等級保護測試評價方法研究

2019-07-25 01:42:25趙云

網絡空間安全 2019年3期

趙云

摘? ?要：文章分析了現有的信息系統等級保護測試評價方法，針對測試評價結果易受非技術因素的影響、存在指標無法反應系統真實情況等問題，提出了新的測試評價方法。運用改進層次分析法處理評估中存在的模糊值，簡化評價過程。同時，文章以真實測評數據進行實驗，對比了改進后的層次分析法在權重值的計算結果對等保測評結果分析的影響。

關鍵詞：等級保護;測試評價;層次分析法

中圖分類號：TP309.7? ? ? ? ? 文獻標識碼：A

Abstract： This paper analyses the existing test and evaluation methods of information system hierarchical protection， and proposes a new test and evaluation method to solve the problems that the test and evaluation results are vulnerable to non-technical factors and the indicators can not reflect the real situation of the system. The improved analytic hierarchy process （AHP） is used to deal with the fuzzy values in the evaluation and simplify the evaluation process. This paper compares the influence of the improved analytic hierarchy process on the analysis of the results of peer-to-peer guaranteed assessment with the real data.

Key words： hierarchical protection; test evaluation; analytic hierarchy process

1 引言

隨著我國改革開放進程的進一步深入，信息化建設步伐大幅度加快，各行業都逐步建立了服務于業務、用戶的信息化系統。一方面，享受著信息化帶給我們生活、工作的各種便利;另一方面，也不得不面對越來越多的信息安全事件的威脅。近些年來，信息安全已經提升至國家安全的高度，意味著信息系統安全已經不僅僅是涉及一個行業、一家單位，或者僅僅是系統的擁有者、用戶等某特定范圍內的安全，更是關系到國計民生，影響國家安全穩定、行業資源安全合理運用、社會安定團結的安全。我國開展信息安全等級保護工作已經近十年，作為信息系統安全的一個重要評價體系，等級保護的各項要求和評估方法也在持續地改進，如何評價一個信息系統就成了一項重要的研究課題。目前的評價體系，經歷了一些改進，但還是存在諸多問題。本文通過對信息系統評價方法的理論性研究，對現有的測試評估方法進行了發展改進，最終得到了一個較為合理的測試評價方法。

2 發展歷程

由于信息系統的多樣性和互聯網環境的復雜性，信息系統時刻受到互聯網上的各種攻擊威脅，為此在等級保護制度發展方面，我國于1994年頒布的國務院147號令，確定了在我國信息安全系統保障工作中實行等保制度。公安部作為信息安全等保工作的監督、檢查、指導單位，推進著整個等級保護工作。公安部、國家保密局、國家密碼管理局、國務院信息化領導小組于2007年聯合頒布了861號文件《關于開展全國重要信息系統安全等級保護定級工作的通知》和《信息安全等級保護管理辦法》[1]，奠定了信息系統安全基本制度。近幾年，在相關部委的支持下，公安部陸續出臺了一系列指導意見和規范等文件。隨著《網絡安全法》的實施，等級保護進入了全新階段，等級保護制度從國家的基本制度和基本國策上升到國家法律，更多的行業、單位的系統開始納入等級保護監管對象，等級保護制度進入到深入推進階段。根據等級劃分準則和現有相關文件規定，對信息系統防護要求進行分類，如圖1所示。

從圖1可以看出，“基本要求”是等級保護測評的主要依據，包括技術和管理兩個方面，每個方面分別包括五個層面，每個層面下又區分不同的安全控制點，控制點下還規定了具體要求項。

近些年來，等級保護評價方法也做了一些改進，但是程度有限，僅僅將各測評項做了權重的區分。單項測評結果從原來的3種增加到6種，即測試結果采用計分制，分為0至5分，0分即是原來的不符合，5分即為原來的符合，將部分符合做了區分，可以判1至4分。但是，近年來新增的行業和領域導致信息系統多樣化，專業化測試評價方法越來越高，以往“一刀切”式的評價方式越來越無法滿足實際需要，無法區分每個測評點對信息系統的影響程度。

3 信息系統測試評價體系

當前，信息安全等級保護的相關標準體系已經趨于完善，并且正向著專業化細分發展。但是，測試評價方法還未跟上標準體系進步的腳步。另外，由于沒有針對行業做區分，測試結果在行業間存在著較大的偏離值。例如，有的行業在管理要求上實施情況較好，有比較完整的管理制度和執行記錄，但在實際的技術要求上，欠缺很多的措施，有的還存有較多的安全隱患，但在現有的評價體系上，這樣的系統最終評價分數可能比較高，與真實的測評結果比較有明顯差別;再比如，在兩個行業之間，可能針對某些安全風險點本來的要求就因為業務應用的實際需要不同，標準的要求目前也沒有明顯的行業區分，不僅僅需要從測評者的主觀判斷出發，更應該考慮行業的具體要求和實際的業務需要，不能按要求機械的地判斷。此時，制定科學有效的測試評價體系就更為重要和有意義。