论文部分内容阅读
随着科学技术的迅猛发展和信息技术的广泛应用,国家和社会对信息化的依赖度越来越大,信息安全已成为国家安全的重要组成部分。然而由于不断增长的复杂性和不安全部件及网络间的互连,信息系统越来越容易受到伤害,即使一些适当的安全方法被发现,其产生的安全水平也不为人所知。因而如何度量信息系统的安全保障水平也就受到了越来越多的关注。信息保障度量作为一个研究领域就提供这样的功能。据相关部门的调查资料,美国和俄罗斯等国家正在研究信息安全保障的综合评价,我国也设立了相应的课题进行研究,和国外处于一个同步研究阶段。本文的主要研究目的就是基于IA度量分类,建立一个信息安全保障综合评价指标体系。论文首先从信息安全的概念入手,将信息安全分为三层模型:信息系统、信息、信息内容(信息内容,本论文不作深入研究)的安全,不同层次的安全属性作用点不一。由此确定了论文研究的基本点:从信息、信息系统入手研究其保密性、完整性、可用性、真实性和不可抵赖性及抗毁性、生存性和有效性的保障。通过回顾和总结,论文对现有信息安全测评标准和方法进行了比较分析,同时对信息安全测度进行了论述。尽管现阶段的标准和方法各有优缺点和局限性,而且没有统一的形式化的测度理论和安全测度方法,不可否认的是,这些标准、方法和具体实践为建立信息安全保障综合评价体系奠定了理论和技术基础,为其研究提供了较为完备的概念架构。在IA度量体系中,最首要的工作是分类。它提供了对IA度量的逻辑分组,并指明了这些分组间的关系。本文认为信息安全保障是一个多维系统,并依据国内目前的现实情况,提出了以技术、管理、战略为三要素的信息保障度量分类模型。在此基础上,构建了多目标的信息安全保障综合评价指标体系,即从技术、管理、战略入手,考察信息、信息系统的静态安全保障措施、动态安全保障能力和安全保障效果。其中静态措施评价主要从要素维:技术、管理、战略三方面考察;动态过程评价主要从能力维:预警、保护、检测、响应、恢复等六个环节来考察。状态效果评价包括从安全属性维来考察、同时包括信息安全保障建设的效益评价。最终,通过评价指标体系反映信息安全保障的整体态势、反映安全与发展的关系、安全与效益的关系。同时论文对评价指标体系建立了一个评价模型,对其进行了形式化描述,并提出了基于目标驱动的指标体系细化方法,对下一级,子指标进行了深入分析和详细阐述。对于在综合评价而言,综合评价方法是极其重要的。结合信息安全保障评价的不确定性和模糊性,本文给出了信息安全保障AHP-FUZZY综合评价方法,并结合工程实例进行了验算。在指标的度量基准问题上,论文引入了基线评价理论。信息系统的安全基线是一个信息系统的最小安全保证,在组织内确定不同的安全基线以对应不同的安全等级,可以使组织得到充分的保护,并降低组织的费用。对此,论文提出了一个安全基线构建模型,并在进行具体的指标实践中,提出了一套具体的综合评价流程。随着人们对信息技术依赖性的增强,可以预见,IA度量将会受到愈来愈多的关注。本文研究了如何建立信息安全保障综合评价指标体系,按照一定的分析框架、评价标准和方法论,为定量化分析和测定信息安全保障的发展进程或实现程度提供了尝试。