《信息安全保障指标体系及评价方法概念和模型》由会员分享,可在线阅读,更多相关《信息安全保障指标体系及评价方法概念和模型(9页珍藏版)》请在金锄头文库上搜索。
1、国家标准信息安全保障指标体系及评价方法 第1部分概念和模型(送审稿)编制说明1. 工作简况1.1. 任务来源根据国家标准化管理委员会2009年下达的国家标准制修订计划,国家标准信息安全技术 信息安全保障指标体系及评价方法由国家信息中心负责主办,标准计划号为20090326-T-469。为回答“中办27号2003 文件”国家信息化领导小组关于加强信息安全保障工作的意见提出的各项任务的建设情况,包括所建设的信息安全保障体系处于什么水平,是否达到了预期的目标,基础信息网络和重要信息系统的综合保障态势等内容。原国务院信息办、国家信息化专家委提出开展“信息安全保障评价指标体系”研究的构想。2005年7月
2、,原国务院信息办、国家信息化专家咨询委员会成立了“信息安全保障评价指标体系研究”课题组,开始着手对这一问题开展研究。总体组设在国家信息中心,另设有广电、电信、移动、电力、金融、互联网、涉密信息系统、电子政务门户网站等八个子课题组。2009年,项目在全国信息安全标准化委员会立项编制成国家标准。2011年,标准研制工作得到了国家发改委信息安全专项国家信息安全保障评价指标标准体系建设项目的支持。1.2. 编制目的本标准主要解决国家信息安全保障工作的评价问题。1.3. 主要工作过程1、2005年6月-2008年2月,国家信息化专家咨询委员会对“信息安全保障评价指标体系”进行立项研究,开始信息安全保障评
3、价指标体系的研究和标准的建设工作。在前期研究过程中,项目组研究人员团结协作,为标准体系建设奠定了坚实的基础:1 为基础信息网络和重要信息系统评价提出了一个理论框架,各系统在此框架下展开具体指标的设计工作;2 给出了国家宏观指标的设计方案;3 各系统根据自身特点,在统一框架下初步完成各自的指标设计,完成了前期研究报告,并且开展了试点测试;4 开始了标准编制工作,如广电、电信等系统已有自己的行业标准,并将其在行业内广泛运用,取得了良好的效果;2、2008年3月-2009年2月,项目组立足于我国国情,充分调研了国际信息安全保障工作动态,完成的前期研究为项目的进一步开展奠定了基础,并被立项列为国家“十
4、一五”信息安全标准化与编制项目。1 完成了总体研究报告和八个子课题研究报告:“信息安全保障评价指标体系”总体研究报告“国家基础网络(广播电视)信息安全保障评价指标体系”及其研究报告“国家基础网络(移动通信)信息安全保障评价指标体系”及其研究报告“国家基础网络(固网)信息安全保障评价指标体系”及其研究报告“国家基础网络(互联网)信息安全保障评价指标体系”及其研究报告“国家重要信息系统(金融)信息安全保障评价指标体系” 及其研究报告“国家重要信息系统(电力)信息安全保障评价指标体系” 及其研究报告“涉密信息系统信息安全保障评价指标体系” 及其研究报告“电子政务门户网站信息安全保障评价指标体系” 及
5、其研究报告2 国家宏观评价指标的集成对分系统子课题及专题组的信息安全保障评价指标体系的研究结果进行综合,确定信息安全保障评价指标体系逻辑框架和构成及各表现要素的相互关系。形成了我国信息安全保障评价指标体系总体研究报告。3 形成课题研究的基础理论体系课题研究以中办发200327号等重要文件为基础,重点解决了以下理论问题:明确了战略、管理和技术的三要素指标体系。课题以战略、管理和技术作为构建信息安全保障评价指标体系的三个基本要素,并把处理元素间的内在关联作为研究指标体系的基础。结合我国信息化和信息安全政策,确立了信息安全保障评价指标体系。4 完成了标准草案的预编工作。3、2009年3月-2011年
