信息安全等级保护与风险评估

一、什么是信息安全?

目前常说的所谓信息主要是指在信息系统中存储、传输、处理的数字化信息。信息安全通常是指保证信息数据不受偶然的或者恶意的原因遭到破坏、更改、泄露，保证信息系统能够连续可靠正常地运行，信息服务不中断。信息安全涉及到信息的保密性、完整性、可用性、可控性。 保密性是保证信息不泄漏给未经授权的人;完整性是防止信息被未经授权的篡改;可用性是保证信息及信息系统确实为授权使用者所用;可控性就是对信息及信息系统实施安全监控。

信息安全面临的主要威胁来源有环境因素和人为因素，而威胁最大的并不是恶意的外部人员，恰恰是缺乏责任心或专业技能不足的内部人员，由于没有遵循规章制度和操作流程或不具备岗位技能而导致信息系统故障或被攻击。

信息安全涉及到物理环境、网络、主机、应用等不同的信息领域，每个领域都有其相关的风险、威胁及解决方法。信息安全是一个动态发展的过程，仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。

二、什么是等级保护?

信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

等级保护是指导我国信息安全保障体系总体建设的基础管理原则，是围绕信息安全保障全过程的一项基础性管理制度，其核心内容是对信息安全分等级、按标准进行建设、管理和监督。

按照《计算机信息系统安全保护等级划分准则》规定的规定，我国实行五级信息安全等级保护。第一级：用户自主保护级;第二级：系统审计保护级;第三级：安全标记保护级;第四级：结构化保护级;第五级：访问验证保护级;

由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安全保护等级划分为五级，即：第一级：自主保护级;第二级：指导保护级;第三级：监督保护级;第四级：强制保护级;第五级：专控保护级。

66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的，是系统从应用需求出发必须纳入的安全业务等级，而不是GB17859中定义的安全技术等级。

三、什么是风险评估?

风险评估就是量化评判安全事件带来的影响或损失的可能程度。

从信息安全的角度来讲，风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

风险评估的主要任务包括：1)识别组织面临的各种风险;2)评估风险概率和可能带来的负面影响;3)确定组织承受风险的能力;4)确定风险消减和控制的优先等级;5)推荐风险消减对策。

在风险评估过程中需要考虑几个关键问题：

第一，要确定保护的对象(资产)是什么?它的直接和间接价值如何?

第二，资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?

第三，资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?

第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响?

第五，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?

解决以上这些问题的过程，就是风险评估的过程。

四、中科网威的风险评估案例

20xx年，某市税务局通过招标，对市属税务单位进行了一次风险评估。

在招标中，要求风险评估单位具有安全服务资质、风险评估资质、参与过国家信息安全评估产品标准的制订，有具有自主知识产权的风险评估产品、有6名以上CISP等。北京中科网威信息技术有限公司因技术实力突出而一举中标。

根据先期确定的风险评估实施方案，风险评估工作的对象为市局及其五个下属的区县级税务分局的信息系统。评估范围是市局的数据管理中心及五个下属区县局，涵盖物理环境、网络、应用、管理和终端等方面的评估;从20个分局中抽取了三个征管局和两个县区局，针对征管系统、OA系统、国地税数据交换系统进行检查评估。

经过2个月的评估，北京中科网威信息技术有限公司出具了风险评估报告，指明该市局税务系统的信息安全风险突出表现在以下五个方面：

1) 安全管理体系不够健全

2) 管理执行力度较差，缺乏监管与奖惩机制

3) 各类人员不同程度的缺乏安全意识

4) 现有安全措施不足，总体安全策略没有在技术上落实

5) 安全风险过于集中，对于突发事件缺乏应急准备

针对发现的风险，北京中科网威信息技术有限公司协助市税务局制订了完整的整改方案，采取了一系列措施进行安全建设整改。经过4个月的安全建设和整改，完善了安全体系，有效防范了大部分安全风险，取得了令人满意的阶段性成果，并通过了国税总局进行的信息安全等级测评。

在总结会上，市局信息中心孙主任表示，在实行等级保护过程中，风险评估的作用至关重要，这次之所以顺利通过等级测评，就是前期的风险评估工作扎实到位，使得信息安全建设有的放矢。

