張征

摘 要 信息安全模型是保障網(wǎng)絡(luò)信息安全的關(guān)鍵部分，為降低網(wǎng)絡(luò)信息的風(fēng)險(xiǎn)因素，必須展開對(duì)信息安全模型建設(shè)進(jìn)行研究，并對(duì)具體的安全系統(tǒng)方案進(jìn)行設(shè)計(jì)。然而，實(shí)際的安全系統(tǒng)中，缺乏有效的風(fēng)險(xiǎn)評(píng)估能力，不能展開對(duì)安全風(fēng)險(xiǎn)的評(píng)估和控制，制約企業(yè)的發(fā)展和進(jìn)步。故此，結(jié)合中國(guó)移動(dòng)廣東公司的基于4M模型的信息安全風(fēng)險(xiǎn)評(píng)估能力模型展開探究，對(duì)于具體的信息安全模型和安全系統(tǒng)方案設(shè)計(jì)進(jìn)行研究，旨在提升安全風(fēng)險(xiǎn)的評(píng)估能力，提升信息安全效果，推動(dòng)企業(yè)發(fā)展。

關(guān)鍵詞 信息安全模型；研究；安全系統(tǒng)；方案設(shè)計(jì)

中圖分類號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2017）193-0047-02

物聯(lián)網(wǎng)技術(shù)的不斷完善和進(jìn)步，安全威脅的攻擊對(duì)象也不斷轉(zhuǎn)變，網(wǎng)絡(luò)安全威脅成為影響物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)安全的關(guān)鍵，這也對(duì)網(wǎng)絡(luò)安全技術(shù)和手段提出了更高的要求。而且，頻繁發(fā)生的安全隱患，可能會(huì)造成大范圍損失，嚴(yán)重影響網(wǎng)絡(luò)安全，亟需改變?；诖?，需構(gòu)建有效的網(wǎng)絡(luò)安全防護(hù)體系。本次研究結(jié)合移動(dòng)信息企業(yè)的基本情況，對(duì)具體的基于4M的信息安全風(fēng)險(xiǎn)評(píng)估能力模型進(jìn)行闡述，并對(duì)其具體的安全系統(tǒng)方案設(shè)計(jì)進(jìn)行研究，具體內(nèi)容如下。

1 信息安全模型研究

信息安全模型的種類較多，可以根據(jù)具體的安全等級(jí)和能力，可分為單級(jí)和多級(jí)兩種形式。站在的安全控制角度，可以將安全模型分為訪問(wèn)控制、信息控制等，具體如下所述。

1）訪問(wèn)控制類模型。這類模型的特點(diǎn)主要體現(xiàn)在直觀性、系統(tǒng)直接對(duì)應(yīng)聯(lián)系，是建立在矩陣模型的基礎(chǔ)上。為降低矩陣的體積，可選擇按列存儲(chǔ)的矩陣方式。訪問(wèn)矩陣有廣泛應(yīng)用，尤其是對(duì)保護(hù)系統(tǒng)安全的理論研究。訪問(wèn)控制類模型，可引入角色概念，構(gòu)建基于角色訪問(wèn)的控制模型，具有靈活可靠的特點(diǎn)。

2）信息流控制類模型。訪問(wèn)矩陣模型借助方案監(jiān)控器，結(jié)合訪問(wèn)矩陣的決定，確定用戶是否具備訪問(wèn)權(quán)利，經(jīng)過(guò)確認(rèn)后，則不再對(duì)用戶進(jìn)行監(jiān)控。而信息流控制模型則是在信息流控制的基本理念下展開。信息流控制類模型，可根據(jù)主體與客體的基本情況，對(duì)安全等級(jí)進(jìn)行劃分，從而完成對(duì)信息安全的控制。常見的信息流控制類模型有：軍用安全模型、BLP模型和Bilba模型等。不同的安全模型，需要結(jié)合實(shí)際情況，展開對(duì)其的應(yīng)用。

