论文部分内容阅读
本文对电子政务信息安全风险评估进行了深入的分析,并通过建立新的评估方法,为实现电子政务信息安全风险的评估提供理论依据。但电子政务信息安全是个很复杂的问题,电子政务信息安全风险评估要求研究者在管理、计算机科学、数学等领域要有很深的了解,才能做到电子政务信息安全风险的评估是系统的、科学的。
20世纪90年代以来,信息技术飞速发展,尤其是互联网技术的普遍应用,使信息化成为各国普遍关注的最重要的领域之一。2006年中共中央办公厅、国务院办公厅印发了《2006—2020年国家信息化发展战略》,提出了到2020年我国信息化发展的战略目标。同时推动了政府信息化的建设,随着电子政务所承载的信息资源的增加和开放程度的加深,逐渐地带来了不少的安全威胁和安全隐患。因此信息安全风险评估问题越来越受到人们的重视,使人们意识到寻求一种有效的解决方案来应对这些威胁和风险。
国内外信息安全风险评估研究
风险评估最早于20世纪五六十年代开始应用于欧美核电厂的安全性评估中,随后在发达国家的航天工程、化学工业、环境保护、医疗卫生、交通运输、国民经济等众多领域得到推广和应用。电子政务信息安全是经济与社会信息化的先决条件之一,是国家信息化建设的重要内容。如何保证电子政务信息安全的可靠性,国内外很多学者对信息安全问题从信息安全的不同方面和不同角度进行了研究。通过文献查阅,举例比较、分析说明几种发展比较成熟的方法的优缺点如表1所示:
表1 各种方法的比较
电子政务信息安全风险评估要素模型的改进
根据对信息安全风险评估要素模型的研究,将模型作个对比分析:国际标准ISO 13335-1 中的信息安全风险评估要素模型是个一般的信息安全风险评估要素模型,模型中简单地介绍了威胁、脆弱性、资产、安全措施、资产、影响对风险的关系;国际标准ISO 15408在ISOISO 13335-1的基础之上增加了资产的所有者因素,并将安全措施改成对策,核心讨论了资产、弱点、威胁、风险、对策之间的关系;2005年,我国国务院信息化工作办公室发布的《信息安全风险评估指南》增加了围绕资产进行的业务战略、安全事件及残余风险,并讨论了它们与资产、弱点、威胁、风险、安全需求、安全措施的关系。电子政务信息的安全不同于一般的信息安全,具有特殊性,是国家与人民关注的重点,依据ISO 13335-1、ISO 15408、《信息安全风险评估指南》对电子政务信息安全评估要素模型进行改进。改进后的评估要素关系模型,如1所示:
图1 电子政务信息安全评估要素模型的改进
电子政务信息安全风险评估指标体系的构建
电子政务信息安全风险评估目前没有一个完全统一的评估指标体系,在评估时依据评估标准进行合适的筛选,以适应评估的需要。在依据国际标准ISO/IEC 17799《信息安全风险管理细则》、NIST SP800-26《信息技术风险安全自评估指南》、NIST SP800-53《美国联邦信息系统最低安全控制准则》和我国的《信息安全风险评估指南》以及查阅相关文献,充分考虑电子政务信息安全的特殊性,并结合改进后的电子政务信息安全风险评估要素关系模型,将技术、管理、人员、软件、硬件、信息资产合理融合,建立电子政务信息安全风险评估的指标体系。
为了全面客观地评估电子政务信息安全风险,本文设计了电子政务信息安全风险评估指标体系,建立了物理环境安全(A1)(机房访问策略(A11)、物理设施(A12)、温湿度(A13)、物理监控(A14)、电源安全(A15))、网络设备安全(A2)(网线(A21)、集线器(A22)、路由器(A23)、服务器(A24)、网络接口(A25))、人员安全(A3)(人员安全管理制度(A31)、人员能力(A32)、人员安全意识(A33)、人员岗位职责(A34)、身份认证(A35)、权限管理控制(A36))、通信