大數(shù)據(jù)等級(jí)保護(hù)測(cè)試評(píng)價(jià)方法研究

陳麗潔

摘要：全球大數(shù)據(jù)行業(yè)迅猛發(fā)展，使得各行各業(yè)向信息化延伸與革新，信息化已經(jīng)覆蓋了絕大部分領(lǐng)域。然而信息化的安全問(wèn)題卻仍然客觀存在，嚴(yán)重制約著我國(guó)信息化進(jìn)一步發(fā)展，并逐漸成為信息化進(jìn)程亟待解決的重要問(wèn)題。對(duì)信息化系統(tǒng)進(jìn)行等級(jí)保護(hù)，是基于我國(guó)當(dāng)下國(guó)情需要，提出的測(cè)試評(píng)價(jià)方法。本文以真實(shí)測(cè)評(píng)數(shù)據(jù)進(jìn)行實(shí)驗(yàn)，改進(jìn)了大數(shù)據(jù)背景下的等級(jí)保護(hù)測(cè)試評(píng)價(jià)方法，并對(duì)結(jié)果進(jìn)行了分析。

關(guān)鍵詞：大數(shù)據(jù);等級(jí)保護(hù);測(cè)試評(píng)價(jià);方法研究

引言：隨著我國(guó)改革的持續(xù)深入，信息化建設(shè)也將進(jìn)一步發(fā)展，各行各業(yè)也會(huì)逐漸建立起更加完善的信息化系統(tǒng)。一方面，生活由于信息化所帶來(lái)的便利愈來(lái)愈多，生產(chǎn)力與生產(chǎn)關(guān)系被進(jìn)一步優(yōu)化。但是另一方面，越來(lái)越多的信息安全問(wèn)題開始逐漸暴露，甚至提升至國(guó)家安全的層度。因此針對(duì)性的進(jìn)行信息系統(tǒng)的評(píng)價(jià)方法的相關(guān)理論研究，并針對(duì)性的進(jìn)行測(cè)試評(píng)估方法的改進(jìn)，具有重要價(jià)值與意義。

一、等級(jí)保護(hù)發(fā)展歷程

由于信息系統(tǒng)的多樣化以及互聯(lián)網(wǎng)環(huán)境的日趨復(fù)雜，信息系統(tǒng)暴露于諸多安全隱患之下，導(dǎo)致用戶隱私、工作數(shù)據(jù)與信息等面臨威脅[1]。為了避免信息系統(tǒng)所受到安全問(wèn)題侵?jǐn)_，國(guó)務(wù)院自上世紀(jì)九十年代起，就開始著手等級(jí)保護(hù)制度的立法工作，并頒布與實(shí)施了信息安全系統(tǒng)等級(jí)保護(hù)制度。公安部門針對(duì)信息安全等級(jí)保護(hù)工作，也進(jìn)行了規(guī)范與限制，從等級(jí)保護(hù)工作的監(jiān)督、檢查等方面，積極推進(jìn)我國(guó)信息系統(tǒng)等級(jí)保護(hù)整體工作。國(guó)務(wù)院小組于2007年，聯(lián)合頒布了861號(hào)文件《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》，使得我國(guó)信息系統(tǒng)安全制度開始確立?！毒W(wǎng)絡(luò)安全法》的頒布，又將我國(guó)的信息安全等級(jí)保護(hù)工作上升到國(guó)家層面。

信息系統(tǒng)等級(jí)保護(hù)的基本要求，分為技術(shù)要求與管理要求。技術(shù)要求從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用以及數(shù)據(jù)角度落實(shí)，而管理要求則主要從安全管理的制度與機(jī)構(gòu)、人員管理、系統(tǒng)管理的建設(shè)與維護(hù)等角度進(jìn)行規(guī)范。在我國(guó)，近些年來(lái)，等級(jí)保護(hù)評(píng)價(jià)制度，也逐漸進(jìn)行了一定程度的改革，但是其改革方向還主要體現(xiàn)在權(quán)重的劃分之上，在其它方面未有所涉及。但是，如今，信息系統(tǒng)隨著所涉及的行業(yè)與領(lǐng)域逐漸增多，也日趨復(fù)雜化。以往“一刀切”的評(píng)價(jià)方式，與實(shí)際需求之間逐漸脫軌，不同測(cè)評(píng)點(diǎn)對(duì)系統(tǒng)的影響程度也越加難以區(qū)分。

二、信息安全等級(jí)劃分

信息安全等級(jí)的劃分主要依據(jù)信息完整新、保密性、可用性以及完整性等進(jìn)行劃分。還應(yīng)該綜合權(quán)衡系統(tǒng)的重要性[2]。信息系統(tǒng)必修具備一定的安全保護(hù)能力，能夠在系統(tǒng)受到攻擊時(shí)發(fā)揮效果。

