陳麗潔

摘要：全球大數(shù)據(jù)行業(yè)迅猛發(fā)展，使得各行各業(yè)向信息化延伸與革新，信息化已經(jīng)覆蓋了絕大部分領(lǐng)域。然而信息化的安全問題卻仍然客觀存在，嚴(yán)重制約著我國信息化進(jìn)一步發(fā)展，并逐漸成為信息化進(jìn)程亟待解決的重要問題。對信息化系統(tǒng)進(jìn)行等級保護(hù)，是基于我國當(dāng)下國情需要，提出的測試評價(jià)方法。本文以真實(shí)測評數(shù)據(jù)進(jìn)行實(shí)驗(yàn)，改進(jìn)了大數(shù)據(jù)背景下的等級保護(hù)測試評價(jià)方法，并對結(jié)果進(jìn)行了分析。

關(guān)鍵詞：大數(shù)據(jù);等級保護(hù);測試評價(jià);方法研究

引言：隨著我國改革的持續(xù)深入，信息化建設(shè)也將進(jìn)一步發(fā)展，各行各業(yè)也會(huì)逐漸建立起更加完善的信息化系統(tǒng)。一方面，生活由于信息化所帶來的便利愈來愈多，生產(chǎn)力與生產(chǎn)關(guān)系被進(jìn)一步優(yōu)化。但是另一方面，越來越多的信息安全問題開始逐漸暴露，甚至提升至國家安全的層度。因此針對性的進(jìn)行信息系統(tǒng)的評價(jià)方法的相關(guān)理論研究，并針對性的進(jìn)行測試評估方法的改進(jìn)，具有重要價(jià)值與意義。

一、等級保護(hù)發(fā)展歷程

由于信息系統(tǒng)的多樣化以及互聯(lián)網(wǎng)環(huán)境的日趨復(fù)雜，信息系統(tǒng)暴露于諸多安全隱患之下，導(dǎo)致用戶隱私、工作數(shù)據(jù)與信息等面臨威脅[1]。為了避免信息系統(tǒng)所受到安全問題侵?jǐn)_，國務(wù)院自上世紀(jì)九十年代起，就開始著手等級保護(hù)制度的立法工作，并頒布與實(shí)施了信息安全系統(tǒng)等級保護(hù)制度。公安部門針對信息安全等級保護(hù)工作，也進(jìn)行了規(guī)范與限制，從等級保護(hù)工作的監(jiān)督、檢查等方面，積極推進(jìn)我國信息系統(tǒng)等級保護(hù)整體工作。國務(wù)院小組于2007年，聯(lián)合頒布了861號(hào)文件《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》，使得我國信息系統(tǒng)安全制度開始確立?！毒W(wǎng)絡(luò)安全法》的頒布，又將我國的信息安全等級保護(hù)工作上升到國家層面。

信息系統(tǒng)等級保護(hù)的基本要求，分為技術(shù)要求與管理要求。技術(shù)要求從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用以及數(shù)據(jù)角度落實(shí)，而管理要求則主要從安全管理的制度與機(jī)構(gòu)、人員管理、系統(tǒng)管理的建設(shè)與維護(hù)等角度進(jìn)行規(guī)范。在我國，近些年來，等級保護(hù)評價(jià)制度，也逐漸進(jìn)行了一定程度的改革，但是其改革方向還主要體現(xiàn)在權(quán)重的劃分之上，在其它方面未有所涉及。但是，如今，信息系統(tǒng)隨著所涉及的行業(yè)與領(lǐng)域逐漸增多，也日趨復(fù)雜化。以往“一刀切”的評價(jià)方式，與實(shí)際需求之間逐漸脫軌，不同測評點(diǎn)對系統(tǒng)的影響程度也越加難以區(qū)分。

二、信息安全等級劃分

信息安全等級的劃分主要依據(jù)信息完整新、保密性、可用性以及完整性等進(jìn)行劃分。還應(yīng)該綜合權(quán)衡系統(tǒng)的重要性[2]。信息系統(tǒng)必修具備一定的安全保護(hù)能力，能夠在系統(tǒng)受到攻擊時(shí)發(fā)揮效果。