原文出自【比特网】，转载请保留原文链接：/136/12125636.shtml

 

第二篇：基于层次分析法的信息安全风险评估研究

实践与经验

基于层次分析法的信息安全风险评估研究

华光

（中国石化广东石油分公司，广州510145）

摘

要：层次分析法是一种面向多目标决策问题的定量分析工具，可用于信息安全风险评估的

系统和定量分析。利用信息安全的有关理论，建立AHP层次结构模型;利用AHP分析软件ExpertChoice，完成AHP的计算和分析，判断信息安全的风险所在，并提出有针对性的解决方案。

关键词：信息安全；风险评估；层次分析法；AHP

0引言

20世纪90年代以来，全球化和信息化浪潮席卷

赖性。”

尽管国内外对信息安全的定义存在一定差异，但对于信息安全内容的认识却是基本一致的，那就是信息安全的基本服务内容包括机密性、完整性和可用性。从信息安全的作用层面来看，又可分为物理安全、运行安全和数据安全3个层面。

整个世界。与此同时，随着信息化发展而产生的安全问题，现已成为各国政府有关部门和企事业领导人关注的热点问题。传统的解决方法往往只是针对出现的问题予以暂时解决，多属于事后被动的防护方法，缺少系统的考虑。只有依靠科学有效的管理，实施综合全面的保障手段，才能取得良好的效果。在这一过程中，信息安全风险评估逐渐成为关键环节。

目前国内外的风险评估方法很多，但还没有统一的信息安全风险分析的方法。实际操作过程中还普遍存在定量分析、系统分析不足的问题。本文将利用层次分析法建立信息安全风险评估模型，以实现对信息安全风险的系统和定量分析，并以本企业信息安全现状为依据，分析各技术手段对总体风险的影响，为提高企业信息安全水平提供客观的依据。

1.2信息安全风险评估方法

目前国内外存在很多风险评估的方法，还没有统一的信息安全风险分析的方法，但是不管哪种方法都是围绕资产、威胁、脆弱性、威胁事件之间的关系来建模。这些方法遵循了基本的风险评估流程，但在具体实施手段和风险的计算方法方面各有不同。从计算方法上分为定性分析方法、定量分析方法、定性与定量相结合的分析方法。

（1）定性分析方法

定性分析方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入访谈作出个案记录为基本资料，然后通过一个理论推倒演绎的分析框架，对资料进行编码整理，在此基础上作出调查结论。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔菲法、矩阵法等。定性分析方法的优点是避免了定量分析方法的缺点，可以挖掘出一些蕴藏很深的思想，使评估的结论更全面深刻，但它的缺点也显而易见:主观性强，对评估者要求很高。

（2）定量分析方法

1国内外信息安全评估有关理论

国家信息安全重点实验室给出的信息安全定义

1．1信息安全及其相关概念

现代计算机（总第二九一期）

是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。”美国国家安全局给出的定义是:“因为术语‘信息安全’一直仅表示信息的机密性，在国防部我们用‘信息保障’来描述信息安全，也叫‘IA’。它包含5种安全服务，包括机密性、完整性、可用性、真实性和不可抵

收稿日期：2008-07-28修稿日期：2008-08-05

作者简介：华光（1968-），男，江苏无锡人，讲师，研究方向为企业计算机网络、信息安全、SAP/ERP系统

ＭＣＯＭＰＵＴＥＲ

２００8．

实践与经验

定量的分析方法是指运用数量指标对风险进行评估，典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、决策数法等。定量分析方法的优点是用直观的数据来表述评估的结果，看起来一目了然，而且比较客观，但也容易简单化、模糊化，会造成误解和曲解。而且由于数据统计缺乏长期性，计算过程又容易出错，所以定量分析的细化非常困难，所以目前完全只用定量分析方法已经很少见到。

（3）综合分析方法

系统风险评估是个复杂的过程，需要考虑的因素很多，有些评估要素是可以用量化的形式来表达，而对有些要素的量化又是很困难甚至是不可能的。定量分析是定性分析的基础和前提，定性分析应该建立在定量分析的基础上才能揭示客观事物的内在规律。在复杂的信息系统风险评估中，不能将定性分析方法与定量分析方法简单的割裂开来，而是将这两种方法融合起来，采用综合分析方法。主要的综合分析方法有层次分析法、概率风险评估和模糊综合评价法等。

