電子信息安全性評估分析論文
1、指標體系建立的原則
電子信息系統是一個較為特殊的系統,其關系相當復雜,對其進行安全性評估需要建立一整套綜合評估指標體系,體系中各個評價指標相互聯系、相互依存。一般而言,指標體系的建立需要遵循以下原則:(1)科學性和系統性。評價指標的選擇應綜合考慮評估目標的各種因素,在對電子信息系統科學研究的基礎上建立起來的科學指標。建立一個綜合性指標體系,只有定性分析和定量分析相結合才能使建立的指標體系結構合理、層次清晰、協調一致。(2)層次性和獨立性。電子信息系統安全評價指標體系可反映該系統各個方面的綜合安全信息,每個指標屬性不同,各因素之間的相互關系呈現出一定的層次關系。而每個指標又是相互獨立的,都可獨立地評估系統的安全性。(3)簡易性和實用性。電子信息系統安全評價指標體系層次結構確定后,每層次中的.指標數目不會太多。同時,各個指標的選取是根據電子信息系統的實際情況選取出的,不可照搬其它系統的現成指標體系。
2、電子信息系統安全性評估指標體系
2.1指標體系的一般模型
指標體系是通過對影響評估結果的各個因素進行綜合分析而建立起來的可以反映系統各個方面安全性信息的體系。因此,指標體系通常是遞階層次結構,包括:目標層,準則層,指標層。其中,目標層是最高層,表示安全評估的整體目標。中間層是準則層,表示安全評估評估的各個準則。底層是指標層,是指安全評估的具體指標,表示影響目標實現的各種因素。需指出說明的是,有些指標只設一層無法準確的表征需要更多地指標將其細化,對這樣的指標,可將其分解,成為二級評估指標,作為遞階層次的第四層,以此類推。
2.2指標體系的建立
德爾菲法(Delphi)是一種規定程序專家調查法,由美國蘭德公司于20世紀50年代提出。其基本程序為:確定目標;選擇專家;設計評估意見征詢表;專家間信息反饋。具體做法是:在對所要預測的問題征得專家的意見之后,進行整理、歸納、統計,再匿名反饋給各專家,再次征求意見,再集中,再反饋,直至得到收斂、基本一致的結果。采用此方法可以輕松解決電子信息系統的安全性評估涉及范圍廣,不確定因素多等問題。本文采用德爾菲法建立指標體系,利用德爾菲法建立電子信息系統安全性評估指標體系的步驟如下:第一步,設計調查表,收集專家認為影響電子信息系統安全性的因素,調查表中不應摻雜問卷調研者的個人意見。第二步,回收調查表,并制定第二輪調查表。匯總整理出專家對影響電子信息系統安全性的因素,并總結出分析指標。通過第一輪調查可知影響電子信息系統安全性的因素主要集中在信息安全、軟件安全、硬件安全、管理安全和環境安全五個方面。根據上述標設計出第二輪專家調查表,收集專家認為影響通信安全保密系統安全性的其它因素。第三步,回收第二輪調查表,并制定第三輪調查表。從第二輪調查表中匯總整理出專家所列的安全性指標可見,安全因素得到進一步細化,如信息安全包含五方面內容:身份鑒別、訪問控制、信息加密、抗抵賴性和信息完整性五個方面;軟件安全包含數據庫安全、操作系統安全、應用軟件安全、災難恢復技術、木馬病毒防范、漏洞補丁修復和系統日志七個方面;環境安全包括:設備安全、物理保障和安全供電三個方面。信息安全保密包含專家所列的安全性指標明顯增多,并依據匯總結果制定第三輪調查表,收集專家對于已有指標的意見。第四步,回收第三輪調查表,匯總得出電子信息系統安全性評估指標體系。經過上述過程可得出如下電子信息系統安全性評估指標體系,如圖1所示。
2.3運行安全指標分析
運行安全是電子信息系統各項業務能夠順利開展的必要條件,可為系統運行提供一個安全穩定的環境。運行安全主要有以下幾個指標:(1)備份與恢復電子信息系統必須具有能夠持續不斷地提供各種業務的能力。備份和恢復是一個電子信息系統所必需的,因為對系統和數據進行備份,可以使電子信息系統具有災難恢復能力,保證電子信息系統能夠在受到病毒破壞、攻擊、硬件故障、認為操作失誤等情況下快速恢復正常運轉。(2)病毒防治計算機病毒對電子信息系統的破壞是毀滅性的,不僅可以破壞系統數據,引起計算機故障,而且還會盜取電子信息系統的信息,從而影響通信安全保密系統的安全運行。對病毒的防治要將查找病毒和清除病毒結合起來,從而實現全面防毒、查毒、殺毒。(3)操作系統安全操作系統安全是計算機系統安全的關鍵。操作系統為應用程序提供執行環境,支撐著通信安全保密系統的信息存儲、處理和通信,其安全性對系統影響重大。操作系統安全等級低、配置不正確、更新管理不及時等因素可能導致通信安全保密系統的嚴重事故。(4)應用系統安全應用系統安全是指電子信息系統各項業務順利進行的前提。如果應用系統的穩定性、可用性等遭到破壞,可能造成系統中斷等事故。(5)數據庫安全數據庫安全是電子信息系統能夠正常運行的關鍵因素。數據庫安全就是要保護數據庫信息,以防止數據信息泄露,同時也要保護數據庫信息不泄漏、更改或破壞,從根本上保護電子信息系統的信息安全。
3、結語
安全評價指標體系是對系統進行安全性評估的基礎,也是系統設計的理論依據。建立一套科學的指標體系對于開展電子信息系統的安全性評估具有十分重要的意義。本文針對電子信息系統的特點,結合指標體系建立的原則,利用德爾菲法的原理與方法構建了電子信息系統安全性評估指標體系,并給出了運行安全指標的具體描述。該指標體系全面客觀地反映了電子信息的安全風險因素,對于電子信息系統的設計和管理具有重要的參考價值。
【電子信息安全性評估分析論文】相關文章: