论文部分内容阅读
摘 要:在信息时代信息系统的安全性至关重要,而信息系统是否安全主要取决于系统可控性高低。信息系统的可控性是需要进行评价的,从而判断系统安全性。本文针对评价指标进行了归纳,并建立了信息系统可控性评价体系,希望能够为相关专业人士提供参考。
关键词:信息系统;可控性;评价;指标
1 引言
对于当今的任何一个国家而言,信息安全保障能力是其国力中的一个重要组成部分,所以信息安全核心关键技术是否能够实现自主可控会直接决定到国家信息产业的未来发展。因此信息系统的可控性对于信息系统而言极为重要。针对信息系统可控性评价指标进行研究,能够使得系统安全可控程度得到大幅度提升,为此本文针对信息系统可控性评价进行了探讨。
2 信息系统可控性概念
通常情况下信息系统可控性所指的是这个信息系统主体可以实现内部结构的维持或者是调整,可以显性或者是隐性的对其运行状态以及功能特性进行维持或者是调整,从而可以实现对这个系统所作用的其他系统状态的维持或者是改变。对于一个信息系统而言,可控性要求这个信息系统主体可以对系统的整个状态进行掌控,同时主体可以根据自己的意愿对运行状态进行更改。目前信息系统的可控性主要分为三个部分,分别是安全性、自主性以及稳定性。
3 信息系统可控性评价指标
目前信息系统可控性评价指标主要分为四类,分别是软件类、硬件类、管理类和其他类,评价指标一共有51个。
3.1硬件类可控性评价指标
对于硬件可控性而言,其一般是针对信息系统所对应的硬件部分进行评估,主要包括设备搭建指标、生产技术和专利指标、参数配置指标、设备搭建指标、硬件运行负荷指标、硬件数据监测指标、硬件阈值控制指标、硬件操作拦截指标、硬件干扰指标、误差损耗累积指标以及连续稳定工作时间指标。
3.2软件类可控性评价指标
对于软件可控性而言,其一般是针对信息系统所对应的软件部分进行评估,主要包括代码变更控制指标、代码编写指标、软件环境搭建指标、代码审计指标、逻辑炸弹指标、参数配置指标、软件操作拦截指标、远程控制后门指标、数据传输安全指标、软件数据监控指标、用户输入验证指标、软件数据保护指标、配置错误指标、诱导操作指标、内存崩溃指标、逻辑错误指标以及设计错误指标。
3.3管理类可控性评价指标
对于信息系统而言,一般还会有人来进行管控,包括管理工作、使用工作以及维护工作。所谓的管理可控性所指的就是针对于信息系统所对应的管理者进行的一个评估。主要包括人员离职指标、人员录用指标、人员调动指标、人员培训指标、责任规范指标、人员来访指标、人员操作安全指标、工作时间指标、物理访问控制指标、人员考核与审查指标、网络控制指标、自然环境控制指标、设备更新指标、软件变更控制指标、监督与检查指标、定期维护指标、备份与恢复指标、身份认证权限控制指标以及系统暂停指标。
3.4其他类可控性评价指标
除了上述的可控性评价指标,剩下的都是其他类可控性评价指标,主要包括自然灾害指标、入侵检测病毒防治指标、通信链路抗干扰指标以及安全审计指标。
4 信息系统可控性评价体系
在本文中为了能够针对信息系统实施可控性评价,根据评价指标进行了评价体系的建立。下面开始对上述51个评价指标进行分类。
4.1软硬件可控性指标的划分
其中硬件可控性指标以及软件可控性指标都是按照自主性以及脆弱性来实施类别划分的。
所谓的自主性所指的是信息系统里面所采用的每一种技术都完全可以受到主体的掌控。因此对于自主性而言,要求能夠对系统的源代码以及生产技术进行全部掌握,同时还要掌控系统的运行流程、整体结构以及参数配置,从而完成系统的自主可控。
而对于脆弱性而言,其所指的是系统进行开发以及运行时,因为存在着开发者的疏忽或者是操作者的使用不当,对系统所造成的影响。其中分为稳定脆弱性以及安全脆弱性,稳定脆弱性所指的是系统具有一定的漏洞,造成系统出现固定或者是非固定行为的异常工作;安全脆弱性所指的是系统具有一定的漏洞,造成外界人员的攻击,使得系统异常工作。
4.2管理类可控性指标的划分
对于管理类指标而言,这里分为两类,分别是管理模式可控性以及人员可控性。
其中管理模式可控性所指的是对信息信息的各项制度规范是否合理进行管理。通过有效的管理模式可以使得系统可靠性得到增强,并系统维护率也会降低。但是如果管理模式不合理,那么不可控隐患就会加剧,因此就会降低效率。
对于人员可控性而言,其所指的是主体能否管控系统相关人员。系统是通过人员操作来实现功能的,如果人员不可控,那么系统可控性也会难以保障。
4.3信息系统可控性的评价
针对指标进行类别划分,然后根据指标权值就能够得出每一类指标的数值,从而判断系统是否能够达到相应的可控性要求。
5 结语
影响系统可控性的指标有很多,所以对可控性的评价是非常复杂的,而通过指标的分类以及评价体系的建立就能够简化评价流程,对信息系统可控性评价研究具有重要意义。
参考文献
[1]薛正,马婷婷,于洋.基于多目标决策的信息安全风险评估方法研究[J].科技资讯,2019,17(02):1-3.
