>科技>>正文

【网安智库】信息安全监管工作评价指标设计浅谈

原标题:【网安智库】信息安全监管工作评价指标设计浅谈

本文在介绍信息安全监管工作评价指标和层次分析法基础上,将层次分析法应用于信息安全监管工作评价指标权重计算上,使得信息安全监管工作评价指标权重可随着指标项的变化而动态调整,即当评价指标发生变化时,权重也可及时变化,从而使得到的信息安全监管工作评价指标权重更加科学。

引言

随着各级政府部门信息化、网络化不断发展,各种基础设施建设得到进一步完善,各种网络办公软件广泛应用,但在享受信息化网络化工作便利的同时,信息安全问题也日益突出,如何更好的保障各级部门信息安全,国家各主管部门对各级部门的信息安全监管工作成为一项重要举措。

目前,已逐步建立了信息安全通报、等保测评、信息安全认证认可、信息安全检查、信息安全应急等工作机制或体系,并在2016 年11 月发布的《中华人民共和国网络安全法》中对网络安全监督管理进行了明确。但信息安全监督管理工作成效如何,尚未形成一套完善的信息安全监管工作评价指标体系。

本文主要在研究信息安全监管工作评价指标设计过程中,将层次分析法应用到信息安全监管工作评价指标权重计算中,使得信息安全监管工作评价指标权重可随着指标项的变化而动态调整即当评价指标发生变化时,权重也可及时变化,从而使得到的信息安全监管工作评价指标权重更加科学。

信息安全监管工作简介

目前,我国各信息安全主管部门对信息安全监管工作要求主要包括如下几方面:

《中华人民共和国网络安全法》

《中华人民共和国网络安全法》第二条规定“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”第八条明确规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”网络安全法中对网络安全的监督管理进行了明确。

信息安全等级保护工作

2007 年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等四部委联合出台了《信息安全等级保护管理办法》(公通字[2007]43 号),该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上,由四部委共同会签印发的重要管理规范,主要内容包括信息安全等级保护制度的基本内容、流程及工作要求,信息系统定级、备案、安全建设整改、等级测评的实施与管理,信息安全产品和测评机构选择等,为开展信息安全等级保护工作提供了规范保障。后公安部又分别下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)、《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429 号)、《关于推动信息安全等保测评体系建设和开展等级测评工作的通知》(公信安[2010]303 号)等相关文件在重要的行业和政府部门推动信息安全等保工作。

信息安全认证认可

信息安全认证认可工作是确保网络安全的基础性制度安排,是国家信息安全保障体系的重要组成部分。加快信息安全认证的应用及推广,对于引导信息技术产业发展、推动转型升级具有现实的必要性和紧迫性。

2004 年10 月,国家认监委、公安部、信息产业部、国家质检总局、国务院信息化工作办公室等八个部委联合发布《关于建立国家信息安全产品认证认可体系的通知》(国认证联[2004]57号),提出建立既符合国家利益的需要又遵循国际通行规则的统一的国家信息安全产品认证认可体系,国家对信息安全产品实施统一认证,信息安全认证认可工作在国家认监委的统一管理、监督和综合协调下,由政府相关部门和各有关方面共同实施,提出设立专门从事信息安全产品认证的认证机构,以彻底解决重复检测和一个产品多张证书等问题。

2010 年4 月,财政部、工业和信息化部、质检总局、认监委联合发布《关于信息安全产品实施政府采购的通知》(财库〔2010〕48 号)中指出,“在政府采购活动中,采购人或其委托的采购代理机构按照政府采购法的规定,在政府采购招标文件( 包括谈判文件、询价文件)中应当载明对产品获得信息安全认证的要求,并要求产品供应商提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书。”

经过10 余年的建设和发展,我国已经建立了覆盖产品、服务、管理体系、人员等门类的较为完善的信息安全认证认可体系。通过认证认可传递信任,已成为社会各行业采信信息安全认证结果的普遍共识。

信息安全通报工作

国家网络和信息安全信息通报中心于2003 年10 月筹建, 2004 年8 月经中编办正式批准成立。自组建以来,在国家网络与信息安全协调小组办公室和公安部的领导下,通报中心全力做好重要敏感期、重大政治活动和重大网络安全事件的信息通报工作,目前,信息通报机制成员单位发展到48 个成员单位、50 家中央企业。从2005 年起,通报中心陆续向多家企业发放“国家网络与信息安全信息通报中心组织中心技术支持单位”牌照。2013 年,国家网络与信息安全信息通报专家组成立。国家网络与信息安全通报中心印发的《关于印发< 网络与信息安全信息通报暂行办法> 的通知》(信安通[2003]10 号)中第五条要求“各成员单位和主管部门应及时掌握本网络和信息系统出现的安全事故苗头和发生的安全事故,进行汇总、分析、研判工作,并及时将汇总、分析、研判结果向通报中心通报。各成员单位和主管部门内部应建立网络与信息安全信息通报制度。”第七条要求“应充分利用现有资源建立各成员单位和主管部门间的信息通报网络系统和技术平台,保证信息通报和联络渠道畅通。”

信息安全检查工作

2009 年3 月,国务院办公厅印发了《国务院办公厅关于印发< 政府信息系统安全检查办法> 的通知》(国办发[2009]28 号)(以下简称《检查办法》),要求“各级政府及其部门对自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统等,定期进行全面的安全检查。通过检查,及时掌握本部门本单位信息安全状况,发现存在的主要问题和薄弱环节并整改,持续改进信息安全技术措施,健全信息安全管理制度,提高信息安全防护能力,确保政府信息系统安全稳定运行。”《通知》还要求“各部委每年都要组织开展信息安全检查工作,并将检查结果报送国家网络与信息安全协调小组办公室。

信息安全应急工作

2002 年9 月,为更好的应对信息安全应急工作,成立了国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT 或CNCERT/CC)。作为国家级应急中心,CNCERT 的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。CNCERT 在中国大陆31 个省、自治区、直辖市设有分支机构。目前,CNCERT 作为我国网络安全应急体系的核心协调机构,通过组织网络安全企业、学校、民间团体和研究机构,协调骨干网络运营单位、域名服务机构和其他应急组织等,构建我国互联网安全应急体系,共同处理各类互联网重大网络安全事件。

2017 年1 月,中央网信办下发关于印发《国家网络安全事件应急预案》的通知(中网办发文[2017]4 号),主要用于建立健全国家网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序,对推动我国信息安全应急工作有着较为深远的意义。

通过上述网络安全法中规定的信息安全监管、信息安全等级保护工作、信息安全认证认可、信息安全通报工作、信息安全检查工作和信息安全应急工作,将推动我国的信息安全监管工作向纵深发展,以成体系的工作内容推动信息安全监管工作稳步发展。

层次分析法介绍

层次分析法(Analytic Hierarchy Process,简称AHP) 是将与决策有关的元素分解成目标、准则、方案等层次,在此基础之上进行定性和定量分析的决策方法。该方法是美国运筹学家匹茨堡大学教授萨蒂于20 世纪70 年代初,在为美国国防部研究“根据各个工业部门对国家福利的贡献大小而进行电力分配”课题时,应用网络系统理论和多目标综合评价方法,提出的一种层次权重决策分析方法。该法的主要思想是通过将复杂问题分解为若干层次和若干因素,对两两指标之间的重要程度作出比较判断, 建立判断矩阵, 通过计算判断矩阵的最大特征值以及对应特征向量就可得出不同方案重要性程度的权重, 为最佳方案的选择提供依据。

近年来, 我国信息化发展进程不断加快, 信息安全问题成为信息化工作中所关注的重要问题, 对信息安全风险的评价成为保障信息化健康发展的一个重要方面。目前,层次分析法成为一种应用较为广泛的风险评价方法,在信息安全风险评价中也得到了广泛应用。