（一）用戶自主保護(hù)級

信息系統(tǒng)的破壞不會(huì)對國家安全以及社會(huì)集體利益產(chǎn)生影響，但是會(huì)對用戶個(gè)人、公司法人造成不良影響。這一級別，主要適用于一般的信息系統(tǒng)。信息系統(tǒng)的運(yùn)營者要對其進(jìn)行負(fù)責(zé)、監(jiān)督與保護(hù)。一級信息安全能夠防護(hù)一般災(zāi)害，或針對用戶或個(gè)人信息系統(tǒng)的侵害，其造成的社會(huì)影響性相對較小，且系統(tǒng)在遭受到攻擊后，系統(tǒng)信息可部分恢復(fù)。

（二）審議保護(hù)級

信息系統(tǒng)的破壞、對社會(huì)公共利益及社會(huì)中所包含的個(gè)體利益產(chǎn)生侵害，以影響公共社會(huì)的秩序?yàn)橄到y(tǒng)審議保護(hù)級。這一級別適用于國家安全、經(jīng)濟(jì)建設(shè)等信息系統(tǒng)。該級別的信息系統(tǒng)運(yùn)營，主要由用人單位進(jìn)行保護(hù)，而國家信安監(jiān)管部門在其工作中應(yīng)發(fā)揮指導(dǎo)與監(jiān)督作用。

（三）安全標(biāo)記保護(hù)級

信息系統(tǒng)的破壞會(huì)對國家安全產(chǎn)生損害，或者對社會(huì)公共利益產(chǎn)生重大影響。這一級別主要適用于涉及國家安全、經(jīng)濟(jì)建設(shè)以及社會(huì)秩序的信息系統(tǒng)[3]。國際信息安全監(jiān)管部門對其進(jìn)行檢查、指導(dǎo)與監(jiān)督。

（四）安全保護(hù)級及專控保護(hù)級

安全保護(hù)級是指為避免組織對國家豐富資源及其他國家級別信息，進(jìn)行惡意攻擊的?？乇Ｗo(hù)級，也是為避免信息系統(tǒng)破壞，對國家安全造成嚴(yán)重?fù)p害。國家設(shè)置的監(jiān)管部門，對其測評保護(hù)工作進(jìn)行指導(dǎo)。

三、信息系統(tǒng)測試評價(jià)方法發(fā)展現(xiàn)狀

當(dāng)下，與信息安全相關(guān)的標(biāo)注體系逐漸完善，向著專業(yè)化的方向發(fā)展。但是，由于測試水平還存在諸多不足，使得體系與測評方法之間還存在著一定滯后[4]。此外，信息系統(tǒng)等級保護(hù)測評針對不同行業(yè)也沒有進(jìn)行針對性區(qū)分，使得測試結(jié)果與行業(yè)實(shí)際情況存在較大偏差。例如有的行業(yè)在管理要求上實(shí)施完好，與管理相關(guān)的部分都具有完善的流程與記錄。但是技術(shù)環(huán)節(jié)上，卻存在著諸多不足，甚至存在一定的安全隱患。現(xiàn)有的評價(jià)系統(tǒng)中，管理體系完善與規(guī)范，但是技術(shù)操作存在顯著缺陷的信息系統(tǒng)，卻容易被評價(jià)為較高的分?jǐn)?shù)，給行業(yè)管理者造成誤導(dǎo)。又例如，不同的兩個(gè)行業(yè)之間，由于經(jīng)營方向存在差異，對不同方向的安全風(fēng)險(xiǎn)要求不同，而信息系統(tǒng)沒有明確的行業(yè)概念。使得標(biāo)準(zhǔn)無法適用于測評需求不同的行業(yè)，自然容易造成測試結(jié)果與實(shí)際情況之間的偏差。機(jī)械式的判斷必然會(huì)造成評價(jià)體系有效度的不足。

