1 引言
　　随着国家信息化程度的不断深入和信息技术的广泛应用, 各行各业对信息系统的依赖程度越来越高, 网络与信息系统的基础性、全局性作 用日益增强, 信息安全已经成为国家安全的重要组成部分。《国家信息化领导小组关于加强信息安全保障工作的意见》( 中办发27 号文) 提出 了“积极防御、综合防范”的总方针, 重点保障基础信息网络和重要信息系统的安全。《2006～2020 年国家信息化发展战略》提出完善国家信 息安全保障体系和提高信息安全保障能力的战略目标和部署。但如何构建科学的信息保障理论模型, 如何对国家信息保障态势进行科学评价是 信息安全领域的重要研究课题。本文结合信息保障理论, 给出了一个国家信息保障成熟度模型及其评价指标体系, 并给出了各类指标的构成和 评价原理。
　　2 信息保障理论
　　信息保障定义为保证信息的机密性、完整性、真实性、可用性、可控性, 不可否认性, 以及信息系统的可靠性, 同时要求把信息系统建设 成一个具有系统预警能力、安全防护能力、隐患发现能力、反应处置能力和追踪反制能力的积极防御、综合防范体系, 如图1 所示。

　　信息保障能力的形成, 是由技术、管理和人的共同作用所决定的, 分别对其描述如下:
　　(1) 技术
　　基础信息网络和重要信息系统根据本系统信息保障使命, 明确本系统IAS 的技术保障目标, 是建设IAS 的基础。信息保障的技术需求包括 物理安全、网络安全、系统安全、数据安全和应用安全等几个层面的安全需求。
　　(2) 管理
　　科学的管理是信息安全技术转化为信息保障能力的必要条件, 在我国核心技术还相对落后的情况下, 充分发挥我们的制度优势, 切实加强 信息安全管理工作是信息保障体系建设的重要内容。信息保障的管理需求包括组织机构、法律法规、标准规范、管理办法等。
　　(3) 人
　　在信息保障体系这个开放复杂巨系统中, 人既是系统的建设者和管理者, 也是系统的使用者和维护者。管理和技术保障能力的形成, 都是 通过人的作用实现的。人员的安全素质和安全意识的高低直接影响到系统安全保障能力的强弱, 因此, 人是信息保障体系中的重要要素之一。
　　信息保障模型的第四维是时间维, 即信息保障贯穿于信息和信息系统的整个生命周期, 包括信息的采集、存储、传输、加工、决策和消亡,  以及信息系统的规划、建设、运行、改进、废弃等各个阶段。
　　3 信息保障成熟度评价指标体系
　　国家信息保障成熟度指数包括系统信息保障成熟度指数和基础支撑成熟度指数, 如图2 所示。

　　3.1 系统信息保障成熟度指数
　　3.1.1 IA 基线评价指数
　　“基线”对应的英文是Baseline, 其含义是一种用于测量或在测量中用于比较的标准。本文把信息保障基线定义为实现其安全保障使命和 功能的基本安全保障需求。IA 基线评价包括技术保障基线评价, 管理保障基线评价和人员保障基线评价。IA 保障基线可根据本系统的安全保 障使命和任务, 以及国家和行业标准进行提取。
　　3.1.2 IA 能力评价指数
　　IA 能力评价指数用于考察网络系统的预警能力、安全防护能力、隐患发现能力、反应处置能力和追踪反制能力。IA 能力评价的数据主要 来自某个时段的历史数据和试验数据。
　　(1) 系统预警能力
　　主要由预警时间和预警空间两个指标进行评价。预警时间指标可以从漏洞信息发布到利用此漏洞实施攻击实际发生的时间差, 某种攻击方 式的出现到大规模蔓延之间的时间差统计得到。预警空间指标可以用预警信息发布时, 被评价对象已经遭受该类型攻击或脆弱性被利用以实施 攻击的空间范围来做出评价, 为统计值。
　　(2) 安全防护能力
　　指使用技术和管理的手段来保证信息和信息系统的机密性、完整性、真实性、可用性、可控性和不可否认性, 可靠性等。该指标可以从研 究对象单位时间内( 如一年) 基于某一个( 或多个) 安全属性( 如: 机密性) 的安全事件的数量、事件起因分析、风险级别、造成的损失、潜 在威胁估算等实施评价。同时, 可运用渗透测试等手段进行实验分析。
　　(3) 隐患发现能力
　　隐患发现能力指数主要由检测技术的有效性(如: 漏报率和误报率) ; 检测制度的完备性和检测的实时性等指标合成。
　　(4) 反应处置能力
　　反应处置是对于发生的安全事件、破坏行为和过程, 能及时做出处理, 限制潜在的损失和破坏。可从不同规模( 可分为大、中、小三类)  安全事件的反应时间、技术手段、管理措施、处理效果等方面进行考评。
　　(5) 系统恢复能力
　　系统恢复能力主要针对系统遭受不同规模的攻击和破坏后, 能恢复到正常运行状态的评价, 包括对系统灾备能力、容错能力、修复能力等 的评价。
　　( 6) 追踪反制能力
　　追踪反制能力主要由攻击源追踪能力, 攻击路径追踪能力和取证能力等指标构成。
　　3.1.3 IA 属性评价指数
　　属性评价指数用于对信息和信息系统的安全属性实施量化评价, 是信息保障评价的一个高级阶段。对属性指数评价首先要设定评价目标,  因此, 属性指数评价是一个与评价目标对应的相对评价。属性评价可以用基于风险的概率模型, 以机密性和可靠性为例给出计算公式如下:

　　对资产的机密性指数可表示为:
　　λ表示在保护机制C 和环境E 下, 面临威胁T时, 资产x 的机密性风险, λ为机密性指数的倒数。P(A|(C, E, T, t))表示时刻t, 在保护机 制C 和面临威胁T的条件下, 敌手仍能成功访问资产x 的概率。IT为资产x 被非法访问后造成的影响或危害, IT 与威胁级别相关联。在计算机 密性指数时, 要充分考虑资产间的相互关系, 及其在整个信息保障体系中的使命和功能。
　　与式(1) 、式(2) 类似, 可分别给出完整性指数、可用性指数、可控性指数、真实性指数、不可抵赖性指数的数学表示, 由于篇幅所限,  这里不再一一给出。
　　可靠性是面向信息系统的安全保障特性, 是指评价对象在规定的环境下、规定的时间内、规定的条件下无故障地完成其规定功能的特性。 信息系统的可靠性不仅要求系统具有抵抗人为破坏或自然老化的功能, 还要求系统在遭到攻击和破坏后具有恢复和自愈能力。可靠性风险指数 的计算公式为:

　　η表示资产x 在规定的环境下、规定的时间内特定的威胁下的可靠性风险。P( F| (E, T, t))表示时刻t, 在环境E 和面临威胁T 的条件下 , x 的功能F遭受破坏( F) 的概率。IT 为资产x 的功能受损后造成的影响或危害, IT 与威胁级别相关联。
　　3.2 IA 基础支撑指数
　　IA 基础支撑成熟度指数主要考察国家对信息保障的宏观调控能力和基础环境状况, 其评价指标包括IA 产业成熟度指数, IA 标准成熟度指 数, IA人才成熟度指数, IA 科研成熟度指数和IA 基础设施成熟度指数。
　　4 结束语
　　本文给出了一类国家信息保障成熟度评价指标体系, 并对各级指标构成和评价原理进行了分析和讨论。该方案适用于对国家信息保障体系 、基础信息网络和重要信息系统、一般信息系统信息安全保障状态进行评价使用。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。