信息安全保障评价指标体系的研究

　　为了更好地保障我国的信息安全，中央办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发2003]27号)27号文明确了加强信息安全保障工作的总体要求和主要原则，对加强信息安全保障工作做出了全面部署，提出了5年内建成国家信息安全保障体系IA(Informa-tionAssurance)的构想。目前，关系国家安全、经济命脉和社会稳定等方面的3大基础信息网络(电信网络、广电网络和互联网络)和8个重要信息系统行业(金融、电信、证券、保险、民航、铁路、税收和海关)的信息安全保障系统逐渐建成，并投入使用。

　　信息化是信息技术系统与社会系统相互作用、紧密耦合，且有大量人的行为参与其中的综合发展进程。然而安全因素和系统因素相互制约，使得信息安全具有很大的综合性、复杂性和不确定性[1-3。同时，信息安全保障会伴随信息化的发展而不断变化。为了保证国家基础网络设施和重要信息系统等关键部门所建设的信息安全保障体系的长效机制，迫切需要针对不同重要行业、业务系统研宄建立科学的、可度量的、可操作的信息安全保障评价指标体系(Indicator)1-3]，对其信息安全保障的整体状态进行科学的、客观的评价与描述，从而确定所建设的信息安全保障体系的保障水平、保障实效和保障周期等问题。因此，信息安全保障评价指标体系就是用一组科学的、可度量的指标作对信息安全保障系统的保障功能、保障效果和保障周期进行综合的考核和评价。

　　2相关工作

　　现有的安全评估方式可以大致归结为4类:安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSE-CMM等D大部分通用的信息安全标准，如ISO17799ISO13335等，其核心思想都是基于风险的安全理念。信息技术先进的国家，例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面己经率先开展了研宄工作。特别是美国，利用卡内基梅隆大学系统安全工程能力成熟度模型SS&CMM4]较早地建立了信息安全保障评价指标体系[7]和NabilSeddigh[8等人研宄了信息安全保障评价的概念和范畴，给出了信息安全保障评价的框架。在国内，国家信息中心研宄了网络信息系统的信息安全保障理论和评价指标体系;更多的研宄针对网络安全的评价指标体系[11]。在评估方面，魏忠提出了从定性到定量的系统性信息安全综合集成评估体系;肖道举等113进行了网络安全评估模型的研宄;黄丽民等提出了网络安全多级模糊综合评价方法;李雄伟等[15]在采用模糊层次分析法Fuzzy-AHP评估网络攻击效果方面取得了一定的成果。有些研宄己经应用到具体的行业中[1(-18]。最近，中国工业与信息产业部推出了“中国信息安全产品评测指标体系”。

　　目前，有关网络信息系统的安全评价虽然存在着多种多样的具体实践方式，但在世界上还没有形成系统化和形式化的评价理论和方法。评价模型基本是基于灰色理论(GrayTheory)或者模糊(Fuzzy)数学，而评价方法基本上用层次分析法AHP(Analy或模糊层次分析法Fuzz：-AHP，将定性因素与定量参数结合，建立了安全评价体系，并运用隶属函数和隶属度确定待评对象的安全状况。

　　上述各种安全评估思想都是从信息系统安全的某一个方面出发，如技术、管理、过程、人员等，着重于评估网络系统安全某一方面的实践规范，在操作上主观随意性较强，其评估过程主要依靠测试者的技术水平和对网络系统的了解程度，缺乏统一的、系统化的安全评估框架，很多评估准则和指标没有与被评价对象的实际运行情况和信息安全保障的效果结合起来.在目前的评估方法中，基础指标(技术、管理、工程和战略)是相互独立的，技术、管理、工程和战略措施是并行的，评价指标之间相互独立，从而导致评价精度下降和评价准确性出现偏差。

　　本文从中国信息安全保障的国家战略、管理策略、工程规范和技术措施方面出发，提出以“安全基线政策MSecurityBaselinePolicy)为核心的信息安全评价指标体系(Indicator)

　　3基于安全基线政策的信息安全保障评价指标体系

　　研宄信息安全保障评价指标体系的主要目的是保证信息安全保障体系的战略完备性、管理先进性、工程成熟性和技术有效性。如何对这4个方面进行评价，则需要参照相关标准规定，即安全基线政策(SecurityBaselinePolicy)