6、3月,项目组在编制预编稿的基础上,广泛征求业内专家意见,召开了多次讨论会,形成了信息安全技术 信息安全保障指标体系及评价方法:第1部分 概念和模型草案初稿。4、2011年4月-2012年2月,项目组借助国家发改委信息安全专项的契机,对标准草案提出的相关指标在电信系统、广电系统和江苏省进行了试点测试工作,进一步检验了指标体系的可操作性和适用性。5、2011年7月-2013年5月,项目组在国家信息中心、中国信息安全测评中心、北京大学、中国职工之家等地就标准草案共进行了18次规模不等的专家意见征求,并根据专家提出的意见和建议进行了认真讨论,逐步完善了标准草案。6、2012年3月-2013年4月,设计
7、开发了配套的评价软件系统,为数据采集和专家评价工作提供了技术支撑。期间,召开了多次专家研讨会,进一步完善了标准草案。7、2013年5月,全国信息安全标准委秘书处组织专家对标准草案进行了评审,专家组认为,研究提出的指标体系对服务于国家信息安全宏观决策具有重要的参考价值。会后,根据专家提出的意见进行修改(参见标准征求意见稿意见汇总处理表),于5月24日形成并提交信息安全技术 信息安全保障指标体系及评价方法:第1部分 概念和模型征求意见稿。8、2013年6月4日6月30日,送7个部门(安标委副主任单位)征求意见,并面向社会在安标委TC260网站上对标准征求意见稿征求意见。9、2013年7月18日,收
8、到1个部门的反馈,根据国家保密局提出的具体反馈意见进行修改(参见标准征求意见稿意见汇总处理表),形成了信息安全技术 信息安全保障指标体系及评价方法:第1部分 概念和模型标准送审稿。1.4. 承担单位起草单位:国家信息中心协作单位:国家信息中心、国家新闻出版广电总局监管中心、中国电信集团、中国移动通信集团、中国信息安全测评中心、大连理工大学、中国民航大学、江苏省信息中心、中国电力科学研究院等。主要起草人:何德全 王长胜 吕欣 王宪磊 郭艳卿 杨月圆 吕汉阳 等。2. 编制原则和主要内容2.1. 编制原则为保证所建立的“信息安全保障指标体系及评价方法”有一个客观、统一的基础,在评价指标体系的设计及
9、指标的选取过程中,本课题主要遵循以下设计原则:1、综合性原则国家信息安全保障综合评价指标标准体系建设是通过从整体和全局上把握我国信息安全保障体系的建设效果、运行状况和整体态势,形成多维的、动态的、综合的国家信息安全保障评价标准体系。因此,标准设计的首要原则是综合性。2、科学适用性原则国家信息安全保障评价指标体系必须是在符合我国国情、充分认识国家信息安全保障体系的科学基础之上建立的。按照国家信息安全保障体系总目标的设计原则,把信息安全各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性,即指标概念必须具有明确完整的科学内涵。适用性原则,就是指标体系应该能够在时空上覆盖
10、我国信息安全保障评价的各个层面,满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异,尽量做到不对基础数据的收集工作造成困扰。这一原则的关键在于,最精简的指标体系全面反映国家信息安全保障的整体水平。3、导向性原则评价的目的不是单纯评出名次及优劣的程度,更重要的是引导和鼓励被评价对象向正确的方向和目标发展,要引导我国信息安全的健康发展。4、可操作性强原则可操作性强直接关系到指标体系的落实与实施,包括数据的易获取性(具有一定的现实统计基础,所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的)、可靠性(通过规范数据的来源、标准等
11、保证数据的可靠与可信)、易处理性(数据便于统计分析处理)以及结果的可用性(便于实际操作,能够服务于我国涉密信息系统安全评价的)等方面。5、定性定量结合原则在众多指标中,有些因素是反映最终效果的定性指标,有些是能够通过项目运行过程得到实际数据的定量指标。对于评价最终效果而言,指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性,必须在选取定性指标时,舍弃部分与实施效果关系不大的非关键因素,并且尽量将关键的定性指标融合到对权重分配的影响中去。该指标设计的定性定量结合原则就是将定性分析反映在权重上,定量分析反映在指标数据上。6、可比性原则可比性是衡量国家信息安全保障评价体系的实际效果