3）基于4M的信息安全風(fēng)險(xiǎn)評(píng)估能力模型。模型是通過(guò)構(gòu)建體系（systeM）、工具（platforM）、機(jī)制（Means）、隊(duì)伍（teaM）4個(gè)層面，完成對(duì)系統(tǒng)安全態(tài)勢(shì)的度量，進(jìn)而為信息安全奠定基礎(chǔ)?；?M的信息安全風(fēng)險(xiǎn)評(píng)估能力模型，融入ISO27001：2013，并以系統(tǒng)—領(lǐng)域—要素—指標(biāo)為核心框架，可順利完成系統(tǒng)安全狀態(tài)的量化評(píng)估。且能夠借助云服務(wù)，實(shí)現(xiàn)有效的信息共享，符合現(xiàn)代移動(dòng)通信企業(yè)的基本需求。

2 安全系統(tǒng)方案設(shè)計(jì)

選擇基于4M的信息安全風(fēng)險(xiǎn)評(píng)估能力模型，作為信息安全模型，展開對(duì)安全系統(tǒng)方案設(shè)計(jì)，內(nèi)容如下。

2.1 體系設(shè)計(jì)

構(gòu)建全面適用的評(píng)估體系，實(shí)現(xiàn)對(duì)信息風(fēng)險(xiǎn)的評(píng)估。系統(tǒng)風(fēng)險(xiǎn)評(píng)估，是推動(dòng)信息安全管理的關(guān)鍵部分。具體的體系設(shè)計(jì)中，需要對(duì)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)框架進(jìn)行構(gòu)建。框架主要是以系統(tǒng)、領(lǐng)域、要素和指標(biāo)為核心骨架，按照逐級(jí)建設(shè)的方式，完成對(duì)風(fēng)險(xiǎn)度量指標(biāo)體系的構(gòu)建。具體的構(gòu)建中，可引入ISO27001：2013信息安全管理規(guī)范等內(nèi)容，其中指標(biāo)作為體系的關(guān)鍵部分，從其具體的定義、分級(jí)等入手，進(jìn)而完成對(duì)體系的設(shè)計(jì)。

為實(shí)現(xiàn)系統(tǒng)的量化評(píng)估，則需對(duì)量化評(píng)分手段進(jìn)行研究，具體的量化評(píng)估方式，可以按照4層遞歸評(píng)分方式。

2.2 工具設(shè)計(jì)

為實(shí)現(xiàn)對(duì)安全系統(tǒng)方案的設(shè)計(jì)，需加強(qiáng)對(duì)安全度量平臺(tái)的建設(shè)，借助安全度量平臺(tái)，實(shí)現(xiàn)對(duì)系統(tǒng)風(fēng)險(xiǎn)的綜合評(píng)估，并借助云服務(wù)推動(dòng)度量平臺(tái)的推廣。安全度量平臺(tái)可有效提升計(jì)算自動(dòng)化水平，降低成本，并降低門檻推動(dòng)人員的運(yùn)維效果，且數(shù)據(jù)能夠可視化、對(duì)比和共享，符合通信企業(yè)的基本需求。

2.3 隊(duì)伍設(shè)計(jì)

隊(duì)伍無(wú)需專業(yè)評(píng)估人員，評(píng)價(jià)者僅僅需要對(duì)系統(tǒng)具體操作進(jìn)行了解，具體的評(píng)價(jià)設(shè)計(jì)方式，主要以答卷化為主，并對(duì)評(píng)估內(nèi)容進(jìn)行簡(jiǎn)化，將選擇題、判斷題作為主要的風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)度量的關(guān)鍵。而且，還可以指定度量分配方案，由不同的人員完成對(duì)不同類型的指標(biāo)評(píng)價(jià)，滿足信息安全的基本需求。

2.4 機(jī)制設(shè)計(jì)

為保障信息安全評(píng)估的有效性，需要建立有效的機(jī)制，本文通過(guò)構(gòu)建系統(tǒng)交互、人工識(shí)別驗(yàn)證、系統(tǒng)設(shè)備自動(dòng)采集信息等方式，滿足系統(tǒng)原始數(shù)據(jù)信息的客觀性和準(zhǔn)確性。只有保障數(shù)據(jù)信息的可靠穩(wěn)定，才能保障風(fēng)險(xiǎn)識(shí)別的效果。其中系統(tǒng)交互驗(yàn)證機(jī)制的具體交互方式，是由運(yùn)維人員，將數(shù)據(jù)信息上傳到度量平臺(tái)。對(duì)于人工識(shí)別驗(yàn)證機(jī)制，主要是通過(guò)工作人員識(shí)別提取的文件類型，并借助定期提交管理規(guī)范文件的方式，實(shí)現(xiàn)交互。

