基于等级保护的信息安全评估算法研究

doi:10.16180/j.cnki.issn1007-7820.2019.11.016

电子科技 ›› 2019, Vol. 32 ›› Issue (11): 78-82.doi: 10.16180/j.cnki.issn1007-7820.2019.11.016

基于等级保护的信息安全评估算法研究

查红泽

云南南天电子信息产业股份有限公司信息安全测评中心,云南昆明 650000

收稿日期:2018-11-09 出版日期:2019-11-15 发布日期:2019-11-15
作者简介:查红泽(1991-),男,工程师。研究方向:网络安全、等级保护。
基金资助:
云南省科技厅科技项目(2017KJF35762)

Research on Information Security Evaluation Algorithm Based on Hierarchical Protection

ZHA Hongze

Information Security Evaluation Center,Yunnan NantianElectronic Information Industry Co. Ltd.,Kunming 650000,China

Received:2018-11-09 Online:2019-11-15 Published:2019-11-15
Supported by:
Project of Yunnan Science and Technology Department(2017KJF35762)

摘要/Abstract

摘要：

对信息安全系统要进行安全评估,首先要考虑的问题为如何建立模型进行风险评估分析。针对这一问题,文中基于等级保护提出一种信息安全风险评估方法,并建立信息系统安全评估模型。以GBT 20984-2007作为评估依据,针对主机安全与网络安全建立层次结构,并利用权重计算方法RISK-Weight 算法完成对模型的计算与分析。实例测试结果表明,该评估方法降低人为主观因素的影响,实现对信息系统安全科学的量化评估。

关键词: 信息安全, 安全评估, 层次分析法, 等级保护

Abstract:

The key issue for evaluating information security systems is the establishment and analysis of risk assessment indicators. Aiming at this problem, this paper proposed an information security risk assessment method based on hierarchical protection and establishes an information system security assessment model. Based on GBT 20984-2007, a hierarchical structure was established for host security and network security, and the calculation and analysis of the model were completed by using the weight calculation method RISK-Weight algorithm. The example's results showed that the evaluation method reduced the influence of human subjective factors and achieved a quantitative assessment of the security science of information systems.

Key words: information security, security assessment, AHP method, classified protection

中图分类号:

TN918

查红泽. 基于等级保护的信息安全评估算法研究[J]. 电子科技, 2019, 32(11): 78-82.

ZHA Hongze. Research on Information Security Evaluation Algorithm Based on Hierarchical Protection[J]. Electronic Science and Technology, 2019, 32(11): 78-82.

图/表 7

图1

表1

图2

图3

表2

表3

图4

参考文献 13

[1]	中国国家标准化管理委员会. GB/T20984-2007信息安全技术信息系统的风险评估规范[S]. 北京:中华人民共和国国家质量监督检验检疫总局, 2007.
	China National Standardization Management Committee. GB/T 20984-2007 information security technology information system risk assessment specification[S]. Beijing:General Administration of Quality Supervision, Inspection and Quarantine of the People’s Republic of China, 2007.
[2]	顾文强 . 信息系统安全风险评估方法的应用研究[D]. 无锡:江南大学, 2013.
	Gu Wenqiang . Applied research on information system security risk assessment method[D]. Wuxi:Jiangnan University, 2013.
[3]	付国庆, 张菊玲, 袁勤 . 改进的FAHP信息安全风险评估方法[J].电子设计工程, 2014(12):45-49.
	Fu Guoqing, Zhang Juling, Yuan Qin . Improved FAHP information security risk assessment method[J]. Electronic Design Engineering, 2014 ( 12):45-49.
[4]	徐丽娟 . 基于攻击图的工业控制网络安全隐患分析[D]. 北京:北京邮电大学, 2015.
	Xu Lijuan . Hidden danger analysis of industrial control network security based on attack graph[D]. Beijing: Beijing University of Posts and Telecommunications, 2015.
[5]	高青, 刘贵喜, 杨涨辉 , 等. 基于层次分析法与模糊运算的威胁评估算法[J]. 电子科技, 2008,21(5):61-64.
	Gao Qing, Liu Guixi, Yang Zhanghui , et al. Threat assessment algorithm based on analytic hierarchy process and fuzzy operation[J]. Electronic Science and Technology, 2008,21(5):61-64.
[6]	刘刚 . 网络安全风险评估、控制和预测技术研究[D]. 南京:南京理工大学, 2014.
	Liu Gang . Research on network security risk assessment,control and prediction technology[D]. Nanjing:Nanjing University of Technology, 2014.
[7]	张友鹏, 王亚惠, 杨妮 . 基于ANP和模糊证据理论的应答器系统风险评估方法研究[J].安全与环境学报, 2018(2):434-440.
	Zhang Youpeng, Wang Yahui, Yang Ni . Research on the risk assessment method of transponder system based on ANP and fuzzy evidence theory[J].Journal of Safety and Environment, 2018(2):434-440.
[8]	姜茸, 杨明 . 云计算安全风险研究[J].计算机技术与发展, 2014(3):126-129.
	Jiang Rong, Yang Ming . Cloud computing security risk research[J].Computer Technology and Development, 2014(3):126-129.
[9]	靳英伯 . 信息安全等级保护模型评测平台的设计与实现[D]. 济南:山东大学, 2015.
	Jin Yingbo . Design and implementation of information security grade protection model evaluation platform[D]. Jinan:Shandong University, 2015.
[10]	周健 . 云计算背景下的信息安全问题研究[J]. 现代电子技术, 2017,40(11):84-87.
	Zhou Jian . Research on information security in the context of cloud computing[J]. Modern Electronic Technology, 2017,40(11):84-87.
[11]	张元天, 刘福强, 陈泱 . 基于等级保护体系的信息安全风险评估方法研究[J].信息安全与通信保密, 2016(8):78-81,86.
	Zhang Yuantan, Liu Fuqiang, Chen Yang . Research on information security risk assessment method based on hierarchical protection system[J].InformationSecurity and Communication Confidentiality, 2016(8):78-81,86.
[12]	万雪莲, 张京河 . 基于攻、防的信息系统安全综合评估方法的研究[J]. 计算机科学, 2016,43(S1):322-327.
	Wan Xuelian, Zhang Jinghe . Research on comprehensive evaluation method of information system security based on attack and defense[J]. Computer Science, 2016,43(S1):322-327.
[13]	朱诚 . 基于层次分析法和模糊数学对桥梁运营风险评估[D]. 昆明:昆明理工大学, 2014.
	Zhu Cheng . Risk assessment of bridge operation based on analytic hierarchy process and fuzzy mathematics[D]. Kunming: Kunming University of Technology, 2014.