　　3.安全基线政策的定义和含义

　　安全基线政策是为了保障互联网的信息安全，国家政府职权部门、行政管理部门和技术支撑单位从宏观、中观和微观3个角度，在国家、企事业和用户3个层次上，根据战略、管理、工程和技术4个方面制定的法律依据、标准规范、实施手段和技术方法的具体内容的统称。安全基线政策制定了保障和维护国家信息安全的办法。它实际上规定了信息系统安全的边界，是个封闭的、不可逾越的警示线。信息系统的信息安全保障系统基线政策核心。

　　国家(宏观)的政策是从上而下贯穿到底的，它是行业(中观)和企事业单位(微观)必须坚决执行的。也就是，行业(中观)和企事业单位(微观)制定的发展战略、行政管理、规划工程和实施技术必须以国家(宏观)的相关政策为基础、以此为目标的。其中，

　　(1)战略保障为信息安全保障提供法律依据，包括法规、政策和标准。即根据信息社会发展的需要界定法律边界、规划发展蓝图和指明策略方向，例如《全国人大常委会关于维护互联网安全的决定》，以及国家和各相关部委的标准和规定等;

　　(2)管理保障为信息安全保障提供制度保证，包括条例和规范。即根据中国国情制定实施规范，颁布具体条例和说明执行程序，例如国家公安部、工业和信息部颁发的标准和规范等;

　　(3)工程保障为信息安全保障提供实施方法包括实施和运行。即根据具体的保障情况要求实施质量监督和状态监控，例如国家对信息化工程实施指南的细则;

　　(4)技术保障为信息安全保障提供具体措施，包括需求、设计和方法。即根据美国安全工程能力成熟度模型分析系统的功能需求，设计系统的整体方案，建立系统的协同机制，进行系统的安全运行管理，完成系统的安全时间审计和实施系统的安全态势监视，例如国家计算机安全管理中心和国家病毒中心推出的具体措施。

　　由安全基线政策的定义和含义可以得出安全基线(SecurityBaseline)的定义为：从安全基线政策中抽取具体的量化值，用以具体表示安全基线政策，安全基线就是在安全基线政策的“圏”上通过抽样选取的具有代表性的点。

　　3.信息安全保障评价框架和流程

　　随着信息化的快速发展，面临着许多安全威胁，比如病毒侵入、恶意入侵和蓄意攻击等。为了保证信息化快速健康地发展，必须建立长效机制的信息安全保障系统。为了保证和检验信息系统的信息安全保障系统的有效性和长久性，建立信息安全保障评价指标体系用于对信息安全保障系统进行综合性评价.

　　信息安全保障系统必须是在达到安全基线政策的要求下，根据中办发|2003丨27号文的精神，结合实际信息系统而设计的。它是在针对安全威胁(病毒、入侵和攻击等)进行风险评估，判断现在的安全形势的基础上，研宄安全策略，制定具体的安全措施，形成系统的安全保障，达到一定的安全保障效果(安全属性:安全性、机密性和不可抵赖性等)因此，可以得出信息安全保障体系由3部分组成：

　　(1)信息安全保障措施，包括战略、管理、工程和技术措施;

　　(2)信息安全保障系统框架，是将信息安全保障措施综合集成为系统的保障体系，应用到实际信息系统的保障中;

　　(3)安全属性，是信息安全保障效果最终的体现，具体反映出信息安全保障体系在信息和信息系统的安全属性方面的效果。

　　根据信息安全保障系统的组成，可以得到信息安全保障评价的3个角度。

　　(1)保障角度：根据具体信息系统的应用功能，以及面临的安全威胁分析，确定相应的信息安全保障策略和方法;

　　(2)运行角度：根据保证信息系统正常运行的要求，进行必要的数据统计和监控手段;

　　(3)效果角度：根据信息系统安全保障的重点，针对具体的保障内容进行保障效果的检验。

　　通过以上所述，可以得到信息安全保障评价框架，如图2所示。从系统的角度来说，信息安全保障的目的就是使整个信息系统保持动态平衡(安全)的状态。

　　(1)静态评估：评价纸面上的东西，即评价信息安全保障设计的方案文档、制定的安全措施档案和安全管理的标准规范等。主要评价内容为安全方案的合理性、安全措施的正确性和标准规范的科学性。

