《铁路物流信息共享平台的安全性评价模型》由会员分享,可在线阅读,更多相关《铁路物流信息共享平台的安全性评价模型(6页珍藏版)》请在金锄头文库上搜索。
1、 铁路物流信息共享平台的安全性评价模型 摘要安全性是铁路物流健康有序发展的一个重要性能指标。然而,铁路物流信息安全一直未得到应有的关注。本文针对我国铁路物流信息安全问题,借助于IS01779所提出的信息安全技术框架,建立起基于模糊综合评价法的铁路物流信息共享平台安全性评价模型,为现有的铁路信息系统提供一定的安全性评估准则。关键词铁路物流信息安全模糊综合评价安全性评价模型一、铁路物流信息安全概述铁路物流信息安全是指在铁路部门在与其它物流企业或直接与货主进行业务往来的物流过程中,信息平台的软硬件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、泄露,信息系统连续可靠正常地运行,信息服务
2、不中断的状态。为了保障铁路物流过程中的安全性,铁路部门已经陆续出台一系列相关政策和法规,如铁路装卸作业安全技术管理规则、铁路货物运输管理规则以及铁路和水路货物联运规则等。这些政策和法规都主要集中在仓储、运输、装卸的安全性管理之上,而对于铁路物流信息安全却没有提出详实的管理细则与方案,对于现有的信息系统也缺乏一定的安全性评估准则。此外,目前铁路内部网络与外部社会信息系统之间没有接口,处于封闭运行状态,这种信息孤岛状况造成了铁路部门与客户之间的信息不畅、信息不对称等问题。因此,当前需要建立起铁路物流信息共享平台,将铁路的内部信息合理地融入社会服务体系,向货主提供及时准确的信息、简捷方便的交易、全方
3、位优质综合配套服务1。毋庸置疑,信息系统的崩溃将阻碍物流活动的正常运行,而诸如客户资料、报价等物流信息的泄露,也必将给铁路部门及货主带来不可估量的损失。2009年中国信息安全领域八大预测一文中就指出“2009年恶意软件将作为一项服务出现”,并且漏洞带来的定向攻击将会增加,尤其是针对运输等服务行业的网络基础设施攻击,IT专家们认为2009年Web安全仍将是最为严重的威胁之一。可见,随着铁路信息化建设的不断深入和铁路物流信息共享平台的建立,加强信息安全无疑是铁路物流信息平台迅速发展的基础和保障。本文将从IS01779所提出的信息安全技术框架出发,为铁路物流信息共享平台的安全性评价建立分析模型,从而
4、最终为科学地选择系统性安全方案提供依据。二、信息安全技术框架IS0 1779由国际标准化组织于2000年1 2月出版,它是适用于所有的组织一项详细安全标准,主要涉及信息安全方针、组织安全、资产归类和控制、人员安全等十个方面。其中,信息安全方针中信息安全技术框架的核心要素包括访问控制、审计和跟踪、内容安全这三个方面:1访问控制访问控制是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。借助铁路物流信息共享平台,铁路企业可以改变过去信息孤立状态,通过Internet和外部网络进行联系和交流,实现与外部社会信息系统的连接。这时系统的安全性就面临着一大问题,就是如何拒绝一些不希
5、望的连接,同时又要保证合法用户进行的访问。访问控制涉及的技术也比较广,主要包括入网访问控制、网络权限控制、目录级安全控制、属性安全控制以及服务器安全控制2。2审计和跟踪审计和跟踪是系统活动的流水记录,该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。它可以作为对正常系统操作的一种支持,也可以作为一种安全保证策略或前两者兼而有之。透过铁路物流信息共享平台,每天都会有大量托运、到货、取货等交易信息,一旦系统发生故障、文件数据遭受破坏,将阻碍物流活动的正常运行,因此必须通过审计和跟踪来保障系统安全和维护系统信息的完整性。通常审计和跟踪体系主要由日志系统和入侵检测系统为主组成。3内
6、容安全信息共享平台给铁路企业及其客户带来了很多方便和好处:通过浏览和搜索平台上的资源和信息,一方面客户可以实时跟踪其货物配送情况,另一方面铁路运输企业可以更快、更准确地实现运单审核、到货录入等功能。但是,访问这些内容也意味着在电脑保护系统中打开了一些“洞”,从而病毒、间谍、广告软件等引起的内容安全问题日益成为人们的忧患。主要的内容安全保护措施有:数据加密技术、网络漏洞扫描、防病毒系统。三、基于模糊综合评价法的安全性评价模型模糊综合评价法是近年来逐渐推广应用的一种系统综合评价方法,是运用层次分析法(AHP)和模糊数学方法(Fuzzy)的一种综合评价方法。该方法利用模糊隶属度理论把定性指标合理的定
7、量化,很好地解决了其他方法中定性与定量评价不能很好结合的问题,使评价方法在综合性、科学性等方面得到了改进。1模糊综合评价法的理论与算法(1)建立评价指标体系本文从IS01779所提出的信息安全技术框架核心要素访问控制、审计和跟踪、内容安全出发建立评价指标体系,运用层次分析法建立铁路物流信息共享平台安全性评价模型。如图1所示,该模型的第一层为目标层,即保障铁路物流信息共享平台的安全性;第二层为框架层,包括了评价指标体系的一级指标:访问控制、审计和跟踪、内容安全;第三层为技术措施层,通过上文分析可知与一级指标所对应的二级指标分别为(入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务
