高安全等级信息系统的风险评估研究

高安全等级信息系统的风险评估研究

张俞龙,何益博,张天宇,李志航

中建新疆建工（集团）有限公司  陕西省西安市710000

摘  要：信息资源作为一个国家的重要的战略资源，高等级信息系统的内容涵盖社会经济以及国家安全信息，信息保密尤其重要，一旦信息系统失去安全性，等于数据信息没有了屏障，可能会对社会的正常秩序，以及公众的利益，甚至是国家的安全造成威胁，所以高安全等级信息系统的安全值得重视，同时对信息系统进行风险评估也值得关注，本文简述了高安全等级信息系统的现状以及自身特点，并对现有的信息系统风险评估方法进行了概述。

关键词：高安全等级；信息系统；风险评估

一．高安全等级信息系统

信息系统的安全等级根据其对公民个人、社会公共权益和国家安全的损害程度分为5个级别，本文主要研究的是三、四、五级高安全等级的信息系统，高安全等级的信息系统会对社会的公平秩序、公众的利益产生严重的危害，并且会对国家的安全体系造成一定的损害，产生严重后果。

随着全球的信息化快速发展，信息的使用已经运用到国家和社会的各个领域，信息带给人们巨大的便利的同时也会给人们的社会经济生活带来一定的信息威胁。信息是一个国家重要的战略资源，尤其是较高等级的信息系统的安全保密工作非常重要，一旦发生因信息泄露，就会对国家的安全和社会经济产生严重的影响，因此高安全等级信息系统的工作部署已经成为国家的重点关注问题。

高安全等级信息系统的保护依旧面临着非常严峻的局势，国内外反动势力对信息系统安全的渗透、攻击和破坏行动从未停止，国内不法犯罪分子利用网络进行盗窃以及使用病毒侵袭计算机网络的现象还是十分严重，这些都会给公民和社会公众的利益造成很严重的损失。高安全等级信息系统的安全漏洞也仍旧是非常重要的危害根源所在，一旦被黑客等破坏者非法侵入，将会对全球互联网安全带来巨大的威胁和损失。

高安全等级信息系统的安全，单单依靠技术手段的提升，并不能够从源头上解决安全问题，应该从整个技术和风险管理上入手，建立完善的安全管理体系，才能够使信息系统得到全面的保护。其中风险管理也是高安全等级信息系统安全问题中非常重要的环节，对信息系统的安全进行整体评估，能够找到信息系统存在的安全问题，可以有效的预防风险的发生，解决出现的问题，有效的提高信息系统安全保障。

高安全等级信息系统的风险评估，已经越来越被社会各界以及国家所重视，其发展前景良好，而且随着对信息安全的重视，风险评估已经成为一个亟待解决的问题。风险评估应该存在于高安全等级信息系统运行的整个过程中，随着信息技术的发展而不断研究进步，紧跟着信息发展的脚步，找到信息系统的关键问题。

二．高安全等级信息系统风险评估的特点

高安全等级信息系统主要包括一些涉及我国的社会经济和国家的安全信息，这些信息在进行处理传输和储存的过程中，都需要严格的保密，其主要的特点如下：

2.1保密性、安全可用性

高安全等级的信息系统所包含的信息都非常的重要，所以主要具有保密性，同时应该能够具有完整可用性，使信息能够发挥出其应有的作用。

2.2分散性、多样性

因为高安全等级的信息系统并不是集中在一起，而是涉及到各国家各个等级的领导机构，政府机构，军政机构以及企业单位当中。一般信息的使用者也就是信息的主要管理保护责任人。因为每一个机构对于信息保护的需求不一样，信息系统的规模不一样，需要做到的防护措施，不同安全等级的保密信息也不一样，所以信息系统具有多样性。

2.3信息技术较薄弱

我国信息系统的基础还不够牢固，发展不足，高安全等级信息系统所使用的中央处理器，操作系统，网络传输设施，以及应用系统软件多数用的还是来自国外的产品，有着较大的安全风险。

三．高安全等级信息系统风险评估方法

3.1基于贝叶斯网络的信息系统风险评估

这些年来，贝叶斯网络技术发展迅猛，同时可以根据需要评估的需求构建静态或者是动态的针对性评估模型。适用性较强，可以在数据的基础上，结合理论知识，对评估的过程进行定量化的概述，其评估不仅能够展现出当前的事实情况，还能对历史的信息进行检验，存在很多优点，其推理过程和算法也已经有很多成熟的案例，在信息系统的风险评估上应用非常合适。

在运用贝叶斯网络对高安全等级信息系统进行风险评估时，已经发生的先验知识要尽可能的可靠，保障质量，才能够得出正确的分析结果，在进行风险评估时，要充分考虑到过去相似的系统发生过的一些风险情况，统计分析其发生的概率可能性，充分进行统计分析，可以在较大程度上提高贝叶斯网络对信息系统评估的可靠性。

3.2基于博弈论的高安全等级信息系统风险评估

基于博弈论的高等级信息系统风险评估需要逐步进行操作，首先要从科学、全面、有效的角度来合理选择风险评估的评估指标，并对指标进行优化，再根据选取的风险评估指标在高安全等级信息系统的实际应用情况，收集汇总所有指标的基本信息，以及应用情况。另外还要从防守的角度去收集对于各个选取指标可能采取的防守措施，再从攻击人员的角度，收集可能进行的攻击方法。综合整理这些信息之后，就可以针对信息系统构建博弈的风险评估模型，利用模型模拟实际的攻防过程，计算最终可能产生的风险值，综合评价出高安全等级信息系统所处于的风险等级情况。

3.3基于 FAHP 和攻击树的信息系统安全风险评估

基于FAHP和进攻树的信息系统的安全平复方法， 最先，FHP算出各安全性指标的权重值，在一定程度上降低评估时可能存在的主观因素影响。次之，在计算各个节点概率时，将各个属性指标的评分假定为区段自变量，在一定程度上降低了权威专家认知能力的可变动性危害，进一步提升了各个属性指标的数据信息，提高了每一个叶节点产生概率的精度。最终，结合实际应用中对信息系统进行风险安全评估所采用的一般方法，挖掘出网络攻击较有可能的攻击方式，给信息安全提供最大的技术支持。

四．结束语

信息安全风险评估是在高安全性信息系统运作前后，充分考量其安全等级的关键技术手段，可以恰当评估高安全系数信息系统的安全保密能力，真正意义上保护国家安全。将来，要进一步完善国家高安全性级信息系统评估管理体系，提高思想认识，持续评估能力和水准，为国家信息保密行政机关管理的高安全性级信息系统给予更为充分的技术支撑。

参考文献：

[1] 王鹏,徐建良.基于贝叶斯网络的信息系统风险评估研究[J].中国海洋大学学报(自然科学版),2022,52(05):131-138.

[2] 孔斌. 高安全等级信息系统的风险评估研究[D].北京交通大学,2021.

[3] 杨宏宇,张乐,张良.一种基于风险传播的信息系统风险评估方法[J].北京邮电大学学报,2021,44(04):41-48.

1 / 2