描述信息技術設備事故之間的邏輯關系，從中歸納、總結和發現事故發生的原因，識別最基本的風險元素，定性分析設備存在的漏洞。

（2）專家分析方法。專家分析方法可以邀請相關領域內經營豐富的專家、學者對信息技術設備進行查看，按照風險評估標準分析設備是否安全，也可以獲取信息技術設備存在風險的部位和組成內容。

（3）BP神經網絡分析法。BP神經網絡是一種數據挖掘方法，其可以通過學習獲取相關的風險關鍵特征，然后將待評估的信息技術設備狀態數據輸入到系統中，以自動化地分析設備風險，這種風險評估速度快，評估結果具有較高的準確度。

3.基于層次的信息技術設備安全運行風險評估措施

層次分析方法是一種量化的信息技術設備風險評估方法，系統按照模塊劃分為多個組成部分，每一個部分又可以細化為多個小設備，根據設備的隸屬度關系將其劃分為多個層次，這樣就可以準確地分析顆粒度較小的設備風險，按照設備重要程度賦予不同的權值，然后將各個子設備的風險與權值相乘之后進行疊加、集成在一起，評估整個系統的風險［3］。信息技術設備風險層次評估步驟包括以下幾個方面。

（1）構建一個遞階層次結構模型

構建遞階層次結構模型的主要作用是可以詳細地分析一個實際問題，然后設計一個基于信息技術設備特征的風險指標評估體系。遞階層次結構模型包括措施層、準則層和目標層。目標層是設備風險評估最終目的，準則層是指設備風險評估需要遵守的原則，措施層是指設風險評估采用的具體措施，如圖1所示。