　　静态评估的主要手段有两种。第一种为专家打分：要求一定数目的专家组成员独立针对每项安全方案、措施和规范的设计和内容进行评分，采用层次分析法(AHP)或者模糊层次分析法(F-AHP)将评分进行综合，得到评价结果;第二种为问卷调查:专家组成员根据具体信息系统的应用功能，事先有针对性地准备好一些问题，让被评估单位的专业人员进行回答，然后评估专家根据问卷的得分，对评估对象给出评价结论。

　　(2)动态评估:是对信息系统和信息安全保障系统的运行情况做出判断。该过程需要统计信息系统和安全保障系统曰常运行的记录数据，包括信息安全值班的所有记录和安全审计的日志等，例如网络流量、网络带宽、协议，以及入侵检测、防病毒、防火墙和安全审计等原始记录数据和统计显示数据。对记录数据进行统计和处理，以得到信息安全的评价结论。

　　(3)状态评估：是检验信息安全保障的效果。主要表现在对信息和信息系统的安全属性(保密性、完整性、真实性、可用性、不可抵赖性、抗毁性、生存型和有效性)进行测试和检验。主要手段包括两种:第一种为渗透测试，模拟黑客攻击的渗透测试技术，有助于查找信息系统的脆弱点和检验信息安全保障系统的效果;第二种为专项测试，针对信息和信息系统的某个安全属性，采用专业技术进行单项测试，检验信息安全保障在某个功能上的保障效果。

　　针对上述3个评估过程可以得到3种信息安全评价指标:静态(功能)指标、动态(运行)指标和状态(属性)指标。

　　评估过程是通过2个反馈关联起来的.其中，第一个反馈是内反馈，它将静态(功能)指标的评价结果反馈到信息系统的安全方案设计、安全措施实施和安全管理标准规范制定这个环节上，以对相关的文档进行修改，通过调整达到静态(功能)指标的要求;第二个反馈是外反馈，它是将动态(运行)指标和状态(属性)指标的评价结果送入到战略、管理、工程和技术调节单元中，把相关的调整变化也反馈到安全方案设计、安全措施实施和安全管理标准规范制定这个环节上，以保证从源头开始，满足信息系统的信息安全保障的要求。

　　通过3个评估过程和2个反馈，从系统化的角度，信息系统和信息安全保障系统形成一个动态平衡的系统，即在一定时间内保持相对安全的系统(安全是相对的，它在某一时段是安全的，而在另外一个时段就可能不安全了)该系统可以根据安全威胁的变化，通过调节安全策略和措施，使整个系统长期达到动态的平衡状态，即安全状态。

　　3.3信息安全保障评价指标体系

　　由信息安全保障评价框架和流程可以得知，信息安全保障评价指标的核心为静态(功能)指标、动态(运行)指标和状态(属性)指标。信息安全保障评价指标体系(1)总体指标

　　总体指标为信息安全保障评价指标，表示信息安全保障整体的安全态势、保障效果、经济和社会效益。

　　(2)1级指标

　　分别采用静态评估、动态评估和状态评估3种手段对信息安全保障系统进行评价，得到3个1级指标，即静态、动态和状态指标。

　　(2)1级指标

　　由3个1级指标延伸出如下11个1丨级指标：

　　a)静态指标包括战略完备性、管理先进性、工程成熟性和技术有效性;

　　b)过程指标包括预警、检测和防御;

　　c)效果指标包括状态监控、安全基线、保障效果和保障效益。

　　指标为基础指标，它是在信息系统上通过技术手段和管理手段可以直接或者间接采集或者统计得到的数据和信息，即为底层的信息安全保障运行数据。

　　基础指标的组成如下：

　　a)静态指标包括安全政策、安全条例、安全实施和安全措b)过程指标包括预警、检测和防御;

　　c)效果指标包括整体安全性、安全运行最小要求、信息和信息系统的安全属性以及社会效益和经济效益。

　　4比较分析

　　本文提出的基于安全基线政策的信息安全保障评价指标体系与常用的信息安全评估方法存在以下区别：

　　(1)目前的评估方法都是采用专家打分，利用层次分析法(AHP)进行评估。这个方法的缺点十分明显：

　　a)评价结果的指标单一，不能形成一个指标体系，所以评估的结果片面性较强;

　　b)评价对象相对比较独立，而且结构形式不能太复杂，对于复杂的计算机网络则不太适合。

　　因此，本文提出评价指标体系的思想，采用一组多级的评价指标，构成对信息安全保障系统评价的指标体系，采用关联判定和综合评估的方法对复杂的信息安全保障系统进行综合评价。

