信息系統(tǒng)可控性評價探討

宋志悅 楊濤 吳宇

摘 要：在信息時代信息系統(tǒng)的安全性至關重要，而信息系統(tǒng)是否安全主要取決于系統(tǒng)可控性高低。信息系統(tǒng)的可控性是需要進行評價的，從而判斷系統(tǒng)安全性。本文針對評價指標進行了歸納，并建立了信息系統(tǒng)可控性評價體系，希望能夠為相關專業(yè)人士提供參考。

關鍵詞：信息系統(tǒng);可控性;評價;指標

1 引言

對于當今的任何一個國家而言，信息安全保障能力是其國力中的一個重要組成部分，所以信息安全核心關鍵技術是否能夠?qū)崿F(xiàn)自主可控會直接決定到國家信息產(chǎn)業(yè)的未來發(fā)展。因此信息系統(tǒng)的可控性對于信息系統(tǒng)而言極為重要。針對信息系統(tǒng)可控性評價指標進行研究，能夠使得系統(tǒng)安全可控程度得到大幅度提升，為此本文針對信息系統(tǒng)可控性評價進行了探討。

2 信息系統(tǒng)可控性概念

通常情況下信息系統(tǒng)可控性所指的是這個信息系統(tǒng)主體可以實現(xiàn)內(nèi)部結(jié)構(gòu)的維持或者是調(diào)整，可以顯性或者是隱性的對其運行狀態(tài)以及功能特性進行維持或者是調(diào)整，從而可以實現(xiàn)對這個系統(tǒng)所作用的其他系統(tǒng)狀態(tài)的維持或者是改變。對于一個信息系統(tǒng)而言，可控性要求這個信息系統(tǒng)主體可以對系統(tǒng)的整個狀態(tài)進行掌控，同時主體可以根據(jù)自己的意愿對運行狀態(tài)進行更改。目前信息系統(tǒng)的可控性主要分為三個部分，分別是安全性、自主性以及穩(wěn)定性。

3 信息系統(tǒng)可控性評價指標

目前信息系統(tǒng)可控性評價指標主要分為四類，分別是軟件類、硬件類、管理類和其他類，評價指標一共有51個。

3.1硬件類可控性評價指標

對于硬件可控性而言，其一般是針對信息系統(tǒng)所對應的硬件部分進行評估，主要包括設備搭建指標、生產(chǎn)技術和專利指標、參數(shù)配置指標、設備搭建指標、硬件運行負荷指標、硬件數(shù)據(jù)監(jiān)測指標、硬件閾值控制指標、硬件操作攔截指標、硬件干擾指標、誤差損耗累積指標以及連續(xù)穩(wěn)定工作時間指標。

3.2軟件類可控性評價指標

對于軟件可控性而言，其一般是針對信息系統(tǒng)所對應的軟件部分進行評估，主要包括代碼變更控制指標、代碼編寫指標、軟件環(huán)境搭建指標、代碼審計指標、邏輯炸彈指標、參數(shù)配置指標、軟件操作攔截指標、遠程控制后門指標、數(shù)據(jù)傳輸安全指標、軟件數(shù)據(jù)監(jiān)控指標、用戶輸入驗證指標、軟件數(shù)據(jù)保護指標、配置錯誤指標、誘導操作指標、內(nèi)存崩潰指標、邏輯錯誤指標以及設計錯誤指標。

3.3管理類可控性評價指標

對于信息系統(tǒng)而言，一般還會有人來進行管控，包括管理工作、使用工作以及維護工作。所謂的管理可控性所指的就是針對于信息系統(tǒng)所對應的管理者進行的一個評估。主要包括人員離職指標、人員錄用指標、人員調(diào)動指標、人員培訓指標、責任規(guī)范指標、人員來訪指標、人員操作安全指標、工作時間指標、物理訪問控制指標、人員考核與審查指標、網(wǎng)絡控制指標、自然環(huán)境控制指標、設備更新指標、軟件變更控制指標、監(jiān)督與檢查指標、定期維護指標、備份與恢復指標、身份認證權(quán)限控制指標以及系統(tǒng)暫停指標。

3.4其他類可控性評價指標

除了上述的可控性評價指標，剩下的都是其他類可控性評價指標，主要包括自然災害指標、入侵檢測病毒防治指標、通信鏈路抗干擾指標以及安全審計指標。

4 信息系統(tǒng)可控性評價體系

在本文中為了能夠針對信息系統(tǒng)實施可控性評價，根據(jù)評價指標進行了評價體系的建立。下面開始對上述51個評價指標進行分類。

4.1軟硬件可控性指標的劃分

其中硬件可控性指標以及軟件可控性指標都是按照自主性以及脆弱性來實施類別劃分的。

所謂的自主性所指的是信息系統(tǒng)里面所采用的每一種技術都完全可以受到主體的掌控。因此對于自主性而言，要求能夠?qū)ο到y(tǒng)的源代碼以及生產(chǎn)技術進行全部掌握，同時還要掌控系統(tǒng)的運行流程、整體結(jié)構(gòu)以及參數(shù)配置，從而完成系統(tǒng)的自主可控。

而對于脆弱性而言，其所指的是系統(tǒng)進行開發(fā)以及運行時，因為存在著開發(fā)者的疏忽或者是操作者的使用不當，對系統(tǒng)所造成的影響。其中分為穩(wěn)定脆弱性以及安全脆弱性，穩(wěn)定脆弱性所指的是系統(tǒng)具有一定的漏洞，造成系統(tǒng)出現(xiàn)固定或者是非固定行為的異常工作;安全脆弱性所指的是系統(tǒng)具有一定的漏洞，造成外界人員的攻擊，使得系統(tǒng)異常工作。

4.2管理類可控性指標的劃分

對于管理類指標而言，這里分為兩類，分別是管理模式可控性以及人員可控性。

其中管理模式可控性所指的是對信息信息的各項制度規(guī)范是否合理進行管理。通過有效的管理模式可以使得系統(tǒng)可靠性得到增強，并系統(tǒng)維護率也會降低。但是如果管理模式不合理，那么不可控隱患就會加劇，因此就會降低效率。

對于人員可控性而言，其所指的是主體能否管控系統(tǒng)相關人員。系統(tǒng)是通過人員操作來實現(xiàn)功能的，如果人員不可控，那么系統(tǒng)可控性也會難以保障。

4.3信息系統(tǒng)可控性的評價

針對指標進行類別劃分，然后根據(jù)指標權(quán)值就能夠得出每一類指標的數(shù)值，從而判斷系統(tǒng)是否能夠達到相應的可控性要求。

5 結(jié)語

影響系統(tǒng)可控性的指標有很多，所以對可控性的評價是非常復雜的，而通過指標的分類以及評價體系的建立就能夠簡化評價流程，對信息系統(tǒng)可控性評價研究具有重要意義。

參考文獻

[1]薛正，馬婷婷，于洋.基于多目標決策的信息安全風險評估方法研究[J].科技資訊，2019，17（02）：1-3.

[2]呂耀懷.大數(shù)據(jù)時代信息安全的倫理考量[J].道德與文明，2019（04）：84-92.

（作者單位：武警警官學院）