曾 琼，倪 芳，郑 川

(1.益阳市中心医院，湖南 益阳 413000；2.中南大学 档案技术研究所，湖南 长沙 410083)

1 引言

随着信息技术的快速发展，数字业态增长迅猛，信息系统已融入社会各行各业的业务与运行，互联网成为社会重要的基础设施，重要信息系统和基础信息网络的安全被纳入国家安全的重要组成部分。国外的信息系统安全保护工作始于二十世纪末，以美国为代表的欧美发达国家通过“关键信息基础设施保护制度”对重要信息系统和基础信息网络进行保护，而我国独立发展形成了一套信息系统安全等级保护体系[1]。本文从我国信息系统安全等级保护相关文献分析的角度出发，对二十年来该领域的研究热点进行分析。

2 数据来源和研究方法

2.1 数据来源

以中国知网CNKI为数据来源，检索数据库为中国知识资源总库，文献类型选择学术期刊、硕士学位论文、博士学位论文和会议论文，检索条件为：主题=“信息系统安全等级保护”(精确匹配)，发表时间不限，检索时间为2020年2月12日，检索共得到相关文献题录2 097条，通过阅读文献题名和摘要的方式去除无关题录223条、重复题录102条，最终得到1 772篇我国信息系统安全等级保护相关论文。

2.2 研究方法

采用关键词分析法和内容分析法提取我国信息系统安全等级保护相关文献的研究热点和主题。关键词是对论文主题高度概括的词组，同一关键词的词频越高表明对应研究主题的热度越高。一个研究主题通常包含若干关键词，通过分析关键词的词频及其共现关系可以发现该领域研究主题的分布情况。内容分析法通过文献阅读、分析、整理对文献研究主题进行甄别和分类。

3 信息系统安全等级保护研究热点分析

3.1 信息系统安全等级保护文献关键词聚类

Citespace是一款功能齐备、操作简便的可视化文献分析软件，近年来在文献分析领域应用广泛，利用软件可方便地对论文的关键词进行词频统计、共词分析，并通过可视化的图形界面展示。

图1 关键词共现图谱

先将1 772篇信息系统安全等级保护相关论文的关键词做规范化处理，去除“安全”、“系统”、“研究”等范围过大和无关的词汇，合并“等级保护”、“安全等级保护”等同义词。预处理后将文献题录以Refworks格式导入Citespace 5.6.R2，进行关键词词频统计和关键词共词分析。参数设置：统计年份Time Slicing=1999年-2019年，时间切片Years Per Slice为1年，每个时间切片选择Top 70%，连接强度Links Strength=Consine，网络裁剪Pruning=Minimum Spanning Tree，绘制关键词共现图谱，并通过对数自然律LLR对关键词进行聚类，如图1所示。Silhouette是用来衡量网络同质性的指标，其值越靠近1表明网络同质性越高，图中Silhouette=0.8411，Q=0.801，表明聚类结果是合理的。与关键词共现图谱对应的关键词中心度排名(前十)如表1所示。

表1 中心度前十关键词统计表

根据Citespace关键词共现分析得到的关键词词频和中心度，结合文献内容分析，可将图1中5个聚类划分为三个主要研究领域：信息系统安全等级保护政策文件解读和理论研究、信息系统安全等级保护实施技术和方法、信息系统安全等级保护实践分析。

3.2 信息系统安全等级保护研究主题分布

3.2.1 相关政策文件解读和理论研究

该领域研究主要是对我国信息系统安全等级保护相关政策文件、法规标准等的解读分析和其中涉及的一些理论问题的研究讨论，高频关键词有信息安全等级保护(中心度0.67)、网络安全(中心度0.17)、优先保护(中心度0.13)、公安部(中心度0.08)等。公安部信息安全等级保护评估中心有一批学者长期跟踪我国有关法规标准的发展，及时对有关新政策和文件进行深入解读。陈广勇、祝国邦、马力等人对《信息安全技术网络安全等级保护测评要求》(GB/T 28448—2019)、《网络安全等级保护基本要求》(GB/T 22239—2019)等新国标的修订背景、进程、主要变化等内容进行了阐述[2]。崔书昆、范红、厉剑等人对不同等级保护有关文件进行了及时解读。

