大數據等級保護測試評價方法研究

陳麗潔

摘要：全球大數據行業迅猛發展，使得各行各業向信息化延伸與革新，信息化已經覆蓋了絕大部分領域。然而信息化的安全問題卻仍然客觀存在，嚴重制約著我國信息化進一步發展，并逐漸成為信息化進程亟待解決的重要問題。對信息化系統進行等級保護，是基于我國當下國情需要，提出的測試評價方法。本文以真實測評數據進行實驗，改進了大數據背景下的等級保護測試評價方法，并對結果進行了分析。

關鍵詞：大數據;等級保護;測試評價;方法研究

引言：隨著我國改革的持續深入，信息化建設也將進一步發展，各行各業也會逐漸建立起更加完善的信息化系統。一方面，生活由于信息化所帶來的便利愈來愈多，生產力與生產關系被進一步優化。但是另一方面，越來越多的信息安全問題開始逐漸暴露，甚至提升至國家安全的層度。因此針對性的進行信息系統的評價方法的相關理論研究，并針對性的進行測試評估方法的改進，具有重要價值與意義。

一、等級保護發展歷程

由于信息系統的多樣化以及互聯網環境的日趨復雜，信息系統暴露于諸多安全隱患之下，導致用戶隱私、工作數據與信息等面臨威脅[1]。為了避免信息系統所受到安全問題侵擾，國務院自上世紀九十年代起，就開始著手等級保護制度的立法工作，并頒布與實施了信息安全系統等級保護制度。公安部門針對信息安全等級保護工作，也進行了規范與限制，從等級保護工作的監督、檢查等方面，積極推進我國信息系統等級保護整體工作。國務院小組于2007年，聯合頒布了861號文件《關于開展全國重要信息系統安全等級保護定級工作的通知》，使得我國信息系統安全制度開始確立。《網絡安全法》的頒布，又將我國的信息安全等級保護工作上升到國家層面。

信息系統等級保護的基本要求，分為技術要求與管理要求。技術要求從物理、網絡、主機、應用以及數據角度落實，而管理要求則主要從安全管理的制度與機構、人員管理、系統管理的建設與維護等角度進行規范。在我國，近些年來，等級保護評價制度，也逐漸進行了一定程度的改革，但是其改革方向還主要體現在權重的劃分之上，在其它方面未有所涉及。但是，如今，信息系統隨著所涉及的行業與領域逐漸增多，也日趨復雜化。以往“一刀切”的評價方式，與實際需求之間逐漸脫軌，不同測評點對系統的影響程度也越加難以區分。

二、信息安全等級劃分

信息安全等級的劃分主要依據信息完整新、保密性、可用性以及完整性等進行劃分。還應該綜合權衡系統的重要性[2]。信息系統必修具備一定的安全保護能力，能夠在系統受到攻擊時發揮效果。

（一）用戶自主保護級

信息系統的破壞不會對國家安全以及社會集體利益產生影響，但是會對用戶個人、公司法人造成不良影響。這一級別，主要適用于一般的信息系統。信息系統的運營者要對其進行負責、監督與保護。一級信息安全能夠防護一般災害，或針對用戶或個人信息系統的侵害，其造成的社會影響性相對較小，且系統在遭受到攻擊后，系統信息可部分恢復。

（二）審議保護級

信息系統的破壞、對社會公共利益及社會中所包含的個體利益產生侵害，以影響公共社會的秩序為系統審議保護級。這一級別適用于國家安全、經濟建設等信息系統。該級別的信息系統運營，主要由用人單位進行保護，而國家信安監管部門在其工作中應發揮指導與監督作用。

（三）安全標記保護級

信息系統的破壞會對國家安全產生損害，或者對社會公共利益產生重大影響。這一級別主要適用于涉及國家安全、經濟建設以及社會秩序的信息系統[3]。國際信息安全監管部門對其進行檢查、指導與監督。