操作安全(A4)(防火墙控制(A41)、防病毒软件升级(A42)、介质安全(A43)、配置管理(A44)、入侵检测(A45)、网络隔离(A46)、通信加密(A47)、文档(A48)、重要信息分类(A49)、数据备份(A410))、组织安全战略(A5)(信息安全组织机构(A51)、组织安全意识(A52)、安全保障能力(A53)、预警能力(A54)、组织安全教育与培训(A55)、信息安全发展规划(A56))、系统安全(A6)(操作系统访问控制(A61)、数据库访问控制(A62)、应用系统访问控制(A63)、系统开发与维护(A64))六个维度的指标体系,较全面地反应电子政务信息安全风险评估。
指标体系的效度是评估指标对评估对象的评估程度的评估反映并反映评价目的的达成。在电子政务信息安全风险评估指标确立中,如果确立指标不能反映评估对象的特性要求,则称该指标体系不具有高的效度。效度分为内容效度和结构效度,一般评价指标效度评定使用“内容效度比”,内容效度又称表面效度或逻辑效度,它是指所设计的题项能否代表所要测量的内容或主题。内容效度评定一般通过经验判断进行,通过熟悉该领域的工作者或专家来评判,并确定所确立的指标与测量内容范畴之间关系密切程度。内容效度缩写为CVR。它的计算公式为:
(1)
式中:ne为评价主体中认为某指标能够很好表示测量对象的数量;N为评价主体总人数。
一般认为当某指标适合的评价人数超过一半时,CVR就是正值;当评价主体中认为某指标适当与不合当的人数各占一半时,CVR=0;若所有评价主体都认为某指标不适当时,则CVR=-1,反之,CVR=1。在本研究中,找到了十五位专家对评估指标进行评估,经过分析如下图所示:
图2A11-A36的CVR值
图3A41-A64 的CVR值
在研究中,取指标值大于0.4以上的,经过上面的分析显示,网线(A21),网络接口(A25)远远小于0.4,所以应该将这二个指标删除,所以电子政务信息安全风险评估的指标集为表2。
表2电子政务信息安全风险评估指标体系
基于模糊层次分析的电子政务信息安全风险评估模型
(一)基于层次分析法的电子政务信息安全风险评估模型
层次分析法是美国匹兹堡大学教授A.L.Saaty于20世纪70年代提出的一种系统分析法。1977年举行的第一届国际数学建模会议上,Saaty教授发表了《无结构决策问题的建模——层次分析理论》。AHP是一种能将定性分析与定量分析相结合的系统分析法。对于不可能建立数学模型进行定量分析,它是分析多目标、多准则的复杂大系统的有力工具,具有思路清晰、方法简便、系统性强的特点。
解决问题的思路,首先,把要解决的问题分层化,即根据问题的性质和要达到的目标,将问题分解成为不同的组成因素,按照因素之间的因素影响和隶属关系将其分层聚类组合,形成了一个递阶的、有序的层次结构模型;然后,对模型中每一层次每一因素的相对重要性,依据人们对客观现实的判断给予定量表示,再利用数学方法确定每一层次全部因素相对重要性次序的权值;最后,通过综合计算各层因素相对重要性的权值,得到最低层相对于最高层的相对重要性次序的组合权值,以此作为评价和选择方案的依据。
1、建立层次结构模型
首先将所有的因素进行分级,每一组作为一个层,按照最高层、相关的中间层和最低层的形式排列起来。最高层表示解决问题的目的,即目标层;中间层表示采用某种方法或措施来实现即定目标层所涉及的中间过程,一般又分为策略层、约束层、准则层;最低层,表示解决问题的方法或措施。
图4 递阶的层次结构模型
根据电子政务信息安全风险评估指标集,将电子政务信息安全风险评估分为三个层次:第一层次为总目标层,即电子政务信息安全风险评估(A);第二层为准则层,包括六大方面;第三层为指标层共34项。电子政务信息安全风险评估的层次结构模型如图5所示:
图5 层次结构模型
2、构造判断矩阵
判断矩阵表示针对上一层次某因素而言,本层次与之相关的各因素之间的相对重要性。假定C层中因素Ck与下一层次中因素A1,A2,......An有联系,则构造的判断矩阵如下所示:
表3判断矩阵
其中,aij是对于Ck而言,Ai对Aj的相对重要性的数值表示,通常aij 取1,2,3,...9及他们的倒数,其含义为aij=3 ,表示Ai与Aj一样重要;aij=5,表示Ai比Aj稍微重要;aij=7,表示Ai比Aj明显重要;aij=9,表示Ai比Aj绝对重要。它们之间数2,4,6,8及各数的倒数具有相应的类似意义。
采用1~9的比例标度的依据是:其一,心里学的实验表明,大多数人对不同事物在相同属性上差别的分辨能力在5~9级之间,采用1~9的标度反映了大多数人的判断能力;其二,大量的社会调查表明,1~9的比例标度已为人产所熟悉和采用;其三,科学家考察和实践表明,1~9的比例标度已完全能区分引起人感觉差别的事情的各种属性。
3、权重计算
AHP的计算根本问题就是如何计算判断矩阵的最大特征根及其对应的特征向量,可采用方根方法。
1)A的元素按行相乘;(1)
(2)
3)将方根正规化,即得特征向量W,(3)
(4)
4、一致性检验
CI为层次总排序一致性指标;RI为层次排序平均随机一致性指标;CR为层次总排序随机一致性比例。计算公式如下
(5)
RI如表所示:
表4矩阵的平均随机一致性指标
当时,认为层次总排序的计算结果具有满意的一致性。
(二)基于模糊综合评价的电子政务信息安全风险评估模型
电子政务信息安全风险的评估采用模糊数学中模糊综合评判来评估。模糊综合评判是在模糊的环境中,考虑了多种因素的影响,关于某种目的对某事物作出的综合决断或决策。
设为n种因素构成的集合,称为因素集;为m种决断所构成的集合,称为评判集。一般地,各因素对事物的影响是不一致的,故因素的权重分配可视为U上的模糊集,记为
ai表示第i个因素ui的权重,它们满足规一化条件:。
另外,m个决定也并非都是绝对的肯定和否定,因此综合后的评判也应看作为V上的模糊集,记为,其中bj反映了第j种决断在评判总体V中所占的地位。
1、确定隶属度
用隶属度分别描述各子因素相对于评判集V的隶属程度,得出单因素模糊评判矩阵
(7)
其中,表示第个一级评估指标下的第个二级指标隶属于第个评判等级的程度,为一级指标的数目,为第个一级指标下的二级指标的数目,为评判集中评语的数目,的意义及求法如下:
首先对每个被评估的子因素进行评定,然后通过统计整理的方法得到相对于子因素的若干个评语:其中包括个V1级评语,Uij2个V2级评语……,以及Uijn个Vn级评语,则子因素层指标Uij隶属于第Vk级评语的程度,即隶属度为:
(8)
则子因素层指标Uij的隶属度向量为:,由此可得。
2、综合评判
1)一级模糊综合评判——利用模糊算子确定模糊关系矩阵 ,其中,
(9)
为第个一级指标所属的二级指标的排序权重向量。
2)二级模糊综合评判——确定被评估对象的最终评估结果
若输入一个权重,则输出一个综合评判
(10)
其中,(a1,a2,...,an)为总目标下所有一级指标的排序权重向量。
3)根据最大隶属度原则,确定被评估对象所属评判等级。
,即(b1,b2,...bm)为该向量的第K个分量,则根据模糊数学的最大隶属度原则,被评估对象的评估结果属于第K等级。
电子政务信息安全风险评估涉及到多因素的综合评估问题,由于各电子政务信息安全风险因素的风险情况是由人们的主观判断确定的,而且这种评估不可避免地带有结论上的模糊性。因此,要提高电子政务信息安全风险评估的可靠度,就必须找到一种能够处理多因素、模糊性及主观判断等问题的评估方法。所以,根据层次分析法和模糊综合评价法,结合电子政务信息安全风险评估的特点,构建模糊层次评估模型,由定性分析到定量分析,实现电子政务信息安全风险评估。
