徐鑫

摘要：網(wǎng)絡(luò)安全等級保護(hù)工作已開展多年，在整個(gè)工作環(huán)節(jié)中，僅等級保護(hù)測評有量化評價(jià)。因此，大家往往把個(gè)別信息系統(tǒng)的等級保護(hù)測評得分與網(wǎng)絡(luò)運(yùn)營者等級保護(hù)工作整體落實(shí)情況畫等號，給主管部門整體評價(jià)網(wǎng)絡(luò)運(yùn)營者等級保護(hù)落實(shí)情況帶來困難。文章根據(jù)多年來等級保護(hù)測評經(jīng)驗(yàn)，對整個(gè)等級保護(hù)流程進(jìn)行梳理，建立等級保護(hù)各環(huán)節(jié)評價(jià)指標(biāo)。采用層次分析法對指標(biāo)進(jìn)行賦權(quán)，進(jìn)而采用模糊綜合評價(jià)法完成對網(wǎng)絡(luò)運(yùn)營者等級保護(hù)工作情況進(jìn)行綜合量化評價(jià)，突出網(wǎng)絡(luò)安全等級保護(hù)工作周期各環(huán)節(jié)的重要性和薄弱點(diǎn)，為網(wǎng)絡(luò)運(yùn)營者提升等級保護(hù)工作效率帶來一定的指導(dǎo)意義。

關(guān)鍵詞：等級保護(hù);信息安全測評;網(wǎng)絡(luò)安全;層次分析法、模糊綜合評價(jià)

中圖分類號：TN915.08? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）32-0014-04

Abstract：Network security classified protection work has been carried out for many years，Throughout the work process，， only the? classified protection evaluation link has a quantitative evaluation. Therefore， people often equate the classified protection evaluation score of an information system with the overall implementation of the network operator's classified protection. This situation caused difficulties for the competent authorities to comprehensively evaluate the implementation of the network operator's classified protection work. This article is based on years of experience in? classified protection evaluation. Based on years of experience in protection evaluation， the article sorts out the entire classified protection process and establishes evaluation indicators for each link of classified protection. The article adopts the analytic hierarchy process to weight the indicators， and then uses the fuzzy comprehensive evaluation method to comprehensively quantify the network operator's classified protection work， highlighting the importance and weakness of each link in the network security classified protection work cycle， it has guiding significance in improving the efficiency of network operators' classified protection

Key words：classified protection; information security evaluation;internet security; analytic hierarchy process（AHP）; fuzzy comprehensive evaluation

1 引言

自國家主管部門頒布《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》《信息系統(tǒng)安全等級保護(hù)基本要求》等標(biāo)準(zhǔn)以來，各地積極落實(shí)國家等級保護(hù)測評，參與定級測評的信息系統(tǒng)由單一市級單位核心業(yè)務(wù)系統(tǒng)鋪開到輔助業(yè)務(wù)信息系統(tǒng)和區(qū)縣單位運(yùn)維的信息系統(tǒng)。等級保護(hù)測評報(bào)告得分在很長時(shí)間上代表著網(wǎng)絡(luò)運(yùn)營者的網(wǎng)絡(luò)安全水平。隨著國家網(wǎng)絡(luò)安全要求的提高，國家及上海地方均成立了網(wǎng)絡(luò)安全監(jiān)測團(tuán)隊(duì)對各類信息系統(tǒng)進(jìn)行掃描和滲透測試。與此同時(shí)，2016年以來各省市相關(guān)主管單位聯(lián)合開展了關(guān)鍵信息基礎(chǔ)設(shè)施檢查。無論是外網(wǎng)滲透還是關(guān)鍵信息基礎(chǔ)設(shè)施檢查均發(fā)現(xiàn)不少問題。究其原因，目前網(wǎng)絡(luò)運(yùn)營者對等級保護(hù)工作認(rèn)識不透徹，未落實(shí)等級保護(hù)定級、備案、測評、整改、安全建設(shè)各環(huán)節(jié)的要求，僅將工作重點(diǎn)放在測評本身。導(dǎo)致存在定級不全、定級不準(zhǔn)、為得高分安全狀況不好的系統(tǒng)不納入測評對象、系統(tǒng)試運(yùn)行階段發(fā)生安全事件等等情況。為此本文結(jié)合等級保護(hù)工作各環(huán)節(jié)重點(diǎn)與科學(xué)的評價(jià)方法，旨在建立一套評價(jià)體系，較為完整地對網(wǎng)絡(luò)營運(yùn)者的等級保護(hù)工作進(jìn)行量化評價(jià)，進(jìn)而為單位網(wǎng)絡(luò)安全工作計(jì)劃提出建議。

