王 豐，張春平，林 瑜，張紀(jì)磊，盧 強(qiáng)

(海軍航空大學(xué)，山東 煙臺(tái) 264001)

隨著信息技術(shù)的快速發(fā)展，信息儼然成為“陸?？仗臁敝獾牡谖寰S空間，將在未來(lái)戰(zhàn)場(chǎng)上發(fā)揮著舉足輕重的作用，世界各軍事強(qiáng)國(guó)也越來(lái)越重視信息系統(tǒng)的安全性及風(fēng)險(xiǎn)評(píng)估研究[1-3]，為適應(yīng)信息時(shí)代的發(fā)展要求，我軍陸續(xù)發(fā)布了多個(gè)加強(qiáng)軍事信息安全工作的指導(dǎo)性文件，這為我軍的信息安全級(jí)別保護(hù)和風(fēng)險(xiǎn)評(píng)估研究工作提供了重要的指導(dǎo)思想。

相關(guān)學(xué)者利用神經(jīng)網(wǎng)絡(luò)[4]、模糊理論[5]等研究信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估，取得了一些研究成果。筆者從實(shí)際情況出發(fā)，建立了軍事院校信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的指標(biāo)體系，并將權(quán)重概念引入可拓識(shí)別方法[6]的改進(jìn)中，利用改進(jìn)的可拓識(shí)別方法，研究軍事院校信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估，使評(píng)估過(guò)程中考慮的因素更全面，評(píng)估結(jié)果更準(zhǔn)確。該方法為軍事院校信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估提供了一個(gè)全新的思路，也為有針對(duì)性地尋找信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估中的弱項(xiàng)，提高信息系統(tǒng)安全性提供了理論支持。

1 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型的構(gòu)建

1.1 信息元

基元理論是可拓學(xué)研究的基礎(chǔ)。為了利用可拓學(xué)理論形式刻畫信息系統(tǒng)及其安全性，給出信息元概念。定義基元B為軍事院校信息系統(tǒng)安全風(fēng)險(xiǎn)的狀態(tài)信息元。

式中：O表示信息系統(tǒng)的安全風(fēng)險(xiǎn)級(jí)別；C={c1,c2,…,cn}表示提取的評(píng)估指標(biāo)體系；V={v1,v2,…,vn}表示待評(píng)估信息系統(tǒng)安全風(fēng)險(xiǎn)關(guān)于評(píng)估指標(biāo)的量值或量值域。

1.2 風(fēng)險(xiǎn)評(píng)估的步驟

軍事院校信息系統(tǒng)安全風(fēng)險(xiǎn)的可拓綜合評(píng)估流程如圖1所示。

圖1 軍事院校信息系統(tǒng)安全風(fēng)險(xiǎn)的可拓綜合評(píng)估流程

1.2.1 提取評(píng)估指標(biāo)體系

由于軍事院校在戰(zhàn)略安全保密上的特殊性，其信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估考慮的指標(biāo)標(biāo)準(zhǔn)較多。通過(guò)對(duì)《信息安全等級(jí)保護(hù)管理辦法》、《信息技術(shù)-信息安全管理實(shí)踐規(guī)范》等文件的分析[7-8]，軍事院校信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估需要考慮的指標(biāo)包括計(jì)算機(jī)硬件的可靠性、穩(wěn)定性，網(wǎng)絡(luò)機(jī)房環(huán)境的穩(wěn)定性，物理傳輸網(wǎng)絡(luò)鏈路的安全性和可靠性，防病毒措施，入侵檢測(cè)措施，電磁防護(hù)，數(shù)據(jù)庫(kù)的備份和冗余，運(yùn)行管理機(jī)制，保密安全意識(shí)培養(yǎng)，保密制度的執(zhí)行等。通過(guò)對(duì)上述指標(biāo)進(jìn)行歸納、提煉、總結(jié)，建立軍事院校信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的指標(biāo)體系：物理基礎(chǔ)環(huán)境可靠性和安全性(c1)、網(wǎng)絡(luò)運(yùn)行可靠性和安全性(c2)、保密安全性(c3)、安全管理措施和制度(c4)。

1.2.2 構(gòu)建信息系統(tǒng)安全風(fēng)險(xiǎn)級(jí)別的經(jīng)典域值和節(jié)域值模型

在軍事院校信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系的基礎(chǔ)上，根據(jù)信息系統(tǒng)安全風(fēng)險(xiǎn)級(jí)別管理規(guī)定，結(jié)合專家組經(jīng)驗(yàn)意見(jiàn)，將軍事院校信息系統(tǒng)安全風(fēng)險(xiǎn)[9]劃分成p個(gè)級(jí)別，并用信息元刻畫為：

(1)