　　(2)现有的评估方法都是将保障系统中的功能模块进行划分，单独评估，最大的问题在于没有考虑每个模块之间的关系，或者将每个模块之间的关系简单化，导致评估的结果精确度下降。而之所以采用模块划分的评估方法，是因为没有一个统一的评估流程模型可以综合评估过程中的众多因数。

　　因此，本文在系统控制理论的基础上，从安全性评估的角度，利用反馈技术，提出一个基于反馈控制系统的信息安全保障系统安全性评估流程模型。

　　(3)现有的评估方式是在系统设计完成后再进行评估，而不是对每个环节都加以考虑，这样使评估的效果不好，修改空间和可能性很小，导致系统存在安全性设计缺陷。

　　本文提出的评价指标体系是在系统设计、实施和运行的每个阶段均进行评估，采用SSE-CMM模型6个方面的问题来进行综合评估，保证了信息系统及其信息保障体系在建设、使用和更新等各个过程中的安全。

　　(4)目前的系统安全性评估往往与系统可靠性评估联系起来，利用可靠性指标代替安全性评价。

　　本文提出的思想，是在保证信息系统的可靠性前提下，针对信息和信息数据的安全方面问题提出评估的指标和方法。

　　(5)现有的信息安全评估框架，没有给出具体的评估流程，重要的是没有与信息系统的业务关联，没有明确面向业务流程的评估方法，可操作性较差。

　　本文提出的评价指标体是将信息系统的各种业务和业务流程联系起来，根据具体业务的传输和应用，提取不同的信息安全评价指标，具有操作方便的特点。

　　结束语本文从战略、管理、工程和技术4个方面，在宏观、中观和微观层面建立了互联网信息安全保障系统的评价指标体系，提出了综合评价的思想，给出了评价的具体流程，并与现有的评估方法进行了比较。

　　本文的主要工作集中在以下两点：

　　(1)研宄了信息安全保障安全基线政策，在此基础上提取了安全基线指标。战略、管理、工程和技术的基线指标提取是基于安全系统工程成熟度模型SSE-CMM的安全基线制定的6条原则。

　　①战略基线战略基线包括安全需求基线和安全输入基线。

　　②管理基线管理基线包括协同安全基线和安全管理基线。

　　③工程基线工程基线包括安全实施基线和质量管理基线。

　　④技术基线技术基线包括安全保证参数基线和监视安全态势基线。(2)建立了信息安全保障系统的评价指标体系^

　　①研宄思路总结a)从一个实体的3个角度评价功能角度——评价采用的技术、管理和战略措施的水平(战略完备性、管理先进性、工程成熟性和技术有效性)运行角度——保障系统的功能完善和强大(预警、保护、检测、反应、恢复、反击)和能力(6个能力指标)效果角度——属性(信息：保密性、完整性、真实性、可用性和不可抵赖性;信息系统:抗毁性、生存性和有效性)和目的(8个属性指标)

　　b)两个反馈支路大反馈支路:在针对信息系统实验战略、管理、工程和技术上的信息安全保障措施后，根据体现在被保护对象上的具体效果情况，进行反馈调节，使信息系统的运行状态达到动态平衡(安全)状态。

　　小反馈支路:用于调节战略、管理、工程和技术措施之间的平衡。

　　②评价指标体系建立保障对象的系统层次划分-涉安定级;根据信息系统的层次划分针对相应的保障措施提取评价指标。信息安全保障评价指标体系能够全面、综合地反映信息安全保障的有效性、可用性和持续性，为我国信息安全保障的建设提供了有力的保证，有助于我国信息安全保障的良好发展。