三級系統信息安全等級保護測評指標體系研究

姚洪磊，楊 文

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

三級系統信息安全等級保護測評指標體系研究

姚洪磊，楊 文

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

依據《信息系統安全等級保護基本要求》中對三級系統的要求，本文建立了三級系統信息安全等級保護評價指標體系結構，并對三級信息系統各項測評指標進行了分解，使測評人員可以更有針對性地對信息系統標準符合性進行評價，依據分解后的指標體系，采用層次分析法和主觀評價法確定了信息系統等級保護測評指標體系中各項指標所占的權重，得出更加精確的綜合測評結果，為各行業的信息系統等級保護測評工作的開展提供參考。

信息安全；等級保護；測評指標

伴隨我國信息化程度的提高，信息安全等級保護測評逐漸成為各行業信息系統安全管理和安全技術的重要保障手段，通過測評結果可以體現出各類信息系統的安全程度。目前測評結果主要依據國家標準并通過人工經驗分析得到，但由于標準的條款和指標較為宏觀，無法對每一項指標進行細化和量化，導致測評過程中的人為主觀判斷影響較大，需要制定一個規范、客觀的標準進行衡量，因此對信息系統等級保護測評的結果進行全面的量化是有必要的。

層次分析法是T.L.Saaty在20世紀70年代首次提出的[1~3]，它是將復雜問題分解成各個不同因素，按一定的支配關系形成遞階層次的結構，通過比較的方式，采用相對尺度的辦法，減少性質不同的因素在比對過程中存在的問題和困難，綜合人為判斷，得出決策因素的重要性排序。

本文根據信息系統等級保護的實際測評經驗，開展了如下研究工作：（1）將《信息系統等級保護測評基本要求》[4]中的測評指標按照技術類別進行重新分類，建立三級信息系統的等級保護測評指標體系，便于測評人員在實際測評過程中對各層面間的互補因素進行統籌和綜合考慮，大大減輕了各層面間互補分析環節的工作量；（2）在建立的體系基礎上，對各項指標進行細化和分解，盡可能對各項指標要求進行量化，減少人為判斷的主觀影響；（3）采用層次分析法，確定三級信息系統等級保護測評指標中各項指標的權重，具有實用性，為繼續開展等級保護測評研究打下了基礎。

1 測評指標體系結構

依據《信息系統安全等級保護基本要求》，將三級系統中的技術安全指標按照技術類別進行了重新劃分，形成了三級信息系統等級保護測評指標體系，如圖1所示。

圖1 三級信息系統等級保護測評指標體系

2 測評指標及要求

本文將測評指標中的安全技術劃分為9類，以身份鑒別技術為例，對身份鑒別技術進行指標分解，如表1所示。

表1 身份鑒別技術指標及要求

3 測評指標計算

3.1 測評指標的權重

測評指標的權重反映了對應的指標在信息系統測試要求中所占的比重大小，本文以某個三級信息系統測評結果為例，說明如何采用層次分析法來量化信息系統等級保護測評指標和權重，如表2所示。

表2 層次分析法對三級信息系統測評指標評分

3.2 測評指標的計算

3.2.1 判斷測評點指標得分

依據《信息系統安全等級保護基本要求》，被測信息系統各項指標的符合程度可以劃分為“符合”、“基本符合”、“一般符合”、“基本不中符合”、“不符合”5種類型，根據實踐經驗，5個符合程度的判別依據及其賦值如表3所示。

表3 測評點標準符合程度判別依據及賦值

3.2.2 綜合測評指標計算

綜合測評指標[5]是用于反映當前信息系統的安全程度，是評價和描述信息系統安全標準符合性的綜合性指標，計算公式為：

式（1）中，P為綜合測評指標，Qi為第i項測評點的權重，Fi為第i項測評點指標評分值，n為測評點指標的項目總數。綜合測評指標與測評體系標準符合程度和對應關系如表4所示。

表4 綜合測評指標與測評體系標準符合程度和對應關系

以某個第3級信息系統等級保護測評結果為例，根據表2得到 Fi、Qi的值，應用公式（1）可得P值：

對照表4，P的值在80≤P< 90 間，三級信息系統符合《信息系統安全等級保護基本要求》中的要求。

4 結束語

本文首先建立了三級信息系統的測評指標體系結構，在此基礎上對《信息系統安全等級保護基本要求》的3級系統各項測評指標進行了分解，使測評人員可以更有針對性地對信息系統標準符合性進行評價；依據分解后的指標體系，采用層次分析法和主觀評價法確定了信息系統等級保護測評指標體系中各項指標的權重，得出了更加精確的綜合評價結果，該方法可以對信息系統等級保護測評工作的建設和應用提供參考和依據。

[1] 楊學津，魏愛榮，魯瑞云.用于因素分析的綜合集成層次分析法[J]. 技術經濟與管理研究，2000（5）：46-47.

[2] 胡海軍，程光旭，禹盛林，等. 一種基于層次分析法的危險化學品源安全評價綜合模型[J]. 安全與環境學報，2007，7（3）：141-144.

[3] 郭金玉，張忠彬，孫慶云. 層次分析法的研究與應用[J].中國安全科學學報，2008，18（5）：148-153.

[4] 中華人民共和國國家質量監督檢驗檢疫總局.GB/T 22239-2008，信息安全技術—信息系統安全等級保護基本要求[S].北京：中國標準出版社，2008.

[5] 王海珍，鄭志峰. 二級信息系統等級保護評價指標體系[C].全國計算機安全學術交流會論文集，2009：238-243.

責任編輯 陳 蓉

Evaluation index system of information security level protection for third-class system

YAO Honglei, YANG Wen
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

According to the requirements of “essential demand of information system security level protection” to third class system, the paper built the evaluation index system of information security level protection for third class system, further analyzed the evaluation index, made the personnel evaluate the standard compliance of information system with pertinence. According to the index system of decomposition, the weight of index in the System was determined by analytic hierarchy process and subjective estimate method, the integrated evaluation results were got more precise. It was provided reference for the evaluation work.

information security; level protection; evaluation index

U29-39

A

1005-8451（2015）02-0059-04

2014-10-08

姚洪磊，助理研究員；楊 文，助理研究員。