8、器安全控制),(日志系统、入侵检测系统)(数据加密技术、网络漏洞扫描、防病毒系统)。(2)确定评价指标权重评价指标中的每个元素在评价目标中占有不同的地位和作用(即比重),这个比重就是权重值。构造判断矩阵这里可以根据信息共享平台的安全需求及其安全性要求的倾向,参照信息共享平台安全性的评价指标分层体系,由信息安全专家根据相对重要程度给出判断值(根据Saaty的19标度法)构造判断矩阵。即在同一层次中,专家取出两个元素x1和xj进行比较,以aij,表示元素1和xj对于上一层控制元素Z的影响大小之比,全部比较结果用矩阵层次单排序层次单排序就是根据判断矩阵A计算对于上一层次某元素而言本层次有关元素的重要
9、性权值,这可以归结为计算判断矩阵的最大特征值及对应的特征向量,也就是对判断矩阵A计算满足AW= maxW的特征值max及其对应的正规化的特征向量WW的分量W(i=1121n)就是相应元素的权重值。一致性检验验证通过所构造的判断矩阵求出的特征向量是否合理,并对判断矩阵进行一致性和随机性检验,从而计算出判断矩阵的随机一致性比率CR。当CRO.1时,认为判断矩阵的一致性是可以接受的,否则应对判断矩阵作适当的修正。(3)建立模糊判断矩阵对于安全技术措施的每项指标,可根据习惯划分为很好、好、较好、一般、较差、差和未使用等7个评语等级如表1所示。对于具体的物流信息共享平台,专家组根据每个专家对某项目的各项
10、指标评分确定出每项指标分别隶属于7个评语等级的隶属度,从而建立模糊判断矩阵R3。矩阵R中相应的分值可以通过Delphi法得到:请多位专家彼此独立填写权重调查表,内容包括各二级单项指标,当所有专家都给出相应的权重后,在同一指标中,把选择相同级别的人数相加,再除以参加评价的总人数,则可得出各指标权重。(4)计算模糊评价结果计算模糊评价结果B,B=WTR。式中,B为各二级指标隶属于所划分的7个评语等级的隶属度,WT为各二级指标相对于总目标的总权重值,R为模糊判断矩阵。(5)计算信息共享平台安全性评价的最终得分DD=BC其中,C为以百分制表示的7个评语等级的分数所构成的列向量。 2铁路物流信息共享平台
11、安全性评价模型的应用 (1)确定铁路物流信息共享平台的安全技术措施权重 首先,应用AHP法,通过信息安全专家评分的方式对铁路物流信息共享平台安全性评价模型中各个指标进行评价,可得到如下(见表2表5)所示的两两比较矩阵:根据以上各表,可将各层诸要素的相对权数W加以整合,求得整体层级的总优先向量,即计算得出安全技术措施相对于目标层来说各自的权重值,如表6所示。通过表6可以看出在整个系统中,入侵检测系统是所有安全技术措施中权重最大者( 0.4751),也就是该技术对于铁路物流信息本文是基于山东大学威海分校第四届科研立项学年项目高校电子商务交易新型模式探究而形成的论文,在此感谢项目指导周桂梅老师给予的
12、意见和建议,以及团队内其他成员杨镇竹、贡献策、陈怡霏的帮助。共享平台的安全性具有最重要地位,数据加密技术则是仅次于此的技术。当然,信息系统的安全侧重点不同,最终得出的总优先向量也会有所不同。(2)建立模糊判断矩阵R本例中,选用铁道部刚结题建立的铁路物流信息共享平台A,让5位专家对其进行评分,得到模糊判断矩阵R(见表7)。由此,可得到模糊评价结果B=( 0.23604, 0.15176,0.38014, 0.23206,O,0.0)(3)计算铁路物流信息共享平台安全性评价的最终得分D由前文所给C=( 100,85,70, 60,50,30,0),可以得到铁路物流信息共享平台A的系统性安全性得分为
13、77.037,安全性状况良好。同时,通过专家的评分也可以看出,对于该物流信息系统在属性安全控制、日志系统、入侵检测系统、数据加密技术、防病毒系统等方面的安全性控制应进一步加强,以保证信息系统连续可靠正常地运行。四、结论在过去,物流安全虽然已经受到物流工作者的关注,但是对于铁路物流信息安全却没有单独地提出来讨论,而要想健康地发展我国的铁路物流事业,就必须要重视其信息安全问题。本文从IS01779所提出的信息安全技术框架出发建立评价指标体系,并由此建立基于模糊综合评价法的铁路物流信息共享平台安全性评价模型,用以对铁路信息系统的总体安全性进行科学的评价。通过算例验证,该模型为铁路物流信息系统的安全性评价提供了一个新的思想和方法,使决策更为科学、合理。参考文献:【1】刘畅,基于互联网的铁路运输服务订单信息系统的设计及安全性分析与实现D东北大学200308.01【2】石淑华计算机网络安全技术【M】人民邮电出版社2008.1201【3】周曦民,魏忠,陈长松一种基于IATF的信息系统安全性评价模型的研究【J】信息安全与通信保密20040701-全文完-
