信息系統(tǒng)安全評價系統(tǒng)設(shè)計及實現(xiàn)

王芳芳

摘要：現(xiàn)代計算機技術(shù)和網(wǎng)絡(luò)技術(shù)正在以實時性、便捷性改變著人們的生活方式和習(xí)慣，然而，信息系統(tǒng)在給人們帶來便利的同時，也存在不可避免的安全漏洞和風(fēng)險，為此，需要增強信息系統(tǒng)的安全性功能，并且隨著現(xiàn)代不同功能、不同語言、不同架構(gòu)的業(yè)務(wù)開發(fā)模式下，為了提升數(shù)據(jù)共享的安全性、便捷性和高效性，要關(guān)注信息系統(tǒng)集成之后的安全性能，可以基于層次分析法進行信息系統(tǒng)的風(fēng)險評估，有效挖掘信息系統(tǒng)中的漏洞，準(zhǔn)確定位信息系統(tǒng)中的安全風(fēng)險隱患和脆弱部位，從而進行信息系統(tǒng)的安全評價系統(tǒng)的設(shè)計和開發(fā)實現(xiàn)。

關(guān)鍵詞：信息系統(tǒng)；安全評價；設(shè)計；實現(xiàn)

現(xiàn)代網(wǎng)絡(luò)信息時代背景下，信息系統(tǒng)的安全問題成為了首要的問題，而對信息系統(tǒng)的安全風(fēng)險評估是信息安全管理中的重要構(gòu)件，需要基于層次分析法建模理論，進行信息系統(tǒng)的安全評價設(shè)計和風(fēng)險評估，從而最大程度地減少信息安全評估的主觀因素，提升信息系統(tǒng)安全評價系統(tǒng)的準(zhǔn)確性和高效性，要從工具的需求分析、軟件設(shè)計、工具實現(xiàn)關(guān)鍵技術(shù)以及工具測試等方面進行描述和設(shè)計，為信息系統(tǒng)風(fēng)險評估提供良好的研究價值和實用性意義。

一、信息系統(tǒng)安全評價系統(tǒng)概述

信息系統(tǒng)的安全問題與技術(shù)和管理有密切的關(guān)聯(lián)，單純依賴于安全技術(shù)是片面性的認識，還需要針對信息系統(tǒng)對象，依照一定的管理程序和方法，進行信息安全任務(wù)的實現(xiàn)，而信息系統(tǒng)的安全風(fēng)險評估是信息安全管理的基礎(chǔ)和關(guān)鍵內(nèi)容，要有效地通過對信息系統(tǒng)安全風(fēng)險的評估，分析信息系統(tǒng)的資產(chǎn)價值、潛在威脅和防護措施等，并對信息系統(tǒng)中存在的主要安全問題，進行分析，尋求對策，進行有效的管理。信息系統(tǒng)安全評價系統(tǒng)涉及各個層面，包括物理層、網(wǎng)絡(luò)層、應(yīng)用層和系統(tǒng)層，為了對復(fù)雜的信息系統(tǒng)進行安全評估，需要確立各指標(biāo)之間的量化計算模型，考慮信息系統(tǒng)安全評價的基本要素，如：信息資產(chǎn)的脆弱性、信息資產(chǎn)面臨的威脅、信息的安全防護措施等，要評估與這些資產(chǎn)價值和安全需求相契合的各種屬性。其中，常用的信息系統(tǒng)安全評價系統(tǒng)方法主要有：

1、信息系統(tǒng)安全風(fēng)險模式影響及危害性分析（RMECA）。這種模式主要是首先要對被分析系統(tǒng)進行定義，在明確系統(tǒng)功能的前提下，尋找出單點風(fēng)險，根據(jù)單點風(fēng)險發(fā)生的概率和嚴(yán)重程度，定位其危害性，并尋找出薄弱環(huán)節(jié)，加以適宜的控制。

2、風(fēng)險評審技術(shù)（VERT）。這種模式以被分析系統(tǒng)為對象，采用隨機網(wǎng)絡(luò)仿真手段，對信息系統(tǒng)進行風(fēng)險定量分析，建構(gòu)對應(yīng)的隨機網(wǎng)絡(luò)模型，根據(jù)不同任務(wù)的性質(zhì)，利用輸入和輸出邏輯功能，全面表達出實際活動過程的邏輯關(guān)系和隨機約束，從而根據(jù)各參數(shù)信息分析信息系統(tǒng)的風(fēng)險狀況。

3、德爾斐法。即定性預(yù)測方法，這是一種背對背的分析方法，是系統(tǒng)性的、獨立性的判斷方式，可以避免權(quán)威對分析的影響，提升預(yù)測的可靠性。

4、層次分析法（AHP法）。這是定性與定量分析相結(jié)合的分析方法，主要應(yīng)用于沒有統(tǒng)一度量標(biāo)尺的復(fù)雜系統(tǒng)的分析，它基于層次分解法的思想，建構(gòu)層次結(jié)構(gòu)模型，進行分層次、擬定量和規(guī)范化的分析和處理。