层次分析法经过多年的发展, 衍生出改进层次分析法、模糊层次分析法、可拓模糊层次分析法和灰色层次分析法等多种方法, 并根据研究的实际情况各有其适用的范围。改进层次分析法、模糊层次分析法和可拓模糊层次分析法都是基于判断矩阵不好确定的情况下, 通过改进判断标度来帮助决策者更加容易地构造质量好的判断矩阵; 灰色层次分析法则是将灰色系统理论和层次分析法相结合, 使灰色理论贯穿于建立模型、构造矩阵、权重计算和结果评价的整个过程中。本文主要是借鉴灰色层次分析法原理,将其应用于信息安全监管工作评价指标权重计算中,既使得指标权重计算可动态调整,同时增强信息安全监管工作评价指标设计的科学性。

层次分析法在信息安全监管工作评价指标设计中应用

信息安全监管工作评价指标设计原则

信息安全监管工作评价指标设计原则主要包括:

1)科学性:信息安全监管工作评价指标体系设立应理论与实际情况相结合,反映出信息安全监管工作中最主要、最本质与最有代表性的元素。指标以能获取有关数据为导向,尽量避免非科学性和非合理性的因素,从而指导开展信息安全工作。

2)系统性:信息安全监管工作评价指标是对信息安全水平的综合评价,考虑到系统的广泛性和复杂性,指标应该是互相独立,互不包容的元素集,使其更具层次性和系统性。

3)可操作性:信息安全监管工作的评价指标应具广泛代表性,方便操作。

4)可扩展性:信息安全监管工作的评价指标应是开放的和可扩展的。信息安全监管工作的评价指标与评价技术应可在公开的使用环境中不断的成熟与完善。

信息安全监管工作评价指标设计思路

信息安全监管工作评价指标的总体设计思路主要包括:

1、信息安全监管工作评价指标体系结构设计上参考了电力信息安全水平评价指标体系架构。

电力信息安全水平评价指标分为组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、信息系统运行安全管理、灾难恢复、应急管理等15 类。

其中每个评价指标项包括评价要素、指标权重、指标属性、量化方法四个部分:

1)评价要素:说明每个评价指标项的具体评价要求,在定性评价指标项中描述组织机构信息安全工作应达到的水平,在定量评价指标项中描述应从组织机构信息安全工作中提取的具体量值。

2)指标属性:每个评价指标项的属性为“定性指标”和“定量指标”之一。

3)指标权重:每个评价指标项被赋予一个参考数值,以反映其相对重要程度。在实施过程中, 如果部分评价指标项不适用于被评价组织机构,此部分评价指标项的权重按0 计。

4)量化方法:每个评价指标项的量化方法为“符合/ 不符合判断法”、“比率值法”、“选项赋值法”之一。

2、信息安全监管工作评价指标体系内容主要通过研究信息安全等级保护标准、信息安全风险评估标准、信息安全绩效与信息安全管理体系(ISO27001)标准族、国家信息安全检查、信息安全通报、信息安全应急工作综合管理、信息安全日常监测等信息安全监管工作,参考信息安全等级保护标准、信息安全管理体系(ISO27001)、信息安全检查方案等内容,以满足信息安全监管工作发展需要为要求。

3、信息安全监管工作评价指标主要是实现信息安全各项工作的规范化、标准化、可量化管理。

4、信息安全监管工作评价指标设计主要通过形成一级评价指标类,细分为二级评价指标类和三级评价指标类,在此基础上针对每一个评价指标类给出评价指标项,包括一般评价指标项和增强评价指标项,同时,针对一般评价指标和增强评价指标,在进行评价时,主要考虑一般评价指标,一般评价指标基本满足即达到评价要求,当增强评价指标也满足达到要求时,可以提高组织的信息安全监管评价分值,表明组织信息安全监管工作成绩更加突出。

5、针对每个评价指标项,首先给定评价要素,依据评价要素的不同及指标属性的不同,运用不同的量化方法,首先计算得到不同指标的量化值,根据由层次分析法得到的指标权重指标属性和计算得到的指标量化值,依据计算公式计算得到信息安全监管工作评价分值(包括了一般评价分值和增强评价分值)。将得到的信息安全监管工作评价分值与设定的信息安全监管工作评价分值进行比较,即可对信息安全监管工作进行评价。