式中：Di(i=1,2,…,p)表示軍事院校信息系統(tǒng)安全風(fēng)險(xiǎn)的p個(gè)級(jí)別；C={c1,c2,c3,c4}表示提取的4個(gè)指標(biāo)；Vij=表示指標(biāo)cj(j=1,2,3,4)關(guān)于安全風(fēng)險(xiǎn)級(jí)別i的經(jīng)典域值。

(2)

1.2.3 構(gòu)建待評(píng)估院校信息系統(tǒng)的信息元模型

根據(jù)軍事院校提交的評(píng)估材料，結(jié)合評(píng)估專家的經(jīng)驗(yàn)意見(jiàn)，構(gòu)建待評(píng)估院校信息系統(tǒng)Dg的信息元模型為：

(3)

其中，v1,v2,v3,v4表示待評(píng)估院校信息系統(tǒng)Dg關(guān)于對(duì)應(yīng)指標(biāo)的量值。

1.2.4 確定指標(biāo)權(quán)重

1.2.5 構(gòu)建關(guān)聯(lián)度函數(shù)

(4)

(5)

構(gòu)建軍事院校信息系統(tǒng)關(guān)于安全風(fēng)險(xiǎn)級(jí)別i的關(guān)聯(lián)度函數(shù)[10]， 如式(6)所示。

(6)

1.2.6 計(jì)算綜合關(guān)聯(lián)度，確定風(fēng)險(xiǎn)安全評(píng)估級(jí)別

根據(jù)綜合關(guān)聯(lián)度的函數(shù)值，確定安全風(fēng)險(xiǎn)級(jí)別后，管理部門依據(jù)判定結(jié)果，有針對(duì)性地加強(qiáng)安全風(fēng)險(xiǎn)評(píng)估中弱項(xiàng)的建設(shè)。

2 實(shí)例研究

假設(shè)有5所軍事院校A、B、C、D、E進(jìn)行信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估[12-15]。依據(jù)信息系統(tǒng)的安全管理規(guī)定，將風(fēng)險(xiǎn)劃分成5個(gè)級(jí)別，分別為1，2，3，4，5。評(píng)估指標(biāo)體系為物理基礎(chǔ)環(huán)境可靠性和安全性(c1)、網(wǎng)絡(luò)運(yùn)行可靠性和安全性(c2)、保密安全性(c3)、安全管理措施和制度(c4)。根據(jù)5所軍事院校提交的材料，結(jié)合評(píng)估專家的現(xiàn)場(chǎng)考察，構(gòu)建信息系統(tǒng)安全風(fēng)險(xiǎn)的5個(gè)級(jí)別，分別如式(7)～式(11)所示。

(7)

(8)

(9)

(10)

(11)

其中，各經(jīng)典域量值均經(jīng)過(guò)了歸一化處理。

軍事院校信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的節(jié)域[16]模型為：

(12)

根據(jù)5所院校提交的評(píng)估材料，結(jié)合專家組的意見(jiàn)，得到5所院校關(guān)于各評(píng)估指標(biāo)的量值，如表1所示。

表1 5所院校關(guān)于各評(píng)估指標(biāo)的量值

運(yùn)用層次分析方法，得到各指標(biāo)的權(quán)重值為：δ=(δ1,δ2,δ3,δ4)=(0.23,0.28,0.26,0.23)。

依照式(4)～式(6)及5所院校各項(xiàng)評(píng)估指標(biāo)的量值，計(jì)算得到5所軍事院校信息系統(tǒng)關(guān)于各安全風(fēng)險(xiǎn)級(jí)別的綜合關(guān)聯(lián)度，如圖2所示。由圖2可知，院校A、B、C、D、E信息系統(tǒng)的安全風(fēng)險(xiǎn)分別歸屬于三級(jí)、三級(jí)、三級(jí)、三級(jí)和四級(jí)。

圖2 5所軍事院校信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估結(jié)果

3 結(jié)論

筆者提出了一種軍事院校信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的可拓識(shí)別方法。該方法在構(gòu)建的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系下，結(jié)合權(quán)重系數(shù)和可拓識(shí)別方法，對(duì)軍事院校信息系統(tǒng)的安全風(fēng)險(xiǎn)級(jí)別進(jìn)行評(píng)估，使評(píng)估過(guò)程中考慮的因素更全面，評(píng)估結(jié)果更準(zhǔn)確，為軍事院校信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估提供了一個(gè)全新的思路和途徑。實(shí)例分析結(jié)果也驗(yàn)證了該方法的有效性和可操作性。根據(jù)實(shí)際情況在實(shí)踐中不斷改進(jìn)經(jīng)典域值和節(jié)域值的范圍，使方法更加貼合實(shí)際使用場(chǎng)景，將是下一步重點(diǎn)解決的問(wèn)題。