基于等级测评的系统安全保护能力量化评价方法

袁静　任卫红　赵泰

摘要：采用层次分析法构建保护能力的评价指标体系，并以此为基础层层汇总计算各措施层指标的合成权重，作为保护能力得分量化的基础。同时，还在现有等级测评的基础上，创新性提出从“正反”两个不同的角度来度量信息系统的安全状况，安全保护能力评价结合了正向的保护状况和反向的风险情况进行综合判定。

关键词：等级测评；评价指标；权重；风险分析；多对象平均分

中图分类号：TP391文献标识码：A

Abstract：Evaluation Index System of information system protection capabilities was built based on AHP， which was used as the basis to calculate the various layers weights as the synthesis weight of the index of measure layer， and used as the foundation of quantifying security capability score. Meanwhile， based on the existing classified protection testing and evaluating， a new idea was put forward to measure the information system security protection situation from the "pros and cons" of two different views. Information system security capability was evaluated and comprehensively judged by combining with the positive evaluation of the protection situation and reverse risks.

Key words：classified protection testing and evaluating；evaluation index；weight；risk analysis；average score of multiobject

1引言

对信息系统实施等级测评具有重要的现实意义，其中对信息系统的安全保护能力进行评价是等级测评的重要环节。信息系统安全保护能力评价是对等级测评结果进行全面评估、分析与度量。安全保护能力评价虽然不能直接保护信息系统，但其结果可以反映信息系统的安全保护状况，发现信息系统存在的薄弱点，可以作为信息系统安全整改和后期安全规划的依据和基础。

2研究状况分析

在信息安全评价方面，从安全评估模型的着眼点看，目前存在两方面完全不同的模型：一种是从“正面”分析信息系统安全保护能力为出发点的安全评估模型，如闫强等人提出的安全度量评估模型[1]；另一种则是从“反面”以信息系统存在的脆弱性为出发点的安全评估模型，如风险评估模型，从可靠性评定模型中发展过来的故障树模型等。这两种不同的模型，分别从“正反”两个不同的角度来度量信息系统的安全状况。

本文充分借鉴上述两种模型的优点，首先从“正面”分析系统安全保护能力是否达到等级保护相关标准的要求，然后从“反面”以在等级测评中发现的系统脆弱性为出发点，综合分析系统面临的风险。

3系统安全保护能力评价指标体系

系统安全保护能力评价是在等级测评的单项测评结果基础上进行的，主要内容分为五个方面：单项测评结果判定、单元测评结果判定、整体测评、风险评估以及综合分析[2，3]。

整体测评主要是以“正向”为主，包括安全控制间、层面间和区域间相互作用的安全测评，以及漏洞扫描、渗透测试等。风险评估主要是以“反向”为主，综合分析则是根据单项测评、整体测评、风险评估的结果对信息系统的整体安全保护能力状况进行综合评价分析。

单项测评中的各项测评指标直接来自《信息系统安全等级保护基本要求》[4]（简称《基本要求》），与其存在一一对应的关系。这些测评指标与系统安全保护能力之间没有明确的关联关系。因此，为了判定系统安全保护能力，首先需要研究如何将安全保护能力与各项具体测评指标关联起来，形成科学的安全保护能力评价指标体系[5]。

本文借鉴层次分析法[6，7]的思想建立评价指标体系并求取各测评指标权重。评价指标体系可以分解为目标层、准则层和措施层[8]。措施层（对应《基本要求》的具体要求项）是明确实现各安全保护能力需要的安全机制或安全措施，是综合安全保护能力的最细化、最底层的层次。准则层（对应各项保护能力）是在归纳总结措施层不同层次不同方面的各项措施能够实现的安全保护能力形成的，是多项安全措施的综合，准则层是措施层与目标层之间的桥梁。目标层（A层）只有综合保护能力一个指标，是所有准则层各项保护能力的综合，是信息系统综合安全保护能力的量化直观反映，也是等级测评的最终结论，量化分数的高低可以反映出信息系统安全保护现状与相应等级安全保护能力要求之间的差距。

评价指标体系各层次内容及其之间的关系可用示例图1来表示。

其中，准则层指标可以进一步分为能力层（B层）、能力子层（C层）和能力底层（D层），该层指标自上而下是对综合保护能力的进一步细化、分解。其中能力层分为8类能力（见图1），能力子层分为36类子能力，能力底层则进一步细分为126类子能力。准则层分解示例如下表1所示：措施层（E层）来自于《基本要求》技术和管理两大部分的安全措施。其与准则层的关联关系示例如表2所示。

4测评指标综合权重计算

在建立了等级测评安全保护能力评价指标体系之后，进而通过层次分析法确定每一层相对于上一层的影响权重，得出全部测评指标的综合权重得分。

下面详细说明如何使用判断矩阵求得等级测评指标各层的权重系数。

B层相对于A层的各指标权重。根据层次分析法，当相互比较因素的重要性能够用具有实际意义的比值说明时，则取这个比值作为B层相对于A层的各指标权重。根据信息系统等级保护能力的要求，5个不同级别的安全保护能力有如下表的特点，即1级更强调安全防护方面的能力；2级在1级的基础上，进一步强调检测能力；等等。