[2]吕耀怀.大数据时代信息安全的伦理考量[J].道德与文明,2019(04):84-92.
(作者单位:武警警官学院)
关键词:信息系统;可控性;评价;指标
1 引言
对于当今的任何一个国家而言,信息安全保障能力是其国力中的一个重要组成部分,所以信息安全核心关键技术是否能够实现自主可控会直接决定到国家信息产业的未来发展。因此信息系统的可控性对于信息系统而言极为重要。针对信息系统可控性评价指标进行研究,能够使得系统安全可控程度得到大幅度提升,为此本文针对信息系统可控性评价进行了探讨。
2 信息系统可控性概念
通常情况下信息系统可控性所指的是这个信息系统主体可以实现内部结构的维持或者是调整,可以显性或者是隐性的对其运行状态以及功能特性进行维持或者是调整,从而可以实现对这个系统所作用的其他系统状态的维持或者是改变。对于一个信息系统而言,可控性要求这个信息系统主体可以对系统的整个状态进行掌控,同时主体可以根据自己的意愿对运行状态进行更改。目前信息系统的可控性主要分为三个部分,分别是安全性、自主性以及稳定性。
3 信息系统可控性评价指标
目前信息系统可控性评价指标主要分为四类,分别是软件类、硬件类、管理类和其他类,评价指标一共有51个。
3.1硬件类可控性评价指标
对于硬件可控性而言,其一般是针对信息系统所对应的硬件部分进行评估,主要包括设备搭建指标、生产技术和专利指标、参数配置指标、设备搭建指标、硬件运行负荷指标、硬件数据监测指标、硬件阈值控制指标、硬件操作拦截指标、硬件干扰指标、误差损耗累积指标以及连续稳定工作时间指标。
3.2软件类可控性评价指标
对于软件可控性而言,其一般是针对信息系统所对应的软件部分进行评估,主要包括代码变更控制指标、代码编写指标、软件环境搭建指标、代码审计指标、逻辑炸弹指标、参数配置指标、软件操作拦截指标、远程控制后门指标、数据传输安全指标、软件数据监控指标、用户输入验证指标、软件数据保护指标、配置错误指标、诱导操作指标、内存崩溃指标、逻辑错误指标以及设计错误指标。
3.3管理类可控性评价指标
对于信息系统而言,一般还会有人来进行管控,包括管理工作、使用工作以及维护工作。所谓的管理可控性所指的就是针对于信息系统所对应的管理者进行的一个评估。主要包括人员离职指标、人员录用指标、人员调动指标、人员培训指标、责任规范指标、人员来访指标、人员操作安全指标、工作时间指标、物理访问控制指标、人员考核与审查指标、网络控制指标、自然环境控制指标、设备更新指标、软件变更控制指标、监督与检查指标、定期维护指标、备份与恢复指标、身份认证权限控制指标以及系统暂停指标。
3.4其他类可控性评价指标
除了上述的可控性评价指标,剩下的都是其他类可控性评价指标,主要包括自然灾害指标、入侵检测病毒防治指标、通信链路抗干扰指标以及安全审计指标。
4 信息系统可控性评价体系
在本文中为了能够针对信息系统实施可控性评价,根据评价指标进行了评价体系的建立。下面开始对上述51个评价指标进行分类。
4.1软硬件可控性指标的划分
其中硬件可控性指标以及软件可控性指标都是按照自主性以及脆弱性来实施类别划分的。
所谓的自主性所指的是信息系统里面所采用的每一种技术都完全可以受到主体的掌控。因此对于自主性而言,要求能夠对系统的源代码以及生产技术进行全部掌握,同时还要掌控系统的运行流程、整体结构以及参数配置,从而完成系统的自主可控。
而对于脆弱性而言,其所指的是系统进行开发以及运行时,因为存在着开发者的疏忽或者是操作者的使用不当,对系统所造成的影响。其中分为稳定脆弱性以及安全脆弱性,稳定脆弱性所指的是系统具有一定的漏洞,造成系统出现固定或者是非固定行为的异常工作;安全脆弱性所指的是系统具有一定的漏洞,造成外界人员的攻击,使得系统异常工作。
4.2管理类可控性指标的划分
对于管理类指标而言,这里分为两类,分别是管理模式可控性以及人员可控性。
其中管理模式可控性所指的是对信息信息的各项制度规范是否合理进行管理。通过有效的管理模式可以使得系统可靠性得到增强,并系统维护率也会降低。但是如果管理模式不合理,那么不可控隐患就会加剧,因此就会降低效率。
对于人员可控性而言,其所指的是主体能否管控系统相关人员。系统是通过人员操作来实现功能的,如果人员不可控,那么系统可控性也会难以保障。
4.3信息系统可控性的评价
针对指标进行类别划分,然后根据指标权值就能够得出每一类指标的数值,从而判断系统是否能够达到相应的可控性要求。
5 结语
影响系统可控性的指标有很多,所以对可控性的评价是非常复杂的,而通过指标的分类以及评价体系的建立就能够简化评价流程,对信息系统可控性评价研究具有重要意义。
参考文献
[1]薛正,马婷婷,于洋.基于多目标决策的信息安全风险评估方法研究[J].科技资讯,2019,17(02):1-3.
[2]吕耀怀.大数据时代信息安全的伦理考量[J].道德与文明,2019(04):84-92.
(作者单位:武警警官学院)