论文部分内容阅读
摘要:全球大数据行业迅猛发展,使得各行各业向信息化延伸与革新,信息化已经覆盖了绝大部分领域。然而信息化的安全问题却仍然客观存在,严重制约着我国信息化进一步发展,并逐渐成为信息化进程亟待解决的重要问题。对信息化系统进行等级保护,是基于我国当下国情需要,提出的测试评价方法。本文以真实测评数据进行实验,改进了大数据背景下的等级保护测试评价方法,并对结果进行了分析。
关键词:大数据;等级保护;测试评价;方法研究
引言:随着我国改革的持续深入,信息化建设也将进一步发展,各行各业也会逐渐建立起更加完善的信息化系统。一方面,生活由于信息化所带来的便利愈来愈多,生产力与生产关系被進一步优化。但是另一方面,越来越多的信息安全问题开始逐渐暴露,甚至提升至国家安全的层度。因此针对性的进行信息系统的评价方法的相关理论研究,并针对性的进行测试评估方法的改进,具有重要价值与意义。
一、等级保护发展历程
由于信息系统的多样化以及互联网环境的日趋复杂,信息系统暴露于诸多安全隐患之下,导致用户隐私、工作数据与信息等面临威胁[1]。为了避免信息系统所受到安全问题侵扰,国务院自上世纪九十年代起,就开始着手等级保护制度的立法工作,并颁布与实施了信息安全系统等级保护制度。公安部门针对信息安全等级保护工作,也进行了规范与限制,从等级保护工作的监督、检查等方面,积极推进我国信息系统等级保护整体工作。国务院小组于2007年,联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》,使得我国信息系统安全制度开始确立。《网络安全法》的颁布,又将我国的信息安全等级保护工作上升到国家层面。
信息系统等级保护的基本要求,分为技术要求与管理要求。技术要求从物理、网络、主机、应用以及数据角度落实,而管理要求则主要从安全管理的制度与机构、人员管理、系统管理的建设与维护等角度进行规范。在我国,近些年来,等级保护评价制度,也逐渐进行了一定程度的改革,但是其改革方向还主要体现在权重的划分之上,在其它方面未有所涉及。但是,如今,信息系统随着所涉及的行业与领域逐渐增多,也日趋复杂化。以往“一刀切”的评价方式,与实际需求之间逐渐脱轨,不同测评点对系统的影响程度也越加难以区分。
二、信息安全等级划分
信息安全等级的划分主要依据信息完整新、保密性、可用性以及完整性等进行划分。还应该综合权衡系统的重要性[2]。信息系统必修具备一定的安全保护能力,能够在系统受到攻击时发挥效果。
(一)用户自主保护级
信息系统的破坏不会对国家安全以及社会集体利益产生影响,但是会对用户个人、公司法人造成不良影响。这一级别,主要适用于一般的信息系统。信息系统的运营者要对其进行负责、监督与保护。一级信息安全能够防护一般灾害,或针对用户或个人信息系统的侵害,其造成的社会影响性相对较小,且系统在遭受到攻击后,系统信息可部分恢复。
(二)审议保护级
信息系统的破坏、对社会公共利益及社会中所包含的个体利益产生侵害,以影响公共社会的秩序为系统审议保护级。这一级别适用于国家安全、经济建设等信息系统。该级别的信息系统运营,主要由用人单位进行保护,而国家信安监管部门在其工作中应发挥指导与监督作用。
(三)安全标记保护级
信息系统的破坏会对国家安全产生损害,或者对社会公共利益产生重大影响。这一级别主要适用于涉及国家安全、经济建设以及社会秩序的信息系统[3]。国际信息安全监管部门对其进行检查、指导与监督。
(四)安全保护级及专控保护级
安全保护级是指为避免组织对国家丰富资源及其他国家级别信息,进行恶意攻击的专控保护级,也是为避免信息系统破坏,对国家安全造成严重损害。国家设置的监管部门,对其测评保护工作进行指导。
三、信息系统测试评价方法发展现状
当下,与信息安全相关的标注体系逐渐完善,向着专业化的方向发展。但是,由于测试水平还存在诸多不足,使得体系与测评方法之间还存在着一定滞后[4]。此外,信息系统等级保护测评针对不同行业也没有进行针对性区分,使得测试结果与行业实际情况存在较大偏差。例如有的行业在管理要求上实施完好,与管理相关的部分都具有完善的流程与记录。但是技术环节上,却存在着诸多不足,甚至存在一定的安全隐患。现有的评价系统中,管理体系完善与规范,但是技术操作存在显著缺陷的信息系统,却容易被评价为较高的分数,给行业管理者造成误导。又例如,不同的两个行业之间,由于经营方向存在差异,对不同方向的安全风险要求不同,而信息系统没有明确的行业概念。使得标准无法适用于测评需求不同的行业,自然容易造成测试结果与实际情况之间的偏差。机械式的判断必然会造成评价体系有效度的不足。
如今,大数据背景下,信息系统的测试评价方法主要分为三种,即非参数统计、参数统计以及神经网络法。常用于信息系统风险评估的模型包括信用评价模型、Bayes风险分析、Logistic回归模型等。参差分析法与模糊综合评价法在信息系统测试评价中也较为常见,模糊层次分析法的引用,往往能够增强评价方式的客观性。