（一）用戶自主保護(hù)級(jí)

信息系統(tǒng)的破壞不會(huì)對(duì)國(guó)家安全以及社會(huì)集體利益產(chǎn)生影響，但是會(huì)對(duì)用戶個(gè)人、公司法人造成不良影響。這一級(jí)別，主要適用于一般的信息系統(tǒng)。信息系統(tǒng)的運(yùn)營(yíng)者要對(duì)其進(jìn)行負(fù)責(zé)、監(jiān)督與保護(hù)。一級(jí)信息安全能夠防護(hù)一般災(zāi)害，或針對(duì)用戶或個(gè)人信息系統(tǒng)的侵害，其造成的社會(huì)影響性相對(duì)較小，且系統(tǒng)在遭受到攻擊后，系統(tǒng)信息可部分恢復(fù)。

（二）審議保護(hù)級(jí)

信息系統(tǒng)的破壞、對(duì)社會(huì)公共利益及社會(huì)中所包含的個(gè)體利益產(chǎn)生侵害，以影響公共社會(huì)的秩序?yàn)橄到y(tǒng)審議保護(hù)級(jí)。這一級(jí)別適用于國(guó)家安全、經(jīng)濟(jì)建設(shè)等信息系統(tǒng)。該級(jí)別的信息系統(tǒng)運(yùn)營(yíng)，主要由用人單位進(jìn)行保護(hù)，而國(guó)家信安監(jiān)管部門在其工作中應(yīng)發(fā)揮指導(dǎo)與監(jiān)督作用。

（三）安全標(biāo)記保護(hù)級(jí)

信息系統(tǒng)的破壞會(huì)對(duì)國(guó)家安全產(chǎn)生損害，或者對(duì)社會(huì)公共利益產(chǎn)生重大影響。這一級(jí)別主要適用于涉及國(guó)家安全、經(jīng)濟(jì)建設(shè)以及社會(huì)秩序的信息系統(tǒng)[3]。國(guó)際信息安全監(jiān)管部門對(duì)其進(jìn)行檢查、指導(dǎo)與監(jiān)督。

（四）安全保護(hù)級(jí)及專控保護(hù)級(jí)

安全保護(hù)級(jí)是指為避免組織對(duì)國(guó)家豐富資源及其他國(guó)家級(jí)別信息，進(jìn)行惡意攻擊的?？乇Ｗo(hù)級(jí)，也是為避免信息系統(tǒng)破壞，對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。國(guó)家設(shè)置的監(jiān)管部門，對(duì)其測(cè)評(píng)保護(hù)工作進(jìn)行指導(dǎo)。

三、信息系統(tǒng)測(cè)試評(píng)價(jià)方法發(fā)展現(xiàn)狀

當(dāng)下，與信息安全相關(guān)的標(biāo)注體系逐漸完善，向著專業(yè)化的方向發(fā)展。但是，由于測(cè)試水平還存在諸多不足，使得體系與測(cè)評(píng)方法之間還存在著一定滯后[4]。此外，信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)針對(duì)不同行業(yè)也沒(méi)有進(jìn)行針對(duì)性區(qū)分，使得測(cè)試結(jié)果與行業(yè)實(shí)際情況存在較大偏差。例如有的行業(yè)在管理要求上實(shí)施完好，與管理相關(guān)的部分都具有完善的流程與記錄。但是技術(shù)環(huán)節(jié)上，卻存在著諸多不足，甚至存在一定的安全隱患?，F(xiàn)有的評(píng)價(jià)系統(tǒng)中，管理體系完善與規(guī)范，但是技術(shù)操作存在顯著缺陷的信息系統(tǒng)，卻容易被評(píng)價(jià)為較高的分?jǐn)?shù)，給行業(yè)管理者造成誤導(dǎo)。又例如，不同的兩個(gè)行業(yè)之間，由于經(jīng)營(yíng)方向存在差異，對(duì)不同方向的安全風(fēng)險(xiǎn)要求不同，而信息系統(tǒng)沒(méi)有明確的行業(yè)概念。使得標(biāo)準(zhǔn)無(wú)法適用于測(cè)評(píng)需求不同的行業(yè)，自然容易造成測(cè)試結(jié)果與實(shí)際情況之間的偏差。機(jī)械式的判斷必然會(huì)造成評(píng)價(jià)體系有效度的不足。

