宋志悅 楊濤 吳宇

摘 要：在信息時代信息系統(tǒng)的安全性至關(guān)重要，而信息系統(tǒng)是否安全主要取決于系統(tǒng)可控性高低。信息系統(tǒng)的可控性是需要進行評價的，從而判斷系統(tǒng)安全性。本文針對評價指標(biāo)進行了歸納，并建立了信息系統(tǒng)可控性評價體系，希望能夠為相關(guān)專業(yè)人士提供參考。

關(guān)鍵詞：信息系統(tǒng);可控性;評價;指標(biāo)

1 引言

對于當(dāng)今的任何一個國家而言，信息安全保障能力是其國力中的一個重要組成部分，所以信息安全核心關(guān)鍵技術(shù)是否能夠?qū)崿F(xiàn)自主可控會直接決定到國家信息產(chǎn)業(yè)的未來發(fā)展。因此信息系統(tǒng)的可控性對于信息系統(tǒng)而言極為重要。針對信息系統(tǒng)可控性評價指標(biāo)進行研究，能夠使得系統(tǒng)安全可控程度得到大幅度提升，為此本文針對信息系統(tǒng)可控性評價進行了探討。

2 信息系統(tǒng)可控性概念

通常情況下信息系統(tǒng)可控性所指的是這個信息系統(tǒng)主體可以實現(xiàn)內(nèi)部結(jié)構(gòu)的維持或者是調(diào)整，可以顯性或者是隱性的對其運行狀態(tài)以及功能特性進行維持或者是調(diào)整，從而可以實現(xiàn)對這個系統(tǒng)所作用的其他系統(tǒng)狀態(tài)的維持或者是改變。對于一個信息系統(tǒng)而言，可控性要求這個信息系統(tǒng)主體可以對系統(tǒng)的整個狀態(tài)進行掌控，同時主體可以根據(jù)自己的意愿對運行狀態(tài)進行更改。目前信息系統(tǒng)的可控性主要分為三個部分，分別是安全性、自主性以及穩(wěn)定性。

3 信息系統(tǒng)可控性評價指標(biāo)

目前信息系統(tǒng)可控性評價指標(biāo)主要分為四類，分別是軟件類、硬件類、管理類和其他類，評價指標(biāo)一共有51個。

3.1硬件類可控性評價指標(biāo)

對于硬件可控性而言，其一般是針對信息系統(tǒng)所對應(yīng)的硬件部分進行評估，主要包括設(shè)備搭建指標(biāo)、生產(chǎn)技術(shù)和專利指標(biāo)、參數(shù)配置指標(biāo)、設(shè)備搭建指標(biāo)、硬件運行負荷指標(biāo)、硬件數(shù)據(jù)監(jiān)測指標(biāo)、硬件閾值控制指標(biāo)、硬件操作攔截指標(biāo)、硬件干擾指標(biāo)、誤差損耗累積指標(biāo)以及連續(xù)穩(wěn)定工作時間指標(biāo)。

3.2軟件類可控性評價指標(biāo)

對于軟件可控性而言，其一般是針對信息系統(tǒng)所對應(yīng)的軟件部分進行評估，主要包括代碼變更控制指標(biāo)、代碼編寫指標(biāo)、軟件環(huán)境搭建指標(biāo)、代碼審計指標(biāo)、邏輯炸彈指標(biāo)、參數(shù)配置指標(biāo)、軟件操作攔截指標(biāo)、遠程控制后門指標(biāo)、數(shù)據(jù)傳輸安全指標(biāo)、軟件數(shù)據(jù)監(jiān)控指標(biāo)、用戶輸入驗證指標(biāo)、軟件數(shù)據(jù)保護指標(biāo)、配置錯誤指標(biāo)、誘導(dǎo)操作指標(biāo)、內(nèi)存崩潰指標(biāo)、邏輯錯誤指標(biāo)以及設(shè)計錯誤指標(biāo)。

3.3管理類可控性評價指標(biāo)