五、等级保护测试评价方法改进体系构建
等级保护测试应秉持客观性、公众性与符合性原则,进行安全控制测评与系统整体测评两方面工作。信息系统的安全控制测评是测评的基础,一般包括访谈、检查与测试三种测评方式。等级测评工作需要经过准备、现场实施以及分析与报告三个阶段。在等级评价保护测试评价中,最为核心的是评价指标体系的构建及其权重的确定。
针对评价指标体系的构建,应该从信息系统安全的实际情况出发,来深入了解信息系统所涉及行业的实际情况,综合权衡各因素,才能真正确立科学的评价体系。层次分析法,作为一种能够将定性与定量完美结合的多目标层次分析方法,逐渐被应用于评价指标体系各因素权重的确定之中。将问题进行层次化,可以更好地完成系统分析,使不同的隶属关系与影响因子可以被多层次组合,从而形成层次化明显的分析模型。
层次分析法确定权重之后,对元素之间的相互关系进行整合,形成层次结构后,决策者需要针对性做出决策方案,并计算各方案在不同准则下的相对重要程度,最后进行方案优劣排序,使得决策效率能够显著提升。
六、结束语
针对信息系统在行业领域应用逐渐广泛,而其等级保护测试评价方法却相对滞后的问题,本文结合其发展现状做了简要分析,并归纳了我国安全等级保护的分级现状。为了使得当下信息系统等级保护测评的评价结果更为直观与准确,本文研究了信息系统等级保护评价方法中指标体系的构建及指标权重的确定方法,为改善系统安全问题提供了解决方向。
参考文献:
[1]蔡昌许, 蔡昌曙. 电子政务外网等级保护测评探讨%Classified Protection Evaluation Investigation of E-government Extranet[J]. 电脑知识与技术, 2014, 000(035):8593-8594.
[2] 黄石平. 浅析大数据信息安全等级保护%Analysis of Big Data Information Security Level Protection[J]. 电脑知识与技术:学术交流, 2017.
[3]丁晨. 大数据和人工智能技术在银行网络安全风险管理中的实践——日志安全审计分析业务[J]. 中国信息化, 2019(5).
[4]王艳军. Research on the prototype of general basic software level protection%通用基础软件等级保护测评原型的研究[J]. 电子测试, 2016, 000(011):138-139.
关键词:大数据;等级保护;测试评价;方法研究
引言:随着我国改革的持续深入,信息化建设也将进一步发展,各行各业也会逐渐建立起更加完善的信息化系统。一方面,生活由于信息化所带来的便利愈来愈多,生产力与生产关系被進一步优化。但是另一方面,越来越多的信息安全问题开始逐渐暴露,甚至提升至国家安全的层度。因此针对性的进行信息系统的评价方法的相关理论研究,并针对性的进行测试评估方法的改进,具有重要价值与意义。
一、等级保护发展历程
由于信息系统的多样化以及互联网环境的日趋复杂,信息系统暴露于诸多安全隐患之下,导致用户隐私、工作数据与信息等面临威胁[1]。为了避免信息系统所受到安全问题侵扰,国务院自上世纪九十年代起,就开始着手等级保护制度的立法工作,并颁布与实施了信息安全系统等级保护制度。公安部门针对信息安全等级保护工作,也进行了规范与限制,从等级保护工作的监督、检查等方面,积极推进我国信息系统等级保护整体工作。国务院小组于2007年,联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》,使得我国信息系统安全制度开始确立。《网络安全法》的颁布,又将我国的信息安全等级保护工作上升到国家层面。
信息系统等级保护的基本要求,分为技术要求与管理要求。技术要求从物理、网络、主机、应用以及数据角度落实,而管理要求则主要从安全管理的制度与机构、人员管理、系统管理的建设与维护等角度进行规范。在我国,近些年来,等级保护评价制度,也逐渐进行了一定程度的改革,但是其改革方向还主要体现在权重的划分之上,在其它方面未有所涉及。但是,如今,信息系统随着所涉及的行业与领域逐渐增多,也日趋复杂化。以往“一刀切”的评价方式,与实际需求之间逐渐脱轨,不同测评点对系统的影响程度也越加难以区分。
二、信息安全等级划分
信息安全等级的划分主要依据信息完整新、保密性、可用性以及完整性等进行划分。还应该综合权衡系统的重要性[2]。信息系统必修具备一定的安全保护能力,能够在系统受到攻击时发挥效果。
(一)用户自主保护级