新文件中涉及的新理念和新理论常常会成为业内关注的焦点，在文献研究主题中的热度迅速增高。孙铁、王丽芳等人对云环境下的等级保护工作进行了探讨,包括传统信息网络环境与云环境的区别、云环境面临的安全威胁与挑战、云环境下的安全等级保护工作实施策略等[3]；王春元、冯响林等人对信息安全等级保护测评机构的法律责任问题进行了研究，讨论了第三方等级保护测评机构的设立条件、测评机构的义务与责任，并对现有法律法规的制定和完善提出了建议；曲洁、朱建平等人对等级保护与关键基础设施防护的融合问题进行了研究，通过对关键基础设施防护思路与信息系统安全等级保护工作思路的对比考虑两者可能的融合点，包括信息系统定级备案、分级保护、部门合作与法律问题等[4]。

3.2.2 信息系统安全等级保护实施技术和方法

该领域研究主要是对信息系统安全等级保护相关的操作方法和技术问题进行探讨，如系统定级方法、风险评估方法、系统整改方案、系统安全防护技术等，高频关键词有信息安全等级保护(中心度0.67)、系统定级(中心度0.18)、等级保护测评(中心度0.17)、层次分析法(中心度0.15)等。刘一丹、董碧丹等人提出了一种基于模糊评估的等级保护风险评估模型[5]，王甜、徐晖等人提出了基于量化分析的等级保护测评方法，吴吉朋、王湧等人将应用安全域的方案引入信息系统安全等级保护中，沈昌祥对重要信息系统等级保护建设整改的技术框架进行了研究，康仲生、高斌和王登坡等人对新建信息系统的安全等级规划与建设提出了整体实施策略，分析了改建信息系统在安全等级方面存在差距时的整改实施策略[6]，周焕盛和江建慧将信息安全性能度量与信息安全等级分配相结合建立多维信息安全指标体系和基于安全指数的信息安全等级保护量化模型，通过层次化的评分方法来评估系统安全性[7]。

云计算、大数据等新技术出现时，新技术环境下的信息系统安全等级保护会成为研究热点。李韬、张剑、张振峰等人对等级保护2.0要求下的云计算安全进行了研究，在国家等级保护2.0的整体框架下构建了云环境下的信息系统安全管理体系、安全技术体系、安全服务体系和安全策略体系，保障云基础设施安全[8]，常建国、李玉珍、秦渤等人分析了大数据时代信息系统和网络安全的特点和存在的问题，重点对大数据背景下信息安全等级保护的相关技术和措施进行了讨论。

3.2.3 信息系统安全等级保护实践分析

该领域研究主要是对某一具体行业或信息系统开展安全等级保护工作情况的回顾和经验总结，如建设背景、可行性分析、建设方案体系、优缺点分析等，高频关键词有信息安全等级保护(中心度0.67)、信息安全(中心度0.25)、等级保护测评(中心度0.17)、信息系统(中心度0.12)等。熊延萍介绍了背景数字档案馆(电子文件中心)系统基于安全等级保护建立全市统一档案收集、管理、利用平台和电子档案凭证价值保护机制的经验[9]；郝舒欣、吕祎然和刘婕等人介绍了空气污染人群健康影响监测信息系统通过技术和管理两方面制定系统安全保护措施的经验[10]；詹全忠和陈岚从总体方案、实施技术和安全管理三方面介绍了水利部本级信息系统安全等级保护整改设计的实施情况；余勇、林为民介绍了移动互联网在电力行业中的应用模式及其信息安全风险，讨论了电力行业基于移动互联网的安全等级保护工作，包括移动终端、网络搭建和业务应用等方面的信息安全防护措施[11]。刘宇结合中国人民银行的实际管理工作分析了金融业信息安全等级保护工作的背景和现状，并就金融行业在等级保护合规要求下做好相关工作提出了建议。刘强和王波以凯里学院为例介绍了高等院校信息系统安全等级保护建设的思路和方案。

4 结语

从文献关键词词频统计和共现分析的角度来看，我国信息系统安全等级保护相关论文研究主题可分为政策和理论研究、技术和方法研究、实践经验总结三大类。各类主题的研究内容有跟随政策和技术动向的特点，不断有各行各业开展等级保护工作的理论研究和实践经验总结出现。