2 評價(jià)指標(biāo)的建立與評價(jià)方法的選擇

1）層次分析法

隨著各類研究的深入與細(xì)化，很多問題無法直接建立數(shù)學(xué)模型進(jìn)行分析或數(shù)學(xué)模型計(jì)算工作量急劇增加，美國運(yùn)籌學(xué)家薩蒂回歸決策人主觀感受，借助數(shù)學(xué)方法整理決策人主觀思路，提出層次分析法。層次分析法是一種結(jié)合定量與定性的研究方法，分析目的較為明確，分析過程結(jié)合主管思維，不易造成偏差。通過將問題分解成層次結(jié)構(gòu)，層層緊密相連，使得整個(gè)分析過程具有系統(tǒng)性[1]。

2）模糊綜合評價(jià)法

對一個(gè)單位總體等級保護(hù)工作或某一項(xiàng)具體事宜進(jìn)行評價(jià)，主觀上存在“差”“較差”“一般”“較好”“好”的評價(jià)。模糊綜合評價(jià)法通過構(gòu)造評價(jià)對象集合、評價(jià)集合、確定評價(jià)指標(biāo)權(quán)重、構(gòu)建模糊評價(jià)矩陣計(jì)算出評價(jià)目標(biāo)對應(yīng)評價(jià)集合的隸屬度。模糊綜合評價(jià)法優(yōu)點(diǎn)在于如果指標(biāo)權(quán)重準(zhǔn)確，計(jì)算出的隸屬度矩陣則能準(zhǔn)確反映和評價(jià)目前的真實(shí)情況[2]。

3）方法選取

對運(yùn)維單位等級保護(hù)工作進(jìn)行量化評價(jià)，需要經(jīng)過建立評價(jià)指標(biāo)，指標(biāo)權(quán)重進(jìn)行量化以及將評價(jià)意見進(jìn)行科學(xué)量化三個(gè)環(huán)節(jié)。本文評價(jià)指標(biāo)的建立參照等級保護(hù)測評定級、備案、測評、整改的流程，融入《網(wǎng)絡(luò)安全法》網(wǎng)絡(luò)安全責(zé)任制和“同步規(guī)劃、同步設(shè)計(jì)、同步運(yùn)行”的新要求設(shè)計(jì)指標(biāo)。指標(biāo)具備清晰的層次模型結(jié)構(gòu)，且評價(jià)實(shí)施的基礎(chǔ)數(shù)據(jù)依賴評價(jià)人員主觀評價(jià)。因此通過層次分析法確定評估指標(biāo)權(quán)重，采用模糊綜合評價(jià)法進(jìn)行綜合評估計(jì)算單位等級保護(hù)工作對應(yīng)評價(jià)集合隸屬度，在實(shí)踐中較為切實(shí)可行。

3 評價(jià)體系的建立

3.1 評價(jià)指標(biāo)的建立

結(jié)合等級保護(hù)流程及相關(guān)工作經(jīng)驗(yàn)，本文將等級保護(hù)評價(jià)工作分為定級及備案、測評、整改、整體控制評估一級指標(biāo)[3]。

3.1.1 定級及備案

1）定級備案全面性：梳理單位全部信息系統(tǒng)，結(jié)合業(yè)務(wù)服務(wù)需求、對方數(shù)量與存儲數(shù)據(jù)重要性等情況，比對單位已定級備案的系統(tǒng)。評價(jià)定級備案全面性情況。

2）定級備案準(zhǔn)確性：查閱單位內(nèi)定級備案流程，是否與業(yè)務(wù)部門協(xié)同定級，是否遵循《定級指南》以及地方主管單位的要求，是否咨詢專家和上級單位指導(dǎo)意見。