因此，可以根据不同等级能力的体现，通过专家对比评审的方式确定判断矩阵。根据专家对比的结果形成判断矩阵AB，计算最大特征根和特征向量，归一化处理后得到B层指标对A层而言的权重系数WB，并进行一致性较验。

wb=WA1B1……WA1Bn

WA2B2……WA2Bn（1）

WA15n代表B层第n个指标对A1的权重系数，WA2Bn代表B层第n个指标对A2的权重系数，n为从1到8的正整数。

另外，C层相对于B层的各指标权重以及D层相对于C层、E层相对于D层的各指标权重是不会随安全等级的变动而改变的，也不随其服务的是业务信息安全还是系统服务安全而改变，也就是说其权重系数是相对稳定的，主要决定于C层对B层、D层对C层、E层对D层的贡献。因此，可以采取通过专家评审对比构造判断矩阵、计算最大特征根、计算特征向量并归一化的方式，得到权重向量。通过计算得出一组权重系数。

根据上述得出的这些权重系数可以生成合成权重。合成权重是指最下层（措施层E层）诸要素对最上层（目标层A层）的综合权重W。根据层次分析法，可以预先计算出从措施层E层到目标层A层的综合权重WA，WA=WB×WC×WD×WE。从而在计算综合得分中直接使用，以减少中介计算。

5安全保护能力综合评价

在等级测评中各单元测评指标的得分包括单项测评结果的符合程度直接得分和整体测评对直接得分的修正分。

5.1单项测评结果符合程度直接得分

单测评项根据不同的测评方式、测评内容等，可能会存在多个测评实施过程与之对应。执行这些测评实施过程后，会得到多个测评证据。如何根据这些测评证据获得单项测评结果是判定得到等级测评结论的基础。

单项测评结果的形成方法通常是：首先将实际获得的多个测评结果分别与预期的测评结果相比较，分别判断每一个测评结果与预期结果之间的相符性；然后，根据所有测评结果的判断情况，综合判定给出该测评项的符合程度得分，符合程度得分为5分制，满分为5分，最低分为0分，测评人员根据符合情况给出0～5的整数分值[9]。这个得分即为该测评项的单项测评结果符合程度的直接得分。其中，0分的情况是指获取的测评证据低于相应测评项应达到的最低要求。

单项测评结果的符合程度得分体现了安全保护措施是否有效以及有效性程度[10]。

同时，由于单项测评结果符合程度直接得分越高，表明该项对应的安全问题越不严重，因此可以根据单项测评结果的符合程度得分得到对应的安全问题严重程度得分。即：

S安全问题严重程度得分=5-S单项测评结果符合程度直接得分（2）

5.2单项测评结果的多对象平均分

一般来说，一个测评项可能在多个测评对象上实施。因此，作为综合得分计算基础的单项测评结果应为多个测评对象的平均得分，即多对象平均分。

5.2.1测评对象分类

针对单个测评项的测评可能会落实到一个或多个测评对象上。由于这些测评对象在信息系统中所起的作用会有所不同，所以测评对象对于测评项对应体现的安全功能所起的作用就有所不同，从而对单项测评结果形成的贡献就可能有所不同。根据测评对象对某一单项测评结果形成贡献的大小，即其重要程度的不同，把测评对象分为：重要测评对象和一般测评对象。

1）重要测评对象，主要是指该测评对象对于某一测评项在信息系统中的实现起关键性作用，即对此测评项测评结果的形成贡献非常大；

2）一般测评对象，主要是指该测评对象对于某一测评项在信息系统中的实现起一般性的作用，即对此测评项测评结果的形成贡献不大。

因为重要测评对象和一般测评对象对于单项测评结果形成的贡献大小有所不同，所以给他们赋予的权重也就应该不同[11]，在这里分别赋予他们相对权重为2和1。

5.2.2多对象平均分

结合单项测评结果符合程度直接得分和测评对象权重，采用几何加权平均方法计算测评项的多对象平均分（四舍五入取整小数点后一位计）：

P多对象平均分=（∑nK=1测评对象k在该测评项的符合程度得分×测评对象K权重）∑nK=1测评对象K权重（3）

其中，P为测评项的多对象平均分，n为同一测评项测评的测评对象个数。

5.3整体测评修正直接得分

系统整体测评主要是在单项测评的基础上，通过测评分析安全控制间、层面间和安全区域间存在的关联作用验证和分析不符合项是否影响系统的安全保护能力，测试分析系统的整体安全性是否合理。根据整体测评结果，确定已有安全控制措施对安全问题的弥补程度将修正因子设为0.5～0.9，已有安全问题相互之间的削弱程度将修正因子设为1.1～1.5。