信息系统的破坏不会对国家安全以及社会集体利益产生影响,但是会对用户个人、公司法人造成不良影响。这一级别,主要适用于一般的信息系统。信息系统的运营者要对其进行负责、监督与保护。一级信息安全能够防护一般灾害,或针对用户或个人信息系统的侵害,其造成的社会影响性相对较小,且系统在遭受到攻击后,系统信息可部分恢复。
(二)审议保护级
信息系统的破坏、对社会公共利益及社会中所包含的个体利益产生侵害,以影响公共社会的秩序为系统审议保护级。这一级别适用于国家安全、经济建设等信息系统。该级别的信息系统运营,主要由用人单位进行保护,而国家信安监管部门在其工作中应发挥指导与监督作用。
(三)安全标记保护级
信息系统的破坏会对国家安全产生损害,或者对社会公共利益产生重大影响。这一级别主要适用于涉及国家安全、经济建设以及社会秩序的信息系统[3]。国际信息安全监管部门对其进行检查、指导与监督。
(四)安全保护级及专控保护级
安全保护级是指为避免组织对国家丰富资源及其他国家级别信息,进行恶意攻击的专控保护级,也是为避免信息系统破坏,对国家安全造成严重损害。国家设置的监管部门,对其测评保护工作进行指导。
三、信息系统测试评价方法发展现状
当下,与信息安全相关的标注体系逐渐完善,向着专业化的方向发展。但是,由于测试水平还存在诸多不足,使得体系与测评方法之间还存在着一定滞后[4]。此外,信息系统等级保护测评针对不同行业也没有进行针对性区分,使得测试结果与行业实际情况存在较大偏差。例如有的行业在管理要求上实施完好,与管理相关的部分都具有完善的流程与记录。但是技术环节上,却存在着诸多不足,甚至存在一定的安全隐患。现有的评价系统中,管理体系完善与规范,但是技术操作存在显著缺陷的信息系统,却容易被评价为较高的分数,给行业管理者造成误导。又例如,不同的两个行业之间,由于经营方向存在差异,对不同方向的安全风险要求不同,而信息系统没有明确的行业概念。使得标准无法适用于测评需求不同的行业,自然容易造成测试结果与实际情况之间的偏差。机械式的判断必然会造成评价体系有效度的不足。
如今,大数据背景下,信息系统的测试评价方法主要分为三种,即非参数统计、参数统计以及神经网络法。常用于信息系统风险评估的模型包括信用评价模型、Bayes风险分析、Logistic回归模型等。参差分析法与模糊综合评价法在信息系统测试评价中也较为常见,模糊层次分析法的引用,往往能够增强评价方式的客观性。
五、等级保护测试评价方法改进体系构建
等级保护测试应秉持客观性、公众性与符合性原则,进行安全控制测评与系统整体测评两方面工作。信息系统的安全控制测评是测评的基础,一般包括访谈、检查与测试三种测评方式。等级测评工作需要经过准备、现场实施以及分析与报告三个阶段。在等级评价保护测试评价中,最为核心的是评价指标体系的构建及其权重的确定。
针对评价指标体系的构建,应该从信息系统安全的实际情况出发,来深入了解信息系统所涉及行业的实际情况,综合权衡各因素,才能真正确立科学的评价体系。层次分析法,作为一种能够将定性与定量完美结合的多目标层次分析方法,逐渐被应用于评价指标体系各因素权重的确定之中。将问题进行层次化,可以更好地完成系统分析,使不同的隶属关系与影响因子可以被多层次组合,从而形成层次化明显的分析模型。
层次分析法确定权重之后,对元素之间的相互关系进行整合,形成层次结构后,决策者需要针对性做出决策方案,并计算各方案在不同准则下的相对重要程度,最后进行方案优劣排序,使得决策效率能够显著提升。
六、结束语
针对信息系统在行业领域应用逐渐广泛,而其等级保护测试评价方法却相对滞后的问题,本文结合其发展现状做了简要分析,并归纳了我国安全等级保护的分级现状。为了使得当下信息系统等级保护测评的评价结果更为直观与准确,本文研究了信息系统等级保护评价方法中指标体系的构建及指标权重的确定方法,为改善系统安全问题提供了解决方向。
参考文献:
[1]蔡昌许, 蔡昌曙. 电子政务外网等级保护测评探讨%Classified Protection Evaluation Investigation of E-government Extranet[J]. 电脑知识与技术, 2014, 000(035):8593-8594.
[2] 黄石平. 浅析大数据信息安全等级保护%Analysis of Big Data Information Security Level Protection[J]. 电脑知识与技术:学术交流, 2017.
[3]丁晨. 大数据和人工智能技术在银行网络安全风险管理中的实践——日志安全审计分析业务[J]. 中国信息化, 2019(5).
[4]王艳军. Research on the prototype of general basic software level protection%通用基础软件等级保护测评原型的研究[J]. 电子测试, 2016, 000(011):138-139.