對于信息系統(tǒng)而言，一般還會有人來進行管控，包括管理工作、使用工作以及維護工作。所謂的管理可控性所指的就是針對于信息系統(tǒng)所對應(yīng)的管理者進行的一個評估。主要包括人員離職指標(biāo)、人員錄用指標(biāo)、人員調(diào)動指標(biāo)、人員培訓(xùn)指標(biāo)、責(zé)任規(guī)范指標(biāo)、人員來訪指標(biāo)、人員操作安全指標(biāo)、工作時間指標(biāo)、物理訪問控制指標(biāo)、人員考核與審查指標(biāo)、網(wǎng)絡(luò)控制指標(biāo)、自然環(huán)境控制指標(biāo)、設(shè)備更新指標(biāo)、軟件變更控制指標(biāo)、監(jiān)督與檢查指標(biāo)、定期維護指標(biāo)、備份與恢復(fù)指標(biāo)、身份認證權(quán)限控制指標(biāo)以及系統(tǒng)暫停指標(biāo)。

3.4其他類可控性評價指標(biāo)

除了上述的可控性評價指標(biāo)，剩下的都是其他類可控性評價指標(biāo)，主要包括自然災(zāi)害指標(biāo)、入侵檢測病毒防治指標(biāo)、通信鏈路抗干擾指標(biāo)以及安全審計指標(biāo)。

4 信息系統(tǒng)可控性評價體系

在本文中為了能夠針對信息系統(tǒng)實施可控性評價，根據(jù)評價指標(biāo)進行了評價體系的建立。下面開始對上述51個評價指標(biāo)進行分類。

4.1軟硬件可控性指標(biāo)的劃分

其中硬件可控性指標(biāo)以及軟件可控性指標(biāo)都是按照自主性以及脆弱性來實施類別劃分的。

所謂的自主性所指的是信息系統(tǒng)里面所采用的每一種技術(shù)都完全可以受到主體的掌控。因此對于自主性而言，要求能夠?qū)ο到y(tǒng)的源代碼以及生產(chǎn)技術(shù)進行全部掌握，同時還要掌控系統(tǒng)的運行流程、整體結(jié)構(gòu)以及參數(shù)配置，從而完成系統(tǒng)的自主可控。

而對于脆弱性而言，其所指的是系統(tǒng)進行開發(fā)以及運行時，因為存在著開發(fā)者的疏忽或者是操作者的使用不當(dāng)，對系統(tǒng)所造成的影響。其中分為穩(wěn)定脆弱性以及安全脆弱性，穩(wěn)定脆弱性所指的是系統(tǒng)具有一定的漏洞，造成系統(tǒng)出現(xiàn)固定或者是非固定行為的異常工作;安全脆弱性所指的是系統(tǒng)具有一定的漏洞，造成外界人員的攻擊，使得系統(tǒng)異常工作。

4.2管理類可控性指標(biāo)的劃分

對于管理類指標(biāo)而言，這里分為兩類，分別是管理模式可控性以及人員可控性。

其中管理模式可控性所指的是對信息信息的各項制度規(guī)范是否合理進行管理。通過有效的管理模式可以使得系統(tǒng)可靠性得到增強，并系統(tǒng)維護率也會降低。但是如果管理模式不合理，那么不可控隱患就會加劇，因此就會降低效率。

對于人員可控性而言，其所指的是主體能否管控系統(tǒng)相關(guān)人員。系統(tǒng)是通過人員操作來實現(xiàn)功能的，如果人員不可控，那么系統(tǒng)可控性也會難以保障。

4.3信息系統(tǒng)可控性的評價

針對指標(biāo)進行類別劃分，然后根據(jù)指標(biāo)權(quán)值就能夠得出每一類指標(biāo)的數(shù)值，從而判斷系統(tǒng)是否能夠達到相應(yīng)的可控性要求。

5 結(jié)語

影響系統(tǒng)可控性的指標(biāo)有很多，所以對可控性的評價是非常復(fù)雜的，而通過指標(biāo)的分類以及評價體系的建立就能夠簡化評價流程，對信息系統(tǒng)可控性評價研究具有重要意義。

參考文獻

[1]薛正，馬婷婷，于洋.基于多目標(biāo)決策的信息安全風(fēng)險評估方法研究[J].科技資訊，2019，17（02）：1-3.

[2]呂耀懷.大數(shù)據(jù)時代信息安全的倫理考量[J].道德與文明，2019（04）：84-92.

（作者單位：武警警官學(xué)院）