时间	评估对象	特点	性质
第1阶段 (1960~1970)	计算机	认识较简单,对风险评估仅限于保密性	保密性阶段
第2阶段 (1980~1990)	计算机、网络	认识渐深,风险评估增加可用性、完整性等更多属性	保护性阶段
第3阶段 (1990~今)	计算机、网络、信息系统	认识继续发展,风险评估增加可控性、不可否认性等更多安全属性	保障性阶段

标度	含义
1	具有同样的重要性
3	后者比前者重要性稍高
5	后者重要性明显高于前者
7	后者重要性大大高于前者
9	前者重要性可忽略,后者重要性显著
2,4,6,8	重要性处于上述相邻数值中间值

基于等级保护的信息安全评估算法研究

Research on Information Security Evaluation Algorithm Based on Hierarchical Protection

RichHTML

PDF (PC)

赞

可视化

摘要/Abstract

引用本文

使用本文

图/表 7

参考文献 13

相关文章 13

Metrics

本文评价

推荐阅读 0

[1]	魏星. 基于改进DNS协议的移动网络支付安全通信协议模型[J]. 电子科技, 2021, 34(9): 54-57.
[2]	金鑫,冯毅,尤雪汐,王佳欣. 基于机器学习的信息安全设备调配保障技术研究[J]. 电子科技, 2020, 33(8): 80-86.
[3]	刘琛,马驷俊,倪雪莉. 基于属性的物联网感知层访问控制方案[J]. 电子科技, 2019, 32(9): 55-59.
[4]	徐治. 基于频谱特征的数字音频中信息隐藏算法[J]. , 2015, 28(8): 84-.
[5]	周晟,赵君翊,葛元鹏. 主被动防御结合的智能电网信息安全防护体系[J]. , 2015, 28(6): 213-.
[6]	王军选,王蕾. 基于主客观权重的异构网络选择算法[J]. , 2014, 27(11): 1-.
[7]	姚曙光. 电子商务平台的可信网络信息安全技术[J]. , 2014, 27(1): 153-.
[8]	彭阳,孟李林,李年,李莉. 基于FPGA的高速加密卡设计与实现[J]. , 2013, 26(6): 42-.
[9]	沈雷. 移动智能终端操作系统安全评估方法[J]. , 2012, 25(3): 38-.
[10]	刘柳, 高会生, 李成. 电力SCADA系统传输网安全性评估模型[J]. , 2012, 25(12): 116-.
[11]	韩金森,邹涛,张龙军. 叛逆追踪技术研究[J]. , 2012, 25(11): 105-.
[12]	赵媛, 王怀军, 房鼎益, 汤战勇. 基于SDT安全访问控制的方法[J]. , 2011, 24(11): 96-.
[13]	潘晓勇, 张蕾, 樊学会. 使用数字证书增强RFID系统的通信安全性[J]. , 2010, 23(11): 123-124.