如今，大數(shù)據(jù)背景下，信息系統(tǒng)的測試評價(jià)方法主要分為三種，即非參數(shù)統(tǒng)計(jì)、參數(shù)統(tǒng)計(jì)以及神經(jīng)網(wǎng)絡(luò)法。常用于信息系統(tǒng)風(fēng)險(xiǎn)評估的模型包括信用評價(jià)模型、Bayes風(fēng)險(xiǎn)分析、Logistic回歸模型等。參差分析法與模糊綜合評價(jià)法在信息系統(tǒng)測試評價(jià)中也較為常見，模糊層次分析法的引用，往往能夠增強(qiáng)評價(jià)方式的客觀性。

五、等級保護(hù)測試評價(jià)方法改進(jìn)體系構(gòu)建

等級保護(hù)測試應(yīng)秉持客觀性、公眾性與符合性原則，進(jìn)行安全控制測評與系統(tǒng)整體測評兩方面工作。信息系統(tǒng)的安全控制測評是測評的基礎(chǔ)，一般包括訪談、檢查與測試三種測評方式。等級測評工作需要經(jīng)過準(zhǔn)備、現(xiàn)場實(shí)施以及分析與報(bào)告三個(gè)階段。在等級評價(jià)保護(hù)測試評價(jià)中，最為核心的是評價(jià)指標(biāo)體系的構(gòu)建及其權(quán)重的確定。

針對評價(jià)指標(biāo)體系的構(gòu)建，應(yīng)該從信息系統(tǒng)安全的實(shí)際情況出發(fā)，來深入了解信息系統(tǒng)所涉及行業(yè)的實(shí)際情況，綜合權(quán)衡各因素，才能真正確立科學(xué)的評價(jià)體系。層次分析法，作為一種能夠?qū)⒍ㄐ耘c定量完美結(jié)合的多目標(biāo)層次分析方法，逐漸被應(yīng)用于評價(jià)指標(biāo)體系各因素權(quán)重的確定之中。將問題進(jìn)行層次化，可以更好地完成系統(tǒng)分析，使不同的隸屬關(guān)系與影響因子可以被多層次組合，從而形成層次化明顯的分析模型。

層次分析法確定權(quán)重之后，對元素之間的相互關(guān)系進(jìn)行整合，形成層次結(jié)構(gòu)后，決策者需要針對性做出決策方案，并計(jì)算各方案在不同準(zhǔn)則下的相對重要程度，最后進(jìn)行方案優(yōu)劣排序，使得決策效率能夠顯著提升。

六、結(jié)束語

針對信息系統(tǒng)在行業(yè)領(lǐng)域應(yīng)用逐漸廣泛，而其等級保護(hù)測試評價(jià)方法卻相對滯后的問題，本文結(jié)合其發(fā)展現(xiàn)狀做了簡要分析，并歸納了我國安全等級保護(hù)的分級現(xiàn)狀。為了使得當(dāng)下信息系統(tǒng)等級保護(hù)測評的評價(jià)結(jié)果更為直觀與準(zhǔn)確，本文研究了信息系統(tǒng)等級保護(hù)評價(jià)方法中指標(biāo)體系的構(gòu)建及指標(biāo)權(quán)重的確定方法，為改善系統(tǒng)安全問題提供了解決方向。

參考文獻(xiàn)：

[1]蔡昌許， 蔡昌曙. 電子政務(wù)外網(wǎng)等級保護(hù)測評探討%Classified Protection Evaluation Investigation of E-government Extranet[J]. 電腦知識(shí)與技術(shù)， 2014， 000（035）：8593-8594.

[2] 黃石平. 淺析大數(shù)據(jù)信息安全等級保護(hù)%Analysis of Big Data Information Security Level Protection[J]. 電腦知識(shí)與技術(shù)：學(xué)術(shù)交流， 2017.

[3]丁晨. 大數(shù)據(jù)和人工智能技術(shù)在銀行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理中的實(shí)踐——日志安全審計(jì)分析業(yè)務(wù)[J]. 中國信息化， 2019（5）.

[4]王艷軍. Research on the prototype of general basic software level protection%通用基礎(chǔ)軟件等級保護(hù)測評原型的研究[J]. 電子測試， 2016， 000（011）：138-139.