等级保护测试评价方法研究
2019-07-25赵云
赵云
摘 要:文章分析了现有的信息系统等级保护测试评价方法,针对测试评价结果易受非技术因素的影响、存在指标无法反应系统真实情况等问题,提出了新的测试评价方法。运用改进层次分析法处理评估中存在的模糊值,简化评价过程。同时,文章以真实测评数据进行实验,对比了改进后的层次分析法在权重值的计算结果对等保测评结果分析的影响。
关键词:等级保护;测试评价;层次分析法
中图分类号:TP309.7 文献标识码:A
Abstract: This paper analyses the existing test and evaluation methods of information system hierarchical protection, and proposes a new test and evaluation method to solve the problems that the test and evaluation results are vulnerable to non-technical factors and the indicators can not reflect the real situation of the system. The improved analytic hierarchy process (AHP) is used to deal with the fuzzy values in the evaluation and simplify the evaluation process. This paper compares the influence of the improved analytic hierarchy process on the analysis of the results of peer-to-peer guaranteed assessment with the real data.
Key words: hierarchical protection; test evaluation; analytic hierarchy process
1 引言
隨着我国改革开放进程的进一步深入,信息化建设步伐大幅度加快,各行业都逐步建立了服务于业务、用户的信息化系统。一方面,享受着信息化带给我们生活、工作的各种便利;另一方面,也不得不面对越来越多的信息安全事件的威胁。近些年来,信息安全已经提升至国家安全的高度,意味着信息系统安全已经不仅仅是涉及一个行业、一家单位,或者仅仅是系统的拥有者、用户等某特定范围内的安全,更是关系到国计民生,影响国家安全稳定、行业资源安全合理运用、社会安定团结的安全。我国开展信息安全等级保护工作已经近十年,作为信息系统安全的一个重要评价体系,等级保护的各项要求和评估方法也在持续地改进,如何评价一个信息系统就成了一项重要的研究课题。目前的评价体系,经历了一些改进,但还是存在诸多问题。本文通过对信息系统评价方法的理论性研究,对现有的测试评估方法进行了发展改进,最终得到了一个较为合理的测试评价方法。
2 发展历程
由于信息系统的多样性和互联网环境的复杂性,信息系统时刻受到互联网上的各种攻击威胁,为此在等级保护制度发展方面,我国于1994年颁布的国务院147号令,确定了在我国信息安全系统保障工作中实行等保制度。公安部作为信息安全等保工作的监督、检查、指导单位,推进着整个等级保护工作。公安部、国家保密局、国家密码管理局、国务院信息化领导小组于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》[1],奠定了信息系统安全基本制度。近几年,在相关部委的支持下,公安部陆续出台了一系列指导意见和规范等文件。随着《网络安全法》的实施,等级保护进入了全新阶段,等级保护制度从国家的基本制度和基本国策上升到国家法律,更多的行业、单位的系统开始纳入等级保护监管对象,等级保护制度进入到深入推进阶段。根据等级划分准则和现有相关文件规定,对信息系统防护要求进行分类,如图1所示。
从图1可以看出,“基本要求”是等级保护测评的主要依据,包括技术和管理两个方面,每个方面分别包括五个层面,每个层面下又区分不同的安全控制点,控制点下还规定了具体要求项。
近些年来,等级保护评价方法也做了一些改进,但是程度有限,仅仅将各测评项做了权重的区分。单项测评结果从原来的3种增加到6种,即测试结果采用计分制,分为0至5分,0分即是原来的不符合,5分即为原来的符合,将部分符合做了区分,可以判1至4分。但是,近年来新增的行业和领域导致信息系统多样化,专业化测试评价方法越来越高,以往“一刀切”式的评价方式越来越无法满足实际需要,无法区分每个测评点对信息系统的影响程度。
3 信息系统测试评价体系
当前,信息安全等级保护的相关标准体系已经趋于完善,并且正向着专业化细分发展。但是,测试评价方法还未跟上标准体系进步的脚步。另外,由于没有针对行业做区分,测试结果在行业间存在着较大的偏离值。例如,有的行业在管理要求上实施情况较好,有比较完整的管理制度和执行记录,但在实际的技术要求上,欠缺很多的措施,有的还存有较多的安全隐患,但在现有的评价体系上,这样的系统最终评价分数可能比较高,与真实的测评结果比较有明显差别;再比如,在两个行业之间,可能针对某些安全风险点本来的要求就因为业务应用的实际需要不同,标准的要求目前也没有明显的行业区分,不仅仅需要从测评者的主观判断出发,更应该考虑行业的具体要求和实际的业务需要,不能按要求机械的地判断。此时,制定科学有效的测试评价体系就更为重要和有意义。
