首页English
  • 时政
  • 国际
  • 时评
  • 理论
  • 文化
  • 科技
  • 教育
  • 经济
  • 生活
  • 法治
  • 军事
  • 卫生
  • 健康
  • 女人
  • 文娱
  • 电视
  • 图片
  • 科普
  • 光明报系
  • 更多>>
  • 报 纸
    杂 志
    中华读书报 2017年06月14日 星期三

    迫切需要建设国家级安全等级测评通用平台

    徐云峰 《 中华读书报 》( 2017年06月14日   17 版)

        综合国内外机构和业界专家的分析结论,认为“放之四海皆通用”的测评平台仍是目前空白,迫切需要建设一个定性与定量相结合的国家级安全等级测评通用平台,实现既可以对待评测的系统所处的安全等级进行定性分析,更要对待评测的系统的安全状况进行定量描述。

     

        随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。作为我国信息化战略的七大要素之一,网络空间安全关系国家安全,如何保障信息网络安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。

     

        但网络安全没有万全之策,我国借鉴国际标准和相关指南,依法开展信息安全等级保护工作。1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定“计算机信息系统实行安全等级保护”。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度,既是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是我国多年来信息安全工作经验的实践总结。通过多年的工作部署和积极探索,初步形成了我国独立自主的信息安全等级保护体系,为我国实施网络空间安全战略提供了有力保障和支撑。

     

        总的来看,我国信息安全保障工作尚处于初级阶段:信息网络安全意识和安全防范能力脆弱,信息网络安全滞后于信息化发展,信息系统安全建设和管理的目标不明确,信息安全保障工作的重点不突出,信息安全监督管理缺乏依据和标准……随着信息技术的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂,前不久泛滥的wannacry勒索病毒造成的损失主要集中在内网,内网安全问题随及纷纷被人吐槽:“所谓的内网安全是自欺欺人,内外网隔离是皇帝新装”。任何企业及其信息系统都还可能面临着包括计算机辅助欺诈、刺探、阴谋破坏、火灾、水灾等大范围的安全威胁。因此,有必要对信息系统的安全性进行评估,这是我国信息安全等级保护的基础工作和重要内容。对信息系统进行风险评估即对系统的脆弱性、系统面临的威胁、威胁发生的可能性,以及脆弱性被威胁源利用后所产生的负面影响的评估,系统安全的风险评估结果对组织机构在信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策具有重要的指导作用。

     

        目前我国对等级保护体系和风险评估技术方面的理论研究才刚刚起步,基于政策研究和标准制定的文件和会议层出不穷,服务于等级保护工作的专业人员和服务机构参差不齐,而面向具体应用和不同用户通用的评估机制和实用的评测系统却寥寥无几,信息安全的定性定量分析方面也没有一种完善有效的方法,我国信息化高速发展的需求与信息安全保障滞后的矛盾日益凸显,而恰恰起关键性作用的等级保护评测技术的突破业已成为事业发展和工作推进中的瓶颈性问题之一。综合国内外机构和业界专家的分析结论,认为“放之四海皆通用”的测评平台仍是目前空白,迫切需要建设一个定性与定量相结合的国家级安全等级测评通用平台,实现既可以对待评测的系统所处的安全等级进行定性分析,更要对待评测的系统的安全状况进行定量描述。

     

        在各级各地的长期重视和支持下,通过多年大量地学习、实践和文献资料研究后,本人结合AHP算法、DS理论和人工蜂群算法,实现了一种新的信息系统安全评估与分析方法(基于XML/AHP/DS理论的信息系统安全评测方法),形成了一套原型产品,搭建了一个通用平台,取得了相关发明专利。该方法的主要特点就是基于《信息系统安全等级保护测评准则》,可以对待评测的系统所处的安全等级进行定性分析,也可以实现对待评测的系统的安全状况进行定量描述。

     

        首先基于《信息系统安全等级保护测评准则》,抽取其中的原子评测准则,然后使用XML语言对准则进行标准化描述;其后,根据《信息系统安全等级保护测评准则》的评测准则,基于AHP理论,确定各个评测准则层元素的权重。

     

        在XML/AHP方法基础之上,根据已经建立的评测结构,设置各个准则层和措施层的关系,确定DS证据理论评测方法。

     

        最后,为了说明DS证据理论评测方法的有效性,将这个方法应用于一种典型随机搜索算法的安全评估和分析中。这种典型的随机搜索算法就是人工蜂群算法,它是一种新的基于群体的随机算法,并擅长于全局搜索。由于搜索算法的数据量大,所以评估的任务也相对繁重,为了更好地说明测试效果,我们改进这种算法,修改了引领蜂和跟随蜂的搜索模式。将当前群体中较好解存储起来构造一个解池,随机地从解池中选择一个解,通过搜索它的领域来产生新的候选解,这样即可对候选解中的数据进行测试来达到评估的效果。

     

        总之,基于XML/AHP/DS理论的信息系统安全评测方法,系采用层次分析技术、数据融合技术,实现对各个评测项目输入的分析、计算,开发评测分析模型的原型系统,为信息系统安全等级保护测评提供理论、方法、技术和系统的支持。提出能够对《信息系统安全等级保护测评准则》标准进行改进、定性和定量相结合的安全评估方法,以克服单一评估方法的不足。在具体设计安全评估方法时,采用风险树和风险模式影响分析相结合的方式对《信息系统安全等级保护测评准则》进行了实施与应用。该方法的创新点在于除了可以对待评测的信息系统的安全等级进行定性评价,还可以给出待评测系统的定量结果。

     

        (作者系中国指挥与控制学会认知与行为专委会副主任委员,中国计算机学会高级会员、中国计算机学会安全专委会常务委员;十一届、十二届全国青联委员)

     

    光明日报社概况 | 关于光明网 | 报网动态 | 联系我们 | 法律声明 | 光明网邮箱 | 网站地图

    光明日报版权所有