①系统分解，建立层次结构模型；②构造判断矩阵；③相关数学计算；

④层次总排序，完成综合判断。

2信息安全评估的AHP解决方案

信息安全有关理论说明，安全风险评估中设计的

目标往往是多个（例如机密性、可用性和完整性），是比较典型的多目标决策问题，而评估过程中的目标和准则又通常没有统一的计量单位。安全风险评估的这些特征正是层次分析法的优势所在。以下是利用层次分析法选择企业信息安全中技术手段的实际应用，模型中不包括管理手段，也不考虑动态因素。

2.1构造信息安全评估的AHP层次结构模型

层次模型的构造是基于分解法的思想，进行对象的系统分解。它的基本层次有三类:目标层、准则层和指标层，目的是基于系统基本特征建立系统的评估指标体系;其中目标层是最终的判定目标;准则层是判定依据的标准与规范，其往往是多个准则的集合;指标层则是在目标层和准则层约束下的各项具体指标。根据信息安全有关理论，和本文应用的实际情况，可建立如图1所示的AHP层次结构模型。

1.3层次分析法

（1）层次分析法简介

层次分析法（AnalyticHierarchyProcess）简称

AHP，是20世纪70年代由美国运筹学家托马斯·萨迪（ThomasL.Saaty）正式提出的一种集层次结构、实验心理学、比较权衡和数学方法于一体的分析方法，是一种定性与定量相结合、主观与客观相结合、系统化、层次化的分析方法。

层次分析法的基本思路与人对一个复杂决策问题的思维、判断过程大体一致。其分析过程可以概括为4个步骤，即建立层次结构模型、构造成比较矩阵、计算权重向量并做一致性检验、计算组合权重向量并做组合一致性检验。

层次分析法不仅适用于存在不确定性和主观信息的情况，还允许以合乎逻辑的方式运用经验、洞察力和直觉进行决策。

（2）层次分析法的应用领域

由于层次分析法在处理复杂的决策问题上的实用性和有效性，该方法很快就在世界范围内得到重视。它的应用已遍及经济计划和管理、能源政策和分配、行为科学、军事指挥、运输、农业、教育、人才、医疗和环境等诸多领域。解决的问题包括方案排序、政策转换、决定需求、资源分配、预测结果、估价风险、资源分配、冲突分析和计划等。

（3）层次分析法的分析步骤

图1信息安全评估的AHP层次结构模型

模型中将信息安全总体风险作为目标；以信息服务的3个重要方面（机密性、可用性和完整性）作为子目标；并从安全风险的角度为每个子目标设定了3个准则，即风险程度、风险范围和风险可能性；最低层则为企业现有的各项技术手段。通过判断矩阵的建立和求解，最终确定现阶段各项技术手段对信息安全总体风险的影响，找出那些风险较大的薄弱环节，重点解决。

现代计算机（总第二九一期）

2．2比较矩阵的获取与求解

ＯＤＥＲＮＣＴＥＲ２００8．9

趮趫

实践与经验

判断矩阵的作用是在上一层某一元素的约束条件下，对同层次的元素之间的相对重要性两两进行比较，根据心理学家提出的“人区分信息等级的极限能力为7±2”的研究结论，AHP方法在对评估指标的相对重要程度进行测量时，引入了九分位的相对重要的比例标度，构成一个判断矩阵。本文用了1-9的比率标度法来表示，如下表所示。

表11-9的比率标度法

3.2获取比较矩阵

本文用了1-9的比率标度法来进行同层元素的两两比较，按照表一所述的准则，由外部专家和企业内部技术人员分别填写如表2所示（以机密性/风险范围准则为例）。

这样一来，n个指标成对比较的结果就可以用下面的判断矩阵A表示为:

n

nnnnnnnnnnnn

图2ExpertChoice中的信息安全风险评估AHP层次结构

模型

a11a12…a1na21a22…a2n

…

…

………ann

A=

an1an2

nnnnnnnnnnnnn

对于同一表格，多个专家和多个技术人员的结果分别取几何平均后，再取几何平均得到判断矩阵各元素的最终取值。

将判断矩阵的值输入计算机。ExpertChoice有3种界面可以进行判断矩阵的录入。

矩阵A中的元素满足aii，aij=1/aji，形成一个互反矩阵。通过归一化和层层加总，计算各层元素对系统目标的合成权重，完成综合判断，进行总排序，确立层次结构图中最底层各个元素在总目标中的重要程度。通过求解判断矩阵的最大特征根及其对应的特征向量，进行一致性检验。

