信息安全保障度量及綜合評價研究.pdf

1、隨著科學技術的迅猛發(fā)展和信息技術的廣泛應用，國家和社會對信息化的依賴度越來越大，信息安全已成為國家安全的重要組成部分。然而由于不斷增長的復雜性和不安全部件及網(wǎng)絡間的互連，信息系統(tǒng)越來越容易受到傷害，即使一些適當?shù)陌踩椒ū话l(fā)現(xiàn)，其產(chǎn)生的安全水平也不為人所知。因而如何度量信息系統(tǒng)的安全保障水平也就受到了越來越多的關注。信息保障度量作為一個研究領域就提供這樣的功能。據(jù)相關部門的調查資料，美國和俄羅斯等國家正在研究信息安全保障的綜合評價，我國

2、也設立了相應的課題進行研究，和國外處于一個同步研究階段。本文的主要研究目的就是基于IA度量分類，建立一個信息安全保障綜合評價指標體系。 論文首先從信息安全的概念入手，將信息安全分為三層模型：信息系統(tǒng)、信息、信息內(nèi)容(信息內(nèi)容，本論文不作深入研究)的安全，不同層次的安全屬性作用點不一。由此確定了論文研究的基本點：從信息、信息系統(tǒng)入手研究其保密性、完整性、可用性、真實性和不可抵賴性及抗毀性、生存性和有效性的保障。 通過回顧和

3、總結，論文對現(xiàn)有信息安全測評標準和方法進行了比較分析，同時對信息安全測度進行了論述。盡管現(xiàn)階段的標準和方法各有優(yōu)缺點和局限性，而且沒有統(tǒng)一的形式化的測度理論和安全測度方法，不可否認的是，這些標準、方法和具體實踐為建立信息安全保障綜合評價體系奠定了理論和技術基礎，為其研究提供了較為完備的概念架構。 在IA度量體系中，最首要的工作是分類。它提供了對IA度量的邏輯分組，并指明了這些分組間的關系。本文認為信息安全保障是一個多維系統(tǒng)，并依

4、據(jù)國內(nèi)目前的現(xiàn)實情況，提出了以技術、管理、戰(zhàn)略為三要素的信息保障度量分類模型。在此基礎上，構建了多目標的信息安全保障綜合評價指標體系，即從技術、管理、戰(zhàn)略入手，考察信息、信息系統(tǒng)的靜態(tài)安全保障措施、動態(tài)安全保障能力和安全保障效果。其中靜態(tài)措施評價主要從要素維：技術、管理、戰(zhàn)略三方面考察；動態(tài)過程評價主要從能力維：預警、保護、檢測、響應、恢復等六個環(huán)節(jié)來考察。狀態(tài)效果評價包括從安全屬性維來考察、同時包括信息安全保障建設的效益評價。最終，通

5、過評價指標體系反映信息安全保障的整體態(tài)勢、反映安全與發(fā)展的關系、安全與效益的關系。同時論文對評價指標體系建立了一個評價模型，對其進行了形式化描述，并提出了基于目標驅動的指標體系細化方法，對下一級，子指標進行了深入分析和詳細闡述。 對于在綜合評價而言，綜合評價方法是極其重要的。結合信息安全保障評價的不確定性和模糊性，本文給出了信息安全保障AHP-FUZZY綜合評價方法，并結合工程實例進行了驗算。在指標的度量基準問題上，論文引入了基

6、線評價理論。信息系統(tǒng)的安全基線是一個信息系統(tǒng)的最小安全保證，在組織內(nèi)確定不同的安全基線以對應不同的安全等級，可以使組織得到充分的保護，并降低組織的費用。對此，論文提出了一個安全基線構建模型，并在進行具體的指標實踐中，提出了一套具體的綜合評價流程。 隨著人們對信息技術依賴性的增強，可以預見，IA度量將會受到愈來愈多的關注。本文研究了如何建立信息安全保障綜合評價指標體系，按照一定的分析框架、評價標準和方法論，為定量化分析和測定信息安