通过以上步骤即可形成信息安全监管工作的考核指标体系。

层次分析法在信息安全监管工作评价指标设计中的应用

在信息安全监管评价指标设计中,针对每个评价指标项,首先给定评价要素,依据评价要素的不同及指标属性的不同,运用不同的量化方法,首先计算得到不同指标的量化值,根据指标权重指标属性和计算得到的指标量化值,依据计算公示计算得到信息安全监管工作评价分值(包括了一般评价分值和增强评价分值)。将得到的信息安全监管工作评价分值与设定的信息安全监管工作评价分值进行比较,即可对信息安全监管工作进行评价。其中,层次分析法在信息安全监管工作评价指标设计中的应用主要体现在信息安全监管评价指标的权重计算上。

评价指标项指标权重主要反映指标的相对重要程度,主要应用定性与定量分析方法确定,表示评价指标项间相对重要作用的数值。权重设置采用层次分析法,借助于层次分析软件,通过决策系统,一级评价指标按照重要性不同划分分值,其总和为100,在此基础上,对二级评价指标按照重要性不同划分分值,以此类推,通过判断矩阵,计算得出评价项具体的权重值,如此可以保证指标项发生变化时,可对权重值进行动态更新。

具体来说,针对一般评价指标项,一级评价指标类根据重要性不同,借助层次分析软件,运用决策系统,得到不同的评价指标类的分值,而一级评价指标类总和为100;对一级评价指标类中某一个具体的类,划分二级评价指标类,借助层次分析软件,运用决策系统,首先构建层次结构模型,后运用判断矩阵,判断指标之间重要性,在此基础上,计算得到不同的评价指标类的分值,而二级评价指标类总和为一级指标类中的对应类的分值;以此类推,得到所有评价指标项的分值。对于增强评价指标项与一般评价指标项的分值类似。

层次分析法在信息安全监管工作评价指标设计中应用的益处

在信息安全监管工作评价指标设计中应用层次分析法的益处主要包括:

1)层次分析法具有将定性和定量相结合的优点, 它能将复杂的问题进行分解, 为最佳方案的选择提供科学依据, 而信息安全监管工作评价指标体设计中应用层次分析法,可以大大提高指标权重计算的科学性。

2)层次分析法在安全科学中应用研究较为广泛,既有综合性的研究, 又有具体到某一方面的研究, 将其应用到信息安全监管工作评价指标体设计中,可以为改善信息技术应用,减少信息安全风险提供理论依据。

3)目前, 我国网络信息安全监管工作正在逐步构建和完善过程中,这需要一套科学有效的管理模式。利用层次分析法的优势, 可以在复杂的形势中找出主要的影响因素, 制定出一套适合我国国情的网络信息安全监管模式。

结语

本文在介绍信息安全监管工作评价指标和层次分析法基础上,将层次分析法应用到信息安全监管工作评价指标设计中,以此既使得信息安全监管工作指标权重计算可动态调整,同时增强信息安全监管工作评价指标设计的科学性,下一步主要将信息安全监管工作评价指标应用于信息安全监管工作评价中,并在应用中不断完善指标、调整权重,使其真正适用于信息安全监管工作。

(为便于排版,已省去原文注释)

作者 >>>

魏军,中国信息安全认证中心处长,高级工程师,博士,主要研究方向为信息安全、关键信息基础设施保护。

公伟,山东省标准化研究院工程师,硕士,主要研究方向为信息安全标准化。

肖扬文,国家质量监督检验检疫总局信息中心副处长,硕士,主要研究方向为网络安全与信息化战略规划、大数据治理及标准化研究。

王庆升,山东省标准化研究院工程师,主要研究方向为信息安全管理及标准化。

(本文选自《信息安全与通信保密》2017年第十期

原创声明 >>>

本微信公众号刊载的原创文章,欢迎个人转发。未经授权,其他媒体、微信公众号和网站不得转载。

···························································返回搜狐,查看更多

责任编辑:

声明:本文由入驻搜狐号的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。
阅读 ()
投诉
免费获取
今日推荐