3．3权重计算与一致性判断

利用ExpertChoice进行AHP分析，权重计算与一致性判断是与矩阵的录入同步进行的。同时，软件还进行该步骤的一致性检验。计算结果如图3所示。

3评估过程与结果分析

AHP的求解过程中涉及大量的矩阵运算，当层

次结构复杂、元素较多时计算量是非常惊人的。因此，

AHP的实际中常常借助计算机软件辅助决策。这里，我们利用ExpertChoice公司的AHP分析软件Expert

Choice2000进行评估。

3.1建立层次模型

现代计算机（总第二九一期）

图2为利用ExpertChoice实现图1所示的信息安全风险评估AHP层次结构模型。

图3中间步骤权重和一致性判断输出结果

表2AHP判断矩阵数据调查表（机密性/风险范围）

ＭＣＯＭＰＵＴＥＲ

?

２００8．

实践与经验

3.4最终结果

当所有比较矩阵的值输入完毕后，ExpertChoice自动生成权重和一致性判断的结果，如图4所示。

病毒防范、补丁管理和内网监控3个方面。

4结语

信息安全风险评估是搞好信息安全工作的前提

和条件。层次分析法为信息安全风险评估提供了定量分析和系统分析的新思路。本文利用层次分析法对企业信息安全风险进行了评估，并为信息安全技术手段的选择提供了依据。事实上，AHP可以将管理手段、技术类型、决策人等因素纳入层次结构模型中，解决信息安全风险评估中的各种问题，依靠数据说话，为信息安全建设提供客观、科学的依据。

参考文献

图4AHP总体权重和一致性输出

[1]ThomasL.Saaty.AxiomaticFoundationoftheAnalyticHi-erarchyProcess.ManagementScience,Vol.32,No.7.(Jul.,1986),pp.841~855

[2]ChristopherAlberts,AudreyDorofee.ManagingInformationSecurityRisks.PearsonEducation,Inc.2003:10,80~82[3]董良喜,王嘉祯,康广.计算机网络威胁发生可能性评价指

标研究.计算机工程与应用，2004,40(26):143~148

3.5结果分析

如图4所示，在本文的信息安全风险的AHP分析中，Inconsistency=0.04<0.1,一致性良好，结果可信程度高。

权重的计算机结果表明，病毒防范一项对信息安全总体风险的影响权重高达0.364，说明病毒是当前企业面临的最大的安全挑战。排在第二、三位的补丁管理和内网监控权重分别为0.211和0.141，这与当前企业网络不稳定，影响应用系统正常运转的现状是相符的。因此，下一阶段的技术和资金投入应侧重于

[4]宋如顺.信息系统安全风险综合分析方法.计算机工程,Vol.26,12,p33~34,2000

[5]杨泉.风险评估定性与定量的分析方法.中国计算机安

全学会20xx年会论文集.北京科技出版社，2004-7

ResearchonInformationSecurityRiskAssessment

byAHPApproach

HUAGuang

（SINOPECGuangdongOilProductsCompany,Guangzhou510145）

Abstract：AnalyticalHierarchyProcess(AHP)isaquantitativemethodtosolveproblemsofmulti-ob鄄

jectivedecision-making,whichcanbeusedtoanalyzetheriskassessmentofinformationse鄄curitysystematicallyandquantitatively.Withthetheoryofinformationsecurity,AHPmodelscanbebuilt.WiththeAHPsoftware,ExpertChoice,calculationandanalysisofAHPcanbefinished,thenfindwheretherisksarefrom,andmakeaneffectivesolution.

Keywords：InformationSecurity;RiskAssessment;AnalyticalHierarchyProcess;AHP

现代计算机（总第二九一期）

ＯＤＥＲＮＣＴＥＲ２００8．9

趰趫