(作者单位:北方民族大学 ;西安交通大学)
图6 模糊层次综合评估模型
20世纪90年代以来,信息技术飞速发展,尤其是互联网技术的普遍应用,使信息化成为各国普遍关注的最重要的领域之一。2006年中共中央办公厅、国务院办公厅印发了《2006—2020年国家信息化发展战略》,提出了到2020年我国信息化发展的战略目标。同时推动了政府信息化的建设,随着电子政务所承载的信息资源的增加和开放程度的加深,逐渐地带来了不少的安全威胁和安全隐患。因此信息安全风险评估问题越来越受到人们的重视,使人们意识到寻求一种有效的解决方案来应对这些威胁和风险。
国内外信息安全风险评估研究
风险评估最早于20世纪五六十年代开始应用于欧美核电厂的安全性评估中,随后在发达国家的航天工程、化学工业、环境保护、医疗卫生、交通运输、国民经济等众多领域得到推广和应用。电子政务信息安全是经济与社会信息化的先决条件之一,是国家信息化建设的重要内容。如何保证电子政务信息安全的可靠性,国内外很多学者对信息安全问题从信息安全的不同方面和不同角度进行了研究。通过文献查阅,举例比较、分析说明几种发展比较成熟的方法的优缺点如表1所示:
表1 各种方法的比较
电子政务信息安全风险评估要素模型的改进
根据对信息安全风险评估要素模型的研究,将模型作个对比分析:国际标准ISO 13335-1 中的信息安全风险评估要素模型是个一般的信息安全风险评估要素模型,模型中简单地介绍了威胁、脆弱性、资产、安全措施、资产、影响对风险的关系;国际标准ISO 15408在ISOISO 13335-1的基础之上增加了资产的所有者因素,并将安全措施改成对策,核心讨论了资产、弱点、威胁、风险、对策之间的关系;2005年,我国国务院信息化工作办公室发布的《信息安全风险评估指南》增加了围绕资产进行的业务战略、安全事件及残余风险,并讨论了它们与资产、弱点、威胁、风险、安全需求、安全措施的关系。电子政务信息的安全不同于一般的信息安全,具有特殊性,是国家与人民关注的重点,依据ISO 13335-1、ISO 15408、《信息安全风险评估指南》对电子政务信息安全评估要素模型进行改进。改进后的评估要素关系模型,如1所示:
图1 电子政务信息安全评估要素模型的改进
电子政务信息安全风险评估指标体系的构建
电子政务信息安全风险评估目前没有一个完全统一的评估指标体系,在评估时依据评估标准进行合适的筛选,以适应评估的需要。在依据国际标准ISO/IEC 17799《信息安全风险管理细则》、NIST SP800-26《信息技术风险安全自评估指南》、NIST SP800-53《美国联邦信息系统最低安全控制准则》和我国的《信息安全风险评估指南》以及查阅相关文献,充分考虑电子政务信息安全的特殊性,并结合改进后的电子政务信息安全风险评估要素关系模型,将技术、管理、人员、软件、硬件、信息资产合理融合,建立电子政务信息安全风险评估的指标体系。
为了全面客观地评估电子政务信息安全风险,本文设计了电子政务信息安全风险评估指标体系,建立了物理环境安全(A1)(机房访问策略(A11)、物理设施(A12)、温湿度(A13)、物理监控(A14)、电源安全(A15))、网络设备安全(A2)(网线(A21)、集线器(A22)、路由器(A23)、服务器(A24)、网络接口(A25))、人员安全(A3)(人员安全管理制度(A31)、人员能力(A32)、人员安全意识(A33)、人员岗位职责(A34)、身份认证(A35)、权限管理控制(A36))、通信操作安全(A4)(防火墙控制(A41)、防病毒软件升级(A42)、介质安全(A43)、配置管理(A44)、入侵检测(A45)、网络隔离(A46)、通信加密(A47)、文档(A48)、重要信息分类(A49)、数据备份(A410))、组织安全战略(A5)(信息安全组织机构(A51)、组织安全意识(A52)、安全保障能力(A53)、预警能力(A54)、组织安全教育与培训(A55)、信息安全发展规划(A56))、系统安全(A6)(操作系统访问控制(A61)、数据库访问控制(A62)、应用系统访问控制(A63)、系统开发与维护(A64))六个维度的指标体系,较全面地反应电子政务信息安全风险评估。