如今，大數(shù)據(jù)背景下，信息系統(tǒng)的測(cè)試評(píng)價(jià)方法主要分為三種，即非參數(shù)統(tǒng)計(jì)、參數(shù)統(tǒng)計(jì)以及神經(jīng)網(wǎng)絡(luò)法。常用于信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的模型包括信用評(píng)價(jià)模型、Bayes風(fēng)險(xiǎn)分析、Logistic回歸模型等。參差分析法與模糊綜合評(píng)價(jià)法在信息系統(tǒng)測(cè)試評(píng)價(jià)中也較為常見(jiàn)，模糊層次分析法的引用，往往能夠增強(qiáng)評(píng)價(jià)方式的客觀性。

五、等級(jí)保護(hù)測(cè)試評(píng)價(jià)方法改進(jìn)體系構(gòu)建

等級(jí)保護(hù)測(cè)試應(yīng)秉持客觀性、公眾性與符合性原則，進(jìn)行安全控制測(cè)評(píng)與系統(tǒng)整體測(cè)評(píng)兩方面工作。信息系統(tǒng)的安全控制測(cè)評(píng)是測(cè)評(píng)的基礎(chǔ)，一般包括訪談、檢查與測(cè)試三種測(cè)評(píng)方式。等級(jí)測(cè)評(píng)工作需要經(jīng)過(guò)準(zhǔn)備、現(xiàn)場(chǎng)實(shí)施以及分析與報(bào)告三個(gè)階段。在等級(jí)評(píng)價(jià)保護(hù)測(cè)試評(píng)價(jià)中，最為核心的是評(píng)價(jià)指標(biāo)體系的構(gòu)建及其權(quán)重的確定。

針對(duì)評(píng)價(jià)指標(biāo)體系的構(gòu)建，應(yīng)該從信息系統(tǒng)安全的實(shí)際情況出發(fā)，來(lái)深入了解信息系統(tǒng)所涉及行業(yè)的實(shí)際情況，綜合權(quán)衡各因素，才能真正確立科學(xué)的評(píng)價(jià)體系。層次分析法，作為一種能夠?qū)⒍ㄐ耘c定量完美結(jié)合的多目標(biāo)層次分析方法，逐漸被應(yīng)用于評(píng)價(jià)指標(biāo)體系各因素權(quán)重的確定之中。將問(wèn)題進(jìn)行層次化，可以更好地完成系統(tǒng)分析，使不同的隸屬關(guān)系與影響因子可以被多層次組合，從而形成層次化明顯的分析模型。

層次分析法確定權(quán)重之后，對(duì)元素之間的相互關(guān)系進(jìn)行整合，形成層次結(jié)構(gòu)后，決策者需要針對(duì)性做出決策方案，并計(jì)算各方案在不同準(zhǔn)則下的相對(duì)重要程度，最后進(jìn)行方案優(yōu)劣排序，使得決策效率能夠顯著提升。

六、結(jié)束語(yǔ)

針對(duì)信息系統(tǒng)在行業(yè)領(lǐng)域應(yīng)用逐漸廣泛，而其等級(jí)保護(hù)測(cè)試評(píng)價(jià)方法卻相對(duì)滯后的問(wèn)題，本文結(jié)合其發(fā)展現(xiàn)狀做了簡(jiǎn)要分析，并歸納了我國(guó)安全等級(jí)保護(hù)的分級(jí)現(xiàn)狀。為了使得當(dāng)下信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的評(píng)價(jià)結(jié)果更為直觀與準(zhǔn)確，本文研究了信息系統(tǒng)等級(jí)保護(hù)評(píng)價(jià)方法中指標(biāo)體系的構(gòu)建及指標(biāo)權(quán)重的確定方法，為改善系統(tǒng)安全問(wèn)題提供了解決方向。

參考文獻(xiàn)：

[1]蔡昌許， 蔡昌曙. 電子政務(wù)外網(wǎng)等級(jí)保護(hù)測(cè)評(píng)探討%Classified Protection Evaluation Investigation of E-government Extranet[J]. 電腦知識(shí)與技術(shù)， 2014， 000（035）：8593-8594.

[2] 黃石平. 淺析大數(shù)據(jù)信息安全等級(jí)保護(hù)%Analysis of Big Data Information Security Level Protection[J]. 電腦知識(shí)與技術(shù)：學(xué)術(shù)交流， 2017.

[3]丁晨. 大數(shù)據(jù)和人工智能技術(shù)在銀行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理中的實(shí)踐——日志安全審計(jì)分析業(yè)務(wù)[J]. 中國(guó)信息化， 2019（5）.

[4]王艷軍. Research on the prototype of general basic software level protection%通用基礎(chǔ)軟件等級(jí)保護(hù)測(cè)評(píng)原型的研究[J]. 電子測(cè)試， 2016， 000（011）：138-139.