3）新建網(wǎng)絡(luò)定級：新建網(wǎng)絡(luò)是否遵循“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”原則，在網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段進(jìn)行定級。

4）定級備案責(zé)任明確： 單位內(nèi)部制度上是否明確定級備案責(zé)任崗位，制度上是否規(guī)范定級備案流程，對隨意定級、隱瞞定級等行為是否進(jìn)行約束。

3.1.2 測評

1）測評責(zé)任明確：等級保護(hù)測評總體負(fù)責(zé)人和各層面管理員是否明確，是否向負(fù)責(zé)人和各層面負(fù)責(zé)人宣貫等級保護(hù)工作的重要性以便積極配合等級保護(hù)測評的開展。

2）測評實(shí)施及時(shí)性： 對所有定級備案的系統(tǒng)或平臺的歷史測評時(shí)間進(jìn)行查詢，根據(jù)等級保護(hù)制度要求對全部系統(tǒng)進(jìn)行評價(jià)。

3）測評結(jié)論：查看等級保護(hù)測評報(bào)告，統(tǒng)計(jì)各個(gè)系統(tǒng)或平臺得分情況，對測評結(jié)果進(jìn)行評價(jià)。

3.1.3 整改

1）整改責(zé)任明確：對等級保護(hù)測評、風(fēng)險(xiǎn)評估、安全自查發(fā)現(xiàn)的問題項(xiàng)整改責(zé)任是否落實(shí)到個(gè)人。

2）整改方案制定：是否制定了詳細(xì)的切實(shí)可行的整改方案，是否包含短期整改計(jì)劃及遠(yuǎn)期安全目標(biāo)。

3）整改方案落實(shí)：是否落實(shí)整改方案的內(nèi)容，及時(shí)消除風(fēng)險(xiǎn)隱患，并依據(jù)遠(yuǎn)期安全目標(biāo)制定采購、研發(fā)計(jì)劃。

3.1.4 整體控制

1）網(wǎng)絡(luò)安全責(zé)任落實(shí)：是否確定網(wǎng)絡(luò)安全等級保護(hù)工作責(zé)任人，建立網(wǎng)絡(luò)安全等級保護(hù)工作責(zé)任制，落實(shí)責(zé)任追究制度。工作責(zé)任人是否為單位主要領(lǐng)導(dǎo)直接擔(dān)任。

2）網(wǎng)絡(luò)安全檢查落實(shí)：單位責(zé)任領(lǐng)導(dǎo)是否組織網(wǎng)絡(luò)安全自查以及滲透測試，對現(xiàn)有制度的落實(shí)情況進(jìn)行控制。

3）應(yīng)急預(yù)案與演練：單位內(nèi)部是否制定詳細(xì)的應(yīng)急預(yù)案并進(jìn)行演練，對現(xiàn)有安全措施進(jìn)行驗(yàn)證。責(zé)任領(lǐng)導(dǎo)是否直接參與應(yīng)急預(yù)案與演練，保證應(yīng)急相應(yīng)工作具備充足的人力物力資源支持[4]。

3.2 評價(jià)指標(biāo)權(quán)重確認(rèn)

根據(jù)第二章建立的評價(jià)指標(biāo)，以等級保護(hù)工作評價(jià)為決策目的，將定級備案、測評等環(huán)節(jié)作為準(zhǔn)則，將具體評價(jià)點(diǎn)作為直接評價(jià)的指標(biāo)，建立層次結(jié)構(gòu)如圖1評價(jià)指標(biāo)層次結(jié)構(gòu)圖。

確定對比尺度，設(shè)置主觀上對比兩種方案或準(zhǔn)則的差距的數(shù)字量化尺度，如表1 尺度含義。

設(shè)置獨(dú)立三組評價(jià)人員分別對準(zhǔn)則層相對決策層影響對比、方案層對決策層影響對比，形成如下表的對比矩陣如表2評價(jià)對比對比矩陣，共可構(gòu)造準(zhǔn)則層矩陣S和方案層矩陣[S1]、[S2]、[S3]、[S4]。