12、的客观标准,是方案权威性的重要标志。国家信息安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区信息安全保障的历史进程和发展趋势。这一原则主要体现在对各级指标的定义、量化和加权等方面。2.2. 主要内容本标准概述了本标准各部分通用的基础性概念,给出了信息安全保障指标体系设计的一般模型和指标框架。本标准主要用于:辅助政府管理层的信息安全态势判断和宏观决策;支撑各基础信息网络和重要信息系统运营单位及管理部门的信息安全管理工作;规范评价机构和评价人员使用该标准开展的相关评价活动。本标准主要框架如下:前 言引 言1范围2规范性引用文件3术语和定义4 信息安全保障
13、评价的概念5 信息安全保障评价的相关要素6 指标框架设计6.1指标框架6.2指标框架描述参考文献本标准主要贡献如下:1、明确了标准的目标读者及其可能感兴趣的内容指出标准主要由三个不同但又相互关联的部分组成:第1部分“概念和模型”是标准的概述,定义了信息安全保障评价的一般概念,提出了评价的一般模型,并给出了信息安全保障评价指标的设计框架;第2部分“指标体系”建立了信息安全保障评价指标的层级结构,描述了各评价指标的具体内容;第3部分“实施指南”建立了信息安全保障评价活动的实施流程和操作办法。2、给出了信息安全保障评价的概念。信息安全保障评价是基于一定的评价目标,针对特定的评价对象,使用评价指标和评
14、价算法对评价对象进行测算,并结合专家知识对获得的测算结果进行研判后,得出科学评价结果的一系列过程。3、指出信息安全保障评价围绕三个维度进行信息安全保障评价围绕信息安全保障体系的三个维度进行,即保障措施、保障能力和保障效果其中保障措施是实现信息安全保障正确性的途径,保障能力是从防御过程的视角对保障措施运行有效性的体现,保障效果是从保障对象安全目标实现程度的视角对保障措施运行有效性的体现。4、列出了信息安全保障评价的相关要素信息安全保障评价的相关要素包括评价目标、评价对象、评价指标、评价算法专家知识和评价结果等。指出信息安全保障评价目标是评价信息安全保障措施的正确性,以及评价保障能力和保障效果的有
15、效性,以帮助持续改进;信息安全保障评价对象是信息安全保障体系;评价指标是针对评价对象的特点及其信息安全保障要求设计的衡量信息安全保障水平、能力和态势的准则;评价算法是一系列数据处理方法,包括指标数据标准化方法、指标权重分配方法、各级指标综合方法等;专家知识作为保证评价过程科学性的要素,主要参与对评价结果的研判。5、给出了指标的一般模型信息安全保障评价指标是通过对信息安全保障评价对象的一组关键属性进行度量,得到量化的指标值,形成评价结果,实现信息安全保障评价的目的。6、给出了指标框架的设计和对框架的描述指标框架为两级,一级框架包括建设情况评价、运行能力评价、安全态势评价,二级框架在一级框架下设战略保障措施评价、管理保障措施评价、技术保障措施评价、安全防护能力评价、隐患发现能力评价、应急处置能力评价、信息对抗能力评价、保密性评价、完整性评价、可用性评价、真实性评价、可控性评价共12项内容。3. 方法论基础钱学森院士在1995年就指出:“信息网络加用户将构成一个开放的复杂巨系统,不是简单巨系统,更不是大系统,小系统等容易调控的系统。”针对信息安全保障评价这一复杂系统评价对象,采用常规的机理描述和推理难以建立其完整的评价模型。复杂系统理论中的核心概念和研究方法来源于非线性科学和现代系统科学。在非线性科学中,复杂系统被认为是一种由于非线性作用而导致的具有