（四）安全保護級及專控保護級

安全保護級是指為避免組織對國家豐富資源及其他國家級別信息，進行惡意攻擊的專控保護級，也是為避免信息系統破壞，對國家安全造成嚴重損害。國家設置的監管部門，對其測評保護工作進行指導。

三、信息系統測試評價方法發展現狀

當下，與信息安全相關的標注體系逐漸完善，向著專業化的方向發展。但是，由于測試水平還存在諸多不足，使得體系與測評方法之間還存在著一定滯后[4]。此外，信息系統等級保護測評針對不同行業也沒有進行針對性區分，使得測試結果與行業實際情況存在較大偏差。例如有的行業在管理要求上實施完好，與管理相關的部分都具有完善的流程與記錄。但是技術環節上，卻存在著諸多不足，甚至存在一定的安全隱患。現有的評價系統中，管理體系完善與規范，但是技術操作存在顯著缺陷的信息系統，卻容易被評價為較高的分數，給行業管理者造成誤導。又例如，不同的兩個行業之間，由于經營方向存在差異，對不同方向的安全風險要求不同，而信息系統沒有明確的行業概念。使得標準無法適用于測評需求不同的行業，自然容易造成測試結果與實際情況之間的偏差。機械式的判斷必然會造成評價體系有效度的不足。

如今，大數據背景下，信息系統的測試評價方法主要分為三種，即非參數統計、參數統計以及神經網絡法。常用于信息系統風險評估的模型包括信用評價模型、Bayes風險分析、Logistic回歸模型等。參差分析法與模糊綜合評價法在信息系統測試評價中也較為常見，模糊層次分析法的引用，往往能夠增強評價方式的客觀性。

五、等級保護測試評價方法改進體系構建

等級保護測試應秉持客觀性、公眾性與符合性原則，進行安全控制測評與系統整體測評兩方面工作。信息系統的安全控制測評是測評的基礎，一般包括訪談、檢查與測試三種測評方式。等級測評工作需要經過準備、現場實施以及分析與報告三個階段。在等級評價保護測試評價中，最為核心的是評價指標體系的構建及其權重的確定。

針對評價指標體系的構建，應該從信息系統安全的實際情況出發，來深入了解信息系統所涉及行業的實際情況，綜合權衡各因素，才能真正確立科學的評價體系。層次分析法，作為一種能夠將定性與定量完美結合的多目標層次分析方法，逐漸被應用于評價指標體系各因素權重的確定之中。將問題進行層次化，可以更好地完成系統分析，使不同的隸屬關系與影響因子可以被多層次組合，從而形成層次化明顯的分析模型。

層次分析法確定權重之后，對元素之間的相互關系進行整合，形成層次結構后，決策者需要針對性做出決策方案，并計算各方案在不同準則下的相對重要程度，最后進行方案優劣排序，使得決策效率能夠顯著提升。

六、結束語

針對信息系統在行業領域應用逐漸廣泛，而其等級保護測試評價方法卻相對滯后的問題，本文結合其發展現狀做了簡要分析，并歸納了我國安全等級保護的分級現狀。為了使得當下信息系統等級保護測評的評價結果更為直觀與準確，本文研究了信息系統等級保護評價方法中指標體系的構建及指標權重的確定方法，為改善系統安全問題提供了解決方向。

參考文獻：

[1]蔡昌許， 蔡昌曙. 電子政務外網等級保護測評探討%Classified Protection Evaluation Investigation of E-government Extranet[J]. 電腦知識與技術， 2014， 000（035）：8593-8594.

[2] 黃石平. 淺析大數據信息安全等級保護%Analysis of Big Data Information Security Level Protection[J]. 電腦知識與技術：學術交流， 2017.

[3]丁晨. 大數據和人工智能技術在銀行網絡安全風險管理中的實踐——日志安全審計分析業務[J]. 中國信息化， 2019（5）.

[4]王艷軍. Research on the prototype of general basic software level protection%通用基礎軟件等級保護測評原型的研究[J]. 電子測試， 2016， 000（011）：138-139.