（1）依次求出單行的影響程度對比指標(biāo)值的乘積的i次方根：

（2）計(jì)算評價(jià)人員對比矩陣特征向量值即評估指標(biāo)權(quán)重，為方便對比，進(jìn)行劃一。

對三組評價(jià)人員特征向量值取算數(shù)平均數(shù)，得出模糊評價(jià)所需指標(biāo)權(quán)重。

3.3 模糊綜合評價(jià)實(shí)施

根據(jù)第二章節(jié)描述構(gòu)造評價(jià)集合如下：

通過三個(gè)評估人員獨(dú)立對13個(gè)評估指標(biāo)進(jìn)行評價(jià)，形成評價(jià)矩陣[H1]、[H2]、[H3]、[H4]。

其中n=5，表示具體評價(jià)標(biāo)號，m=13，表示評價(jià)評價(jià)指標(biāo)編號。[hmn]表示對標(biāo)號為m的指標(biāo)項(xiàng)給出標(biāo)號為n的評價(jià)的人員比例。

[E]即網(wǎng)絡(luò)運(yùn)營者等級保護(hù)工作對應(yīng)各評價(jià)的隸屬度，其中數(shù)字最大e對應(yīng)的評價(jià)為該網(wǎng)絡(luò)運(yùn)營者的總體評價(jià)。為了進(jìn)一步對網(wǎng)絡(luò)運(yùn)營者提出具體改進(jìn)方向，借用效用原理，為評價(jià)集合每個(gè)評價(jià)附上效用值，如表3評價(jià)效用值。

4 模擬案例分析

模擬某大型國有單位M進(jìn)行評價(jià)，權(quán)重須采集多名專家意見形成評價(jià)矩陣，模擬簡化為單一專家意見。

分別經(jīng)過（1）（2）計(jì)算，S決策層權(quán)重向量記為[Wm]，方案層權(quán)重向量記為[Wn]，方案層綜合權(quán)重[Wmn=Wm*Wn]，見表4指標(biāo)項(xiàng)權(quán)重表。

根據(jù)公式（4）由三個(gè)信息安全專家對各指標(biāo)進(jìn)行模糊評價(jià)，形成評價(jià)集合[H]。根據(jù)公式（5）求隸屬度向量[E]。

因此該單位等級保護(hù)測評對應(yīng)評價(jià)集合內(nèi)各評價(jià)的隸屬度見表5評價(jià)隸屬度。

結(jié)合指標(biāo)項(xiàng)權(quán)重[Wmn]與指標(biāo)項(xiàng)得分[F]，得出評價(jià)結(jié)論如表6評價(jià)輸出。單位即可結(jié)合自身人員配置、制度規(guī)定以及預(yù)算情況進(jìn)行有目的性調(diào)整等級保護(hù)工作要點(diǎn)，提升等級保護(hù)工作效率。

5 結(jié)束語

在工作中，本人經(jīng)常面臨如何對某個(gè)單位開展等級保護(hù)工作情況進(jìn)行評價(jià)的難題。整理針對這些困惑所存在的問題點(diǎn)，提出評價(jià)網(wǎng)絡(luò)運(yùn)營者等保工作的評價(jià)指標(biāo)，同時(shí)也借助一些成熟的研究方法，使得結(jié)果更加直觀和量化。目前所設(shè)計(jì)的體系處于初步狀況，在后期的工作中將進(jìn)一步完善該評價(jià)體系，希望能為主管部門評價(jià)等級保護(hù)工作做一些探索。

參考文獻(xiàn)：

[1] 程朝霞，李光耀，韓瑞婷.基于AHP模型的運(yùn)城鹽湖濕地及周邊景觀綜合評價(jià)[J].天津農(nóng)業(yè)科學(xué)，2019，25（8）：69-72.

[2] Lothar PhilippsJust Descisions Using Multiple Criteria or：Who Gets the Porsche？ An Application of Ronald R.Yager's Fuzzy Logic Method[C].ICAIL95 Proceedings of the 5th international conference on Artificial intelligence and law，USA：ACM，1995：195，200.

[3] 公安部信息安全等級保護(hù)評估中心.信息安全等級保護(hù)政策培訓(xùn)教程[M] .北京：電子工業(yè)出版社，2010：1，3.

[4] GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求[S].

【通聯(lián)編輯：代影】