在此基礎(chǔ)上，還需要綜合對(duì)訪問(wèn)控制、保密、驗(yàn)證和安全保護(hù)等內(nèi)容進(jìn)行設(shè)計(jì)。其中對(duì)于系統(tǒng)訪問(wèn)控制對(duì)每個(gè)用戶進(jìn)行命令授權(quán)、等級(jí)劃分等內(nèi)容，并選擇多級(jí)保密的方式，確保系統(tǒng)信息的整體安全性。為進(jìn)一步保障系統(tǒng)的安全，本次研究可選擇智能卡進(jìn)行用戶的身份驗(yàn)證，對(duì)不同類型用戶的權(quán)限進(jìn)行劃分，并保障用戶身份真實(shí)的基礎(chǔ)上，完成對(duì)用戶的識(shí)別驗(yàn)證。系統(tǒng)自身的安全保護(hù)。為保護(hù)系統(tǒng)整體安全，必須對(duì)安全系統(tǒng)自身的安全保護(hù)部分的設(shè)計(jì)。另外，為實(shí)現(xiàn)基于4M的信息安全風(fēng)險(xiǎn)評(píng)估能力模型的安全系統(tǒng)，還需要對(duì)各個(gè)模塊進(jìn)行設(shè)計(jì)，模塊包括系統(tǒng)管理員操作模塊、量化評(píng)分模塊等內(nèi)容。

3 應(yīng)用研究

基于4M的信息安全風(fēng)險(xiǎn)評(píng)估能力模型所構(gòu)建的安全系統(tǒng)，于2015年1月—12月，安全系統(tǒng)已經(jīng)在廣東省得到了全面的實(shí)施，且在試用期間，也得到較好的節(jié)約成本的目的。借助安全系統(tǒng)的應(yīng)用，有效的規(guī)避安全風(fēng)險(xiǎn)的帶來(lái)的損失，未來(lái)在全省9 000余套系統(tǒng)的全面推廣，可預(yù)計(jì)節(jié)約成本3 240萬(wàn)元，規(guī)避信息安全問(wèn)題的產(chǎn)生，符合企業(yè)持續(xù)健康發(fā)展的需求。

另外，安全系統(tǒng)的應(yīng)用，在基本控制安全風(fēng)險(xiǎn)的基礎(chǔ)上，還可以提供安全工作的效率，可提升60%，并為重點(diǎn)管理工作提供有效的決策依據(jù)，推動(dòng)企業(yè)的信息安全。

4 結(jié)論

結(jié)合中國(guó)移動(dòng)廣東公司的信息安全模型展開研究，對(duì)具體的基于4M模型的信息安全評(píng)價(jià)體系進(jìn)行研究，結(jié)合實(shí)際情況，對(duì)具體的安全系統(tǒng)方案設(shè)計(jì)進(jìn)行研究，最后對(duì)具體的系統(tǒng)應(yīng)用情況進(jìn)行闡述，得到有效的安全系統(tǒng)方案設(shè)計(jì)，對(duì)改善企業(yè)信息安全具有積極的作用與意義。

參考文獻(xiàn)

[1]劉靜.基于模擬攻擊方式的信息安全性檢測(cè)模型的研究與設(shè)計(jì)[D].西安：西北大學(xué)，2011：35-36.

[2]李軍，郭紅梅.計(jì)算機(jī)信息安全技術(shù)的應(yīng)用探究[J].電子測(cè)試，2014（21）：152-153.

[3]曹祥飛，王奔，黃承鍵.計(jì)算機(jī)信息系統(tǒng)安全防護(hù)體系模型建立與實(shí)現(xiàn)分析探究[J].工程技術(shù)：全文版，2016（12）：00320.

[4]陳澤徐.基于RBAC的信息安全模型的研究與設(shè)計(jì)[J].電子制作，2012（11）：10.

[5]曹霞.基于面向服務(wù)的信息安全模型探究[J].電腦編程技巧與維護(hù)，2015（11）：99-100.