信息安全模型的研究及安全系統方案設計

張征

摘 要 信息安全模型是保障網絡信息安全的關鍵部分，為降低網絡信息的風險因素，必須展開對信息安全模型建設進行研究，并對具體的安全系統方案進行設計。然而，實際的安全系統中，缺乏有效的風險評估能力，不能展開對安全風險的評估和控制，制約企業的發展和進步。故此，結合中國移動廣東公司的基于4M模型的信息安全風險評估能力模型展開探究，對于具體的信息安全模型和安全系統方案設計進行研究，旨在提升安全風險的評估能力，提升信息安全效果，推動企業發展。

關鍵詞 信息安全模型；研究；安全系統；方案設計

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2017）193-0047-02

物聯網技術的不斷完善和進步，安全威脅的攻擊對象也不斷轉變，網絡安全威脅成為影響物聯網、工業互聯網安全的關鍵，這也對網絡安全技術和手段提出了更高的要求。而且，頻繁發生的安全隱患，可能會造成大范圍損失，嚴重影響網絡安全，亟需改變?；诖耍铇嫿ㄓ行У木W絡安全防護體系。本次研究結合移動信息企業的基本情況，對具體的基于4M的信息安全風險評估能力模型進行闡述，并對其具體的安全系統方案設計進行研究，具體內容如下。

1 信息安全模型研究

信息安全模型的種類較多，可以根據具體的安全等級和能力，可分為單級和多級兩種形式。站在的安全控制角度，可以將安全模型分為訪問控制、信息控制等，具體如下所述。

1）訪問控制類模型。這類模型的特點主要體現在直觀性、系統直接對應聯系，是建立在矩陣模型的基礎上。為降低矩陣的體積，可選擇按列存儲的矩陣方式。訪問矩陣有廣泛應用，尤其是對保護系統安全的理論研究。訪問控制類模型，可引入角色概念，構建基于角色訪問的控制模型，具有靈活可靠的特點。

2）信息流控制類模型。訪問矩陣模型借助方案監控器，結合訪問矩陣的決定，確定用戶是否具備訪問權利，經過確認后，則不再對用戶進行監控。而信息流控制模型則是在信息流控制的基本理念下展開。信息流控制類模型，可根據主體與客體的基本情況，對安全等級進行劃分，從而完成對信息安全的控制。常見的信息流控制類模型有：軍用安全模型、BLP模型和Bilba模型等。不同的安全模型，需要結合實際情況，展開對其的應用。

3）基于4M的信息安全風險評估能力模型。模型是通過構建體系（systeM）、工具（platforM）、機制（Means）、隊伍（teaM）4個層面，完成對系統安全態勢的度量，進而為信息安全奠定基礎?；?M的信息安全風險評估能力模型，融入ISO27001：2013，并以系統—領域—要素—指標為核心框架，可順利完成系統安全狀態的量化評估。且能夠借助云服務，實現有效的信息共享，符合現代移動通信企業的基本需求。

2 安全系統方案設計

選擇基于4M的信息安全風險評估能力模型，作為信息安全模型，展開對安全系統方案設計，內容如下。

2.1 體系設計

構建全面適用的評估體系，實現對信息風險的評估。系統風險評估，是推動信息安全管理的關鍵部分。具體的體系設計中，需要對風險評估標準框架進行構建?？蚣苤饕且韵到y、領域、要素和指標為核心骨架，按照逐級建設的方式，完成對風險度量指標體系的構建。具體的構建中，可引入ISO27001：2013信息安全管理規范等內容，其中指標作為體系的關鍵部分，從其具體的定義、分級等入手，進而完成對體系的設計。

為實現系統的量化評估，則需對量化評分手段進行研究，具體的量化評估方式，可以按照4層遞歸評分方式。

2.2 工具設計

為實現對安全系統方案的設計，需加強對安全度量平臺的建設，借助安全度量平臺，實現對系統風險的綜合評估，并借助云服務推動度量平臺的推廣。安全度量平臺可有效提升計算自動化水平，降低成本，并降低門檻推動人員的運維效果，且數據能夠可視化、對比和共享，符合通信企業的基本需求。

2.3 隊伍設計

隊伍無需專業評估人員，評價者僅僅需要對系統具體操作進行了解，具體的評價設計方式，主要以答卷化為主，并對評估內容進行簡化，將選擇題、判斷題作為主要的風險評價指標度量的關鍵。而且，還可以指定度量分配方案，由不同的人員完成對不同類型的指標評價，滿足信息安全的基本需求。

2.4 機制設計

為保障信息安全評估的有效性，需要建立有效的機制，本文通過構建系統交互、人工識別驗證、系統設備自動采集信息等方式，滿足系統原始數據信息的客觀性和準確性。只有保障數據信息的可靠穩定，才能保障風險識別的效果。其中系統交互驗證機制的具體交互方式，是由運維人員，將數據信息上傳到度量平臺。對于人工識別驗證機制，主要是通過工作人員識別提取的文件類型，并借助定期提交管理規范文件的方式，實現交互。

在此基礎上，還需要綜合對訪問控制、保密、驗證和安全保護等內容進行設計。其中對于系統訪問控制對每個用戶進行命令授權、等級劃分等內容，并選擇多級保密的方式，確保系統信息的整體安全性。為進一步保障系統的安全，本次研究可選擇智能卡進行用戶的身份驗證，對不同類型用戶的權限進行劃分，并保障用戶身份真實的基礎上，完成對用戶的識別驗證。系統自身的安全保護。為保護系統整體安全，必須對安全系統自身的安全保護部分的設計。另外，為實現基于4M的信息安全風險評估能力模型的安全系統，還需要對各個模塊進行設計，模塊包括系統管理員操作模塊、量化評分模塊等內容。

3 應用研究

基于4M的信息安全風險評估能力模型所構建的安全系統，于2015年1月—12月，安全系統已經在廣東省得到了全面的實施，且在試用期間，也得到較好的節約成本的目的。借助安全系統的應用，有效的規避安全風險的帶來的損失，未來在全省9 000余套系統的全面推廣，可預計節約成本3 240萬元，規避信息安全問題的產生，符合企業持續健康發展的需求。

另外，安全系統的應用，在基本控制安全風險的基礎上，還可以提供安全工作的效率，可提升60%，并為重點管理工作提供有效的決策依據，推動企業的信息安全。

4 結論

結合中國移動廣東公司的信息安全模型展開研究，對具體的基于4M模型的信息安全評價體系進行研究，結合實際情況，對具體的安全系統方案設計進行研究，最后對具體的系統應用情況進行闡述，得到有效的安全系統方案設計，對改善企業信息安全具有積極的作用與意義。

參考文獻

[1]劉靜.基于模擬攻擊方式的信息安全性檢測模型的研究與設計[D].西安：西北大學，2011：35-36.

[2]李軍，郭紅梅.計算機信息安全技術的應用探究[J].電子測試，2014（21）：152-153.

[3]曹祥飛，王奔，黃承鍵.計算機信息系統安全防護體系模型建立與實現分析探究[J].工程技術：全文版，2016（12）：00320.

[4]陳澤徐.基于RBAC的信息安全模型的研究與設計[J].電子制作，2012（11）：10.

[5]曹霞.基于面向服務的信息安全模型探究[J].電腦編程技巧與維護，2015（11）：99-100.