根据修正因子修改安全问题严重程度值及对应的修正后的单测评项符合程度得分。具体计算公式为：

S修正后问题严重程度值=S修正前的问题严重程度值×g修正因子（4）

S修正后测评项符合程度=5-S修正后问题严重程度值/

W测评项权重（5）

其中，整体测评之后求得的修正后测评项符合程度得分即为单项测评结果符合程度最终得分，修正后问题严重程度值也为最终的安全问题严重值。

最后，根据修正后测评项符合程度判定最终的单项测评结果。

5.4风险分析

风险分析时，将结合关联资产和威胁分别分析安全危害，找出可能对信息系统、单位、社会及国家造成的最大安全危害（损失），并根据最大安全危害严重程度进一步确定信息系统面临的风险等级。最大安全危害（损失）结果应能够反映安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题严重程度以及安全事件影响范围等。

根据风险分析思路，本文确定最终的风险计算方法如下。

5.4.1可能性分析

本文以威胁的统计频率、脆弱性被利用的难易程度等因素计算安全事件发生的可能性。

安全事件发生的可能性P计算方法为：

P=f（T，V）=T×V（6）

T为威胁发生的频率；V为脆弱性组的利用难易程度，本文中为上述求出的修正后问题严重程度值。

5.4.2安全事件损失分析

L=F（A，V）=A×V（7）

L为安全事件的损失；A为资产价值；V为脆弱性组对资产的损害程度。

5.4.3安全风险分析

根据下表可计算安全风险值

R=L×P（8）

R为安全事件造成的风险；L为安全事件的损失；P为安全事件发生的可能性。

5.4.4风险等级确定

根据安全风险值R确定信息系统面临的风险等级，结果为“高”、“中”或“低”。

5.5计算综合得分及结论判定

综合得分可以采取层层往上汇总的方式来得到，各层指标的分值满分以5分计，也可以直接通过措施层E层各指标的“最终得分”乘以合成权重系数直接得到。在此以合成权重方式进行计算。

考虑等级保护要求，信息系统中不准存在高风险安全风险。因此，若信息系统中存在的安全问题会导致其面临高等级安全风险，则综合得分计算公式[9]为：

S综合得分=C60-∑mj=1Sj∑nK=1Wk×12（9）

其中，S综合得分为系统安全保护能力综合得分，Sj为修正后问题j的严重程度值，Wk为测评项k的合成权重，m为安全问题数量，n为总测评项数，不含不适用的控制点和测评项。

其他情况下，综合得分计算公式[7]为：

∑nk=1Pk×Wk∑nk=1WK×20（10）

其中S综合得分为系统安全保护能力综合得分，Pk为测评项k的多对象平均分QUOTE，Wk为测评项k的合成权重，n为总测评项数，不含不适用的控制点和测评项，有修正的测评项以4.3章节中的修正后测评项符合程度得分带入计算。

等级测评结论根据综合得分计算结果进行判定。结论分为“符合”、“基本符合”或者“不符合”，判定依据如下：

1）符合：综合得分为100分。

2）基本符合：综合得分为60分（含60分）至100分（不含100分）之间。

3）不符合：综合得分低于60分。

6结语

本文采用层次分析法构建保护能力的评价指标体系，并以此为基础层层汇总计算各措施层指标的合成权重，作为保护能力得分量化的基础。同时，本文还在现有等级测评的基础上，创新性提出了从“正反”两个不同的角度来度量信息系统的安全状况，安全保护能力评价结合了正向的保护状况和反向的风险情况进行综合判定。

依据本文的研究成果，公安部于2014年12月31日发布了《信息安全等级保护测评报告模版（2015年版）》，通过该模版发布前十几个第三级信息系统等级测评试用以及近一年来信息系统等级测评工作使用，验证了本文研究成果的有效性，能够较科学的反映信息系统的真实安全保护状况，并且已有多家机构开发了等级测评工具。

总而言之，本文采用了量化评价方式支撑系统等级测评结论判定，有利于促进等级测评往安全措施有效性和完备性方向发展，有利于等级测评工具化，从而使得结论更客观、更有利于不同系统之间安全保护状况的比较。

参考文献

[1]赵亮.信息系统安全评估理论及其群决策方法研究[D].上海：上海交通大学，2011.

[2]GB/T 28448-2012，信息安全技术 信息系统安全等级保护测评要求[S].北京：中国标准出版社，2012.

[3]GB/T 28449-2012，信息安全技术 信息系统安全等级保护测评过程指南[S].北京：中国标准出版社，2012.

[4]GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求[S].北京：中国标准出版社，2008.

[5]符萍.电子政务系统综合评价动态指标体系构建模型研究[D].成都：电子科技大学，2006.

[6]许树柏. 层次分析原理[M]. 天津：天津大学出版社，1988.

[7]王莲芬，许树柏. 层次分析法引论[M]. 北京：中国人民大学出版社，1990.

[8]袁礼， 黄洪，周绍华. 基于层次分析法的系统安全保护能力评价模型[J].计算机仿真， 2011（5）：126-130.

[9]公安部网络安全保卫局.信息安全等级保护测评报告模版（2015年版）[R]，2015年，http：//www.djbh.net/webdev/web/HomeWebAction.do？p=getlistHomeZxdt# .

[10]袁静，任卫红，朱建平.等级测评中关键安全保护功能有效性测评技术研究[J].信息网络安全，2013（1）：2-4.

[11]许雪燕.模糊综合评价模型的研究及应用[D].成都：西南石油大学，2011.