5、模糊分析法（Fuzzy Analysis）。這是基于模糊集合匯總而成的一種預(yù)測分析方法，在與人們思維模式相吻合的前提下，運用程度語言對被分析系統(tǒng)進行描述和表達。

二、信息系統(tǒng)安全評價系統(tǒng)的設(shè)計與構(gòu)建

信息系統(tǒng)的安全風(fēng)險是一個多指標(biāo)的綜合評價集，需要兼顧安全風(fēng)險的各個層面，面向復(fù)雜的信息系統(tǒng)，可以基于層次分析法和模糊綜合評價法，進行定性和定量的分析。其安全評價系統(tǒng)設(shè)計的總體目標(biāo)為：（1）為安全評價人員提供風(fēng)險評估系統(tǒng)軟件，包括對信息的采集、分類、資產(chǎn)權(quán)重等計算，并得出評判結(jié)果。（2）對組織的信息系統(tǒng)的安全狀況進行評測，對于信息系統(tǒng)中存在的安全防護弱點進行改進和優(yōu)化。（3）基于人機友好交互界面之下，進行數(shù)據(jù)的分布式訪問，實現(xiàn)信息數(shù)據(jù)的集中統(tǒng)一管理。

1、信息系統(tǒng)安全評價系統(tǒng)的總體模塊設(shè)計

在信息系統(tǒng)安全評價系統(tǒng)之中，可以設(shè)計為四大模塊，即：

（1）數(shù)據(jù)安全模塊。該模塊主要用于對已有數(shù)據(jù)的備份和恢復(fù)，避免失誤。

（2）數(shù)據(jù)提供模塊。該模塊涵蓋有資產(chǎn)數(shù)據(jù)庫和風(fēng)險數(shù)據(jù)庫，是評價系統(tǒng)的基礎(chǔ)數(shù)據(jù)的載體形式，可以適用于不同的系統(tǒng)需求。

（3）資產(chǎn)評估模塊。該模塊用于計算資產(chǎn)的權(quán)重，依據(jù)層次分析法對系統(tǒng)進行一致性評估和檢查。

（4）風(fēng)險評估模塊。該模塊對信息數(shù)據(jù)進行風(fēng)險評估，并進行完整性檢查。

2、建構(gòu)信息系統(tǒng)安全評價層次結(jié)構(gòu)模型

在分解法的思想引領(lǐng)下，對被評價的信息系統(tǒng)對象，進行資產(chǎn)價值和風(fēng)險層次結(jié)構(gòu)模型的建構(gòu)，建構(gòu)層次分為：目標(biāo)層、準(zhǔn)則層和方案層，其中：（1）目標(biāo)層。是指信息系統(tǒng)整體的安全，可以用A表示。（2）準(zhǔn)則層?？梢杂肂表示，涵蓋信息安全、硬件安全、軟件安全、管理安全和環(huán)境安全五個層面。（3）方案層。是指信息系統(tǒng)對用戶的身份識別、訪問限制控制、信息加密、入侵檢測等指標(biāo)內(nèi)容。在上述結(jié)構(gòu)層次之中，形成一個系統(tǒng)而規(guī)范化的信息系統(tǒng)安全評估指標(biāo)體系。

3、運用向量范數(shù)法優(yōu)化判斷矩陣

在層次結(jié)構(gòu)模型之中，要涉及諸多的資產(chǎn)或風(fēng)險因素，如果單憑人們的自主判斷，無疑存在各種不確定性和不全面性的問題，而如果僅采用定性的判斷方式，又往往難于讓人理解和接受。因而，要構(gòu)造判斷矩陣，采用兩兩對比的方式，運用相對尺度，盡量避免比較和評價中的困難，從而提高評價結(jié)果的準(zhǔn)確性。

3.1 在構(gòu)造判斷矩陣時，要采用一定的尺度來加以衡量，可以采用1～9比例標(biāo)度評價集，形成一個判斷矩陣，如下表所示：

3.2 運用向量范數(shù)法，對判斷矩陣一致性的校驗

基于向量范數(shù)法，可以對信息系統(tǒng)的判斷矩陣進行一致性校驗，由于客觀因素的不確定性和復(fù)雜性特點，需要對原有的判斷矩陣基于向量范數(shù)理論進行校正。

三、結(jié)束語

總之，信息系統(tǒng)安全評價系統(tǒng)的構(gòu)建要由實際需求出發(fā)，建構(gòu)信息系統(tǒng)安全評價模型，基于層次分析法和相關(guān)分析方法的理論，科學(xué)合理地對信息數(shù)據(jù)進行完整性檢查和一致性檢測，從而提升信息系統(tǒng)的整體安全防護能力。

參考文獻：

[1]高玉良.安全評價過程的風(fēng)險控制[D].中國地質(zhì)大學(xué)（北京） 2010

[2]姜麗麗.基于網(wǎng)絡(luò)安全系統(tǒng)的大規(guī)模模式集合匹配算法的研究[D]. 東南大學(xué)2015