1、指標體系建立的原則
電子資訊系統是一個較為特殊的系統,其關係相當複雜,對其進行安全性評估需要建立一整套綜合評估指標體系,體系中各個評價指標相互聯絡、相互依存。一般而言,指標體系的建立需要遵循以下原則:(1)科學性和系統性。評價指標的選擇應綜合考慮評估目標的各種因素,在對電子資訊系統科學研究的基礎上建立起來的科學指標。建立一個綜合性指標體系,只有定性分析和定量分析相結合才能使建立的指標體系結構合理、層次清晰、協調一致。(2)層次性和獨立性。電子資訊系統安全評價指標體系可反映該系統各個方面的綜合安全資訊,每個指標屬性不同,各因素之間的相互關係呈現出一定的層次關係。而每個指標又是相互獨立的,都可獨立地評估系統的安全性。(3)簡易性和實用性。電子資訊系統安全評價指標體系層次結構確定後,每層次中的.指標數目不會太多。同時,各個指標的選取是根據電子資訊系統的實際情況選取出的,不可照搬其它系統的現成指標體系。
2、電子資訊系統安全性評估指標體系
2.1指標體系的一般模型
指標體系是通過對影響評估結果的各個因素進行綜合分析而建立起來的可以反映系統各個方面安全性資訊的體系。因此,指標體系通常是遞階層次結構,包括:目標層,準則層,指標層。其中,目標層是最高層,表示安全評估的整體目標。中間層是準則層,表示安全評估評估的各個準則。底層是指標層,是指安全評估的具體指標,表示影響目標實現的各種因素。需指出說明的是,有些指標只設一層無法準確的表徵需要更多地指標將其細化,對這樣的指標,可將其分解,成為二級評估指標,作為遞階層次的第四層,以此類推。
2.2指標體系的建立
德爾菲法(Delphi)是一種規定程式專家調查法,由美國蘭德公司於20世紀50年代提出。其基本程式為:確定目標;選擇專家;設計評估意見徵詢表;專家間資訊反饋。具體做法是:在對所要預測的問題徵得專家的意見之後,進行整理、歸納、統計,再匿名反饋給各專家,再次徵求意見,再集中,再反饋,直至得到收斂、基本一致的結果。採用此方法可以輕鬆解決電子資訊系統的安全性評估涉及範圍廣,不確定因素多等問題。本文采用德爾菲法建立指標體系,利用德爾菲法建立電子資訊系統安全性評估指標體系的步驟如下:第一步,設計調查表,收集專家認為影響電子資訊系統安全性的因素,調查表中不應摻雜問卷調研者的個人意見。第二步,回收調查表,並制定第二輪調查表。彙總整理出專家對影響電子資訊系統安全性的因素,並總結出分析指標。通過第一輪調查可知影響電子資訊系統安全性的因素主要集中在資訊保安、軟體安全、硬體安全、管理安全和環境安全五個方面。根據上述標設計出第二輪專家調查表,收集專家認為影響通訊安全保密系統安全性的其它因素。第三步,回收第二輪調查表,並制定第三輪調查表。從第二輪調查表中彙總整理出專家所列的安全性指標可見,安全因素得到進一步細化,如資訊保安包含五方面內容:身份鑑別、訪問控制、資訊加密、抗抵賴性和資訊完整性五個方面;軟體安全包含資料庫安全、作業系統安全、應用軟體安全、災難恢復技術、木馬病毒防範、漏洞補丁修復和系統日誌七個方面;環境安全包括:裝置安全、物理保障和安全供電三個方面。資訊保安保密包含專家所列的安全性指標明顯增多,並依據彙總結果制定第三輪調查表,收集專家對於已有指標的意見。第四步,回收第三輪調查表,彙總得出電子資訊系統安全性評估指標體系。經過上述過程可得出如下電子資訊系統安全性評估指標體系,如圖1所示。
2.3執行安全指標分析
執行安全是電子資訊系統各項業務能夠順利開展的必要條件,可為系統執行提供一個安全穩定的環境。執行安全主要有以下幾個指標:(1)備份與恢復電子資訊系統必須具有能夠持續不斷地提供各種業務的能力。備份和恢復是一個電子資訊系統所必需的,因為對系統和資料進行備份,可以使電子資訊系統具有災難恢復能力,保證電子資訊系統能夠在受到病毒破壞、攻擊、硬體故障、認為操作失誤等情況下快速恢復正常運轉。(2)病毒防治計算機病毒對電子資訊系統的破壞是毀滅性的,不僅可以破壞系統資料,引起計算機故障,而且還會盜取電子資訊系統的資訊,從而影響通訊安全保密系統的安全執行。對病毒的防治要將查詢病毒和清除病毒結合起來,從而實現全面防毒、查毒、防毒。(3)作業系統安全作業系統安全是計算機系統安全的關鍵。作業系統為應用程式提供執行環境,支撐著通訊安全保密系統的資訊儲存、處理和通訊,其安全性對系統影響重大。作業系統安全等級低、配置不正確、更新管理不及時等因素可能導致通訊安全保密系統的嚴重事故。(4)應用系統安全應用系統安全是指電子資訊系統各項業務順利進行的前提。如果應用系統的穩定性、可用性等遭到破壞,可能造成系統中斷等事故。(5)資料庫安全資料庫安全是電子資訊系統能夠正常執行的關鍵因素。資料庫安全就是要保護資料庫資訊,以防止資料資訊洩露,同時也要保護資料庫資訊不洩漏、更改或破壞,從根本上保護電子資訊系統的資訊保安。
3、結語
安全評價指標體系是對系統進行安全性評估的基礎,也是系統設計的理論依據。建立一套科學的指標體系對於開展電子資訊系統的安全性評估具有十分重要的意義。本文針對電子資訊系統的特點,結合指標體系建立的原則,利用德爾菲法的原理與方法構建了電子資訊系統安全性評估指標體系,並給出了執行安全指標的具體描述。該指標體系全面客觀地反映了電子資訊的安全風險因素,對於電子資訊系統的設計和管理具有重要的參考價值。