指标体系的效度是评估指标对评估对象的评估程度的评估反映并反映评价目的的达成。在电子政务信息安全风险评估指标确立中,如果确立指标不能反映评估对象的特性要求,则称该指标体系不具有高的效度。效度分为内容效度和结构效度,一般评价指标效度评定使用“内容效度比”,内容效度又称表面效度或逻辑效度,它是指所设计的题项能否代表所要测量的内容或主题。内容效度评定一般通过经验判断进行,通过熟悉该领域的工作者或专家来评判,并确定所确立的指标与测量内容范畴之间关系密切程度。内容效度缩写为CVR。它的计算公式为:
(1)
式中:ne为评价主体中认为某指标能够很好表示测量对象的数量;N为评价主体总人数。
一般认为当某指标适合的评价人数超过一半时,CVR就是正值;当评价主体中认为某指标适当与不合当的人数各占一半时,CVR=0;若所有评价主体都认为某指标不适当时,则CVR=-1,反之,CVR=1。在本研究中,找到了十五位专家对评估指标进行评估,经过分析如下图所示:
图2A11-A36的CVR值
图3A41-A64 的CVR值
在研究中,取指标值大于0.4以上的,经过上面的分析显示,网线(A21),网络接口(A25)远远小于0.4,所以应该将这二个指标删除,所以电子政务信息安全风险评估的指标集为表2。
表2电子政务信息安全风险评估指标体系
基于模糊层次分析的电子政务信息安全风险评估模型
(一)基于层次分析法的电子政务信息安全风险评估模型
层次分析法是美国匹兹堡大学教授A.L.Saaty于20世纪70年代提出的一种系统分析法。1977年举行的第一届国际数学建模会议上,Saaty教授发表了《无结构决策问题的建模——层次分析理论》。AHP是一种能将定性分析与定量分析相结合的系统分析法。对于不可能建立数学模型进行定量分析,它是分析多目标、多准则的复杂大系统的有力工具,具有思路清晰、方法简便、系统性强的特点。
解决问题的思路,首先,把要解决的问题分层化,即根据问题的性质和要达到的目标,将问题分解成为不同的组成因素,按照因素之间的因素影响和隶属关系将其分层聚类组合,形成了一个递阶的、有序的层次结构模型;然后,对模型中每一层次每一因素的相对重要性,依据人们对客观现实的判断给予定量表示,再利用数学方法确定每一层次全部因素相对重要性次序的权值;最后,通过综合计算各层因素相对重要性的权值,得到最低层相对于最高层的相对重要性次序的组合权值,以此作为评价和选择方案的依据。
1、建立层次结构模型
首先将所有的因素进行分级,每一组作为一个层,按照最高层、相关的中间层和最低层的形式排列起来。最高层表示解决问题的目的,即目标层;中间层表示采用某种方法或措施来实现即定目标层所涉及的中间过程,一般又分为策略层、约束层、准则层;最低层,表示解决问题的方法或措施。
图4 递阶的层次结构模型
根据电子政务信息安全风险评估指标集,将电子政务信息安全风险评估分为三个层次:第一层次为总目标层,即电子政务信息安全风险评估(A);第二层为准则层,包括六大方面;第三层为指标层共34项。电子政务信息安全风险评估的层次结构模型如图5所示:
图5 层次结构模型
2、构造判断矩阵
判断矩阵表示针对上一层次某因素而言,本层次与之相关的各因素之间的相对重要性。假定C层中因素Ck与下一层次中因素A1,A2,......An有联系,则构造的判断矩阵如下所示:
表3判断矩阵
其中,aij是对于Ck而言,Ai对Aj的相对重要性的数值表示,通常aij 取1,2,3,...9及他们的倒数,其含义为aij=3 ,表示Ai与Aj一样重要;aij=5,表示Ai比Aj稍微重要;aij=7,表示Ai比Aj明显重要;aij=9,表示Ai比Aj绝对重要。它们之间数2,4,6,8及各数的倒数具有相应的类似意义。
采用1~9的比例标度的依据是:其一,心里学的实验表明,大多数人对不同事物在相同属性上差别的分辨能力在5~9级之间,采用1~9的标度反映了大多数人的判断能力;其二,大量的社会调查表明,1~9的比例标度已为人产所熟悉和采用;其三,科学家考察和实践表明,1~9的比例标度已完全能区分引起人感觉差别的事情的各种属性。
3、权重计算
AHP的计算根本问题就是如何计算判断矩阵的最大特征根及其对应的特征向量,可采用方根方法。
1)A的元素按行相乘;(1)
(2)
3)将方根正规化,即得特征向量W,(3)
(4)
4、一致性检验
CI为层次总排序一致性指标;RI为层次排序平均随机一致性指标;CR为层次总排序随机一致性比例。计算公式如下
(5)
RI如表所示:
表4矩阵的平均随机一致性指标
当时,认为层次总排序的计算结果具有满意的一致性。
(二)基于模糊综合评价的电子政务信息安全风险评估模型
电子政务信息安全风险的评估采用模糊数学中模糊综合评判来评估。模糊综合评判是在模糊的环境中,考虑了多种因素的影响,关于某种目的对某事物作出的综合决断或决策。
设为n种因素构成的集合,称为因素集;为m种决断所构成的集合,称为评判集。一般地,各因素对事物的影响是不一致的,故因素的权重分配可视为U上的模糊集,记为
ai表示第i个因素ui的权重,它们满足规一化条件:。
另外,m个决定也并非都是绝对的肯定和否定,因此综合后的评判也应看作为V上的模糊集,记为,其中bj反映了第j种决断在评判总体V中所占的地位。
1、确定隶属度
用隶属度分别描述各子因素相对于评判集V的隶属程度,得出单因素模糊评判矩阵
(7)
其中,表示第个一级评估指标下的第个二级指标隶属于第个评判等级的程度,为一级指标的数目,为第个一级指标下的二级指标的数目,为评判集中评语的数目,的意义及求法如下:
首先对每个被评估的子因素进行评定,然后通过统计整理的方法得到相对于子因素的若干个评语:其中包括个V1级评语,Uij2个V2级评语……,以及Uijn个Vn级评语,则子因素层指标Uij隶属于第Vk级评语的程度,即隶属度为:
(8)
则子因素层指标Uij的隶属度向量为:,由此可得。
2、综合评判
1)一级模糊综合评判——利用模糊算子确定模糊关系矩阵 ,其中,
(9)
为第个一级指标所属的二级指标的排序权重向量。
2)二级模糊综合评判——确定被评估对象的最终评估结果
若输入一个权重,则输出一个综合评判
(10)
其中,(a1,a2,...,an)为总目标下所有一级指标的排序权重向量。
3)根据最大隶属度原则,确定被评估对象所属评判等级。
,即(b1,b2,...bm)为该向量的第K个分量,则根据模糊数学的最大隶属度原则,被评估对象的评估结果属于第K等级。
电子政务信息安全风险评估涉及到多因素的综合评估问题,由于各电子政务信息安全风险因素的风险情况是由人们的主观判断确定的,而且这种评估不可避免地带有结论上的模糊性。因此,要提高电子政务信息安全风险评估的可靠度,就必须找到一种能够处理多因素、模糊性及主观判断等问题的评估方法。所以,根据层次分析法和模糊综合评价法,结合电子政务信息安全风险评估的特点,构建模糊层次评估模型,由定性分析到定量分析,实现电子政务信息安全风险评估。
(作者单位:北方民族大学 ;西安交通大学)
图6 模糊层次综合评估模型