信息系統安全評價系統設計及實現

王芳芳

摘要：現代計算機技術和網絡技術正在以實時性、便捷性改變著人們的生活方式和習慣，然而，信息系統在給人們帶來便利的同時，也存在不可避免的安全漏洞和風險，為此，需要增強信息系統的安全性功能，并且隨著現代不同功能、不同語言、不同架構的業務開發模式下，為了提升數據共享的安全性、便捷性和高效性，要關注信息系統集成之后的安全性能，可以基于層次分析法進行信息系統的風險評估，有效挖掘信息系統中的漏洞，準確定位信息系統中的安全風險隱患和脆弱部位，從而進行信息系統的安全評價系統的設計和開發實現。

關鍵詞：信息系統；安全評價；設計；實現

現代網絡信息時代背景下，信息系統的安全問題成為了首要的問題，而對信息系統的安全風險評估是信息安全管理中的重要構件，需要基于層次分析法建模理論，進行信息系統的安全評價設計和風險評估，從而最大程度地減少信息安全評估的主觀因素，提升信息系統安全評價系統的準確性和高效性，要從工具的需求分析、軟件設計、工具實現關鍵技術以及工具測試等方面進行描述和設計，為信息系統風險評估提供良好的研究價值和實用性意義。

一、信息系統安全評價系統概述

信息系統的安全問題與技術和管理有密切的關聯，單純依賴于安全技術是片面性的認識，還需要針對信息系統對象，依照一定的管理程序和方法，進行信息安全任務的實現，而信息系統的安全風險評估是信息安全管理的基礎和關鍵內容，要有效地通過對信息系統安全風險的評估，分析信息系統的資產價值、潛在威脅和防護措施等，并對信息系統中存在的主要安全問題，進行分析，尋求對策，進行有效的管理。信息系統安全評價系統涉及各個層面，包括物理層、網絡層、應用層和系統層，為了對復雜的信息系統進行安全評估，需要確立各指標之間的量化計算模型，考慮信息系統安全評價的基本要素，如：信息資產的脆弱性、信息資產面臨的威脅、信息的安全防護措施等，要評估與這些資產價值和安全需求相契合的各種屬性。其中，常用的信息系統安全評價系統方法主要有：

1、信息系統安全風險模式影響及危害性分析（RMECA）。這種模式主要是首先要對被分析系統進行定義，在明確系統功能的前提下，尋找出單點風險，根據單點風險發生的概率和嚴重程度，定位其危害性，并尋找出薄弱環節，加以適宜的控制。

2、風險評審技術（VERT）。這種模式以被分析系統為對象，采用隨機網絡仿真手段，對信息系統進行風險定量分析，建構對應的隨機網絡模型，根據不同任務的性質，利用輸入和輸出邏輯功能，全面表達出實際活動過程的邏輯關系和隨機約束，從而根據各參數信息分析信息系統的風險狀況。

3、德爾斐法。即定性預測方法，這是一種背對背的分析方法，是系統性的、獨立性的判斷方式，可以避免權威對分析的影響，提升預測的可靠性。

4、層次分析法（AHP法）。這是定性與定量分析相結合的分析方法，主要應用于沒有統一度量標尺的復雜系統的分析，它基于層次分解法的思想，建構層次結構模型，進行分層次、擬定量和規范化的分析和處理。

5、模糊分析法（Fuzzy Analysis）。這是基于模糊集合匯總而成的一種預測分析方法，在與人們思維模式相吻合的前提下，運用程度語言對被分析系統進行描述和表達。

二、信息系統安全評價系統的設計與構建

信息系統的安全風險是一個多指標的綜合評價集，需要兼顧安全風險的各個層面，面向復雜的信息系統，可以基于層次分析法和模糊綜合評價法，進行定性和定量的分析。其安全評價系統設計的總體目標為：（1）為安全評價人員提供風險評估系統軟件，包括對信息的采集、分類、資產權重等計算，并得出評判結果。（2）對組織的信息系統的安全狀況進行評測，對于信息系統中存在的安全防護弱點進行改進和優化。（3）基于人機友好交互界面之下，進行數據的分布式訪問，實現信息數據的集中統一管理。

1、信息系統安全評價系統的總體模塊設計

在信息系統安全評價系統之中，可以設計為四大模塊，即：

（1）數據安全模塊。該模塊主要用于對已有數據的備份和恢復，避免失誤。

（2）數據提供模塊。該模塊涵蓋有資產數據庫和風險數據庫，是評價系統的基礎數據的載體形式，可以適用于不同的系統需求。

（3）資產評估模塊。該模塊用于計算資產的權重，依據層次分析法對系統進行一致性評估和檢查。

（4）風險評估模塊。該模塊對信息數據進行風險評估，并進行完整性檢查。

2、建構信息系統安全評價層次結構模型

在分解法的思想引領下，對被評價的信息系統對象，進行資產價值和風險層次結構模型的建構，建構層次分為：目標層、準則層和方案層，其中：（1）目標層。是指信息系統整體的安全，可以用A表示。（2）準則層。可以用B表示，涵蓋信息安全、硬件安全、軟件安全、管理安全和環境安全五個層面。（3）方案層。是指信息系統對用戶的身份識別、訪問限制控制、信息加密、入侵檢測等指標內容。在上述結構層次之中，形成一個系統而規范化的信息系統安全評估指標體系。

3、運用向量范數法優化判斷矩陣

在層次結構模型之中，要涉及諸多的資產或風險因素，如果單憑人們的自主判斷，無疑存在各種不確定性和不全面性的問題，而如果僅采用定性的判斷方式，又往往難于讓人理解和接受。因而，要構造判斷矩陣，采用兩兩對比的方式，運用相對尺度，盡量避免比較和評價中的困難，從而提高評價結果的準確性。

3.1 在構造判斷矩陣時，要采用一定的尺度來加以衡量，可以采用1～9比例標度評價集，形成一個判斷矩陣，如下表所示：

3.2 運用向量范數法，對判斷矩陣一致性的校驗

基于向量范數法，可以對信息系統的判斷矩陣進行一致性校驗，由于客觀因素的不確定性和復雜性特點，需要對原有的判斷矩陣基于向量范數理論進行校正。

三、結束語

總之，信息系統安全評價系統的構建要由實際需求出發，建構信息系統安全評價模型，基于層次分析法和相關分析方法的理論，科學合理地對信息數據進行完整性檢查和一致性檢測，從而提升信息系統的整體安全防護能力。

參考文獻：

[1]高玉良.安全評價過程的風險控制[D].中國地質大學（北京） 2010

[2]姜麗麗.基于網絡安全系統的大規模模式集合匹配算法的研究[D]. 東南大學2015